La sécurité informatique en mode projet
Organisez la sécurité du SI de votre entreprise
2e édition
Préface
Préambule
Chapitre 1
Qu'est-ce qu'un projet en sécurité informatique ?
1. Introduction13
2. Les différentes populations d'une Direction des Systèmes d'information14
3. Le chef de projet en sécurité informatique16
4. La compétence chef de projet19
4.1 La gestion des risques19
4.2 L'organisation de l'information20
4.2.1 La prise de notes21
4.2.2 L'accès constant aux informations22
4.2.3 La gestion et le suivi des tâches25
4.3 Dernière compétence clé32
5. La compétence responsable système d'information34
5.1 La connaissance du parc informatique34
5.2 La connaissance des applicatifs35
6. La compétence responsable de la sécurité des systèmes d'information36
6.1 La sensibilisation37
6.2 Les quatre composants principaux du métier de RSSI et les compétences clés associées39
6.2.1 La sécurité organisationnelle39
6.2.2 La sécurité pédagogique40
6.2.3 La sécurité juridique41
6.2.4 La sécurité technique43
7. Résumé44
Chapitre 2
Qu'est-ce qu'un système d'information ?
1. Généralités45
2. Où croise-t-on le « système d'information » ?48
2.1 Le SI dans les moyennes entreprises et plus48
2.1.1 Taille/temps48
2.1.2 Conscience technologique49
2.2 Le système d'information sur le marché de l'emploi50
2.2.1 Le recrutement classique50
2.2.2 Recruter un consultant51
2.2.3 Gardez à l'esprit52
2.3 Le système d'information dans les livres53
3. Les acteurs du système d'information54
3.1 La Direction des SI et le management au sens large55
3.2 Support opérationnel56
3.3 Les centres d'appel57
4. Les composantes « métier » du système d'information58
4.1 Définition58
4.2 Exemples de composantes59
4.2.1 GRH59
4.2.2 GRC ou CRM59
4.2.3 SCM59
5. Point d'étape intermédiaire60
5.1 Compréhension du positionnement d'un chef de projet sécurité dans l'entreprise60
5.2 Le numérique arrive au foyer, incompréhensions61
5.3 L'affaire de tous63
6. Informatique, vue spécifique63
6.1 Naissance de l'informatique d'entreprise63
6.2 Développement informatique de l'entreprise64
6.3 Intégration dans l'entreprise67
7. La montée croissante dans l'entreprise68
7.1 Multiplication des couches68
7.2 Organisation des couches69
7.3 Management des couches70
7.4 Conclusion : la partie émergée de l'iceberg73
8. Système d'information, vue globale74
8.1 Le système nerveux central de l'entreprise74
8.2 Nécessité de pilotage75
8.2.1 Gestion d'un portefeuille de projets75
8.2.2 Anticipation et Direction76
8.2.3 Susciter la collaboration entre les acteurs du SI78
8.3 Particularité de la sécurité du SI79
8.3.1 Pourquoi une singularité ?79
8.3.2 Positionnement spécifique81
8.4 Conclusion : niveaux de maturité82
8.4.1 Type 1, résoudre le problème informatique83
8.4.2 Type 2, optimiser les investissements informatiques84
8.4.3 Type 3, transformer les entreprises à l'aide du système d'information85
9. Conclusion86
9.1 Définition d'aujourd'hui86
9.2 Et déjà demain87
Chapitre 3
Qu'est-ce que la sécurité ?
1. De la sécurité d'hier89
2. ... à la sécurité d'aujourd'hui90
3. Les enjeux de la sécurité91
4. La sécurité de l'information93
5. La boîte à outils sécurité pour les collaborateurs95
5.1 Le comportement et l'éducation96
5.2 Les mots de passe et leur gestion98
5.2.1 L'authentification simple98
5.2.2 L'authentification forte104
5.2.3 La biométrie de confort110
5.3 Les mises à jour logicielles111
5.4 La sauvegarde automatique et la restauration en toute autonomie113
5.5 Conclusions sur la boîte à outils sécurité du collaborateur113
6. Le domaine d'application de la SSI114
6.1 La communication dans l'entreprise117
6.1.1 La Direction Générale117
6.1.2 Le middle management119
6.1.3 Les équipes opérationnelles120
6.1.4 Synthèse de la communication dans l'entreprise121
6.2 Synthèse du domaine d'application de la SSI121
7. Les normes122
7.1 Définition122
7.2 Les normes certifiantes en sécurité informatique123
7.2.1 ISO 27001124
7.2.2 ISO 27002125
7.2.3 Le fonctionnement d'une certification ISO 27001126
7.2.4 SAS 70127
7.3 Les certifications personnelles127
8. Les outils méthodologiques128
8.1 EBIOS128
8.2 MEHARI129
8.3 Les logiciels d'aide à la mise en place des méthodologies sécurité129
9. Les différentes conformités129
9.1 La conformité réglementaire129
9.2 La conformité légale131
9.2.1 La Loi de Programmation Militaire (LPM)131
9.2.2 Le Règlement Général sur la Protection des Données (RGPD)132
10. L'organisation des politiques, règles et procédures de sécurité dans l'entreprise134
10.1 La Politique de Sécurité du Système d'information (PSSI)137
10.2 La charte informatique138
10.3 Les Politiques Thématiques (PTH)140
11. Les Procédures Techniques de Réalisation (PTR)144
12. Les règles, les guides et les procédures146
12.1 Les règles146
12.2 Les guides147
12.3 Les procédures148
12.4 Les règles groupes148
12.4.1 L'objectif148
12.4.2 La politique149
12.4.3 Les responsabilités149
12.5 Les systèmes d'exploitation150
12.5.1 UNIX150
12.5.2 Windows postes de travail151
12.5.3 Windows Server156
12.5.4 Les bonnes pratiques usuelles158
12.6 Les procédures fonctionnelles160
12.6.1 La sécurité des ordinateurs portables161
12.6.2 Les communications électroniques162
13. Conclusion165
Chapitre 4
Prérequis : un peu d'organisation numérique
1. Introduction167
2. La nomenclature des documents168
2.1 Types de documents168
2.2 La gestion des versions169
2.3 Le référencement des documents169
2.4 La page de garde170
3. La gestion du partage et de la sauvegarde des documents172
3.1 G suite by Google Cloud173
3.1.1 Google Docs174
3.1.2 Google Sites179
3.2 Dropbox181
3.2.1 La synchronisation des fichiers182
3.2.2 L'accès aux fichiers dans toutes les conditions184
3.2.3 Un endroit unique de stockage et de partage des fichiers186
3.2.4 Une sauvegarde automatique des fichiers187
4. Synthèse188
Chapitre 5
Introduction à la gestion de projet
1. Introduction189
2. Contexte190
3. Qu'est-ce qu'un projet ?191
3.1 Les objectifs réels d'un projet193
3.2 Le niveau de détail du découpage des tâches d'un projet194
3.3 Les quatre composantes d'un projet195
3.4 Le ou les objectifs du projet195
3.5 Le budget196
3.6 La durée196
3.7 Le périmètre196
3.8 Les acteurs du projet197
3.8.1 Le maître d'ouvrage (MOA)197
3.8.2 Le sponsor197
3.8.3 L'équipe projet198
3.8.4 Le maître d'oeuvre (M.O.E.) ou chef de projet198
3.8.5 Synthèse des liens entre les différents acteurs d'un projet200
3.9 Les composantes du projet201
3.10 Le cycle de vie du projet205
3.11 Vue globale d'un projet207
4. Document préalable : la lettre de mission209
4.1 Le nom de code du projet209
4.2 Contenu de la lettre de mission210
5. Étape 1 : la préparation de projet212
5.1 Le cahier des charges212
5.2 Le plan de maîtrise du projet217
5.2.1 Contenu d'un plan de maîtrise du projet218
5.2.2 Le PMP c'est bien mais224
5.3 Le document de cartographie des risques224
5.3.1 Rappel de ce qu'est un risque225
5.3.2 Création de la liste des risques225
5.3.3 Classement et organisation des risques226
5.3.4 Gestion des risques identifiés228
5.3.5 Communication par les risques230
5.4 Le planning prévisionnel230
5.5 Préparation de la logistique et installation de l'équipe231
5.6 Synthèse des livrables et de l'étape232
5.7 Jalon de l'étape : « réunion de lancement » ou « kick off »232
6. Étape 2 : élaboration de la solution233
6.1 La conception générale et détaillée234
6.2 Les actions en parallèle234
6.2.1 Le plan de démarrage de secours235
6.2.2 Le plan de conduite du changement235
6.2.3 Initialisation des scénarios de test235
6.3 Jalon de l'étape « revue de fin de conception »236
6.4 Synthèse des livrables et de l'étape236
6.5 Jalon : la « validation »237
7. Étape 3 : déploiement de la solution237
7.1 La réalisation237
7.2 Les tests unitaires238
7.3 Approvisionnement238
7.4 Rédaction des scénarios de test238
7.4.1 Les scénarios de test238
7.4.2 La fiche de test239
7.5 La formation239
7.5.1 Le plan de formation240
7.5.2 La fiche d'évaluation du transfert des compétences240
7.6 Transfert des compétences241
7.6.1 Le plan de transfert des compétences241
7.6.2 La fiche d'évaluation du transfert des compétences242
7.7 Les tests d'intégration242
7.8 Les tests de non-régression242
7.9 Synthèse des livrables et de l'étape243
7.10 Jalon : la « revue de fin de construction »243
8. Étape 4 : validation pré-opérationnelle244
8.1 La recette pré-opérationnelle244
8.2 Le plan de formation245
8.3 Le plan de démarrage de secours245
8.4 Synthèse des livrables de l'étape245
8.5 Jalon : « Go / No Go »246
9. Étape 5 : démarrage opérationnel et stabilisation246
9.1 Mise en exploitation247
9.2 Mise à jour de la documentation247
9.3 La stabilisation247
9.4 Synthèse des livrables248
9.5 Jalon « passage en maintenance »249
10. Étape 6 : clôture du projet et passage en MCO249
10.1 La revue de fin de projet249
10.2 Clôture et passage en Maintenance en Conditions Opérationnelles ou MCO250
10.2.1 Synthèse des livrables250
10.2.2 Jalon 6 : clôture251
11. Conclusion251
Chapitre 6
Les spécificités de projets sécurité
1. Introduction253
2. Les bons réflexes à appliquer254
2.1 Les principes directeurs254
2.2 Durant la « préparation de projet »255
2.3 Quelques spécificités dans le cadre d'une prestation externalisée255
2.4 Durant « l'élaboration de la solution »257
2.5 Durant « le déploiement de la solution »258
2.6 Durant « la validation pré-opérationnelle »259
2.7 Durant « le démarrage opérationnel et la stabilisation »259
2.8 Durant « la clôture et le passage en MCO »259
3. Quelques exemples de projets sécurité et leurs spécificités260
3.1 Déploiement antivirus260
3.2 Sauvegardes et restaurations263
3.3 Chiffrer des postes de travail273
3.4 Procédures d'entrée, mutation et sortie des collaborateurs275
3.5 La revue des habilitations d'accès sur les postes de travail278
3.6 La mise en place d'une charte informatique281
3.7 Le Plan de Reprise d'Activité284
3.8 La révision du système de fichiers288
3.8.1 Mise oeuvre de l'arborescence290
3.8.2 Vue technique simplifiée292
3.8.3 Permissions de partage294
3.8.4 Création des groupes locaux294
3.8.5 Création des Groupes Globaux295
3.8.6 Légitimer une demande d'accès utilisateur297
3.8.7 Risques identifiés297
4. Des difficultés propres à chaque secteur d'activité299
4.1 L'exemple du secteur de l'édition logicielle299
4.2 L'exemple du secteur industriel301
5. Conclusion306
Conclusion307
Index309