Sécurité informatique : règles et pratiques
Construire une politique de sécurité : 12 thèmes
Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005,
Thème 1 – Organiser la sécurité de l’information :
Préciser les rôles et responsabilités des gestionnaires, utilisateurs et fournisseurs de services. Détailler les mécanismes de sécurité à mettre en place pour assurer la sécurisation de l’accès des tiers aux informations et ressources de l’entreprise.
Thème 3 – Gérer les risques de sécurité :
Analyser et évaluer les menaces, impacts et vulnérabilités auxquels les données sont exposées et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.
Thème 12 – Prévoir la continuité des activités :
Décrire les façons de faire pour élaborer un plan de continuité et de relève des
services, de même qu’un plan de sauvegarde des données et des applications de votre entreprise.
Thème 4 – Gérer les actifs informationnels :
Procéder à l’inventaire des données; leur déterminer un propriétaire; les
catégoriser; déterminer leur niveau de protection et établir les
mesures de sécurité à mettre en place.
Thème 2 – Bâtir une politique de sécurité de l’information :
Indiquer les éléments à considérer et le contenu de la politique de sécurité de l’information.
La politique de sécurité : gérer les incidents
Thème 10 – Gérer l’acquisition, le développement et l’entretien des systèmes :
indiquer les règles de sécurité à observer dans l’acquisition, le développement, l’implantation d’applications et de logiciels.

Thème 11 – Gérer les incidents de sécurité :
Indiquer les comportements à adopter lors de la détection d’un incident de sécurité; mettre en place un processus de gestion des incidents de sécurité.
Thème 7 – Assurer la sécurité physique et environnementale :
Préciser les mesures à mettre en place pour sécuriser le matériel et éviter les accès non autorisés dans les locaux.
Thème 5 – Assurer la sécurité des ressources humaines :
Indiquer au personnel les bonnes pratiques à utiliser pour protéger les renseignements confidentiels et nominatifs, faire un bon usage de leur équipement informatique.
Thème 8-Contrôler les Accès :
Le contrôle des accès consiste à gérer et contrôler les accès logiques et physiques aux informations et ressources de l’entreprise; détecter les activités non autorisées et préciser les règles à observer concernant l’identifiant et le mot de passe, de même que les autorisations d’accès. L’accès aux actifs informationnels catégorisés comme vitaux ou importants est réservé aux seules personnes autorisées. Le droit d’accès et le type d’accès (lecture seule, modification, droit d’effacement ou d’écriture) sont accordés par le propriétaire de chaque actif.
Thème 9-Gérer les communications et les opérations :
Contexte
Le réseau de télécommunications étant une composante critique du système d’information, il doit faire l’objet de mesures de sécurité et de contrôle qui tiennent compte de tous les besoins d’accès des clients, des partenaires et du personnel de l’entreprise (accès à distance, communication avec des tiers, commerce et transactions électroniques, etc.).
Principe
s’assurer de la fiabilité, de l’intégrité et de la disponibilité du réseau de télécommunications :
-mettre en place des procédures de contrôle et des mécanismes de sécurité;
-installer des outils de protection adaptés pour sécuriser systèmes d’exploitation et applications.
Thème 6-Vérifier la conformité :
La vérification de la conformité consiste à s’assurer :
– du respect des lois et des réglementations;
– de la conformité des procédures de sécurité en place;
– de l’efficacité des dispositifs de suivi (journaux, enregistrements de transactions,..).