SlideShare ist ein Scribd-Unternehmen logo

MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001

Als PPT, PDF herunterladen
lancedafric.org
lancedafric.org

MANAGEMENT DE LA QUALITE, SMSI, ANOR

Business
1 von 25
Semaine Nationale de la Qualité (SENAQ 2013) (Forum –débat qualité) Le Management de la Sécurité des Systèmes d’Information: L’Apport de la Norme ISO 27001 Par: Pr. Alain NDEDI
1.LES DANGERS ET LES RISQUES LIES A LA MISE EN PLACE DES SYSTEMES D’INFORMATION 2. LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001 3. LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE CONTRE LES RISQUES ET MENACES
ANIMATEUR Pr Alain Ndedi Professeur en Organisation, Entreprenariat et Stratégie des Universités Courriel: ndedi.alain@gmail.com -Tel: 237 2282 3294
INTRODUCTION Des organisations collectent, traitent, stockent et transmettent des informations reconnaissent que ces informations et les processus associés, les systèmes, les réseaux et les gens sont des actifs importants pour la réalisation des objectifs de l'organisation. Toutes les informations détenues et traitées alors sont exposées à des menaces d'attaque, d'erreur, d'événement naturel (inondation ou incendie), et sont exposées à des vulnérabilités inhérentes à leur utilisation Ces menaces sont appelées risques.
The thrust of this presentation is about: 1)Risks and threats related to the implementation of the Information Management System within organisations, 2) The ISO 27 001, and 3) The contribution of ISO 27 001 regarding the management of the above mentioned risks and threats during the implementation of the information management system…
Définition du risque Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité. Le risque est défini comme l’éventualité d'un événement futur, incertain, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage.
Risques humains Les risques humains concernent les utilisateurs •La maladresse…des erreurs. •L'inconscience et l'ignorance……de nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent. •La malveillance : virus et de vers. •L’ingénierie sociale est une méthode pour obtenir d'une personne des informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins. •L’espionnage et le détournement de mot de passe:
Risques techniques Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. •Incidents liés au matériel…. • Incidents liés au logiciel…ils sont de très loin les plus fréquents •Incidents liés à l'environnement…dus aux variations de température ou d'humidité
Risques juridiques L'ouverture des applications informatiques par le web et la multiplication des messages électroniques augmentent les risques juridiques liés à l'usage des technologies de l’information. On peut citer notamment: •Le non-respect de la législation relative à la signature numérique •Les risques concernant la protection du patrimoine informationnel; •Le non-respect de la législation relative à la vie privée et au droit de la preuve
Gestion des risques La gestion des risques vise à: •Identifier et anticiper les évènements, actions ou inactions susceptibles d’impacter la mise en œuvre de la stratégie dans un horizon donné, •Définir les options de traitements et s’assurer qu’une option optimale est choisie, mettre en œuvre cette option et •Contrôler l’efficacité de la solution retenue par rapport aux attentes.
LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001
Norme ISO 27 001 La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini.
L’Apport de la Norme 27 001 La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères.
L’Apport de la Norme 27 001 La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion.
L’Apport de la Norme ISO 27 001 En définitive….. L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer.
LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE CONTRE LES RISQUES ET MENACES
La norme ISO 27001 pose les bases du système de management de la sécurité de l’information. Adoptant une approche par processus, la norme met en lumière les meilleures pratiques de sécurité et surtout les organise dans le temps. la norme ISO 27001 décrit les exigences nécessaires à la mise en œuvre du Système de Management de la Sécurité de l’Information (SMSI).
Le SMSI est défini par l’ensemble des ressources mises en place pour organiser et gérer au quotidien la sécurité de l’information. Il constitue donc un dispositif global de gouvernance de la sécurité de l’information. Il englobe l’ensemble des documents définissant les règles et processus de sécurité, l’organisation associée ainsi que les infrastructures techniques de sécurité. Le corps de la norme ISO 27001 est consacré à la création et au maintien du SMSI.
La norme ISO 27001 propose d’intégrer ces éléments comme des fondements incontournables de la démarche sécurité: 1) Des processus de sécurité bien identifiés et formalisés (analyse de risques, gestion des incidents, sensibilisation, …. 2) Le contrôle systématique des éléments mis en œuvre via le SMSI. 3) La gestion efficiente de la documentation (création et mises à jour). 4) La gestion stricte des enregistrements pour permettre le contrôle des mesures de sécurité mises en place (traces de tous les accès à un local sécurisé).
La norme ISO 27001 impose la conduite d’une… 1)analyse de risques puis 2) la définition d’un plan de traitement de ces risques dont l’application est strictement contrôlée.
CONCLUSION Par rapport aux démarches actuelles de sécurité, la norme ISO 27001 a des apports indéniables. Comment valoriser ces apports ? Et jusqu’où aller dans son application ?
L’ISO 27001 propose des principes pertinents qui amènent un plus réel aux démarches d’amélioration de la sécurité. • Une meilleure maîtrise des risques qui pèsent réellement sur les activités de l’entreprise. • La garantie de mieux dimensionner le budget sécurité et surtout de l’affecter aux mesures les plus pertinentes. • Une association plus systématique des acteurs métiers et du management aux décisions, et • Donc une meilleure acceptation des contraintes amenées par les mesures de sécurité. • Un pilotage plus efficace du traitement des risques. • La facilitation d’autres démarches liées à la sécurité de l’information,
Programmes malveillants Un logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants : •Le virus : programme se dupliquant sur d'autres ordinateurs ; •Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ; •Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ; •Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur ; •La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système informatique, à distance ; •Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ; •L'enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier ; •Le rootkit : ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans les journaux système.
Techniques d'attaque par messagerie En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci : •Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires •L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles •Le canular informatique (hoax en anglais) : un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).
Thank you Siyabonga Mi Nasom Merci

Empfohlen

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ebios
EbiosEbios
Ebioskilojolid
 

Empfohlen

Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Ebios
EbiosEbios
Ebioskilojolid
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Mehari
MehariMehari
MehariImane ABOU EL MARAI
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE dazaiazouze
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobITAnthony Delannoy
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000ISACA Chapitre de Québec
 

Weitere ähnliche Inhalte

Was ist angesagt?

Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 

Was ist angesagt? (20)

Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Mehari
MehariMehari
Mehari
 
Mehari
MehariMehari
Mehari
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 

Andere mochten auch

La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
CobIT presentation
CobIT presentationCobIT presentation
CobIT presentationMarc Vael
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationMiguel Iriart
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001Valoricert Group
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 

Andere mochten auch (11)

La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Cobit
CobitCobit
Cobit
 
CobIT presentation
CobIT presentationCobIT presentation
CobIT presentation
 
Gouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’informationGouvernance et gestion des Technologies de l’information
Gouvernance et gestion des Technologies de l’information
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5
 
Certification ISO/CEI 27001
Certification ISO/CEI 27001Certification ISO/CEI 27001
Certification ISO/CEI 27001
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performance
 
Cobit
Cobit Cobit
Cobit
 

Ähnlich wie MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001

Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxBernardKabuatila
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Hanen Bensaad
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfFootballLovers9
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)niokho
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxOuattaraAboulaye1
 

Ähnlich wie MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001 (20)

Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdfresume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
resume-theorique-m211-v1-0609-63247e4d68ea9_2.pdf
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptx
 

Mehr von lancedafric.org

METHODOLOGIE DE REDACTION DE MEMOIRE
METHODOLOGIE DE REDACTION DE MEMOIREMETHODOLOGIE DE REDACTION DE MEMOIRE
METHODOLOGIE DE REDACTION DE MEMOIRElancedafric.org
 
Méthodologie de rédaction de mémoire
Méthodologie de rédaction de mémoireMéthodologie de rédaction de mémoire
Méthodologie de rédaction de mémoirelancedafric.org
 
PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...
PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...
PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...lancedafric.org
 
LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...
LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...
LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...lancedafric.org
 
PROFESSOR ALAIN NDEDI CONSULTING WORK
PROFESSOR ALAIN NDEDI CONSULTING WORKPROFESSOR ALAIN NDEDI CONSULTING WORK
PROFESSOR ALAIN NDEDI CONSULTING WORKlancedafric.org
 
Ms Irene munyana recommendation
Ms Irene munyana recommendationMs Irene munyana recommendation
Ms Irene munyana recommendationlancedafric.org
 
A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.
A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.
A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.lancedafric.org
 
ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)
ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)
ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)lancedafric.org
 
Deepening Regional Integration-to-Advance-Growth-and-Prosperity
Deepening Regional Integration-to-Advance-Growth-and-ProsperityDeepening Regional Integration-to-Advance-Growth-and-Prosperity
Deepening Regional Integration-to-Advance-Growth-and-Prosperitylancedafric.org
 
Course Entrepreneurial Finance
Course Entrepreneurial FinanceCourse Entrepreneurial Finance
Course Entrepreneurial Financelancedafric.org
 
Rapport final colloque organisé par Charisma University /Maaran Business Scho...
Rapport final colloque organisé par Charisma University /Maaran Business Scho...Rapport final colloque organisé par Charisma University /Maaran Business Scho...
Rapport final colloque organisé par Charisma University /Maaran Business Scho...lancedafric.org
 
RAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLE
RAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLERAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLE
RAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLElancedafric.org
 
Stratégies de croissance pour une meilleure optimisation du rendement de l’en...
Stratégies de croissance pour une meilleure optimisation du rendement de l’en...Stratégies de croissance pour une meilleure optimisation du rendement de l’en...
Stratégies de croissance pour une meilleure optimisation du rendement de l’en...lancedafric.org
 
MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...
MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...
MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...lancedafric.org
 
Analyse des politiques de Développement Durable et des performances dans le ...
Analyse des politiques de Développement Durable et des performances dans le ...Analyse des politiques de Développement Durable et des performances dans le ...
Analyse des politiques de Développement Durable et des performances dans le ...lancedafric.org
 
L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...
L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...
L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...lancedafric.org
 
Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...
Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...
Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...lancedafric.org
 
Management des projets dans l’administration publique camerounaise (APC) : Ca...
Management des projets dans l’administration publique camerounaise (APC) : Ca...Management des projets dans l’administration publique camerounaise (APC) : Ca...
Management des projets dans l’administration publique camerounaise (APC) : Ca...lancedafric.org
 
Contribution de la fonction RH à la création de valeur : essai d’analyse des ...
Contribution de la fonction RH à la création de valeur : essai d’analyse des ...Contribution de la fonction RH à la création de valeur : essai d’analyse des ...
Contribution de la fonction RH à la création de valeur : essai d’analyse des ...lancedafric.org
 
La digitalisation de l’entreprise et le risque comportemental: cas de la CNPS
La digitalisation de l’entreprise et le risque comportemental: cas de la CNPSLa digitalisation de l’entreprise et le risque comportemental: cas de la CNPS
La digitalisation de l’entreprise et le risque comportemental: cas de la CNPSlancedafric.org
 

Mehr von lancedafric.org (20)

METHODOLOGIE DE REDACTION DE MEMOIRE
METHODOLOGIE DE REDACTION DE MEMOIREMETHODOLOGIE DE REDACTION DE MEMOIRE
METHODOLOGIE DE REDACTION DE MEMOIRE
 
Méthodologie de rédaction de mémoire
Méthodologie de rédaction de mémoireMéthodologie de rédaction de mémoire
Méthodologie de rédaction de mémoire
 
PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...
PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...
PROCEDURE DE DEDOUANEMENT DES MARCHANDISES EN TRANSIT A DESTINATION DE LA R.C...
 
LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...
LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...
LA PLACE DE LA LOGISTIQUE DANS L’ORGANISATION D’UN EVENEMENT PRIVE : MARIAGE ...
 
PROFESSOR ALAIN NDEDI CONSULTING WORK
PROFESSOR ALAIN NDEDI CONSULTING WORKPROFESSOR ALAIN NDEDI CONSULTING WORK
PROFESSOR ALAIN NDEDI CONSULTING WORK
 
Ms Irene munyana recommendation
Ms Irene munyana recommendationMs Irene munyana recommendation
Ms Irene munyana recommendation
 
A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.
A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.
A Chevening Scholarship Recommendation Letter for Ms.Nchafac Julegette Njutie.
 
ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)
ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)
ASSOCIATION CHARISMA ALUMNI IN CAMEROON (ACAC)
 
Deepening Regional Integration-to-Advance-Growth-and-Prosperity
Deepening Regional Integration-to-Advance-Growth-and-ProsperityDeepening Regional Integration-to-Advance-Growth-and-Prosperity
Deepening Regional Integration-to-Advance-Growth-and-Prosperity
 
Course Entrepreneurial Finance
Course Entrepreneurial FinanceCourse Entrepreneurial Finance
Course Entrepreneurial Finance
 
Rapport final colloque organisé par Charisma University /Maaran Business Scho...
Rapport final colloque organisé par Charisma University /Maaran Business Scho...Rapport final colloque organisé par Charisma University /Maaran Business Scho...
Rapport final colloque organisé par Charisma University /Maaran Business Scho...
 
RAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLE
RAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLERAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLE
RAPPORT DU COLLOQUIUM SUR LA COMMUNICATION VIRTUELLE
 
Stratégies de croissance pour une meilleure optimisation du rendement de l’en...
Stratégies de croissance pour une meilleure optimisation du rendement de l’en...Stratégies de croissance pour une meilleure optimisation du rendement de l’en...
Stratégies de croissance pour une meilleure optimisation du rendement de l’en...
 
MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...
MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...
MARKETING RH ET PERFORMANCE AU SEIN DES ENTREPRISES DU SECTEUR DE L’ELECTRICI...
 
Analyse des politiques de Développement Durable et des performances dans le ...
Analyse des politiques de Développement Durable et des performances dans le ...Analyse des politiques de Développement Durable et des performances dans le ...
Analyse des politiques de Développement Durable et des performances dans le ...
 
L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...
L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...
L’IMPACT DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION DANS LA MOD...
 
Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...
Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...
Mr Jean noundou le dialogue social dans les entreprises comme vecteur d'apais...
 
Management des projets dans l’administration publique camerounaise (APC) : Ca...
Management des projets dans l’administration publique camerounaise (APC) : Ca...Management des projets dans l’administration publique camerounaise (APC) : Ca...
Management des projets dans l’administration publique camerounaise (APC) : Ca...
 
Contribution de la fonction RH à la création de valeur : essai d’analyse des ...
Contribution de la fonction RH à la création de valeur : essai d’analyse des ...Contribution de la fonction RH à la création de valeur : essai d’analyse des ...
Contribution de la fonction RH à la création de valeur : essai d’analyse des ...
 
La digitalisation de l’entreprise et le risque comportemental: cas de la CNPS
La digitalisation de l’entreprise et le risque comportemental: cas de la CNPSLa digitalisation de l’entreprise et le risque comportemental: cas de la CNPS
La digitalisation de l’entreprise et le risque comportemental: cas de la CNPS
 

MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001

  • 1. Semaine Nationale de la Qualité (SENAQ 2013) (Forum –débat qualité) Le Management de la Sécurité des Systèmes d’Information: L’Apport de la Norme ISO 27001 Par: Pr. Alain NDEDI
  • 2. 1.LES DANGERS ET LES RISQUES LIES A LA MISE EN PLACE DES SYSTEMES D’INFORMATION 2. LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001 3. LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE CONTRE LES RISQUES ET MENACES
  • 3. ANIMATEUR Pr Alain Ndedi Professeur en Organisation, Entreprenariat et Stratégie des Universités Courriel: ndedi.alain@gmail.com -Tel: 237 2282 3294
  • 4. INTRODUCTION Des organisations collectent, traitent, stockent et transmettent des informations reconnaissent que ces informations et les processus associés, les systèmes, les réseaux et les gens sont des actifs importants pour la réalisation des objectifs de l'organisation. Toutes les informations détenues et traitées alors sont exposées à des menaces d'attaque, d'erreur, d'événement naturel (inondation ou incendie), et sont exposées à des vulnérabilités inhérentes à leur utilisation Ces menaces sont appelées risques.
  • 5. The thrust of this presentation is about: 1)Risks and threats related to the implementation of the Information Management System within organisations, 2) The ISO 27 001, and 3) The contribution of ISO 27 001 regarding the management of the above mentioned risks and threats during the implementation of the information management system…
  • 6. Définition du risque Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité. Le risque est défini comme l’éventualité d'un événement futur, incertain, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage.
  • 7. Risques humains Les risques humains concernent les utilisateurs •La maladresse…des erreurs. •L'inconscience et l'ignorance……de nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent. •La malveillance : virus et de vers. •L’ingénierie sociale est une méthode pour obtenir d'une personne des informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins. •L’espionnage et le détournement de mot de passe:
  • 8. Risques techniques Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. •Incidents liés au matériel…. • Incidents liés au logiciel…ils sont de très loin les plus fréquents •Incidents liés à l'environnement…dus aux variations de température ou d'humidité
  • 9. Risques juridiques L'ouverture des applications informatiques par le web et la multiplication des messages électroniques augmentent les risques juridiques liés à l'usage des technologies de l’information. On peut citer notamment: •Le non-respect de la législation relative à la signature numérique •Les risques concernant la protection du patrimoine informationnel; •Le non-respect de la législation relative à la vie privée et au droit de la preuve
  • 10. Gestion des risques La gestion des risques vise à: •Identifier et anticiper les évènements, actions ou inactions susceptibles d’impacter la mise en œuvre de la stratégie dans un horizon donné, •Définir les options de traitements et s’assurer qu’une option optimale est choisie, mettre en œuvre cette option et •Contrôler l’efficacité de la solution retenue par rapport aux attentes.
  • 11. LES EXIGENCES PRINCIPALES DE LA NORME ISO 27001
  • 12. Norme ISO 27 001 La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini.
  • 13. L’Apport de la Norme 27 001 La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères.
  • 14. L’Apport de la Norme 27 001 La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion.
  • 15. L’Apport de la Norme ISO 27 001 En définitive….. L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer.
  • 16. LA MISE EN PLACE DE LA NORME 27 001 ET SON IMPORTANCE DANS LA LUTTE CONTRE LES RISQUES ET MENACES
  • 17. La norme ISO 27001 pose les bases du système de management de la sécurité de l’information. Adoptant une approche par processus, la norme met en lumière les meilleures pratiques de sécurité et surtout les organise dans le temps. la norme ISO 27001 décrit les exigences nécessaires à la mise en œuvre du Système de Management de la Sécurité de l’Information (SMSI).
  • 18. Le SMSI est défini par l’ensemble des ressources mises en place pour organiser et gérer au quotidien la sécurité de l’information. Il constitue donc un dispositif global de gouvernance de la sécurité de l’information. Il englobe l’ensemble des documents définissant les règles et processus de sécurité, l’organisation associée ainsi que les infrastructures techniques de sécurité. Le corps de la norme ISO 27001 est consacré à la création et au maintien du SMSI.
  • 19. La norme ISO 27001 propose d’intégrer ces éléments comme des fondements incontournables de la démarche sécurité: 1) Des processus de sécurité bien identifiés et formalisés (analyse de risques, gestion des incidents, sensibilisation, …. 2) Le contrôle systématique des éléments mis en œuvre via le SMSI. 3) La gestion efficiente de la documentation (création et mises à jour). 4) La gestion stricte des enregistrements pour permettre le contrôle des mesures de sécurité mises en place (traces de tous les accès à un local sécurisé).
  • 20. La norme ISO 27001 impose la conduite d’une… 1)analyse de risques puis 2) la définition d’un plan de traitement de ces risques dont l’application est strictement contrôlée.
  • 21. CONCLUSION Par rapport aux démarches actuelles de sécurité, la norme ISO 27001 a des apports indéniables. Comment valoriser ces apports ? Et jusqu’où aller dans son application ?
  • 22. L’ISO 27001 propose des principes pertinents qui amènent un plus réel aux démarches d’amélioration de la sécurité. • Une meilleure maîtrise des risques qui pèsent réellement sur les activités de l’entreprise. • La garantie de mieux dimensionner le budget sécurité et surtout de l’affecter aux mesures les plus pertinentes. • Une association plus systématique des acteurs métiers et du management aux décisions, et • Donc une meilleure acceptation des contraintes amenées par les mesures de sécurité. • Un pilotage plus efficace du traitement des risques. • La facilitation d’autres démarches liées à la sécurité de l’information,
  • 23. Programmes malveillants Un logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants : •Le virus : programme se dupliquant sur d'autres ordinateurs ; •Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ; •Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ; •Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur ; •La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système informatique, à distance ; •Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ; •L'enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier ; •Le rootkit : ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans les journaux système.
  • 24. Techniques d'attaque par messagerie En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci : •Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires •L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles •Le canular informatique (hoax en anglais) : un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).