 |
Notre Offre liée à la Sécurité des Systèmes d'Information : |
Notre entreprise, @CTIS-Ingénierie, a développé un véritable Savoir-Faire et de nombreuses références dans la Sécurité des Systèmes d'Information, le tout adossé à une méthodologie reconnue et des outils déposés (MARI@), et bien sûr à un référentiel normatif à la fois ISO et ITIL sur la sécurité :
En fonction des différentes dimensions autour de la sécurité du Système d'Information de notre Client : stratégique, organisationnelle et technique, mais également financière et économique, le niveau de sécurité à définir est un compromis entre le coût global de la sécurité et le coût des sinistres si une menace arrive à son terme :
La sécurité des SI dans la démarche VSP@ fait l'objet d'une attention toute particulière. L'audit sécurité de la VSP@ s'effectue au travers de la norme BS 7799-2:2002 "Systèmes de gestion de la sécurité des information - Spécification et guide d'utilisation", qui permet d'évaluer les niveaux de la sécurité des SI sur un spectre très complet.
D'autre part, les restitutions de l'audit de sécurité par les outils VSP@ sont spécifiques à la représentation des niveaux de sécurité :
En complément, nos experts, dont Pierre SAGNIERES en charge du Conseil et de la Sécurité chez @CTIS-Ingénierie, interviennent également à l'occasion de Tables Rondes, d'articles sur le sujet, ... en parallèle de leurs missions de Conseil et d'Audit.
Nos missions autour de la Sécurité des Systèmes d'Information sont les suivantes :
Définition de la Politique Sécurité des Systèmes d'Information :
Une politique de sécurité est un ensemble, formalisé dans un document applicable, d'éléments stratégiques, de directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection du (des) système(s) d'information de l'organisme.
Bâtir une politique de sécurité, c'est un projet à long terme visant à mettre en oeuvre une sécurité adaptée aux usages, économiquement viable et conforme à la législation.
Le plus souvent, il s'agit de prendre en compte les risques aussi bien internes qu'externes, ainsi que la typologie du système d'information, la sécurité devant prendre en compte la spécificité de chaque type de communication. Avant tout, il est nécessaire de répondre à ces trois questions :
Les Audits Sécurité complets de Systèmes d'Information :
Les études liées à la sécurité de l'Entreprise et de son Système d'Information :
La définition de Plans d'Actions et de Continuité en cas de sinistre
Le contrôle et l'Aide à la Conformité aux références normatives ISO sur la Sécurité (ISO 27001, ...) : il s'agit pour nos Consultants d'accompagner les entreprises sur la mise en oeuvre des référentiels ISO 17799 (Best Practices) et BS 7799-2 (récemment republié ISO 27001).
L'Expertise Méthodologique sur la mise en oeuvre des normes ITIL (IT Infrastructure Library) et CMM (Capability Maturity Model Integration) : ITIL comporte un Processus "Security Management" décrivant notamment les bonnes pratiques à suivre en matière de Sécurité des Systèmes d'Information.
Enfin, pour être efficaces sur ce type de prestations, nous nous appuyons sur :
Une approche méthodologique, en utilisant les concepts d'une démarche adaptée et reconnue comme MEHARI du Clusif, très adaptés au contexte de nos Clients : concepts de base, approche analytique, globale, ...
Un référentiel normatif, comme le propose les normes ISO, à la fois pour la gestion de la sécurité (ISO 13335), mais également sur les bonnes pratiques des différents sous-systèmes constituant la sécurité (ISO 17799, bonnes pratiques du MEDEF, ensemble des services Sécutité décrits dans ITIL, ...) :
- Structurels : politique de sécurité, organisation, actifs, ...
- Statiques : sécurité liée au personnel, physique, logique, ...
- Dynamiques : développements, maintenance, continuité d'activité, ...
Un outil de quantification et restitution des niveaux de sécurité, des vulnérabilités et des risques, afin de disposer de mesures et indicateurs précis (outil MARI@ d'@CTIS-Ingénierie),
Une expérience solide en Direction de Projet, notamment basée sur la méthode COPR@ (COnduite de PRojet @CTIS-Ingénierie), pour piloter la mise en oeuvre des tests d'intrusion "Boîte Blanche" et "Boîte Noire" sur les réseaux de production.
@CTIS-Ingénierie se veut pragmatique et dispose de ce référentiel Sécurité :
En fonction des différentes dimensions autour de la sécurité du Système d'Information de notre Client : stratégique, organisationnelle et technique, mais également financière et économique, le niveau de sécurité à définir est un compromis entre le coût global de la sécurité et le coût des sinistres si une menace arrive à son terme :
La sécurité des SI dans la démarche VSP@ fait l'objet d'une attention toute particulière. L'audit sécurité de la VSP@ s'effectue au travers de la norme BS 7799-2:2002 "Systèmes de gestion de la sécurité des information - Spécification et guide d'utilisation", qui permet d'évaluer les niveaux de la sécurité des SI sur un spectre très complet.
D'autre part, les restitutions de l'audit de sécurité par les outils VSP@ sont spécifiques à la représentation des niveaux de sécurité :
En complément, nos experts, dont Pierre SAGNIERES en charge du Conseil et de la Sécurité chez @CTIS-Ingénierie, interviennent également à l'occasion de Tables Rondes, d'articles sur le sujet, ... en parallèle de leurs missions de Conseil et d'Audit.
Nos missions autour de la Sécurité des Systèmes d'Information sont les suivantes :
Définition de la Politique Sécurité des Systèmes d'Information :Une politique de sécurité est un ensemble, formalisé dans un document applicable, d'éléments stratégiques, de directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection du (des) système(s) d'information de l'organisme.
Bâtir une politique de sécurité, c'est un projet à long terme visant à mettre en oeuvre une sécurité adaptée aux usages, économiquement viable et conforme à la législation.
Le plus souvent, il s'agit de prendre en compte les risques aussi bien internes qu'externes, ainsi que la typologie du système d'information, la sécurité devant prendre en compte la spécificité de chaque type de communication. Avant tout, il est nécessaire de répondre à ces trois questions :
- Que dois-je protéger en priorité ? Quel est mon patrimoine informationnel ?
- Quels sont les risques que je cours (externes, internes)?
- Quels sont les facteurs aggravants de risque ?
Les Audits Sécurité complets de Systèmes d'Information :- Exploration du système, dans le but de récupérer des informations sur le système : machines, OS, adresses IP, logiciels de base, applicatifs, versions, paramétrage, ... - Utilisation de scanners de réseau comme Look@Lan, et d'utilitaires systèmes ...
- Tests de vulnérabilité : ciblage de composants du système d'information et mise en évidence des vulnérabilités : trous de sécurité, paramétrages laissant des ouvertures possibles, ...
Utilisation de scanners de vulnérabilités comme Nessus, ATK, Tenable, ... - Analyse virale des postes et des supports : analyse en utilisant plusieurs logiciels antivirus, sur postes clients, master, serveurs, en ligne, ...
- Tests d'intrusion : utilisation des vulnérabilités mises à jour pour obtenir des informations privées pouvant être utilisées pour le déclenchement de menaces (non-destructif par défaut, destructif sur demande explicite).
- Rédaction d'un rapport : bilan de vulnérabilité, bilan viral, bilan d'intrusion, classement des vulnérabilités selon les conséquences pour l'organisation, proposition de solutions techniques et organisationnelle, plan d'actions, chiffrage, accompagnement, ...
Les études liées à la sécurité de l'Entreprise et de son Système d'Information :- Politique de Sécurité et Charte de Sécurité Utilisateurs
- Etudes de Risque / Potentialités (Analyse des Risques au sens MEHARI)
- Etudes de Vulnérabilité du Système
- Plan Stratégique de Sécurité (PSS)
- Plans Opérationnels de Sécurité (POS)
- Plan Opérationnel d'Entreprise (POE)
- ...
La définition de Plans d'Actions et de Continuité en cas de sinistreLe contrôle et l'Aide à la Conformité aux références normatives ISO sur la Sécurité (ISO 27001, ...) : il s'agit pour nos Consultants d'accompagner les entreprises sur la mise en oeuvre des référentiels ISO 17799 (Best Practices) et BS 7799-2 (récemment republié ISO 27001).L'Expertise Méthodologique sur la mise en oeuvre des normes ITIL (IT Infrastructure Library) et CMM (Capability Maturity Model Integration) : ITIL comporte un Processus "Security Management" décrivant notamment les bonnes pratiques à suivre en matière de Sécurité des Systèmes d'Information.
Enfin, pour être efficaces sur ce type de prestations, nous nous appuyons sur :
Une approche méthodologique, en utilisant les concepts d'une démarche adaptée et reconnue comme MEHARI du Clusif, très adaptés au contexte de nos Clients : concepts de base, approche analytique, globale, ...Un référentiel normatif, comme le propose les normes ISO, à la fois pour la gestion de la sécurité (ISO 13335), mais également sur les bonnes pratiques des différents sous-systèmes constituant la sécurité (ISO 17799, bonnes pratiques du MEDEF, ensemble des services Sécutité décrits dans ITIL, ...) :- Structurels : politique de sécurité, organisation, actifs, ...
- Statiques : sécurité liée au personnel, physique, logique, ...
- Dynamiques : développements, maintenance, continuité d'activité, ...
Un outil de quantification et restitution des niveaux de sécurité, des vulnérabilités et des risques, afin de disposer de mesures et indicateurs précis (outil MARI@ d'@CTIS-Ingénierie),Une expérience solide en Direction de Projet, notamment basée sur la méthode COPR@ (COnduite de PRojet @CTIS-Ingénierie), pour piloter la mise en oeuvre des tests d'intrusion "Boîte Blanche" et "Boîte Noire" sur les réseaux de production.@CTIS-Ingénierie se veut pragmatique et dispose de ce référentiel Sécurité :
ITIL = Information Technology Infrastructure Library. Le Système d'Information (interne ou externalisé) d'une Entreprise peut être évalué en comparaison avec le nouveau référentiel international dédié à la gestion des services informatiques, et nommé ITIL. Globalement, ITIL décrit l'ensemble les services pouvant être fourni par un Service informatique sous la forme de bonnes pratiques regroupées en processus. |
 |
 |
MARI@ = Méthode d'Analyse des Risques Informatiques d'@CTIS-Ingénierie. Il s'agit d'une méthodologie d'audit spécifique, qui permet d'évaluer le niveau de sécurité de l'entreprise étudié (les risques) au travers de questionnaires pondérés portant sur des domaines précis, et donnant des indicateurs notés suivant différents thèmes concourrant à la sécurité de l'Entreprise. Le niveau de sécurité est évalué suivant 27 indicateurs normalisés, répartis en 6 grands thèmes. Chaque indicateur est noté de 0 à 4, le niveau 3 étant le niveau à atteindre pour assurer une sécurité jugée correcte pour l'entreprise étudiée. À l'issue de cette analyse, une analyse de risque plus détaillée est réalisée afin d'identifier plus précisément les risques (menaces et vulnérabilités) qui pèsent sur l'entreprise. Une représentation graphique des indicateurs notés et pondérés permet l'exploitation rapide des résultats et l'identification des Risques Majeurs (RM) à traiter en priorité et des Risques Simples (RS) moins impactants. |
 |
MEHARI = MEthode Harmonisée d'Analyse de RIsques. Développée par la commission METHODES du CLUSIF, cette méthode permet, par une analyse rigoureuse et une évaluation quantitative des facteurs de risque propres à chaque situation, de concilier les objectifs stratégiques et les nouveaux modes de fonctionnement de l'entreprise avec une politique de sécurité et de maintien des risques à un niveau convenu.  CLUSIF : Club de la Sécurité des Systèmes d'Information Français 30, rue Pierre Sémard - 75009 Paris |
 |
 |