Présentation
En anglaisAuteur(s)
-
Jean-Marc CHARTRES : Ingénieur CNAM - Consultant Sécurité chez TELINDUS France
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.
L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.
La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Automatique et ingénierie système
(138 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
8. Conclusion
Les usages informatiques coordonnent nos activités professionnelles et personnelles, et il serait illusoire de vouloir les sécuriser par des solutions statiques. Il faut définir une protection native sur les biens et veiller à ce que les usages n’engendrent pas de risques supplémentaires et ne remettent pas en question la sécurité native du bien.
Si une donnée est confidentielle, il faudra alors veiller à ce que tout traitement d’extraction, de diffusion, de sauvegarde, etc., ne soit pas source de nouvelle menace sur la donnée initiale.
La politique de sécurité doit définir pour chaque type de données sensibles, d’une part les exigences de la donnée au repos, et d’autre part les permissions pour la donnée en mouvement. Pour aborder le concept Cloud Computing, la sécurité des données devra être explicite et portée au contrat de service entre le fournisseur de service et les propriétaires des données.
La prolifération des données informatiques non structurées et la perte de leur contrôle constituent de graves menaces qui doivent être réduites avant toute évolution du processus de sécurité.
Il est nécessaire de reprendre l’analyse de risques sur les données et de porter l’étude jusqu’à son terme, à savoir le traitement des risques résiduels, afin d’envisager les phases de pilotage et de contrôle indispensables au maintien et à l’évolution du processus.
Actuellement, la plupart des processus en place s’avèrent inefficaces face à de nouvelles menaces, faute de pilotage proactif.
Si la mise en œuvre de la solution de sécurité est menée à son terme, c'est-à-dire selon le modèle qualité PDCA, alors la fonction de pilotage existe et fournira les tableaux de bord de sécurité que les autorités réclament pour leur contrôle interne ou pour les audits de conformité.
Le modèle du processus doit s’établir sur les fonctions suivantes :
-
inventaire classifié des biens à protéger ;
-
exigences sur les biens au repos et les biens en mouvement ;
-
fonction de surveillance capable de repérer les signaux faibles de dérive des règles ;
-
pouvoir comprendre pour réagir par des informations de pilotage ;
-
apprendre afin de réagir sur les nouvelles menaces ou comportements à risque.
Ce type de processus sécurité va permettre...
Cet article fait partie de l’offre
Automatique et ingénierie système
(138 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Conclusion
DANS NOS BASES DOCUMENTAIRES
ANNEXES
EBIOS – Logiciel d’analyse de risques
EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité
CLUSIF | MEHARI
MEHARI une méthode complète d'évaluation et de management des risques liés à… est réalisée selon les dispositions du logiciel libre (Open Source)
http://www.clusif.asso.fr/fr/production/mehari/
HAUT DE PAGE
CLUSIF – Club de la Sécurité de l'Information Français
...
Cet article fait partie de l’offre
Automatique et ingénierie système
(138 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive