800 Assurer la sécurité de base ICT

avatar
Created by
Lily

Cards (462)

  • Actifs informationnels de valeurs
    • Propriété intellectuelle - secret commerciaux
    • Informations financières
    • Info Marketing
    • Programme Recherche & Développement statuts, direction
    • Sources de matières premières, fournisseurs
    • Liste de clients
    • Info perso
  • Valorisation des Actifs
    Les informations sont des actifs primordiaux, avec tous les éléments associés ayant une valeur équivalente
  • Valorisation des Actifs
    • Nécessité de sélectionner les actifs prioritaires parmi ceux liés à l'information pour se concentrer sur leur protection
  • Actifs de Support
    • Matériel
    • Logiciel
    • Réseau
    • Site
    • Personnel
  • Actifs de Support
    • Ils jouent un rôle crucial dans la protection des informations
  • Liens avec les Objectifs Commerciaux
    1. Établir des liens entre les différents actifs et les objectifs commerciaux pour comprendre leur importance respective
    2. Favoriser une communication ascendante (bottom-up) et descendante (top-down) entre les parties prenantes
  • Base de Référence
    • Avoir une base de référence pour comparer les actions entreprises par rapport à chaque activité
    • Permet de lier les actions aux lois et réglementations pertinentes
  • Approche Progressive et Complémentaire
    • Protéger les actifs de manière progressive et complémentaire, en mettant en place des actions et des documentations étape par étape
    • Essentiel pour assurer une protection efficace, surtout lorsqu'une connaissance complète des risques n'est pas encore acquise
  • Actifs Tangibles
    Physiques et palpables
  • Actifs Tangibles
    • équipements
    • matériel informatique
    • personnel qualifié
  • Actifs Intangibles

    Non physiques, comme les logiciels et les données
  • Changement de la Valeur des Actifs
    • La valeur peut fluctuer avec le temps
    • Une protection adaptée est nécessaire en fonction de la valeur
    • Équilibrer le coût de la protection avec le risque encouru
  • L'opposé d'un risque
    Une opportunité
  • Impacts Opérationnels
    Évaluer les impacts du côté opérationnel des TI et du côté commercial (PCYSS)
  • Normes
    • ISO 27001
  • Référentiels
    Frameworks de sécurité informatique (CCY, CYS dip day)
  • TOGAF (The Open Group Architecture Framework)

    • Structure en quatre domaines clés: Architecture d'entreprise, Information, Systèmes, Technique
    • Utilisé pour concevoir, planifier, mettre en œuvre et gérer les systèmes d'information alignés sur les objectifs stratégiques
  • UML (Unified Modeling Language)

    Langage d'architecture utilisé pour modéliser les systèmes
  • DPML (Data Protection Markup Language)
    Langage de balisage pour la protection des données
  • ArchiMate
    Langage de modélisation d'architecture d'entreprise
  • CIA
    Confidentialité Intégrité Availabilité
  • Confidentialité / Intégrité / Disponibilité

    Confidentiality / Integrity / Availability
  • CIA Triad
    Un modèle de sécurité de l'information qui se compose de trois concepts clés : la Confidentialité, l'Intégrité et la Disponibilité
  • Confidentialité
    • La mesure dans laquelle les informations sont protégées contre l'accès ou la divulgation non autorisés
    • Les informations confidentielles doivent être protégées contre les accès non autorisés pour garantir la confidentialité
  • Intégrité
    • La mesure dans laquelle les informations sont protégées contre toute modification ou altération non autorisée
    • Les informations doivent être exactes et complètes pour garantir leur intégrité
  • Disponibilité
    • La mesure dans laquelle les informations sont disponibles et accessibles à ceux qui en ont besoin, au moment où ils en ont besoin
    • Les informations doivent être disponibles en temps voulu pour garantir leur disponibilité
  • Le CIA Triad est un modèle de sécurité largement utilisé dans l'industrie pour aider les entreprises à comprendre les enjeux de sécurité de leurs systèmes d'information
  • En utilisant le CIA Triad, les entreprises peuvent identifier les vulnérabilités de sécurité de leurs systèmes d'information et mettre en place des mesures pour les protéger contre les menaces potentielles
  • Impacts sur le Business et l'Organisation
    • Réputation
    • Opérations
    • Légal
    • Financier
    • Personnes
  • Réputation
    La réputation peut influencer la perception du public, des clients et des partenaires commerciaux envers l'organisation
  • Opérations
    Les incidents de sécurité peuvent perturber les opérations commerciales et les processus internes
  • Légal
    Les violations de données peuvent entraîner des conséquences légales, telles que des poursuites judiciaires ou des amendes
  • Financier
    Les pertes financières peuvent résulter de la perte de clients, de partenaires commerciaux et des coûts associés à la remise en état après un incident de sécurité
  • Personnes
    Les individus impliqués, tels que les employés, peuvent également être affectés par les conséquences des incidents de sécurité, notamment en termes de stress ou de pertes d'emploi
  • Risque Formule

    [Menaces * Vulnérabilités] * [Conséquences]
    [Probabilité, possibilité] * [Impact]
  • Menaces
    • Attaques: Tentatives délibérées de compromettre la confidentialité, l'intégrité ou la disponibilité des données ou des systèmes informatiques
    • Déni de Service (DDoS): Actions visant à rendre un service indisponible pour les utilisateurs légitimes en submergeant le serveur cible avec un grand volume de trafic
    • Sinistre Naturel: Événements tels que les catastrophes naturelles (inondations, incendies, tempêtes) qui peuvent endommager les infrastructures physiques ou perturber les services
  • Impact technique
    • Confidentialité: Protection des données contre l'accès non autorisé
    • Intégrité: Garantie que les données ne sont pas altérées ou modifiées de manière non autorisée
    • Disponibilité: Assurer que les systèmes et les données sont accessibles quand nécessaire
  • Impact métier
    • Réputation: Impact sur la perception publique et la confiance envers l'organisation
    • Opérationnel: Perturbation des opérations commerciales normales
    • Légal: Conséquences juridiques découlant de violations de la confidentialité des données ou d'autres réglementations
  • Impact financier
    • Mécontentement des clients: Perte de clients due à une mauvaise gestion des incidents de sécurité
    • Perte de confiance des partenaires: Les partenaires commerciaux peuvent perdre confiance en l'organisation en raison de failles de sécurité
    • Amendes: Sanctions financières imposées par les régulateurs ou les autorités gouvernementales pour non-respect des réglementations en matière de sécurité des données
  • Processus de gestion des risques
    1. Identification
    2. Évaluation
    3. Analyse
    4. Traitement