Scribd Logo
Importer

Bienvenue sur Scribd !

  • 94 vues

    6 - Politique

    Transféré par

    Yasmine Chihab

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    6 - Politique

    Transféré par

    Yasmine Chihab
    94 vues23 pages

    Titre original

    6 - politique

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    94 vues23 pages

    6 - Politique

    Transféré par

    Yasmine Chihab

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 23

    Méthodologie de la

    sécurité informatique
    (Politique de sécurité informatique)

    université d’Alger 1 -
    Benyoucef Benkhedda
    Introduction:

    Sécuriser un tel système signifie:


     Evaluer les risques et leur criticite (cartographie des risques)

     Les choix de securite Etape difficile

     Mettre en œuvre les protections, et verifier leur efficacite.

    “Tout est basé sur la DÈCISION”

    2
    Politique de sécurité de système d’information
    (PSSI):
    Un plan d'actions definies pour maintenir un certain niveau de
    securite.

    L'ensemble des orientations suivies par une entite en termes de


    securite.

    Elle reflete la vision strategique de la direction de l'organisme en


    matiere de securite des systemes d'information .

    3
    Politique de sécurité de système d’information
    (PSSI):
    La politique de securite des systemes d'information est intrinsequement
    liee à la securite de l'information.

    Ne se limite pas à la securite informatique.

    Elle est generalement organisee autour de 3 axes majeurs:


     physique des installations,
     la securite logique du systeme d'information
     la sensibilisation des utilisateurs aux contraintes de securite.

    Elle constitue alors un veritable outil de communication sur


    l'organisation et les responsabilites. 4
    méthodologie d’élaboration de PSSI:
    La démarche se base sur:
     Le référentiel de l’organisme :schema directeur, meilleures pratiques,
    directives internes...
     Une analyse des risques

    L’objectif de la methode consiste à construire un document de politique


    comprenant des éléments stratégiques et des regles de sécurité
    pour l’organisme étudié.

    Les regles de securite : definissent les moyens et les comportements


    definis dans le cadre de la PSSI.

    5
    méthodologie d’élaboration de PSSI:

    6
    PSSI (phase 0): préalables

    7
    PSSI (phase 0): tache 1 - Organisation du projet

    consiste à definir l'organisation du "projet PSSI" afin d'elaborer le cadre


    de realisation.

    Démarche:
     nommer un chef de projet.
     constituer un comite de pilotage.
     constituer un groupe d’experts.
     attribuer un budget.
     formaliser des objectifs detailles.
     etablir un calendrier.

    8
    PSSI (phase 0): tache 2 - Constitution du
    référentiel

    Identifier le referentiel documentaire de l'organisme.

    Démarche sert à construir:


     Aspects legaux et reglementaires.
     Grands principes d'ethique.
     Le referentiel de securite interne.
     Obligations contractuelles engage par l’organisme vis à vis de ses clients ou
    partenaires specifiques.

    9
    PSSI (phase 1): élaboration des éléments
    stratégiques

    10
    PSSI (phase 1): tache 1 - Définition du périmetre

    Decrire les domaines d'activites à couvrir et à affiner le perimetre,


    notamment les echanges entre les domaines et l’exterieur du perimetre

    Démarche:
     lister l’ensemble des domaines d'activites jouant un role dans le systeme
     selectionner et decrire les domaines d'activites essentiels au fonctionnement de
    l'organisme.
     identifier ceux qui constituent le perimetre de la PSSI et ceux qui en sont exclus.

    11
    PSSI (phase 1): tache 2 - Détermination des
    enjeux et orientations stratégiques

    presenter les enjeux et orientations strategiques lies au perimetre de la


    PSSI.

    Démarche: prendre en compte


     la contribution du systeme d'information à la qualite du service rend
     la satisfaction des contraintes externes ;
     la rentabilite economique du projet ;
     les contraintes (techniques, financieres, d'environnement...) et exigences
    (techniques ou organisationnelles) de l'organisme et du systeme d'information.

    12
    PSSI (phase 1): tache 3 - Prise en compte des
    aspects légaux et réglementaires

    presenter l'ensemble du referentiel legal, reglementaire et contractuel


    applicable au perimetre de la PSSI.

    Demarche: il est necessaire de prendre en compte l'ensemble des


    elements issus majoritairement du referentiel identifie dans la phase
    prealable
     aspects legaux et reglementaires ;
     grands principes d'ethique ;
     obligations contractuelles ;
     obligations contractuelles des prestataires ou partenaires ayant un impact sur le
    perimetre de la PSSI.
    13
    PSSI (phase 1): tache 4 - Elaboration d'une
    échelle de besoins

    definir une echelle de mesure utile à l'expression des besoins de


    securite pour les domaines d'activites identifies.

    Démarche:
     selectionner les criteres de securite à prendre en compte
    (disponibilite, l'integrite et la confidentialite). par exemple: une echelle de
    confidentialité comme suit:

    14
    PSSI (phase 1): tache 5 - Expression des besoins
    de sécurité

    identifier de maniere generale les besoins de securite associes à


    chaque domaine d'activites

    Démarche: exploiter les résultats des étapes précédentes


     la liste des domaines d'activites (et eventuellement des fonctions et
    informations) definissant le perimetre de la PSSI.
     la liste des criteres de securite retenus .
     l'echelle de besoins (impacts et valeurs de reference).

    15
    PSSI (phase 1): tache 6 - Identification des
    origines des menaces

    identifier et caracteriser les origines des menaces qui pesent sur le


    perimetre de la PSSI.

    Demarche:Les methodes d'attaque retenues sont ainsi caracterisees :


     Les criteres de securite qui peuvent etre affectes sont identifies
     Les elements menacants qui pourraient les employer peuvent et etre
    caracterises par :
     un type.
     une cause.
     un potentiel d'attaque estime.

    16
    PSSI (phase 2): sélection des principes et
    rédaction des regles

    17
    PSSI (phase 2): tache 1 - Choix des principes de
    sécurité

    Sélectionner les principes de sécurité à utiliser.

    Démarche: un choix qui doit être effectuer sur la base de:


     le referentiel du systeme d’information
     la definition du perimetre de la PSSI
     la liste de besoins de securite identifies
     la liste des origines de menaces retenues.

    18
    PSSI (phase 2): tache 2 - Elaboration des regles
    de sécurité

    Instancier les principes retenues en règles de sécurité en se basant sur


    les éléments déclarés dans la note de cadrage et celle de la statégie.

    Démarche: découpage et affinage des principes afin de produire des


    règles qui doivent reflèter:
     la couverture des origines des menaces retenues.
     les criteres de securite (disponibilite, integrite, confidentialite...) que les origines
    de menaces concernees peuvent affecter.

    19
    PSSI (phase 2): tache 3 - Elaboration des notes de
    synthese

    consiste à synthétiser le travail déja établi afin de le valider et finaliser


    le document de la PPSI.

    Démarche: élaborer une note de synthèse justifiant les principes choisis ainsi que
    la déclinaison des règles.

     Généralement, la note de synthèse est élaborée par le groupe des experts à


    déstination du comité de pilotage qui, à son tours, aprés validation la propose à la
    direction générale.

    20
    PSSI (phase 3): finalisation

    Conduire une etape ultime de validation de la PSSI et du plan d’action


    associe par la direction generale.

    21
    PSSI (phase 3): tache 1 - Finalisation et validation
    de la PSSI

    Produire un document déscriptif de la PSSI et validé par l’hiérarchie

    Démarche: consiste à vérifier:


     la coherence des regles enoncees.
     l’exhaustivite de la couverture des risques juges comme significatifs.
     la traduction complete de l’ensemble des principes et regles, juges pertinents
    pour l’organisme et enonces dans le referentiel .
     l’applicabilite des exigences et regles en fonction des pratiques en vigueur au
    sein de l’organisme.

    22
    PSSI (phase 3): tache 2 - Elaboration et validation
    du plan d’action

    Assurer l’application de la politique sur le système étudié.

    Démarche: chaque responsable d’unité opérationnelle ainsi que le responsable


    de la sécurité doit construire un document déscriptif d’un plan d’action permettant
    de citer le actions prioritaires, par rapport à l’existant, à implémenter

     La priorité est fixée pour s’assurer la prise en compte des risques les plus
    significatifs.

     Le plan d’action sera soumis pour validation au comite de securite charge de la


    validation et de l’evolution de la politique.
    23

    Vous aimerez peut-être aussi