La sécurité informatique en mode projet Organisez la sécurité du SI de votre entreprise (2e édition) - Version en ligne

Préface d'Éric SALLOU - Expert Cyber Sécurité - Gérant de la société DAALA Ce livre sur la sécurité informatique est destiné autant à l'informaticien opérationnel qu'au chef de projet, au responsable IT ou au RSSI nouvellement nommé qui cherche à donner une impulsion à son département ou qui a hérité d'un projet en sécurité informatique (Plan de...

Aperçu du livre papier

Niveau Initié à Confirmé
Parution mars 2017

Présentation

Préface d'Éric SALLOU - Expert Cyber Sécurité - Gérant de la société DAALA

Ce livre sur la sécurité informatique est destiné autant à l'informaticien opérationnel qu'au chef de projet, au responsable IT ou au RSSI nouvellement nommé qui cherche à donner une impulsion à son département ou qui a hérité d'un projet en sécurité informatique (Plan de Reprise d'Activité, déploiement d'un antivirus, gestion du cycle de vie d'un collaborateur dans l'entreprise, chiffrement d'une flotte d'ordinateurs portables, etc.). L'informatique est le système nerveux central des entreprises ; une panne, un manque de réactivité, une indisponibilité, une perte d'informations affectent considérablement leur mécanisme. La gestion de la sécurité de l'information autrefois réservée aux grandes entreprises ou aux PME matures, s'étend à toutes les structures, quels que soient leur taille et leur domaine d'activité.

Pour rendre la mise en œuvre de la sécurité accessible au plus grand nombre et notamment aux PME/PMI et TPE, les auteurs détaillent dans ce livre une méthode de gestion de projet qu'ils ont simplifiée et optimisée pour l'adapter à tout projet lié à la protection de leurs informations (gestion des mots de passe, des habilitations d'accès, sauvegardes automatiques et restaurations, déploiement d'un antivirus, chiffrement des postes, cycle de vie d'un collaborateur, révision du système de fichiers, approche d'un Plan de Reprise d'Activité, normes de sécurité et certifications, charte informatique, guides, règles et procédures, etc.).

Pour chaque type de projet lié à la sécurité, le lecteur apprend à définir précisément le projet, à identifier ses points-clefs (quels sont les intervenants ? les livrables ? les risques ? le coût ?) et à préciser les spécificités liées à la sécurité. Riche de retours d'expérience et de bonnes pratiques, ce livre se veut pragmatique et permettra au lecteur d'appréhender les difficultés les plus courantes ainsi que d'anticiper et d'éviter les pièges fréquents et habituels rencontrés durant la gestion de ce type de projet.

Les chapitres du livre :
Préambule – Préface – Qu'est-ce qu'un projet en sécurité informatique ? – Qu'est-ce qu'un système d'information ? – Qu'est-ce que la sécurité ? – Prérequis : un peu d'organisation numérique – Introduction à la gestion de projet – Les spécificités des projets sécurité

Téléchargements

Des fichiers complémentaires (77,7 Ko)

Table des matières

Introduction

Préface
Préambule

Qu’est-ce qu’un projet en sécurité informatique ?

Introduction
Les différentes populations d'une Direction des Systèmes d'Information
Le chef de projet en sécurité informatique
La compétence chef de projet
1. 1. La gestion des risques
2. 2. L’organisation de l’information
  1. a. La prise de notes
  2. b. L’accès constant aux informations
  3. c. La gestion et le suivi des tâches
3. 3. Dernière compétence clé
La compétence responsable système d’information
1. 1. La connaissance du parc informatique
2. 2. La connaissance des applicatifs
La compétence responsable de la sécurité des systèmes d’information
1. 1. La sensibilisation
2. 2. Les quatre composants principaux du métierde RSSI et les compétences clés associées
  1. a. La sécurité organisationnelle
  2. b. La sécurité pédagogique
  3. c. La sécurité juridique
  4. d. La sécurité technique
Résumé

Qu'est-ce qu'un système d'information ?

Généralités
Où croise-t-on le "système d’information" ?
1. 1. Le SI dans les moyennes entreprises et plus
  1. a. Taille/temps
  2. b. Conscience technologique
2. 2. Le système d’information sur lemarché de l’emploi
  1. a. Le recrutement classique
  2. b. Recruter un consultant
  3. c. Gardez à l’esprit
3. 3. Le système d’information dans leslivres
Les acteurs du système d’information
1. 1. La Direction des SI et le management au sens large
2. 2. Support opérationnel
3. 3. Les centres d’appel
Les composantes "métier" du système d’information
1. 1. Définition
2. 2. Exemples de composantes
  1. a. GRH
  2. b. GRC ou CRM
  3. c. SCM
Point d’étape intermédiaire
1. 1. Compréhension du positionnement d’unchef de projet sécurité dans l’entreprise
2. 2. Le numérique arrive au foyer, incompréhensions
3. 3. L’affaire de tous
Informatique, vue spécifique
1. 1. Naissance de l’informatique d’entreprise
2. 2. Développement informatique de l’entreprise
3. 3. Intégration dans l’entreprise
La montée croissante dans l'entreprise
1. 1. Multiplication des couches
2. 2. Organisation des couches
3. 3. Management des couches
4. 4. Conclusion : la partie émergée del’iceberg
Système d'information, vue globale
1. 1. Le système nerveux central de l’entreprise
2. 2. Nécessité de pilotage
  1. a. Gestion d’un portefeuille de projets
  2. b. Anticipation et Direction
  3. c. Susciter la collaboration entre les acteurs du SI
3. 3. Particularité de la sécurité duSI
  1. a. Pourquoi une singularité ?
  2. b. Positionnement spécifique
4. 4. Conclusion : niveaux de maturité
  1. a. Type 1, résoudre le problème informatique
  2. b. Type 2, optimiser les investissements informatiques
  3. c. Type 3, transformer les entreprises à l’aidedu système d’information
Conclusion
1. 1. Définition d’aujourd’hui
2. 2. Et déjà demain

Qu'est-ce que la sécurité ?

De la sécurité d'hier...
... à la sécurité d'aujourd'hui
Les enjeux de la sécurité
La sécurité de l'information
La boîte à outils sécurité pour les collaborateurs
1. 1. Le comportement et l’éducation
2. 2. Les mots de passe et leur gestion
  1. a. L’authentification simple
  2. b. L’authentification forte
  3. c. La biométrie de confort
3. 3. Les mises à jour logicielles
4. 4. La sauvegarde automatique et la restauration en toute autonomie
5. 5. Conclusions sur la boîte à outilssécurité du collaborateur
Le domaine d'application de la SSI
1. 1. La communication dans l’entreprise
  1. a. La Direction Générale
  2. b. Le middle management
  3. c. Les équipes opérationnelles
  4. d. Synthèse de la communication dans l’entreprise
2. 2. Synthèse du domaine d’applicationde la SSI
Les normes
1. 1. Définition
2. 2. Les normes certifiantes en sécurité informatique
  1. a. ISO 27001
  2. b. ISO 27002
  3. c. Le fonctionnement d’une certification ISO 27001
  4. d. SAS 70
3. 3. Les certifications personnelles
Les outils méthodologiques
1. 1. EBIOS
2. 2. MEHARI
3. 3. Les logiciels d’aide à la mise enplace des méthodologies sécurité
Les différentes conformités
1. 1. La conformité réglementaire
2. 2. La conformité légale
  1. a. La Loi de Programmation Militaire (LPM)
  2. b. Le Règlement Général surla Protection des Données (RGPD)
L'organisation des politiques, règles et procédures de sécurité dans l'entreprise
1. 1. La Politique de Sécurité du Systèmed’Information (PSSI)
2. 2. La charte informatique
3. 3. Les Politiques Thématiques (PTH)
Les Procédures Techniques de Réalisation (PTR)
Les règles, les guides et les procédures
1. 1. Les règles
2. 2. Les guides
3. 3. Les procédures
4. 4. Les règles groupes
  1. a. L’objectif
  2. b. La politique
  3. c. Les responsabilités
5. 5. Les systèmes d’exploitation
  1. a. UNIX
  2. b. Windows postes de travail
  3. c. Windows Server
  4. d. Les bonnes pratiques usuelles
6. 6. Les procédures fonctionnelles
  1. a. La sécurité des ordinateurs portables
  2. b. Les communications électroniques
Conclusion

Prérequis : un peu d’organisation numérique

Introduction
La nomenclature des documents
1. 1. Types de documents
2. 2. La gestion des versions
3. 3. Le référencement des documents
4. 4. La page de garde
La gestion du partage et de la sauvegarde des documents
1. 1. G suite by Google Cloud
  1. a. Google Docs
  2. b. Google Sites
2. 2. Dropbox
  1. a. La synchronisation des fichiers
  2. b. L’accès aux fichiers dans toutesles conditions
  3. c. Un endroit unique de stockage et de partage des fichiers
  4. d. Une sauvegarde automatique des fichiers
Synthèse

Introduction à la gestion de projet

Introduction
Contexte
Qu’est-ce qu’un projet ?
1. 1. Les objectifs réels d’un projet
2. 2. Le niveau de détail du découpagedes tâches d’un projet
3. 3. Les quatre composantes d’un projet
4. 4. Le ou les objectifs du projet
5. 5. Le budget
6. 6. La durée
7. 7. Le périmètre
8. 8. Les acteurs du projet
  1. a. Le maître d’ouvrage (MOA)
  2. b. Le sponsor
  3. c. L’équipe projet
  4. d. Le maître d’œuvre (M.O.E.)ou chef de projet
  5. e. Synthèse des liens entre les différentsacteurs d’un projet
9. 9. Les composantes du projet
10. 10. Le cycle de vie du projet
11. 11. Vue globale d’un projet
Document préalable : la lettre de mission
1. 1. Le nom de code du projet
2. 2. Contenu de la lettre de mission
Étape 1 : la préparation de projet
1. 1. Le cahier des charges
2. 2. Le plan de maîtrise du projet
  1. a. Contenu d’un plan de maîtrise duprojet
  2. b. Le PMP c’est bien mais...
3. 3. Le document de cartographie des risques
  1. a. Rappel de ce qu’est un risque
  2. b. Création de la liste des risques
  3. c. Classement et organisation des risques
  4. d. Gestion des risques identifiés
  5. e. Communication par les risques
4. 4. Le planning prévisionnel
5. 5. Préparation de la logistique et installationde l’équipe
6. 6. Synthèse des livrables et de l’étape
7. 7. Jalon de l’étape : "réunionde lancement" ou "kick off"
Étape 2 : élaboration de la solution
1. 1. La conception générale et détaillée
2. 2. Les actions en parallèle
  1. a. Le plan de démarrage de secours
  2. b. Le plan de conduite du changement
  3. c. Initialisation des scénarios de test
3. 3. Jalon de l’étape "revue de fin deconception"
4. 4. Synthèse des livrables et de l’étape
5. 5. Jalon : la "validation"
Étape 3 : déploiement de la solution
1. 1. La réalisation
2. 2. Les tests unitaires
3. 3. Approvisionnement
4. 4. Rédaction des scénarios de test
  1. a. Les scénarios de test
  2. b. La fiche de test
5. 5. La formation
  1. a. Le plan de formation
  2. b. La fiche d’évaluation du transfertdes compétences
6. 6. Transfert des compétences
  1. a. Le plan de transfert des compétences
  2. b. La fiche d’évaluation du transfertdes compétences
7. 7. Les tests d’intégration
8. 8. Les tests de non-régression
9. 9. Synthèse des livrables et de l’étape
10. 10. Jalon : la "revue de fin de construction"
Étape 4 : validation pré-opérationnelle
1. 1. La recette pré-opérationnelle
2. 2. Le plan de formation
3. 3. Le plan de démarrage de secours
4. 4. Synthèse des livrables de l’étape
5. 5. Jalon : "Go / No Go"
Étape 5 : démarrage opérationnel et stabilisation
1. 1. Mise en exploitation
2. 2. Mise à jour de la documentation
3. 3. La stabilisation
4. 4. Synthèse des livrables
5. 5. Jalon "passage en maintenance"
Étape 6 : clôture du projet et passage en MCO
1. 1. La revue de fin de projet
2. 2. Clôture et passage en Maintenance en ConditionsOpérationnelles ou MCO
  1. a. Synthèse des livrables
  2. b. Jalon 6 : clôture
Conclusion

Les spécificités de projets sécurité

Introduction
Les bons réflexes à appliquer
1. 1. Les principes directeurs
2. 2. Durant la "préparation de projet"
3. 3. Quelques spécificités dans le cadre d’une prestation externalisée
4. 4. Durant "l’élaboration de la solution"
5. 5. Durant "le déploiement de la solution"
6. 6. Durant "la validation pré-opérationnelle"
7. 7. Durant "le démarrage opérationnelet la stabilisation"
8. 8. Durant "la clôture et le passage en MCO"
Quelques exemples de projets sécurité et leurs spécificités
1. 1. Déploiement antivirus
2. 2. Sauvegardes et restaurations
3. 3. Chiffrer des postes de travail
4. 4. Procédures d’entrée, mutation etsortie des collaborateurs
5. 5. La revue des habilitations d’accès sur les postes de travail
6. 6. La mise en place d’une charte informatique
7. 7. Le Plan de Reprise d’Activité
8. 8. La révision du système de fichiers
  1. a. Mise œuvre de l’arborescence
  2. b. Vue technique simplifiée
  3. c. Permissions de partage
  4. d. Création des groupes locaux
  5. e. Création des Groupes Globaux
  6. f. Légitimer une demande d’accèsutilisateur
  7. g. Risques identifiés
Des difficultés propres à chaque secteur d'activité
1. 1. L’exemple du secteur de l’éditionlogicielle
2. 2. L’exemple du secteur industriel
Conclusion

Conclusion

Conclusion

Auteurs

Alexandre PLANCHE

Alexandre PLANCHE possède plus de 15 années d'expérience dédiées à la protection de l'information. Ancien RSSI pour de grands groupes, puis consultant sécurité senior, Alexandre a piloté la création de plusieurs départements sécurité pour des organismes d'importance vitale ou pour leurs filiales. À ce titre, il a su adapter sa démarche de pilotage, d'organisation et de déploiement de la protection de l'information conformément aux exigences réglementaires comme la LPM et l'ISO/CEI 27001.

Jérôme DEL DUCA

Expert en pilotage des Systèmes d'Information, Jérôme DEL DUCA a été ces 15 dernières années Chef de projet puis Responsable des Systèmes d'Information dans l'industrie, la santé et l'édition logicielle. Il est récemment intervenu en tant que consultant expert en sécurité de l'information pour une organisation française de premier plan dans le secteur du numérique, pour le pilotage de projets sécurité pour de grands groupes ou encore dans une entreprise industrielle jusqu'à obtention de la certification ISO27001:2013.