La sécurité informatique en mode projet Organisez la sécurité du SI de votre entreprise (2e édition)

Préface d'Éric SALLOU - Expert Cyber Sécurité - Gérant de la société DAALA Ce livre sur la sécurité informatique est destiné autant à l'informaticien opérationnel qu'au chef de projet, au responsable IT ou au RSSI nouvellement nommé qui cherche à donner une impulsion à son département ou qui a hérité d'un projet en sécurité informatique (Plan de...

Consulter des extraits du livre en ligne Aperçu du livre papier

Niveau Initié à Confirmé
Nombre de pages 318 pages
Parution mars 2017

Niveau Initié à Confirmé
Parution mars 2017

Présentation

Préface d'Éric SALLOU - Expert Cyber Sécurité - Gérant de la société DAALA

Ce livre sur la sécurité informatique est destiné autant à l'informaticien opérationnel qu'au chef de projet, au responsable IT ou au RSSI nouvellement nommé qui cherche à donner une impulsion à son département ou qui a hérité d'un projet en sécurité informatique (Plan de Reprise d'Activité, déploiement d'un antivirus, gestion du cycle de vie d'un collaborateur dans l'entreprise, chiffrement d'une flotte d'ordinateurs portables, etc.). L'informatique est le système nerveux central des entreprises ; une panne, un manque de réactivité, une indisponibilité, une perte d'informations affectent considérablement leur mécanisme. La gestion de la sécurité de l'information autrefois réservée aux grandes entreprises ou aux PME matures, s'étend à toutes les structures, quels que soient leur taille et leur domaine d'activité.

Pour rendre la mise en œuvre de la sécurité accessible au plus grand nombre et notamment aux PME/PMI et TPE, les auteurs détaillent dans ce livre une méthode de gestion de projet qu'ils ont simplifiée et optimisée pour l'adapter à tout projet lié à la protection de leurs informations (gestion des mots de passe, des habilitations d'accès, sauvegardes automatiques et restaurations, déploiement d'un antivirus, chiffrement des postes, cycle de vie d'un collaborateur, révision du système de fichiers, approche d'un Plan de Reprise d'Activité, normes de sécurité et certifications, charte informatique, guides, règles et procédures, etc.).

Pour chaque type de projet lié à la sécurité, le lecteur apprend à définir précisément le projet, à identifier ses points-clefs (quels sont les intervenants ? les livrables ? les risques ? le coût ?) et à préciser les spécificités liées à la sécurité. Riche de retours d'expérience et de bonnes pratiques, ce livre se veut pragmatique et permettra au lecteur d'appréhender les difficultés les plus courantes ainsi que d'anticiper et d'éviter les pièges fréquents et habituels rencontrés durant la gestion de ce type de projet.

Les chapitres du livre :
Préambule – Préface – Qu'est-ce qu'un projet en sécurité informatique ? – Qu'est-ce qu'un système d'information ? – Qu'est-ce que la sécurité ? – Prérequis : un peu d'organisation numérique – Introduction à la gestion de projet – Les spécificités des projets sécurité

Téléchargements

Des fichiers complémentaires (77,7 Ko)

Table des matières

Qu’est-ce qu’un projet en sécurité informatique ?

1. Introduction
2. Les différentes populations d'une Direction des Systèmes d'Information
3. Le chef de projet en sécurité informatique
4. La compétence chef de projet
1. 4.1 La gestion des risques
2. 4.2 L’organisation de l’information
  1. 4.2.1 La prise de notes
  2. 4.2.2 L’accès constant aux informations
  3. 4.2.3 La gestion et le suivi des tâches
3. 4.3 Dernière compétence clé
5. La compétence responsable système d’information
1. 5.1 La connaissance du parc informatique
2. 5.2 La connaissance des applicatifs
6. La compétence responsable de la sécurité des systèmes d’information
1. 6.1 La sensibilisation
2. 6.2 Les quatre composants principaux du métier de RSSI et les compétences clés associées
  1. 6.2.1 La sécurité organisationnelle
  2. 6.2.2 La sécurité pédagogique
  3. 6.2.3 La sécurité juridique
  4. 6.2.4 La sécurité technique
7. Résumé

Qu'est-ce qu'un système d'information ?

1. Généralités
2. Où croise-t-on le "système d’information" ?
1. 2.1 Le SI dans les moyennes entreprises et plus
  1. 2.1.1 Taille/temps
  2. 2.1.2 Conscience technologique
2. 2.2 Le système d’information sur le marché de l’emploi
  1. 2.2.1 Le recrutement classique
  2. 2.2.2 Recruter un consultant
  3. 2.2.3 Gardez à l’esprit
3. 2.3 Le système d’information dans les livres
3. Les acteurs du système d’information
1. 3.1 La Direction des SI et le management au sens large
2. 3.2 Support opérationnel
3. 3.3 Les centres d'appel
4. Les composantes "métier" du système d’information
1. 4.1 Définition
2. 4.2 Exemples de composantes
  1. 4.2.1 GRH
  2. 4.2.2 GRC ou CRM
  3. 4.2.3 SCM
5. Point d’étape intermédiaire
1. 5.1 Compréhension du positionnement d’un chef de projet sécurité dans l'entreprise
2. 5.2 Le numérique arrive au foyer, incompréhensions
3. 5.3 L'affaire de tous
6. Informatique, vue spécifique
1. 6.1 Naissance de l'informatique d'entreprise
2. 6.2 Développement informatique de l'entreprise
3. 6.3 Intégration dans l'entreprise
7. La montée croissante dans l'entreprise
1. 7.1 Multiplication des couches
2. 7.2 Organisation des couches
3. 7.3 Management des couches
4. 7.4 Conclusion : la partie émergée de l'iceberg
8. Système d'information, vue globale
1. 8.1 Le système nerveux central de l'entreprise
2. 8.2 Nécessité de pilotage
  1. 8.2.1 Gestion d'un portefeuille de projets
  2. 8.2.2 Anticipation et Direction
  3. 8.2.3 Susciter la collaboration entre les acteurs du SI
3. 8.3 Particularité de la sécurité du SI
  1. 8.3.1 Pourquoi une singularité ?
  2. 8.3.2 Positionnement spécifique
4. 8.4 Conclusion : niveaux de maturité
  1. 8.4.1 Type 1, résoudre le problème informatique
  2. 8.4.2 Type 2, optimiser les investissements informatiques
  3. 8.4.3 Type 3, transformer les entreprises à l’aide du système d’information
9. Conclusion
1. 9.1 Définition d'aujourd'hui
2. 9.2 Et déjà demain

Qu'est-ce que la sécurité ?

1. De la sécurité d'hier...
2. ... à la sécurité d'aujourd'hui
3. Les enjeux de la sécurité
4. La sécurité de l'information
5. La boîte à outils sécurité pour les collaborateurs
1. 5.1 Le comportement et l’éducation
2. 5.2 Les mots de passe et leur gestion
  1. 5.2.1 L’authentification simple
  2. 5.2.2 L’authentification forte
  3. 5.2.3 La biométrie de confort
3. 5.3 Les mises à jour logicielles
4. 5.4 La sauvegarde automatique et la restauration en toute autonomie
5. 5.5 Conclusions sur la boîte à outils sécurité du collaborateur
6. Le domaine d'application de la SSI
1. 6.1 La communication dans l’entreprise
  1. 6.1.1 La Direction Générale
  2. 6.1.2 Le middle management
  3. 6.1.3 Les équipes opérationnelles
  4. 6.1.4 Synthèse de la communication dans l’entreprise
2. 6.2 Synthèse du domaine d’application de la SSI
7. Les normes
1. 7.1 Définition
2. 7.2 Les normes certifiantes en sécurité informatique
  1. 7.2.1 ISO 27001
  2. 7.2.2 ISO 27002
  3. 7.2.3 Le fonctionnement d'une certification ISO 27001
  4. 7.2.4 SAS 70
3. 7.3 Les certifications personnelles
8. Les outils méthodologiques
1. 8.1 EBIOS
2. 8.2 MEHARI
3. 8.3 Les logiciels d’aide à la mise en place des méthodologies sécurité
9. Les différentes conformités
1. 9.1 La conformité réglementaire
2. 9.2 La conformité légale
  1. 9.2.1 La Loi de Programmation Militaire (LPM)
  2. 9.2.2 Le Règlement Général sur la Protection des Données (RGPD)
10. L'organisation des politiques, règles et procédures de sécurité dans l'entreprise
1. 10.1 La Politique de Sécurité du Système d'Information (PSSI)
2. 10.2 La charte informatique
3. 10.3 Les Politiques Thématiques (PTH)
11. Les Procédures Techniques de Réalisation (PTR)
12. Les règles, les guides et les procédures
1. 12.1 Les règles
2. 12.2 Les guides
3. 12.3 Les procédures
4. 12.4 Les règles groupes
  1. 12.4.1 L’objectif
  2. 12.4.2 La politique
  3. 12.4.3 Les responsabilités
5. 12.5 Les systèmes d’exploitation
  1. 12.5.1 UNIX
  2. 12.5.2 Windows postes de travail
  3. 12.5.3 Windows Server
  4. 12.5.4 Les bonnes pratiques usuelles
6. 12.6 Les procédures fonctionnelles
  1. 12.6.1 La sécurité des ordinateurs portables
  2. 12.6.2 Les communications électroniques
13. Conclusion

Prérequis : un peu d’organisation numérique

1. Introduction
2. La nomenclature des documents
1. 2.1 Types de documents
2. 2.2 La gestion des versions
3. 2.3 Le référencement des documents
4. 2.4 La page de garde
3. La gestion du partage et de la sauvegarde des documents
1. 3.1 G suite by Google Cloud
  1. 3.1.1 Google Docs
  2. 3.1.2 Google Sites
2. 3.2 Dropbox
  1. 3.2.1 La synchronisation des fichiers
  2. 3.2.2 L’accès aux fichiers dans toutes les conditions
  3. 3.2.3 Un endroit unique de stockage et de partage des fichiers
  4. 3.2.4 Une sauvegarde automatique des fichiers
4. Synthèse

Introduction à la gestion de projet

1. Introduction
2. Contexte
3. Qu’est-ce qu’un projet ?
1. 3.1 Les objectifs réels d’un projet
2. 3.2 Le niveau de détail du découpage des tâches d’un projet
3. 3.3 Les quatre composantes d’un projet
4. 3.4 Le ou les objectifs du projet
5. 3.5 Le budget
6. 3.6 La durée
7. 3.7 Le périmètre
8. 3.8 Les acteurs du projet
  1. 3.8.1 Le maître d’ouvrage (MOA)
  2. 3.8.2 Le sponsor
  3. 3.8.3 L’équipe projet
  4. 3.8.4 Le maître d’œuvre (M.O.E.) ou chef de projet
  5. 3.8.5 Synthèse des liens entre les différents acteurs d’un projet
9. 3.9 Les composantes du projet
10. 3.10 Le cycle de vie du projet
11. 3.11 Vue globale d’un projet
4. Document préalable : la lettre de mission
1. 4.1 Le nom de code du projet
2. 4.2 Contenu de la lettre de mission
5. Étape 1 : la préparation de projet
1. 5.1 Le cahier des charges
2. 5.2 Le plan de maîtrise du projet
  1. 5.2.1 Contenu d’un plan de maîtrise du projet
  2. 5.2.2 Le PMP c’est bien mais...
3. 5.3 Le document de cartographie des risques
  1. 5.3.1 Rappel de ce qu’est un risque
  2. 5.3.2 Création de la liste des risques
  3. 5.3.3 Classement et organisation des risques
  4. 5.3.4 Gestion des risques identifiés
  5. 5.3.5 Communication par les risques
4. 5.4 Le planning prévisionnel
5. 5.5 Préparation de la logistique et installation de l’équipe
6. 5.6 Synthèse des livrables et de l’étape
7. 5.7 Jalon de l’étape : "réunion de lancement" ou "kick off"
6. Étape 2 : élaboration de la solution
1. 6.1 La conception générale et détaillée
2. 6.2 Les actions en parallèle
  1. 6.2.1 Le plan de démarrage de secours
  2. 6.2.2 Le plan de conduite du changement
  3. 6.2.3 Initialisation des scénarios de test
3. 6.3 Jalon de l’étape "revue de fin de conception"
4. 6.4 Synthèse des livrables et de l’étape
5. 6.5 Jalon : la "validation"
7. Étape 3 : déploiement de la solution
1. 7.1 La réalisation
2. 7.2 Les tests unitaires
3. 7.3 Approvisionnement
4. 7.4 Rédaction des scénarios de test
  1. 7.4.1 Les scénarios de test
  2. 7.4.2 La fiche de test
5. 7.5 La formation
  1. 7.5.1 Le plan de formation
  2. 7.5.2 La fiche d’évaluation du transfert des compétences
6. 7.6 Transfert des compétences
  1. 7.6.1 Le plan de transfert des compétences
  2. 7.6.2 La fiche d’évaluation du transfert des compétences
7. 7.7 Les tests d’intégration
8. 7.8 Les tests de non-régression
9. 7.9 Synthèse des livrables et de l’étape
10. 7.10 Jalon : la "revue de fin de construction"
8. Étape 4 : validation pré-opérationnelle
1. 8.1 La recette pré-opérationnelle
2. 8.2 Le plan de formation
3. 8.3 Le plan de démarrage de secours
4. 8.4 Synthèse des livrables de l’étape
5. 8.5 Jalon : "Go / No Go"
9. Étape 5 : démarrage opérationnel et stabilisation
1. 9.1 Mise en exploitation
2. 9.2 Mise à jour de la documentation
3. 9.3 La stabilisation
4. 9.4 Synthèse des livrables
5. 9.5 Jalon "passage en maintenance"
10. Étape 6 : clôture du projet et passage en MCO
1. 10.1 La revue de fin de projet
2. 10.2 Clôture et passage en Maintenance en Conditions Opérationnelles ou MCO
  1. 10.2.1 Synthèse des livrables
  2. 10.2.2 Jalon 6 : clôture
11. Conclusion

Les spécificités de projets sécurité

1. Introduction
2. Les bons réflexes à appliquer
1. 2.1 Les principes directeurs
2. 2.2 Durant la "préparation de projet"
3. 2.3 Quelques spécificités dans le cadre d’une prestation externalisée
4. 2.4 Durant "l’élaboration de la solution"
5. 2.5 Durant "le déploiement de la solution"
6. 2.6 Durant "la validation pré-opérationnelle"
7. 2.7 Durant "le démarrage opérationnel et la stabilisation"
8. 2.8 Durant "la clôture et le passage en MCO"
3. Quelques exemples de projets sécurité et leurs spécificités
1. 3.1 Déploiement antivirus
2. 3.2 Sauvegardes et restaurations
3. 3.3 Chiffrer des postes de travail
4. 3.4 Procédures d'entrée, mutation et sortie des collaborateurs
5. 3.5 La revue des habilitations d’accès sur les postes de travail
6. 3.6 La mise en place d’une charte informatique
7. 3.7 Le Plan de Reprise d’Activité
8. 3.8 La révision du système de fichiers
  1. 3.8.1 Mise œuvre de l’arborescence
  2. 3.8.2 Vue technique simplifiée
  3. 3.8.3 Permissions de partage
  4. 3.8.4 Création des groupes locaux
  5. 3.8.5 Création des Groupes Globaux
  6. 3.8.6 Légitimer une demande d’accès utilisateur
  7. 3.8.7 Risques identifiés
4. Des difficultés propres à chaque secteur d'activité
1. 4.1 L’exemple du secteur de l'édition logicielle
2. 4.2 L’exemple du secteur industriel
5. Conclusion

Auteurs

Alexandre PLANCHE

Alexandre PLANCHE possède plus de 15 années d'expérience dédiées à la protection de l'information. Ancien RSSI pour de grands groupes, puis consultant sécurité senior, Alexandre a piloté la création de plusieurs départements sécurité pour des organismes d'importance vitale ou pour leurs filiales. À ce titre, il a su adapter sa démarche de pilotage, d'organisation et de déploiement de la protection de l'information conformément aux exigences réglementaires comme la LPM et l'ISO/CEI 27001.

Jérôme DEL DUCA

Expert en pilotage des Systèmes d'Information, Jérôme DEL DUCA a été ces 15 dernières années Chef de projet puis Responsable des Systèmes d'Information dans l'industrie, la santé et l'édition logicielle. Il est récemment intervenu en tant que consultant expert en sécurité de l'information pour une organisation française de premier plan dans le secteur du numérique, pour le pilotage de projets sécurité pour de grands groupes ou encore dans une entreprise industrielle jusqu'à obtention de la certification ISO27001:2013.