Cela fait une dizaine d’année que la fonction RSSI a été créée, mais à ce moment-là les RSSI ne se doutait pas qu’ils seraient un jour à la fois managers, techniciens, gestionnaires des risques organisationnels, réglementaires, stratégiques et opérationnels et souvent-même gestionnaires de projets, et ce, pour pouvoir garantir un niveau de sécurité optimal.
Pour cela, les compétences techniques d’un RSSI ainsi que ses qualités organisationnelles et managériales doivent être au rendez-vous pour pouvoir être l’interlocuteur des managers, des techniciens, des utilisateurs lambda, des partenaires et des tiers, mais aussi, pour prendre en charge les aspects juridiques, réglementaires et normatifs
De plus, il est connu que le RSSI change souvent de rythme : un jour en situation de crise pour la gestion d’un incident de sécurité avéré, et le lendemain, en rédaction de procédures et en sensibilisation des utilisateurs.
Samir ALLILOUCHE - RSSI - CNEP BANQUE
2. 25 juin 2019
Le périmètre fonctionnel de la SSI couvre l’ensemble du patrimoine informationnel, c’est-à-dire
la totalité des moyens visant à créer, récolter, traiter, stocker, diffuser ou détruire de l’information :
Moyens matériels, notamment les ordinateurs, les smartphone, les supports électroniques,
les photocopieurs, les équipements de télécommunication, les supports papier … etc,
Moyens logiciels,
Moyens humains et organisationnels.
LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
3. 25 juin 2019
Confidentialité : Empêcher la
divulgation non-autorisée des
données. Seules les personnes
autorisées ont accès aux informations
dont ils ont besoin. Tout accès non
autorisé doit être empêché.
Intégrité : Empêcher la modification
non-autorisée des données. Les
données ne doivent pas être altérées
de façon volontaire ou accidentelle.
Preuve : Savoir qui a fait quoi et
quand ; toutes les traces de sécurité
(Ouverture/Echec d’ouverture de
session, actions réalisées, accès à une
ressource, ….) doivent être
enregistrées
Disponibilité : Assurer la disponibilité
du Système d’Information : Ce
dernier doit fonctionner sans failles
durant les plages horaires prévues et
l’accès aux services et ressources du
système d’information doit être garanti
avec les temps de réponse attendus.
Disponibilité Intégrité
SSI
Confidentialité Preuve
LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
6. 25 juin 2019
Loi n° 2000-03 du 05 août 2000 fixant les règles générales relatives à la poste et aux télécommunications.
Ordonnance n° 03-05 du 19 juillet 2003 sur la protection des droits d’auteur et droits voisins.
Loi 04-15 du 10 novembre 2004 Art.394 bis relatif aux atteintes aux systèmes de traitement automatisé de données.
Loi n° 05-10 du 20 juin 2005 modifiant et complétant l'ordonnance n° 75-58 du 26 septembre 1975, modifiée et complétée, portant Code
civil. Art. 323 ter, L’écrit sous forme électronique.
Règlement n°05-07 du 28 décembre 2005 portant sur la sécurité des systèmes de paiement.
Décret exécutif n° 07-162 du 30 mai 2007 modifiant et complétant le décret exécutif n° 01-123 du 9 mai 2001 relatif au régime d'exploitation
applicable à chaque type de réseaux, y compris radioélectriques.
Loi 09-04 du 5 aout 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de
l’information et de la communication.
Décret exécutif n°09-410 du 10 décembre 2009 fixant les règles de sécurité applicables aux activités portant sur les équipements sensibles.
Règlement de la Banque d’Algérie n° 11-08 du 28 novembre 2011 Contrôle interne des banques et établissements financiers
Décret présidentiel n°14-252 du 8 septembre 2014 portant ratification de la convention arabe pour la lutte contre la cybercriminalité.
Loi n°15-04 du 1er février 2015 fixant les règles générales relatives à la signature et à la certification électronique
Décret exécutif n° 16-135 du 25 avril 2016 fixant la nature, la composition, l’organisation et le fonctionnement de l'Autorité gouvernementale
de certification Électronique.
Référentiel du Ministère de la Poste et des Technologies de l’Information et de la communication, Juin 2016 relatif à la Sécurité Informatique.
Loi n°18-05 du 10 mai 2018 relative au commerce électronique.
Loi n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel.
LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
7. 25 juin 2019
Audits et contrôles ISO 19011, SMSI (27001-27002), Scan de vulnérabilité, test d’intrusion, … etc
Analyse et gestion des risques SMSI (27001-27002), PCIDSS, ISO 27005, EBIOS, MEHARI, IRAM, … etc
Veille technologique, conformité et évolutions
des menaces
CERT, SOC, Scan de vulnérabilité, test d’intrusion, … etc
Gestion des incidents de sécurité ISO 27035, BALE-II, … etc
Plan de continuité d’activité ISO 22301, 27031, … etc
Ressources humaines Règlement intérieure, Charte d'utilisation et d’administration du SI, Gestion des habilitations,
Formation et sensibilisation, définition des activités critiques, … etc
Gestion des Tiers TMA, PEE, Contenu des contrats, révision des procédures, Audit des Tiers, … etc
Sécurité physique et environnemental Contrôle d’accès, télésurveillance, Climatisation, Détection d’incendie et d’inondation … etc
Solutions de sécurité Firewalls, Patch Management, Disaster recovery, Hardening, Contrôle d’accès, Antimalware, IPS,
DLP, SIEM Mail & Web Filter, ..etc
Aspects juridiques et réglementaires Lois, réglementations, directives … etc
Communication au management Comité SSI, Comité d’audit, Comité de coordination des structures de contrôles, Management des
incidents de sécurité, Tableaux de bord organisationnels, Techniques et suivi des Alertes
LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
8. 25 juin 2019
Niveau I SSI et Management
Niveau II SSI et Métiers
Niveau III Propriétaire
Politique Générale de la sécurité des systèmes d’information
Politiques et chartes opérationnelles SSI
Guides, standards, procédures, modes opératoires, … etc
GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
9. 25 juin 2019
Politique générale de la sécurité des systèmes d’information Gestion des traces de sécurité
Charte d’utilisation et d’administration du SI Sécurité de la téléphonie
Convention de nommage des ressources du système
d’information
Sécurité dans les projets des systèmes d’information
Classification et de la protection de l’information Gestion des accès et des habilitations
Gestion des comptes et des mots de passe Gestion de la maintenance des systèmes d’information
Sécurité des infrastructures réseaux et télécom Sensibilisation à la sécurité des systèmes d’information
Sécurité des infrastructures systèmes Revue des profils
Sécurité des réseaux sans fil Gestion des accès télémaintenance à distance
Sécurité des postes de travail Sécurité de la gestion des incidents liés à la sécurité des systèmes d’information.
Sécurité informatique nomade Sécurité de la banque à distance
Sécurité de la messagerie électronique Gestion des départs
Gestion des correctifs de sécurité Sécurité des accès à internet
Lutte contre les codes malveillants La gestion des risques de sécurité des systèmes d’information
Sécurité de la gestion des changements et des mises en
production.
La sécurité dans les développements applicatifs et progiciels.
GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
10. 25 juin 2019
SSI
VEILLE ET
CONFORMITÉ
ANALYSE ET
GESTION DES
RISQUES
AUDIT ET
CONTRÔLE
SOC (SECURITY
OPERATION
CENTER)
GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
11. 25 juin 2019
GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Les « Correspondant de sécurité des systèmes d’information » sont des relais
identifiés au sein des structures centrales et régionales pour mettre en œuvre la
politique et les recommandation SSI. Ils gèrent les différents référentiels
correspondants (profils métiers, identités uniques, habilitations … etc) et en
assurent le contrôle de premier niveau.
Ils sont les interlocuteurs directe de la structure SSI, Ils veillent à la bonne
exécution des principes et des règles de gestion de la Sécurité Logique et
alertent le RSSI en cas de manquement ou d’incidents SSI avérés.
12. 25 juin 2019
GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Comités
fonctionnels
opérationnels
Comité SSI
Comité DSI
Comité
Risques
Comité
Audit
Comité
CCFC
Comité
sécurité
personnes
et biens
13. 25 juin 2019
GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
SSI
Direction
Générale
Pôle
Conformité
et Risques
DSI
Pôle
sécurité
globale
15. 25 juin 2019
Mise en place d’un schéma directeur de sécurité des systèmes d’information doit être basé essentiellement sur les
normes ISO 2700x, PCIDSS, … etc qui trace et balise de façon claire la stratégie SSI sur les trois (03) à quatre (04) années.
ENDIGUEMENT OUVERTURESCHÉMA DIRECTEUR SSI
Challenge : Trouver un équilibre entre transition numérique et gestion des menaces
Le schéma directeur de la sécurité des systèmes d’information doit être élaborer de façon à conjuguer le développement
des activités, la gestion des risques et le maintien de l’expérience client.
Pour tenir compte des besoins métiers et des risques SI, le schéma directeur sécurité doit être défini après une phase
d’étude de maturité SSI et de vulnérabilité.
SCHÉMA DIRECTEUR SSI
16. 25 juin 2019
BASIQUE
Pack Basis
(Management des vulnérabilité,
Management des mises à jours … etc)
Pack Anti-Intrusion
Pack de sensibilisation et de formation
Obligatoire
SYSTÈMES EXPOSÉS
Anti-DDoS Pack
Obligatoire si la disponibilité des services
Internet est essentielle
Anti-Fraud Pack
Obligatoire si disponibilité de sites
transactionnels
Anti-Fraud Advanced Pack
Obligatoire si disponibilité d’opérations
bancaires électroniques sensibles
SYSTÈMES INTERNES
Data Leakage Prevention Pack
Obligatoire pour les entreprises ayant un
impact commercial élevé ou très élevé
Anti-APT Medium Pack
Obligatoire pour les entreprises à risque
moyen ou élevé
Anti-APT Advanced Pack
Obligatoire pour les entreprises à haut
risque
SCHÉMA DIRECTEUR SSI
18. 25 juin 2019
Première année Deuxième année troisième année
Étude de maturité SSI
Mesures basiques
Systèmes exposés
Systèmes internes
L’ajustement du schéma directeur doit se faire à minima une fois par ans
SCHÉMA DIRECTEUR SSI
19. 25 juin 2019
La sécurité à 100% demeure théorique ; le niveau de la sécurité d’un systèmes d’information se
mesure au niveau du maillon le plus faible de la chaine.
20. 25 juin 2019
La sécurité des systèmes d’information est
l'affaire de tous et de la
responsabilité de chacun !!!