Post on 16-Sep-2018
Point sur la Politique de Sécurité
des Systèmes d’Information (PSSI)
Création : 12/10/2010
Mise à jour : 17/11/2014
RSI/Actions/RSSI/DR8/Presentation_DR8/Presentation_PSSI.pptx
• L’organisation de la sécurité informatique • Ministères
• ANSSI
• OCLTIC
• CNRS, Université
• RENATER
• CNIL
• Les contextes • ITIL
• Normes ISO 27000
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 2
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 3
RENATER CNIL
CNRS Universités OCLCTIC
Ministère de l’Enseignement
Supérieur et Recherche
Ministère
de l’Intérieur
Gouvernement
SGDSN
ANSSI
Premier Ministre
DGSI
Depuis
2013
COSSI
CERTA
CERT
L’organisation de la sécurité informatique
SGDSN Secrétariat Général de la Défense et de la Sécurité Nationale
Héritière du Service central de la
sécurité des systèmes d’information
(SCSSI), puis de la Direction centrale de
la sécurité des systèmes d’information
(DCSSI) instituée par décret en 2001,
l’Agence nationale de la sécurité des
systèmes d’information (ANSSI) a été
créée par le décret n° 2009-834 du 7
juillet 2009 sous la forme d’un service à
compétence nationale http://www.ssi.gouv.fr
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 4
http://www.sgdsn.gouv.fr/
ANSSI
COSSI Centre Opérationnel de la Sécurité des Systèmes d’Information
Le centre opérationnel de la sécurité des systèmes d’information appuie
les administrations et opérateurs d’importance vitale dans la prise en
compte des vulnérabilités et des incidents informatiques qui peuvent
toucher leurs systèmes d’information
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 5
(*) Computer Emergency Response Team
*
COSSI
Le COSSI est constitué :
d’un centre de veille chargé de l’analyse 24h/24 des informations remontées par
les différents capteurs ;
du centre d’expertise gouvernemental de réponse et de traitement des attaques
informatiques ;
du bureau inspections en SSI qui réalise les opérations planifiées d’inspections
ainsi que les demandes d’audits effectuées par les ministères ;
de l’équipe du centre de détection ;
du bureau planification et exercices chargé de la spécification et de la réalisation
des exercices ainsi que des opérations de gestion des crises ;
du bureau cryptologie appliquée qui réalise la production d’éléments secrets au
profit des ministères et de certains opérateurs ;
d’une cellule coordination chargée d’assister le chef du COSSI, notamment lors
des crises.
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 6
Centre Opérationnel de la Sécurité des Systèmes d’Information
OzSSI
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 7
Observatoire zonal de la Sécurité des Systèmes d’Information
Zone de
défense Est
Zone de défense
Sud
Zone de
défense
Nord
Zone de
défense
Sud-Est
Zone de défense
Sud-Ouest
Zone de
Défense Ouest
Ces observatoires,
créés par le ministère
de l’Intérieur, ont pour
mission de relayer, sur
l’ensemble du territoire
national, les mesures
prises pour améliorer la
sécurité des systèmes
d’information.
À cette fin, ils animent
un réseau largement
ouvert à l’ensemble des
acteurs concernés :
échelons déconcentrés
de l’Etat, collectivités
territoriales, organismes
ayant une mission de
service public,
entreprises et
opérateurs privés, etc...
Zone de
Paris
ANSSI
http://www.ssi.gouv.fr/fr/ssi/la-ssi-en-france/ozssi/
DGSI
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 8
Direction Générale de la Sécurité Intérieure (ex DCRI)
http://www.gouvernement.fr/gouvernement/direction-generale-de-la-securite-interieure
OCLCTIC
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 9
Office Central de Lutte contre la Criminalité liée aux
Technologies de l’Information et de la Communication
http://www.police-nationale.interieur.gouv.fr/Organisation/Direction-Centrale-de-la-Police-
Judiciaire/Lutte-contre-la-criminalite-organisee/Office-central-de-lutte-contre-la-criminalite-
liee-aux-technologies-de-l-information-et-de-la-communication
RENATER Réseau National de télécommunication pour la Technologie
l’Enseignement et la Recherche
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 10
CERT Renater
http://www.renater.fr
CNIL La Commission nationale de l’informatique et des libertés
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 11
Guide : la sécurité des données personnelles http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Guide_securite%20VD.pdf
Ministère de l’Enseignement Supérieur et de la Recherche
http://www.enseignementsup-recherche.gouv.fr Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 12
Experts SI
Hervé Chaudret RSSI Délégation Centre Limousin Poitou-Charentes 13
Ministère de l’Enseignement Supérieur et de la Recherche Najat Vallaud-Belkacem
Haut Fonctionnaire de Défense et de Sécurité (HFDS)
Président Alain FUCHS ( AQSSI) Président ( AQSSI)
DGD-R Xavier INGLEBERT
CPSSI DGD-R, DGD-S,
DSI, FSD, RSSI-
C, CIL, INS2I,
DR, DAI, HFDS,
RSSI, CSSI
RSSI-C Jean-François
PARACHE
Expert François
MORRIS
FSD Philippe
GASNOT DSI Jean-Marc
VOLTINI
Délégués Régionaux DR08
RSSI DR08 Hervé CHAUDRET
CSSI ASR Utilisateurs
FSD DSI
Etudiants
Enseignement
Recherche
Directeurs d’EA Directeurs d’Unité
Utilisateurs
RSSI
RSSI
MESR 2014
ITIL V3
Information Technology Infrastructure Library
Ensemble d’ouvrages recensant les bonnes pratiques pour la
gestion des services informatiques
• Comment organiser un système d'information ?
• Comment améliorer l'efficacité du système
d'information ?
• Comment réduire les risques ?
• Comment augmenter la qualité des services
informatiques ? Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 15
ITIL V3 • Stratégie des services
– Gestion financières des services, gestion des portefeuilles des services, gestion de la demande
• Conception des services – Gestion : des niveaux de services, de la capacité, de la disponibilité, de la continuité, de la sécurité, des
fournisseurs, du catalogue de service
• Transition des services – Gestion : des actifs, des configurations, des changements, des mises en production et déploiements,
des connaissances
• Exploitation des services – Meilleures pratiques pour la réalisation de la prestation d’accord de niveau de services (SLA) : gestion
des évènements, des incidents, des requêtes, des problèmes des accès. Centre de services, gestion
technique de l’infrastructure, gestion des opérations informatiques, gestions des applications
• Amélioration des services – Surveiller l’alignement des services sur le besoins, surveiller l’évolution de la demande, mettre en œuvre
des plans d’amélioration
http://www.resinfo.cnrs.fr/spip.php?article41
Guide des bonnes pratiques organisationnelles pour les Administrateurs Systèmes et Réseaux dans les unités de recherche
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 16
Les normes ISO 27000
ISO 27000 : Série de normes dédiées à la sécurité de l'information
– ISO/CEI 27001 : Système de Gestion de la Sécurité de l'Information (ISMS) — Exigences
– ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de l'information
(anciennement ISO/CEI 17799)
– ISO/CEI 27003 : Système de Gestion de la Sécurité de l'Information (ISMS) — Guide
d'implémentation
– ISO/CEI 27004 : Mesure de la sécurité de l'information
– ISO/CEI 27005 : Gestion du risque en sécurité de l'information
– ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de Systèmes de
Gestion de la Sécurité de l'Information (ISMS)
– ISO/CEI 27007 : Guide pour l'audit de Systèmes de Gestion de la Sécurité de l'Information (ISMS).
– ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative à la santé
en utilisant l'ISO/CEI 27002
Cette suite de normes contient des recommandations des
meilleures pratiques en management de la sécurité de l'information,
pour l'initialisation, l'implémentation ou le maintien de Systèmes de
Management de la Sécurité de l‘Information (SMSI), ainsi qu'un
nombre croissant de standards liés au SMSI.
Ces normes s’achètent http://www.iso.org ou http://www.boutique.afnor.org
Hervé Chaudret | RSSI Centre Limousin Poitou-Charentes 17