Politique de Sécurité [PDF]

Zitiervorschau

Politique de sécurité INFOTEL Department d’informatique et de télécommunication

May 6, 2021

Plan

1

Introduction Definition

2

Propriétés d’une politique de sécurité

3

Méthodes et normes de définition d’une politique de sécurité Méthodes de définition d’une politique de sécurité Normes de definition d’une politique de sécurité

4

Bibliographie

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

2 / 14

Introduction

Definition Une politique de sécurité informatique est un plan d’actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l’organisme en matière de sécurité informatique. Un tel document doit nécessairement être conduit comme un véritable projet associant des représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu’il soit accepté par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum d’impact.

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

3 / 14

Introduction

Figure: Image représentant les objectifs d’une politique de sécurité

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

4 / 14

Introduction

L’objectif d’une politique de sécurité protéger le SI contres les menaces identifiées par l’analyse des risques plus précisement: 1

les objectifs de sécurité décrivant les propriétés de: (Confidentialité, intégrité, disponibilité)

2

l’état du système où ces propriétés sont vérifiées.

3

des règles de sécurité décrivant les moyens de modifier l’état de sécurité du système.

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

5 / 14

Definition

les politiques de sécurité peuvent être classées en 3 catégories : les politiques de sécurité interne les politiques de sécurité technique les politiques de sécurité système

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

6 / 14

Definition

Les politiques de sécurité interne concerne l’aspect organisationnel. Il s’agit entre autres de: répartition des tâches et resposabilités entre utilisateurs limitation du cumul de pouvoir séparation du pouvoir dans une organisation Les politiques de sécurité technique concerne le matériel et le logiciel. Nous pouvons citer: le vol l’incendie une catastrophe naturelle

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

7 / 14

Definition

Les politiques de sécurité système spécifie l’ensemble des lois, des règlements qui régissent la façon de: Gérer Protéger Diffuser les informations et les autres ressources sensibles au sein du SI.

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

8 / 14

Propriétés d’une politique de sécurité

Le rôle de la politique est de codifier les principes directeurs, de façonner le comportement, de fournir des conseils aux décideurs et de servir de feuille de route pour la mise en œuvre. Une politique de sécurité de l’information est une directive qui définit comment une organisation va protéger ses actifs et ses systèmes d’information, assurer la conformité aux exigences légales et réglementaires et maintenir un environnement qui soutient les principes directeurs.

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

9 / 14

Propriétés d’une politique de sécurité

L’objectif d’une politique de sécurité de l’information et du programme correspondant est de : Protéger l’organisation, ses employés, ses clients, ainsi que ses vendeurs et partenaires, contre les dommages résultant d’une détérioration, d’une mauvaise utilisation ou d’une divulgation intentionnelle ou accidentelle des informations ; Protéger l’intégrité de l’information ; Assurer la disponibilité du système d’information ;

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

10 / 14

Propriétés d’une politique de sécurité

Les bonnes politiques de sécurité de l’information établissent ce qui doit être f Approuvée: La politique bénéficie du soutien de la direction. Pertinent: La politique est applicable à l’organisation. Réaliste: La politique a du sens. Réalisable: La politique peut être mise en œuvre avec succès. Adaptable: La politique peut s’adapter au changement. Applicable: La politique est légale. Inclusif: Le champ d’application de la politique inclut toutes les parties concernées.

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

11 / 14

Méthodes de définition d’une politique de sécurité

Il existe de nombreuses méthodes permettant de mettre au point une politique

Méthodes 1

MARION (Méthodologie d’Analyse de Risques Informatiques Orientée par Niveaux), mise au point par le CLUSIF ;

2

MEHARI (MEthode Harmonisée d’Analyse de RIsques) ;

3

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise au point par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) ;

4

La norme ISO 17799.

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

12 / 14

Normes de definition d’une politique de sécurité

Les normes pouvant servir de guide et de référence dans l’élaboration d’une politique de sécurité sont entre autres: 1

La norme ISO 17799:2005 indique quoi protéger;

2

La norme ISO 27001:2005 indique comment assurer la sécurité de l’information;

3

La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir et améliorer le système de gestion de la sécurité de l’information (SGSI);

4

Suite ISO/CEI 27000: Système de management de la sécurité de l’information (SMSI)

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

13 / 14

Bibliographie

https://www.tylercybersecurity.com/blog/seven-characteristi

http://www.mcours.net/cours/pdf/info/cours_politique_de_sec

INFOTEL (Department d’informatique et de télécommunication) Politique de sécurité

May 6, 2021

14 / 14