Normes et méthodologie en SSI (Cours 1)

--- titre: Normes et méthodologie en SSI (Cours 1) description: Normes et méthodologie en SSI (Cours 1), 27/03/2020 tags: NMSS, jerome.tchan author: Jérôme Tchan --- # Normes et méthodologie en SSI (Cours 1) Dès l'origine le protocole pour Internet n'avait pas été concu pour la sécurité (mais plutôt pour la disponibilité). > "Security is not a product; it's a process." > [name=Bruce Schneier, "Secret and lies"][color=#907bf7] La cybersécurité a pour objet de **gérer le risque**. La finalité du processus est la gestion des risques. La sécurité pour l'entreprise est au service du business, ce n'est pas une finalité. La confiance se prouve, la sécurité par l'obscurité c'est mal. Le risque 0 n'existe pas. Technologies duales (utiles pour les défenseurs mais aussi les attaquants): - Outils d'audit - Satan - Nessus - Fonctions à risque - R-commands - Telnet - Outils informationnels - ping - finger - nslookup - traceroute Une politique de sécurité est nécessaire pour déterminer les moyens à mettre en oeuvre et en assurer la cohérence On veut un niveau de sécurité cohérent avec les enjeux des métiers ## La démarche sécurité au sein de l'entreprise s'appuie sur des normes, des méthodologies, des standards Norme: consensus Les normes et méthodes contribuent à la définition des politiques de sécurité A quoi sert une politique de sécurité notamment dans un monde de plus en plus ouvert? Une norme ne s'applique pas à tous les maillons de la chaîne Cloisonner les réseaux, faire des zones de sensibilité différentes ## Les normes, méthodologies, standards s'appuient sur des principes ### La démarche sécurité au sein de l'entreprise Les questions à se poser: - Quelles sont les ressouces à protéger? - Quelle est leur niveau de sensibilité? - De qui, de quoi doit-on les protéger? - Quels sont les risques réellement encourus? - Ces risques sont-ils supportables? - Quel est le niveau actuel de sécurité de l'entreprise? - Quel est le niveau de sécurité que l'on désire atteindre? - Comment passer du niveau actuel au niveau désiré? - Quelles sont les contraintes effectives? - Quels sont les moyens disponibles? Les étapes pour y répondre: - Faire l'état de l'existant - Bâtir un plan d'action - Piloter les projets - Mettre en oeuvre ces règles et mesures - En assurer le suivi Les conditions à réunir pour y répondre: - Avoir l'appui de la direction - Avoir un positionnement correct du RSSI - Avoir les ressources suffisantes - Connaître son infrastructure et la maîtriser - Identifier les responsables Le risque évolue Les risques supportés par l'application sont pris par les métiers, par les propriétaires de l'application et de ses données Il faut faire une analyse de risque On peut définir le besoin de sécurité d'un asset avec une valeur entre 0 (nul) et 4 (très haut) (critères de sécurité DICP) On peut définir cette valeur en fonction d'à quel point le risque est probable et l'importance de son impact #### Approche processus (ITIL) **Processus:** mise en ordre d'une suite d'activités ou de tâches à mener pour fournir le service attendu par le client. Il y a toujours un client. BPM: Business Process Management: décomposer l'activité en processus et mettre ces processus sous contrôle afin de les faire concorder avec un objectif prédéfini.