Protéger l'information de l'entreprise afin de maintenir le risque sur la sécurité de l'information à un niveau acceptable pour l'entreprise en accord avec la politique de sécurité. Déterminer et maintenir les rôles sur la sécurité de l'information, les droites d'accès et réaliser le suivi de la sécurité.
Minimiser l'impact sur les activités métiers des vulnérabilités et des incidents liés à la sécurité de l'information opérationnelle.
| Objectifs IT | Métriques associées |
|---|---|
| Garantir la conformité et le soutien de l'informatique au respect de la réglementation externe à l'entreprise |
|
| Gérer les risques financiers relatifs à l'informatique |
|
| Garantir la sécurité de l'information, de l'infrastructure et des applications |
|
| Objectifs du processus | Métriques associées |
|---|---|
| La sécurité des réseaux et des communications répond aux besoins métiers. |
|
| L'information traitée, stockée ou transmise par des terminaux est protégée. |
|
| Chaque utilisateur doit avoir sa propre identité et détenir des droits d’accès en fonction de son rôle. |
|
| Des mesures physiques ont été mises en place pour protéger l'information contre les accès non autorisés, les dommages et les interférences pendant son traitement, son stockage et sa transmission. |
|
| L'information électronique est correctement sécurisée au moment de son stockage, sa transmission et sa destruction. |
|
| DSS05.01 | DSS05.02 | DSS05.03 | DSS05.04 | DSS05.05 | DSS05.06 | DSS05.07 | |
|---|---|---|---|---|---|---|---|
| Conseil d'administration | |||||||
| Président Directeur Général | |||||||
| Directeur Financier | |||||||
| Directeur Opérationnel | I | ||||||
| Directeurs Métiers | |||||||
| Propriétaires de Processus Métiers | R | I | I | R | I | C | |
| Comité Stratégie | I | ||||||
| Comité de Pilotage (programmes/projets) | |||||||
| Coordinateur Projets (PMO) | |||||||
| gestion de la valeur | |||||||
| Risk Manager (RM) | C | C | C | C | C | I | I |
| Directeur de la Sécurité des SI (DSSI) | A | A | A | A | A | A | |
| Urbanisme | |||||||
| Comité risque de l'entreprise | |||||||
| Direction des Ressources Humaines (DRH) | R | I | |||||
| Conformité | C | C | C | C | C | C | C |
| Audit | C | C | C | C | C | C | C |
| Directeur du SI (DSI) | C | C | C | C | C | A | C |
| Responsable Architecture | I | I | I | I | I | I | |
| Responsable développement | R | R | R | C | C | C | |
| Responsable production informatique | R | R | R | R | R | R | R |
| Responsable de l'administration informatique | |||||||
| Gestionnaire de service | I | I | I | I | I | I | |
| Gestionnaire de la sécurité de l'information | R | R | R | R | R | R | |
| Gestionnaire de la continuité | I | I | |||||
| Directeur de la propriété | C | I |
| Code | Pratique de gouvernance |
|---|---|
| DSS05.01 | Se protéger contre les logiciels malveillants |
| Mettre en place et maintenir des mesures de prévention, de détection et de correction (en particulier les mises à jour des correctifs de sécurité et antivirus) dans toute l'entreprise pour protéger les systèmes d'information et les technologies des logiciels malveillants (exemple : virus, vers, logiciels espions, pourriel). |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Politique de prévention contre les logiciels malveillants | APO01.04 | ||
| Évaluations des menaces potentielles | APO12.02 / APO12.03 |
| Activités | |
|---|---|
| 1 | Sensibiliser le personnel à propos des logiciels malveillants et faire respecter les procédures de prévention et les responsabilités. |
| 2 | Installer et activer les outils de protection contre les logiciels malveillants sur toutes les installations de traitement et, au besoin, mettre à jour les fichiers de définition de logiciels malveillants (de façon automatique ou semi-automatique). |
| 3 | Distribuer tous les logiciels de protection de façon centralisée (version et correctifs) par le biais de la gestion centralisée de la configuration et du changement. |
| 4 | Examiner et évaluer régulièrement les renseignements sur de nouvelles menaces potentielles (par exemple : l'examen des avis de sécurité des produits et des services des fournisseurs). |
| 5 | Filtrer le trafic entrant, comme le courrier électronique et les téléchargements, dans le but de se protéger contre de l'information non sollicitée (par exemple : les logiciels espions, l'hameçonnage). |
| 6 | Dispenser une formation périodique sur les logiciels malveillants dans le courrier électronique et dans l'utilisation d'Internet. Former les utilisateurs à ne pas installer de logiciels partagés ou non approuvés. |
| Code | Pratique de gouvernance |
|---|---|
| DSS05.02 | Gérer la sécurité des réseaux et des canaux de communication |
| Utiliser des dispositions de sécurité et des procédures de gestion connexes pour protéger l'information qui transite par tous les canaux de communication |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Procédures de gestion de l’intégrité des données | APO01.06 | Politique de sécurité de la connectivité | APO01.04 |
| SLAs | APO09.03 | Résultats des tests d’intrusion | MEA02.08 |
| Activités | |
|---|---|
| 1 | En fonction des évaluations des risques et des besoins métiers, établir et maintenir une politique de sécurité de la connectivité. |
| 2 | Ne donner l'accès à l'information et au réseau d'entreprise qu’aux dispositifs autorisés. Configurer ces dispositifs de façon à obliger la saisie du mot de passe. |
| 3 | Mettre en oeuvre des mécanismes de filtrage réseau, comme des pare-feu et des logiciels de détection d'intrusion, avec des politiques appropriées pour contrôler le trafic entrant et sortant. |
| 4 | Chiffrer l'information en transit en fonction de sa classification. |
| 5 | Appliquer les protocoles de sécurité approuvés à la connectivité du réseau. |
| 6 | Configurer les équipements de réseau de façon sécurisée. |
| 7 | Etablir des mécanismes fiables pour maintenir la transmission et la réception sécurisées de l'information. |
| 8 | Effectuer des tests d’intrusion périodiques pour confirmer l’efficacité de la protection du réseau. |
| 9 | Effectuer un contrôle périodique de la sécurité du système pour confirmer l’efficacité de sa protection. |
| Code | Pratique de gouvernance |
|---|---|
| DSS05.03 | Gérer la sécurité des terminaux |
| S'assurer que les terminaux (exemple : ordinateur portable, ordinateur de bureau, serveur et autres appareils ou logiciels mobiles et de réseau) sont sécurisés à un niveau supérieur ou égal aux exigences de sécurité définies pour l'information traitée, stockée ou transmise |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Modèle d'architecture de l'information | APO03.02 | Politiques de sécurité en matière de dispositifs de terminaux | APO01.04 |
| OLAs | APO09.03 | ||
| SLAs | APO09.03 | ||
| Résultats de la vérification de l’inventaire physique | BAI09.01 | ||
| Rapports de faille de sécurité | DSS06.06 |
| Activités | |
|---|---|
| 1 | Configurer les systèmes d'exploitation de manière sécurisée. |
| 2 | Mettre en oeuvre des mécanismes de verrouillage des appareils. |
| 3 | Chiffrer l'information stockée en fonction de sa classification. |
| 4 | Gérer l'accès et le contrôle à distance. |
| 5 | Gérer la configuration du réseau de manière sécurisée. |
| 6 | Mettre en oeuvre le filtrage du trafic réseau sur les terminaux. |
| 7 | Protéger l'intégrité du système. |
| 8 | Assurer la protection physique des terminaux. |
| 9 | Supprimer les terminaux en toute sécurité. |
| Code | Pratique de gouvernance |
|---|---|
| DSS05.04 | Gérer l’identité de l'utilisateur et l'accès logique |
| S'assurer que tous les utilisateurs disposent de droits d'accès à l'information en fonction de leurs besoins métiers, en coordination avec les unités métiers qui gèrent leurs propres droits d'accès dans les processus métiers |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Définition des rôles et des responsabilités liés à l'informatique | APO01.02 | Droits d'accès des utilisateurs autorisés | interne |
| Modèle d'architecture de l'information | APO03.02 | Résultats des revues des comptes et des privilèges des utilisateurs | interne |
| Activités | |
|---|---|
| 1 | Maintenir les droits d'accès des utilisateurs conformément à la fonction métier et aux exigences des processus. Aligner la gestion des identités et des droits d'accès aux rôles et aux responsabilités définis, en fonction des principes du moindre privilèges, du besoin d'avoir et de savoir. |
| 2 | Identifier de façon unique toutes les activités de traitement de l'information selon les rôles fonctionnels, en coordination avec les entités métiers afin d'assurer que tous les rôles sont bien définis, incluant les rôles qui sont définis par les entités métiers elle-même dans le cadre des applications de processus métiers. |
| 3 | Authentifier tous les accès aux actifs informationnels en fonction de leur classification de sécurité, en coordination avec les entités métiers qui gèrent l'authentification dans les applications utilisées dans les processus métiers, afin d'assurer que les contrôles d'authentification ont été correctement administrés. |
| 4 | Administrer tous les changements aux droits d'accès (création, modification et suppression) afin qu'ils prennent effet au moment approprié en fonction uniquement des transactions approuvées et documentées et autorisées par des membres désignés de la direction. |
| 5 | Séparer et gérer les comptes d'utilisateurs privilégiés. |
| 6 | Effectuer un contrôle de gestion régulier de tous les comptes et des privilèges associés. |
| 7 | S'assurer que tous les utilisateurs (internes, externes et temporaires) et leurs activités sur les systèmes informatiques (applications métiers, infrastructure informatiques, exploitation des systèmes, développement et maintenance) ont leur identité propre. Identifier de façon unique toutes les activités de traitement de l'information par l'utilisateur. |
| 8 | Maintenir une piste d'audit de l'accès à l'information classifiée comme hautement sensible. |
| Code | Pratique de gouvernance |
|---|---|
| DSS05.05 | Gérer l'accès physique aux actifs informatiques |
| Définir et mettre en oeuvre des procédures pour l'octroi, la limitation et la révocation de l'accès aux locaux, bâtiments et secteurs en fonction des besoins métiers, incluant les urgences. L'accès aux locaux, aux bâtiments et aux secteurs doit être justifié, autorisé, enregistré et surveillé. Cela doit s'appliquer à toutes les personnes qui entrent dans les locaux, incluant le personnel, le personnel temporaire, les clients, les fournisseurs, les visiteurs ou tout autre tiers |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Demandes d'accès approuvées | interne | ||
| Journaux des accès | DSS06.03 |
| Activités | |
|---|---|
| 1 | Gérer la demande et l'octroi de l'accès aux installations informatiques. Les demandes d'accès officielles doivent être complétées et autorisées par la direction du site informatique et les dossiers de demande doivent être conservés. Les formulaires doivent identifier précisément les zones auxquelles l'individu est autorisé à accéder. |
| 2 | Veiller à ce que les profils d'accès soient à jour. Baser l'accès aux sites informatiques (salles de serveurs, bâtiments, secteurs ou zones) sur la fonction et les responsabilités. |
| 3 | Journaliser et surveiller tous les points d'entrée aux sites informatiques. Inscrire tous les visiteurs du site, incluant les intervenants externes et les fournisseurs. |
| 4 | Demander à tout le personnel d'afficher une identification visible à tout moment. Empêcher que des cartes d'identité ou des insignes soient émis sans l’autorisation appropriée. |
| 5 | Exiger que les visiteurs soient escortés en tout temps sur le site. Alerter le personnel de sécurité lorsqu’une personne non accompagnée, inconnue et sans identification est repérée. |
| 6 | Restreindre l'accès aux sites informatiques sensibles en établissant des restrictions de périmètre, comme des clôtures, des murs et des dispositifs de sécurité sur les portes intérieures et extérieures. S'assurer que les dispositifs enregistrent toute entrée et déclenchent une alarme en cas d'accès non autorisé. De tels dispositifs comprennent notamment des badges ou des cartes d'accès, des claviers, des téléviseurs en circuit fermé et des lecteurs biométriques. |
| 7 | Dispenser régulièrement une formation de sensibilisation à la sécurité physique. |
| Code | Pratique de gouvernance |
|---|---|
| DSS05.06 | Gérer les documents sensibles et les dispositifs de diffusion |
| Établir des dispositifs de sécurité physiques appropriés, des pratiques comptables et une gestion d'inventaire pour les actifs informatiques sensibles, comme des formulaires spéciaux, des titres négociables, des imprimantes spéciales ou des jetons de sécurité |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Modèle d'architecture de l'information | APO03.02 | Inventaire des documents et des dispositifs sensibles | interne |
| Privilèges d'accès | interne |
| Activités | |
|---|---|
| 1 | Établir des procédures pour régir la réception, l'utilisation, l'enlèvement et l'élimination des formulaires spéciaux et des dispositifs de sortie dans l'entreprise, vers celle-ci et hors de celle-ci. |
| 2 | Attribuer des privilèges d'accès aux documents et dispositifs de sortie sensibles en fonction du principe du moindre privilège, en établissant un équilibre entre le risque et les exigences métiers. |
| 3 | Dresser un inventaire des documents et dispositifs de sortie sensibles, et effectuer des comparaisons périodiques. |
| 4 | Établir des dispositifs de sécurité physiques appropriés pour les formulaires spéciaux et les dispositifs sensibles. |
| 5 | Détruire l'information sensible et protéger les dispositifs de sortie (par exemple : la démagnétisation des médias électroniques, la destruction physique des dispositifs de mémoire, la fourniture de déchiqueteurs ou de corbeilles à papier verrouillées pour détruire les formulaires spéciaux et autres documents confidentiels). |
| Code | Pratique de gouvernance |
|---|---|
| DSS05.07 | Surveiller l'infrastructure à travers des événements liés à la sécurité |
| À l'aide d'outils de détection d'intrusion, surveiller l'infrastructure pour détecter des accès non autorisés et s'assurer que tous les événements sont intégrés à la surveillance générale d'événements et à la gestion des incidents |
| Entrées | Sorties | ||
|---|---|---|---|
| Description | Venant de | Description | Vers |
| Registres d'événements de sécurité | interne | ||
| Caractéristiques des incidents de sécurité | interne | ||
| Tickets d'incidents de sécurité | DSS02.02 |
| Activités | |
|---|---|
| 1 | Journaliser les événements liés à la sécurité rapportés par les outils de surveillance de la sécurité des infrastructures, en identifiant le niveau d'information à enregistrer en fonction d'une revue des risques. Les conserver pendant une période appropriée pour aider lors d'enquêtes futures. |
| 2 | Définir et communiquer la nature et les caractéristiques des incidents potentiels liés à la sécurité afin qu'ils puissent être facilement identifiés et que leurs impacts soient compris pour permettre une réponse appropriée. |
| 3 | Examiner régulièrement les journaux d'événements pour déterminer les incidents potentiels. |
| 4 | Maintenir une procédure de collecte de preuves de conformité avec les règles locales de preuve légale, et s'assurer que tous les employés connaissent les exigences. |
| 5 | S'assurer que des tickets d'incidents de sécurité sont créés en temps opportun lorsque la surveillance identifie les incidents de sécurité potentiels. |