tous droits réservés © 2006 isiq isiq – institut de la sécurité de linformation du québec la...
TRANSCRIPT
![Page 1: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/1.jpg)
Tous droits réservés © 2006 ISIQ
ISIQ – Institut de la sécurité de l’information du Québec
La sécurité informationnelle,avoir une vision globale…
Luc Poulin M.Sc CISSP-ISSMP CISA ift.a
Officier de sécurité du CRIM
Conseiller senior de l’ISIQ
18 octobre 200718 octobre 2007
![Page 2: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/2.jpg)
2Tous droits réservés © 2006 ISIQLP
2All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 3: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/3.jpg)
3Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
Actif informationnel
1..*Matériel
Système
Applications
Données
Personnes
Processus
Technologies
Informations*..*
Ressource informationnelle
1..*
Processus d’affaire
Besoin d’affaire1..*
La sécurité de l’information et l’organisationLa sécurité de l’information et l’organisation
M / O
1..*
Contexte Technologique
1..*
Contexte d’affaireContexte juridique1..*
Critique
Critique
Critique
Critique
Contextes de gestion de la sécurité de l’information
![Page 4: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/4.jpg)
4Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
Actif informationnel
1..*Matériel
Système
Applications
Données
Personnes
Processus
Technologies
Informations*..*
Ressource informationnelle
1..*
Processus d’affaire
Besoin d’affaire1..*
La sécurité de l’information et l’organisationLa sécurité de l’information et l’organisation
M / O
1..*
Contexte Technologique
1..*
Contexte d’affaireContexte juridique1..*
Critique
Critique
CritiqueCrit
ique
1..*
Plan de relève
1..1
1..1
Plan de continuité des affaires
![Page 5: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/5.jpg)
5Tous droits réservés © 2006 ISIQLP
5All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 6: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/6.jpg)
6Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
DéfinitionsDéfinitions
Sécurité informationnelle : Protection des ressources informationnelles d'une organisation, face à des risques identifiés, qui résulte d'un ensemble de mesures de sécurité prises pour assurer la confidentialité, l'intégrité et la disponibilité de l'information traitée.
Une ressource informationnelle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, à l'acquisition, au développement, à l'entretien, à l'exploitation, à l'accès, à l'utilisation, à la protection, à la conservation et à la destruction des éléments d'information. Une ressource peut donc être une personne, un fichier ou le système informatique lui-même.
Actif informationnel : Inventaire présentant, à un moment déterminé, le portrait de l'ensemble des ressources informationnelles d'une entreprise ou d'une organisation, à l'exception des ressources humaines
[OLFQ 2005]
![Page 7: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/7.jpg)
7Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
La gestion de la SI, en quoi est-ce essentiel?La gestion de la SI, en quoi est-ce essentiel?
La sécurité ça dérange, mais il faut se conformer au contexte d’affaire, à la loi et à la technologie, et on peut être vérifié!
Résistance des utilisateurs, ça complique leur travail!
Les administrateurs ne comprennent pas toujours la portée d’un projet en sécurité, et se sentent souvent dépassés lorsqu’ils le comprennent!
Solution : Programme de sensibilisation et de formation.
Ça coûte cher, nous avons un budget très serré! Solution : Maximiser les investissements en sécurité en se limitant à la
protection des ressources informationnelles critiques.
Ça n’ajoute aucune fonctionnalité, performance ou convivialité; Permet l’ajout d’un niveau de confiance. Principe de la responsabilité des efforts.
Environnement technologique de plus en plus complexe; Solution : Sensibilisation, formation, certification.
![Page 8: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/8.jpg)
8Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleLes trois piliers de la sécurité, par ordre Les trois piliers de la sécurité, par ordre d’importance, d’importance, en vue de protéger les informationsen vue de protéger les informationsLes personnes
• Incluent les utilisateurs, les analystes, es techniciens, les gestionnaires,les administrateurs de systèmes… Tout le monde quoi!
• Appliquent les mesures de sécurité.• Peuvent contourner la sécurité.• Doivent être sensibilisées à leurs responsabilités et au pourquoi de
la sécurité.Les processus
• La sécurité est principalement un ensemble de processus!Ex.: Politique de sécurité, analyse de risques, cadre de gestion de la sécurité, gestion des identités et des privilèges d’accès, audits, contingence, etc.
La technologie• Offre un ensemble d’outils pouvant être mis en place, pour
compléter, vérifier ou automatiser certaines mesures de sécurité exigés par la Politique de sécurité.
Procedimientos y métodosProcedimientos y métodos
Personas con destrezas, capacitadas y motivadasPersonas con destrezas, capacitadas y motivadas
Herramientas y equiposHerramientas y equipos
![Page 9: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/9.jpg)
9Tous droits réservés © 2006 ISIQLP
9All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 10: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/10.jpg)
10Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleUne vision globale des domaines de Une vision globale des domaines de connaissanceconnaissance
Gestion de la sécurité(Gouvernance)
Vérification et contrôle(Conformité)
RessourcesInformationnelles
critiques
Systèmes(Développement
et évolution)
Technologie
(Acquisition,
maintenance
et contingence)
![Page 11: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/11.jpg)
11Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
Selon leur profil, les personnes peuvent connaître plus d’un domaine de connaissance, par exemple :
Une vision globale des domaines de Une vision globale des domaines de connaissanceconnaissance
Il faut savoir évaluer les domaines de connaissance en sécurité de notre interlocuteur
Il faut savoir utiliser les forces présentes dans l’organisation
T 90 S 5
Jean, technologue
RI
Louise, vérificatrice
G 40
T 5
V 90
RI T 5 S 90
Marie, développement
RI
G 80
T 20 S 20
V 20
Paul, gestionnaire
RI
![Page 12: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/12.jpg)
12Tous droits réservés © 2006 ISIQLP
12All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 13: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/13.jpg)
13Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
T RIGestion de la sécuritéGestion de la sécurité(Gouvernance)(Gouvernance)
L’ensemble des processus administratifs. Rôles et responsabilités, cadre de gestions, embauche, conformité
légale, consultation, impartition, etc.
Domaine de la sécurité :
Couvert approximativement à 50%
Quelques certifications professionnelles disponibles, dont :
CISM, ISSMP, etc.
Comprend : Directives, politiques, procédures, processus, etc. Plan de continuité, analyse de risques, gestion d’identité, etc.
G
![Page 14: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/14.jpg)
14Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
T RIGestion de la sécuritéGestion de la sécurité(Gouvernance)(Gouvernance)
Plusieurs normes disponibles, dont :
ISO/IEC ISO 13335 Management of information and communications
technology security ISO 27002 Code of practice for information security
management (ISO 17799)
NIST/FIPS SP 800-30 Risk Management Guide for Information
Technology Systems, FIPS PUB 199 Standards for Security Categorization of
Federal Information and Information Systems. FIPS PUB 200 Minimum Security Requirements for
Federal Information and Information Systems. Etc…
G
![Page 15: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/15.jpg)
15Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
T RIGestion de la sécuritéGestion de la sécurité(Gouvernance)(Gouvernance)
Quelques solutions : Tableau de bords qui permet d’assurer le suivi de conformité
aux lois et règlementsL’importance de la gestion du risque devient évidentPlusieurs méthodologies d’analyse de risques
sont disponibles : Mehari, EBios, Octave, etc.
La gestion des identités et de accès Les M/O veulent savoir qui accède quoi, mais ce n’est pas si facile…
G
![Page 16: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/16.jpg)
16Tous droits réservés © 2006 ISIQLP
16All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 17: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/17.jpg)
17Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
G
RITTechnologieTechnologieInfrastructure et télécommunication Infrastructure et télécommunication (Acquisition , maintenance et contingence)(Acquisition , maintenance et contingence)
L’ensemble des outils technologiques et les processus qui en permettent l’acquisition, la configuration, l’utilisation, la gestion et la maintenance.
Pare-feu, système de détection d’intrusion, copie de sauvegarde, RAID, antivirus, anti-espiogiciels, répertoires LDAP, etc.
Domaine de la sécurité : Couvert approximativement à 90%
Plusieurs certifications professionnelles disponibles dont : ITIL, SSCP, CISSP, ISSAP, ISSEP, GIAC Security Engineer, RSA Certified
Systems Engineer, Cisco Firewall Specialist, SUSE Security Certifications, MCSE: Security on Microsoft Windows Server 2003, etc.
Comprend : Gestion des configurations, gestion des incidents, plan de relève,
configuration de règles de privilèges d’accès, périmètre de sécurité, etc.
![Page 18: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/18.jpg)
18Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
G
RITTechnologieTechnologieInfrastructure et télécommunication Infrastructure et télécommunication (Acquisition , maintenance et contingence)(Acquisition , maintenance et contingence)
Plusieurs normes disponibles, dont :Microsoft, Novell, RSA… ITIL, SANS, Critères Communs…
NIST/FIPS
SP 800-34 Contingency Planning Guide forInformation Technology Systems,
SP 800-36 Guide to Selecting Information Technology Security Products
Et encore plus!!!
![Page 19: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/19.jpg)
19Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
G
RITTechnologieTechnologieInfrastructure et télécommunication Infrastructure et télécommunication (Acquisition , maintenance et contingence)(Acquisition , maintenance et contingence)
“By January 2007, anyone who banks online should be better protected against fraud and identity theft. A simple name and password combination will no longer be sufficient for most types of transactions.This increased security is mandated by the Federal Financial Institutions Examination Council (FFIEC) […] Any institution that is governed by one of those agencies is also covered by the new guidelines. And it also faces a potential fine or other penalty if it fails to comply.” Source: Banks scramble to boost online security http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1226312,00.html?track=NL-358&ad=566753&asrc=EM_NLN_671834&uid=1395360
NAC or Network access control and endpoints management (PDA, portable, ...)
Etc.
![Page 20: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/20.jpg)
20Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
G
RITTechnologieTechnologieInfrastructure et télécommunication Infrastructure et télécommunication (Acquisition , maintenance et contingence)(Acquisition , maintenance et contingence)
Quelques solutions : Tableau de contrôle d’alertes techniques intégrés
Outils qui analysent les données provenant des routeurs, pare feu, antivirus, IDS, etc.
Computer Associates, QA Labs, projects SourceForge Gestionaire d’identité (Identity Manager)
Outils permettant la gestion des identités et des accès Novell, Oracle et IBM
Windows Vista : Enjeux de sécurité à considérer
Source: http://searchsecurity.techtarget.com
![Page 21: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/21.jpg)
21Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleS
V
G
RITTechnologieTechnologieInfrastructure et télécommunication Infrastructure et télécommunication (Acquisition , maintenance et contingence)(Acquisition , maintenance et contingence)
Outils de tests de vulnérabilités et de pénétration pour les PME et organisations qui inclus, sur un CD :
Démarche méthodologique Meilleurs pratiques Gabarits et exemples Peut être utilisés pour réaliser des tests internes ou
externes
![Page 22: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/22.jpg)
22Tous droits réservés © 2006 ISIQLP
22All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 23: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/23.jpg)
23Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
V
T
G
RISystèmesSystèmes(Développement et évolution)(Développement et évolution)
L’ensemble des processus et des outils technologiques qui permettent l’identification des besoins, l’acquisition, le développement et la maintenance de systèmes. Systèmes de commerce électronique, de comptabilité, des
comptes à recevoir, de communication, etc.
Domaine de la sécurité : Couvert approximativement à 20%
Certification professionnelle : Aucune aujourd’hui, mais elles arrivent!
Comporte : Cycle de vie d’un système, méthodologie de développement
sécuritaire, norme de développement sécuritaire, modèle de conception sécuritaire, etc.
S
![Page 24: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/24.jpg)
24Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
V
T
G
RISystèmesSystèmes(Développement et évolution)(Développement et évolution)
S
Plusieurs normes disponibles, dont :NIST/FIPS
SP 800-64 Series Security Considerations in the Information System Development Life Cycle
SP 800-80 Draft Special Publication 800-80, Guide for DevelopingPerformance Metrics for Information Security
FIPS PUB 132 Guideline for Software Verification and Validation Plans (ANSI/IEEE 1012-1986)
SP 800- 70 Security Configuration Checklists Program for IT Products:Guidance for Checklists Users and Developers
ISO JTC1-SC7 ISO/IEC 15026 Information technology – System and software integrity
levels ISO/IEC 15288 Systems engineering – System life cycle processes ISO/IEC 16085 Systems and software engineering – Life cycle processes:
Risk management ISO/IEC 21827 SSE-CMM (within CMMi)
IEEE-CS IEEE Std 1540 IEEE Standard for Software Life Cycle Processes:
Risk Management
Etc.
![Page 25: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/25.jpg)
25Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
Phases de réalisation et cycle de vie d’un système Web Diachroniquement :Diachroniquement : un processus linéaire à l’intérieur d’un un processus linéaire à l’intérieur d’un
cycle récurrentcycle récurrent
Synchroniquement :Synchroniquement : un objet complexeun objet complexe
V
T
G
RISystèmesSystèmes(Développement et évolution)(Développement et évolution)
S
Objectifs Planification Réalisation Opération Évaluation
NavigationGraphismes
Structure
Programmation Hébergement
Alimentation en contenu
Points de décision
![Page 26: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/26.jpg)
26Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
V
T
G
RISystèmesSystèmes(Développement et évolution)(Développement et évolution)
Étape 1: Mettre en place le processus de sécurité des applications Web
S
Cadre normatif de l’organisation
Utilise
Pour créer
Aide a estimer
Qui vont s’appliquer au
System / Software life cycle
Application Security life cycle
Intégrer au
Réutiliser de
Risques résiduels, Coûts,Niveau de confiance cible de l’application
Project
Security activities and controls(ASM)
Étape 5: Cycle de vie de la sécurité de l’application
Étape 2: Cadre normatif du Gouv du Québec
Étape 4: Cadre normatif de l’application
Niveau de confiance cible de
l’application
Verification
Pour identifier
Niveau de confiance
réel de l’application
Étape 3: Gestion du risque de l’application
Étape 6: Vérification de la sécurité de l’application
Rétroaction du projet
Analyse de risque de l’application
Cadre normatif de l’application
![Page 27: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/27.jpg)
27Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
V
T
G
RISystèmesSystèmes(Développement et évolution)(Développement et évolution)
S
Identification et analyse des enjeux et des risques de sécurité
Niveau de confiance (CC: Assurance Level) Préoccupations au niveau des processus Préoccupations au niveau du produit Méthodologies de développement Agile Environnements :
Développement, tests, déploiement, production, archivage… Processus d’application sécuritaire et vérification des
mesures de sécurité requises (MSA) Processus et techniques de développement qui inclus des
tests de sécurité Contrôle, audit et certification de l’application
![Page 28: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/28.jpg)
28Tous droits réservés © 2006 ISIQLP
28All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 29: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/29.jpg)
29Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleT S
G
RIVérification et contrôle Vérification et contrôle (Conformité)(Conformité)
L’ensemble des processus de vérification et de contrôle s’appliquant aux trois autres domaines d’intervention de la sécurité informationnelle
Domaine de la sécurité : Couvert approximativement à 40%
Certification : CISA
Comporte: Processus et mesures d’audit, de vérification et de
certification, comités de vérification, etc.
V
![Page 30: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/30.jpg)
30Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleT S
G
RIVérification et contrôle Vérification et contrôle (Conformité)(Conformité)
Plusieurs normes disponibles, dont :
ISACA
CobiT Control Objectives for Information and Related Technology
NIST/FIPS
SP 800-23 Guideline to Federal Organizations on SecurityAssurance and Acquisition/Use of Tested/Evaluated Products
SP 800-26 Security Self-Assessment Guide for Information Technology Systems
SP 800-37 Guide for the Security Certification and Accreditation of Federal Information Systems
SP 800-53 Recommended Security Controls for FederalInformation Systems, including: Baseline
SecurityControls for Low, Moderate, and High-Impact Information Systems
V
![Page 31: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/31.jpg)
31Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleT S
G
RIVérification et contrôle Vérification et contrôle (Conformité)(Conformité) V
Évènement récent
En 2005, des élections municipales ont eu lieu dans la province de Québec.
Des problèmes concernant les systèmes de votation électronique (SVE) ont été publicisés.
Les citoyens du Québec ont demandés des réponses concernant la légitimité des résultats de l’élection.
La gouvernement du Québec à décidé de réaliser un audit sur les différents SVE utilisés durant cet élection.
![Page 32: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/32.jpg)
32Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globaleT S
G
RIVérification et contrôle Vérification et contrôle (Conformité)(Conformité) V
Audit des systèmes de votation électronique au Québec(Rapports publics disponibles)
Création d’une norme québécoise de certification des SVE
Polling Station
B
A
Voting Terminal
Polling Station
Ballot
P D
A
B
C
Voting Scaner
![Page 33: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/33.jpg)
33Tous droits réservés © 2006 ISIQLP
33All rights reserved © 2007 CRIM
PlanPlanPlanPlan
– Luc Poulin
La sécurité informationnelle, avoir une vision globaleLa sécurité informationnelle, avoir une vision globale
La sécurité informationnelle (SI) et l’organisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale
des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et
contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats
![Page 34: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/34.jpg)
34Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
ConstatsConstats
Un spécialiste ou un expert en sécurité, ça n’existe pas!
Comme il n’existe pas de spécialiste en médecine! Il existe des spécialistes du cœur, de l’œil, du cerveau…
Le domaine de la SI est trop vaste! Sachez le domaine de connaissance que vous désirez,
pour un travail précis! Sachez reconnaître le domaine d’expertise des
personnes qui sont devant vous!
T S
G
V
RI
![Page 35: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/35.jpg)
35Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
ConstatsConstats
Les préoccupations de sécurité informationnelle peuvent être abordées dans toutes les sphères d’une organisation, lorsque le retour sur l’investissement le justifie. Sensibiliser votre client sur le risque et l’impact d’un incident!
Importance de sensibiliser, de former et de donner les bons outils à l’ensemble des intervenants concernés. Administrateurs, gestionnaires, utilisateurs, techniciens,
analystes, développeurs, etc.
T S
G
V
RI
![Page 36: Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin](https://reader035.vdocuments.mx/reader035/viewer/2022081515/551d9da3497959293b8d3bfb/html5/thumbnails/36.jpg)
36Tous droits réservés © 2006 ISIQLP
La sécurité informationnelle, une vision globaleLa sécurité informationnelle, une vision globale
La SI – Avoir une vision globaleLa SI – Avoir une vision globale
Merci de votre attention.
Des questions?
Luc Poulin M.Sc CISSP-ISSMP CISA ift.a
Conseiller senior de l’ISIQChef de la sécurité du CRIM
Courriel : [email protected]
Cette présentation a été réalisée avec la participation Cette présentation a été réalisée avec la participation de M. Bruno Guay, conseiller senior en sécurité des TI.de M. Bruno Guay, conseiller senior en sécurité des TI.