La sécurité de l'information

[pic 1]

[pic 2]

Table des matières

 Table des matières        2

 2. Mettre en place une gouvernance sécurité        6

 2.1. Construire un système de gestion de la sécurité et le faire vivre dans le temps        9

 2.1.1  Présentation         9

 2.1.2 Lancement du projet        11

 2.1.3 La  mise en œuvre du projet        12

 2.1.4  Audit du système de gestion mis en place        12

 2.2. Démarche d'analyse de risque        13

 2.2.1 La potentialité de la menace
L’exposition au risque appelée aussi potentialité₁ exprime la plausibilité d’une menace.        13

 2.2.2 L’impact        14

 
2.2.3 Le risque        14

 2.3 Écrire la politique de sécurité        16

 2.5 L'apport des normes : ISO27001 et ISO27002        20

 2.6 Faire certifier son entreprise ISO27001 ? Pourquoi ? Comment ?        24

 2.6.1 Pourquoi se faire certifier ?        24

 2.6.2 Comment se faire certifier ?        25

 4.1 Gestion des identités et des accès        28

 4.1.1 Les besoins et enjeux        30

 4.1.1.1 L’amélioration de la sécurité        30

 4.1.1.2 L’amélioration de la réactivité et de l’efficacité        30

 4.1.1.3 La réduction des coûts d’administration        30

 4.1.1.4 La traçabilité et d’auditabilité        30

 4.1.1.5 L'adaptation à l'évolution de l'entreprise        31

 4.1.2 Les initiatives        31

 4.1.2.1 Mettre en place des stratégies d'accès sécurisés        33

 4.1.2.2 Mettre en place un service d'annuaire        33

 4.1.2.3 Automatiser la gestion des droits d'accès        34

 4.1.2.4 Consolidation ou synchronisation de systèmes hétérogènes        34

 4.1.3 Le projet        35

 4.1.3.1 La conception fonctionnelle        36

 4.1.3.2 La conception technique         36

 4.1.3.3 La réalisation et la mise en service        38

 4.1.3.4 Les éléments principaux d'une solution de gestion des identités        38

 4.2 Plan de continuité d'activité         40

 4.2.1 Les différents plans dans la pratique        40

 4.2.2 Le PCA en détail        41

 4.2.2.1 Le Plan de Continuité Opérationnelle         42

 4.2.2.2 Le Plan de Gestion de Crise        42

 4.2.2.3 Le Plan de Secours Informatique        42

 4.2.3 Mettre en place un PCA        42

 4.2.3.1 Notions importantes        43

 4.2.3.2 Objectifs        43

 4.2.3.3 Moyens        43

 4.2.3.4 Règles à respecter        44

 4.2.3.5 Etapes à respecter        46

 
6. Technologies de protection des infrastructures        49

 6.1 Les pare-feux        49

 6.1.1 Les types de pare-feux        49

 6.1.2 Fonctionnement        50

 6.1.3  Les technologies mises en œuvre        51

 6.2 Les sondes de détection/prévention d’intrusions        51

 6.2.1 Analyse comportementale        52

 6.2.2 Analyse par signature        52

 6.2.3 Système hybride        52

 6.2.4 Le mode prévention        53

 6.3 Les Honeypot        54

1. La sécurité de l'information : contexte et enjeux

2. Mettre en place une gouvernance sécurité

Le concept de gouvernance représente une mise en forme des concepts de sécurité, de conformité et de continuité adaptés aux environnements techniques et aux pratiques d’utilisation du système d’information. La gouvernance enveloppe l’organisation structurelle de l’entreprise par la définition des rôles et des responsabilités.

Etant partie intégrante de la gouvernance d’entreprise, la gouvernance de la sécurité de l’information se lie avec les besoins de cette dernière, tout en tenant compte des contraintes et des risques technologiques, économiques ou opérationnels.

Le rôle même attribué à la sécurité informatique permet la distinction entre la gouvernance propre à la sécurité de l’information c'est-à-dire relative aux environnements technologiques et opérationnels, de la gouvernance d’entreprise intégrant les éléments financiers et économiques.

[pic 3]

La mise en œuvre d’un système de la gestion de la sécurité doit permette par l’implantation des concepts précédents de sécurité et de conformité de s’assurer que :

• l’entreprise possède effectivement la structure, la ou les politiques ainsi que les bonnes pratiques nécessaires et conformes aux respects des exigences de cette gouvernance
• l’architecture sécuritaire dans son ensemble garantisse disponibilité, intégrité et confidentialité
• en cas d’interruption de service  les plans de secours et de reprise voire de continuité de l’activité permettent le retour à la normale en un temps minimum et sans incidence notable

Il en ressort trois grands concepts : conformité, sécurité, continuité :

• La sécurité

Cette notion recouvre les technologies et pratiques permettant la  garantie de confidentialité, disponibilité et intégrité des données et services.

• La conformité

La gouvernance doit correspondre à la structure et aux politiques établis. Elle a tout intérêt à s’appuyer sur des modèles existants ayant fait leurs preuves comme la norme ISO 27001.

...