Présentation
EnglishAuteur(s)
-
Jean-Marc CHARTRES : Ingénieur CNAM - Consultant Sécurité chez TELINDUS France
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.
L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.
La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
5. Intégrer la menace comme variable du système
5.1 Prévenir pour protéger
Le risque se caractérise par sa potentialité (ou probabilité) et son impact ; par une prévention nous limitons sa probabilité et par la protection nous limitons son impact. Si l’analyse de risque révèle des impacts redoutés probables, alors il faudra mettre en place une politique préventive et palliative.
HAUT DE PAGE5.2 Détecter pour agir
Pour établir la chaîne d’information afin de mesurer le rôle de la sécurité, nous avons besoin d’établir par domaine et par impact redouté (figure 6) :
-
les signaux de surveillance ;
-
les contrôles statuant sur les règles en place ;
-
les événements et alertes sur le domaine considéré ;
-
les incidents classifiés sécurité du domaine ;
-
et bien sûr l’impact observé.
Cette base informationnelle va nous permettre de nous placer résolument dans une boucle d’amélioration pour notre processus. Toute dérive des signaux de surveillance va nous permettre d’apprendre, mais aussi d’être proactif sur les dérives observées. Les contrôles statuent sur les vulnérabilités potentielles de nos lignes de défense.
Les événements et alertes sont des informations temporelles qui, associées aux signaux de surveillance, peuvent permettre de savoir si la situation comporte un risque connu, ou s’il s’agit au contraire d’une nouvelle menace.
HAUT DE PAGECet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Intégrer la menace comme variable du système
DANS NOS BASES DOCUMENTAIRES
ANNEXES
EBIOS – Logiciel d’analyse de risques
EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité
CLUSIF | MEHARI
MEHARI une méthode complète d'évaluation et de management des risques liés à… est réalisée selon les dispositions du logiciel libre (Open Source)
http://www.clusif.asso.fr/fr/production/mehari/
HAUT DE PAGE
CLUSIF – Club de la Sécurité de l'Information Français
...
Cet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive