Article précédent
La sécurité des systèmes d’information – Garantir la maîtrise du risque| Réf : S8261 v1
Auteur(s) : Jean-Marc CHARTRES
Date de publication : 10 sept. 2011
Cet article fait partie de l’offre Automatique et ingénierie système
L'accès à une base complète d'articles actualisée et mise à jour en permanence
Des services
et outils pratiques
100 % web consultable
sur tous les supports numériques
Quitter la lecture facile
Le tableau de bord SSI (sécurité du système d’information) caractérise le niveau de sécurité par domaine, et permet une analyse post mortem indispensable à l’amélioration du processus.
Il s’agit de surveiller le domaine et d’établir dans le temps la capacité à maîtriser les risques IT pour minimiser les impacts métiers.
Pour cela, les impacts éventuels seront analysés comme suit :
traités en conformité des contrats de service et de la PSSI (politique de sécurité du système d’information) ;
traités en mode préventif ;
traités en mode pro actif ;
traités en mode improvisation ;
non traités.
La centralisation de milliers de lignes de logs journalières en provenance des composants sécurité de formats souvent différents, demandent pour être analysées des projets de corrélations de logs qui traduisent toujours très mal l’objectif initial : fournir des tendances afin de piloter la sécurité et rendre compte au contrôle interne de l’entreprise.
Ce n’est pas une corrélation d’événements, mais une situation d’événements (non corrélés) qui amène une situation à risque. Il faut, dès l’analyse des risques et de leurs traitements, réfléchir à la chaîne des événements qui permettront de se prononcer sur la pertinence de la sécurité prévue et déployée.
De l’ensemble des événements liés à la sécurité, doit s’élaborer un tableau de bord statuant sur la performance du processus. Il est intéressant de reprendre pour ce tableau de bord les indicateurs de maturité issu de CMMi (Capability Maturity Model Integration).
Sur la base de tous les incidents de sécurité traités sur un temps donné, il faut établir, par exemple, les quatre niveaux suivants :
1) incidents subis (non maîtrisés) ;
2) incidents traités en mode problème (improvisation) ;
3) incidents maîtrisés (attaques bloquées) éventuellement sur nouvelles menaces ;
4) incidents maîtrisés et impacts faibles.
Sur plusieurs périodes de temps, les...
Vous êtes abonné à cette offre ?
Connectez-vous !
Vous souhaitez découvrir cette offre ?
Cet article est inclus dans l'offre :
AUTOMATIQUE ET INGÉNIERIE SYSTÈME
EBIOS – Logiciel d’analyse de risques
EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité
http://www.ssi.gouv.fr/site_article173.html
CLUSIF | MEHARI
MEHARI une méthode complète d'évaluation et de management des risques liés à... est réalisée selon les dispositions du logiciel libre (Open Source)
http://www.clusif.asso.fr/fr/production/mehari/
HAUT DE PAGE
CLUSIF – Club de la Sécurité de l'Information Français
Abc de la sécurité informatique
http://abcdelasecurite.free.fr/
Liens...
Les avantages et services compris dans votre offre
accès
Accès illimité aux
articles en HTML
Enrichis et mis à jour pendant
toute la durée de la souscription
Téléchargement des articles
au format PDF
Pour un usage en toute liberté
Consultation sur tous
les supports numériques
Des contenus optimisés pour
ordinateurs, tablettes et mobiles
services et outils pratiques
Archives
Technologies anciennes et versions
antérieures des articles
détails de l'offre
| Licence annuelle monoposte | Licence pluriannuelle et/ou multiposte | |
|---|---|---|
| Droit d'accès | ||
| Accès HTML aux articles | Illimité | Illimité |
| Téléchargement des versions pdf | 5 / jour | > 5 / jour (2) |
| Consultation sur tous les supports | Oui | Oui |
| Les services | ||
| Questions aux experts (1) | 4 / an | > 4 / an (2) |
| Articles découverte | 5 / an | > 5 / an (2) |
| Dictionnaire technique multilingue | Oui | Oui |
| Archives | Oui | Oui |
| Impression à la demande | 45 € / exemplaire | 45 € / exemplaire |
| Infos mise à jour | Oui | Oui |
| AJOUTER AU PANIER | DEMANDER UN DEVIS |
(1) Non disponible pour les lycées, les établissements d’enseignement supérieur et autres organismes de formation. (2) Sur devis
