Cadoles
/
formations
18
0
Fork 0
Code Issues Pull Requests Releases Wiki Activity

CESII: Slides formation sécurité entreprise

This commit is contained in:
wpetit 2017-12-11 14:06:38 +01:00 committed by Benjamin Bohard
parent e65a11ae3b
commit 21fa68542c
3 changed files with 226 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

220
securite_entreprise/presentation/securite_informatique_intro.md Normal file
View File

@ -0,0 +1,220 @@
# La sécurité informatique en entreprise
## Tour d'horizon
William Petit - S.C.O.P. Cadoles - 2017
---
<!-- page_number: true -->
# Qu'est ce que la sécurité ?
## Menaces, vulnérabilités et contre-mesures
---
<!-- page_number: true -->
## Menace
> Cause potentielle d'un incident, pouvant causer des dommages à un système ou une organisation.
>
> -- <cite>Définition (traduite) de "menace" dans le standard ISO/IEC 27000</cite>
Source: [ISO/IEC 27000 - Wikipédia](https://en.wikipedia.org/wiki/ISO/IEC_27000)
---
<!-- page_number: true -->
## Vulnérabilité
> Faiblesse d'un "bien" ou d'un "contrôle" pouvant être exploité par une ou plusieurs "menaces".
>
> -- <cite>Définition (traduite) de "vulnérabilité" dans le standard ISO/IEC 27000</cite>
Source: [ISO/IEC 27000 - Wikipédia](https://en.wikipedia.org/wiki/ISO/IEC_27000)
---
<!-- page_number: true -->
## Contre-mesure
> Faiblesse d'un "bien" ou d'un "contrôle" pouvant être exploité par une ou plusieurs "menaces".
>
> -- <cite>Définition (traduite) de "vulnérabilité" dans le standard ISO/IEC 27000</cite>
Source: [ISO/IEC 27000 - Wikipédia](https://en.wikipedia.org/wiki/ISO/IEC_27000)
---
<!-- page_number: true -->
# Responsabilité légale
## Responsabilité et peines pour l'attaquant
## Responsabilité et peines pour l'entreprise
---
<!-- page_number: true -->
## Responsabilité et peines pour l'attaquant
> Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de **deux ans d'emprisonnement et de 60 000 € d'amende**.
> [...]
> Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à **cinq ans d'emprisonnement et à 150 000 € d'amende**.
>
> -- <cite>Extrait de l'article 323-1 du Code Pénal</cite>
Source: [Légifrance](https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719)
---
<!-- page_number: true -->
## Responsabilité et peines pour l'entreprise
### Qu'est ce qu'une "donnée personnelle" ?
> Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être **identifiée, directement ou indirectement**, notamment par **référence à un identifiant**, tel qu'un **nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale**
>
> -- <cite>Extrait de l'article 4 du RGPD</cite>
Source: [CNIL](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4)
---
<!-- page_number: true -->
## Responsabilité et peines pour l'entreprise
### Réponsabilité au niveau national
> Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
>
> -- <cite>Article 34 de la loi n° 78-17 du 6 janvier 1978</cite>
Source: [Légifrance](https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528131&dateTexte=&categorieLien=cid)
---
<!-- page_number: true -->
### Réponsabilité au niveau européen
> [..] le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
>
> -- <cite>Extrait de l'article 17 de la directive européenne 95/46/CE du 24 octobre 1995</cite>
Source: [EURLex](http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX%3A31995L0046%3AFR%3AHTML)
---
<!-- page_number: true -->
### Peines au niveau national
> Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de **cinq ans d'emprisonnement et de 300 000 euros d'amende**.
>
> -- <cite>Article 226-17 du Code Pénal</cite>
Source: [Légifrance](https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417964&cidTexte=LEGITEXT000006070719)
---
<!-- page_number: true -->
# Objectifs de la sécurité informatique
## Maintenir l'intégrité des données
## S'assurer du niveaux d'authentification et d'autorisation
## Maintenir la disponibilité des services
## Assurer la traçabilité des échanges
## Éviter la fuite d'informations
---
<!-- page_number: true -->
## Maintenir l'intégrité des données
---
<!-- page_number: true -->
## S'assurer du niveaux d'authentification et d'autorisation
---
<!-- page_number: true -->
## Maintenir la disponibilité des services
---
<!-- page_number: true -->
## Assurer la traçabilité des échanges
---
<!-- page_number: true -->
## Éviter la fuite d'informations
---
<!-- page_number: true -->
# Une politique de sécurité, plusieurs niveaux d'application
### Identifier les différents contextes et leurs spécificités
### La nécessité de la démarche globale et l'intégration du facteur humain
### Un processus continue avec une réévaluation constante
---
<!-- page_number: true -->
## Identifier les différents contextes et leurs spécificités
### Le lieu de travail
### Le poste de travail
### L'intranet
### L'extranet
### L'utilisateur
---
<!-- page_number: true -->
## Le lieu de travail
---
<!-- page_number: true -->
## Le poste de travail
---
<!-- page_number: true -->
## L'intranet
---
<!-- page_number: true -->
## L'extranet
---
<!-- page_number: true -->
## L'utilisateur
---
<!-- page_number: true -->
## La nécessité de la démarche globale et l'intégration du facteur humain
### Les chartes d'utilisation
### La formation continue des salariés
### L'identification des référents sur la sécurité
---
<!-- page_number: true -->
## Un processus continue avec une réévaluation constante
---
<!-- page_number: true -->
# La démarche d'audit
### Travaux pré-intervention
### Intervention
### Analyse des données
### Debriefing
---
<!-- page_number: true -->
## Travaux pré-intervention
---
<!-- page_number: true -->
## Intervention
---
<!-- page_number: true -->
## Analyse des données
---
<!-- page_number: true -->
## Debriefing
---
<!-- page_number: true -->
# Travaux pratiques
---

BIN
securite_entreprise/ressources/Fiche de préparation GMSI B3 - Sécurité informatique.doc Normal file
View File

Binary file not shown.

6
securite_entreprise/ressources/notes.md Normal file
View File

@ -0,0 +1,6 @@
# Notes de préparation
- [Sécurité informatique - Responsabilité légale des entreprises](https://www.jurisexpert.net/quelle_responsabilit_en_mati_re_de_s_cur/)
- [Article 323-1 du Code Pénal - Peines pour l'attaquant ](https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719)
- [Loi n° 78-17 du 6 janvier 1978 - Responsabilité de l'entreprise](https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528131&dateTexte=&categorieLien=cid)