Semaine Nationale de la Qualité (SENAQ 2013)(Forum –débat qualité)

Le Management de la Sécurité des Systèmes d’Information: L’Apport de la Norme ISO 27001

Par:

Pr. Alain NDEDI

Le Management de la Sécurité des Systèmes d’Information: L’Apport de la Norme ISO 27001

Par:

Pr. Alain NDEDI

1.LES DANGERS ET LES RISQUES LIES A LA MISE EN PLACE DES SYSTEMES D’INFORMATION

2. LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001

3. LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE CONTRE LES RISQUES ET MENACES

1.LES DANGERS ET LES RISQUES LIES A LA MISE EN PLACE DES SYSTEMES D’INFORMATION

2. LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001

3. LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE CONTRE LES RISQUES ET MENACES

Pr Alain NdediProfesseur en Organisation, Entreprenariat et Stratégie des

UniversitésCourriel: ndedi.alain@gmail.com -Tel: 237 2282 3294

ANIMATEURANIMATEUR

INTRODUCTION

Des organisations collectent, traitent, stockent ettransmettent des informations reconnaissent que ces informations et les processus associés, les systèmes, les réseaux et les gens sont des actifs importants pour la réalisation des objectifs de l'organisation. Toutes les informations détenues et traitées alors sont exposées à des menaces d'attaque, d'erreur, d'événement naturel (inondation ou incendie), et sont exposées à des vulnérabilités inhérentes à leur utilisation. Ces menaces sont appelées risques.

The thrust of this presentation is about:

1)Risks and threats related to the implementation of the Information Management System within organisations,2) The ISO 27 001, and3) The contribution of ISO 27 001 regarding the management of the above mentioned risks and threats during the implementation of the information management system…

Définition du risque

Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité. Le risque est défini comme l’éventualité d'un événement futur, incertain, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage.

Définition du risque

Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité. Le risque est défini comme l’éventualité d'un événement futur, incertain, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage.

Risques humains

Les risques humains concernent les utilisateurs•La maladresse…des erreurs.•L'inconscience et l'ignorance……de nombreux utilisateurs d'outils

informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent.

•La malveillance : virus et de vers. •L’ingénierie sociale est une méthode pour obtenir d'une personne des

informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins.

•L’espionnage et le détournement de mot de passe:

Risques humains

Les risques humains concernent les utilisateurs•La maladresse…des erreurs.•L'inconscience et l'ignorance……de nombreux utilisateurs d'outils

informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent.

•La malveillance : virus et de vers. •L’ingénierie sociale est une méthode pour obtenir d'une personne des

informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins.

•L’espionnage et le détournement de mot de passe:

Risques techniques

Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels.

•Incidents liés au matériel….• Incidents liés au logiciel…ils sont de très loin les plus

fréquents •Incidents liés à l'environnement…dus aux variations de

température ou d'humidité

Risques techniques

Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels.

•Incidents liés au matériel….• Incidents liés au logiciel…ils sont de très loin les plus

fréquents •Incidents liés à l'environnement…dus aux variations de

température ou d'humidité

Risques juridiques

L'ouverture des applications informatiques par le web et la multiplication des messages électroniques augmentent les risques juridiques liés à l'usage des technologies de l’information.

On peut citer notamment:

•Le non-respect de la législation relative à la signature numérique •Les risques concernant la protection du patrimoine informationnel;•Le non-respect de la législation relative à la vie privée et au droit de la preuve

Risques juridiques

L'ouverture des applications informatiques par le web et la multiplication des messages électroniques augmentent les risques juridiques liés à l'usage des technologies de l’information.

On peut citer notamment:

•Le non-respect de la législation relative à la signature numérique •Les risques concernant la protection du patrimoine informationnel;•Le non-respect de la législation relative à la vie privée et au droit de la preuve

Gestion des risques La gestion des risques vise à:

•Identifier et anticiper les évènements, actions ou inactions susceptibles d’impacter la mise en œuvre de la stratégie dans un horizon donné,

•Définir les options de traitements et s’assurer qu’une option optimale est choisie, mettre en œuvre cette option et

•Contrôler l’efficacité de la solution retenue par rapport aux attentes.

Gestion des risques La gestion des risques vise à:

•Identifier et anticiper les évènements, actions ou inactions susceptibles d’impacter la mise en œuvre de la stratégie dans un horizon donné,

•Définir les options de traitements et s’assurer qu’une option optimale est choisie, mettre en œuvre cette option et

•Contrôler l’efficacité de la solution retenue par rapport aux attentes.

LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001

LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001

Norme ISO 27 001

La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini.

L’Apport de la Norme 27 001

La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères.

L’Apport de la Norme 27 001

La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels.

L’objectif est de protéger les informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion.

L’Apport de la Norme ISO 27 001

En définitive…..

L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer.

LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE

CONTRE LES RISQUES ET MENACES

LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE

CONTRE LES RISQUES ET MENACES

La norme ISO 27001 pose les bases du système de management de la sécurité de l’information.Adoptant une approche par processus, la norme met en lumière les meilleures pratiques de sécurité et surtout les organise dans le temps.la norme ISO 27001 décrit les exigences nécessaires à la mise en œuvre du Système de Management de la Sécurité de l’Information (SMSI).

Le SMSI est défini par l’ensemble des ressources mises en place pour organiser et gérer au quotidienla sécurité de l’information.

Il constitue donc un dispositif global de gouvernance de la sécurité de l’information. Il englobe l’ensemble des documents définissant les règles et processus de sécurité, l’organisation associée ainsi que les infrastructures techniques de sécurité.

Le corps de la norme ISO 27001 est consacré à la création et au maintien du SMSI.

La norme ISO 27001 propose d’intégrer ces éléments comme des fondements incontournables de la démarche sécurité:

1) Des processus de sécurité bien identifiés et formalisés (analyse de risques, gestion des incidents, sensibilisation, ….2) Le contrôle systématique des éléments mis en œuvre via le SMSI.3) La gestion efficiente de la documentation (création et mises à jour).4) La gestion stricte des enregistrements pour permettre le contrôle des mesures de sécurité mises en place (traces de tous les accès à un local sécurisé).

La norme ISO 27001 impose la conduite d’une…

1)analyse de risques puis 2) la définition d’un plan de traitement de ces risques dont l’application est

strictement contrôlée.

CONCLUSION

Par rapport aux démarches actuelles de sécurité, la norme ISO 27001 a des apports indéniables.

Comment valoriser ces apports ?

Et jusqu’où aller dans son application ?

L’ISO 27001 propose des principes pertinents qui amènent un plus réel aux démarches d’amélioration de la sécurité. • Une meilleure maîtrise des risques qui pèsent réellement sur les activités de l’entreprise.• La garantie de mieux dimensionner le budget sécurité et surtout de l’affecter aux mesures les plus pertinentes.• Une association plus systématique des acteurs métiers et du management aux décisions, et • Donc une meilleure acceptation des contraintes amenées par les mesures de sécurité.• Un pilotage plus efficace du traitement des risques.• La facilitation d’autres démarches liées à la sécurité de l’information,

Programmes malveillantsUn logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants :

•Le virus : programme se dupliquant sur d'autres ordinateurs ;•Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ;•Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ;•Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur ;•La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système informatique, à distance ;•Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ;•L'enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier ;•Le rootkit : ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans les journaux système.

Programmes malveillantsUn logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants :

•Le virus : programme se dupliquant sur d'autres ordinateurs ;•Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ;•Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ;•Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur ;•La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système informatique, à distance ;•Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ;•L'enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier ;•Le rootkit : ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans les journaux système.

Techniques d'attaque par messagerie

En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci :•Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires•L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles•Le canular informatique (hoax en anglais) : un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).

Techniques d'attaque par messagerie

En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci :•Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires•L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles•Le canular informatique (hoax en anglais) : un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).

Thank you

Siyabonga

Mi Nasom

Merci