11/04/23 1

Présenté par :SEBKY RymAIDOU Zakaria

PLAN

IntroductionQu’est ce qu’un système d’informationLes enjeux de la sécurité d’informationLes objectifs de la sécurité d’informationQu’est ce que l’ISO 27001Qu’est ce que le COBITQu’est ce que l’ITILConclusion

11/04/23 2

Qu’est ce qu’un système d’information

Un système d'information (noté SI ou TI) représente l'ensemble des éléments participant à la gestion, au stockage, au traitement, au transport et à la diffusion de l'information au sein d'une organisation.

On distingue généralement trois grandes catégories de systèmes, selon les types d'applications informatiques:

les systèmes de conception : calcul numérique, conception assistée par ordinateur, .... ;

les systèmes industriels ou embarqués, qui fonctionnent selon des techniques temps réel ;

les systèmes d'information et de gestion, qui emploient des techniques de gestion.

11/04/23 3

Les enjeux de la sécurité d’information

11/04/23 4

Les objectifs de la sécurité d’information

Amélioration des performances �Amélioration de la qualité du service �Transparence et valorisation des TI(SI) �Amélioration des contrôles �Conformité aux lois et règlements�Protéger l’INFORMATION de l’entreprise

11/04/23 5

11/04/23 6

Norme pour la sécurité informatique

Qu’est ce qu’ISO 27001 ?

C’est un standard international pour la gestion de la sécurité de l’information

Un code de pratique pour la gestion de la sécurité de l’information

Une base pour des relations contractuellesUne base pour la certification par une tierce

partie Peut être certifié par un organisme de

certificationS’applique à tous les secteurs de l’industrie et à

des organisations de toutes les tailles

11/04/23 7

ISO 27001

Elle contient dix domaines spécifiques composés de 36 objectifs et de 127 mesures de sécurité.

Voici un bref aperçu de chacun des domaines:

11/04/23 8

ISO 27001 – Domaines d’intervention

11/04/23 9

1. Politique de sécurité - Procurer des directives et des conseils de gestion pour améliorer la sécurité des données.

„ 2. Sécurité de l'organisation - Faciliter la gestion de la sécurité de l'information au sein de l'organisation.

„ 3. Classification et contrôle des actifs - Répertorier les actifs et les protéger efficacement.

„ 4. Sécurité du personnel - Réduire les risques d'erreur humaine, de vol, de fraude ou d'utilisation abusive des équipements.

„ 5. Sécurité physique et environnementale - Empêcher la violation, la détérioration et la perturbation des installations et des données industrielles.

ISO 27001 – Domaines d’intervention

11/04/23 10

6. Gestion des télécommunications et des opérations -Garantir un fonctionnement sûr et adéquat des dispositifs de traitement de l'information.

7. Contrôle des accès - Contrôler l'accès aux données. 8. Développement et entretien des systèmes - Garantir que la

sécurité est incorporée aux systèmes d'information.

9. Gestion de la continuité des opérations de l'entreprise -Réduire les effets des interruptions d'activité et protéger les processus essentiels à l'entreprise contre les pannes et les sinistres majeurs.

10. Conformité - Prévenir les manquements aux lois pénales ou civiles, aux obligations réglementaires ou contractuelles et aux exigences de sécurité.

11/04/23 11

11/04/23 12

ISO 27001 – Modèle PDCA

11/04/23 13

Control Objectives Information and related Technology

11/04/23 14

C’est une structure de relations et deprocessus visant à diriger et contrôlerl'entreprise pour qu'elle atteigne ses

objectifsen générant de la valeur, tout en trouvant

lebon équilibre entre les risques et lesavantages des TI et de leurs processus.

CobiT : Gouvernance, contrôle et audit de l’Information et des Technologies Associées

11/04/23 15

Principes du CobiT

•CobiT aide le management à établir des liens entre les risques métiers, les besoins de contrôle et les problématiques techniques.

•CobiT constitue un référentiel complet permettant de mettre sous contrôle l’ensemble des opérations liées aux systèmes d’information.

• CobiT est organisé en un ensemble de 34 objectifs de contrôle généraux regroupés en quatre grands domaines:

Planification et organisation - POAcquisition et mise en place - AMPDistribution et support - DSSurveillance - S

Principes du CobiT

11/04/23 16

Objectifs du CobiT

11/04/23 17

COBIT répond aux besoins:

Incorpore les standards internationaux majeurs;est devenu le standard de facto pour le contrôle des TI;démarre à partir des requis d’affaires; est orienté « processus ».

11/04/23 18

Information Technology Infrastructure Library

Présentation d’ITIL

Information Technology Infrastructure Library(ITIL) est un ensemble d'ouvrages recensant les bonnes pratiques ("best practices") pour la gestion des services informatiques (ITSM), édictées par l'Office public britannique du Commerce (OGC)

Ces derniers abordent les sujet suivant:Comment organiser une production informatique ?Comment améliorer l'efficacité du système d'information ?Comment réduire les risques ?Comment augmenter la qualité des services informatiques ?

11/04/23 19

Principes d’ITIL

Il contient 8 guides : 6 sur les meilleurs pratique1 sur l’utilisation d’ITIL1 sur l’avenir des services IT

Le cœur d’ITIL concerne la gestion de l’exécution des services informatiques .

11/04/23 20

Principes d’ITIL

Il couvre les 6 processus suivant :Gestion des configurationsGestion des changementsGestion des mises à jourGestion des supportGestion des incidentsGestion des problèmes

Les guides ITIL Présentent ce qu’il faut faire et non comment il faut faire, ni dans quel ordre.

11/04/23 21

Principes d’ITIL (suite)

Malgré l’existence de nombreux processus dans ITIL qui concourent à l’amélioration de la disponibilité du SI , la création d’un processus de management de la sécurité dans ITIL est assez récent (et encore peu utilisé ).

ITIL n’est pas une norme internationale, c’est un guide de bonnes pratiques (basé sur les concepts de ISO13335 et ISO17799).

11/04/23 22

Intérêt d’ITIL dans le management de la sécuritéLes point forts de l’ITIL sont surtout sur les processus

de supportPrévoit une démarche claire dans la gestion

d’incidents, la gestion de problèmes , et l’impact sur les processus de configuration.

Dans les entreprises utilisatrices d’ITIL , c’est généralement autour des processus de support que se fait la capitalisation de bonnes pratiques

Cependant , ITIL est trop général pour apporter une réelle assistance à la mise en œuvre d’une politique de sécurité sur une exploitation informatique et n’intègre pas une démarche structurée d’analyse des enjeux, de diagnostic de vulnérabilité et de préconisation de mesures de sécurité. 11/04/23 23

11/04/23 24

Forces

� CobiT• Guide de bonnes pratiques de �gouvernance TI• Orienté processus�• Valorisation des TI�• Pratiques de contrôles �• Guide d’audit �

� ISO• Code de pratiques de sécurité�de l’information• Comment faire, quoi faire pour �sécuriser les TI

� ITIL• Orienté vers le service clientèle�• Mesurable�• Valorisation des TI�• Gestion des incidents�• Axé sur centre de service�

Faiblesses

CobiT• Quoi faire ,comment faire�• Général, approche de haut �niveau

� ISO• N’est pas de la gouvernance �des TI, c’est un apport à la gouvernance• Ne mesure pas la valeur des TI�• Strictement orienté sécurité TI�

� ITIL• Faible en sécurité�• N’est pas de la gouvernance des �TI, c’est un apport à la gouvernance

11/04/23 25

•chaque guide a ses forces et faiblesses

• aucun d’eux n’est « l’OUTIL » universel �

• Il faut optimiser l’outil en fonction des objectifs �visés

• La force des guides est dans leurs «spécifités» �et complémentarités.

Conclusion

11/04/23 26

Merci de votre attention

11/04/23 27

11/04/23 28

11/04/23 29