SlideShare a Scribd company logo

Conférence - Le métier du RSSI en pleine évolution - #ACSS2019

Download as PPTX, PDF
A
African Cyber Security Summit

Cela fait une dizaine d’année que la fonction RSSI a été créée, mais à ce moment-là les RSSI ne se doutait pas qu’ils seraient un jour à la fois managers, techniciens, gestionnaires des risques organisationnels, réglementaires, stratégiques et opérationnels et souvent-même gestionnaires de projets, et ce, pour pouvoir garantir un niveau de sécurité optimal. Pour cela, les compétences techniques d’un RSSI ainsi que ses qualités organisationnelles et managériales doivent être au rendez-vous pour pouvoir être l’interlocuteur des managers, des techniciens, des utilisateurs lambda, des partenaires et des tiers, mais aussi, pour prendre en charge les aspects juridiques, réglementaires et normatifs De plus, il est connu que le RSSI change souvent de rythme : un jour en situation de crise pour la gestion d’un incident de sécurité avéré, et le lendemain, en rédaction de procédures et en sensibilisation des utilisateurs. Samir ALLILOUCHE - RSSI - CNEP BANQUE

Technology
1 of 21
25 juin 2019 LE MÉTIER DU RSSI EN PLEINE ÉVOLUTION
25 juin 2019 Le périmètre fonctionnel de la SSI couvre l’ensemble du patrimoine informationnel, c’est-à-dire la totalité des moyens visant à créer, récolter, traiter, stocker, diffuser ou détruire de l’information :  Moyens matériels, notamment les ordinateurs, les smartphone, les supports électroniques, les photocopieurs, les équipements de télécommunication, les supports papier … etc,  Moyens logiciels,  Moyens humains et organisationnels. LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019 Confidentialité : Empêcher la divulgation non-autorisée des données. Seules les personnes autorisées ont accès aux informations dont ils ont besoin. Tout accès non autorisé doit être empêché. Intégrité : Empêcher la modification non-autorisée des données. Les données ne doivent pas être altérées de façon volontaire ou accidentelle. Preuve : Savoir qui a fait quoi et quand ; toutes les traces de sécurité (Ouverture/Echec d’ouverture de session, actions réalisées, accès à une ressource, ….) doivent être enregistrées Disponibilité : Assurer la disponibilité du Système d’Information : Ce dernier doit fonctionner sans failles durant les plages horaires prévues et l’accès aux services et ressources du système d’information doit être garanti avec les temps de réponse attendus. Disponibilité Intégrité SSI Confidentialité Preuve LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019  Loi n° 2000-03 du 05 août 2000 fixant les règles générales relatives à la poste et aux télécommunications.  Ordonnance n° 03-05 du 19 juillet 2003 sur la protection des droits d’auteur et droits voisins.  Loi 04-15 du 10 novembre 2004 Art.394 bis relatif aux atteintes aux systèmes de traitement automatisé de données.  Loi n° 05-10 du 20 juin 2005 modifiant et complétant l'ordonnance n° 75-58 du 26 septembre 1975, modifiée et complétée, portant Code civil. Art. 323 ter, L’écrit sous forme électronique.  Règlement n°05-07 du 28 décembre 2005 portant sur la sécurité des systèmes de paiement.  Décret exécutif n° 07-162 du 30 mai 2007 modifiant et complétant le décret exécutif n° 01-123 du 9 mai 2001 relatif au régime d'exploitation applicable à chaque type de réseaux, y compris radioélectriques.  Loi 09-04 du 5 aout 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication.  Décret exécutif n°09-410 du 10 décembre 2009 fixant les règles de sécurité applicables aux activités portant sur les équipements sensibles.  Règlement de la Banque d’Algérie n° 11-08 du 28 novembre 2011 Contrôle interne des banques et établissements financiers  Décret présidentiel n°14-252 du 8 septembre 2014 portant ratification de la convention arabe pour la lutte contre la cybercriminalité.  Loi n°15-04 du 1er février 2015 fixant les règles générales relatives à la signature et à la certification électronique  Décret exécutif n° 16-135 du 25 avril 2016 fixant la nature, la composition, l’organisation et le fonctionnement de l'Autorité gouvernementale de certification Électronique.  Référentiel du Ministère de la Poste et des Technologies de l’Information et de la communication, Juin 2016 relatif à la Sécurité Informatique.  Loi n°18-05 du 10 mai 2018 relative au commerce électronique.  Loi n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel. LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019  Audits et contrôles ISO 19011, SMSI (27001-27002), Scan de vulnérabilité, test d’intrusion, … etc  Analyse et gestion des risques SMSI (27001-27002), PCIDSS, ISO 27005, EBIOS, MEHARI, IRAM, … etc  Veille technologique, conformité et évolutions des menaces CERT, SOC, Scan de vulnérabilité, test d’intrusion, … etc  Gestion des incidents de sécurité ISO 27035, BALE-II, … etc  Plan de continuité d’activité ISO 22301, 27031, … etc  Ressources humaines Règlement intérieure, Charte d'utilisation et d’administration du SI, Gestion des habilitations, Formation et sensibilisation, définition des activités critiques, … etc  Gestion des Tiers TMA, PEE, Contenu des contrats, révision des procédures, Audit des Tiers, … etc  Sécurité physique et environnemental Contrôle d’accès, télésurveillance, Climatisation, Détection d’incendie et d’inondation … etc  Solutions de sécurité Firewalls, Patch Management, Disaster recovery, Hardening, Contrôle d’accès, Antimalware, IPS, DLP, SIEM Mail & Web Filter, ..etc  Aspects juridiques et réglementaires Lois, réglementations, directives … etc  Communication au management Comité SSI, Comité d’audit, Comité de coordination des structures de contrôles, Management des incidents de sécurité, Tableaux de bord organisationnels, Techniques et suivi des Alertes LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019 Niveau I SSI et Management Niveau II SSI et Métiers Niveau III Propriétaire Politique Générale de la sécurité des systèmes d’information Politiques et chartes opérationnelles SSI Guides, standards, procédures, modes opératoires, … etc GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019  Politique générale de la sécurité des systèmes d’information  Gestion des traces de sécurité  Charte d’utilisation et d’administration du SI  Sécurité de la téléphonie  Convention de nommage des ressources du système d’information  Sécurité dans les projets des systèmes d’information  Classification et de la protection de l’information  Gestion des accès et des habilitations  Gestion des comptes et des mots de passe  Gestion de la maintenance des systèmes d’information  Sécurité des infrastructures réseaux et télécom  Sensibilisation à la sécurité des systèmes d’information  Sécurité des infrastructures systèmes  Revue des profils  Sécurité des réseaux sans fil  Gestion des accès télémaintenance à distance  Sécurité des postes de travail  Sécurité de la gestion des incidents liés à la sécurité des systèmes d’information.  Sécurité informatique nomade  Sécurité de la banque à distance  Sécurité de la messagerie électronique  Gestion des départs  Gestion des correctifs de sécurité  Sécurité des accès à internet  Lutte contre les codes malveillants  La gestion des risques de sécurité des systèmes d’information  Sécurité de la gestion des changements et des mises en production.  La sécurité dans les développements applicatifs et progiciels. GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019 SSI VEILLE ET CONFORMITÉ ANALYSE ET GESTION DES RISQUES AUDIT ET CONTRÔLE SOC (SECURITY OPERATION CENTER) GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Les « Correspondant de sécurité des systèmes d’information » sont des relais identifiés au sein des structures centrales et régionales pour mettre en œuvre la politique et les recommandation SSI. Ils gèrent les différents référentiels correspondants (profils métiers, identités uniques, habilitations … etc) et en assurent le contrôle de premier niveau. Ils sont les interlocuteurs directe de la structure SSI, Ils veillent à la bonne exécution des principes et des règles de gestion de la Sécurité Logique et alertent le RSSI en cas de manquement ou d’incidents SSI avérés.
25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Comités fonctionnels opérationnels Comité SSI Comité DSI Comité Risques Comité Audit Comité CCFC Comité sécurité personnes et biens
25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION SSI Direction Générale Pôle Conformité et Risques DSI Pôle sécurité globale
25 juin 2019 SCHÉMA DIRECTEUR DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
25 juin 2019 Mise en place d’un schéma directeur de sécurité des systèmes d’information doit être basé essentiellement sur les normes ISO 2700x, PCIDSS, … etc qui trace et balise de façon claire la stratégie SSI sur les trois (03) à quatre (04) années. ENDIGUEMENT OUVERTURESCHÉMA DIRECTEUR SSI Challenge : Trouver un équilibre entre transition numérique et gestion des menaces Le schéma directeur de la sécurité des systèmes d’information doit être élaborer de façon à conjuguer le développement des activités, la gestion des risques et le maintien de l’expérience client. Pour tenir compte des besoins métiers et des risques SI, le schéma directeur sécurité doit être défini après une phase d’étude de maturité SSI et de vulnérabilité. SCHÉMA DIRECTEUR SSI
25 juin 2019 BASIQUE Pack Basis (Management des vulnérabilité, Management des mises à jours … etc) Pack Anti-Intrusion Pack de sensibilisation et de formation Obligatoire SYSTÈMES EXPOSÉS Anti-DDoS Pack Obligatoire si la disponibilité des services Internet est essentielle Anti-Fraud Pack Obligatoire si disponibilité de sites transactionnels Anti-Fraud Advanced Pack Obligatoire si disponibilité d’opérations bancaires électroniques sensibles SYSTÈMES INTERNES Data Leakage Prevention Pack Obligatoire pour les entreprises ayant un impact commercial élevé ou très élevé Anti-APT Medium Pack Obligatoire pour les entreprises à risque moyen ou élevé Anti-APT Advanced Pack Obligatoire pour les entreprises à haut risque SCHÉMA DIRECTEUR SSI
25 juin 2019 SCHÉMA DIRECTEUR SSI
25 juin 2019 Première année Deuxième année troisième année Étude de maturité SSI Mesures basiques Systèmes exposés Systèmes internes L’ajustement du schéma directeur doit se faire à minima une fois par ans SCHÉMA DIRECTEUR SSI
25 juin 2019 La sécurité à 100% demeure théorique ; le niveau de la sécurité d’un systèmes d’information se mesure au niveau du maillon le plus faible de la chaine.
25 juin 2019 La sécurité des systèmes d’information est l'affaire de tous et de la responsabilité de chacun !!!
25 juin 2019LE MÉTIER DU RSSI EN PLEINE ÉVOLUTION

Recommended

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 

Recommended

Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19French acreditation process homologation 2010-01-19
French acreditation process homologation 2010-01-19Laurent Pingault
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعد
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعدحماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعد
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعدNaseej Academy أكاديمية نسيج
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Attestation de travail ABA
Attestation de travail ABAAttestation de travail ABA
Attestation de travail ABAlassaad bahloul
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
Le schéma directeur
Le schéma directeurLe schéma directeur
Le schéma directeurSVrignaud
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016Thierry RAMARD
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 

More Related Content

What's hot

Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعد
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعدحماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعد
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعدNaseej Academy أكاديمية نسيج
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Attestation de travail ABA
Attestation de travail ABAAttestation de travail ABA
Attestation de travail ABAlassaad bahloul
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Le schéma directeur
Le schéma directeurLe schéma directeur
Le schéma directeurSVrignaud
 

What's hot (20)

Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performance
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Iso27001
Iso27001 Iso27001
Iso27001
 
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعد
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعدحماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعد
حماية الخصوصية والمعلومات الشخصية في منصات التعليم عن بعد
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Attestation de travail ABA
Attestation de travail ABAAttestation de travail ABA
Attestation de travail ABA
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
Le schéma directeur
Le schéma directeurLe schéma directeur
Le schéma directeur
 

Similar to Conférence - Le métier du RSSI en pleine évolution - #ACSS2019

resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1MustaphaChaoui1
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITICCOMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITICCOMPETITIC
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCERTyou Formation
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiSamy Ntumba Tshunza
 
Data Security - Français
Data Security - FrançaisData Security - Français
Data Security - FrançaisData Security
 
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...Thierry RAMARD
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 

Similar to Conférence - Le métier du RSSI en pleine évolution - #ACSS2019 (20)

Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1E forum 2006--_securite_si_-_k_safir-1
E forum 2006--_securite_si_-_k_safir-1
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC2011 05 26 Sécurisation documents electroniques by COMPETITIC
2011 05 26 Sécurisation documents electroniques by COMPETITIC
 
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC2011 05 26 Sécurisation des documents électroniques by COMPETITIC
2011 05 26 Sécurisation des documents électroniques by COMPETITIC
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securite
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Data Security - Français
Data Security - FrançaisData Security - Français
Data Security - Français
 
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
Article de Denis Virole, publié dans MISC numéro 77 : Quel plan d’actions pou...
 
Guide securite vd cnil
Guide securite vd cnilGuide securite vd cnil
Guide securite vd cnil
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 

More from African Cyber Security Summit

Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...African Cyber Security Summit
 
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...African Cyber Security Summit
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...African Cyber Security Summit
 
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...African Cyber Security Summit
 
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...African Cyber Security Summit
 
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019African Cyber Security Summit
 
Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019African Cyber Security Summit
 

More from African Cyber Security Summit (20)

Bilan & Perspectives #ACSS2019
Bilan & Perspectives #ACSS2019Bilan & Perspectives #ACSS2019
Bilan & Perspectives #ACSS2019
 
Rapport de Visibilité #ACSS2019
Rapport de Visibilité #ACSS2019Rapport de Visibilité #ACSS2019
Rapport de Visibilité #ACSS2019
 
Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019
 
Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019Atelier Technique - F5 - #ACSS2019
Atelier Technique - F5 - #ACSS2019
 
Atelier Technique - Symantec - #ACSS2019
Atelier Technique - Symantec - #ACSS2019Atelier Technique - Symantec - #ACSS2019
Atelier Technique - Symantec - #ACSS2019
 
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
Conférence - Les enjeux et la vision de Veritas sur la protection des donnée...
 
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
Conférence - Arbor Edge Defense, Première et dernière ligne de défense intell...
 
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
Conférence - Loi 18-07 du 10 Juin 2018 : la protection des données à caractèr...
 
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
Conférence - Vecteurs d'attaques basées sur les navigateurs et comment se pro...
 
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
Conférence - Pourquoi le PAM (Privileged Access Management) doit-il être le s...
 
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
Conférence - Adopter une approche de sécurité applicative avancée - #ACSS 2019
 
Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019Conférence - Digital Identity and Blockchain - #ACSS2019
Conférence - Digital Identity and Blockchain - #ACSS2019
 
Bilan & Perspectives - ACSS 2018
Bilan & Perspectives - ACSS 2018Bilan & Perspectives - ACSS 2018
Bilan & Perspectives - ACSS 2018
 
Rapport de Visibilité ACCS 2018
Rapport de Visibilité ACCS 2018Rapport de Visibilité ACCS 2018
Rapport de Visibilité ACCS 2018
 
Atelier Technique CISCO ACSS 2018
Atelier Technique CISCO ACSS 2018Atelier Technique CISCO ACSS 2018
Atelier Technique CISCO ACSS 2018
 
Atelier Technique SYMANTEC ACSS 2018
Atelier Technique SYMANTEC ACSS 2018Atelier Technique SYMANTEC ACSS 2018
Atelier Technique SYMANTEC ACSS 2018
 
Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018
 
Atelier Technique EXTREME NETWORKS ACSS 2018
Atelier Technique EXTREME NETWORKS ACSS 2018Atelier Technique EXTREME NETWORKS ACSS 2018
Atelier Technique EXTREME NETWORKS ACSS 2018
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
 
Atelier Technique ARBOR NETWORKS ACSS 2018
Atelier Technique ARBOR NETWORKS ACSS 2018Atelier Technique ARBOR NETWORKS ACSS 2018
Atelier Technique ARBOR NETWORKS ACSS 2018
 

Conférence - Le métier du RSSI en pleine évolution - #ACSS2019

  • 1. 25 juin 2019 LE MÉTIER DU RSSI EN PLEINE ÉVOLUTION
  • 2. 25 juin 2019 Le périmètre fonctionnel de la SSI couvre l’ensemble du patrimoine informationnel, c’est-à-dire la totalité des moyens visant à créer, récolter, traiter, stocker, diffuser ou détruire de l’information :  Moyens matériels, notamment les ordinateurs, les smartphone, les supports électroniques, les photocopieurs, les équipements de télécommunication, les supports papier … etc,  Moyens logiciels,  Moyens humains et organisationnels. LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 3. 25 juin 2019 Confidentialité : Empêcher la divulgation non-autorisée des données. Seules les personnes autorisées ont accès aux informations dont ils ont besoin. Tout accès non autorisé doit être empêché. Intégrité : Empêcher la modification non-autorisée des données. Les données ne doivent pas être altérées de façon volontaire ou accidentelle. Preuve : Savoir qui a fait quoi et quand ; toutes les traces de sécurité (Ouverture/Echec d’ouverture de session, actions réalisées, accès à une ressource, ….) doivent être enregistrées Disponibilité : Assurer la disponibilité du Système d’Information : Ce dernier doit fonctionner sans failles durant les plages horaires prévues et l’accès aux services et ressources du système d’information doit être garanti avec les temps de réponse attendus. Disponibilité Intégrité SSI Confidentialité Preuve LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 4. 25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 5. 25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 6. 25 juin 2019  Loi n° 2000-03 du 05 août 2000 fixant les règles générales relatives à la poste et aux télécommunications.  Ordonnance n° 03-05 du 19 juillet 2003 sur la protection des droits d’auteur et droits voisins.  Loi 04-15 du 10 novembre 2004 Art.394 bis relatif aux atteintes aux systèmes de traitement automatisé de données.  Loi n° 05-10 du 20 juin 2005 modifiant et complétant l'ordonnance n° 75-58 du 26 septembre 1975, modifiée et complétée, portant Code civil. Art. 323 ter, L’écrit sous forme électronique.  Règlement n°05-07 du 28 décembre 2005 portant sur la sécurité des systèmes de paiement.  Décret exécutif n° 07-162 du 30 mai 2007 modifiant et complétant le décret exécutif n° 01-123 du 9 mai 2001 relatif au régime d'exploitation applicable à chaque type de réseaux, y compris radioélectriques.  Loi 09-04 du 5 aout 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l’information et de la communication.  Décret exécutif n°09-410 du 10 décembre 2009 fixant les règles de sécurité applicables aux activités portant sur les équipements sensibles.  Règlement de la Banque d’Algérie n° 11-08 du 28 novembre 2011 Contrôle interne des banques et établissements financiers  Décret présidentiel n°14-252 du 8 septembre 2014 portant ratification de la convention arabe pour la lutte contre la cybercriminalité.  Loi n°15-04 du 1er février 2015 fixant les règles générales relatives à la signature et à la certification électronique  Décret exécutif n° 16-135 du 25 avril 2016 fixant la nature, la composition, l’organisation et le fonctionnement de l'Autorité gouvernementale de certification Électronique.  Référentiel du Ministère de la Poste et des Technologies de l’Information et de la communication, Juin 2016 relatif à la Sécurité Informatique.  Loi n°18-05 du 10 mai 2018 relative au commerce électronique.  Loi n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel. LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 7. 25 juin 2019  Audits et contrôles ISO 19011, SMSI (27001-27002), Scan de vulnérabilité, test d’intrusion, … etc  Analyse et gestion des risques SMSI (27001-27002), PCIDSS, ISO 27005, EBIOS, MEHARI, IRAM, … etc  Veille technologique, conformité et évolutions des menaces CERT, SOC, Scan de vulnérabilité, test d’intrusion, … etc  Gestion des incidents de sécurité ISO 27035, BALE-II, … etc  Plan de continuité d’activité ISO 22301, 27031, … etc  Ressources humaines Règlement intérieure, Charte d'utilisation et d’administration du SI, Gestion des habilitations, Formation et sensibilisation, définition des activités critiques, … etc  Gestion des Tiers TMA, PEE, Contenu des contrats, révision des procédures, Audit des Tiers, … etc  Sécurité physique et environnemental Contrôle d’accès, télésurveillance, Climatisation, Détection d’incendie et d’inondation … etc  Solutions de sécurité Firewalls, Patch Management, Disaster recovery, Hardening, Contrôle d’accès, Antimalware, IPS, DLP, SIEM Mail & Web Filter, ..etc  Aspects juridiques et réglementaires Lois, réglementations, directives … etc  Communication au management Comité SSI, Comité d’audit, Comité de coordination des structures de contrôles, Management des incidents de sécurité, Tableaux de bord organisationnels, Techniques et suivi des Alertes LES PRINCIPES DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 8. 25 juin 2019 Niveau I SSI et Management Niveau II SSI et Métiers Niveau III Propriétaire Politique Générale de la sécurité des systèmes d’information Politiques et chartes opérationnelles SSI Guides, standards, procédures, modes opératoires, … etc GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 9. 25 juin 2019  Politique générale de la sécurité des systèmes d’information  Gestion des traces de sécurité  Charte d’utilisation et d’administration du SI  Sécurité de la téléphonie  Convention de nommage des ressources du système d’information  Sécurité dans les projets des systèmes d’information  Classification et de la protection de l’information  Gestion des accès et des habilitations  Gestion des comptes et des mots de passe  Gestion de la maintenance des systèmes d’information  Sécurité des infrastructures réseaux et télécom  Sensibilisation à la sécurité des systèmes d’information  Sécurité des infrastructures systèmes  Revue des profils  Sécurité des réseaux sans fil  Gestion des accès télémaintenance à distance  Sécurité des postes de travail  Sécurité de la gestion des incidents liés à la sécurité des systèmes d’information.  Sécurité informatique nomade  Sécurité de la banque à distance  Sécurité de la messagerie électronique  Gestion des départs  Gestion des correctifs de sécurité  Sécurité des accès à internet  Lutte contre les codes malveillants  La gestion des risques de sécurité des systèmes d’information  Sécurité de la gestion des changements et des mises en production.  La sécurité dans les développements applicatifs et progiciels. GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 10. 25 juin 2019 SSI VEILLE ET CONFORMITÉ ANALYSE ET GESTION DES RISQUES AUDIT ET CONTRÔLE SOC (SECURITY OPERATION CENTER) GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 11. 25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Les « Correspondant de sécurité des systèmes d’information » sont des relais identifiés au sein des structures centrales et régionales pour mettre en œuvre la politique et les recommandation SSI. Ils gèrent les différents référentiels correspondants (profils métiers, identités uniques, habilitations … etc) et en assurent le contrôle de premier niveau. Ils sont les interlocuteurs directe de la structure SSI, Ils veillent à la bonne exécution des principes et des règles de gestion de la Sécurité Logique et alertent le RSSI en cas de manquement ou d’incidents SSI avérés.
  • 12. 25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Comités fonctionnels opérationnels Comité SSI Comité DSI Comité Risques Comité Audit Comité CCFC Comité sécurité personnes et biens
  • 13. 25 juin 2019 GOUVERNANCE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION SSI Direction Générale Pôle Conformité et Risques DSI Pôle sécurité globale
  • 14. 25 juin 2019 SCHÉMA DIRECTEUR DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 15. 25 juin 2019 Mise en place d’un schéma directeur de sécurité des systèmes d’information doit être basé essentiellement sur les normes ISO 2700x, PCIDSS, … etc qui trace et balise de façon claire la stratégie SSI sur les trois (03) à quatre (04) années. ENDIGUEMENT OUVERTURESCHÉMA DIRECTEUR SSI Challenge : Trouver un équilibre entre transition numérique et gestion des menaces Le schéma directeur de la sécurité des systèmes d’information doit être élaborer de façon à conjuguer le développement des activités, la gestion des risques et le maintien de l’expérience client. Pour tenir compte des besoins métiers et des risques SI, le schéma directeur sécurité doit être défini après une phase d’étude de maturité SSI et de vulnérabilité. SCHÉMA DIRECTEUR SSI
  • 16. 25 juin 2019 BASIQUE Pack Basis (Management des vulnérabilité, Management des mises à jours … etc) Pack Anti-Intrusion Pack de sensibilisation et de formation Obligatoire SYSTÈMES EXPOSÉS Anti-DDoS Pack Obligatoire si la disponibilité des services Internet est essentielle Anti-Fraud Pack Obligatoire si disponibilité de sites transactionnels Anti-Fraud Advanced Pack Obligatoire si disponibilité d’opérations bancaires électroniques sensibles SYSTÈMES INTERNES Data Leakage Prevention Pack Obligatoire pour les entreprises ayant un impact commercial élevé ou très élevé Anti-APT Medium Pack Obligatoire pour les entreprises à risque moyen ou élevé Anti-APT Advanced Pack Obligatoire pour les entreprises à haut risque SCHÉMA DIRECTEUR SSI
  • 17. 25 juin 2019 SCHÉMA DIRECTEUR SSI
  • 18. 25 juin 2019 Première année Deuxième année troisième année Étude de maturité SSI Mesures basiques Systèmes exposés Systèmes internes L’ajustement du schéma directeur doit se faire à minima une fois par ans SCHÉMA DIRECTEUR SSI
  • 19. 25 juin 2019 La sécurité à 100% demeure théorique ; le niveau de la sécurité d’un systèmes d’information se mesure au niveau du maillon le plus faible de la chaine.
  • 20. 25 juin 2019 La sécurité des systèmes d’information est l'affaire de tous et de la responsabilité de chacun !!!
  • 21. 25 juin 2019LE MÉTIER DU RSSI EN PLEINE ÉVOLUTION