SECURITE DES SYSTEMES D’INFORMATION

Code: SECU10

Durée: 3 jours

Objectifs: Présenter l’ensemble des actions et des solutions permettant de garantir la sécurité des systèmes d’information : de l’analyse des risques, à la mise en œuvre optimale de solutions de sécurité. Il développe aussi les thèmes assurantiels et juridiques intimement liés à l’application d’une politique de sécurité.

Public: Ingénieurs prenant les fonctions de RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants Sécurité, chefs de projets intégrant des contraintes de sécurité.

Pré-requis: Aucune connaissance particulière.

INTRODUCTION

  • La notion de risque (potentialité, impact, gravité).
  • Les types de risques (accident, erreur, malveillance).
  • La classification DIC.
  • La gestion du risque (prévention, protection, report de risque, externalisation).

RSSI : CHEF D’ORCHESTRE DE LA SECURITE

  • Quel est le rôle du RSSI ?
  • Vers une organisation de la sécurité, le rôle des  » Assets Owners « 
  • Gestion optimale des moyens et des ressources allouées.
  • Le Risk Manager dans l’entreprise ; son rôle par rapport au RSSI.

LES CADRES NORMATIFS ET REGLEMENTAIRES

  • Les réglementations SOX, COSO, COBIT. Pour qui ?
  • Vers la gouvernance informatique, les liens avec ITIL et CMMI.
  • La norme ISO dans une démarche Systèmes de management.
  • Les liens avec ISO 15408 (Critères communs, ITSEC, TCSEC).
  • La certification ISO 27001.

L’ANALYSE DE RISQUE

  • Identification et classification des risques.
  • Risques opérationnels, physiques/logiques.
  • Comment constituer sa propre base de connaissances menaces/vulnérabilités ?
  • Les méthodes en activité : EBIOS/FEROS, MEHARI.
  • La démarche d’analyse de risques dans le cadre 27001, l’approche PDCA.
  • La méthode universelle ISO 27005 ? les évolutions des méthodes françaises.
  • De l’appréciation au plan de traitement des risques : ce qu’il faut faire.

LES AUDITS DE SECURITE

  • Processus continu et complet.
  • Les catégories d’audits, de l’audit organisationnel au test d’intrusion.
  • Les bonnes pratiques de la norme 19011 appliquées à la sécurité
  • Comment créer son programme d’audit interne, qualifier ses auditeurs ?
  • Apports comparés, démarche récursive, les implications humaines.

PLAN DE SENSIBILISATION ET DE COMMUNICATION

  • Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?
  • Définition Morale/Déontologie/Ethique.
  • La charte de sécurité, son existence légale, son contenu, sa validation.

LE COUT DE LA SECURITE

  • Les budgets sécurité.
  • La définition du Return On Security Investment (ROSI).
  • Les techniques d’évaluation des coûts/ différences de calcul/au TCO.
  • La notion anglo-saxonne du  » payback period « .

PLANS DE SECOURS

  • Définitions. Couverture des risques et stratégie de continuité. Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO…
  • Développer un plan de continuité, l’insérer dans une démarche qualité.

CONCEVOIR DES SOLUTIONS OPTIMALES

  • Démarche de sélection des solutions de sécurisation adaptées pour chaque action.
  • Définition d’une architecture cible.
  • La norme ISO 1540 comme critère de choix.
  • Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.
  • Comment déployer un projet PKI, les pièges à éviter.
  • Les techniques d’authentification, vers des projets SSO, fédération d’identité.
  • La démarche sécurité dans les projets informatiques, le cycle PDCA idéal.

SUPERVISION DE LA SECURITE

  • Gestion des risques (constats, certitudes…).
  • Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA.
  • Externalisation : intérêts et limites.
  • Les principes juridiques applicables au SI
  • Les bases du droit : comment s’applique une loi ? De la règle de droit à la décision de justice.
  • La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
  • La responsabilité pénale.

LES ATTEINTES JURIDIQUES AU STAD

  • Rappel définition du Système de Traitement Automatique des Données (STAD).
  • Types d’atteintes, contexte européen, la loi LCEN.
  • Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?

RECOMMANDATIONS POUR UNE SECURISATION  » LEGALE  » DU SI

  • La protection des données à caractère personnel, sanctions prévues en cas de non-respect.
  • De l’usage de la biométrie en France.
  • La cyber surveillance des salaries : limites et contraintes légales.
  • Le droit des salariés et les sanctions encourues par l’employeur.