Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

« Politiques de Sécurité de l’Information » Club 27001 Toulouse – 12 Avril 2013

« Politiques de Sécurité de l’Information » Club 27001 Toulouse – 12 Avril 2013 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Politiques de sécurité Sommaire Reproduction interdite sans accord écrit de SCASSI Conseil 2 « Politiques » et « sécurité » Constats Besoins et objectifs des politiques de sécurité Structure / Contenu des politiques de sécurité Mise en œuvre des politiques de sécurité « Politiques » et « Sécurité » Reproduction interdite sans accord écrit de SCASSI Conseil 3 Les politiques dans un organisme – Exemples : • Ressources humaines, Achats / Fournisseurs, Commerciale, Qualité produit, … – Définition : • Stratégie, lignes directrices, règles de fonctionnement, … • Liées à un processus, une activité, … • Documenté … ou pas Les politiques de sécurité – Exemples : • Industrielle, des personnes, des bâtiments, … • De l’Information, des Systèmes d’Information, du SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 4 Un unique document monolithique … « copier / coller » de ISO27002 (« LA PSI ») Un magma de documents hétérogènes : – notes de services, mails, chartes, procédures opérationnelles, … Rien du tout … Pas mis à jour, « poussiéreux », … Inutilisés car … Pas ou peu connu des acteurs pertinents Inutilisable Pas assez précis / applicable pour certains acteurs (administrateurs systèmes, réseaux, chef de projet, …) Trop précis pour d’autres (Chefs de projet, managers, …) Niveau d’application / de conformité inconnu ! Politiques de sécurité Constats Reproduction interdite sans accord écrit de SCASSI Conseil 5 Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • Clients : – avec référentiel (« Maison », 27001) – … ou sans => « Qu’attends l’auditeur ? » • RGS Politiques de sécurité Pourquoi ? Reproduction interdite sans accord écrit de SCASSI Conseil 6 Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • PCI-DSS Politiques de sécurité Pourquoi ? Reproduction interdite sans accord écrit de SCASSI Conseil 7 Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Etablissement du SMSI Politiques de sécurité Pourquoi ? Reproduction interdite sans accord écrit de SCASSI Conseil 8 Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à des exigences • 27001 : Annexe A Politiques de sécurité Pourquoi ? – Une politique de sécurité de l’information pour : • définir, communiquer, partager les règles de sécurité • … auprès des bons interlocuteurs avec le bon niveau de détails • concernant tout ou partie des domaines de la sécurité de l’information • s’adapter aux évolutions – Des risques – De l’organisation • plutôt une cible à atteindre qu’un recueil de ce que l’on est capable de faire Reproduction interdite sans accord écrit de SCASSI Conseil 9 Quels sont les besoins et objectifs ? – Une politique de sécurité de l’information pour répondre à un besoin, une thématique précise • BYOD, réseaux sociaux, … Politiques de sécurité Pourquoi ? Reproduction interdite sans accord écrit de SCASSI Conseil 10 Structure multi-niveaux Politiques de sécurité Structure Niveau Objet Contenu, Exemples 1 Stratégie, Général Principes généraux : Fonction SSI, Rôles et responsabilités SSI 2 Thématiques Domaines SSI : Contrôle d’accès, Traces, Tiers, … 3 Détaillées Réseau, Systèmes, Application n 4 Guides, Procédures SSI S’appliquant à plusieurs processus / services Autres Transverses / « périphériques » Chartes, Note d’organisation, Politique de sécurité applicable aux fournisseurs Reproduction interdite sans accord écrit de SCASSI Conseil 11 Les politiques thématiques (N2) – regroupent l’ensemble des règles d’une thématique s’appliquant à l’ensemble de l’organisme – sont utilisables / applicables directement en tant que référentiel – peuvent être utilisés pour définir une politique de niveau 3 – Exemples : Contrôle d’accès logique, Gestion des traces, alertes, incidents, … Politiques de sécurité Structure Structure multi-niveaux Reproduction interdite sans accord écrit de SCASSI Conseil 12 Les politiques détaillées (N3) – regroupent les règles d’un « domaine » pour l’ensemble des thématiques (« héritage » du niveau 2), – permet à certains acteurs d’avoir un seul document référent – permet d’instancier, de préciser, d’ajouter certaines règles – Exemples : Réseau, Système, Bureautique, Application RH, … Politiques de sécurité Structure Structure multi-niveaux Reproduction interdite sans accord écrit de SCASSI Conseil 13 Les guides et procédures SSI (N4) – Ne sont pas des politiques mais répondent à des besoins de guides ou procédures « génériques » : • Soit pour répondre à des besoins transverses particuliers. Ex : procédure de déclaration CNIL (à l’usage des responsables de traitement) • Soit pour faciliter l’élaboration, l’amélioration de procédures opérationnelles. Ex : procédure de création d’accès utilisateur Politiques de sécurité Structure Structure multi-niveaux Reproduction interdite sans accord écrit de SCASSI Conseil 14 Politiques de sécurité Structure Structure multi-niveaux Les documents « autres, transverses » – Ne sont pas des politiques mais répondent à des besoins particuliers • Chartes : d’usage du système d’information, éditoriale, … • Politiques de sécurité applicables par les tiers • Documents de sensibilisation : supports de présentation, … • Communications ponctuelles : alertes, notes, … • Matrice de correspondance entre un référentiel imposé et la structure documentaire • Document demandé par un client : Politique de protection des données client Reproduction interdite sans accord écrit de SCASSI Conseil 15 Politiques de sécurité Structure Documents de gestion Le référentiel documentaire – Contient notamment les « métadonnées » de la politique Le(s) documents de suivi de la « conformité » – Globale (Référentiel = N2) – Par « domaine » (Référentiel = N2) : Applications RH Reproduction interdite sans accord écrit de SCASSI Conseil 16 Politiques de sécurité Structure Reproduction interdite sans accord écrit de SCASSI Conseil 17 Politiques de sécurité Structure Modèle documentaire Reproduction interdite sans accord écrit de SCASSI Conseil 18 Rôles « génériques » relatifs à chaque document Politiques de sécurité Rôles Exemples Valider Tout ou partie d’un document de politique (ex : la stratégie de contrôle d’accès) Comité Sécurité, Directeur Général Définir et mettre à jour RSSI, Experts Diffuser RSSI « Faire appliquer » RSSI Appliquer, Mettre en œuvre Administrateurs, Chefs de projet, Contrôler, vérifier RSSI, Audit interne Reproduction interdite sans accord écrit de SCASSI Conseil 19 Des règles ou exigences qui peuvent être en 2 parties : – Décrire ce qu’il faut faire – … et décrire ce qui a été fait ! Politiques de sécurité Contenu Reproduction interdite sans accord écrit de SCASSI Conseil 20 Un projet de définition de politique de sécurité, c’est bien … – « Une politique de sécurité sera définie à un instant t » … un projet de « définition et mise en œuvre d’un « processus » de gestion de politique de sécurité », c’est mieux ! – Modalités de gestion de la politique : validation, mise à jour, diffusion, contrôle, … – De manière itérative et progressive « Ne pas tout faire d’un seul coup » Politiques de sécurité Projet ou processus ? Reproduction interdite sans accord écrit de SCASSI Conseil 21 Adaptation à l’existant et aux besoins de l’organisme – Au niveau de la structure documentaire • Par rapport à la cartographie des processus • … en fonction du niveau de maturité – Processus RH Politique RH Politique de sécurité RH ? – Processus de gestion des tiers Politique de gestion des tiers Politique de sécurité des tiers ? – Continuité d’activité – Juridique / Réglementaire – Au niveau des activités de gestion • Validation : instances, comités • Diffusion : communication • Contrôle : audit interne Politiques de sécurité Mise en œuvre Reproduction interdite sans accord écrit de SCASSI Conseil 22 Impliquer les « acteurs » dans la définition / rédaction des politiques – « Valideur » – « Appliqueur » Sous forme de groupe de travail avec comme support une base « générique » de règles La « diffusion » des politiques doit être accompagnée d’actions de sensibilisation (« convaincre ») et de formations (« apprendre ») Politiques de sécurité Mise en œuvre Reproduction interdite sans accord écrit de SCASSI Conseil 23 Politiques de sécurité et gestion des risques (1) – « La politique de sécurité doit découler d’une analyse de risques » • La politique générale doit intégrer une description des enjeux principaux issues de l’analyse de risques globale à l’organisme • Les politiques de sécurité détaillées relatives aux domaines métiers / applicatifs doivent être élaborés en fonction des analyses de risques spécifiques. Ex : nature ou durée de conservation de traces liées à des exigences métiers spécifiques, niveau de contrôle d’accès logique adaptée au niveau de sensibilité des données – L’évolution des politiques de sécurité dépends directement des évolutions du risque • Usages : BYOD, réseaux sociaux, … • Menaces : DDOS, APT, … Politiques de sécurité Mise en œuvre & Amélioration Politiques de sécurité et gestion des risques (2) – Interfaces RISQUES POLITIQUES M1 IT RH Reproduction interdite sans accord écrit de SCASSI Conseil 24 uploads/Politique/ scassi-politiques-secu-club27001tls-20130412.pdf