Qui suisje Principes de scurit Ref SP 800

  • Slides: 17
Download presentation
Qui suis-je ? Principes de sécurité Ref. : SP 800 -27 rev A

Qui suis-je ? Principes de sécurité Ref. : SP 800 -27 rev A

Qui suis-je ? • Il est important d’avoir une bonne compréhension des nouvelles menaces,

Qui suis-je ? • Il est important d’avoir une bonne compréhension des nouvelles menaces, d’effectuer une veille technologique et des audits.

Qui suis-je ? • La plupart des organisations dépendent de manière significative sur les

Qui suis-je ? • La plupart des organisations dépendent de manière significative sur les systèmes d'information distribués. Ces systèmes distribuent de l'information à la fois dans leur propre organisation et à d'autres organisations. Pour que la sécurité soit efficace dans de tels environnements , les concepteurs de programmes de sécurité devraient … ?

Qui suis-je ? Je permets de : • • • Maintenir la responsabilité et

Qui suis-je ? Je permets de : • • • Maintenir la responsabilité et la traçabilité d'un utilisateur ou d'un processus. Attribuer des droits spécifiques à un utilisateur ou un processus individuel. Prévoir la non-répudiation. Appliquer les décisions de contrôle d'accès. Empêcher les utilisateurs non autorisés de passer pour un utilisateur autorisé.

Qui suis-je ? • Je permets d’aller cher le support de l’organisation pour mettre

Qui suis-je ? • Je permets d’aller cher le support de l’organisation pour mettre en place une sécurité de l’information. Je définis également les objectifs de sécurité ainsi que les rôles et responsabilités de la sécurité de l’information au sein de l’organisation.

Qui suis-je ? • L’élimination de tous les risques n’est pas nécessairement rentable. Une

Qui suis-je ? • L’élimination de tous les risques n’est pas nécessairement rentable. Une analyse coûts-avantages devrait être effectuée pour chaque contrôle proposé. Dans certains cas, les avantages d'un système plus sécurisé ne peuvent pas justifier les coûts directs et indirects. Les avantages comprennent plus que la prévention de la perte monétaire; par exemple, les contrôles peuvent être essentiels pour maintenir la confiance du public. • Il peut également être nécessaire de modifier ou d'ajuster les objectifs de sécurité due à d'autres exigences opérationnelles.

Qui suis-je ? • Sans ce principe, il est à la fois difficile et

Qui suis-je ? • Sans ce principe, il est à la fois difficile et coûteux de mettre en œuvre des mesures de sécurité correctement et avec succès après qu’un système a été mis en production.

Qui suis-je ? • Un système qui communique avec d’autres tiers, que ce soit

Qui suis-je ? • Un système qui communique avec d’autres tiers, que ce soit des systèmes ou des utilisateurs ne peut pas considérer que les contrôles de ces tiers sont de confiance.

Qui suis-je ? • Parfois, les composants pris sur étagère, soit ceux fabriqués en

Qui suis-je ? • Parfois, les composants pris sur étagère, soit ceux fabriqués en série et non pour un projet en particulier ne permettent pas d’atteindre les objectifs de sécurité.

Qui suis-je ? • Les menaces sont en constantes évolutions. Un mécanisme de sécurité

Qui suis-je ? • Les menaces sont en constantes évolutions. Un mécanisme de sécurité qui est efficace en 2011 ne l’ait pas forcément en 2016. Ce faisant, chaque mécanisme de sécurité devrait être en mesure de soutenir la migration vers une nouvelle technologie ou mise à jour de nouvelles fonctionnalités.

Qui suis-je ? • Une politique de sécurité de l’information régit un ensemble spécifique

Qui suis-je ? • Une politique de sécurité de l’information régit un ensemble spécifique d'informations et de technologies de l'information qui peuvent traverser les frontières physiques définies dans des politiques de sécurité physique. De plus, il peut arriver qu’une seule machine ou serveur puisse accueillir à la fois des accès publics et de l'information sensibles.

Qui suis-je ? • Un système d’information peut traiter, stocker et communiquer de l’information.

Qui suis-je ? • Un système d’information peut traiter, stocker et communiquer de l’information. Chacune de ses actions peut comprendre des vulnérabilités.

Qui suis-je ? • Une maintenance et une exploitation complexes d’un contrôle de sécurité

Qui suis-je ? • Une maintenance et une exploitation complexes d’un contrôle de sécurité , demande plus de formation, sont souvent moins efficaces et sont plus propices aux erreurs.

Qui suis-je ? • Permet le maintien du fonctionnement d'une organisation en cas de

Qui suis-je ? • Permet le maintien du fonctionnement d'une organisation en cas de catastrophe ou d'interruption de service prolongée qui affecte la mission de l'organisation.

Qui suis-je ? • Identifier les interfaces externes du système d’information. • Identifier les

Qui suis-je ? • Identifier les interfaces externes du système d’information. • Identifier les endroits où l’information entre et sort du système d’information. • Identifier les ports, protocoles, les services qui sont requis pour le système d’information • Etc.

Qui suis-je ? • Il est risqué de supposer que l’équipe de développeurs connaît

Qui suis-je ? • Il est risqué de supposer que l’équipe de développeurs connaît les bonnes pratiques sécuritaires de développement et sait comment développer des logiciels sécurisés.

Qui suis-je ? • Les besoins de sécurité des TI ne sont pas uniformes.

Qui suis-je ? • Les besoins de sécurité des TI ne sont pas uniformes. Les concepteurs de systèmes et les professionnels de la sécurité devraient tenir compte des différents besoins. Ce faisant, la mise en œuvre des solutions d'assurance moins élevée avec des coûts moindres pour protéger les systèmes moins critiques et des solutions d'assurance plus élevés pour protéger les systèmes plus critiques.

Satellites galilens de Jupiter Qui suisje O suisjeSatellites galilens de Jupiter Qui suisje O suisje
Satellites galilens de Jupiter Qui suisje O suisjeSatellites galilens de Jupiter Qui suisje O suisje
Qui suis je Qui suisje Psychologue amrican IlQui suis je Qui suisje Psychologue amrican Il
Scurit et confidentialit Scurit et confidentialit Scurit desScurit et confidentialit Scurit et confidentialit Scurit des
La scurit Les composants de scurit La scuritLa scurit Les composants de scurit La scurit
QUI SUISJE Un homme une femme UNE SCULPTUREQUI SUISJE Un homme une femme UNE SCULPTURE
Qui suisje Les ITSS en prouvette 2014 ProjetQui suisje Les ITSS en prouvette 2014 Projet
Qui suisje Langage clair pour le citoyen OrganismeQui suisje Langage clair pour le citoyen Organisme
Qui suisje Sur mon bateau naufrag je rameQui suisje Sur mon bateau naufrag je rame
Qui suisje Christian SALVIGNOL Mes activits Centre ForestierQui suisje Christian SALVIGNOL Mes activits Centre Forestier
Qui suisje 2 Je viens de nulle partQui suisje 2 Je viens de nulle part
Lexibar Accdez la russite Introduction Bienvenue Qui suisjeLexibar Accdez la russite Introduction Bienvenue Qui suisje
Qui suisje 2 Je viens de nulle partQui suisje 2 Je viens de nulle part
Pour Vous QUI SUISJE Dans Une Petite VillePour Vous QUI SUISJE Dans Une Petite Ville
De qui suisje vraiment proche Janvier 2011 LesDe qui suisje vraiment proche Janvier 2011 Les
Qui suisje 1 Je mallonge et je rtrcisQui suisje 1 Je mallonge et je rtrcis