exposé ISO27001 COBIT ITILAidou sebky

Download Report

Transcript exposé ISO27001 COBIT ITILAidou sebky

Présenté par :
SEBKY Rym
AIDOU Zakaria
09/04/2015
1
PLAN
 Introduction
 Qu’est ce qu’un système d’information
 Les enjeux de la sécurité d’information
 Les objectifs de la sécurité d’information
 Qu’est ce que l’ISO 27001
 Qu’est ce que le COBIT
 Qu’est ce que l’ITIL
 Conclusion
09/04/2015
2
Qu’est ce qu’un système d’information
 Un système d'information (noté SI ou TI) représente
l'ensemble des éléments participant à la gestion, au
stockage, au traitement, au transport et à la diffusion de
l'information au sein d'une organisation.
 On distingue généralement trois grandes catégories de
systèmes, selon les types d'applications informatiques:



les systèmes de conception : calcul numérique, conception
assistée par ordinateur, .... ;
les systèmes industriels ou embarqués, qui fonctionnent selon
des techniques temps réel ;
les systèmes d'information et de gestion, qui emploient des
techniques de gestion.
09/04/2015
3
Les enjeux de la sécurité d’information
INFORMATION
ACTIF
Sécurité
09/04/2015
• Bases de données de l’E/se
• Brevets et méthodes …
• L’information est un actif aussi important que
les actifs liés aux systèmes de production
• Garantir:
• la disponibilité
• L’intégrité
• La confidentialité
4
Les objectifs de la sécurité d’information
 „Amélioration des performances
 „Amélioration de la qualité du service
 „Transparence et valorisation des TI(SI)
 „Amélioration des contrôles
 „Conformité aux lois et règlements
 Protéger l’INFORMATION de l’entreprise
09/04/2015
5
Norme pour la sécurité
informatique
09/04/2015
6
Qu’est ce qu’ISO 27001 ?
 C’est un standard international pour la gestion de la
sécurité de l’information
 Un code de pratique pour la gestion de la sécurité de




l’information
Une base pour des relations contractuelles
Une base pour la certification par une tierce partie
Peut être certifié par un organisme de certification
S’applique à tous les secteurs de l’industrie et à des
organisations de toutes les tailles
09/04/2015
7
ISO 27001
 Elle contient dix domaines spécifiques composés de
36 objectifs et de 127 mesures de sécurité.
Voici un bref aperçu de chacun des domaines:
09/04/2015
8
ISO 27001 – Domaines d’intervention
 1. Politique de sécurité - Procurer des directives et des




conseils de gestion pour améliorer la sécurité des données.
„2. Sécurité de l'organisation - Faciliter la gestion de la
sécurité de l'information au sein de l'organisation.
„3. Classification et contrôle des actifs - Répertorier les
actifs et les protéger efficacement.
„4. Sécurité du personnel - Réduire les risques d'erreur
humaine, de vol, de fraude ou d'utilisation abusive des
équipements.
„5. Sécurité physique et environnementale - Empêcher
la violation, la détérioration et la perturbation des
installations et des données industrielles.
09/04/2015
9
ISO 27001 – Domaines d’intervention
 6. Gestion des télécommunications et des opérations Garantir un fonctionnement sûr et adéquat des dispositifs de
traitement de l'information.
 7. Contrôle des accès - Contrôler l'accès aux données.
 8. Développement et entretien des systèmes - Garantir que la
sécurité est incorporée aux systèmes d'information.
 9. Gestion de la continuité des opérations de l'entreprise Réduire les effets des interruptions d'activité et protéger les
processus essentiels à l'entreprise contre les pannes et les
sinistres majeurs.
 10. Conformité - Prévenir les manquements aux lois pénales ou
civiles, aux obligations réglementaires ou contractuelles et aux
exigences de sécurité.
09/04/2015
10
09/04/2015
11
ISO 27001 – Modèle PDCA
09/04/2015
12
Control Objectives
Information and
related Technology
09/04/2015
13
CobiT : Gouvernance, contrôle et audit de l’Information et des
Technologies Associées
C’est une structure de relations et de
processus visant à diriger et contrôler
l'entreprise pour qu'elle atteigne ses objectifs
en générant de la valeur, tout en trouvant le
bon équilibre entre les risques et les
avantages des TI et de leurs processus.
09/04/2015
14
Principes du CobiT
•CobiT aide le management à établir des liens entre les
risques métiers, les besoins de contrôle et les problématiques
techniques.
•CobiT constitue un référentiel complet permettant de mettre
sous contrôle l’ensemble des opérations liées aux systèmes
d’information.
• CobiT est organisé en un ensemble de 34 objectifs de contrôle
généraux regroupés en quatre grands domaines:
Planification et organisation - PO
Acquisition et mise en place - AMP
Distribution et support - DS
Surveillance - S
09/04/2015
15
Principes du CobiT
09/04/2015
16
Objectifs du CobiT
COBIT répond aux besoins:
Incorpore les standards
internationaux majeurs;
est devenu le standard de
facto pour le contrôle des
TI;
démarre à partir des requis
d’affaires;
est orienté « processus ».
09/04/2015
17
Information Technology
Infrastructure Library
09/04/2015
18
Présentation d’ITIL
est un
ensemble d'ouvrages recensant les bonnes pratiques ("best
practices") pour la gestion des services informatiques
(ITSM), édictées par l'Office public britannique du
Commerce (OGC)
 Ces derniers abordent les sujet suivant:
 Information Technology Infrastructure Library(ITIL)
 Comment organiser une production informatique ?
 Comment améliorer l'efficacité du système d'information ?
 Comment réduire les risques ?
 Comment augmenter la qualité des services informatiques ?
09/04/2015
19
Principes d’ITIL
 Il contient 8 guides :
 6 sur les meilleurs pratique
 1 sur l’utilisation d’ITIL
 1 sur l’avenir des services IT
 Le cœur d’ITIL concerne la gestion de l’exécution des
services informatiques .
09/04/2015
20
Principes d’ITIL
 Il couvre les 6 processus suivant :
 Gestion des configurations
 Gestion des changements
 Gestion des mises à jour
 Gestion des support
 Gestion des incidents
 Gestion des problèmes
Les guides ITIL Présentent ce qu’il faut faire et non
comment il faut faire, ni dans quel ordre.
09/04/2015
21
Principes d’ITIL (suite)
 Malgré l’existence de nombreux processus dans
ITIL qui concourent à l’amélioration de la
disponibilité du SI , la création d’un processus de
management de la sécurité dans ITIL est assez
récent (et encore peu utilisé ).
 ITIL n’est pas une norme internationale, c’est un
guide de bonnes pratiques (basé sur les concepts de
ISO13335 et ISO17799).
09/04/2015
22
Intérêt d’ITIL dans le management de la
sécurité
 Les point forts de l’ITIL sont surtout sur les processus de
support
 Prévoit une démarche claire dans la gestion d’incidents, la
gestion de problèmes , et l’impact sur les processus de
configuration.
 Dans les entreprises utilisatrices d’ITIL , c’est
généralement autour des processus de support que se fait la
capitalisation de bonnes pratiques
 Cependant , ITIL est trop général pour apporter une réelle
assistance à la mise en œuvre d’une politique de sécurité
sur une exploitation informatique et n’intègre pas une
démarche structurée d’analyse des enjeux, de diagnostic de
vulnérabilité et de préconisation de mesures de sécurité.
09/04/2015
23
Forces
Faiblesses
„CobiT
•„Guide de bonnes pratiques de
gouvernance TI
•„Orienté processus
•„Valorisation des TI
•„Pratiques de contrôles
•„Guide d’audit
„ISO
•„Code de pratiques de sécurité
de l’information
•„Comment faire, quoi faire pour
sécuriser les TI
„ITIL
•„Orienté vers le service clientèle
•„Mesurable
•„Valorisation des TI
•„Gestion des incidents
•„Axé sur centre de service
CobiT
•„Quoi faire ,comment faire
•„Général, approche de haut
niveau
09/04/2015
„ISO
•„N’est pas de la gouvernance
des TI, c’est un apport à la
gouvernance
•„Ne mesure pas la valeur des TI
•„Strictement orienté sécurité TI
„ITIL
•„Faible en sécurité
•„N’est pas de la gouvernance des TI,
c’est un apport à la gouvernance
24
Conclusion
•chaque guide a ses forces et faiblesses
•„aucun d’eux n’est « l’OUTIL » universel
•„Il faut optimiser l’outil en fonction des objectifs
visés
•„La force des guides est dans leurs «spécifités» et
complémentarités.
09/04/2015
25
Merci de votre attention
09/04/2015
26
09/04/2015
27
09/04/2015
28
09/04/2015
29