Sécurité des Systèmes d'Informations

1) Elaboration d’un plan de sécurité :
Les phénomènes du sinistre informatique
- Le risque informatique, caractéristiques, typologie, les conséquences possibles ; les chiffres clés actuels.
- Les nouveaux risques, les nouvelles pratiques de guerre économique,
- La sécurité informatique, les risques sur l’Internet, virus, spam, firewall, etc.
- La classification des risques, des causes (CAID) et des conséquences (I, P, G).
- Sinistres majeurs : Exemple de conséquences et leçons à tirer d’accidents naturels ou cas de force majeure, d’erreurs de programmation, d’exploitation, d’organisation, de malveillance interne et externe, etc. :
- comment différencier les risques majeurs des risques courants.
L’analyse de risque
- Politiques de sécurité : structures, formation, plan de sécurité, directives, classification des informations, contrôles, analyse des incidents.
- Les différentes méthodes (Marion, Mehari, etc.), leurs mises en oeuvre de manière simple et réaliste ;
- Analyse des vulnérabilités : audit, graphiques ; analyse des menaces. Techniques d’analyse des
scénarios, évaluation de l’impact, élaboration du plan : mesures ajustées, budgets, planning, suivi.
- Le plan d’action : la conception d’un plan d’action réaliste, son suivi, la mise en place d’une logique
de veille et d’amélioration.
- L’analyse de risque : les attentes de la DG, la position de la DSI, le rôle du RSSI et des consultants.
Comment tirer profit de la dynamique de l’analyse de risque. Les points clés du pilotage d’une analyse de risque, les pièges de la présentation.
- L’analyse de risque dans le cas des grands groupes, l’induction du risque, la consolidation multi niveau. Comment rester pragmatique et mener simplement une étude sur plusieurs sites en même
temps.

2) Manager la sécurité :
Définition des structures et des missions
- Le RSSI dans l’entreprise : missions, profils, rattachement, etc. Différentes approches possibles, avantages et inconvénients. Les clés pour la survie du RSSI dans un contexte tendu. Comment porter la sécurité “juste nécessaire”.
- La fonction sécurité : sa taille, sa distribution. Les outils nécessaires pour bien assurer les missions.
- Établir le budget de fonctionnement d’une équipe sécurité.
- L’engagement de moyens et l’obligation de résultat. Les points clés de l’excellence de la fonction sécurité.
- Les tableaux de bord de la sécurité : identifier les indicateurs efficaces, comment les contrôler, le suivi périodique de la sécurité.

Conseils pour la fonction sécurité
- Les pièges de la fonction sécurité ; inventaire des erreurs à ne pas commettre.
- Comment mobiliser les utilisateurs autour de règles simples. Comment les impliquer.
- Comment rebondir sur les incidents. Que faire en cas de malveillance interne. Le départ d’un collaborateur.
- Comment intégrer la sécurité dès la conception des Systèmes d’Information.
La communication et la formation
- Communiquer sur la fonction sécurité : comment en parler, vendre la sécurité, la faire vendre.
- La construction des messages sécurité. L’utilisation des supports internes, les pièges à éviter.
- L’élaboration d’un plan de formation pour les utilisateurs et les informaticiens. La formation des nouveaux entrants. La sensibilisation des personnels temporaires et des stagiaires.

3) Les bonnes pratiques, la qualité et la politique sécurité :
L’élaboration d’un référentiel de règles de sécurité
- Construire et rédiger recueil de l’ensemble des procédures cohérentes et efficaces.
- Comment impliquer les utilisateurs dans l’élaboration et la mise en oeuvre des modes opératoires.
Qualité des SI et sécurité
- Comment adapter les outils de la qualité à une politique sécurité pérenne. Mettre en place des outils
de signalisation et de remontée d’anomalies. Le Plan d’action qualité et sécurité : un outil pour gouverner le contrôle des risques courants.
- Les normes ISO 9000 et la sécurité des SI : les prolongements possibles et les pièges de l’extension.
Comment contribuer au système qualité sans compromettre les actions urgentes.
L’élaboration d’une politique sécurité
- Définition, objectifs, contraintes ; comment faire une politique de sécurité lisible et efficace.
Arbitrage des contenus : méthode de travail, comment faire vivre la sécurité, susciter l’adhésion.
- Détermination du contenu de la politique sécurité : approche par niveaux.
- Le social engineering : définitions et limites.
- Les bénéfices d’une politique sécurité, effet de levier. Liaison avec les aspects normatifs et réglementaires.

4) La continuité d’activité :
L’entreprise et les situations d’urgence
- Les principales situations d’urgence.
- Comment élaborer un plan de secours informatique. Les limites de l’exercice, les erreurs classiques.
Comment aborder la question du fonctionnement global de l’entreprise.
- La gestion de l’imprévu, les méthodes de prise en charge des situations d’urgence.
- La problématique de la continuité d’activité ; le plan de continuité d’entreprise : la continuité des ressources. La logique des clients et des fournisseurs.
La sécurité physique
- Maîtrise de l’environnement : bâtiments et infrastructures, la sécurité des installations.
- Que faire en cas d’indisponibilité des installations, comment organiser le repli des activités.
- la protection des bâtiments : contrôle d’accès physique, sécurité incendie et dégâts des eaux, gestion des alarmes.
La conduite des situations de crise
- Organiser la gestion de crise : les rôles, le déclenchement, la communication, le PC de crise.
- La salle de crise, son fonctionnement, quels bénéfices en attendre.
- Le déroulement de la crise, la logistique, la prise de décision, les principales étapes, les outils.

5) Les aspects normatifs et la réglementation :
Les normes et la politique sécurité
- La politique sécurité et la corporate governance : comment la mettre en oeuvre efficacement.
Exemples de politiques sécurités selon le secteur d’activité.
- Les normalisations internationales (ISO 17799) et les normalisations spécifiques : Bale II, Sarbanes-
Oxley (SOX), les Nouvelles Régulations Économiques. Comment tirer profit des normes en
préservant simplicité et pragmatisme. Les pièges de la normalisation.
Les aspects légaux et réglementaires
- La problématique du droit appliqué aux SI : les objectifs de la protection. Les points sensibles de droit civil et de droit pénal en France.
- La protection des personnes, les obligations de sécurité des données, le droit des salariés et la “cyber surveillance”. Conseils pratiques pour trouver le bon équilibre vis-à-vis des salariés.
- La protection des biens immatériels.
- La protection des données et des systèmes.
- La protection des informations et des échanges.

6) Les aspects d’assurance :
L’assurance
- Les conditions d’assurance : la situation actuelle, les tendances.
- L’analyse des risques et la liaison sécurité-assurance.
- Les conditions de garanties et leurs exclusions.
- Comment bien gérer la relation assureur/ assuré, en situation normale, sur sinistre, en situation exceptionnelle.
- Étude de cas concrets de transfert de risque vers l’assurance : les limites du modèle en cas de crise importante.
Les garanties
- Les garanties d’assurance matérielles et immatérielles disponibles sur le marché : TRI, ERI, PE, globale informatique, spécifique détournement, RC, bonne fin de projet, homme clé, back-up, hébergement, etc.
- Le financement alternatif des risques : mise en place d’une captive. La mutualisation des risques, avantages et inconvénients.
- Le financement alternatif des risques : captive, mutualisation, etc.