Présentation
Auteur(s)
-
Jean-Marc CHARTRES : Ingénieur CNAM - Consultant Sécurité chez TELINDUS France
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
À travers un cas concret de projet sécurité d’une entreprise, ce retour d’expérience permet d’illustrer l’importance d’une adaptation de la sécurité informatique afin de répondre aux nouvelles menaces qui pèsent sur nos systèmes d’information et de communication.
L’ouverture excessive des systèmes d’information a conduit les entreprises à contrôler les accès aux services de communication ; mais les nouvelles menaces informatiques ciblent désormais l’information, car une fois franchie la barrière d’accès, les données non structurées sont peu protégées. Il faut reprendre le processus de sécurité car il semble que nous ayons renoncé au contrôle sur les données, et nous devons, à partir d’une analyse des risques, définir une sécurité pour les données au repos, et assurer les fonctions d’usages sur les données en mouvement.
La mutation de nos systèmes d’information doit aboutir à une stratégie de sécurité sur les données sensibles en adéquation avec une stratégie de sécurité sur les échanges.
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
Présentation
L’évitement du risque comme ROIArticle inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
6. Maîtriser ses risques par la réduction des menaces
6.1 Impacts redoutés
L’ensemble des informations pour la sécurité crée un observatoire pour organiser la défense éventuelle, et permet d’établir des tableaux de bord automatiques de la performance du processus de sécurité.
Il faut établir sur un incident de sécurité si :
-
la menace est connue ;
-
la prévention a fonctionné ;
-
la détection a fonctionné ;
-
les actions ont été les bonnes ;
-
les impacts sont restés sous maîtrise.
La vérification « booléenne » de ces variables statue sur l’efficience du processus mis en place pour la menace constatée.
Nous pouvons établir une table de vérité qui va montrer, pour chaque domaine fonctionnel et impact, le niveau de maturité ou de performance. Voyons (figure 7) le cas d’impact constaté et supérieur au contrat de service.
De même, nous pouvons établir le tableau (figure 8) qui traduit le processus sécurité sur des impacts nuls ou acceptables.
Bien sûr, il est toujours possible d’établir une analyse plus fine qui permettrait, par exemple, de vérifier sur quel type d’incident sécurité nous sommes plus faibles ou plus performants. Nous disposons de l’ensemble des données, mais nous nous intéressons à la tendance. L’avantage de montrer les tendances pour les impacts nuls ou acceptables est d’éviter l’idée selon laquelle puisqu’il ne se passe rien, la sécurité ne sert à rien…
Le management dispose d’indicateurs qui lui montrent que le processus de sécurité est actif, et évite le plus souvent de constater des impacts au niveau des activités. A contrario, le management doit veiller à ce que le processus de sécurité soit toujours vigilant et intègre les nouvelles menaces dans sa performance (figure 9).
HAUT DE PAGE6.2 Pilotage et surveillance
Les solutions de sécurité sont le plus souvent des fonctions empilées « en silos » ayant chacune leur propre possibilité d’administration et de pilotage. Une vision...
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
Maîtriser ses risques par la réduction des menaces
Article inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
DANS NOS BASES DOCUMENTAIRES
ANNEXES
EBIOS – Logiciel d’analyse de risques
EBIOS 2010 – Expression des besoins et identification des objectifs de sécurité
CLUSIF | MEHARI
MEHARI une méthode complète d'évaluation et de management des risques liés à… est réalisée selon les dispositions du logiciel libre (Open Source)
http://www.clusif.asso.fr/fr/production/mehari/
HAUT DE PAGE
CLUSIF – Club de la Sécurité de l'Information Français
...
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Automatique et ingénierie système"
(138 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
