La sécurité

La conception des services

Comment gérer la sécurité de manière cohérente ?

Les bonnes pratiques

Introduction

Objectifs

Mettre en cohérence la sécurité IT avec la sécurité métier et gérer la sécurité des informations dans tous les services et activités de gestion des services

Définitions

Gérer la disponibilité

Rendre disponible les informations et mettre en oeuvre les systèmes permettant de maintenir cette disponibilité

Gérer la confidentialité

Rendre disponible les informations conformément à la politique d’accès (autorisations prévues et adéquates)

Gérer l’intégrité

Assurer que les informations sont complètes et protégées des modifications non autorisées

Gérer l’auditabilité

Toutes les opérations concernant les informations sont sécurisées et traçées

Cadre et politique

Cadre

Le cadre de la gestion de la sécurité de l’information repose sur :

  • Une politique de sécurité (stratégie, contrôle et règlements)
  • Le système de gestion de la sécurité de l’information (ISMS)
    • Normes et standards (ISO27001,…)
    • Procédures de gestion
    • Directives
  • Les contrôles de sécurité (audits)
  • La gestion des risques
  • Le suivi des processus
  • La gestion de la communication, de la formation (plan) et de la sensibilisation

La politique est…

  • promue par le fournisseur et le client
  • communiquée à l’ensemble des clients et utilisateurs
  • référencée dans les SLR, SLA et contrats
  • concernée par :
    • la bonne utilisation
    • les accès et habilitations
    • la gestion de la messagerie et de l’internet
    • les antivirus
    • la classification des informations
    • la gestion des biens

Activités

Planifier

  • Les accords de niveaux de services (SLA), définir le niveau de protection
  • Les contrats cadres
  • Les accords de niveaux opérationnels (OLA)
  • Les éléments de politique

Mettre en oeuvre

  • Développer la culture sécurité
  • La classification et l’enregistrement
  • La sécurité des personnes et des biens
  • La sécurité des réseaux, des applications et des postes de travail
  • La gestion des droits d’accès
  • Les procédures de gestion des incidents de sécurité

Evaluer

  • Faire des audits internes et externes
  • Pratiquer l’auto-évaluation, évaluation et analyse des risques
  • Les incidents de sécurité et les suivre
  • Vérifier les niveaux de disponibilité, d’intégrité, de confidentialité, d’auditabilité

Maintenir

  • La politique de formation
  • L’amélioration continue
  • Les plans, revoir les procédures
  • La capacité de mise en oeuvre

Piloter

  • L’organisation
  • La mise en place de cadres, communiquer sur la politique
  • L’affectation des responsabilités

Sécurité physique et sécurité logique

La sécurité de l’information repose sur deux aspects indissociables : physique et logique. En effet, la sécurité logique garantie notamment l’intégrité et la confidentialité, par exemple à l’aide de la cryptographie ou des mécanismes d’authentification, tandis que la sécurité physique protège l’accès physique aux équipements ou aux supports de l’information.

A quoi sert de sécuriser les accès aux données en production si les médias de sauvegarde sont entreposer en des lieux où l’accès n’est pas contrôlé ?

Voir la gestion de la sécurité avec Cobit

^