Intervention service conseil
Cycle de vie de la sécurité
Figure 1. Modèle - Plan, Do, Check, Act (PDCA)
GASTI propose une démarche d'élaboration du Plan directeur de la sécurité de l’information (PDSI) structurée en cinq grandes phases :
- Rédaction de la politique de sécurité de l'information
Rédaction de la politique de sécurité de l’information : définition de la vision, des principes directeurs et des objectifs à haut niveau de l’organisation en matière de sécurité de l’information. - Inventaire et catégorisation des actifs informationnels
Inventaire et catégorisation des actifs informationnels : cette étape permet de dresser l’inventaire de tous les actifs informationnels de l’organisation et de les catégoriser. Elle est réalisée en dehors de la production du PDSI auquel elle sert d’intrant. - État de la situation actuelle
État de la situation actuelle : cette étape consiste à identifier les risques et les contrôles pertinents mis en place par l’organisation pour mitiger les risques en matière de sécurité pour chacun des actifs critiques identifiés. - Analyse de risque
Analyse de risque : une analyste de risque est faite à partir d’un choix de scénarios représentatifs de la réalité de l’organisation et de l’état de la situation actuelle. - Plan directeur de sécurité
Plan directeur de sécurité : consignation des éléments précédents et rédaction du plan d’action établi par rapport aux considérations stratégiques et opérationnelles.
Services offerts
- Rédaction et révision de la politique de sécurité
- Formation
- Priorisation assistée des interventions
- Identification des risques
- Identification des contrôles en place
- Analyse de risques
- Rédaction des rapports
Livrables
- Politique de sécurité
- Directives de sécurité
- Avis de sécurité
- Documents de formation
- Formulaires et gabarits vierges
- Fiche globale d’inventaire et de catégorisation
- Matrice de catégorisation
- Liste catégorisée des contrôles pertinents
- Synthèse de l’évaluation des contrôles
- Rapport d’état de la situation actuelle
- Fiches de scénarios de risques
- Pistes de solutions
- Priorisation et plan d’action
- PDSI
Afin d’accompagner les organisations et de se conformer a différents exigences en matière de protection et de gestion de l’information, GASTI met à profit son expertise et sa connaissance du secteur gouvernemental, privé et de la santé et des services sociaux pour coordonner les efforts de tous les acteurs de l’organisation au sein d’une méthodologie outillée qui s’articule autour des étapes suivantes :
- Planification et organisation du projet (échéancier, activités, comités requis).
- Présentation et mise en contexte des concepts et des exigences.
- Adaptation de la méthodologie d’intervention au contexte.
- Collecte et traitement des données, grâce à des outils adaptés au contexte (tailles, budgets et RH différents, niveau d’avancement différent en matière de gestion de la sécurité).
- Accompagnement dans la réalisation de l’inventaire, de la catégorisation et du rapport de catégorisation des actifs informationnels.
GASTI propose, ultérieurement, de réaliser une analyse de situation dans un plan directeur de sécurité de l’information (identification et analyse des risques et des mesures de contrôle).
Services offerts
- Transfert de connaissances
- Gestion de projet
- Collecte assistée
- Analyse des données
- Préparation de rapports
- Accompagnement
Livrables
- Données brutes collectées
- Données compilées
- Analyse des données
- Rapport de catégorisation des actifs
- Registre d’autorité
Rédaction d’architectures de sécurité, en tenant compte des (4) processus à dimensions juridique, humaine, organisationnelle et technologique
- Conseiller et appuyer les équipes dans la définition des objectifs, des enjeux et de la portée de leurs projets.
- Réaliser des analyses préliminaires et d’impact, participer à l’élaboration de positionnements et d’orientations.
- Guider les analystes en sécurité et appuyer les équipes projet en phase de réalisation.
- Participer à la sensibilisation des employés et à la diffusion du cadre normatif, des outils et des approches.
- Faire les recommandations d’acquisition, de développement de systèmes ou de solutions et prendre la responsabilité de l’évolution de certains d’entre eux.
Élaboration de plan de relève informatique (PRI)
- Effectuer une analyse de risques et les impacts.
- Évaluation des risques.
- Identification des systèmes d’information critiques.
- Établir les objectifs de continuité de services.
- Définir les priorités de reprise technologique.
- Inventaire des actifs et des interrelations.
- Déterminer les rôles et responsabilités.
- Déterminer les besoins en ressources (humaines et financières).
- Déterminer les solutions d’approvisionnement.
- Déterminer les actions à mettre en œuvre.
- Stratégies de relève.
Élaboration d’un plan de continuité des affaires (PCA)
- De dresser la liste des activités et des ressources critiques d’une entreprise.
- De déterminer les risques pouvant nuire à ces activités et leurs conséquences potentielles.
- De mettre en place des stratégies, des pistes de réponse et des plans appropriés.
- De répondre de façon sécuritaire et efficace à des incidents (mineurs ou majeurs).
- D’exercer la capacité de réagir aux incidents, de maintenir à jour les stratégies et les plans et de les passer en revue afin d’en assurer la pertinence.
Audit de sécurité selon la norme ISO 27002
- Identifier les processus TI à risques dans l'organisation.
- Planifier des mandats d'audit de sécurité.
- Réaliser des mandats d'audit de sécurité.
- Utiliser des modèles, des référentiels et des outils connus.
- Présenter et expliquer les résultats de l'audit.
- Agir en conformité avec les principes d’éthique et les règles déontologiques de l’audit interne.
Test d’ingénierie sociale
- Stratégies, procédures et sensibilisation
Les règles écrites que vous développez pour gérer tous les domaines de sécurité et le programme d'éducation que vous mettez en place pour vous assurer que les membres du personnel connaissent, comprennent et implémentent ces règles. - Sécurité physique
Les protections qui gèrent l'accès à votre site et vos ressources. Il est important de se rappeler que si vous placez les conteneurs de déchets à l'extérieur de l'entreprise, par exemple, ils se trouvent hors de la sécurité physique de celle-ci. - Données
Les informations de l'entreprise, les détails de compte, le courrier électronique, etc. Lorsque vous analysez les menaces d'ingénierie sociale, vous devez inclure les copies papier et électroniques dans votre planification de sécurité des données. - Application
Les programmes exécutés par vos utilisateurs. Vous devez expliquer comment les pirates par ingénierie sociale peuvent corrompre les applications, telles que la messagerie électronique ou instantanée. - Hôte
Les serveurs et les ordinateurs clients utilisés au sein de votre organisation. Pensez à protéger les utilisateurs contre les attaques directes visant ces ordinateurs en définissant des instructions strictes sur les logiciels à utiliser sur les ordinateurs professionnels et la façon de gérer les dispositifs de sécurité tels que les ID utilisateur et les mots de passe. - Réseau interne
Le réseau via lequel votre système informatique communique. Il peut s'agir d'un réseau local, sans fil ou étendu (WAN). Le réseau interne est devenu moins « interne » au cours des dernières années, à mesure que le travail à domicile et le travail mobile ont augmenté. Ainsi, vous devez vous assurer que les utilisateurs comprennent ce qu'ils doivent faire pour travailler en toute sécurité dans tous les environnements réseau. -
Périmètre
Le point de contact entre vos réseaux internes et externes, tels qu'Internet ou les réseaux de vos partenaires commerciaux, peut-être dans le cadre d'un extranet. Les attaques par ingénierie sociale tentent souvent de violer le périmètre pour lancer des attaques contre vos données, applications et hôtes de votre réseau interne.
Figure 2. Modèle de sécurité de défense renforcée
Lors de la conception de vos défenses, le modèle de sécurité de défense renforcée vous permet de visualiser les domaines de votre entreprise qui sont vulnérables aux menaces. Ce modèle n'est pas spécifique aux menaces d'ingénierie sociale, mais chacune des couches doit être protégée.
Les principales défenses du modèle sont les stratégies de sécurité, les procédures et la sensibilisation. Ces défenses ciblent le personnel de l'organisation, expliquant ce qu'il faut faire, quand, pourquoi et par qui cela doit être fait. Les couches restantes peuvent optimiser vos défenses, mais la protection essentielle vient d'un ensemble de règles bien structurées et bien déterminées qui protègent votre environnement informatique.
GASTI peut vous aidez dans cette démarche.
Formation sur la sensibilité à la sécurité de l’information pour le personnel
- Décrire et comprendre le rôle de l’utilisateur dans le maintien de la sécurité de l’information.
- Reconnaître les politiques permettant la création d’un environnement de travail sécurisé.
- Reconnaître les politiques relatives aux utilisateurs distants.
- Protéger les équipements de bureau et les périphériques mobiles contre les menaces.