PROTECTION DES ACTIFS INFORMATIONNELS

Plan du cours
Partie 1:
1. Importance de la scurit de linformation
2. Elments cls de la gestion de la scurit de
linformation
3. Rles et responsabilits de la gestion de la
scurit de linformation

1. Importance de la gestion de la scurit de

linformation

La gestion efficace de la scurit de linformation est le

facteur essentiel pour la protection des actifs
informationnels.

la gestion efficace de la scurit de linformation est le

facteur essentiel pour rpondre aux objectifs de
lentreprise,

1. Importance de la gestion de la scurit de

linformation

Sassurer de la disponibilit continue de leurs systmes

dinformation et de leurs donnes.

Sassurer de lintgrit de linformation en transit et de

celle stocke sur leurs systmes informatiques.

Prserver la confidentialit des donnes sensibles

lorsquelles sont stockes et en transit.

1. Importance de la gestion de la scurit de

linformation

Prserver la confidentialit des donnes sensibles lorsquelles

sont stockes et en transit.
Sassurer de la conformit aux lois, aux rglementations et aux
normes applicables.
Assurer le respect des exigences de confiance et dobligation
en lien avec toute information relie un individu identifi ou
identifiable.
Assurer que les donne sensibles sont protges adquatement
pendant le stockage et le transport, selon les exigences de
lorganisation.

1. Importance de la gestion de la scurit de linformation :objectifs

de linformation

Qualit
intrinsque
Prcision
Objectivit
Crdibilit
Rputation

Qualit contextuelle
et de reprsentation
Pertinence
Intgralit
A jour
Quantit approprie
dinformation
Reprsentation
concise
Reprsentation
constante
Intelligibilit
Comprhensibilit
Facilit dusage

Qualit de
scurit
daccessibilit
Disponibilit
et rapidit
Accs
restreint

1. Importance de la gestion de la scurit de

linformation :objectifs de linformation

Qualit intrinsque: la mesure selon laquelle les valeurs de

donnes sont en conformit avec les valeurs relles.
Qualit contextuelle et de reprsentation: la mesure
selon laquelle linformation est applicable la tche de
lutilisateur de linformation et est prsente dune manire
intelligible et claire, tout en reconnaissant que la qualit de
linformation dpend du contexte dutilisation.
Qualit de scurit et daccessibilit: la mesure selon
laquelle linformation est disponible ou peut tre obtenue.

Rappel: Critres dinformation COBIT 4.1

L'Efficacit qualifie toute information pertinente utile aux

processus mtiers, livre au moment opportun, sous une
forme correcte, cohrente et utilisable.
L'Efficience qualifie la mise disposition de l'information
grce l'utilisation optimale (la plus productive et la plus
conomique) des ressources.
La Confidentialit concerne la protection de
l'information sensible contre toute divulgation non
autorise.

Rappel: Critres dinformation COBIT 4.1

L'Intgrit touche l'exactitude et l'exhaustivit de

l'information ainsi qu' sa validit au regard des valeurs de
l'entreprise et de ses attentes.
La Disponibilit qualifie l'information dont peut disposer
un processus mtier tant dans l'immdiat qu' l'avenir. Elle
concerne aussi la sauvegarde des ressources ncessaires et
les moyens associs.

Rappel: Critres dinformation COBIT 4.1

La Conformit consiste se conformer aux lois, aux

rglementations et aux clauses contractuelles auxquelles le
processus mtier est soumis, c'est--dire aux critres
professionnels imposs par l'extrieur comme par les
politiques internes.
La Fiabilit concerne la fourniture d'informations
appropries qui permettent au management de piloter
l'entreprise et d'exercer ses responsabilits fiduciaires et de
gouvernance.

10

Rappel: Critres dinformation COBIT 4.1

La Conformit consiste se conformer aux lois, aux

rglementations et aux clauses contractuelles auxquelles le
processus mtier est soumis, c'est--dire aux critres
professionnels imposs par l'extrieur comme par les
politiques internes.
La Fiabilit concerne la fourniture d'informations
appropries qui permettent au management de piloter
l'entreprise et d'exercer ses responsabilits fiduciaires et de
gouvernance.

11

2. Elments cls de la gestion de la scurit

de linformation
Leadership, engagement et soutien de la haute

direction

Gestion des risques

Politiques et procdures
Organisation
Sensibilisation la scurit et ducation
Contrle et conformit
Gestion et intervention face lincident

12

2.1 Leadership, engagement et soutien de la haute direction

Lengagement et le soutien de la haute direction

sont importants pour la mise en place et le
maintien dun programme de gestion de la scurit
de linformation (cf. ISO 27001:2013).

13

2.2 Gestion des risques

Dfinir un processus de gestion des risques de

scurit de linformation (cf. ISO 27001:2013).

14

2.2 Gestion des risques

15

2.3 Politiques et procdures

16

2.3 Politiques de scurit

les politiques de scurit de linformation traitent des

exigences cres par:
o la stratgie dentreprise;
o les rglementations, la lgislation et les contrats;
o lenvironnement rel et anticip des menaces lies la
scurit de linformation.

17

2.3 Politiques de scurit

Les politique de scurit de linformation comporte des

prcisions concernant:
o une dfinition de la scurit de linformation, ses objectifs
et ses principes pour orienter toutes les activits relatives
la scurit de linformation;
o lattribution de responsabilits gnrales et spcifiques en
matire de management de la scurit de linformation
des fonctions dfinies;

18

2.4 Organisation

Attribuer les responsabilits en matire de scurit de

linformation conformment la politique de scurit de
linformation.

Dterminer les responsabilits en ce qui concerne la

protection des actifs individuels et la mise en uvre de
processus de scurit spcifiques.

Dterminer les responsabilits lies aux activits de gestion

des risques en matire de scurit de linformation et, en
particulier, celles lies lacceptation des risques rsiduels.
19

2.5 Sensibilisation la scurit et ducation

Tous les employs dune entreprise et, si pertinent, les

utilisateurs des tierces parties doivent recevoir une
formation approprie et des mises jour rgulires pour
amliorer la sensibilisation la scurit et le respect des
politiques et des procdures crites. Dans le cas des
nouveaux employs, cette formation doit avoir lieu avant
que laccs linformation ou au service ne soit accord.

20

2.5 Sensibilisation la scurit et ducation

Les mcanismes suivants peuvent tre utiliss pour

augmenter la sensibilisation la scurit:
o

o
o

Des mises jour rgulires aux politiques et aux procdures

crites
Une formation formelle sur la scurit de linformation
Un programme de certification interne pour le personnel
spcialis
Des dclarations signes par les employs et les fournisseurs
qui acceptent de suivre les politiques et les procdures crites,
incluant des obligation de non divulgation.

21

2.5 Sensibilisation la scurit et ducation

Les mcanismes suivants peuvent tre utiliss pour

augmenter la sensibilisation la scurit:
o

Renforcement visible des rgles de scurit et des audits

rguliers
Des exercices de scurit et des simulations dincidents de
scurit

22

2.6 Contrle et conformit

Les auditeurs des SI sont souvent mandats pour valuer

rgulirement lefficacit des programmes de scurit dune
entreprise. Pour accomplir cette tche, ils doivent possder
une comprhension des programmes de protection, du
cadre de scurit et des problmes connexes, y compris la
conformit aux lois et aux rglementations applicables.

23

2.7 Gestion des incidents de scurit

Un incident de scurit est un vnement, potentiel (au sens

signes prcurseurs ) ou avr, indsirable et/ou
inattendu, impactant ou prsentant une probabilit forte
dimpacter la scurit de linformation dans ses critres de
Disponibilit, d'Intgrit, de Confidentialit et/ou de
Preuve.

24

2.8 Gestion des incidents de scurit

Un incident SSI correspond une action malveillante

dlibre, au non-respect dune rgle de la Politique de
Scurit du Systme dInformation (PSSI) ou, dune
manire gnrale, toute atteinte aux informations, toute
augmentation des menaces sur la scurit des informations
ou toute augmentation de la probabilit de compromission
des oprations lies lactivit.

25

3. Rles et responsabilits de la gestion de la scurit de linformation

Comit directeur de la scurit de linformation

Cadres suprieurs
Groupe consultatif pour la scurit
Chef de protection des renseignements personnels
Officier principal de la scurit de linformation
Dtenteurs du processus
Dtenteurs dactifs informationnels et dtenteurs de
donnes
Utilisateurs
Parties externes
Administrateur de la scurit de linformation
Spcialistes et conseillers en matire de scurit
Dveloppeurs des TI
Auditeurs des SI

26

3.1 Comit directeur de la scurit de linformation

Les politiques, recommandations et procdures de scurit ont

un impact sur lentreprise dans son ensemble et doivent donc
faire lobjet de suggestions et tre appuyes par les utilisateurs
finaux, les cadres suprieurs, les auditeurs, ladministration des
SI, le personnel et les conseillers juridiques. Par consquent, des
reprsentants de divers niveaux de direction doivent form un
comit et se rencontrer pour discuter de ces problmes, tablir
et approuver les pratiques de scurit. Le comit doit tre tabli
formellement avec un mandat appropri.

27

3.2 Cadres suprieurs

Responsables de la protection gnrale des actifs

informationnels et de la mise en place et de la maintenance du
cadre stratgique.

28

3.3 Groupe consultatif pour la scurit

Responsable de dfinir le processus de gestion des risques de

scurit de linformation et le niveau de risque acceptable, ainsi
que de passer en revue les plans de scurit de lorganisation. Ce
groupe doit comprendre des gens impliqus dans lentreprise,
fournir des commentaires sur les problmes de scurit au chef
de la scurit et faire savoir lentreprise si ses programmes de
scurit rpondent aux objectifs oprationnels.

29

3.4 Chef de la protection des renseignements personnels

Un dirigeant de niveau suprieur charg de rdiger et de faire

appliquer les politiques que les entreprises utilisent pour
protger la vie prive de leurs clients et employs.

30

3.5 Officier principal de la scurit de linformation (ou RSSI)

Un dirigeant de niveau suprieur charg de rdiger et de faire

appliquer les politiques que les entreprises utilisent pour
protger leurs actifs informationnels. Il sagit dun rle plus
vaste que celui du chef de la scurit, qui est habituellement
responsable uniquement de la scurit physique au sein de
lentreprise.

31

3.6 Propritaires du processus

Assurent que les mesures adquates de scurit concordent avec

la politique organisationnelle et quelles sont maintenues.

32

3.7 Propritaires dactifs informationnels et de donnes

Le titre de proprit entrane la responsabilit des actifs

possds. Ceci comprend lexcution dune valuation des
risques, la slection des contrle adquats pour faire diminuer
les risques un niveau acceptable et lacceptation du risque
rsiduel.

33

3.8 Utilisateurs

Suivent les procdures tablies dans la politique de scurit de

lentreprise et adhrent aux rglementations sur la
confidentialit et la scurit, qui est souvent spcifiques aux
champs dapplication sensibles (exemple: sant, finance,
juridique).

34

3.9 Parties externes

Suivent les procdures tablies dans la politique de scurit de

lentreprise et adhrent aux rglementations sur la
confidentialit et la scurit, qui est souvent spcifiques aux
champs dapplication sensibles (exemple: sant, finance,
juridique).

35

3.10 Administrateur de la scurit

Poste dont le titulaire est responsable de fournir la scurit

physique ou logique adquate pour les programmes des SI, les
donnes et les quipements. Habituellement, les politiques de
scurit de linformation fourniront les recommandations de
base en fonction desquelles ladministrateur de la scurit
travaillera.

36

3.11 Spcialistes/conseillers en matire de scurit

Aident concevoir, implanter, grer et rviser la politique,

les normes et les procdures de scurit de lentreprise.

37

3.12 Dveloppeurs

Implantent la politiques de scurit de linformation au sein de

leurs applications

38

3.13 Auditeurs des SI

Fournissent, la Direction, une assurance indpendante de la

pertinence et de lefficacit des objectifs de la scurit de
linformation et des contrles connexes ces objectifs.

39