Contactez-nous

Contact

Poser une question en ligne Contacter nos équipes

Aide en ligne

Tutos FAQ Chatbot d'assistance
Incidents de sécurité
Référentiels normatifs. Sécurité de l'information
H5070 v1 Archive

Incidents de sécurité
Référentiels normatifs. Sécurité de l'information

Auteur(s) : Claude PINET

Date de publication : 10 août 2012

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Sécurité, une exigence pour l'information

2 - Référentiels normatifs applicables

3 - Organisation des dossiers

4 - Instances (rappel)

5 - Concepts (vocabulaire)

6 - Série ISO/CEI 27000

  • 6.1 - Structure normative

7 - Norme ISO 27001

  • 7.1 - Contexte
  • 7.2 - Structure normative
  • 7.3 - SMSI
  • 7.4 - Documentation
  • 7.5 - Responsabilité de la direction
  • 7.6 - Audits internes du SMSI
  • 7.7 - Revue de direction du SMSI
  • 7.8 - Amélioration du SMSI

8 - Déclaration d'applicabilité

  • 8.1 - Annexe normative
  • 8.2 - Thèmes sécurité imposés
  • 8.3 - Comment y répondre ?

9 - Norme ISO 27002

10 - Recenser les actifs

  • 10.1 - Qu'est-ce qu'un actif ?
  • 10.2 - Comment identifier un actif ?
  • 10.3 - Comment gérer un actif ?

11 - Recenser les risques

12 - Analyser et évaluer les risques

  • 12.1 - Évaluer l'impact d'un risque (gravité)
  • 12.2 - Évaluer la probabilité d'apparition d'un risque (fréquence)
  • 12.3 - Déterminer les risques acceptables

13 - Traiter les risques

  • 13.1 - Traiter les risques
  • 13.2 - Approuver les risques résiduels

14 - Incidents de sécurité

  • 14.1 - Méthodes pour les risques ?

15 - Conclusion

Sommaire

Présentation

Auteur(s)

  • Claude PINET : Ingénieur diplômé du Conservatoire national des arts et métiers (CNAM) - Ingénieur européen EUR ING® - Auditeur qualité certifié IRCA (International Register of Certificated Auditors) n 1182803 - Directeur CPI CONSEIL

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

INTRODUCTION

L'information constitue un capital très important pour tout organisme. Elle représente une ressource vitale pour exercer des activités. À ce titre, l'information nécessite la mise en place et la gestion d'une protection adaptée.

La sécurité de l'information a pour objectif de protéger l'information contre de nombreuses menaces qui pèsent sur la dégradation ou l'interruption de la continuité de l'activité de l'organisme. Des mesures doivent être définies, mises en œuvre, suivies, réexaminées et améliorées afin d'atteindre un certain nombre d'objectifs dédiés à la sécurité.

Des processus particuliers doivent être définis et déployés pour y parvenir. Toutefois, ces derniers doivent s'intégrer harmonieusement avec les autres processus dans le cadre du système de management global de l'organisme.

Afin de préciser les exigences de sécurité relatives à l'information, un référentiel normatif a été élaboré. Bien évidemment, il est applicable aux différents systèmes qui traitent l'information.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5070

Lecture en cours
Présentation

Article inclus dans l'offre

"Technologies logicielles Architectures des systèmes"

(234 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

14. Incidents de sécurité

Le système de management de la sécurité de l'information, comme tout système, est soumis à des événements intérieurs ou extérieurs qui sont susceptibles de venir en perturber le fonctionnement.

Ces événements ayant une incidence sur la sécurité de l'information doivent faire l'objet d'un enregistrement comme incident ou faille, puis d'un traitement particulier.

La définition de la norme ISO/CEI 27001 d'un incident de sécurité est la suivante : c'est un incident qui est indiqué par un ou plusieurs événements indésirables ou inattendus présentant une probabilité de compromettre l'activité.

Exemples d'incidents de sécurité

  • perte de service ;

  • perte de matériel ;

  • dysfonctionnement ;

  • erreur humaine ;

  • ...

14.1 Méthodes pour les risques ?

Voici une liste non limitative de quelques méthodes de référence en matière de gestion des risques :

  • EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) maintenue par la Direction Centrale de la sécurité des Systèmes d'Information (DCSSI) ;

  • MEHARI (MEthode d'Analyse de Risque) développée par le CLUSIF ;

  • ISO 31000 – Management du risque ;

  • ISO/CEI 27005 – Gestion des risques en sécurité de l'information.

HAUT DE PAGE
Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Incidents de sécurité

Article inclus dans l'offre

"Technologies logicielles Architectures des systèmes"

(234 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - Sous la direction de PINET (C.) (Groupe des experts qualité du CNAM) -   La Qualité du logiciel. Retour d'expériences.  -  AFNOR (1998).

  • (2) - PINET (C.) -   Guide du responsable micro.  -  Chapitre 13 – Mise en œuvre de la qualité, Édition DUNOD, 1998 et mise à jour 2000.

  • (3) - PINET (C.) -   Système d'information : évolution des normes relatives au logiciel dans la mouvance des nouvelles normes ISO 9000.  -  Actes des conférences SISQUAL'99.

  • (4) - PINET (C.) -   Processus d'ingénierie du logiciel. Méthodes et qualité.  -  Pearson Éducation (2002).

  • (5) - PINET (C.) -   10 clés pour réussir sa certification ISO 9001.  -  AFNOR (2006).

  • (6) - PINET (C.) -   10 clés pour la gestion des services, de l'ITIL à l'ISO 20000.  -  ...

DANS NOS BASES DOCUMENTAIRES

ANNEXES

  1. 1 Outils logiciels
    1. 2 Sites Internet
      1. 3 Évènements
        1. 4 Normes et standards
          1. 4.1 Normes internationales sur la gestion de la qualité et l'assurance de la qualité
          2. 4.2 Normes sur la qualité des prestations Information Technology
          3. 4.3 Normes relatives au risque
          4. 4.4 Normes sur la sécurité de l'information
        2. 5 Annuaire
          1. 5.1 Organismes – Fédérations – Associations (liste non exhaustive)
          2. 5.2 Documentation (liste non exhaustive)

        1 Outils logiciels

        Audit Diagnostic Évaluation Système (ADES). Cet outil gère plusieurs grilles de référentiels. Il permet de saisir dans une base de données les constats des audits/évaluations et d'enregistrer des actions d'amélioration. Puis il restitue, sous la forme de rapports, les constats des audits/évaluations enregistrés dans la base de données. Des comparaisons entre deux audits/évaluations permettent d'apprécier les améliorations réalisées http://cpi.conseil.free.fr/ADES2

        Amélioration système (AS). Cet outil permet de saisir dans une base de données des constats résultant des audits ou des réclamations clients. En regard de ces constats, des actions d'amélioration...

        Logo Techniques de l'Ingenieur

        Cet article est réservé aux abonnés.
        Il vous reste 92 % à découvrir.

        Pour explorer cet article Consulter l'extrait gratuit

        Déjà abonné ?

        Article inclus dans l'offre

        "Technologies logicielles Architectures des systèmes"

        (234 articles)

        Une base complète d’articles

        Actualisée et enrichie d’articles validés par nos comités scientifiques.

        Des contenus enrichis

        Quiz, médias, tableaux, formules, vidéos, etc.

        Des modules pratiques

        Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

        Des avantages inclus

        Un ensemble de services exclusifs en complément des ressources.

        Voir l'offre

        Ressources documentaires

        Cloud Computing - Informatique en nuage

        Le Cloud Computing est une révolution dans la manière d’organiser, de gérer et de distribuer des ...

        Référentiels normatifs - Gestion du cycle de vie du logiciel

        Le logiciel, objet immatériel, existe après avoir été conçu, fabriqué et testé avant d’être ...

        Protocoles SSL/TLS

        Cet article a pour objet la sécurisation des applications de type client-serveur sur Internet. La ...

        NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne

        L'objet de cet article est d’apporter des précisions sur la directive NIS2, les différences avec la ...

        Tous les livres blancs
        Toutes les actualités
        Toutes les conférences en ligne