Skip to content

Gestion des Risques et Stratégie

Plusieurs méthode existes :

  • EBIOS (très utilisé en France, développé par l'ANSSI, Agence National de la Sécrutité des Systèmes d'Informations)
  • Marion
  • Mehari
  • Octave

Analyse de risques : Plusieurs étapes

Première étape d'analyse : des risques bruts (intrasèque) - On évalu un risque par rapport à Gravité et sa probabilité d'arriver (vraisemblance). - On peut faire alors une tableau Gravité-Vraisemblalité, afin de faire une analyse général

Ensuite : Un plan d'action pour traiter les risques - On définis des mesures qui premettent de traiter un ou plusieurs risques. - De cette façon on peut mettre à jour notre tableau d'analyse fain de voir les impacts.

Pour bien analysé les risque il faut

Il faut connaitre son SI - Cartographie

La sécurité est l'affaire de tous - Information, sensibilisation, action

Demande aussi une amélioration continue ! - Les mencaes et les techniques d'attaque évoluent

Les moyens techniques de sécurité ne doivent être choisis qu'après que : - La p

TP2 - Analyse Critique d'une charte SI

1.

Manques

  • "Ne pas installer des logociels non autorisé" : Préciser une liste de logiciels, comment/ou les installer, ...
  • "Chaque utilisateur doit utiliser un mot de passe" : Priciser mot de passe suivant tel politique/règles, ...

Inapliccable

  • "Il est responsable de ses actes"
  • "L'accès à internet est permis dans le respect des bonne moeurs"
  • "La consultation de contenu illicite est interdit"
  • "L'utilisation uniquement dans un but profesionnel"

Sanction

Il n'es pas autorisé d'imposer des sanctions dans une charte SI - La phrase "Le non-respect de ces règles peut entrainer des sanctions" est illicite.

2.

  • Mot de passe : Politique stricte ex: 12 caractère, multi-types, authentication multifacteur, non partage, ...
  • Vie privé CNIL : Informer les employé sur les moyens de contrôle et surveillance
  • Gestion des incident : signaler immédiatement tout incident de sécurité
  • Télé-travail : Règle sur le télé-travail, wifi public, chiffrement des disques dure et interdiction d'insertion d'éléments extern type USB.

  • Données sensible ?

3.

  • Mot de passe : Obligatoire d'un mot de passe de plus de 12 caractère, avec un MFA.
  • Vérouillage : Il est obligatoire de vérouiller son ordinateur lorsqu'on l'utilise pas.
  • Ne pas divulguer des donner confidentiel/personnel lié directement à l'entreprise
  • L'installation des logiciel est obligatoirement fait via l'outils de centralisation d'installation d'application.

Dépend de 3 :

  • Technique
  • Humain
  • Processus (organisation)

Plusierus problèmes

La charte et n'est parfois pas complétement appliquer, du à :

  • Le métier qui s'en fout.
  • Les employé qui commette quand même des érreurs, ne la prenne pas en compte sérieusement.

-> Sensibilisation

  • Certaine personne malveillante peuvent quand même effectuer des actions illégales
  • Avoir une charte ne garanti pas une sécurité élevé -> Les systèmes sont quand même vulnérable à des attaques extérieurs.

-> Ne remplace pas la mise en place de mesures concrête.