1

Les fondamentaux de la sécurité du système d’information

• La définition des actifs processus/information et actifs en support (informatique).
• La classification DICT/P : Disponibilité, Intégrité, Confidentialité et Traçabilité/Preuve.
• La définition du risque SSI et ses propriétés spécifiques (vulnérabilités, menaces).
• Les différents types de risques : accident, erreur, malveillance.
• L’émergence du cyberrisque, les APT, se préparer à une cybercrise.
• Les sources d’information externes incontournables (ANSSI, CLUSIF, ENISA, etc.).

2

La task force SSI : de multiples profils métiers

• Le rôle et les responsabilités du RSSI/CISO, la relation avec la DSI.
• Vers une organisation structurée et décrite de la sécurité, identifier les compétences.
• Le rôle des “Assets Owners” et l’implication nécessaire de la direction.
• Les profils d’architectes, intégrateur, auditeurs, pen-testeurs, superviseurs, risk manager, etc.
• Constituer un équipe compétente, formée et réactive aux évolutions du cyberespace.

3

Les cadres normatifs et réglementaires

• Intégrer les exigences métiers, légales et contractuelles. L'approche par la conformité.
• Un exemple de réglementation métier : PCI DSS pour protéger ses données sensibles.
• Les mesures de sécurité pour atteindre un objectif de confidentialité, intégrité des données.
• Un exemple de réglementation juridique : directive NIS/ Loi Programmation Militaire.
• Les 4 axes de la sécurité vue par l’Europe et l’ANSSI : Gouvernance, Protection, Défense et Résilience.
• Les mesures de sécurité pour atteindre un objectif de disponibilité, intégrité des processus.
• La norme ISO 27001 dans une démarche système de management (roue de Deming/PDCA).
• Les bonnes pratiques universelles de la norme ISO 27002, la connaissance minimale indispensable.
• Les domaines de la sécurité : de la politique à la conformité en passant par la sécurité informatique.
• Élaborer un Plan d’assurance sécurité dans sa relation client/fournisseur.

4

Le processus d'analyse des risques

• Intégration de l’analyse des risques au processus de gouvernance de la sécurité.
• Identification et classification des risques, risques accidentels et cyberrisques.
• Les normes ISO 31000 et 27005 et la relation du processus risque au SMSI ISO 27001.
• De l’appréciation des risques au plan de traitement des risques : les bonnes activités du processus.
• Connaître des méthodes prédéfinies : approche FR/EBIOS RM, approche US/NIST, etc.

5

Les audits de sécurité et la sensibilisation des utilisateurs

• Les catégories d’audits, de l’audit organisationnel au test d’intrusion.
• Les bonnes pratiques de la norme 19011 appliquées à la sécurité.
• Comment qualifier ses auditeurs ? – exemple avec les PASSI en France.
• Sensibilisation à la sécurité : Qui ? Quoi ? Comment ?
• De la nécessité d’une sensibilisation programmée et budgétisée.
• Les différents formats de sensibilisation, présentiel ou virtuelle ?
• La charte de sécurité, son existence légale, son contenu, les sanctions.
• Les quiz et serious game , exemple avec le MOOC de l’ANSSI.

6

Le coût de la sécurité et les plans de secours

• Les budgets sécurité, les statistiques disponibles.
• La définition du Return On Security Investment (ROSI).
• Les techniques d’évaluation des coûts, les différentes méthodes de calcul, le calcul du TCO.
• La couverture des risques et la stratégie de continuité.
• Plans de secours, de continuité, de reprise et de gestion de crise, PCA/PRA, PSI, RTO/RPO.
• Développer un plan de continuité, l’insérer dans une démarche sécurité.

7

Concevoir des solutions techniques optimales

• Structurer sa protection logique et physique. Savoir élaborer une défense en profondeur.
• Les trois grands axes de la sécurité informatique (réseaux, données, logiciels).
• Cloisonner ses réseaux sensibles, les technologies firewall réseaux et applicatif.
• Rendre ses données illisibles pendant le stockage et le transport, les techniques cryptographiques.
• Sécuriser ses logiciels par le durcissement et une conception secure.
• Gestion des vulnérabilités logicielles, savoir utiliser CVE/CVSS.

8

Supervision de la sécurité

• Indicateurs opérationnels de gouvernance et de sécurité.
• Le pilotage cyber : tableau de bord ISO compliant.
• Préparer sa défense (IDS, détection incidents, etc.).
• Traitement des alertes et cyber forensics, le rôle des CERT.

9

Les atteintes juridiques au système de traitement automatique des données

• Rappel, définition du système de traitement automatique des données (STAD).
• Types d’atteintes, contexte européen, la loi LCEN. Le règlement RGPD.
• Quels risques juridiques pour l’entreprise, ses dirigeants, le RSSI ?

10

Recommandations pour une sécurisation "légale" du SI

• La protection des données à caractère personnel, sanctions prévues en cas de non-respect.
• De l’usage de la biométrie en France.
• La cybersurveillance des salariés : limites et contraintes légales.
• Le droit des salariés et les sanctions encourues par l’employeur.