Le rle du RSSI

Claude Maury
WWW.CLUSIS.CH
2
22 mai 2007
Claude Maury - CLUSIS
Le CLUSIS cest:
Une association SSI indpendante et sans but lucratif
Fonde en 1989
Plus de 230 membres entreprises ou membres
individuels
Administrations publiques, Etablissements universitaires et
secondaires, Banques, Industries, Fournisseurs informatique,
Prestataires de services, Consultants, etc..
Associations surs en Europe: CLUSIF, CLUSIT, CLUSIB
et CLUSIL
Partenariat avec le GRI Groupement Romand de
lInformatique
Membre fondateur d ICT-SR (ICT- Suisse Romande)
3
22 mai 2007
Claude Maury - CLUSIS
Lvolution de la SSI
Protection scuritaire par couches
Gestion des
vnements SSI
4
22 mai 2007
Claude Maury - CLUSIS
Processus de la Scurit des SI
Analyse de
risques
Gestion du
risque
Etablissement
des directives et
standards SSI
Sensibilisation
& formation
Stratgie de
scurit
Actionnaires
Direction
Direction
Risque manager
Mthode
danalyse de
risques
Direction,
RSSI
RSSI,
Dpt. sectoriels
Formation,
RH, RSSI
ISO 17799,
ISO 27001,
Veille technologique
PoSI,
Classification biens,
Priorits
Gestion des
comptences
Analyse dimpact
Conformit lgale
START
GESTION STRATGIQUE DE LA SCURIT DES SI
GESTION OPRATIONNELLE DE LA SCURIT DES SI (ISMS)
Mise en uvre
des moyens et
des contrles
RSSI
ISO 27001,
Outils fournisseurs
Traitement des
incidents
Service desk
Procdures
ITIL, CMDB
Audit et
surveillance
Tableaux de bords
ISO 19901,
Outils fournisseurs
RSSI
Auditeurs
Propositions
des
amliorations
RSSI
Direction
Veille technologique
Outils fournisseurs
Standards
5
22 mai 2007
Claude Maury - CLUSIS
Le rle du RSSI
Dfinir, mettre en uvre et contrler le processus de
scurit des systmes dinformation bas sur la politique
de scurit de lorganisation.
Thucydide historien grec IVme avant J.-C.
6
22 mai 2007
Claude Maury - CLUSIS
Une responsabilit partage
La direction, les cadres et les employ()s, ainsi que
les tiers contractants sont responsables de la
scurit de linformation
Cest un engagement professionnel
et personnel de tous
7
22 mai 2007
Claude Maury - CLUSIS
Pourquoi une architecture SSI ?
Sans architecture de scurit, les mcanismes de
protection sont choisis arbitrairement et sont
pauvrement renforcs.
8
22 mai 2007
Claude Maury - CLUSIS
Une architecture de scurit SI
Une Architecture de Scurit de lInformation:
Cest un processus dorganisation et dingnierie labor pour
couvrir les menaces accidentelles ou intelligentes pouvant
mettre en danger lorganisation,
est compose dun ensemble cohrent de directives
administratives, de procdures, de services et de technologies
informatiques prservant la scurit du personnel et des actifs
de lorganisation.
Larchitecture de scurit de linformation dpend de la politique de
scurit, et non pas de la technique informatique
9
22 mai 2007
Claude Maury - CLUSIS
Gestion du risque et politique de scurit
F
o
r
m
a
t
i
o
n

e
t

s
e
n
s
i
b
i
l
i
s
a
t
i
o
n

Directives et standards
S

c
u
r
i
t

d
e

l

e
n
v
i
r
o
n
n
e
m
e
n
t

S

c
u
r
i
t

d
u






p
e
r
s
o
n
n
e
l

S

c
u
r
i
t

d
e


l

i
n
f
o
r
m
a
t
i
o
n

M
a
i
n
t
e
n
a
n
c
e

d
e
s

s
y
s
t

m
e
s

C
l
a
s
s
i
f
i
c
a
t
i
o
n

d
e

l

i
n
f
o
r
m
a
t
i
o
n

I
n
v
e
n
t
a
i
r
e

d
e
s

a
c
t
i
f
s

i
n
f
o
r
m
a
t
i
o
n
n
e
l
s

Un ensemble cohrent
Gestion et contrles des accs
Gestion des incidents, Audits
C
o
n
f
o
r
m
i
t

g
a
l
e

Plan de continuit