| Une question ?

Présentation

Article

1 - L’INFORMATIQUE AU SERVICE D’UNE CIVILISATION DE PARTAGE

2 - LA CIRCULATION DU SAVOIR N’EST PAS SANS DOMMAGE

3 - LA SÉCURITÉ INFORMATIQUE N’EST QU’UN MOYEN POUR ABOUTIR À UNE SÉCURITÉ DE L’INFORMATION

  • 3.1 - Les impacts redoutés par l’entreprise
  • 3.2 - Les manquements à la gouvernance

4 - PARTIR DE SES CRAINTES POUR PROTÉGER L’ESSENTIEL

5 - INTÉGRER LA MENACE COMME VARIABLE DU SYSTÈME

6 - MAÎTRISER SES RISQUES PAR LA RÉDUCTION DES MENACES

7 - L’ÉVITEMENT DU RISQUE COMME ROI

8 - CONCLUSION

Article de référence | Réf : S8261 v1

Intégrer la menace comme variable du système
Sécurité des systèmes d’information - Retour d’expérience

Auteur(s) : Jean-Marc CHARTRES

Date de publication : 10 sept. 2011

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

Auteur(s)

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

INTRODUCTION

À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.

L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.

La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-s8261

Cet article fait partie de l’offre

Automatique et ingénierie système

(138 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Version en anglais En anglais

5. Intégrer la menace comme variable du système

5.1 Prévenir pour protéger

Le risque se caractérise par sa potentialité (ou probabilité) et son impact ; par une prévention nous limitons sa probabilité et par la protection nous limitons son impact. Si l’analyse de risque révèle des impacts redoutés probables, alors il faudra mettre en place une politique préventive et palliative.

HAUT DE PAGE

5.2 Détecter pour agir

Pour établir la chaîne d’information afin de mesurer le rôle de la sécurité, nous avons besoin d’établir par domaine et par impact redouté (figure 6) :

  • les signaux de surveillance ;

  • les contrôles statuant sur les règles en place ;

  • les événements et alertes sur le domaine considéré ;

  • les incidents classifiés sécurité du domaine ;

  • et bien sûr l’impact observé.

Cette base informationnelle va nous permettre de nous placer résolument dans une boucle d’amélioration pour notre processus. Toute dérive des signaux de surveillance va nous permettre d’apprendre, mais aussi d’être proactif sur les dérives observées. Les contrôles statuent sur les vulnérabilités potentielles de nos lignes de défense.

Les événements et alertes sont des informations temporelles qui, associées aux signaux de surveillance, peuvent permettre de savoir si la situation comporte un risque connu, ou s’il s’agit au contraire d’une nouvelle menace.

HAUT DE PAGE

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Automatique et ingénierie système

(138 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Intégrer la menace comme variable du système
Sommaire
Sommaire

    DANS NOS BASES DOCUMENTAIRES

    ANNEXES

    1. 1 Outils logiciels
      1. 2 Sites Internet
        1. 3 Événements
          1. 4 Normes et standards
            1. 5 Réglementation
              1. 6 Données statistiques et économiques

                1 Outils logiciels

                EBIOS – Logiciel d’analyse de risques

                EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité

                https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite/

                CLUSIF | MEHARI

                MEHARI une méthode complète d'évaluation et de management des risques liés à… est réalisée selon les dispositions du logiciel libre (Open Source)

                http://www.clusif.asso.fr/fr/production/mehari/

                HAUT DE PAGE

                2 Sites Internet

                CLUSIF – Club de la Sécurité de l'Information Français

                http://www.clusif.asso.fr/

                ...

                Cet article est réservé aux abonnés.
                Il vous reste 95% à découvrir.

                Pour explorer cet article
                Téléchargez l'extrait gratuit

                Vous êtes déjà abonné ?Connectez-vous !

                L'expertise technique et scientifique de référence

                La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
                + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
                De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

                Cet article fait partie de l’offre

                Automatique et ingénierie système

                (138 articles en ce moment)

                Cette offre vous donne accès à :

                Une base complète d’articles

                Actualisée et enrichie d’articles validés par nos comités scientifiques

                Des services

                Un ensemble d'outils exclusifs en complément des ressources

                Un Parcours Pratique

                Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

                Doc & Quiz

                Des articles interactifs avec des quiz, pour une lecture constructive

                ABONNEZ-VOUS

                SUR LE MÊME SUJET

                #MULTISECTEURS #INFORMATIQUE (SECTEUR) #SYSTÈME D'INFORMATION #RETOUR D'EXPÉRIENCE (REX) #SÉCURITÉ - SÛRETÉ #MANAGEMENT DU SYSTÈME D'INFORMATION

                DANS LES RESSOURCES DOCUMENTAIRES

                DANS L'ACTUALITÉ

                DANS LES LIVRES BLANCS

                DANS LES CONFÉRENCES EN LIGNE

                Inscription veille personnalisée