Sécurisation des systèmes d’information
Norme ISO 13335
« Guidelines for the management of IT Security » (Directives pour la gestion de la sécurité des technologies d’information).Cette norme qui existe depuis plus de 10 ans, est d’un niveau de détail plus fin que la 17799 et porte sur des directives concrètes pour la sécurité d’un système d’information. Elle comporte quatre parties, dont la plus connue (partie 1 : Concepts et modèles pour la gestion de la sécurité des technologies de l’information et des communications) et elle a été réactualisée en 2004.Les rapports techniques sont actuellement décomposés en 4 documents qui vont être refondus en 2 sous-ensembles. Une partie va devenir une norme internationale ISO.
METHODE D’EVALUATION DE RISQUE
ISO/CEI 27002:2005, clause 0.1 : « La Sécurité de l’Information » vise à protéger l’information contre une large gamme de menaces, de manière à garantir la continuité des transactions, à réduire le plus possible le risque et à optimiser le retour sur investissement ainsi que les opportunités en termes d’activité pour l’organisme ’évaluation de risque est importante pour une entreprise afin de pouvoir définir les outils à mettre en place ainsi que la cotation des investissements à faire en termes de sécurité. « Risque » provient du terme italien (Moyen âge) « risico » signifiant « rocher escarpé, écueil », utilisé pour désigner le péril couru en mer par les premières compagnies d’assurance. D’après ISO/CEI 27005:2008, un risque est la probabilité qu’une menace donnée tire parti des vulnérabilités d’un actif ou d’un groupe d’actifs et cause dès lors du tort à l’organisation. Il est mesuré en termes de combinaison de la probabilité d’un événement et de sa conséquence. Scientifiquement parlant, le risque est l’espérance mathématique d’une fonction de probabilité d’événements.
La norme ISO 31000 a abandonné la vision de l’ingénieur (« le risque est la combinaison de probabilité d’évènement et de sa conséquence ») pour coupler les risques aux objectifs de l’organisation : « le risque est l’effet de l’incertitude sur les objectifs ». Puisqu’elle vise à devenir le référentiel unique en matière de management des risques, le Centre Européen de Normalisation a répertorié environ 60 standards en relation avec le mot « risque ». Il s’agit d’une non-conformité en qualité, d’une pollution en environnement, d’une défaillance d’un équipement, d’une intoxication ou d’une atteinte corporelle en matière de sécurité des personnes, mais aussi d’un rendement en finance ou d’une opportunité pour le manager d’entreprise. C’est pourquoi, une révision de l’ISO Guide 73 – Vocabulaire du management du risque – a été menée parallèlement aux développements de l’ISO 31000 afin de faciliter les discussions entre professionnels des risques (tous secteurs confondus).
|
Table des matières
Chapitre 1 : Normes et méthodes
1. Sécurisation des systèmes d’information
2. Normes ISO 27001
3. Norme ISO 13335
4. Norme ISO 15408
5. Référentiel COBIT
6. Loi Sarbanes-Oxley
7. Le standard de sécurité de données PCI (Payment Card Industry)
8. La loi de portabilité et de responsabilité de l’industrie de la santé
Chapitre 2 : Méthode d’évaluation de risque
1. ISO 27005
2. ISO 31000
3. OCTAVE
4. Méthode EBIOS
5. Méthode MEHARI
6. Exemple de fiche d’évaluation de sécurité de données
Chapitre 3 : Les supports
1. Les pannes de disques durs
a. Les pannes physiques de disque dur
b. Les pannes logiques de disque dur
2. Amélioration et évolution de stockage de données
a. RAID
b. Serveur de stockage en réseau NAS
c. Réseau de stockage SAN
3. Cryptage de données sur disque
4. Cluster
5. Chemin d’accès redondant (redundancy path)
a. Automatiser le basculement et la récupération
b. Optimiser l’équilibrage de charge
6. Réplication de stockage de données
7. Base de données
a. Historique
b. Les risques encourus
c. Contrôle d’accès
d. Les privilèges
Chapitre 4 : Sécurisation
1. Sécurité physique
a. Présentation de cas de défaillance
b. Protection contre les perturbations électrique
c. Protection contre l’incendie
d. Protection contre le dégât des eaux
e. Climatisation
f. Protection contre les intrusions
g. Site de secours
2. Sécurité logique
a. Haute disponibilité
b. Réplication de données au niveau logiciel
c. Gestion d’accès : Audit et traçabilité
d. Gestion de fichier
e. Sauvegarde et archivage
f. Plan de continuité de travail
g. Exemple de sécurisation avec Oracle Database (défense multicouche)
Chapitre 5 : Mise en place de solution de secours
1. Serveur de fichier secours
a. Méthode de synchronisation de données
b. Scripts d’administration
2. Serveur de base de données secours en utilisant Oracle Database
a. Concept
b. Transport de données
c. Mode de protection
d. Création de base de données secours
CONCLUSION
ANNEXE 1 : Liste des systèmes de fichier
REFERENCES
Télécharger le rapport complet