La digitalisation de l’entreprise et le risque comportemental: cas de la CNPS
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
1. Semaine Nationale de la Qualité (SENAQ 2013)
(Forum –débat qualité)
Le Management de la Sécurité des Systèmes
d’Information:
L’Apport de la Norme ISO 27001
Par:
Pr. Alain NDEDI
2. 1.LES DANGERS ET LES RISQUES LIES A LA MISE EN
PLACE DES SYSTEMES D’INFORMATION
2. LES EXIGENCES PRINCIPALES DE LA NORME ISO
27001
3. LA MISE EN PLACE DE LA NORME 27 001 ET SON
IMPORTANCE DANS LA LUTTE CONTRE LES
RISQUES ET MENACES
3. ANIMATEUR
Pr Alain Ndedi
Professeur en Organisation, Entreprenariat et Stratégie des
Universités
Courriel: ndedi.alain@gmail.com -Tel: 237 2282 3294
4. INTRODUCTION
Des organisations collectent, traitent, stockent et
transmettent des informations reconnaissent que ces
informations et les processus associés, les systèmes,
les réseaux et les gens sont des actifs importants pour
la réalisation des objectifs de l'organisation.
Toutes les informations détenues et traitées alors
sont exposées à des menaces d'attaque, d'erreur,
d'événement naturel (inondation ou incendie), et sont
exposées à des vulnérabilités inhérentes à leur utilisation
Ces menaces sont appelées risques.
5. The thrust of this presentation is about:
1)Risks and threats related to the implementation of
the Information Management System within
organisations,
2) The ISO 27 001, and
3) The contribution of ISO 27 001 regarding the
management of the above mentioned risks and threats
during the implementation of the information
management system…
6. Définition du risque
Un risque est un danger éventuel, plus ou moins
prévisible, inhérent à une situation ou à une activité.
Le risque est défini comme l’éventualité d'un
événement futur, incertain, ne dépendant pas
exclusivement de la volonté des parties et pouvant
causer la perte d'un objet ou tout autre dommage.
7. Risques humains
Les risques humains concernent les utilisateurs
•La maladresse…des erreurs.
•L'inconscience et l'ignorance……de nombreux utilisateurs d'outils
informatiques sont encore inconscients ou ignorants des risques
qu'ils encourent aux systèmes qu'ils utilisent.
•La malveillance : virus et de vers.
•L’ingénierie sociale est une méthode pour obtenir d'une personne des
informations confidentielles, que l'on n'est pas normalement
autorisé à obtenir, en vue de les exploiter à d'autres fins.
•L’espionnage et le détournement de mot de passe:
8. Risques techniques
Les risques techniques sont tout simplement ceux liés
aux défauts et pannes inévitables que connaissent tous les
systèmes matériels et logiciels.
•Incidents liés au matériel….
• Incidents liés au logiciel…ils sont de très loin les plus
fréquents
•Incidents liés à l'environnement…dus aux variations de
température ou d'humidité
9. Risques juridiques
L'ouverture des applications informatiques par le web et
la multiplication des messages électroniques augmentent
les risques juridiques liés à l'usage des technologies de
l’information.
On peut citer notamment:
•Le non-respect de la législation relative à la signature numérique
•Les risques concernant la protection du patrimoine
informationnel;
•Le non-respect de la législation relative à la vie privée et au
droit de la preuve
10. Gestion des risques
La gestion des risques vise à:
•Identifier et anticiper les évènements, actions ou inactions
susceptibles d’impacter la mise en œuvre de la stratégie
dans un horizon donné,
•Définir les options de traitements et s’assurer qu’une option
optimale est choisie, mettre en œuvre cette option et
•Contrôler l’efficacité de la solution retenue par rapport aux
attentes.
12. Norme ISO 27 001
La norme ISO/CEI 27001 décrit les exigences pour
la mise en place d'un Système de Management de
la Sécurité de l'Information (SMSI).
Le SMSI est destiné à choisir les mesures de
sécurité afin d'assurer la protection des biens
sensibles d'une entreprise sur un périmètre défini.
13. L’Apport de la Norme 27 001
La norme dicte également les exigences en matières
de mesures de sécurité propres à chaque organisme,
c’est-à-dire que la mesure n’est pas la même d’un
organisme à l’autre.
Les mesures doivent être adéquates et proportionnées
à l’organisme pour ne pas être ni trop laxistes ni trop
sévères.
14. L’Apport de la Norme 27 001
La norme ISO 27001 intègre aussi le fait que la
mise en place d’un SMSI et d’outils de mesures de
sécurité aient pour but de garantir la protection des
actifs informationnels.
L’objectif est de protéger les informations de
toute perte, vol ou altération, et les systèmes
informatiques de toute intrusion.
15. L’Apport de la Norme ISO 27 001
En définitive…..
L'ISO/CEI 27001 définit l'ensemble des
contrôles à effectuer pour s'assurer de la
pertinence du SMSI, à l'exploiter et à le faire
évoluer.
16. LA MISE EN PLACE DE LA NORME 27 001
ET SON IMPORTANCE DANS LA LUTTE
CONTRE LES RISQUES ET MENACES
17. La norme ISO 27001 pose les bases du
système de management de la sécurité de
l’information.
Adoptant une approche par processus, la
norme met en lumière les meilleures pratiques
de sécurité et surtout les organise dans le
temps.
la norme ISO 27001 décrit les exigences
nécessaires à la mise en œuvre du Système de
Management de la Sécurité de l’Information
(SMSI).
18. Le SMSI est défini par l’ensemble des ressources
mises en place pour organiser et gérer au quotidien
la sécurité de l’information.
Il constitue donc un dispositif global de
gouvernance de la sécurité de l’information. Il englobe
l’ensemble des documents définissant les règles et
processus de sécurité, l’organisation associée ainsi
que les infrastructures techniques de sécurité.
Le corps de la norme ISO 27001 est consacré
à la création et au maintien du SMSI.
19. La norme ISO 27001 propose d’intégrer ces éléments comme des
fondements incontournables de la démarche sécurité:
1) Des processus de sécurité bien identifiés et formalisés (analyse
de risques, gestion des incidents, sensibilisation, ….
2) Le contrôle systématique des éléments mis en œuvre via le
SMSI.
3) La gestion efficiente de la documentation (création et mises à
jour).
4) La gestion stricte des enregistrements pour permettre le
contrôle des mesures de sécurité mises en place (traces de tous les
accès à un local sécurisé).
20. La norme ISO 27001 impose la conduite
d’une…
1)analyse de risques puis
2) la définition d’un plan de traitement
de ces risques dont l’application est
strictement contrôlée.
21. CONCLUSION
Par rapport aux démarches actuelles de sécurité, la
norme ISO 27001 a des apports indéniables.
Comment valoriser ces apports ?
Et jusqu’où aller dans son application ?
22. L’ISO 27001 propose des principes pertinents qui amènent un
plus réel aux démarches d’amélioration de la sécurité.
• Une meilleure maîtrise des risques qui pèsent réellement
sur les activités de l’entreprise.
• La garantie de mieux dimensionner le budget sécurité et
surtout de l’affecter aux mesures les plus pertinentes.
• Une association plus systématique des acteurs métiers et
du management aux décisions, et
• Donc une meilleure acceptation des contraintes amenées par
les mesures de sécurité.
• Un pilotage plus efficace du traitement des risques.
• La facilitation d’autres démarches liées à la sécurité de
l’information,
23. Programmes malveillants
Un logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à
un système informatique. Voici les principaux types de programmes malveillants :
•Le virus : programme se dupliquant sur d'autres ordinateurs ;
•Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ;
•Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ;
•Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute
des routines nuisibles sans l'autorisation de l'utilisateur ;
•La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système
informatique, à distance ;
•Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur
d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ;
•L'enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur
le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier ;
•Le rootkit : ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur
sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler
la compromission, et d'effacer les traces laissées par l'opération dans les journaux système.
24. Techniques d'attaque par messagerie
En dehors des nombreux programmes malveillants qui se propagent par la messagerie
électronique, il existe des attaques spécifiques à celle-ci :
•Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du
temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs
destinataires
•L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se
fait généralement passer pour un organisme financier et demandant au destinataire de
fournir des informations confidentielles
•Le canular informatique (hoax en anglais) : un courrier électronique incitant
généralement le destinataire à retransmettre le message à ses contacts sous divers
prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires.
Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses
sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).