SlideShare ist ein Scribd-Unternehmen logo

La protection de données, La classification un premier pas

Als PPTX, PDF herunterladen
Alghajati
Alghajati

La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.

Technologie
1 von 33
Fadhel GHAJATI Lead Auditor 27001 Risk Manager ISO 27005 fadhel.ghajati@ansi.tn Tunisian Computer Emergency Response Team La protection de données: La classification un premier pas 25 Février 2015
Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 2 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 3 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
Tunisian Computer Emergency Response Team 4 Lancement d’une unité, spécialisée dans la sécurité des SI (Secrétariat d’état à l’informatique) 1999 Considération du rôle de la sécurité des SI comme pilier de la « Société d’Information : Mise en place d’une stratégie : priorités, volume des actions, logistique nécessaire 2002 Décision du conseil ministériel restreint (CMR): Créer une Agence Nationale : Obligation d’audit et création d’un corps d’auditeurs certifiés en sécurité des SI. 2003 Promulgation d’une Loi “originale” sur la sécurité des SI (Loi N° 5-2004, Fév. 2004 et ses 3 décrets associés) 2004 Lancement du CERT-TCC (Computer Emergency Response Team / Tunisian Coordination Center) 2005 Historique
L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés, elle est chargée des missions suivantes: Missions Tunisian Computer Emergency Response Team Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine Assurer la veille technologique dans le domaine de la sécurité informatique Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux 5
Décret 1249 du 25 Mai 2004 fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique. Cadre réglementaire Tunisian Computer Emergency Response Team 6 Loi n° 5 - 2004 du 3 février 2004 relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux. Décret 1250 du 25 Mai 2004 fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. Circulaire n° 19 - du 11 avril 2007 relatif au renforcement des mesures de sécurité informatique dans les établissements publiques (Création d'une Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).
Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 7 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
8 Tunisian Computer Emergency Response Team Faux sentiment de propriété Méconnaissance des obligations nées du contrat de travail ou de prestation de service Contrôle de l’application des règles d’utilisation du SI Déficit de sensibilisation ou complexité de la politique de protection et de classification de l’information « Vol de données » par un Utilisateur Quelle est la portée et le contenu de l’obligation de loyauté ? Quelles sont les clauses importantes des contrats d’externalisation ? … Comment la Charte peut- elle protéger l’entreprise ? Quelles sont les dispositions à prévoir ? … Quel périmètre pour la politique de protection de données? … Quel est le statut juridique de l’information ? Toutes les informations présentes sur le SI sont- elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? …
Création Gestion Utilisation Archivage Sécurité Classification de données 9
Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 10 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
Données: définitions Ce qui est connu ou admis comme tel, sur lequel on peut fonder un raisonnement, qui sert de point de départ pour une recherche, Représentation conventionnelle d'une information en vue de son traitement informatique. Une Donnée au sens statistique est destinée à être étudiée dans le cadre de l'analyse des données. Une Donnée au sens informatique est destinée à faire l'objet d'un traitement de données. Une Donnée à caractère personnel pouvant bénéficier d'une certaine protection dans le cadre de la Protection de la vie privée ou du droit à l'image. Dictionnaire 11
données personnelles : tenant à la personne données privées : tenant au respect de la vie privée données professionnelles : à finalité professionnelle données publiques : définies par la loi 12 Données: définitions Tunisian Computer Emergency Response Team
Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 13 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
SECURITE SantéIndustrie La classification de données est une problématique répandue dans le monde scientifique, car elle est à l’origine de nombreuses applications. 14Tunisian Computer Emergency Response Team Gouvernement Finances Classification (1/8)
Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le niveau de sécurité qui s’applique à chaque document ou n’importe quelle autre forme d’information qui existe dans la base de données. interne secretconfidentiel 15Tunisian Computer Emergency Response Team Classification (2/8)
16Tunisian Computer Emergency Response Team PaysClasse Très secret Secret Confidentiel Restreint Afrique du Sud Top Secret Secret Confidential Restricted USA Top Secret Secret Confidential Belgique Très secret Secret Confidentiel Diffusion Restreinte France Très secret Défense Secret Défense Confidentiel Défense Diffusion restreinte Italie Segretissimo Segreto Riservatissimo Riservato Suisse Secret Secret Confidentiel Interne Source: http://cryptome.info/appf.pdf Classification (3/8)
Ordonnance concernant la protection des informations de la Confédération Suisse Secret Confidentiel Interne Les informations dont la prise de connaissance par des personnes non autorisées peut porter un grave préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut: a. compromettre gravement la liberté d’action de l’Assemblée fédérale ou du Conseil fédéral; b. compromettre gravement la sécurité de la population; c. compromettre gravement l’approvisionnement économique du pays ou la sécurité d’installations de conduite et d’infrastructures d’intérêt national; d. compromettre gravement l’accomplissement de la mission de l’administration fédérale, de l’armée ou de parties essentielles de celle-ci; e. compromettre gravement les intérêts en matière de politique extérieure ou les relations internationales de la Suisse; f. compromettre gravement soit la protection des sources ou des personnes, soit le maintien du secret quant aux moyens et aux méthodes opératifs des services de renseignements. les informations dont la prise de connaissance par des personnes non autorisées peut porter préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut : a. porter atteinte à la libre formation de l’opinion et de la volonté de l’Assemblée fédérale ou du Conseil fédéral; b. porter atteinte à la mise en œuvre conforme de mesures concrètes décidées par une autorité; c. porter atteinte à la sécurité de la population; d. porter atteinte à l’approvisionnement économique du pays ou à la sécurité d’infrastructures importantes; e. porter atteinte à l’accomplissement de la mission de parties de l’administration fédérale ou de l’armée; f. porter atteinte aux intérêts de la Suisse en matière de politique de sécurité ou aux relations internationales de la Suisse; g. porter atteinte aux relations entre la confédération et les cantons ou aux relations entre les cantons; h. porter atteinte aux intérêts de la Suisse en matière économique, monétaire et de politique monétaire. les informations: a. dont la prise de connaissance par des personnes non autorisées peut porter atteinte aux intérêts du pays; et b. qui ne doivent être classifiées ni «SECRET» ni «CONFIDENTIE L». 17 Classification (4/8)
18 le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), la protège plus efficacement contre sa divulgation : Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers » Protection par le secret : secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900) secret professionnel (articles 226-13 et 226-14 du Code pénal) secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002) Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968 Tunisian Computer Emergency Response Team Classification (5/8)
19Tunisian Computer Emergency Response Team Classification (6/8) En Tunisie la protection des données est régie par: La loi organique - 63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel
A.8.2.1 Classification des informations Mesure Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée. A.8.2.2 Marquage des informations Mesure Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l’organisation. ISO 27001 version 2013 1. la divulgation ne cause aucun dommage, 2. la divulgation provoque un dommage mineur, 3. la divulgation a un impact significatif à court terme sur les opérations ou les objectifs tactiques, 4. la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la survie de l'organisation à risque. Exemple 20 Classification (7/8)
FIPS PUB 199 Le format généralisé pour exprimer la catégorie de sécurité est : SC Information = {(confidentialité, impact), (Intégrité, impact), (Disponibilité, impact)}, Avec l’impact potentiel est : Faible, Modéré, Elevé, Non Applicable L’impact potentiel est faible si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif limité pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. L’impact potentiel est modéré si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif sérieux pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. L’impact potentiel est élevé si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif catastrophique pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. Tunisian Computer Emergency Response Team 21 Classification (8/8)
Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 22 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
IMPACT POTENTIEL Objectif de sécurité FAIBLE MOYEN ELEVE Confidentialité La divulgation non autorisée d'informations pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 1 La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 2 La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 3 Intégrité La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 1 La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_I = 2 La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 3 Disponibilité L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 1 L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_D = 3 L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 3 23 Modèle Tunisien (Draft)
Criticité des données Classe de données 1 CA 2 3 CB4 6 8 CC9 12 18 CD 27 Modèle Tunisien (Draft) Tunisian Computer Emergency Response Team Soient C,I,D tableaux C[i] : valeur de l’impact de confidentialité I[j] : valeur de l’impact de l’intégrité D[k] : Valeur de l’impact de disponibilité SC : la valeur de la corrélation {C,I,D} Classe_D : La classe de donnée Pour i,j,k de 1 à 3 Calculer SC= C[i]*I[j]*D[k] Si SC = 1||2 alors Classe_D = CA Si SC = 3||4||6 alors Classe_D = CB Si SC=8||9||12 alors Classe_D = CC Si SC= 18 ||27 alors Classe_D = CD 24
Criticité des données Classe de données Confidentialté Intégrité Disponibilité Impact Exemple Impact Outil d'échange Temps d’arrêt par an 1 CA La divulgation pourrait être parfois défavorable aux intérêts de l’organisation ou du groupe autorisé. Guide utilisateur, certains numéros directs de téléphone, procédure de fonctionnement. La modification ou la destruction non autorisée de renseignements pourraient parfois avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Pas de contraintes sur l’utilisation ou la transmission. 1 mois 2 3 semaines 3 CB La divulgation pourrait être défavorable aux intérêts de l’organisation ou du groupe autorisé. Documentation ou schéma de réseau interne, programme source. La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. contraintes minimalessur l’utilisation ou la transmission. 18 jours 4 2 Semaines 6 1 semaine 8 CC La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. Secret bancaire, données à caractères personnelles sensibles (santé), incidents de sécurité. La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Limitation des droits d’accès. ½ semaine 9 1 jour 12 ½ jour 18 CD La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus. Information classifiée par la loi, mot de passe La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Utilisation de la signature, coffre fort. 1 heure 27 30 min 25 Modèle Tunisien (Draft)
Criticité des données Classe de données Impact sur la population Impact Economique Impact de l'interdependance Périmiètre affecté 1 CA Impact mineur (i.e <10) Impact mineur (i.e <10 M) Impact mineur Local 2 3 CB Impact modéré (i.e 10-100) Impact modéré (i.e 10 M - 100 M) Impact modéré (Perturbation) périmètre étendu ou d'autres sécteurs (partiellement affecté) 4 6 8 CC Impact significatif (i.e 100-500) Impact significatif (i.e 100 M - 500 M) impact signaficatif périmètre national ou un secteur (totalement affecté) 9 12 18 CD Impact grave (i.e >500) Impact grave (i.e > 500 M) impact grave et affaiblissant périmètre international ou plusieurs secteurs (totalement affecté) 27 26 Modèle Tunisien (Draft)
27Tunisian Computer Emergency Response Team Modèle Tunisien (Draft) [Traitement de données]  L’accès aux données,  Le cycle de vie de données,  L’échange de données,  Le droit d’accès.  La sécurité des locaux,  La sécurité des serveurs (l’emplacement des données le cas échéant),  La sécurité des workspaces,  L’identification et l’authentification des utilisateurs,  La sécurité d’accès aux données des utilisateurs,  La gestion des accès à distance. L’accès aux données Processus
Données Backup Logs Utilisation Collaborateur Introduction Modification Destruction Le cycle de vie des données 28Tunisian Computer Emergency Response Team  La gestion de l’introduction des données dans le système,  La surveillance des traitements sur les données (journalisation),  Le chiffrement des données,  La sécurité des différents supports de données,  La sauvegarde les données,  La destruction de manière définitive les données,  La gestion de sous-traitance de projets,  La gestion de la sécurité de l’information et la protection des données. Modèle Tunisien (Draft) [Traitement de données]
Logs Tiers Communication Transmission Station de travail Supports L’échange de données 29Tunisian Computer Emergency Response Team  Chiffrer un message à envoyer à un tiers distant,  Signer un message à envoyer à un tiers distant,  La transmission des supports mobiles de manière sécurisée,  La trace des différentes communications. Modèle Tunisien (Draft) [Traitement de données]
Tunisian Computer Emergency Response Team Criticité de données Classe de données Echange 1 CA Protéger l’accès au document 2 3 CB Protéger + Chiffrer le document4 6 8 CC Protéger, chiffrer + Journaliser le traitement9 12 18 CD Protéger Chiffrer Journaliser Numéroter27 30 Modèle Tunisien (Draft) [Traitement de données]
Données Demande d’accès  Assurer que les personnes concernées puissent faire valoir leur droit.  Assurer la reproductibilité des procédures d’exécution du droit d’accès. Tunisian Computer Emergency Response Team 31 Le droit d’accès Modèle Tunisien (Draft) [Traitement de données]
La classification de données La protection de données La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information. La confiance n’exclut pas le contrôle. Tunisian Computer Emergency Response Team 32 Politique de classification et de gestion de l’information facteur clé de succès La mise en place d’un système de gestion de sécurité de l’information Conclusion
Merci pour votre attention 33 Share your knowledge. It is a way to achieve immortality

Empfohlen

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 

Empfohlen

la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risqueseGov Innovation Center
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
Ebios
EbiosEbios
Ebioskilojolid
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Classification de l'information
Classification de l'informationClassification de l'information
Classification de l'informationAlain Huet
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 

Weitere ähnliche Inhalte

Was ist angesagt?

La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUESndelannoy
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 

Was ist angesagt? (20)

La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Mehari
MehariMehari
Mehari
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Ebios
EbiosEbios
Ebios
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 

Andere mochten auch

Classification de l'information
Classification de l'informationClassification de l'information
Classification de l'informationAlain Huet
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Data classification-policy
Data classification-policyData classification-policy
Data classification-policyCoi Xay
 
Tunisia elections the country that chose "life"... by Chema Gargouri
Tunisia elections the country that chose "life"... by Chema GargouriTunisia elections the country that chose "life"... by Chema Gargouri
Tunisia elections the country that chose "life"... by Chema GargouriAhmEd Hamza
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]Sébastien Rabaud
 
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...Perrein Jean-Pascal
 
Polish business culture guide - Learn about Poland
Polish business culture guide - Learn about PolandPolish business culture guide - Learn about Poland
Polish business culture guide - Learn about PolandSalford Business School
 
Agi tunisia local_governance_model
Agi tunisia local_governance_modelAgi tunisia local_governance_model
Agi tunisia local_governance_modelKhalil Amiri
 
Tunisia Crime & Safety 2015
Tunisia Crime & Safety 2015Tunisia Crime & Safety 2015
Tunisia Crime & Safety 2015David Santiago
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
open data
open dataopen data
open dataJamaity
 
Normes et qualité et trac
Normes et qualité et tracNormes et qualité et trac
Normes et qualité et traccharlottejallut
 
Résumé Rapport evaluation jamaity
Résumé Rapport evaluation jamaityRésumé Rapport evaluation jamaity
Résumé Rapport evaluation jamaityJamaity
 

Andere mochten auch (20)

Classification de l'information
Classification de l'informationClassification de l'information
Classification de l'information
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
 
Data classification-policy
Data classification-policyData classification-policy
Data classification-policy
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Orange consulting en 3 minutes
Orange consulting en 3 minutesOrange consulting en 3 minutes
Orange consulting en 3 minutes
 
Tunisia elections the country that chose "life"... by Chema Gargouri
Tunisia elections the country that chose "life"... by Chema GargouriTunisia elections the country that chose "life"... by Chema Gargouri
Tunisia elections the country that chose "life"... by Chema Gargouri
 
إصلاح الحَوْكَمة
إصلاح الحَوْكَمةإصلاح الحَوْكَمة
إصلاح الحَوْكَمة
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
Mutualisation ITIL / ISO20000 & 2700x - [Club 27001] [2012] [GT]
 
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
3org conseil - Gouvinfo - RSD - Conférence patrimoine et gouvernance de l'inf...
 
Polish business culture guide - Learn about Poland
Polish business culture guide - Learn about PolandPolish business culture guide - Learn about Poland
Polish business culture guide - Learn about Poland
 
Agi tunisia local_governance_model
Agi tunisia local_governance_modelAgi tunisia local_governance_model
Agi tunisia local_governance_model
 
Tunisia Crime & Safety 2015
Tunisia Crime & Safety 2015Tunisia Crime & Safety 2015
Tunisia Crime & Safety 2015
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
open data
open dataopen data
open data
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
 
Normes et qualité et trac
Normes et qualité et tracNormes et qualité et trac
Normes et qualité et trac
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Résumé Rapport evaluation jamaity
Résumé Rapport evaluation jamaityRésumé Rapport evaluation jamaity
Résumé Rapport evaluation jamaity
 
Metadata Workshop
Metadata WorkshopMetadata Workshop
Metadata Workshop
 

Ähnlich wie La protection de données, La classification un premier pas

Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoringKhalifa Tall
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Denis VIROLE
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by designVersusmind
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
Whitepaper security Lenovo
Whitepaper security LenovoWhitepaper security Lenovo
Whitepaper security LenovoSOUKARIEH Mayass
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Louis-Martin Landry
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Denis VIROLE
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 

Ähnlich wie La protection de données, La classification un premier pas (20)

Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de Cryptographie
 
Presentation ansi
Presentation ansiPresentation ansi
Presentation ansi
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1Afcpd eivp et maturite d'org 1
Afcpd eivp et maturite d'org 1
 
Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
Whitepaper security Lenovo
Whitepaper security LenovoWhitepaper security Lenovo
Whitepaper security Lenovo
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64Module 7 rencontre des attentes des autorités règlementaires - loi 64
Module 7 rencontre des attentes des autorités règlementaires - loi 64
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...Comment concevoir son référentiel protection de la vie privée et avec quelle ...
Comment concevoir son référentiel protection de la vie privée et avec quelle ...
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 

La protection de données, La classification un premier pas

  • 1. Fadhel GHAJATI Lead Auditor 27001 Risk Manager ISO 27005 fadhel.ghajati@ansi.tn Tunisian Computer Emergency Response Team La protection de données: La classification un premier pas 25 Février 2015
  • 2. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 2 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
  • 3. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 3 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
  • 4. Tunisian Computer Emergency Response Team 4 Lancement d’une unité, spécialisée dans la sécurité des SI (Secrétariat d’état à l’informatique) 1999 Considération du rôle de la sécurité des SI comme pilier de la « Société d’Information : Mise en place d’une stratégie : priorités, volume des actions, logistique nécessaire 2002 Décision du conseil ministériel restreint (CMR): Créer une Agence Nationale : Obligation d’audit et création d’un corps d’auditeurs certifiés en sécurité des SI. 2003 Promulgation d’une Loi “originale” sur la sécurité des SI (Loi N° 5-2004, Fév. 2004 et ses 3 décrets associés) 2004 Lancement du CERT-TCC (Computer Emergency Response Team / Tunisian Coordination Center) 2005 Historique
  • 5. L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés, elle est chargée des missions suivantes: Missions Tunisian Computer Emergency Response Team Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine Assurer la veille technologique dans le domaine de la sécurité informatique Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux 5
  • 6. Décret 1249 du 25 Mai 2004 fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique. Cadre réglementaire Tunisian Computer Emergency Response Team 6 Loi n° 5 - 2004 du 3 février 2004 relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux. Décret 1250 du 25 Mai 2004 fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit. Circulaire n° 19 - du 11 avril 2007 relatif au renforcement des mesures de sécurité informatique dans les établissements publiques (Création d'une Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).
  • 7. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 7 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
  • 8. 8 Tunisian Computer Emergency Response Team Faux sentiment de propriété Méconnaissance des obligations nées du contrat de travail ou de prestation de service Contrôle de l’application des règles d’utilisation du SI Déficit de sensibilisation ou complexité de la politique de protection et de classification de l’information « Vol de données » par un Utilisateur Quelle est la portée et le contenu de l’obligation de loyauté ? Quelles sont les clauses importantes des contrats d’externalisation ? … Comment la Charte peut- elle protéger l’entreprise ? Quelles sont les dispositions à prévoir ? … Quel périmètre pour la politique de protection de données? … Quel est le statut juridique de l’information ? Toutes les informations présentes sur le SI sont- elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? …
  • 10. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 10 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
  • 11. Données: définitions Ce qui est connu ou admis comme tel, sur lequel on peut fonder un raisonnement, qui sert de point de départ pour une recherche, Représentation conventionnelle d'une information en vue de son traitement informatique. Une Donnée au sens statistique est destinée à être étudiée dans le cadre de l'analyse des données. Une Donnée au sens informatique est destinée à faire l'objet d'un traitement de données. Une Donnée à caractère personnel pouvant bénéficier d'une certaine protection dans le cadre de la Protection de la vie privée ou du droit à l'image. Dictionnaire 11
  • 12. données personnelles : tenant à la personne données privées : tenant au respect de la vie privée données professionnelles : à finalité professionnelle données publiques : définies par la loi 12 Données: définitions Tunisian Computer Emergency Response Team
  • 13. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 13 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
  • 14. SECURITE SantéIndustrie La classification de données est une problématique répandue dans le monde scientifique, car elle est à l’origine de nombreuses applications. 14Tunisian Computer Emergency Response Team Gouvernement Finances Classification (1/8)
  • 15. Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le niveau de sécurité qui s’applique à chaque document ou n’importe quelle autre forme d’information qui existe dans la base de données. interne secretconfidentiel 15Tunisian Computer Emergency Response Team Classification (2/8)
  • 16. 16Tunisian Computer Emergency Response Team PaysClasse Très secret Secret Confidentiel Restreint Afrique du Sud Top Secret Secret Confidential Restricted USA Top Secret Secret Confidential Belgique Très secret Secret Confidentiel Diffusion Restreinte France Très secret Défense Secret Défense Confidentiel Défense Diffusion restreinte Italie Segretissimo Segreto Riservatissimo Riservato Suisse Secret Secret Confidentiel Interne Source: http://cryptome.info/appf.pdf Classification (3/8)
  • 17. Ordonnance concernant la protection des informations de la Confédération Suisse Secret Confidentiel Interne Les informations dont la prise de connaissance par des personnes non autorisées peut porter un grave préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut: a. compromettre gravement la liberté d’action de l’Assemblée fédérale ou du Conseil fédéral; b. compromettre gravement la sécurité de la population; c. compromettre gravement l’approvisionnement économique du pays ou la sécurité d’installations de conduite et d’infrastructures d’intérêt national; d. compromettre gravement l’accomplissement de la mission de l’administration fédérale, de l’armée ou de parties essentielles de celle-ci; e. compromettre gravement les intérêts en matière de politique extérieure ou les relations internationales de la Suisse; f. compromettre gravement soit la protection des sources ou des personnes, soit le maintien du secret quant aux moyens et aux méthodes opératifs des services de renseignements. les informations dont la prise de connaissance par des personnes non autorisées peut porter préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut : a. porter atteinte à la libre formation de l’opinion et de la volonté de l’Assemblée fédérale ou du Conseil fédéral; b. porter atteinte à la mise en œuvre conforme de mesures concrètes décidées par une autorité; c. porter atteinte à la sécurité de la population; d. porter atteinte à l’approvisionnement économique du pays ou à la sécurité d’infrastructures importantes; e. porter atteinte à l’accomplissement de la mission de parties de l’administration fédérale ou de l’armée; f. porter atteinte aux intérêts de la Suisse en matière de politique de sécurité ou aux relations internationales de la Suisse; g. porter atteinte aux relations entre la confédération et les cantons ou aux relations entre les cantons; h. porter atteinte aux intérêts de la Suisse en matière économique, monétaire et de politique monétaire. les informations: a. dont la prise de connaissance par des personnes non autorisées peut porter atteinte aux intérêts du pays; et b. qui ne doivent être classifiées ni «SECRET» ni «CONFIDENTIE L». 17 Classification (4/8)
  • 18. 18 le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), la protège plus efficacement contre sa divulgation : Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers » Protection par le secret : secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900) secret professionnel (articles 226-13 et 226-14 du Code pénal) secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002) Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968 Tunisian Computer Emergency Response Team Classification (5/8)
  • 19. 19Tunisian Computer Emergency Response Team Classification (6/8) En Tunisie la protection des données est régie par: La loi organique - 63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel
  • 20. A.8.2.1 Classification des informations Mesure Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée. A.8.2.2 Marquage des informations Mesure Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l’organisation. ISO 27001 version 2013 1. la divulgation ne cause aucun dommage, 2. la divulgation provoque un dommage mineur, 3. la divulgation a un impact significatif à court terme sur les opérations ou les objectifs tactiques, 4. la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la survie de l'organisation à risque. Exemple 20 Classification (7/8)
  • 21. FIPS PUB 199 Le format généralisé pour exprimer la catégorie de sécurité est : SC Information = {(confidentialité, impact), (Intégrité, impact), (Disponibilité, impact)}, Avec l’impact potentiel est : Faible, Modéré, Elevé, Non Applicable L’impact potentiel est faible si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif limité pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. L’impact potentiel est modéré si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif sérieux pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. L’impact potentiel est élevé si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif catastrophique pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers. Tunisian Computer Emergency Response Team 21 Classification (8/8)
  • 22. Plan • Problématique • Données: définitions • Classification de données • Modèle Tunisien (Draft) • Conclusion 22 • Présentation de l’ANSI Tunisian Computer Emergency Response Team
  • 23. IMPACT POTENTIEL Objectif de sécurité FAIBLE MOYEN ELEVE Confidentialité La divulgation non autorisée d'informations pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 1 La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 2 La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 3 Intégrité La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 1 La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_I = 2 La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 3 Disponibilité L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 1 L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_D = 3 L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 3 23 Modèle Tunisien (Draft)
  • 24. Criticité des données Classe de données 1 CA 2 3 CB4 6 8 CC9 12 18 CD 27 Modèle Tunisien (Draft) Tunisian Computer Emergency Response Team Soient C,I,D tableaux C[i] : valeur de l’impact de confidentialité I[j] : valeur de l’impact de l’intégrité D[k] : Valeur de l’impact de disponibilité SC : la valeur de la corrélation {C,I,D} Classe_D : La classe de donnée Pour i,j,k de 1 à 3 Calculer SC= C[i]*I[j]*D[k] Si SC = 1||2 alors Classe_D = CA Si SC = 3||4||6 alors Classe_D = CB Si SC=8||9||12 alors Classe_D = CC Si SC= 18 ||27 alors Classe_D = CD 24
  • 25. Criticité des données Classe de données Confidentialté Intégrité Disponibilité Impact Exemple Impact Outil d'échange Temps d’arrêt par an 1 CA La divulgation pourrait être parfois défavorable aux intérêts de l’organisation ou du groupe autorisé. Guide utilisateur, certains numéros directs de téléphone, procédure de fonctionnement. La modification ou la destruction non autorisée de renseignements pourraient parfois avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Pas de contraintes sur l’utilisation ou la transmission. 1 mois 2 3 semaines 3 CB La divulgation pourrait être défavorable aux intérêts de l’organisation ou du groupe autorisé. Documentation ou schéma de réseau interne, programme source. La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. contraintes minimalessur l’utilisation ou la transmission. 18 jours 4 2 Semaines 6 1 semaine 8 CC La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. Secret bancaire, données à caractères personnelles sensibles (santé), incidents de sécurité. La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Limitation des droits d’accès. ½ semaine 9 1 jour 12 ½ jour 18 CD La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus. Information classifiée par la loi, mot de passe La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. Utilisation de la signature, coffre fort. 1 heure 27 30 min 25 Modèle Tunisien (Draft)
  • 26. Criticité des données Classe de données Impact sur la population Impact Economique Impact de l'interdependance Périmiètre affecté 1 CA Impact mineur (i.e <10) Impact mineur (i.e <10 M) Impact mineur Local 2 3 CB Impact modéré (i.e 10-100) Impact modéré (i.e 10 M - 100 M) Impact modéré (Perturbation) périmètre étendu ou d'autres sécteurs (partiellement affecté) 4 6 8 CC Impact significatif (i.e 100-500) Impact significatif (i.e 100 M - 500 M) impact signaficatif périmètre national ou un secteur (totalement affecté) 9 12 18 CD Impact grave (i.e >500) Impact grave (i.e > 500 M) impact grave et affaiblissant périmètre international ou plusieurs secteurs (totalement affecté) 27 26 Modèle Tunisien (Draft)
  • 27. 27Tunisian Computer Emergency Response Team Modèle Tunisien (Draft) [Traitement de données]  L’accès aux données,  Le cycle de vie de données,  L’échange de données,  Le droit d’accès.  La sécurité des locaux,  La sécurité des serveurs (l’emplacement des données le cas échéant),  La sécurité des workspaces,  L’identification et l’authentification des utilisateurs,  La sécurité d’accès aux données des utilisateurs,  La gestion des accès à distance. L’accès aux données Processus
  • 28. Données Backup Logs Utilisation Collaborateur Introduction Modification Destruction Le cycle de vie des données 28Tunisian Computer Emergency Response Team  La gestion de l’introduction des données dans le système,  La surveillance des traitements sur les données (journalisation),  Le chiffrement des données,  La sécurité des différents supports de données,  La sauvegarde les données,  La destruction de manière définitive les données,  La gestion de sous-traitance de projets,  La gestion de la sécurité de l’information et la protection des données. Modèle Tunisien (Draft) [Traitement de données]
  • 29. Logs Tiers Communication Transmission Station de travail Supports L’échange de données 29Tunisian Computer Emergency Response Team  Chiffrer un message à envoyer à un tiers distant,  Signer un message à envoyer à un tiers distant,  La transmission des supports mobiles de manière sécurisée,  La trace des différentes communications. Modèle Tunisien (Draft) [Traitement de données]
  • 30. Tunisian Computer Emergency Response Team Criticité de données Classe de données Echange 1 CA Protéger l’accès au document 2 3 CB Protéger + Chiffrer le document4 6 8 CC Protéger, chiffrer + Journaliser le traitement9 12 18 CD Protéger Chiffrer Journaliser Numéroter27 30 Modèle Tunisien (Draft) [Traitement de données]
  • 31. Données Demande d’accès  Assurer que les personnes concernées puissent faire valoir leur droit.  Assurer la reproductibilité des procédures d’exécution du droit d’accès. Tunisian Computer Emergency Response Team 31 Le droit d’accès Modèle Tunisien (Draft) [Traitement de données]
  • 32. La classification de données La protection de données La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information. La confiance n’exclut pas le contrôle. Tunisian Computer Emergency Response Team 32 Politique de classification et de gestion de l’information facteur clé de succès La mise en place d’un système de gestion de sécurité de l’information Conclusion
  • 33. Merci pour votre attention 33 Share your knowledge. It is a way to achieve immortality

Hinweis der Redaktion

  1. Les organismes génèrent, managent et utilisent de nombreux types de données distincts et sous nombreuses formes dans le cadre de leurs opérations. Cependant, ces informations n’ont pas toutes la même valeur et requièrent donc des niveaux de protection différents. Une saine gestion de la sécurité de l’information doit donc s’instaurer sur l’ensemble des processus d’acquisition, de création, d’utilisation, d’archivage et de disposition des données, tout en n’oubliant pas de tenir compte des facteurs humains et de l’évolution des nouvelles technologies. En catégorisant et en classifiant les différents types et niveaux de sécurité de ces informations, l’organisme sera habile à établir une taxonomie appropriée de ces informations et d’édifier des stratégies basées sur des besoins de sécurité précis. Dans ce contexte, on présente une étude sur la classification de données, les différentes démarches au niveau international et une proposition pour la classification de données au niveau national tunisien.