25 Juillet 2008    

Les experts

Fabrice Garnier de Labareyre - le blog






recopiez le code ci-contre

 

Le système de management de la sécurité de l'information : fonctionement

Posté le Jeudi 30 Aout 2007 dans Sécurité des SI

Comment fonctionne un Système de Management de la Sécurité d’Information ?
Ce qui peut se traduire autrement par :
- l’établissement d’une politique, d’objectifs, de processus et procédures pour gérer les risques et améliorer la sécurité de l’information en accord avec l’ensemble des politiques et objectifs de l’organisation,
- la mise en œuvre de la dimension opérationnelle de cette politique, de ces objectifs, processus et procédures,
- l’évaluation et la mesure la performance de cette politique, de ces objectifs, processus et procédures,
- l’engagement des actions correctives et préventives sur la base des résultats d’audits internes et de revues de direction et de processus nécessaires à l’amélioration continue.

Le système de management de la sécurité de l'information : définition

Posté le Mardi 28 Aout 2007 dans Sécurité des SI

Qu’est ce qu’un système de management de la sécurité de l’information ?
L’ISO 27001 en tant que norme de management se rapproche de l’ISO 9001 par l’adoption de l’approche processus et de la démarche PDCA (Plan-Do-Check-Act) dans la mise en place et l’animation du système de management de la sécurité de l’information en insistant sur les points suivants :
- le besoin de définir une politique de sécurité de l’information par rapport à des besoins exprimés sur ce sujet,
- la mise en place opérationnelle de dispositions ou mesures de sécurité de l’information en fonction des risques pouvant peser sur l’activité commerciale de l’organisation considérée,
- la surveillance du système mis en place en terme d’efficacité,
- l’amélioration continue basée sur des vérifications objectives.

Les mesures des normes de sécurité

Posté le Vendredi 24 Aout 2007 dans Sécurité des SI

Donnez nous un exemple de ces mesures liées à une norme?
La politique des contrôles d’accès (logique et physique) et l’usage de mot de passe pour accéder aux systèmes informatiques sont deux exemples de ces 133 mesures. Il appartient ensuite à chaque organisation de définir des dispositions plus détaillées de mise en œuvre de ces mesures. L’usage des mots de passe devra être décrit en terme de fréquence de changement, de nombre de caractères minimum, de chiffrement potentiel, etc… Ces dispositions plus détaillées font également l’objet d’une norme, l’ISO 17 799 et c’est ici que l’on rentre dans la dimension opérationnelle.
Une fois que ce plan de traitement des risques qui matérialise la planification du management de la sécurité de l’information est approuvé par la direction de l’entreprise ou de l’organisation concernée, il reste à celle-ci à décider de son application et à en vérifier la bonne réalisation.

Le plan de traitement des risques

Posté le Jeudi 23 Aout 2007 dans Sécurité des SI

Pouvez vous me dire en quoi consiste un plan de traitement des risques ?
Ce plan de traitement des risques décrira l’ensemble des dispositions ou mesures relatives à la maîtrise de la sécurité de l’information telles qu’elles devront être mises en œuvre, c'est-à-dire l’identification des ressources, des responsabilités, des actions, des priorités. Une sorte de QQOQCP (Qui, Quoi, Où, Quand, Comment Pourquoi) à appliquer. Il est important d’indiquer à ce stade que la norme ISO 27001 identifie 133 mesures qui constituent une base de départ dans l’élaboration de ce plan. On entend par mesure tous moyens de gestion du risque. Un moyen pouvant prendre la forme de politiques, procédures, recommandations, consignes ou de structures organisationnelles.

L'aspect managérial de la norme

Posté le Lundi 30 Juillet 2007 dans Sécurité des SI

Comment met-on en œuvre une norme au point de vue managérial ?
Il apparaît que le point de départ de toute démarche sur le management de la sécurité de l’information est caractérisée par l’identification des actifs du système d’information qui ont une incidence sur l’intégrité, la confidentialité, et la disponibilité de l’information. Un actif peut être une machine, un logiciel, une base de données, un procédé, ou encore un document comme un contrat et plus généralement tout ce qui a de la valeur pour l’entreprise. C’est à partir de cette liste d’actifs que le périmètre du système de management sera défini. C’est sur cette base qu’une analyse des risques devra être conduite pour qu’un plan de traitement des risques soit établi. Cela devra être réalisé conformément à une politique de management de la sécurité de l’information alignée sur les attentes des métiers de l’entreprise.

Fonction d'une norme

Posté le Jeudi 12 Juillet 2007 dans Sécurité des SI

Bonjour, à quoi sert une norme telle que la norme ISO 27001 ?
La finalité de cette norme est de décrire les exigences de mise en place d’un système de management de la sécurité de l’information au sein d’une entreprise ou d’une organisation pour qu’elle s’assure de la sélection et de l’application des dispositions ou mesures adéquates de protections de ses actifs et ainsi donner confiance à toutes ses parties prenantes.

La sécurité et l'aspect managérial

Posté le Mardi 19 Juin 2007 dans Sécurité des SI

On lie souvent l’aspect technique et la sécurité de l’information, pouvez vous nous parler de la dimension managériale ?
Lorsque l’on aborde la dimension managériale, il est incontournable de traiter des normes de système management et plus particulièrement de la norme de système de management de la sécurité de l’information, la norme ISO 27001. Cette norme publiée en octobre 2005 s’intègre dans un corpus de normes dans lequel on trouve également les normes ISO 9001 et 14001 qui traitent respectivement du management de la qualité et de l’environnement.

Les domaines de la sécurité de l'information

Posté le Lundi 18 Juin 2007 dans Sécurité des SI

Dans les entreprises aujourd’hui, la sécurité de l’information englobe quels domaines ?
Le thème de la sécurité de l’information est aujourd’hui indissociable de l’usage des Technologies de l’Information et il doit être étudié sous toutes ses dimensions dans une organisation si l’on souhaite réellement en assurer la maîtrise.
La première dimension est managériale, elle concerne les processus de planification, de vérification des actions et de décisions nécessaires pour maîtriser cette sécurité.
La deuxième dimension est opérationnelle, elle concerne les dispositions applicables par le personnel pour assurer cette sécurité.
La troisième dimension est technique, elle concerne l’exécution par le système informatique lui même des mécanismes pour outiller cette sécurité.
Ces trois dimensions sont bien sûr corrélées mais force est de constater que seule la dimension technique est souvent traitée dans les entreprises.

Fabrice Garnier de Labareyre

Fabrice Garnier de Labareyre expert guide informatique

Les vidéos

Biographie

Après avoir mis en place l’activité de laboratoire d’essais et de certification dans les Technologie de l’Information à l’Afnor dans le début des années 90,Fabrice Garnier de Labareyre a participé à la création en tant qu’associé d’un cabinet de conseil spécialisé dans le domaine de la qualité des Technologie de l’Information et accompagné un grand nombre d’entreprise du secteur dans l’accompagnement à la certification de produits et d’entreprise. En rejoignant ASK Conseil en 2003 comme associé, Fabrice Garnier de Labareyre a pu développer une approche de convergence des référentiels normatifs ISO et de bonnes pratiques comme CoBIT, CMMi, ITIL applicables à la maîtrise des systèmes d’information.

Recherche         
fermer