Exposé Risques et Vulnérabilités

voici les notes :

Conférance sur la sécurité des SI.

1 Def :

Ensemble des éléments qui régissent les règles du SI.
2 choses à sécuriser :
- Réseau : média, matériel actif (switch...etc) et passif.
- Système : OS / SAN / NAS / BAIES DD

le SAN offre une tolérance de panne en raid 1ou 5 et il offre un débit garanti de 300 méga octet/s
le NAS n'a pas de débit garanti et pas de tolérance de panne


Au niveau de l'AFNOR la différence entre SAN et NAS n'est pas normalisé

La sécurité du SI s'appuie sur les 5P :
- aspect technique
- aspect humain
- aspect organisationnel
- aspect financier
- aspect juridique

Lorsque que l'on parle de sécurité de SI il faut consolider et étudier ces 5 éléments. Sans quoi on est sûr d'oublier des éléments.


2 Moyen de mise en oeuvre :

PSSI : Plan de sécurité du SI
Le but du PSSI est de réduire les risques au maximum de façon à obtenir un niveau acceptable de sécurité. Reprise de la norme ISO / CE 17799 / 2005 sur laquelle s'appuie le privé / public pour la sécurité du SI.

Responsabilité : Président du conseil d'administration ( entp de plus de 50 employés ), DSI et RSI

On retient également la mise d'un Plan de reprise d'activité PRA.

3 Exigences liées à la réglementation

- ISO 17799 / 2005 CE
- ISO 17020 / NF
On définit avec ces 2 normes toutes les règles de sécurité du SI : Cryptographie, confidentialité ... etc

LE GIB (groupe inter bancaire) au international à le droit de crypter sans autorisation à 256bits. Sinon toutes entreprises public ou privée crypte à 128bits


4 Stratégie de sécurité du SI

il faut avoir des attitudes préventives et curatives.
--> Elle débute par la présentation de 3 éléments :
- le champ d'application -> politique du SI
- la démarche de mise en place
- définir les principaux risques du SI

--> Eléments de réponses :
- lignes directrices de la sécu du SI
- les objectifs opérationnels de sécurité
- les rôles et les responsabilités de chacun


5 Les différentes menaces :

- panne / casse d'1 ou plusieurs serveurs (redondance de panne pour y palier)
- panne électrique (sept prises max par ligne parasurtenseur...Etc)
- panne partielle d'un serveur : 1 alim qui grille ...etc
- dégât des eaux
- incendies
- vols
- dégradation
- intrusion
- les malveillances
- les virus
- le pishing, spoofing (Smac pour réaliser du smoofing), spyware / malware



6 Les solutions et obligation de sécurité en fonction des menaces exprimées en 5 :

--> Sauvegarde des données : soit en RAID 1 --> miroir, soit en RAID 1+0 --> miroir + agrégation de données, soit en BAIE de stockage

--> Politique d'antivirus stable et perrin, politique de sécurité adapté aux besoin (outil professionnel bien adapté qui évolue dans le temps)

TCO Total cost overchip : cout total de production. Le meilleur TCO est de 1 ensuite plus on augmente plus c'est mauvais.

Responsabilisé les utilisateurs : charte.
Aspect organisationnel : amener de la rigueur et planifier les projets...plan de restauration ...
Aspect financier : assurer le système d'information, dégager les moyens les budgets pour faire évoluer son SI, dégager un budget pour former les utilisateurs et administrateurs
Aspects juridiques : mise en application des lois et différents décrets, déclaration à la CNIL, sécurisation des données, conserver les payes sur 30 années, droit à l'image à la personne, politique de licence, on doit être en mesure de tracer qui à fait quoi.


dyllan