Documente Academic
Documente Profesional
Documente Cultură
scurit de l'information
Maury Infosec
Conseils en scurit de l'information
Claude Maury
La scurit de linformation
Linformation constitue le capital
intellectuel de chaque organisation.
Cest un lment important de lactivit
de lorganisation qui ncessite une
protection adquate.
tablit des
lignes directrices et des principes
gnraux dans la gestion de la
scurit de linformation
Electronique Internationale)
Janvier 2006
Claude Maury
ISO/CEI 17799:2005
La norme ISO/CEI 17799:2005 a t publie en juin 2005
Cest un code de bonne pratique (rfrentiel) pour la
gestion de la scurit de linformation
Nouvelle numrotation en 2007: ISO/CEI 27002:2005
Cette norme contient 15 articles (chapitres):
Les 4 premiers chapitres dfinissent le cadre de la norme
Les 11 chapitres suivants composs de 39 rubriques et 133 mesures
dfinissent les objectifs de scurit et les mesures prendre
Sites web:
www.iso-17799.com
www.iso17799software.com
www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=39612&ICS
1=35&ICS2=40&ICS3= (pour lachat de la norme 200.-CHF)
Janvier 2006
Claude Maury
Janvier 2006
ACTIFS D'INFORMATION
ACTIFS
D'INFORMATION
Bases
et fichiers
de donnes,
Bases
et
fichiers
de donnes,
Mthodes de fabrication,
Mthodes de
fabrication,
Procdures
d'exploitation,
Procdures
d'exploitation,
Manuels
utilisateurs,
Manuels utilisateurs,
Archives,
Archives,
etc
etc
ACTIFS PHYSIQUES
ACTIFS
PHYSIQUES
Salle
informatique,
Salle informatique,
Serveurs,
PC, imprimantes,
Serveurs,
PC, imprimantes,
scanner, etc..
scanner, etc..
Portables,
Portables,
Rseaux
locaux, PABX,
Rseaux
locaux, PABX,
etc
etc
ACTIFS APPLICATIFS
ACTIFS APPLICATIFS
Systmes
d'exploitation,
Systmes
Applicationsd'exploitation,
de mtier,
Applications
de mtier,
Progiciels et logiciels,
Progiciels et logiciels,
Utilitaires,
Utilitaires,
Outils
de dveloppement,
Outils
etc de dveloppement,
etc
FOURNITURES DE SERVICES
FOURNITURES
DE SERVICES
Services
informatiques
Servicesdeinformatiques
Services
communication
Services
de
communication
Services gnraux
(alimentation
Services
gnraux
(alimentation
lectrique, climatisation,
etc..)
lectrique,
climatisation,
etc..)
etc.
etc.
Claude Maury
Janvier 2006
Claude Maury
Domaine d'application
La norme ISO 17799 fournit des recommandations sur la
gestion de la scurit de l'information. C'est un rfrentiel
pour l'laboration des normes de scurit des organisations
et une mthode de gestion efficace de la scurit.
La norme ISO 17999 s'adresse aux responsables de la mise
en uvre ou du maintien de la scurit de l'information.
Les recommandations de cette norme sont slectionner et
appliquer selon les besoins du mtier et des affaires de
lorganisation et conformment aux lois et rglements en
vigueur.
Equivalence USA: NIST handbook Introduction to
computer security
http://www.csrc.nist.gov/publications/nistpubs/
Janvier 2006
Claude Maury
autorises l'accder.
LIntgrit
C'est la protection de l'exactitude et de l'intgrit de l'information et des
mthodes de traitement.
La Disponibilit
Le fait que les utilisateurs autoriss ont un accs scuris l'information et
La Traabilit
La dfinition est donne dans la norme ISO 8402 : Aptitude retrouver
Janvier 2006
Claude Maury
Articles
La norme contient 11 articles.
Ces 11 articles sont numrots par les chapitres 5 15 de la norme
N
Janvier 2006
Nbre
objectifs de
scurit
Nbre
mesures
Politique de scurit
11
13
10
10
32
11
Contrle daccs
25
12
16
13
14
Continuit de lactivit
15
Conformit
10
Claude Maury
Rubriques
Les 11 articles (chapitres) contiennent:
39 rubriques de scurit qui sont structures de la faon
suivante:
Un objectif de scurit identifiant le but atteindre
Une ou plusieurs mesure(s) pouvant tre applique en vue
datteindre lobjectif de scurit
Janvier 2006
Claude Maury
Mesure
Janvier 2006
Claude Maury
Critres de succs
Une bonne comprhension et valuation des risques encourus
Une mise en uvre qui soit compatible avec la culture de
l'entreprise
Un soutien et un engagement visible de la direction
Des comptences et des moyens pour mettre en uvre la
politique et les processus de scurit
Une prsentation et une formation approprie de la scurit
tous les responsables et employs de l'organisation
L'accs pour tous les employs aux normes et directives de
scurit de l'information
Janvier 2006
Claude Maury
Audit de situation
Interview d~ 540 questions
bases sur les 11 chapitres de
la norme
Pas de tests in situ
chap 5
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
chap 15
chap 14
chap 7
chap 13
chap 8
chap 12
chap 9
chap 11
ISO 17799:2005
Janvier 2006
chap 6
Claude Maury
chap 10
Mesures existantes
Barrires
Rsistance humaine
Atteinte la libert (cyberflics)
Frein au business
Besoins du business
Moyens coercitifs disposition
Qui peut obliger?
Coupes budgtaire
Janvier 2006
Claude Maury
http://www.quesaco.org/process.php?targt=question_securite
http://www.humanfirewall.org
Janvier 2006
Claude Maury