Présentation
EnglishAuteur(s)
-
Jean-Marc CHARTRES : Ingénieur CNAM - Consultant Sécurité chez TELINDUS France
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.
L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.
La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
7. L’évitement du risque comme ROI
7.1 Tableau de bord sécurité
Le tableau de bord SSI (sécurité du système d’information) caractérise le niveau de sécurité par domaine, et permet une analyse post mortem indispensable à l’amélioration du processus.
Il s’agit de surveiller le domaine et d’établir dans le temps la capacité à maîtriser les risques IT pour minimiser les impacts métiers.
Pour cela, les impacts éventuels seront analysés comme suit :
-
traités en conformité des contrats de service et de la PSSI (politique de sécurité du système d’information) ;
-
traités en mode préventif ;
-
traités en mode pro actif ;
-
traités en mode improvisation ;
-
non traités.
La centralisation de milliers de lignes de logs journalières en provenance des composants sécurité de formats souvent différents, demandent pour être analysées des projets de corrélations de logs qui traduisent toujours très mal l’objectif initial : fournir des tendances afin de piloter la sécurité et rendre compte au contrôle interne de l’entreprise.
Ce n’est pas une corrélation d’événements, mais une situation d’événements (non corrélés) qui amène une situation à risque. Il faut, dès l’analyse des risques et de leurs traitements, réfléchir à la chaîne des événements qui permettront de se prononcer sur la pertinence de la sécurité prévue et déployée.
De l’ensemble des événements liés à la sécurité, doit s’élaborer un tableau de bord statuant sur la performance du processus. Il est intéressant de reprendre pour ce tableau de bord les indicateurs de maturité issu de CMMi (Capability Maturity Model Integration).
Sur la base de tous les incidents de sécurité traités sur un temps donné, il faut établir, par exemple, les quatre niveaux suivants :
1) incidents subis (non maîtrisés) ;
2) incidents traités en mode problème (improvisation) ;
3) incidents maîtrisés (attaques bloquées) éventuellement sur nouvelles menaces ;
4) incidents maîtrisés et impacts faibles.
Sur plusieurs périodes de temps, les tendances sur les pourcentages de chaque niveau...
Cet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
L’évitement du risque comme ROI
DANS NOS BASES DOCUMENTAIRES
ANNEXES
EBIOS – Logiciel d’analyse de risques
EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité
CLUSIF | MEHARI
MEHARI une méthode complète d'évaluation et de management des risques liés à… est réalisée selon les dispositions du logiciel libre (Open Source)
http://www.clusif.asso.fr/fr/production/mehari/
HAUT DE PAGE
CLUSIF – Club de la Sécurité de l'Information Français
...
Cet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive