Sécurité Informatique. Sécurité des Systèmes d'Information

Introduction

- les risques (potentialité, impact, gravité).
- Les types de risques (accidents, erreurs, malveillance).
- Les conséquences (directes et indirectes, financières ou non).
- La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
- La gestion du risque (prévention, protection, report de risque, externalisation).
- Présentation et synthèse des dernières enquêtes et publication sur la situation de la gestion du risque informatique.
- Analyse de la sinistralité, évolutions et tendances observées, nouveaux enjeux.

RSSI : chef d’orchestre de la sécurité

- Rôle du RSSI: responsabilités, gestion optimale des moyens et des ressources allouées. (Risk Manager)

Les cadres normatifs et réglementaires
- Loi informatique et liberté, CNIL
- Les contraintes associées, la mise en conformité réglementaire.
- Système de Gestion de la Sécurité des Systèmes (ISMS).
- La certification ISO 27001, méthodologie, étapes incontournables.

L’analyse de risque

- Identification et classification des risques.
- Risques opérationnels, physiques/logiques.
- Les conséquences du risque (financier, juridique, humain…).
- Comment maîtriser le risques ?
- Maîtrise interne ou transfert vers un tiers (externalisation, assurance).
- Assurabilité d’un risque, calcul financier du transfert à l’assurance.
- Les risques couverts/non couverts par l’assurance.
- Les rôles complémentaires du RSSI et du Risk Manager/DAF.

Les audits de sécurité

- Processus continu et complet. Quelles sont les étapes ? Quelles sont les priorités ?
- Les catégories d’audits, de l’audit organisationnel au test d’intrusion.
- Les objectifs d’évaluation du risque à atteindre.
- L’audit organisationnel : la démarche, les méthodes les plus utilisées.
- L’histoire MELISSA, MARION.
- Les méthodes EBIOS/FEROS, MEHARI, exemples pratiques.
- Comment choisir une méthode ? Etre ou ne pas être « ISO Spirit » ?
- L’audit externe, comment choisir son auditeur ?
- Les tests de vulnérabilités/tests intrusion.
- Apports comparés, démarche récursive, les implications humaines.

Plan de sensibilisation et de communication

- Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?
- Définition Morale/Déontologie/Ethique.
- Le rôle du déontologue, les principales règles de déontologie.
- Les outils de sensibilisation, de l’information à la formation.
- La charte de sécurité, son existence légale, son contenu, sa validation.
- Les types de formation, de la sensibilisation à la connaissance des enjeux techniques.
- Sensibilisation à l’utilisation ou vision technologique : pour qui ?

Le coût de la sécurité

- Les budgets sécurité, leur allocation, quelques chiffres repères.
- La notion de coûts non récurrent/récurrent, tangible/non tangible.
- Comment calculer un retour sur investissement en sécurité ?
- La définition du Return On Security Investment (ROSI).
- Les techniques d’évaluation des coûts/différences de calcul/au TCO.
- La notion anglo-saxonne du « payback period ».
- Quelles méthodes de calcul choisir en fonction du contexte ciblé ?
- Les critères pour calculer, calcul du montant de pertes prévisibles, contraintes réglementaires…
- Exemples pratiques et comparaison avantages/inconvénients de chaque méthode.

Plans de secours

- Définitions. Couverture des risques et stratégie de continuité. Incidents mineurs, majeurs, sinistres et arrêts d’activités commerciales et de production. Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO…
- Etudes de contexte. Enjeux et cartographie des métiers. Expression des besoins de continuité et inventaire des ressources critiques. Analyse des menaces et aptitudes à la continuité.
- Comment identifier les ressources nécessaires à l’activité, définir une stratégie
- Développer un plan de continuité, l’insérer dans une démarche qualité.
- Les solutions techniques, les pièges à éviter.

Concevoir des solutions optimales

- Démarche de sélection des solutions de sécurisation adaptées pour chaque action.
- Définition d’une architecture cible, segmentation du marché.
- La norme ISO 1540 comme critère de choix, les niveaux d’assurance EAL.
- Choix des pare-feu, les mandataires applicatifs (proxy/proxy inverse).
- Choisir entre IDS et IPS, le contrôle de contenu comme nécessité.
- Protéger et certifier l’information, les algorithmes à utiliser, à éviter.
- Comment déployer un projet PKI, les pièges à éviter.
- Les techniques d’authentification, vers des projets SSO, fédération d’identité.
- La sécurité des nouvelles technologies, les enjeux de la nomadisation.
- La démarche sécurité dans les projets informatiques, le cycle PDCA idéal.
- Définition des mesures de sécurité à intégrer dans les applications.
- Gestion de projet et obtention d’un environnement de développement sécurisé.

Supervision de la sécurité

- Gestion des risques (constats, certitudes, fenêtre d’exposition aux risques du SI).
- Comment protéger, détecter et agir ?
- Principes de supervision active. Supervision (corrélation et centralisation des événements, analyse et réaction, génération de rapport. veille technologique). Services additionnels (tests de vulnérabilité, contrôle d’intégrité, qualité de service des réseaux et des applications).
- Indicateurs et tableaux de bord clés, vers une démarche ISO et PDCA.
- Veille technologique, gestion des logs et archivage.
- Externalisation : intérêts et limites.
- Que faire en cas d’attaques ? Prévenir les CERT, porter plainte, contacter les organismes d’enquêtes de l’Etat français (DST, OCLCTIC…).

Les principes juridiques applicables au SI

- Les bases du droit : comment s’applique une loi ? De la règle de droit à la décision de justice.
- Entre jurisprudence et constitution : les hiérarchies des règles de droit.
- La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
- La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions.

Les atteintes juridiques au STAD

- Rappel définition du Système de Traitement Automatique des Données (STAD).
- Types d’atteintes, contexte européen, la loi LCEN, les responsabilités des fournisseurs d’accès.
- Caractérisation de l’accès frauduleux, l’altération et l’entrave, l’intention de nuire…
- L’application du nouveau régime légal, les peines prévues, les amendes.
- Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?

Recommandations pour une sécurisation « légale » du SI

- La protection des données à caractère personnel, sanctions prévues en cas de non-respect.
- De l’usage de la biométrie en France.
- Le secret des correspondances, de nombreux exemples jugés en France.
- La cyber surveillance des salaries : limites et contraintes légales.
- Le droit des salariés et les sanctions encourues par l’employeur.
- Comment mettre en œuvre une cyber surveillance juridiquement efficace ?
- La preuve informatique, preuve licite/illicite, le cadre de la loi LCEN.
- La cryptologie, les contraintes de la LCEN.
- Entre fourniture et utilisation de moyens de cryptologie : restez dans le cadre légal.
- Où trouver les bons conseils, un accompagnement juridique est-il indispensable ?