La sécurité informatique en mode projet Préface d’Éric SALLOU
La sécurité informatique en mode projet isbn : 978-2-409-00628-9 Pour plus d’informations : 45 € 2 e édition Nouvelle édition Alexandre PLANCHE Jérôme DEL DUCA La sécurité informatique en mode projet Organisez la sécurité du SI de votre entreprise Préface d’Éric SALLOU - Expert Cyber Sécurité Gérant de la société DAALA
Chapitre 6 Les spécificités de projets sécurité
en mode projet La sécurité informatique – Les mesures de sécurité doivent être construites conformément aux élé-ments validés au sein du dossier de sécurité et aux spécifications du cahier des charges – Les équipes de développement ne doivent pas avoir accès à l’environnement de production
N° Titre Auteur Cote
La sécurité informatique en mode projet : organisez la sécurité du SI de votre entreprise Jérôme Del Duca 2-004-31 32 Sécurité informatique :principes et méthodes a l'usage des DSI, RSSI et administrateurs Laurent Bloch 2-004-32 33 CLUD COMPUTING: une rupture décisive pour l'informatique d'entreprise Guillaume Plouin 2-004-33 34
Bibliothèque Cécile-Rouleau Exposition sur la sécurité
Planche, Alexandre (2017) La sécurité informatique en mode projet : organisez la sécurité du SI de votre entreprise Saint-Herblain : Éditions ENI, 318 p Cote : HD 30 213 P699s 2017 Porteous, Holly (2018) Cybersécurité : défis techniques et stratégiques Ottawa, Canada : Bibliothèque du Parlement = Library of Parliament, 24 p
Avril 2017 April 2017 - hevsch
fb16832cb145 Accès réservé à la HES-SO VS HES-SO SIERRE/Consultation en ligne Planche, Alexandre – La sécurité informatique en mode projet [Ressource électronique] : Organisez la sécurité du SI de votre entreprise / Alexandre Planche, Jérôme Del Duca – 2ème édition – St-Herblain : Editions ENI, 2017 – 1 livre électronique
REALISATION DU RAPPORT DE STAGE EN ENTREPRISE
accueillent (rôle, tâches) Avec l'accord de votre responsable, vous pouvez décrire plus précisément un projet en cours de traitement en insérant des documents d'entreprise en annexe Note : Limitez-vous dans le nombre et la taille des photos Si vous avez beaucoup d'images à
Gérer ses données à l’èr e de Big Brother
proies à la fois du big data Chacun de nos clics laisse des traces éternelles Comment prendre du recul et réussir à contourner un peu Big Brother ? Voici un guide pratique pour être « prêt à agir » dans différentes situations quotidiennes : dans votre entreprise ou à l’extérieur, lors de
[PDF] La sécurité sociale pour le citoyen
[PDF] LA SITUATION DE COMMUNICATION. Intitulé de la situation : Type de situation (cf. liste des 9 situations définie par le référentiel page 108) :
[PDF] la société Orange SA dont le siège social est situé 78 à 84 rue Olivier de Serres 75505 Paris cedex 15, représentée par,
[PDF] LA SOLUTION LOGEMENT POUR VOS SALARIÉS
[PDF] LA SPECIALITE DES CREDITS. I - La spécialité des crédits dans les budgets des collectivités territoriales
[PDF] LA STRATEGIE PATRIMONIALE DE LA VILLE DE MARSEILLE
[PDF] La tarification à l activité en soins de suite et de réadaptation La T2A en SSR
[PDF] La téléphonie IP : quel usage pour le cabinet?
[PDF] La transition énergétique et la croissance verte : visions de l ADEME à 2030 et 2050
[PDF] La typologie des transformations : incidence sur la gestion des ressources humaines et la gestion du processus de changement
[PDF] LA VOIX DE LA FAIM Du 21 au 25 septembre 2015
[PDF] La Zone d aménagement concerté (Z.A.C.), outil d aménagement durable et d intervention foncière
[PDF] LabelEcoQuartier. Présentation du Label EcoQuartier. 28 février 2013. Ministère de l'égalité des Territoires et du Logement
[PDF] lagord Les Jardins du Moulin
La sécurité informatique en mode projet
isbn : 978-2-409-00628-9Pour plus
d?informations :45 €
2 eédition
Nouvelle édition
Alexandre PLANCHE
Jérôme DEL DUCA
La sécurité
informatique en mode projetOrganisez la sécurité du SI
de votre entreprise Préface d?Éric SALLOU - Expert Cyber SécuritéGérant de la société DAALA
La sécurité informatique en mode projet
Organisez la sécurité du SI de votre entreprise Préface d?Éric SALLOU - Expert Cyber Sécurité - Gérant de la société DAALA Ce livre sur la sécurité informatique est destiné autant à l?informaticien opération- nel qu?au chef de projet, au responsable IT ou au RSSI nouvellement nommé qui cherche à donner une impulsion à son département ou qui a hérité d?un projet en sécurité informatique (Plan de Reprise d?Activité, déploiement d?un antivirus, gestion du cycle de vie d?un collaborateur dans l?entreprise, chi?rement d?une ?o?e d?ordina- teurs portables, etc.). L?informatique est le système nerveux central des entreprises ; une panne, un manque de réactivité, une indisponibilité, une perte d?informations a?ectent considérablement leur mécanisme. La gestion de la sécurité de l?information au- trefois réservée aux grandes entreprises ou aux PME matures, s?étend à toutes les structures, quels que soient leur taille et leur domaine d?activité. Pour rendre la mise en oeuvre de la sécurité accessible au plus grand nombre et notamment aux PME/PMI et TPE, les auteurs détaillent dans ce livre une méthode de gestion de projet qu?ils ont simpli?ée et optimisée pour l?adapter à tout projet lié à la protection de leurs informations (gestion des mots de passe, des habilita- tions d?accès, sauvegardes automatiques et restaurations, déploiement d?un antivirus, chi?rement des postes, cycle de vie d?un collaborateur, révision du système de ?chiers, approche d?un Plan de Reprise d?Activité, normes de sécurité et certi?cations, charte informatique, guides, règles et procédures, etc.).Pour chaque type de projet lié à la sécurité, le lecteur apprend à dé?nir précisément
le projet, à identi?er ses points-clefs (quels sont les intervenants ? les livrables ? lesrisques ? le coût ?) et à préciser les spéci?cités liées à la sécurité. Riche de retours
d?expérience et de bonnes pratiques, ce livre se veut pragmatique et perme?ra au lecteur d?appréhender les di?cultés les plus courantes ainsi que d?anticiper et d?éviter les pièges fréquents et habituels rencontrés durant la gestion de ce type de projet.Alexandre PLANCHE possède plus de
15 années d?expérience dédiées à la protec-
tion de l?information. Ancien RSSI pour de grands groupes, puis consultant sécurité senior,Alexandre a piloté la création de plusieurs
départements sécurité pour des organismes d?importance vitale ou pour leurs ?liales. À ce titre, il a su adapter sa démarche de pilo- tage, d?organisation et de déploiement de la protection de l?information conformément aux exigences réglementaires comme la LPM et l?ISO/CEI 27001.Expert en pilotage des Systèmes d?Information,
Jérôme DEL DUCA a été ces 15 dernières années Chef de projet puis Responsable desSystèmes d?Information dans l?industrie, la
santé et l?édition logicielle. Il est récemment intervenu en tant que consultant expert en sé- curité de l?information pour une organisation française de premier plan dans le secteur du numérique, pour le pilotage de projets sécu- rité pour de grands groupes ou encore dans une entreprise industrielle jusqu?à obtention de la certi?cation ISO27001:2013. Aujourd?hui, Jérôme, associé LX Conseil, etAlexandre, associé LX Conseil et KIREM, ac-
compagnent les entreprises dans la création, l?adaptation et la consolidation de la gouver- nance des projets liés à la sécurité de l?infor- mation et les conseillent dans l?amélioration de leurs pratiques de sécurité. C?est ce?e expé- rience de terrain qui est mise à disposition des lecteurs pour rendre la sécurité accessible aux besoins et aux moyens des entreprises de toutes tailles.Téléchargement
ww w.editions-eni.fr.frsur www.editions-eni.fr :Exemple d?un ?chier de gestion des risques.
Les chapitres du livre
1Table des matières
Préface
Préambule
Chapitre 1
Qu'est-ce qu'un projet en sécurité informatique ?1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
2. Les différentes populations d"une Direction
des Systèmes d"Information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143. Le chef de projet en sécurité informatique . . . . . . . . . . . . . . . . . . . . .16
4. La compétence chef de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
4.1 La gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
4.2 L"organisation de l"information. . . . . . . . . . . . . . . . . . . . . . . . . .20
4.2.1 La prise de notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
4.2.2 L"accès constant aux informations. . . . . . . . . . . . . . . . . .22
4.2.3 La gestion et le suivi des tâches . . . . . . . . . . . . . . . . . . . .25
4.3 Dernière compétence clé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
5. La compétence responsable système d"information. . . . . . . . . . . . . .34
5.1 La connaissance du parc informatique . . . . . . . . . . . . . . . . . . . .34
5.2 La connaissance des applicatifs . . . . . . . . . . . . . . . . . . . . . . . . . .35Les exemples à télécharger sont disponibles à l"adresse suivante :
http://www.editions-eni.fr Saisissez la référence ENI de l"ouvrage DP2PROSEC dans la zone de recherche et validez. Cliquez sur le titre du livre puis sur le bouton de téléchargement. 2 en mode projetLa sécurité informatique
6. La compétence responsable de la sécurité
des systèmes d"information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .366.1 La sensibilisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
6.2 Les quatre composants principaux du métier de RSSI
et les compétences clés associées. . . . . . . . . . . . . . . . . . . . . . . . .396.2.1 La sécurité organisationnelle. . . . . . . . . . . . . . . . . . . . . . .39
6.2.2 La sécurité pédagogique . . . . . . . . . . . . . . . . . . . . . . . . . .40
6.2.3 La sécurité juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
6.2.4 La sécurité technique. . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
7. Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Chapitre 2
Qu'est-ce qu'un système d'information ?
1. Généralités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
2. Où croise-t-on le "système d"information" >. . . . . . . . . . . . . . . . . . . .48
2.1 Le SI dans les moyennes entreprises et plus . . . . . . . . . . . . . . . .48
2.1.1 Taille/temps. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
2.1.2 Conscience technologique. . . . . . . . . . . . . . . . . . . . . . . . .49
2.2 Le système d"information sur le marché de l"emploi . . . . . . . . .50
2.2.1 Le recrutement classique. . . . . . . . . . . . . . . . . . . . . . . . . .50
2.2.2 Recruter un consultant . . . . . . . . . . . . . . . . . . . . . . . . . . .51
2.2.3 Gardez à l"esprit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52
2.3 Le système d"information dans les livres . . . . . . . . . . . . . . . . . .53
3. Les acteurs du système d"information. . . . . . . . . . . . . . . . . . . . . . . . .54
3.1 La Direction des SI et le management au sens large. . . . . . . . . .55
3.2 Support opérationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
3.3 Les centres d"appel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
3Table des matières
4. Les composantes "métier" du système d"information . . . . . . . . . . . .58
4.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
4.2 Exemples de composantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
4.2.1 GRH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
4.2.2 GRC ou CRM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
4.2.3 SCM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
5. Point d"étape intermédiaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
5.1 Compréhension du positionnement
d"un chef de projet sécurité dans l"entreprise . . . . . . . . . . . . . . .605.2 Le numérique arrive au foyer, incompréhensions. . . . . . . . . . . .61
5.3 L"affaire de tous. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63
6. Informatique, vue spécifique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63
6.1 Naissance de l"informatique d"entreprise. . . . . . . . . . . . . . . . . . .63
6.2 Développement informatique de l"entreprise . . . . . . . . . . . . . . .64
6.3 Intégration dans l"entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
7. La montée croissante dans l"entreprise . . . . . . . . . . . . . . . . . . . . . . . .68
7.1 Multiplication des couches . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
7.2 Organisation des couches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
7.3 Management des couches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70
7.4 Conclusion : la partie émergée de l"iceberg . . . . . . . . . . . . . . . . .73
8. Système d"information, vue globale . . . . . . . . . . . . . . . . . . . . . . . . . .74
8.1 Le système nerveux central de l"entreprise . . . . . . . . . . . . . . . . .74
8.2 Nécessité de pilotage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75
8.2.1 Gestion d"un portefeuille de projets . . . . . . . . . . . . . . . . .75
8.2.2 Anticipation et Direction . . . . . . . . . . . . . . . . . . . . . . . . .76
8.2.3 Susciter la collaboration entre les acteurs du SI . . . . . . .78
8.3 Particularité de la sécurité du SI . . . . . . . . . . . . . . . . . . . . . . . . .79
8.3.1 Pourquoi une singularité> . . . . . . . . . . . . . . . . . . . . . . . .79
8.3.2 Positionnement spécifique . . . . . . . . . . . . . . . . . . . . . . . .81
8.4 Conclusion : niveaux de maturité . . . . . . . . . . . . . . . . . . . . . . . .82
8.4.1 Type 1, résoudre le problème informatique. . . . . . . . . . .83
8.4.2 Type 2, optimiser les investissements informatiques. . .84
4 en mode projetLa sécurité informatique
8.4.3 Type 3, transformer les entreprises
à l"aide du système d"information . . . . . . . . . . . . . . . . . .859. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86
9.1 Définition d"aujourd"hui. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86
9.2 Et déjà demain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
Chapitre 3
Qu'est-ce que la sécurité ?
1. De la sécurité d"hier... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
2. ... à la sécurité d"aujourd"hui. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
3. Les enjeux de la sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
4. La sécurité de l"information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93
5. La boîte à outils sécurité pour les collaborateurs . . . . . . . . . . . . . . . .95
5.1 Le comportement et l"éducation . . . . . . . . . . . . . . . . . . . . . . . . .96
5.2 Les mots de passe et leur gestion. . . . . . . . . . . . . . . . . . . . . . . . .98
5.2.1 L"authentification simple . . . . . . . . . . . . . . . . . . . . . . . . .98
5.2.2 L"authentification forte. . . . . . . . . . . . . . . . . . . . . . . . . .104
5.2.3 La biométrie de confort. . . . . . . . . . . . . . . . . . . . . . . . . .110
5.3 Les mises à jour logicielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
5.4 La sauvegarde automatique et la restauration
en toute autonomie1135.5 Conclusions sur la boîte à outils sécurité du collaborateur . . .113
6. Le domaine d"application de la SSI . . . . . . . . . . . . . . . . . . . . . . . . . .114
6.1 La communication dans l"entreprise . . . . . . . . . . . . . . . . . . . . .117
6.1.1 La Direction Générale . . . . . . . . . . . . . . . . . . . . . . . . . . .117
6.1.2 Le middle management. . . . . . . . . . . . . . . . . . . . . . . . . .119
6.1.3 Les équipes opérationnelles. . . . . . . . . . . . . . . . . . . . . . .120
6.1.4 Synthèse de la communication dans l"entreprise . . . . .121
6.2 Synthèse du domaine d"application de la SSI. . . . . . . . . . . . . .121
5Table des matières
7. Les normes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
7.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
7.2 Les normes certifiantes en sécurité informatique. . . . . . . . . . .123
7.2.1 ISO 27001. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
7.2.2 ISO 27002. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
7.2.3 Le fonctionnement d"une certification ISO 27001 . . . .126
7.2.4 SAS 70 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
7.3 Les certifications personnelles . . . . . . . . . . . . . . . . . . . . . . . . . .127
8. Les outils méthodologiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128
8.1 EBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128
8.2 MEHARI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
8.3 Les logiciels d"aide à la mise en place
des méthodologies sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . .1299. Les différentes conformités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
9.1 La conformité réglementaire . . . . . . . . . . . . . . . . . . . . . . . . . . .129
9.2 La conformité légale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131
9.2.1 La Loi de Programmation Militaire (LPM). . . . . . . . . . .131
9.2.2 Le Règlement Général sur la Protection
des Données (RGPD). . . . . . . . . . . . . . . . . . . . . . . . . . . .13210. L"organisation des politiques, règles et procédures
de sécurité dans l"entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134
10.1 La Politique de Sécurité du Système d"Information (PSSI) . . .137
10.2 La charte informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
10.3 Les Politiques Thématiques (PTH) . . . . . . . . . . . . . . . . . . . . . .140
11. Les Procédures Techniques de Réalisation (PTR). . . . . . . . . . . . . . .144
12. Les règles, les guides et les procédures. . . . . . . . . . . . . . . . . . . . . . . .146
12.1 Les règles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
12.2 Les guides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
12.3 Les procédures. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
12.4 Les règles groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
12.4.1 L"objectif. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
12.4.2 La politique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
6 en mode projetLa sécurité informatique
12.4.3 Les responsabilités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
12.5 Les systèmes d"exploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . .150
12.5.1 UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
12.5.2 Windows postes de travail . . . . . . . . . . . . . . . . . . . . . . .151
12.5.3 Windows Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
12.5.4 Les bonnes pratiques usuelles. . . . . . . . . . . . . . . . . . . . .158
12.6 Les procédures fonctionnelles . . . . . . . . . . . . . . . . . . . . . . . . . .160
12.6.1 La sécurité des ordinateurs portables . . . . . . . . . . . . . . .161
12.6.2 Les communications électroniques . . . . . . . . . . . . . . . .162
13. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165
Chapitre 4
Prérequis : un peu d'organisation numérique
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167
2. La nomenclature des documents. . . . . . . . . . . . . . . . . . . . . . . . . . . .168
2.1 Types de documents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
2.2 La gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
2.3 Le référencement des documents . . . . . . . . . . . . . . . . . . . . . . .169
2.4 La page de garde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170
3. La gestion du partage et de la sauvegarde des documents. . . . . . . .172
3.1 G suite by Google Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
3.1.1 Google Docs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174
3.1.2 Google Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
3.2 Dropbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
3.2.1 La synchronisation des fichiers. . . . . . . . . . . . . . . . . . . .182
3.2.2 L"accès aux fichiers dans toutes les conditions . . . . . . .184
3.2.3 Un endroit unique de stockage et
de partage des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . .1863.2.4 Une sauvegarde automatique des fichiers . . . . . . . . . . .187
4. Synthèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188
7Table des matières
Chapitre 5
Introduction à la gestion de projet
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .189
2. Contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190
3. Qu"est-ce qu"un projet>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
3.1 Les objectifs réels d"un projet. . . . . . . . . . . . . . . . . . . . . . . . . . .193
3.2 Le niveau de détail du découpage des tâches d"un projet. . . . .194
3.3 Les quatre composantes d"un projet . . . . . . . . . . . . . . . . . . . . .195
3.4 Le ou les objectifs du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . .195
3.5 Le budget. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
3.6 La durée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
3.7 Le périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
3.8 Les acteurs du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
3.8.1 Le maître d"ouvrage (MOA) . . . . . . . . . . . . . . . . . . . . . .197
3.8.2 Le sponsor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
3.8.3 L"équipe projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198
3.8.4 Le maître d"uvre (M.O.E.) ou chef de projet. . . . . . . .198
3.8.5 Synthèse des liens entre
les différents acteurs d"un projet . . . . . . . . . . . . . . . . . .2003.9 Les composantes du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
3.10 Le cycle de vie du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205
3.11 Vue globale d"un projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207
4. Document préalable : la lettre de mission. . . . . . . . . . . . . . . . . . . . .209
4.1 Le nom de code du projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
4.2 Contenu de la lettre de mission. . . . . . . . . . . . . . . . . . . . . . . . .210
5. Étape 1 : la préparation de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . .212
5.1 Le cahier des charges. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212
5.2 Le plan de maîtrise du projet . . . . . . . . . . . . . . . . . . . . . . . . . . .217
5.2.1 Contenu d"un plan de maîtrise du projet. . . . . . . . . . . .218
5.2.2 Le PMP c"est bien mais.... . . . . . . . . . . . . . . . . . . . . . . . .224
5.3 Le document de cartographie des risques . . . . . . . . . . . . . . . . .224
5.3.1 Rappel de ce qu"est un risque . . . . . . . . . . . . . . . . . . . . .225
8 en mode projetLa sécurité informatique
5.3.2 Création de la liste des risques . . . . . . . . . . . . . . . . . . . .225
5.3.3 Classement et organisation des risques . . . . . . . . . . . . .226
5.3.4 Gestion des risques identifiés . . . . . . . . . . . . . . . . . . . . .228
5.3.5 Communication par les risques . . . . . . . . . . . . . . . . . . .230
5.4 Le planning prévisionnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230
5.5 Préparation de la logistique et installation de l"équipe. . . . . . .231
5.6 Synthèse des livrables et de l"étape . . . . . . . . . . . . . . . . . . . . . .232
5.7 Jalon de l"étape : "réunion de lancement" ou "kick off" . . . . . .232
6. Étape 2 : élaboration de la solution . . . . . . . . . . . . . . . . . . . . . . . . . .233
6.1 La conception générale et détaillée . . . . . . . . . . . . . . . . . . . . . .234
6.2 Les actions en parallèle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
6.2.1 Le plan de démarrage de secours. . . . . . . . . . . . . . . . . . .235
6.2.2 Le plan de conduite du changement. . . . . . . . . . . . . . . .235
6.2.3 Initialisation des scénarios de test . . . . . . . . . . . . . . . . .235
6.3 Jalon de l"étape "revue de fin de conception" . . . . . . . . . . . . . .236
6.4 Synthèse des livrables et de l"étape . . . . . . . . . . . . . . . . . . . . . .236
6.5 Jalon : la "validation" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
7. Étape 3 : déploiement de la solution . . . . . . . . . . . . . . . . . . . . . . . . .237
7.1 La réalisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
7.2 Les tests unitaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
7.3 Approvisionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
7.4 Rédaction des scénarios de test . . . . . . . . . . . . . . . . . . . . . . . . .238
7.4.1 Les scénarios de test . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
7.4.2 La fiche de test. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
7.5 La formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
7.5.1 Le plan de formation. . . . . . . . . . . . . . . . . . . . . . . . . . . .240
7.5.2 La fiche d"évaluation du transfert des compétences . . .240
7.6 Transfert des compétences . . . . . . . . . . . . . . . . . . . . . . . . . . . .241
7.6.1 Le plan de transfert des compétences. . . . . . . . . . . . . . .241
7.6.2 La fiche d"évaluation du transfert des compétences . . .242
7.7 Les tests d"intégration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
7.8 Les tests de non-régression. . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
7.9 Synthèse des livrables et de l"étape . . . . . . . . . . . . . . . . . . . . . .243
9Table des matières
7.10 Jalon : la "revue de fin de construction" . . . . . . . . . . . . . . . . . .243
8. Étape 4 : validation pré-opérationnelle . . . . . . . . . . . . . . . . . . . . . . .244
8.1 La recette pré-opérationnelle . . . . . . . . . . . . . . . . . . . . . . . . . . .244
8.2 Le plan de formation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
8.3 Le plan de démarrage de secours . . . . . . . . . . . . . . . . . . . . . . . .245
8.4 Synthèse des livrables de l"étape . . . . . . . . . . . . . . . . . . . . . . . .245
8.5 Jalon : "Go / No Go" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
9. Étape 5 : démarrage opérationnel et stabilisation. . . . . . . . . . . . . . .246
9.1 Mise en exploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
9.2 Mise à jour de la documentation. . . . . . . . . . . . . . . . . . . . . . . .247
9.3 La stabilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
9.4 Synthèse des livrables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
9.5 Jalon "passage en maintenance". . . . . . . . . . . . . . . . . . . . . . . . .249
10. Étape 6 : clôture du projet et passage en MCO . . . . . . . . . . . . . . . .249
10.1 La revue de fin de projet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
10.2 Clôture et passage en Maintenance
en Conditions Opérationnelles ou MCO . . . . . . . . . . . . . . . . .25010.2.1 Synthèse des livrables . . . . . . . . . . . . . . . . . . . . . . . . . . .250
10.2.2 Jalon 6 : clôture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
11. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
Chapitre 6
Les spécificités de projets sécurité
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253
2. Les bons réflexes à appliquer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254
2.1 Les principes directeurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254
2.2 Durant la "préparation de projet" . . . . . . . . . . . . . . . . . . . . . . .255
2.3 Quelques spécificités dans le cadre
d"une prestation externalisée. . . . . . . . . . . . . . . . . . . . . . . . . . .2552.4 Durant "l"élaboration de la solution". . . . . . . . . . . . . . . . . . . . .257
2.5 Durant "le déploiement de la solution" . . . . . . . . . . . . . . . . . . .258
10 en mode projetLa sécurité informatique
2.6 Durant "la validation pré-opérationnelle". . . . . . . . . . . . . . . . .259
2.7 Durant "le démarrage opérationnel et la stabilisation" . . . . . .259
2.8 Durant "la clôture et le passage en MCO" . . . . . . . . . . . . . . . .259
3. Quelques exemples de projets sécurité et leurs spécificités. . . . . . .260
3.1 Déploiement antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260
3.2 Sauvegardes et restaurations . . . . . . . . . . . . . . . . . . . . . . . . . . .263
3.3 Chiffrer des postes de travail. . . . . . . . . . . . . . . . . . . . . . . . . . .273
3.4 Procédures d"entrée, mutation et sortie des collaborateurs . . .275
3.5 La revue des habilitations d"accès sur les postes de travail . . .278
3.6 La mise en place d"une charte informatique. . . . . . . . . . . . . . .281
3.7 Le Plan de Reprise d"Activité . . . . . . . . . . . . . . . . . . . . . . . . . . .284
3.8 La révision du système de fichiers. . . . . . . . . . . . . . . . . . . . . . .288
3.8.1 Mise uvre de l"arborescence. . . . . . . . . . . . . . . . . . . . .290
3.8.2 Vue technique simplifiée. . . . . . . . . . . . . . . . . . . . . . . . .292
3.8.3 Permissions de partage . . . . . . . . . . . . . . . . . . . . . . . . . .294
3.8.4 Création des groupes locaux. . . . . . . . . . . . . . . . . . . . . .294
3.8.5 Création des Groupes Globaux. . . . . . . . . . . . . . . . . . . .295
3.8.6 Légitimer une demande d"accès utilisateur . . . . . . . . . .297
3.8.7 Risques identifiés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297
4. Des difficultés propres à chaque secteur d"activité. . . . . . . . . . . . . .299
4.1 L"exemple du secteur de l"édition logicielle. . . . . . . . . . . . . . . .299
4.2 L"exemple du secteur industriel. . . . . . . . . . . . . . . . . . . . . . . . .301
5. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .306
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309
253Chapitre 6
Les spécificités de projets sécurité
Les spécificités de projets sécurité
1. Introduction
À chaque domaine les projets qui lui sont spécifiques avec des caractéristiques qui lui sont propres. Ainsi, un chef ou un directeur de projet spécialisé dans le domaine public et de la paie, par exemple, saura éviter ou du moins anticiper les écueils les plus courants dans son domaine mais sera démuni lors du pilo- tage d"un projet de déploiement de cash management international. Il ne connaît pas le domaine bancaire ainsi que les métiers associés. Dans les paragraphes suivants, c"est ce que nous allons présenter : quelques projets en sécurité typiques et classiques, les pièges à éviter ainsi que les bonnes pratiques à mettre en uvre. Nous irons du projet de déploiement d"un antivirus au pilotage d"un Plan de Reprise d"Activité (PRA) en passant par la mise en uvre de ce plan.Remarque
Le PRA est un projet complexe qui donne lieu à un ouvrage dédié aux éditions ENI : Plan de Continuité d"Activité - Concepts et démarche pour passer du be- soin à la mise en uvre du PCA. Nous avons sélectionné des exemples de projets essentiellement techniques. Mais, comme nous l"avons vu, la protection de l"information est transverse à l"entreprise et ne représente qu"une partie des sujets à traiter.© Editions ENI - All rights reserved
254en mode projet
La sécurité informatique
Par exemple, à la période où j"écris ces lignes - fin 2016 -, je suis de plus en plus sollicité pour des projets de mise en conformité relatifs à de nouvelles obliga- tions réglementaires ou légales. Ce type de projets sécurité est purement fonc- tionnel ; nous y analysons l"écart entre ce qui est en place, ce qui devrait l"être et ce qu"il va falloir mettre en uvre. Ce qui doit être mis en uvre du point de vue de la sécurité fait ensuite l"objet de plans d"action spécifiques qui concernent toute l"entreprise. Il faut également garder à l"esprit que l"ensemble des projets SSI doit être conforme aux différentes politiques de l"entreprise (PSSI, PTH, PTR, etc.) ou alors que ces politiques doivent être rendues conformes aux obligations des différents projets de façon à ce que l"impératif de sécurité ne pèse pas sur l"activité de l"entreprise.2. Les bons réflexes à appliquer
2.1 Les principes directeurs
La liste ci-dessous est une somme de bons réflexes qu"il convient, suivant les besoins et la taille du projet, d"appliquer en totalité ou de façon partielle. Cela dit, dans tous les cas, vous devez vous poser la question de l"applicabilité de chacun de ces principes. - Un projet est placé sous la responsabilité d"un chef de projet ou, selon les cas, d"un responsable métier. Ce responsable est garant de l"intégration de la sécurité lors du projet et du respect de l"application de la présente instruc- tion. - Le responsable du projet doit associer les équipes sécurité dès le début et à chaque étape du projet. - Tout projet ou application doit faire l"objet d"une démarche sécurité adap- tée à son niveau de sensibilité, dont les risques résiduels et le plan d"action doivent être acceptés par le responsable métier avant mise en production. - L"externalisation de tout ou partie du projet doit être spécifiquement prise en compte lors de l"analyse de risque. 255Les spécificités de projets sécurité
Chapitre 6
- Les jalons sécurité, ainsi que les livrables correspondants (QES, soit Ques- tionnaire d"Évaluation de la Sensibilité, dossier de sécurité, audit de sécurité, fiche d"objectifs de sécurité...), sont à intégrer dans la gestion de projet.2.2 Durant la "préparation de projet"
- La démarche sécurité doit être initiée dès le début du projet. Cela se concré-
tise par la rédaction d"un QES. - Ce questionnaire doit être réalisé durant les phases d"étude d"opportunités et de cadrage à l"initiative du chef de projet, en collaboration avec la filière SSI concernée, validé par le responsable métier, et mis à disposition du RSSI. Un comité projet doit s"assurer du remplissage et de la validation du QESquotesdbs_dbs9.pdfusesText_15