CISM PPT
CISM PPT
CISM PPT
I N F O R M AT I O N S E C U R I T Y
MANAGER)
• Objectifs pédagogiques
Ce cours permet de préparer l'examen CISM®, Certified Information Security Manager, couvrant
sécurité défini par l'ISACA®, Information Systems Audit and Control Association. La certification
• Outre la réussite à l'examen, il faut justifier d'au moins 5 années d'expérience avec un minimum
de trois ans dans le management de la sécurité de l'information dans trois domaines concernés
par la certification. Pour le passage de l'examen, vous devez vous inscrire sur le site de l'ISACA.
DOMAINE 1 : G O U V E R N A N C E D E L A SÉ C U R I T É D E L' I N F O R M AT I O N
Concepts à saisir:
4. Etablir des canaux de reporting et de communication qui prennent en charge les activités de
gouvernance de la sécurité de l'information.
DO M A I N E 1 : G O U VER NA NCE DE L A SÉ C UR I T É D E L ' I N FO R M AT I ON
Concepts à saisir:
6. Établir et maintenir des stratégies de sécurité des informations qui soutiennent les buts et
objectifs de l'entreprise.
Gouvernance de la Sécurité de
l’information
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Business Unit Managers Chefs départements et responsables Classifie et établit les exigences
hiérarchiques pour la sauvegarde des actifs
informationnels
Level 4 Les politiques, les procédures et les contrôles sont testés et examinés pour
assurer leur pertinence continue
Toutes les décisions de sécurité doivent être liées aux objectifs commerciaux ou à la déclaration de
mission de l'organisation. Comme pour les autres stratégies à l'échelle de l'organisation, le
programme de sécurité de l'information doit être établi par la mise en œuvre d'une stratégie
globale
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Documentés
• Communiqués
• Courants
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Lors de l'établissement d'une stratégie de sécurité de l'information, l'objectif de
ce qui doit être accompli doit être présent dans tout ce que nous créons et
mettons en œuvre. L'objectif de la sécurité de l'information n'est pas d'empêcher
tout accès à toutes les informations, mais de fournir un processus sûr et sécurisé
à tous les membres du personnel autorisés. La stratégie d'information doit donc
aborder trois concepts clés:
• Identification
• Authentification
• Autorisation
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
*IDENTIFICATION
Pour avoir accès aux informations et aux systèmes de traitement, un code d'accès
unique et individuel doit être attribué à toutes les personnes nécessitant un
accès.
En règle générale, ce code d'accès est appelé un ID utilisateur ou un compte. Des
procédures doivent être en place pour fournir les informations nécessaires et les
approbations requises pour attribuer un ID utilisateur unique à une personne.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
*AUTHENTIFICATION
Une fois que l'ID utilisateur a été établi, il sera nécessaire d'authentifier la
personne auprès du système ou de l'application dont elle a besoin pour accéder
aux informations. Ce processus est appelé authentification et est le processus
d'identification d'un individu, généralement basé sur un nom d'utilisateur et un
mot de passe. Un ID utilisateur et un mot de passe sont appelés authentification à
un facteur. L'ID utilisateur peut être associé à une carte à jeton (telle qu'une carte
SecureID qui modifie le mot de passe toutes les 60 secondes) ou à une clé
biométrique (empreinte digitale ou vocale). De nombreux systèmes sécurisés
nécessitent une authentification à deux facteurs. Cela signifie associer l'ID
utilisateur à un mot de passe et à une ou plusieurs des autres méthodes.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
*AUTORISATION
Une fois que j’ai identifié qui je suis et authentifié qui je suis, alors je suis
autorisé. Je serai autorisé à accéder à ce dont j'ai besoin pour effectuer mon
travail. Il y a deux éléments clés concernant l'autorisation et ceux-ci sont le
besoin de savoir et le moindre privilège. Dans l'authentification, il est nécessaire
d'établir les paramètres permettant de vérifier que les individus sont bien ceux
qu'ils se présentent. Une fois que le besoin professionnel a été établi, la personne
ne dispose que du niveau d'accès nécessaire pour exécuter cette fonction
spécifique. Ce processus est appelé le moindre privilège.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• L'accès peut être accordé soit à un individu, soit en fonction de la fonction qu'il
exerce pour l'entreprise. Vous pouvez avoir une autorisation individuelle ou une
autorisation de groupe. Lorsque quelqu'un entre dans un groupe, cela signale les
autorisations du groupe et lorsqu'il quitte, il est déchargé du groupe et ces
autorisations lui sont retirées. C'est un concept connu sous le nom de moindre
privilège. Avec le besoin de savoir, vous devez avoir un besoin commercial d'avoir
accès à tout ce que vous regardez.
• Une stratégie de sécurité efficace requiert au minimum cinq éléments clés: des stratégies, des
procédures, une authentification, une autorisation et un plan de récupération, car les
utilisateurs ont tendance à effacer des éléments par inadvertance. Soixante-cinq pour cent des
pertes d’information proviennent toujours d’erreurs et d’omissions
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• 1. Établir des politiques, des normes et des procédures pour guider le personnel.
• 2. Nommer un responsable de haut niveau pour superviser le respect de la politique, des normes et
des procédures.
• 3. Faire preuve de la plus grande prudence lorsqu’on accorde un pouvoir discrétionnaire aux
employés.
• 4. S’assurer que les politiques de conformité sont appliquées.
• 5. Communiquer les normes et procédures à tous les employés et autres (Prestataires..etc).
• 6.Appliquer systématiquement les politiques, normes et procédures au moyen de mesures
disciplinaires appropriées.
• 7. Disposer de procédures pour les corrections et les modifications en cas de violations.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Concept 5 : Établir des communications de reporting qui prennent en charge les
activités de gouvernance de la sécurité de l'information
Un rapport annuel sur l’état de la sécurité de l’information devrait être présenté au Comité
directeur sur la sécurité de l’information. Cette obligation de déclaration a été établie dans la
législation en vigueur et dans les normes internationales relatives à la sécurité de l'information. Ce
rapport ne doit pas être confondu avec un audit de fonctionnalité standard effectué par le
personnel d'audit, ni ne fait partie d'un processus de certification par tierce partie.
En règle générale, le RSSI prépare un rapport sur les niveaux de conformité actuellement observés
dans toutes les unités fonctionnelles. Le processus de développement de rapports comporte
normalement deux composants clés: la conformité aux exigences essentielles en matière de
sécurité de l’information et le niveau de mise en œuvre
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Concept 6 : Établir et maintenir des politiques de sécurité de l'information
La pierre angulaire d’une architecture de sécurité de l’information efficace est une déclaration de
stratégie bien écrite. C’est la source de toutes les autres directives, normes, procédures, directives
et autres documents justificatifs. Comme pour toute fondation, il est important d’établir une base
solide. Comme indiqué ci-après, une stratégie remplit deux rôles, l'un interne et l'autre
externe.
La partie interne indique aux employés ce qu'on attend d'eux et comment leurs actions seront
jugées. La partie externe indique au monde comment l'entreprise est gérée. Chaque organisation
doit avoir des politiques en place qui soutiennent les pratiques commerciales saines et elles
démontreront au monde entier qu'elle comprend que la protection des actifs est essentielle à la
réussite de sa mission
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
Il existe trois types de stratégies, et vous utiliserez chaque type à des moments différents dans
votre programme de sécurité des informations et dans l'ensemble de l'organisation pour prendre
en charge le processus métier ou la mission. Les trois types de politiques sont:
• 1. Global (niveau 1): ils servent à créer la vision et la direction générales de l'organisation.
• 2. Sujets spécifiques (niveau 2): ils traitent de sujets de préoccupation particuliers.
• 3. Politiques spécifiques aux applications: elles concernent les décisions prises par la direction
pour contrôler des applications particulières (rapports financiers, états de paie, etc.) ou des
systèmes (système de budgétisation).
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Concept 7: Assurer le développement de procédures et de directives
qui soutiennent la politique de sécurité de l'information
Les deux méthodes couramment utilisées sont le retour sur investissement (ROI) ou le
coût total des possession (TCO). Le programme de sécurité de l'information a
également besoin d'une solide analyse de rentabilisation pour justifier le financement et
doit être élaboré par le responsable de la sécurité de l'information.
GOUVERNANCE DE LA SÉCURITÉ DE
L’INFORMATION
• Récemment, les avancées en matière de technologies et de
procédures de mise en service d’accès unique et d’accès utilisateur
ont permis d’économiser du temps et de l’argent par rapport aux
techniques d’administration manuelle traditionnelles. Un certain
nombre d'exemples comparent les coûts des processus
traditionnels par rapport aux procédures les plus récentes. Ils
peuvent être utilisés dans l'analyse de rentabilisation que la plupart
des gestionnaires de la sécurité des informations doivent
developper.
Domaine II
• Que peuvent dire les résultats d'une gestion des risques à une organisation?
• Qui devrait examiner les résultats d'une analyse de risque?
• Comment le succès de l'analyse de risque est-il mesuré?
GESTION DES RISQUES DE L'INFORMATION
La gestion des risques est le processus qui permet d'équilibrer les coûts
opérationnels et économiques des mesures de protection et de réaliser des
gains tout en protégeant les processus métier qui soutiennent les objectifs
commerciaux ou la mission de l’entreprise . Cependant, la gestion des risques ne
se limite pas à la sécurité de l’information. Il s’agit d’un processus qui aide la
direction à s’acquitter de son obligation de protéger les actifs de l’organisation.
GESTION DES RISQUES DE L'INFORMATION
2. Menaces humaines: événements provoqués ou causés par des êtres humains, tels que des actes
non intentionnels (erreurs et omissions) ou des actes délibérés (fraude, logiciels malveillants,
accès non autorisé). Statistiquement, la menace qui cause le plus de pertes en ressources
d’information reste l’erreur humaine et les omissions.
Forte probabilité: très probable que la menace se concrétise au cours de la prochaine année
Faible probabilité: très peu probable que la menace se concrétise au cours de la prochaine
année.
GESTION DES RISQUES DE L'INFORMATION
Le processus de niveau de risque nécessitera l'utilisation d'une définition de l'impact ainsi que
d'un tableau matriciel qui permettra à l'équipe d'établir un niveau de risque.
Impact: mesure de l'ampleur de la perte ou du préjudice causé à la valeur d'un actif
Impact élevé: fermeture d'une unité fonctionnelle essentielle entraînant une perte importante
d'activités, d'image ou de profit
Impact moyen: brève interruption d'un processus critique ou du système entraînant une perte
financière limitée pour une seule unité opérationnelle.
Impact faible: interruption sans perte financière.
GESTION DES RISQUES DE L'INFORMATION
Étape 6: documentation
Une fois l'analyse des risques terminée, les résultats doivent être documentés dans un format
standard et un rapport doit être envoyé au propriétaire de l'actif. Ce rapport aidera la direction,
le propriétaire de l'entreprise, à prendre des décisions en matière de politique, de procédures, de
budget, de systèmes et de gestion. Le rapport d'analyse des risques doit être présenté de
manière systématique et analytique, ce qui permet d'évaluer les risques de manière à ce que la
direction comprenne les risques et affecte les ressources nécessaires à la réduction des risques à
un niveau acceptable.
GESTION DES RISQUES DE L'INFORMATION
L'un des rôles principaux du responsable de la sécurité de l'information est de signaler les
changements de risque significatifs aux niveaux appropriés de la direction, à la fois de manière
périodique et en fonction des événements. Au fur et à mesure que des changements se
produisent au sein de l'organisation, l'évaluation des risques doit être mise à jour pour s'assurer
qu'elle reste conforme à la situation réelle. Le responsable de la sécurité de l'information doit
organiser des réunions de mise à jour périodiques avec la direction afin de présenter l'état du
programme de sécurité global de l'organisation. Cette mise à jour devrait inclure tout
changement significatif du profil de risque de l'organisation.
GESTION DES RISQUES DE L'INFORMATION
L’alignement stratégique
L’alignement stratégique aves les objectifs de l’organisation, nécessite une interaction régulière
avec les pilotes de processus pour comprendre leurs plans stratégiques et résultats souhaités,
Ceci peut être accompli à travers un comité de pilotage s’ils en sont membres ou à défaut leurs
représentants,
Tous les points d’attention doivent être traités, et une communication adaptée doit être mise en
place
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION
La livraison de valeur
La livraison de valeur requiert que la sécurité de l’information délivre le niveau de sécurité requis
de façon efficace/efficiente.
L’exécution d’un programme de sécurité de l’information peut avoir un effet considérable sur
l’atteinte de ce objectif.
Les investissements en matière de sécurité doivent être gérés afin d’optimiser leur support aux
objectifs d’affaire de l’organisation
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION
La mesure de la performance
Si l’on développe une stratégie de sécurité de l’information, il convient de définir des indicateurs
pertinents afin d’en assurer la mesure
Le RSSI doit définir les différents processus avec les indicateurs appropriés, Le but est de faire le
reporting sur les différents processus de sécurité et les contrôles mis en place.
Les indicateurs doivent être définis à différents niveaux: sur le plan stratégique, tactique et
opérationnel.
Le management doit valider lesdits indicateurs et l’on doit s ’assurer de leur alignement
stratégique sur les objectifs de l’organisation.
GESTION DU PROGRAMME DE SÉCURITÉ DE
L'INFORMATION
La gestion des incidents informatiques est définie comme la capacité à gérer efficacement les
événements inattendus pouvant perturber le bon fonctionnement du système d’information, avec
l’objectif d’en minimiser leur impact et restaurer les opérations dans un délai défini.
Dans beaucoup d’organisations, la responsabilité relative à la gestion des incidents liés à la sécurité
de l’information revient de facto au RSSI.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La planification et la préparation:
Les activités y liées :
Créer les politiques
Avoir le support du management
Etablir une checklist et acquérir les outils nécessaires
Développer un plan de communication et de sensibilisation des utilisateurs
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La détection et l’investigation :
Les activités y liées :
Définir les événements et les incidents
Définir le processus de notification
Détecter et valider les incidents
Prioriser et évaluer les incidents
Implémenter des SIEM, des IPS, des IDS…..
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La revue post-incident :
Les activités y liées :
Examiner ce qui est arrivé et à quel moment
Examiner comment l’incident a été géré
En déduire les actions correctives pouvant prévenir des incidents de même nature
Documenter les leçons apprises
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La clôture de l’incident :
Essentiellement il s’agir de :
Soumettre les rapports au management et aux parties prenantes
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La clôture de l’incident :
Essentiellement il s’agir de :
Soumettre les rapports au management et aux parties prenantes
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La clôture de l’incident :
Essentiellement il s’agir de :
Soumettre les rapports au management et aux parties prenantes
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Informations sur la source de la menace
Nous avons abordé le contrôle des systèmes de détection et de prévention des intrusions, ainsi
que des systèmes anti-virus. Ces systèmes fourniront des informations réelles sur le nombre et
les types d'attaques tentées contre votre organisation. Ces systèmes fournissent certaines des
données les plus difficiles en termes d'attaques réelles que votre organisation verra. Cependant, il
y a un léger inconvénient: en tant que responsable de la sécurité de l'information, vous ne pouvez
pas planifier d'attaques qui ont déjà commencé. C'est pourquoi la combinaison des sites
énumérés ci-dessus avec les données en temps réel des systèmes de détection d'intrusion et des
systèmes anti-virus peut fournir une bien meilleure vue d'ensemble des problèmes de sécurité
actuels.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• En tant que responsable de la sécurité des informations, vous devez être familiarisé avec les
stratégies de détection d'intrusion (comment créer et modifier les stratégies IDS) ainsi que les
propriétés de votre système IDS.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
++ Propriétés IDS
Un IDS doit être un système tolérant aux pannes, ce qui signifie qu'en cas de panne de votre système,
il devrait disposer d'un moyen de poursuivre le traitement et de consigner les informations d'attaque.
• Le système IDS lui-même doit être sécurisé et ne doit pas créer de point d'exposition qu'un
attaquant pourrait utiliser pour obtenir un accès non autorisé à votre réseau.
• Les systèmes IDS tels que les systèmes anti-virus doivent fonctionner en permanence. Cela signifie
qu’il n’ya aucun moyen de contourner le traitement spécifique de la sécurité.
Dès que le périphérique IDS est démarré, le logiciel IDS devrait être en cours d'exécution. De plus, un
composant clé d’un système IDS est qu’il peut être modifié pour s’adapter à de nouveaux exploits.
• De plus, un IDS ne devrait pas imposer de surcharge d’accès.
En outre, un IDS doit pouvoir détecter toute anomalie à partir de la base de l'environnement de
traitement normal de votre organisation.
• Un IDS doit disposer de journaux d’audit pouvant être sauvegardés ou spoulés sur un autre
périphérique qui stockera les informations de journal en cas de défaillance de l’IDS.
• Enfin, un IDS devrait pouvoir identifier la motivation d'attaque et le niveau de compétence
correspondant d'un attaquant.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Planification de la continuité des activités et planification de la reprise après
sinister
C'est une véritable urgence et souvent, dans ce type de situation, des erreurs catastrophiques
peuvent être commises. Ce qui est nécessaire ici est un processus de réponse aux incidents
(IR). Bien sûr, le meilleur plan d’action aurait été de prévoir et de planifier cela des mois à
l’avance. Dans de nombreux cas, vous avez peut-être effectué la «planification», mais la
budgétisation a été laissée à quelqu'un d'autre et n'a jamais été réellement intégrée au manuel de
procédures.
Anecdote : J'avais souvent une situation où le plan était élaboré, mais mon équipe de direction ne
s'intéressait pas à mon plan. Si nous avions effectué une planification préalable, nous aurions affaire à la
gestion des incidents et non à la réponse aux incidents. Parce que tout ou partie des raisons de ne pas
avoir un plan existant en place peuvent être vraies, arrêtons d'apposer le blâme et commençons à
résoudre le problème.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• +++ La planification
++ Raisons du PCA
BCP permet à une entreprise de maintenir ses activités, de gagner du temps, de limiter les
erreurs, de réduire le stress et de fournir des informations de coût en cas de sinistre. La
principale raison de la planification d'urgence est de conserver les revenus de votre
organisation en cas de sinistre, de respecter les obligations contractuelles ou de satisfaire le
client. Le principal objectif de BCP est de minimiser les pertes d’affaires à court et à long
terme en vous permettant de disposer des ressources nécessaires pour récupérer vos
processus d’entreprise. Une des raisons secondaires du PCA est le sous-produit du
processus de PCA: vous aurez identifié vos ressources critiques, vos actifs et vos systèmes
dépendants. La PCA peut ne pas avoir lieu du jour au lendemain, dans la quasi-totalité des
cas, et peut durer plusieurs années. Bien que la PCA soit souvent un processus nécessaire,
cette dernière peut avoir échoué dans votre organisation par le passé. Cela signifie que la
création du PCA a échoué et non que l’entreprise n’a pas pu continuer.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
La plupart du temps, la raison pour laquelle BCP échoue est que BCP ne bénéficie pas du
soutien complet de la direction. En raison du temps nécessaire au développement d'un PCA,
les coûts peuvent être assez élevés. En raison des coûts, le PCA est souvent utilisé en
réponse à une force extérieure (telle qu'une catastrophe de grande envergure telle qu'un
ouragan, un tsunami ou un attentat à la bombe). Pour que le processus de PCA puisse obtenir
l’appui de la direction, vous devez, en tant que responsable de la sécurité de l’information,
effectuer une analyse ou une évaluation des risques. Le processus d’analyse ou d’évaluation
des risques fournira les paramètres permettant d’aider la haute direction à comprendre les
avantages de la création d'un plan de continuité du point de vue de l'entreprise. Le processus
d'évaluation des risques est véritablement un processus commercial, non seulement parce
que vous pouvez avoir des exigences légales ou autres, mais également parce qu'un PCA peut
prouver à vos clients et à vos clients que vous avez un plan en place pour continuer à
respecter vos obligations contractuelles.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Identify Critical
Functions
Identify
Supporting
Resources
Anticipate
Potential
Contingencies
Select
Contingency
Planning
Strategies
Implement
Contingency
Strategies
Document
Continuity Plans
Exercise the
Strategy
Revise the
Strategy
Busines Continuity
Planning
Disaster
Recovery
Planning
Pour qu'un processus de PCA réussisse, la direction (la haute direction) doit remplir deux fonctions. La
première fonction, selon NIST 800-34, consiste à créer une politique concernant le BCP. La deuxième fonction
est directement liée à cette première fonction et consiste à fournir un soutien cohérent au processus de
planification. Ces fonctions peuvent inclure le comité directeur sur la sécurité de l'information. Ce groupe
(ISSC) est chargé d’examiner et d’approuver le plan et de veiller à ce qu’il soit testé au moins une fois par an. Il
s’agit d’un élément courant d’un processus de diligence raisonnable dans le cadre d’un plan d’urgence. Le CISS
peut examiner les résultats de l'analyse des risques et déterminer que la création d'un PCA sera trop
coûteuse. La haute direction n'est pas le seul groupe à assumer des responsabilités en matière de PCA. Les
responsables fonctionnels (chefs de département ou propriétaires de données) sont chargés de classer la
criticité des systèmes, de hiérarchiser l'ordre de récupération des systèmes et d'intégrer le processus de PCA
au cycle de développement du système (SDLC). Les auditeurs font souvent partie du processus de PCA. Les
auditeurs remplissent généralement deux fonctions dans le processus BCP. La première consiste à veiller à la
diligence requise dans les tâches confiées à la direction et aux responsables des fonctions, ainsi qu’à désigner
une partie neutre ou un arbitre lors de la mise à l’essai du plan de PCA. Pour comprendre pourquoi le
processus de PCA sera dans la plupart des cas long et coûteux, examinons en détail les composants d'un PCA.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
+++ Types de plans
Comme nous l'avons mentionné précédemment, le PCA n'est pas une entité discrète monobloc. Le
PCA est généralement composé de nombreux régimes plus petits qui, pris dans leur ensemble, créent
le PCA.
Continuity of Operations
Plan (COOP)
Continuity of Support
Plan
Disaster Recovery
Plan (DRP)
Cyber Incident
Response Plan
Si le système de paie de Acme Bank est affecté par une catastrophe, la plupart des employés
continueront à venir travailler si les chèques de paie ont quelques jours de retard. Une fois que les
chèques de paie ont plus de dix jours de retard, la plupart des employés cessent de venir au travail. Dans
la plupart des cas, cela signifie que l'entreprise échouera même si l'infrastructure informatique est
restaurée. Cette période de dix jours à partir de laquelle les chèques de paie sont censés être envoyés
constituerait la panne maximale tolérable: MTO. Exprimer cela en tant que point de reprise aurait pour
objectif de dire que le système de traitement de la paie devrait être récupéré dans les dix jours suivant le
délai de paiement normal en cas de sinistre.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Bien que le MTO et le RTO soient presque toujours calculés en jours, l’échelle de criticité d’un
système ou d’un processus peut utiliser de nombreuses étiquettes différentes. Certaines
organisations classeront la note BIA selon une échelle basse, moyenne ou élevée. D'autres
organisations utilisent une cote de A à F, et la plus courante semble être une échelle de notation
de 1 à 5. Nous utilisons l'échelle de notation 1 à 5 dans les exemples futurs du chapitre. En
utilisant l’échelle 1 à 5, les applications classées 1 ou 2 auront la priorité la plus élevée pour
revenir au traitement. Une application dont la criticité est évaluée à 3 sera renvoyée au
traitement dès que possible. Les applications dont l'état de criticité est 4 ou 5 ne seront pas
renvoyées au traitement dans le cadre du plan de reprise après sinistre, mais le seront à nouveau
dans le cadre du plan de reprise des activités. Les applications de niveaux 4 et 5 ne reprendront
le traitement que lorsque les opérations commerciales seront déplacées vers le site de
traitement permanent et non sur le site de récupération après sinistre.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Raisons pour BIA
Comme indiqué ci-dessus, l'analyse de l'impact sur les activités est la première étape du PCA
après que la haute direction a défini une politique de PCA. La réalisation d'une BIA présente de
nombreux avantages pour le reste du processus de PCA. La BIA veillera à ce que le traitement
de la demande reprendra en fonction du plan d'affaires de votre organisation. Cela signifie qu'une
BIA établira un lien entre les objectifs de sécurité et la mission de l'organisation. En outre, une
AIB quantifie le montant des dépenses en mesures de sécurité visant à atténuer les risques avant
le sinistre ou l'incident, ainsi que des contrôles permettant la récupération du traitement de
l'application dans les délais impartis. Parce que la BIA vous permet de comprendre ce qui est
essentiel et de disposer d'un délai pour restaurer le traitement, la BIA fournit une planification et
des conseils à long terme pour le reste du processus de PCA. Pour résumer, les objectifs d'un
AIB sont de comprendre les impacts économiques et opérationnels, de déterminer les délais de
reprise, d'identifier la stratégie la plus appropriée justifiée par les coûts d'un plan de
redressement et d'inclure le PCA dans les processus décisionnels normaux.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Tier 1 Application
Immediately
Tier 2 Application
Tier 4 Application
Tier 5 Application
Les accords de réciprocité sont très rares à voir fonctionner dans les affaires. Un accord de
réciprocité est un accord entre deux organisations qui obligent contractuellement l’organisation
ne subissant pas le sinistre à fournir des installations de traitement à l’organisation touchée par le
sinistre. Dans la plupart des cas, les accords ne fonctionnent pas en raison de la nature
perturbatrice de la co-localisation du traitement sur les applications de l'autre organisation. En
théorie, les accords réciproques sont très avantageux en raison du faible coût et de la grande
quantité d'équipements, mais en raison des perturbations susmentionnées des opérations
normales, la plupart des organisations choisiraient une autre installation hors site.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Hardware Tele- Setup
Equipment communications TimeLocation
Site Cost
Cold Site Low None None Long Fixed
• Une fois qu'un incident s'est produit, ce n'est toujours pas une catastrophe tant qu'il n'a pas été
déclaré.Avant qu'un désastre puisse être déclaré, l'équipe de gestion de crise (CMU) doit être
réunie. La CMT est généralement composée de cadres supérieurs, du personnel des relations
publiques et du personnel des ressources humaines. Une fois que la CMT est en place, l'équipe
d'évaluation des dommages peut procéder pour déterminer si l'incident est vraiment une
catastrophe.Aucun plan de redressement n'est mis en œuvre tant que l'équipe d'évaluation n'a pas
évalué le site et en a rendu compte à l'équipe de gestion de crise.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Une fois le site évalué, l’équipe de gestion de crise déclare un sinistre (si cela se justifie). Une
fois la déclaration effectuée, certains processus se dérouleront simultanément. Cela commence
par la mise en œuvre de votre stratégie de récupération. Cela commencera par le processus
de restauration du traitement sur vos applications, systèmes et processus métier de niveaux 1
et 2. N'oubliez pas que nous avons déterminé les applications de niveau 1 et 2 à partir de
l'analyse d'impact sur l'entreprise.Au moment même où l'équipe de récupération commençait
à appliquer le plan, l'équipe de stockage hors site se rendait sur le site de stockage pour
localiser les sauvegardes sur bande des données de votre organisation. En outre, l'équipe de
sauvetage se rendra sur le site de la catastrophe et récupérera l'équipement, quel qu'il soit,
pouvant être récupéré.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Senior Management Official • Alternate Site Recovery Coordination Team
• Management Team • Original Site Restoration/Salvage
• Coordination Team
• Damage Assessment Team • Test Team
• Operating System Administration • Administrative Support Team Team
• Systems Software Team • Transportation and Relocation Team
• Server Recovery Team (e.g., client • Media Relations Team server, Web server)
• LAN/WAN Recovery Team • Legal Affairs Team
• Database Recovery Team • Physical/Personnel Security Team
• Network Operations Recovery • Procurement Team (equipment
• Team and supplies)
• Application Recovery Team(s)
• Telecommunications Team
• Hardware Salvage Team
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Réponse à un incident
Un incident est moins grave qu'un sinistre et il en résulte généralement une panne de 24 heures ou
moins. L'un des exemples les plus courants d'incident est l'attaquant qui obtient un accès non autorisé
à un système appartenant à votre organisation. Un autre exemple courant est une épidémie de code
malveillant (virus ou ver) sur le réseau de votre entreprise. La réponse à un incident est le processus
permettant de répondre à ce type d'événement. Comme pour le BCP, il est toujours préférable
d’avoir un plan d’intervention en cas d’incident et de ne pas avoir besoin d’eux.
La réaction aux incidents est un domaine en évolution rapide. Pour cette raison, il n’existe pas de
normes nationales bien établies en matière de réaction aux incidents. La publication spéciale 800-86
de l'Institut national de normalisation et de technologie (NIST) et le document de Spafford and
Carrier intitulé «Digital Investigative Framework», présenté lors du Digital Forensic Research
Workshop d’août 2004, sont les deux documents les plus souvent référencés pour la réponse à un
incident. disponible sur http://www.digital-evidence.org/papers/index.html. La figure 5.10 illustre le
processus de réponse aux incidents.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Découverte
Les incidents peuvent être découverts de nombreuses façons. Plus souvent qu'autrement, vous
allez obtenir des informations sur votre incident par le biais d'une découverte accidentelle. La
découverte accidentelle se produit lorsqu'un événement anormal est détecté. Parmi les exemples
de découverte accidentelle, citons l’erreur de comptabilité de 75 centimes dans l’oeuf du coucou
et le cas du pirate informatique détecté parce qu’il utilisait le compte d’un assistant pour se
connecter au système à 2 heures du matin . Les systèmes de détection d'intrusion, les systèmes
de prévention d'intrusion et les journaux d'audit peuvent tous fournir d'autres méthodes pour
découvrir un code malveillant ou un attaquant.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Notification
En tant que professionnel de la sécurité de l’information, après la découverte d’un événement, la
seule responsabilité est de le signaler à la direction. La responsabilité de savoir comment
enquêter sur l'incident appartient à la direction et non au professionnel de la sécurité de
l'information. Lorsqu'il s'agit de notifier la direction, vous souhaitez le leur faire savoir
immédiatement et le meilleur moyen consiste à utiliser la notification hors bande. Ce n’est pas
une bonne idée d’envoyer des courriers électroniques à leurs Blackberries ou à des comptes
professionnels, car ces communications peuvent être interceptées par l’attaquant ou un employé
mécontent. Le meilleur moyen d’informer la direction est lors d’une réunion face à face. Pour
toute discussion future sur l’enquête en cours, il faut utiliser des communications hors bande.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
Discovery
Notification
Preservation/
Containment
Analysis
Presentation
Post Mortem
Review
2. Less cost
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Lancer l'enquête
Trouver les bonnes personnes pour mener une enquête est un processus difficile. Les solutions
habituelles consistent à faire appel à la sécurité interne, à des consultants externes ou aux forces de
l'ordre. Chacun des choix présente des forces et des faiblesses dans le processus d'enquête. Bien
que les équipes de sécurité internes comprennent beaucoup mieux la sécurité, la structure et le
personnel impliqué dans l'enquête, elles peuvent être aussi bien le suspect que l'auteur. La
connaissance des systèmes est un avantage certain pour les équipes de sécurité internes.
Une fois qu'une équipe de consultants de qualité peut être trouvée, le prix peut être assez élevé. La
dernière option pour mener l'enquête est l'application de la loi. Différentes juridictions ont
différentes équipes de maintien de l'ordre qui enquêtent sur les crimes informatiques.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Facteurs d'enquête
Le facteur numéro un lorsqu'il s'agit de mener une enquête est le coût. Le coût
est le facteur numéro un. L'argent est ce qui va se passer quand il s'agit
d'enquêtes.Vous comprenez donc quel sera le facteur le plus important? C'est un
coût, oui. Les coûts peuvent englober des problèmes juridiques et réglementaires
pouvant inclure des amendes ou des pénalités financières. Les questions
secondaires de l’enquête seront les questions de confidentialité, de recherche et
de saisie de preuves et de diffusion de l’information. Les informations relatives à
une enquête peuvent être divulguées aux médias.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Suspects les plus probables - initiés, externes et collaboration
Pour ce qui est de savoir qui devrait être un suspect, gardez à l’esprit qu’il est
légèrement plus susceptible d’être un initié. Les tendances passées ont indiqué
qu'il était beaucoup plus probable qu'il s'agisse d'un initié que d'un outsider, mais
les statistiques de 2005 montrent que les chiffres sont à peu près égaux La règle
générale est que de plus en plus d'attaques sont tentées par des étrangers, mais
que les attaques les plus réussies sont générées par des utilisateurs internes. Si
tous les éléments de preuve contenus dans votre enquête sur la criminalité
informatique pointent vers un étranger, recherchez l'initié qui l'informe de la
manière de réussir l'attaque.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Geler l'environnement
Lorsqu'il s'agit de saisir un système pour mener une enquête judiciaire, vous devrez
vous assurer que vous disposez de bonnes informations sur le système. Cela inclurait
des informations sur les détails de la configuration du système.Vous auriez besoin de
savoir si une modification est apportée pour ne pas écraser les données critiques.Vous
devez également savoir si le chiffrement de disque dur est en place, car si vous arrêtez
un système avec chiffrement de disque dur et que vous ne connaissez pas la clé pour
revenir dans le disque dur, vous ne pourrez pas obtenir l'information hors de ce
système. C'est pourquoi vous devez consulter des experts en sécurité du système pour
savoir quel type de mécanisme de sécurité peut être mis en place dans ce système avant
le début de la saisie.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Membres de l'équipe
Qui va être impliqué? Qui sont les membres de l'équipe pour faire une enquête? En
règle générale, vous aurez un enquêteur principal. Cela va être comme le chef
d'orchestre de la symphonie. Ce sera la personne qui sera responsable de la
coordination de toutes les tâches. Certaines des personnes impliquées seront
généralement des personnes de la sécurité de l’information, du service juridique, de
l’informatique si vous avez un service informatique et de la sécurité de l’information
distinct, et des ressources humaines. L’enquêteur principal n’est pas forcément un
technicien car il a pour responsabilité principale de coordonner l’enquête et de veiller à
ce que les politiques et les procédures soient suivies.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Accès post-incident
Au cours de l'enquête, il est important de décider si le suspect continuera
d'avoir accès à son système ou à la cible du système d'attaque. Si votre suspect
continue à avoir accès au dossier, vous devez être conscient qu'il est en train de
détruire des preuves sur ce système ou qu'il a peut-être mis en place un type de
bombe logique qui attend de détruire les preuves sur votre système cible. Une
fois que vous avez pris toutes ces décisions, vous pouvez le poursuivre avec un
mandat de perquisition ou un bref de mise en possession. Cette décision est
généralement prise par le CISS avec l’aide du service juridique.
GESTION DES INCIDENTS DE SÉCURITÉ DE
L'INFORMATION
• Saisir le système
Incident
Forensics Forensics
Newer Older
Methodology Methodology
Processing of
Evidence
Storage,
Preservation, and
Transportation to
Court
Evidence is
Returned to the
Victim