[PDF] La sécurité informatique La sécurité informatique en

View - Download La sécurité informatique

Previous PDF

Next PDF

La sécurité informatique en mode projet

isbn : 978-2-409-00628-9

Pour plus

d?informations :

45 €

2 e

édition

Nouvelle édition

Alexandre PLANCHE

Jérôme DEL DUCA

La sécurité

informatique en mode projet

Organisez la sécurité du SI

de votre entreprise Préface d?Éric SALLOU - Expert Cyber Sécurité

Gérant de la société DAALA

La sécurité informatique en mode projet

Organisez la sécurité du SI de votre entreprise Préface d?Éric SALLOU - Expert Cyber Sécurité - Gérant de la société DAALA Ce livre sur la sécurité informatique est destiné autant à l?informaticien opération- nel qu?au chef de projet, au responsable IT ou au RSSI nouvellement nommé qui cherche à donner une impulsion à son département ou qui a hérité d?un projet en sécurité informatique (Plan de Reprise d?Activité, déploiement d?un antivirus, gestion du cycle de vie d?un collaborateur dans l?entreprise, chi?rement d?une ?o?e d?ordina- teurs portables, etc.). L?informatique est le système nerveux central des entreprises ; une panne, un manque de réactivité, une indisponibilité, une perte d?informations a?ectent considérablement leur mécanisme. La gestion de la sécurité de l?information au- trefois réservée aux grandes entreprises ou aux PME matures, s?étend à toutes les structures, quels que soient leur taille et leur domaine d?activité. Pour rendre la mise en oeuvre de la sécurité accessible au plus grand nombre et notamment aux PME/PMI et TPE, les auteurs détaillent dans ce livre une méthode de gestion de projet qu?ils ont simpli?ée et optimisée pour l?adapter à tout projet lié à la protection de leurs informations (gestion des mots de passe, des habilita- tions d?accès, sauvegardes automatiques et restaurations, déploiement d?un antivirus, chi?rement des postes, cycle de vie d?un collaborateur, révision du système de ?chiers, approche d?un Plan de Reprise d?Activité, normes de sécurité et certi?cations, charte informatique, guides, règles et procédures, etc.).

Pour chaque type de projet lié à la sécurité, le lecteur apprend à dé?nir précisément

le projet, à identi?er ses points-clefs (quels sont les intervenants ? les livrables ? les

risques ? le coût ?) et à préciser les spéci?cités liées à la sécurité. Riche de retours

d?expérience et de bonnes pratiques, ce livre se veut pragmatique et perme?ra au lecteur d?appréhender les di?cultés les plus courantes ainsi que d?anticiper et d?éviter les pièges fréquents et habituels rencontrés durant la gestion de ce type de projet.

Alexandre PLANCHE possède plus de

15 années d?expérience dédiées à la protec-

tion de l?information. Ancien RSSI pour de grands groupes, puis consultant sécurité senior,

Alexandre a piloté la création de plusieurs

départements sécurité pour des organismes d?importance vitale ou pour leurs ?liales. À ce titre, il a su adapter sa démarche de pilo- tage, d?organisation et de déploiement de la protection de l?information conformément aux exigences réglementaires comme la LPM et l?ISO/CEI 27001.

Expert en pilotage des Systèmes d?Information,

Jérôme DEL DUCA a été ces 15 dernières années Chef de projet puis Responsable des

Systèmes d?Information dans l?industrie, la

santé et l?édition logicielle. Il est récemment intervenu en tant que consultant expert en sé- curité de l?information pour une organisation française de premier plan dans le secteur du numérique, pour le pilotage de projets sécu- rité pour de grands groupes ou encore dans une entreprise industrielle jusqu?à obtention de la certi?cation ISO27001:2013. Aujourd?hui, Jérôme, associé LX Conseil, et

Alexandre, associé LX Conseil et KIREM, ac-

compagnent les entreprises dans la création, l?adaptation et la consolidation de la gouver- nance des projets liés à la sécurité de l?infor- mation et les conseillent dans l?amélioration de leurs pratiques de sécurité. C?est ce?e expé- rience de terrain qui est mise à disposition des lecteurs pour rendre la sécurité accessible aux besoins et aux moyens des entreprises de toutes tailles.

Téléchargement

ww w.editions-eni.fr.frsur www.editions-eni.fr :

Exemple d?un ?chier de gestion des risques.

Les chapitres du livre

1

Table des matières

Préface

Préambule

Chapitre 1

Qu'est-ce qu'un projet en sécurité informatique ?

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

2. Les différentes populations d"une Direction

des Systèmes d"Information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

3. Le chef de projet en sécurité informatique . . . . . . . . . . . . . . . . . . . . .16

4. La compétence chef de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

4.1 La gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

4.2 L"organisation de l"information. . . . . . . . . . . . . . . . . . . . . . . . . .20

4.2.1 La prise de notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

4.2.2 L"accès constant aux informations. . . . . . . . . . . . . . . . . .22

4.2.3 La gestion et le suivi des tâches . . . . . . . . . . . . . . . . . . . .25

4.3 Dernière compétence clé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

5. La compétence responsable système d"information. . . . . . . . . . . . . .34

5.1 La connaissance du parc informatique . . . . . . . . . . . . . . . . . . . .34

5.2 La connaissance des applicatifs . . . . . . . . . . . . . . . . . . . . . . . . . .35Les exemples à télécharger sont disponibles à l"adresse suivante :

http://www.editions-eni.fr Saisissez la référence ENI de l"ouvrage DP2PROSEC dans la zone de recherche et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement. 2 en mode projet

La sécurité informatique

6. La compétence responsable de la sécurité

des systèmes d"information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

6.1 La sensibilisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

6.2 Les quatre composants principaux du métier de RSSI

et les compétences clés associées. . . . . . . . . . . . . . . . . . . . . . . . .39

6.2.1 La sécurité organisationnelle. . . . . . . . . . . . . . . . . . . . . . .39

6.2.2 La sécurité pédagogique . . . . . . . . . . . . . . . . . . . . . . . . . .40

6.2.3 La sécurité juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

6.2.4 La sécurité technique. . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

7. Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

Chapitre 2

Qu'est-ce qu'un système d'information ?

1. Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

2. Où croise-t-on le "système d"information" >. . . . . . . . . . . . . . . . . . . .48

2.1 Le SI dans les moyennes entreprises et plus . . . . . . . . . . . . . . . .48

2.1.1 Taille/temps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48

2.1.2 Conscience technologique. . . . . . . . . . . . . . . . . . . . . . . . .49

2.2 Le système d"information sur le marché de l"emploi . . . . . . . . .50

2.2.1 Le recrutement classique. . . . . . . . . . . . . . . . . . . . . . . . . .50

2.2.2 Recruter un consultant . . . . . . . . . . . . . . . . . . . . . . . . . . .51

2.2.3 Gardez à l"esprit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52

2.3 Le système d"information dans les livres . . . . . . . . . . . . . . . . . .53

3. Les acteurs du système d"information. . . . . . . . . . . . . . . . . . . . . . . . .54

3.1 La Direction des SI et le management au sens large. . . . . . . . . .55

3.2 Support opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56

3.3 Les centres d"appel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

3

Table des matières

4. Les composantes "métier" du système d"information . . . . . . . . . . . .58

4.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

4.2 Exemples de composantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

4.2.1 GRH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

4.2.2 GRC ou CRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

4.2.3 SCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

5. Point d"étape intermédiaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60

5.1 Compréhension du positionnement

d"un chef de projet sécurité dans l"entreprise . . . . . . . . . . . . . . .60

5.2 Le numérique arrive au foyer, incompréhensions. . . . . . . . . . . .61

5.3 L"affaire de tous. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63

6. Informatique, vue spécifique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63

6.1 Naissance de l"informatique d"entreprise. . . . . . . . . . . . . . . . . . .63

6.2 Développement informatique de l"entreprise . . . . . . . . . . . . . . .64

6.3 Intégration dans l"entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . .67

7. La montée croissante dans l"entreprise . . . . . . . . . . . . . . . . . . . . . . . .68

7.1 Multiplication des couches . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68

7.2 Organisation des couches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69

7.3 Management des couches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70

7.4 Conclusion : la partie émergée de l"iceberg . . . . . . . . . . . . . . . . .73

8. Système d"information, vue globale . . . . . . . . . . . . . . . . . . . . . . . . . .74

8.1 Le système nerveux central de l"entreprise . . . . . . . . . . . . . . . . .74

8.2 Nécessité de pilotage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75

8.2.1 Gestion d"un portefeuille de projets . . . . . . . . . . . . . . . . .75

8.2.2 Anticipation et Direction . . . . . . . . . . . . . . . . . . . . . . . . .76

8.2.3 Susciter la collaboration entre les acteurs du SI . . . . . . .78

8.3 Particularité de la sécurité du SI . . . . . . . . . . . . . . . . . . . . . . . . .79

8.3.1 Pourquoi une singularité> . . . . . . . . . . . . . . . . . . . . . . . .79

8.3.2 Positionnement spécifique . . . . . . . . . . . . . . . . . . . . . . . .81

8.4 Conclusion : niveaux de maturité . . . . . . . . . . . . . . . . . . . . . . . .82

8.4.1 Type 1, résoudre le problème informatique. . . . . . . . . . .83

8.4.2 Type 2, optimiser les investissements informatiques. . .84

4 en mode projet

La sécurité informatique

8.4.3 Type 3, transformer les entreprises

à l"aide du système d"information . . . . . . . . . . . . . . . . . .85

9. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86

9.1 Définition d"aujourd"hui. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86

9.2 Et déjà demain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87

Chapitre 3

Qu'est-ce que la sécurité ?

1. De la sécurité d"hier... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89

2. ... à la sécurité d"aujourd"hui. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90

3. Les enjeux de la sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91

4. La sécurité de l"information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93

5. La boîte à outils sécurité pour les collaborateurs . . . . . . . . . . . . . . . .95

5.1 Le comportement et l"éducation . . . . . . . . . . . . . . . . . . . . . . . . .96

5.2 Les mots de passe et leur gestion. . . . . . . . . . . . . . . . . . . . . . . . .98

5.2.1 L"authentification simple . . . . . . . . . . . . . . . . . . . . . . . . .98

5.2.2 L"authentification forte. . . . . . . . . . . . . . . . . . . . . . . . . .104

5.2.3 La biométrie de confort. . . . . . . . . . . . . . . . . . . . . . . . . .110

5.3 Les mises à jour logicielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111

5.4 La sauvegarde automatique et la restauration

en toute autonomie113

5.5 Conclusions sur la boîte à outils sécurité du collaborateur . . .113

6. Le domaine d"application de la SSI . . . . . . . . . . . . . . . . . . . . . . . . . .114

6.1 La communication dans l"entreprise . . . . . . . . . . . . . . . . . . . . .117

6.1.1 La Direction Générale . . . . . . . . . . . . . . . . . . . . . . . . . . .117

6.1.2 Le middle management. . . . . . . . . . . . . . . . . . . . . . . . . .119

6.1.3 Les équipes opérationnelles. . . . . . . . . . . . . . . . . . . . . . .120

6.1.4 Synthèse de la communication dans l"entreprise . . . . .121

6.2 Synthèse du domaine d"application de la SSI. . . . . . . . . . . . . .121

5

Table des matières

7. Les normes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122

7.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122

7.2 Les normes certifiantes en sécurité informatique. . . . . . . . . . .123

7.2.1 ISO 27001. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124

7.2.2 ISO 27002. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125

7.2.3 Le fonctionnement d"une certification ISO 27001 . . . .126

7.2.4 SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127

7.3 Les certifications personnelles . . . . . . . . . . . . . . . . . . . . . . . . . .127

8. Les outils méthodologiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128

8.1 EBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128

8.2 MEHARI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129

8.3 Les logiciels d"aide à la mise en place

des méthodologies sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . .129

9. Les différentes conformités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129

9.1 La conformité réglementaire . . . . . . . . . . . . . . . . . . . . . . . . . . .129

9.2 La conformité légale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131

9.2.1 La Loi de Programmation Militaire (LPM). . . . . . . . . . .131

9.2.2 Le Règlement Général sur la Protection

des Données (RGPD). . . . . . . . . . . . . . . . . . . . . . . . . . . .132

10. L"organisation des politiques, règles et procédures

de sécurité dans l"entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134

10.1 La Politique de Sécurité du Système d"Information (PSSI) . . .137

10.2 La charte informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138

10.3 Les Politiques Thématiques (PTH) . . . . . . . . . . . . . . . . . . . . . .140

11. Les Procédures Techniques de Réalisation (PTR). . . . . . . . . . . . . . .144

12. Les règles, les guides et les procédures. . . . . . . . . . . . . . . . . . . . . . . .146

12.1 Les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146

12.2 Les guides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147

12.3 Les procédures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

12.4 Les règles groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

12.4.1 L"objectif. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148

12.4.2 La politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149

6 en mode projet

La sécurité informatique

12.4.3 Les responsabilités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149

12.5 Les systèmes d"exploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . .150

12.5.1 UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150

12.5.2 Windows postes de travail . . . . . . . . . . . . . . . . . . . . . . .151

12.5.3 Windows Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156

12.5.4 Les bonnes pratiques usuelles. . . . . . . . . . . . . . . . . . . . .158

12.6 Les procédures fonctionnelles . . . . . . . . . . . . . . . . . . . . . . . . . .160

12.6.1 La sécurité des ordinateurs portables . . . . . . . . . . . . . . .161

12.6.2 Les communications électroniques . . . . . . . . . . . . . . . .162

13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165

Chapitre 4

Prérequis : un peu d'organisation numérique

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167

2. La nomenclature des documents. . . . . . . . . . . . . . . . . . . . . . . . . . . .168

2.1 Types de documents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168

2.2 La gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

2.3 Le référencement des documents . . . . . . . . . . . . . . . . . . . . . . .169

2.4 La page de garde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170

3. La gestion du partage et de la sauvegarde des documents. . . . . . . .172

3.1 G suite by Google Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173

3.1.1 Google Docs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174

3.1.2 Google Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179

3.2 Dropbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181

3.2.1 La synchronisation des fichiers. . . . . . . . . . . . . . . . . . . .182

3.2.2 L"accès aux fichiers dans toutes les conditions . . . . . . .184

3.2.3 Un endroit unique de stockage et

de partage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . .186

3.2.4 Une sauvegarde automatique des fichiers . . . . . . . . . . .187

4. Synthèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188

7

Table des matières

Chapitre 5

Introduction à la gestion de projet

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .189

2. Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190

3. Qu"est-ce qu"un projet>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191

3.1 Les objectifs réels d"un projet. . . . . . . . . . . . . . . . . . . . . . . . . . .193

3.2 Le niveau de détail du découpage des tâches d"un projet. . . . .194

3.3 Les quatre composantes d"un projet . . . . . . . . . . . . . . . . . . . . .195

3.4 Le ou les objectifs du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . .195

3.5 Le budget. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196

3.6 La durée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196

3.7 Le périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196

3.8 Les acteurs du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197

3.8.1 Le maître d"ouvrage (MOA) . . . . . . . . . . . . . . . . . . . . . .197

3.8.2 Le sponsor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197

3.8.3 L"équipe projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198

3.8.4 Le maître d"œuvre (M.O.E.) ou chef de projet. . . . . . . .198

3.8.5 Synthèse des liens entre

les différents acteurs d"un projet . . . . . . . . . . . . . . . . . .200

3.9 Les composantes du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . .201

3.10 Le cycle de vie du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205

3.11 Vue globale d"un projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207

4. Document préalable : la lettre de mission. . . . . . . . . . . . . . . . . . . . .209

4.1 Le nom de code du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209

4.2 Contenu de la lettre de mission. . . . . . . . . . . . . . . . . . . . . . . . .210

5. Étape 1 : la préparation de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . .212

5.1 Le cahier des charges. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212

5.2 Le plan de maîtrise du projet . . . . . . . . . . . . . . . . . . . . . . . . . . .217

5.2.1 Contenu d"un plan de maîtrise du projet. . . . . . . . . . . .218

5.2.2 Le PMP c"est bien mais.... . . . . . . . . . . . . . . . . . . . . . . . .224

5.3 Le document de cartographie des risques . . . . . . . . . . . . . . . . .224

5.3.1 Rappel de ce qu"est un risque . . . . . . . . . . . . . . . . . . . . .225

8 en mode projet

La sécurité informatique

5.3.2 Création de la liste des risques . . . . . . . . . . . . . . . . . . . .225

5.3.3 Classement et organisation des risques . . . . . . . . . . . . .226

5.3.4 Gestion des risques identifiés . . . . . . . . . . . . . . . . . . . . .228

5.3.5 Communication par les risques . . . . . . . . . . . . . . . . . . .230

5.4 Le planning prévisionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230

5.5 Préparation de la logistique et installation de l"équipe. . . . . . .231

5.6 Synthèse des livrables et de l"étape . . . . . . . . . . . . . . . . . . . . . .232

5.7 Jalon de l"étape : "réunion de lancement" ou "kick off" . . . . . .232

6. Étape 2 : élaboration de la solution . . . . . . . . . . . . . . . . . . . . . . . . . .233

6.1 La conception générale et détaillée . . . . . . . . . . . . . . . . . . . . . .234

6.2 Les actions en parallèle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234

6.2.1 Le plan de démarrage de secours. . . . . . . . . . . . . . . . . . .235

6.2.2 Le plan de conduite du changement. . . . . . . . . . . . . . . .235

6.2.3 Initialisation des scénarios de test . . . . . . . . . . . . . . . . .235

6.3 Jalon de l"étape "revue de fin de conception" . . . . . . . . . . . . . .236

6.4 Synthèse des livrables et de l"étape . . . . . . . . . . . . . . . . . . . . . .236

6.5 Jalon : la "validation" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237

7. Étape 3 : déploiement de la solution . . . . . . . . . . . . . . . . . . . . . . . . .237

7.1 La réalisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237

7.2 Les tests unitaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238

7.3 Approvisionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238

7.4 Rédaction des scénarios de test . . . . . . . . . . . . . . . . . . . . . . . . .238

7.4.1 Les scénarios de test . . . . . . . . . . . . . . . . . . . . . . . . . . . .238

7.4.2 La fiche de test. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239

7.5 La formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239

7.5.1 Le plan de formation. . . . . . . . . . . . . . . . . . . . . . . . . . . .240

7.5.2 La fiche d"évaluation du transfert des compétences . . .240

7.6 Transfert des compétences . . . . . . . . . . . . . . . . . . . . . . . . . . . .241

7.6.1 Le plan de transfert des compétences. . . . . . . . . . . . . . .241

7.6.2 La fiche d"évaluation du transfert des compétences . . .242

7.7 Les tests d"intégration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242

7.8 Les tests de non-régression. . . . . . . . . . . . . . . . . . . . . . . . . . . . .242

7.9 Synthèse des livrables et de l"étape . . . . . . . . . . . . . . . . . . . . . .243

9

Table des matières

7.10 Jalon : la "revue de fin de construction" . . . . . . . . . . . . . . . . . .243

8. Étape 4 : validation pré-opérationnelle . . . . . . . . . . . . . . . . . . . . . . .244

8.1 La recette pré-opérationnelle . . . . . . . . . . . . . . . . . . . . . . . . . . .244

8.2 Le plan de formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245

8.3 Le plan de démarrage de secours . . . . . . . . . . . . . . . . . . . . . . . .245

8.4 Synthèse des livrables de l"étape . . . . . . . . . . . . . . . . . . . . . . . .245

8.5 Jalon : "Go / No Go" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246

9. Étape 5 : démarrage opérationnel et stabilisation. . . . . . . . . . . . . . .246

9.1 Mise en exploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247

9.2 Mise à jour de la documentation. . . . . . . . . . . . . . . . . . . . . . . .247

9.3 La stabilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247

9.4 Synthèse des livrables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248

9.5 Jalon "passage en maintenance". . . . . . . . . . . . . . . . . . . . . . . . .249

10. Étape 6 : clôture du projet et passage en MCO . . . . . . . . . . . . . . . .249

10.1 La revue de fin de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249

10.2 Clôture et passage en Maintenance

en Conditions Opérationnelles ou MCO . . . . . . . . . . . . . . . . .250

10.2.1 Synthèse des livrables . . . . . . . . . . . . . . . . . . . . . . . . . . .250

10.2.2 Jalon 6 : clôture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251

11. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251

Chapitre 6

Les spécificités de projets sécurité

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253

2. Les bons réflexes à appliquer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254

2.1 Les principes directeurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254

2.2 Durant la "préparation de projet" . . . . . . . . . . . . . . . . . . . . . . .255

2.3 Quelques spécificités dans le cadre

d"une prestation externalisée. . . . . . . . . . . . . . . . . . . . . . . . . . .255

2.4 Durant "l"élaboration de la solution". . . . . . . . . . . . . . . . . . . . .257

2.5 Durant "le déploiement de la solution" . . . . . . . . . . . . . . . . . . .258

10 en mode projet

La sécurité informatique

2.6 Durant "la validation pré-opérationnelle". . . . . . . . . . . . . . . . .259

2.7 Durant "le démarrage opérationnel et la stabilisation" . . . . . .259

2.8 Durant "la clôture et le passage en MCO" . . . . . . . . . . . . . . . .259

3. Quelques exemples de projets sécurité et leurs spécificités. . . . . . .260

3.1 Déploiement antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260

3.2 Sauvegardes et restaurations . . . . . . . . . . . . . . . . . . . . . . . . . . .263

3.3 Chiffrer des postes de travail. . . . . . . . . . . . . . . . . . . . . . . . . . .273

3.4 Procédures d"entrée, mutation et sortie des collaborateurs . . .275

3.5 La revue des habilitations d"accès sur les postes de travail . . .278

3.6 La mise en place d"une charte informatique. . . . . . . . . . . . . . .281

3.7 Le Plan de Reprise d"Activité . . . . . . . . . . . . . . . . . . . . . . . . . . .284

3.8 La révision du système de fichiers. . . . . . . . . . . . . . . . . . . . . . .288

3.8.1 Mise œuvre de l"arborescence. . . . . . . . . . . . . . . . . . . . .290

3.8.2 Vue technique simplifiée. . . . . . . . . . . . . . . . . . . . . . . . .292

3.8.3 Permissions de partage . . . . . . . . . . . . . . . . . . . . . . . . . .294

3.8.4 Création des groupes locaux. . . . . . . . . . . . . . . . . . . . . .294

3.8.5 Création des Groupes Globaux. . . . . . . . . . . . . . . . . . . .295

3.8.6 Légitimer une demande d"accès utilisateur . . . . . . . . . .297

3.8.7 Risques identifiés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297

4. Des difficultés propres à chaque secteur d"activité. . . . . . . . . . . . . .299

4.1 L"exemple du secteur de l"édition logicielle. . . . . . . . . . . . . . . .299

4.2 L"exemple du secteur industriel. . . . . . . . . . . . . . . . . . . . . . . . .301

5. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .306

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

253

Chapitre 6

Les spécificités de projets sécurité

Les spécificités de projets sécurité

1. Introduction

À chaque domaine les projets qui lui sont spécifiques avec des caractéristiques qui lui sont propres. Ainsi, un chef ou un directeur de projet spécialisé dans le domaine public et de la paie, par exemple, saura éviter ou du moins anticiper les écueils les plus courants dans son domaine mais sera démuni lors du pilo- tage d"un projet de déploiement de cash management international. Il ne connaît pas le domaine bancaire ainsi que les métiers associés. Dans les paragraphes suivants, c"est ce que nous allons présenter : quelques projets en sécurité typiques et classiques, les pièges à éviter ainsi que les bonnes pratiques à mettre en œuvre. Nous irons du projet de déploiement d"un antivirus au pilotage d"un Plan de Reprise d"Activité (PRA) en passant par la mise en œuvre de ce plan.

Remarque

Le PRA est un projet complexe qui donne lieu à un ouvrage dédié aux éditions ENI : Plan de Continuité d"Activité - Concepts et démarche pour passer du be- soin à la mise en œuvre du PCA. Nous avons sélectionné des exemples de projets essentiellement techniques. Mais, comme nous l"avons vu, la protection de l"information est transverse à l"entreprise et ne représente qu"une partie des sujets à traiter.

© Editions ENI - All rights reserved

254
en mode projet

La sécurité informatique

Par exemple, à la période où j"écris ces lignes - fin 2016 -, je suis de plus en plus sollicité pour des projets de mise en conformité relatifs à de nouvelles obliga- tions réglementaires ou légales. Ce type de projets sécurité est purement fonc- tionnel ; nous y analysons l"écart entre ce qui est en place, ce qui devrait l"être et ce qu"il va falloir mettre en œuvre. Ce qui doit être mis en œuvre du point de vue de la sécurité fait ensuite l"objet de plans d"action spécifiques qui concernent toute l"entreprise. Il faut également garder à l"esprit que l"ensemble des projets SSI doit être conforme aux différentes politiques de l"entreprise (PSSI, PTH, PTR, etc.) ou alors que ces politiques doivent être rendues conformes aux obligations des différents projets de façon à ce que l"impératif de sécurité ne pèse pas sur l"activité de l"entreprise.

2. Les bons réflexes à appliquer

2.1 Les principes directeurs

La liste ci-dessous est une somme de bons réflexes qu"il convient, suivant les besoins et la taille du projet, d"appliquer en totalité ou de façon partielle. Cela dit, dans tous les cas, vous devez vous poser la question de l"applicabilité de chacun de ces principes. - Un projet est placé sous la responsabilité d"un chef de projet ou, selon les cas, d"un responsable métier. Ce responsable est garant de l"intégration de la sécurité lors du projet et du respect de l"application de la présente instruc- tion. - Le responsable du projet doit associer les équipes sécurité dès le début et à chaque étape du projet. - Tout projet ou application doit faire l"objet d"une démarche sécurité adap- tée à son niveau de sensibilité, dont les risques résiduels et le plan d"action doivent être acceptés par le responsable métier avant mise en production. - L"externalisation de tout ou partie du projet doit être spécifiquement prise en compte lors de l"analyse de risque. 255

Les spécificités de projets sécurité

Chapitre 6

- Les jalons sécurité, ainsi que les livrables correspondants (QES, soit Ques- tionnaire d"Évaluation de la Sensibilité, dossier de sécurité, audit de sécurité, fiche d"objectifs de sécurité...), sont à intégrer dans la gestion de projet.

2.2 Durant la "préparation de projet"

- La démarche sécurité doit être initiée dès le début du projet. Cela se concré-

tise par la rédaction d"un QES. - Ce questionnaire doit être réalisé durant les phases d"étude d"opportunités et de cadrage à l"initiative du chef de projet, en collaboration avec la filière SSI concernée, validé par le responsable métier, et mis à disposition du RSSI. Un comité projet doit s"assurer du remplissage et de la validation du QESquotesdbs_dbs9.pdfusesText_15

[PDF] La sécurité routière. Fiche n 1

[PDF] La sécurité sociale pour le citoyen

[PDF] LA SITUATION DE COMMUNICATION. Intitulé de la situation : Type de situation (cf. liste des 9 situations définie par le référentiel page 108) :

[PDF] la société Orange SA dont le siège social est situé 78 à 84 rue Olivier de Serres 75505 Paris cedex 15, représentée par,

[PDF] LA SOLUTION LOGEMENT POUR VOS SALARIÉS

[PDF] LA SPECIALITE DES CREDITS. I - La spécialité des crédits dans les budgets des collectivités territoriales

[PDF] LA STRATEGIE PATRIMONIALE DE LA VILLE DE MARSEILLE

[PDF] La tarification à l activité en soins de suite et de réadaptation La T2A en SSR

[PDF] La téléphonie IP : quel usage pour le cabinet?

[PDF] La transition énergétique et la croissance verte : visions de l ADEME à 2030 et 2050

[PDF] La Trouvillaise 2015. Le Festival du Bien-être au Féminin 3, 4, 5 juillet 2015 Présentation du projet - Le plan de communication

[PDF] La typologie des transformations : incidence sur la gestion des ressources humaines et la gestion du processus de changement

[PDF] La vie évolue, la vôtre aussi. Comment préparer sereinement vos projets, votre avenir et celui de vos proches?

[PDF] LA VOIX DE LA FAIM Du 21 au 25 septembre 2015

[PDF] La Zone d aménagement concerté (Z.A.C.), outil d aménagement durable et d intervention foncière