Gestion des Risques et Stratégie
Plusieurs méthode existes :
- EBIOS (très utilisé en France, développé par l'ANSSI, Agence National de la Sécrutité des Systèmes d'Informations)
- Marion
- Mehari
- Octave
Analyse de risques : Plusieurs étapes
Première étape d'analyse : des risques bruts (intrasèque) - On évalu un risque par rapport à Gravité et sa probabilité d'arriver (vraisemblance). - On peut faire alors une tableau Gravité-Vraisemblalité, afin de faire une analyse général
Ensuite : Un plan d'action pour traiter les risques - On définis des mesures qui premettent de traiter un ou plusieurs risques. - De cette façon on peut mettre à jour notre tableau d'analyse fain de voir les impacts.
Pour bien analysé les risque il faut
Il faut connaitre son SI - Cartographie
La sécurité est l'affaire de tous - Information, sensibilisation, action
Demande aussi une amélioration continue ! - Les mencaes et les techniques d'attaque évoluent
Les moyens techniques de sécurité ne doivent être choisis qu'après que : - La p
TP2 - Analyse Critique d'une charte SI
1.
Manques
- "Ne pas installer des logociels non autorisé" : Préciser une liste de logiciels, comment/ou les installer, ...
- "Chaque utilisateur doit utiliser un mot de passe" : Priciser mot de passe suivant tel politique/règles, ...
Inapliccable
- "Il est responsable de ses actes"
- "L'accès à internet est permis dans le respect des bonne moeurs"
- "La consultation de contenu illicite est interdit"
- "L'utilisation uniquement dans un but profesionnel"
Sanction
Il n'es pas autorisé d'imposer des sanctions dans une charte SI - La phrase "Le non-respect de ces règles peut entrainer des sanctions" est illicite.
2.
- Mot de passe : Politique stricte ex: 12 caractère, multi-types, authentication multifacteur, non partage, ...
- Vie privé CNIL : Informer les employé sur les moyens de contrôle et surveillance
- Gestion des incident : signaler immédiatement tout incident de sécurité
-
Télé-travail : Règle sur le télé-travail, wifi public, chiffrement des disques dure et interdiction d'insertion d'éléments extern type USB.
-
Données sensible ?
3.
- Mot de passe : Obligatoire d'un mot de passe de plus de 12 caractère, avec un MFA.
- Vérouillage : Il est obligatoire de vérouiller son ordinateur lorsqu'on l'utilise pas.
- Ne pas divulguer des donner confidentiel/personnel lié directement à l'entreprise
-
L'installation des logiciel est obligatoirement fait via l'outils de centralisation d'installation d'application.
Dépend de 3 :
- Technique
- Humain
- Processus (organisation)
Plusierus problèmes
La charte et n'est parfois pas complétement appliquer, du à :
- Le métier qui s'en fout.
- Les employé qui commette quand même des érreurs, ne la prenne pas en compte sérieusement.
-> Sensibilisation
- Certaine personne malveillante peuvent quand même effectuer des actions illégales
- Avoir une charte ne garanti pas une sécurité élevé -> Les systèmes sont quand même vulnérable à des attaques extérieurs.
-> Ne remplace pas la mise en place de mesures concrête.