1 - DES PRINCIPES POUR NE PAS SE TROMPER

1.1 - Rôle du facteur humain dans la SSI
1.2 - Définir la SSI dont on a besoin

Figure 3 - La trilogie de la SSI
1.3 - La SSI est une fonction de Direction
1.4 - La SSI doit être homogène

2.1 - Les premières causes des incidents de sécurité ne sont pas d’ordre technique
2.2 - Associer organisation et technique pour trouver des solutions spécifiques
2.3 - Absolue nécessité de structurer le réseau

Figure 5 - Structurez vos réseaux
2.4 - Défenses en profondeur

3 - STRUCTURES ET PROCÉDURES

3.1 - Exemple d’une structure SSI
3.2 - Exemples de procédures et règles

4 - MÉTHODES

4.1 - Exigences essentielles de toute approche méthodologique

Figure 9 - Analyse et gestion du risque
4.2 - Normes d’administration de la sécurité

Figure 11 - Les cinq parties du GMITS
4.3 - Politique de sécurité
4.4 - Tableau de bord

5 - CONCLUSION

Bibliographie & annexes

Article de référence | Réf : H5120 v1

Des principes pour ne pas se tromper
Organisation de la SSI en entreprise

Auteur(s) : Robert LONGEON

Relu et validé le 05 févr. 2013

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Présentation

English

RÉSUMÉ

Qu'entend-on par sécurité des systèmes d'information, dans quels buts et avec quels acteurs ? Cet article commence par énoncer des principes essentiels à la sécurité des systèmes d'information. Puis il aborde le sujet sous l’angle de l’articulation entre la technique et l’organisation, car les moyens techniques sont uniquement là pour arriver à un objectif. Enfin des structures types et des méthodes sont présentées pour illustrer la mise en place d'une politique de sécurité.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

Robert LONGEON : Chargé de Mission à la Sécurité des Systèmes d’Information - Direction Générale du CNRS

INTRODUCTION

L’organisation de la SSI peut être vue suivant différents éclairages. On peut la voir, par exemple, sous celui de principes essentiels ; le plus important d’entre eux étant sans conteste de ne jamais oublier que la sécurité passe d’abord par les acteurs du système. Mais énoncer des principes n’est pas suffisant, il faut aussi dire quelles conséquences il convient d’en tirer sur le plan de l’organisation. C’est ce qui est fait dans le premier paragraphe pour les plus importants d’entre eux.

Dans le deuxième paragraphe, on aborde la SSI sous l’angle de l’articulation entre la technique et l’organisation, car les moyens techniques, ainsi que la sécurité, ne sont pas une fin en soi, mais sont au service d’objectifs et dans le cadre d’une entreprise ou d’une administration qui ont leurs atouts et faiblesses propres. Dans le troisième paragraphe, on passe en revue quelques structures et procédures qui, sans les poser en modèle pour tous, permettent de mieux comprendre comment mettre en œuvre une organisation de la sécurité. Enfin, dans le quatrième paragraphe on explique pourquoi on ne peut concevoir, appliquer ou piloter une politique de sécurité sans une approche méthodologique, pourquoi on ne peut mettre en place une organisation de sécurité sans commencer par une analyse de risque et en quoi les normes internationales traitant de l’organisation, de l’administration et de l’audit de la sécurité font partie intégrante de cette approche. On termine ce paragraphe en décrivant le contenu d’un tableau de bord et son rôle dans le pilotage de la politique de sécurité qui sans cela ne pourrait que rester figée.

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5120

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

Page
suivante

Techniques

English

1. Des principes pour ne pas se tromper

Parmi les grands principes généralement cités, nous n’en retiendrons donc que quatre, ceux spécialement reliés à l’organisation de la sécurité des systèmes d’information dont on pourra trouver quelques définitions nécessaires à sa lecture dans les figures 1 et 2 et l’encadré 1.

Encadré 1 – Qu’est-ce que la « Sécurité des Systèmes d’Information » ? (Référence ISO TR 13335-1)

C’est d’abord protéger l’information :

Confidentialité : « propriété qu’une information ne peut être accédée ou divulguée par des personnes, entités ou processus non autorisés ».

Intégrité des données : « propriété qui garantit qu’une donnée ne peut être altérée ou détruite d’une façon non autorisée ».

Intégrité des systèmes : « propriété qui garantit que la fonction attendue sera exécutée de façon complète sans manipulation non autorisée volontaire ou accidentelle ».

Disponibilité : ce service permet d’assurer l’accessibilité des informations.

C’est aussi protéger la loyauté des transactions :

Authentification : ce service permet de s’assurer de l’origine d’un message.

Non-répudiation (ou imputabilité) : ce service assure la preuve de l’authenticité d’un acte, d’une communication ou d’une transaction.

Certains sont tentés d’aller plus loin avec la « traçabilité » pour prendre en compte le développement de la mobilité, ou la « privacité » de l’information pour les aspects juridiques.

1.1 Rôle du facteur humain dans la SSI

Le premier de ces principes est le respect des positions relatives des hommes et des techniques dans la sécurité, les hommes au premier plan, les techniques au second. Rien de solide ne peut se faire en SSI sans l’adhésion totale de tous les acteurs aux objectifs et aux méthodes employées, et aucun système technique, fût-il du dernier cri, ne pourra remplacer le « désir...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Des principes pour ne pas se tromper

Page
précédentePrésentation

Page
suivante

Techniques

BIBLIOGRAPHIE

(1) - Sécurité informatique : manager et assurer. - AFNOR normes, fév. 2002. http://www.afnor.fr
(2) - CLUSIF, MEHARI - * - août 2000. http://www.clusif.asso.fr
(3) - CLUSIF - Les indicateurs de sécurité, - juil. 2001. http://www.clusif.asso.fr
(4) - DCSSI - La méthode EBIOS - (1996). http://www.ssi.gouv.fr/fr/confiance/ebios.html
(5) - DCSSI - Critères Communs - (1999). http://www.ssi.gouv.fr/fr/confiance/cc21.html
(6) - Information Security Risk Assessment Guide. – - Practices of Leading Organizations, US General Accounting Office - Exposure Draft.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(77 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS