DSS05Gérer les services de sécurité

Description

Protéger l'information de l'entreprise afin de maintenir le risque sur la sécurité de l'information à un niveau acceptable pour l'entreprise en accord avec la politique de sécurité. Déterminer et maintenir les rôles sur la sécurité de l'information, les droites d'accès et réaliser le suivi de la sécurité.

But

Minimiser l'impact sur les activités métiers des vulnérabilités et des incidents liés à la sécurité de l'information opérationnelle.

Objectifs IT principaux

Objectifs IT Métriques associées
Garantir la conformité et le soutien de l'informatique au respect de la réglementation externe à l'entreprise
  • Coût des non-conformité informatiques, incluant les compensations amiables, pénalités et pertes en terme d'image
  • Nombre de cas de non-conformité informatique rapportées au conseil d'administration ou ayant occasionné des critiques ou débats publiques
  • Nombre de cas de non-conformité en rapport avec des accords contractuels avec des fournisseurs de services informatiques
  • Couverture des évaluations de conformité
Gérer les risques financiers relatifs à l'informatique
  • Pourcentage de processus métiers, services informatiques et programmes métiers permis grâce à l'informatique qui sont couverts par l'évaluation des risques
  • Nombre d'incidents significatifs relatifs à l'informatique qui n'étaient pas identifiés dans l'évaluation des risques
  • Pourcentage d'évaluation de risques entreprise qui incluent les risques informatiques
  • Fréquence de mise à jour du recensement des risques
  • Nombre d'interruptions de service métiers dues à un incident informatique
Garantir la sécurité de l'information, de l'infrastructure et des applications
  • Nombre d'incidents de sécurité causant des pertes financières, des interruptions de services métiers ou une nuisance publique
  • Nombre de services informatiques pour lesquels les exigences de sécurité ne sont pas satisfaites
  • Délai pour accorder, modifier et retirer des privilèges d’accès compte tenu des niveaux de services convenus
  • Fréquence de l’évaluation de sécurité par rapport aux normes et lignes directrices en vigueur

Objectifs du processus

Objectifs du processus Métriques associées
La sécurité des réseaux et des communications répond aux besoins métiers.
  • Nombre de vulnérabilités découvertes
  • Nombre de brèches de sécurité du pare-feu
L'information traitée, stockée ou transmise par des terminaux est protégée.
  • Pourcentage de personnes recevant une formation de sensibilisation relative à l'utilisation de terminaux
  • Nombre d'incidents impliquant des terminaux
  • Nombre de périphériques non autorisés détectés sur le réseau ou dans l'environnement de l'utilisateur final
Chaque utilisateur doit avoir sa propre identité et détenir des droits d’accès en fonction de son rôle.
  • Temps moyen entre le changement et la mise à jour des comptes
  • Nombre de comptes (par rapport au nombre d'utilisateurs ou d’employés autorisés)
Des mesures physiques ont été mises en place pour protéger l'information contre les accès non autorisés, les dommages et les interférences pendant son traitement, son stockage et sa transmission.
  • Pourcentage des dispositifs de sécurité des environnements testés périodiquement
  • Note moyenne pour les évaluations de la sécurité physique
  • Nombre d'incidents physiques liés à la sécurité
L'information électronique est correctement sécurisée au moment de son stockage, sa transmission et sa destruction.
  • Nombre d'incidents liés à l'accès non autorisé à l'information

RACI

DSS05.01 DSS05.02 DSS05.03 DSS05.04 DSS05.05 DSS05.06 DSS05.07
Conseil d'administration
Président Directeur Général
Directeur Financier
Directeur Opérationnel I I I I I I I
Directeurs Métiers
Propriétaires de Processus Métiers C C C C C C C
Comité Stratégie I I I I I I I
Comité de Pilotage (programmes/projets)
Coordinateur Projets (PMO)
gestion de la valeur
Risk Manager (RM) I I I I I I I
Directeur de la Sécurité des SI (DSSI) A A A A A A A
Urbanisme
Comité risque de l'entreprise
Direction des Ressources Humaines (DRH) I I I I I I I
Conformité C C C C C C C
Audit C C C C C C C
Directeur du SI (DSI) C C C C C C C
Responsable Architecture I I I I I I I
Responsable développement C C C C C C C
Responsable production informatique R R R R R R R
Responsable de l'administration informatique
Gestionnaire de service I I I I I I I
Gestionnaire de la sécurité de l'information R R R R R R R
Gestionnaire de la continuité I I I I I I I
Directeur de la propriété I I I I I I I

Pratiques, données d'entrée et de sortie, activités

Code Pratique de gouvernance
DSS05.01 Se protéger contre les logiciels malveillants
Mettre en place et maintenir des mesures de prévention, de détection et de correction (en particulier les mises à jour des correctifs de sécurité et antivirus) dans toute l'entreprise pour protéger les systèmes d'information et les technologies des logiciels malveillants (exemple : virus, vers, logiciels espions, pourriel).

Entrées Sorties
Description Venant de Description Vers
Politique de prévention contre les logiciels malveillantsAPO01.04
Évaluations des menaces potentiellesAPO12.02 / APO12.03

Activités
1 Sensibiliser le personnel à propos des logiciels malveillants et faire respecter les procédures de prévention et les responsabilités.
2 Installer et activer les outils de protection contre les logiciels malveillants sur toutes les installations de traitement et, au besoin, mettre à jour les fichiers de définition de logiciels malveillants (de façon automatique ou semi-automatique).
3 Distribuer tous les logiciels de protection de façon centralisée (version et correctifs) par le biais de la gestion centralisée de la configuration et du changement.
4 Examiner et évaluer régulièrement les renseignements sur de nouvelles menaces potentielles (par exemple : l'examen des avis de sécurité des produits et des services des fournisseurs).
5 Filtrer le trafic entrant, comme le courrier électronique et les téléchargements, dans le but de se protéger contre de l'information non sollicitée (par exemple : les logiciels espions, l'hameçonnage).
6 Dispenser une formation périodique sur les logiciels malveillants dans le courrier électronique et dans l'utilisation d'Internet. Former les utilisateurs à ne pas installer de logiciels partagés ou non approuvés.
Code Pratique de gouvernance
DSS05.02 Gérer la sécurité des réseaux et des canaux de communication
Utiliser des dispositions de sécurité et des procédures de gestion connexes pour protéger l'information qui transite par tous les canaux de communication

Entrées Sorties
Description Venant de Description Vers
Procédures de gestion de l’intégrité des donnéesAPO01.06Politique de sécurité de la connectivitéAPO01.04
SLAsAPO09.03Résultats des tests d’intrusionMEA02.08

Activités
1 En fonction des évaluations des risques et des besoins métiers, établir et maintenir une politique de sécurité de la connectivité.
2 Ne donner l'accès à l'information et au réseau d'entreprise qu’aux dispositifs autorisés. Configurer ces dispositifs de façon à obliger la saisie du mot de passe.
3 Mettre en oeuvre des mécanismes de filtrage réseau, comme des pare-feu et des logiciels de détection d'intrusion, avec des politiques appropriées pour contrôler le trafic entrant et sortant.
4 Chiffrer l'information en transit en fonction de sa classification.
5 Appliquer les protocoles de sécurité approuvés à la connectivité du réseau.
6 Configurer les équipements de réseau de façon sécurisée.
7 Etablir des mécanismes fiables pour maintenir la transmission et la réception sécurisées de l'information.
8 Effectuer des tests d’intrusion périodiques pour confirmer l’efficacité de la protection du réseau.
9 Effectuer un contrôle périodique de la sécurité du système pour confirmer l’efficacité de sa protection.
Code Pratique de gouvernance
DSS05.03 Gérer la sécurité des terminaux
S'assurer que les terminaux (exemple : ordinateur portable, ordinateur de bureau, serveur et autres appareils ou logiciels mobiles et de réseau) sont sécurisés à un niveau supérieur ou égal aux exigences de sécurité définies pour l'information traitée, stockée ou transmise

Entrées Sorties
Description Venant de Description Vers
Modèle d'architecture de l'informationAPO03.02Politiques de sécurité en matière de dispositifs de terminauxAPO01.04
OLAsAPO09.03
SLAsAPO09.03
Résultats de la vérification de l’inventaire physiqueBAI09.01
Rapports de faille de sécuritéDSS06.06

Activités
1 Configurer les systèmes d'exploitation de manière sécurisée.
2 Mettre en oeuvre des mécanismes de verrouillage des appareils.
3 Chiffrer l'information stockée en fonction de sa classification.
4 Gérer l'accès et le contrôle à distance.
5 Gérer la configuration du réseau de manière sécurisée.
6 Mettre en oeuvre le filtrage du trafic réseau sur les terminaux.
7 Protéger l'intégrité du système.
8 Assurer la protection physique des terminaux.
9 Supprimer les terminaux en toute sécurité.
Code Pratique de gouvernance
DSS05.04 Gérer l’identité de l'utilisateur et l'accès logique
S'assurer que tous les utilisateurs disposent de droits d'accès à l'information en fonction de leurs besoins métiers, en coordination avec les unités métiers qui gèrent leurs propres droits d'accès dans les processus métiers

Entrées Sorties
Description Venant de Description Vers
Définition des rôles et des responsabilités liés à l'informatiqueAPO01.02Droits d'accès des utilisateurs autorisésinterne
Modèle d'architecture de l'informationAPO03.02Résultats des revues des comptes et des privilèges des utilisateursinterne

Activités
1 Maintenir les droits d'accès des utilisateurs conformément à la fonction métier et aux exigences des processus. Aligner la gestion des identités et des droits d'accès aux rôles et aux responsabilités définis, en fonction des principes du moindre privilèges, du besoin d'avoir et de savoir.
2 Identifier de façon unique toutes les activités de traitement de l'information selon les rôles fonctionnels, en coordination avec les entités métiers afin d'assurer que tous les rôles sont bien définis, incluant les rôles qui sont définis par les entités métiers elle-même dans le cadre des applications de processus métiers.
3 Authentifier tous les accès aux actifs informationnels en fonction de leur classification de sécurité, en coordination avec les entités métiers qui gèrent l'authentification dans les applications utilisées dans les processus métiers, afin d'assurer que les contrôles d'authentification ont été correctement administrés.
4 Administrer tous les changements aux droits d'accès (création, modification et suppression) afin qu'ils prennent effet au moment approprié en fonction uniquement des transactions approuvées et documentées et autorisées par des membres désignés de la direction.
5 Séparer et gérer les comptes d'utilisateurs privilégiés.
6 Effectuer un contrôle de gestion régulier de tous les comptes et des privilèges associés.
7 S'assurer que tous les utilisateurs (internes, externes et temporaires) et leurs activités sur les systèmes informatiques (applications métiers, infrastructure informatiques, exploitation des systèmes, développement et maintenance) ont leur identité propre. Identifier de façon unique toutes les activités de traitement de l'information par l'utilisateur.
8 Maintenir une piste d'audit de l'accès à l'information classifiée comme hautement sensible.
Code Pratique de gouvernance
DSS05.05 Gérer l'accès physique aux actifs informatiques
Définir et mettre en oeuvre des procédures pour l'octroi, la limitation et la révocation de l'accès aux locaux, bâtiments et secteurs en fonction des besoins métiers, incluant les urgences. L'accès aux locaux, aux bâtiments et aux secteurs doit être justifié, autorisé, enregistré et surveillé. Cela doit s'appliquer à toutes les personnes qui entrent dans les locaux, incluant le personnel, le personnel temporaire, les clients, les fournisseurs, les visiteurs ou tout autre tiers

Entrées Sorties
Description Venant de Description Vers
Demandes d'accès approuvéesinterne
Journaux des accèsDSS06.03

Activités
1 Gérer la demande et l'octroi de l'accès aux installations informatiques. Les demandes d'accès officielles doivent être complétées et autorisées par la direction du site informatique et les dossiers de demande doivent être conservés. Les formulaires doivent identifier précisément les zones auxquelles l'individu est autorisé à accéder.
2 Veiller à ce que les profils d'accès soient à jour. Baser l'accès aux sites informatiques (salles de serveurs, bâtiments, secteurs ou zones) sur la fonction et les responsabilités.
3 Journaliser et surveiller tous les points d'entrée aux sites informatiques. Inscrire tous les visiteurs du site, incluant les intervenants externes et les fournisseurs.
4 Demander à tout le personnel d'afficher une identification visible à tout moment. Empêcher que des cartes d'identité ou des insignes soient émis sans l’autorisation appropriée.
5 Exiger que les visiteurs soient escortés en tout temps sur le site. Alerter le personnel de sécurité lorsqu’une personne non accompagnée, inconnue et sans identification est repérée.
6 Restreindre l'accès aux sites informatiques sensibles en établissant des restrictions de périmètre, comme des clôtures, des murs et des dispositifs de sécurité sur les portes intérieures et extérieures. S'assurer que les dispositifs enregistrent toute entrée et déclenchent une alarme en cas d'accès non autorisé. De tels dispositifs comprennent notamment des badges ou des cartes d'accès, des claviers, des téléviseurs en circuit fermé et des lecteurs biométriques.
7 Dispenser régulièrement une formation de sensibilisation à la sécurité physique.
Code Pratique de gouvernance
DSS05.06 Gérer les documents sensibles et les dispositifs de diffusion
Établir des dispositifs de sécurité physiques appropriés, des pratiques comptables et une gestion d'inventaire pour les actifs informatiques sensibles, comme des formulaires spéciaux, des titres négociables, des imprimantes spéciales ou des jetons de sécurité

Entrées Sorties
Description Venant de Description Vers
Modèle d'architecture de l'informationAPO03.02Inventaire des documents et des dispositifs sensiblesinterne
Privilèges d'accèsinterne

Activités
1 Établir des procédures pour régir la réception, l'utilisation, l'enlèvement et l'élimination des formulaires spéciaux et des dispositifs de sortie dans l'entreprise, vers celle-ci et hors de celle-ci.
2 Attribuer des privilèges d'accès aux documents et dispositifs de sortie sensibles en fonction du principe du moindre privilège, en établissant un équilibre entre le risque et les exigences métiers.
3 Dresser un inventaire des documents et dispositifs de sortie sensibles, et effectuer des comparaisons périodiques.
4 Établir des dispositifs de sécurité physiques appropriés pour les formulaires spéciaux et les dispositifs sensibles.
5 Détruire l'information sensible et protéger les dispositifs de sortie (par exemple : la démagnétisation des médias électroniques, la destruction physique des dispositifs de mémoire, la fourniture de déchiqueteurs ou de corbeilles à papier verrouillées pour détruire les formulaires spéciaux et autres documents confidentiels).
Code Pratique de gouvernance
DSS05.07 Surveiller l'infrastructure à travers des événements liés à la sécurité
À l'aide d'outils de détection d'intrusion, surveiller l'infrastructure pour détecter des accès non autorisés et s'assurer que tous les événements sont intégrés à la surveillance générale d'événements et à la gestion des incidents

Entrées Sorties
Description Venant de Description Vers
Registres d'événements de sécuritéinterne
Caractéristiques des incidents de sécuritéinterne
Tickets d'incidents de sécuritéDSS02.02

Activités
1 Journaliser les événements liés à la sécurité rapportés par les outils de surveillance de la sécurité des infrastructures, en identifiant le niveau d'information à enregistrer en fonction d'une revue des risques. Les conserver pendant une période appropriée pour aider lors d'enquêtes futures.
2 Définir et communiquer la nature et les caractéristiques des incidents potentiels liés à la sécurité afin qu'ils puissent être facilement identifiés et que leurs impacts soient compris pour permettre une réponse appropriée.
3 Examiner régulièrement les journaux d'événements pour déterminer les incidents potentiels.
4 Maintenir une procédure de collecte de preuves de conformité avec les règles locales de preuve légale, et s'assurer que tous les employés connaissent les exigences.
5 S'assurer que des tickets d'incidents de sécurité sont créés en temps opportun lorsque la surveillance identifie les incidents de sécurité potentiels.
^