Web Analytics Made Easy - Statcounter
Privacy Policy Cookie Policy Terms and Conditions

[HOME PAGE] [STORES] [CLASSICISTRANIERI.COM] [FOTO] [YOUTUBE CHANNEL]


Politique de sécurité du système d'information

Politique de sécurité du système d'information

La politique de sécurité des systèmes d'information (PSSI) est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États …) en matière de sécurité des systèmes d'information (SSI).

Dépendance et dissociation

La politique de sécurité des systèmes d'information est intrinsèquement liée à la sécurité de l'information.

Aussi, un système d'information n'étant pas limité au système informatique, une politique de sécurité des systèmes d'information ne se limite pas à la sécurité informatique.

Description

La PSSI constitue le principal document de référence en matière de SSI de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir.

La démarche de réalisation de cette politique est basée sur une analyse des risques en matière de sécurité des systèmes d'information.

Après validation par les différents acteurs de la sécurité de l'information de l'organisme, la PSSI doit être diffusée à l'ensemble des acteurs du système d'information (utilisateurs, exploitants, sous-traitants, prestataires …). Elle constitue alors un véritable outil de communication sur l'organisation et les responsabilités SSI, les risques SSI et les moyens disponibles pour s'en prémunir.

La sécurité du système d'information se base traditionnellement sur la mise en œuvre d'infrastructures à clés publiques (Public key infrastructure - PKI).

De l'avis des experts, la mise en œuvre d'une infrastructure à clés publiques dans un monde ouvert n'est pas véritablement efficace sans certaines précautions. Dans les grandes organisations en réseau, il faut intégrer l'analyse de la sécurité des données dans une réflexion plus large sur le cadre juridique et la mise en œuvre de registres de métadonnées.

Par exemple, pour tout ce qui touche aux applications industrielles de la recherche (voir Dictionnaire de métadonnées pour le référentiel des publications CNRS), une réflexion approfondie s'impose sur l'utilisation du certificat électronique, par rapport aux éléments et raffinements employés.

Élaboration d'une politique de sécurité du système d'information

En France, la DCSSI a élaboré entre 2002 et 2004 un guide pour la politique de sécurité du système d'information. Il se compose de quatre sections :

  1. Introduction
  2. Méthodologie
  3. Principes de sécurité
  4. Références SSI

Ce document est une mise à jour de documents datant de 1994.

Introduction

Voir détails : Section 1 - Introduction

Le guide définit les concepts, outre la PSSI :

  • les principes de sécurité,
  • les règles de sécurité.

Il définit le champ d'application et les acteurs auxquels le guide est destiné :

Il prend acte de la nouvelle nature des menaces : globales et transfrontières du fait de l'interconnexion des réseaux internet.

Il définit trois types de patrimoine à protéger :

  • Patrimoine matériel,
  • Patrimoine immatériel
  • Informations relatives aux personnes, physiques et morales (les données personnelles de la Loi Informatique et Libertés).

Il définit la place de la PSSI dans le référentiel, en particulier :

  • les liens entre la PSSI et les lignes directrices de l'OCDE,
  • les liens entre la PSSI et les critères communs.

Il indique les bases de légitimité des règles d'une PSSI :

  • Lois, réglementations, normes, et recommandations issues d'instances internationales, nationales, ou professionnelles.
Les règles trouvent également leur justification dans les composantes de la culture de l'organisme (traditions, règlements internes).
  • Règles d'éthique :
    • Principes internationaux,
    • Codes d'éthique par secteurs professionnels,
    • Codes d'éthique des métiers des technologies de l'information.
  • Principes de protection des intérêts vitaux de l'État :
    • La protection des éléments non classifiés de défense,
    • Les informations relevant du secret de défense :
      • Protection du secret et des informations concernant la défense nationale et la sûreté de l'État (IGI 1300)
      • La sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées (IGI 900),
      • La protection du secret entre la France et les États étrangers (II 50),
      • La protection du secret pour la protection des marchés et autres contrats (II 2000).
  • Principes de préservation des intérêts de l'organisme, en particulier les exigences vis-à-vis :
    • des fournisseurs,
    • des prestataires de services,
    • de la sous-traitance,
    • des autres organismes.

Méthodologie

Voir détails : Section 2 - Méthodologie

Principes de sécurité

Voir détails : Section 3 - Principes de sécurité

La section 3 aborde les différents domaines de la sécurité généralement couverts par une PSSI :

Principes organisationnels
Principes de mise en œuvre
Principes techniques

Références SSI

Voir détails :Section 4 - Références SSI

Les critères communs pour l'évaluation de la sécurité des technologies de l'information

Les lignes directrices de l'OCDE

Codes d'éthique des métiers des technologie de l'information

Les atteintes aux personnes

Les atteintes aux biens

Les atteintes aux intérêts fondamentaux de la nation, terrorisme et atteinte à la confiance publique

Les atteintes à la propriété intellectuelle

Les dispositions relatives à la cryptologie

Les dispositions relatives à la signature électronique

Déclinaisons

Sécurité globale et interopérabilité informatique

Un problème très grave que l'on rencontre avec l'arrivée du web sémantique est que les données qui décrivent des événements (sécurité, gestion comptable), ne sont pas gérées pour interopérer d'une façon sémantique.

Le passage au web sémantique demande de rapprocher les événements autrement que par le seul lien temporel. Il faut donc disposer d'un métaframework qui fournisse la sémantique des données et les langages de description.

Techniquement, cela revient à réaliser le lien routeurs de réseau-bases de données, en introduisant la sémantique des données et les langages de description (par exemple les langages de description des formats de documents).

Cette prise de conscience initiale est nécessaire avant d'articuler la PSSI globale en politiques de sécurité techniques.

Passer des principes de SSI globale à des politiques spécialisées

Une fois les risques les plus graves identifiés, on peut se poser la question de décliner la PSSI globale en politiques de sécurité techniques par métier, activités ou systèmes. La PSSI globale servira également de base de cohérence entre ces politiques et entre toutes les études de sécurité.

Ainsi, on peut retrouver comme différents types de politiques de sécurité liées à la sécurité de l'information ou des données :

Annexes

Voir aussi

Bibliographie

  • (fr) OCTO Technology, ouvrage collectif, Gestion des Identités : Une Politique pour le Système d'Information, OCTO Technology, 2007, ISBN 2952589518.
  • (fr) Vuibert Sciences, Guinier D. - Chapitre : La politique de sécurité, pp. 1486-1498, in l'encyclopédie de l'informatique et des systèmes d'information, 2088 pages, Vuibert Sciences, 2006, ISBN 9782711748464.

Liens externes

  • ANSSI : Guide d'élaboration de politiques de sécurité des systèmes d'information
  • Guide de sensibilisation du MEDEF à la sécurité informatique et à la protection du patrimoine informationnel
  • Publication sur "la sécurité des systèmes d'information des établissements de santé" éditée par le GMSIH
  • Portail de la sécurité de l’information
This article is issued from Wikipédia - version of the Tuesday, November 11, 2014. The text is available under the Creative Commons Attribution/Share Alike but additional terms may apply for the media files.
Contents Listing Alphabetical by Author:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Unknown Other

Contents Listing Alphabetical by Title:
# A B C D E F G H I J K L M N O P Q R S T U V W Y Z Other

Medical Encyclopedia

Browse by first letter of topic:


A-Ag Ah-Ap Aq-Az B-Bk Bl-Bz C-Cg Ch-Co
Cp-Cz D-Di Dj-Dz E-Ep Eq-Ez F G
H-Hf Hg-Hz I-In Io-Iz J K L-Ln
Lo-Lz M-Mf Mg-Mz N O P-Pl Pm-Pz
Q R S-Sh Si-Sp Sq-Sz T-Tn To-Tz
U V W X Y Z 0-9

Biblioteca - SPANISH

Biblioteca Solidaria - SPANISH

Bugzilla

Ebooks Gratuits

Encyclopaedia Britannica 1911 - PDF

Project Gutenberg: DVD-ROM 2007

Project Gutenberg ENGLISH Selection

Project Gutenberg SPANISH Selection

Standard E-books

Wikipedia Articles Indexes

Wikipedia for Schools - ENGLISH

Wikipedia for Schools - FRENCH

Wikipedia for Schools - SPANISH

Wikipedia for Schools - PORTUGUESE

Wikipedia 2016 - FRENCH

Wikipedia HTML - CATALAN

Wikipedia Picture of the Year 2006

Wikipedia Picture of the Year 2007

Wikipedia Picture of the Year 2008

Wikipedia Picture of the Year 2009

Wikipedia Picture of the Year 2010

Wikipedia Picture of the Year 2011