Les 03 éléments clés de la sécurité de l'information sont : la Confidentialité, l'Intégrité, et la Disponibilité.
La Confidentialité concerne la prévention contre le divulgation non autorisée des informations; L'Intégrité concerne les droits de modifier une information sous autorisation préalable; La Disponibilité de l'information doit être effective quand elle est nécessaire.
L' "Information Technology Laboratory" a La "National Institute of Standards and Technology (NIST)" du Département de Commerce des USA recommande 33 principes pour parvenir a la sécurité. ce sont:
Fondation pour le sécurité
Principe 1 : Mettre en place une politique de sécurité comme le «fondement» pour la conception
Principe 2 : Traiter la sécurité en tant que partie intégrante de la conception du système global
Principe 3 : Circonscrire clairement les limites de sécurité physiques et logiques régies par les politiques de sécurité associées
Principe 4 : Veiller à ce que les développeurs soient formés sur la façon de développer un logiciel sécurisé
Risques dans la gestion
Principe 5 : Réduire les risques à un niveau acceptable
Principe 6 : S'assurer que les systèmes externes sont sûrs
Principe 7 : Identifier les possibilités de compromis entre la réduction des risques et des coûts accrus et réduire d'autres aspects de l'efficacité opérationnelle
Principe 8 : Mettre en œuvre des mesures spécialement adaptées de sécurité du système pour atteindre les objectifs de sécurité organisationnelles
Principe 9 : Protéger les informations en cours de traitement, en transit, et dans le stockage
Principe 10 : Considérez produits personnalisés pour atteindre une sécurité adéquate
Principe 11 : Protéger contre toutes les classes d'"attaques"
Facilité d'Utilisation
Principe 12 : Lorsque cela est possible, la sécurité pourra se baser sur des standards ouverts pour la portabilité et l'interopérabilité
Principe 13 : Utiliser un langage commun dans l'élaboration des exigences de sécurité
Principe 14 : Concevoir la sécurité pour permettre l'adoption régulière de nouvelles technologies, y compris un processus de mise à niveau d'une technologie sûre et logique
Principe 15 : S’efforcer pour la facilité d'utilisation opérationnelle
Accroitre la résilience
Principe 16 : Mettre en œuvre une sécurité multicouche (Assurez-vous pas un seul point de vulnérabilité)
Principe 17 : Concevoir et mettre en place un système informatique pour limiter les dégâts et pour être résilients en réponse
Principe 18 : Fournir l'assurance que le système est, et continue d'être, élastique face à des menaces attendues
Principe 19 : Limiter ou contenir les vulnérabilités
Principe 20 : Isoler les systèmes d'accès publics à partir de ressources essentielles à la mission (par exemple, des données, processus, etc)
Principe 21 : Utiliser les mécanismes de limites à des systèmes informatiques distincts et des infrastructures réseau
Principe 22 : Concevoir et mettre en œuvre des mécanismes de vérification afin de détecter toute utilisation non autorisée et à soutenir les enquêtes sur les incidents
Principe 23 : (anciennement 28)Développer et exercer d'urgence les procédures de reprise après sinistre pour assurer la disponibilité appropriée
Réduire les vulnérabilités
Principe 24 : Efforcez-vous dans la simplicité
Principe 25 : Réduire au minimum les éléments du système susceptible d’être attaqués
Principe 26 : Implémenter le principe des privilège
Principe 27 : Ne pas mettre en œuvre des mécanismes de sécurité inutiles
Principe 28 : Assurer la sécurité appropriée à la fermeture ou l'ouverture d'un système
Principe 29 : Identifier et éviter les erreurs communes et les vulnérabilités
Conception du plan de la sécurité
Principe 30 : Mettre en œuvre la sécurité grâce à une combinaison de mesures distribués physiquement et logiquement
Principe 31 : Formuler les mesures de sécurité pour faire face a de multiples domaines d'information qui se chevauchent
Principe 32 : Authentifier les utilisateurs et les processus afin d'assurer des décisions appropriées de contrôle d'accès tant à l'intérieur et entre les domaines
Principe 33 : Utiliser les identités uniques pour garantir la reddition de comptes
10 mars 2012
Computer Security Incident Response Team (CSIRT)
Les Centres de Soutien a la CyberSecurité ou autre appellation de l'unité en version anglaise : CERT: Computer Emergency Response Team, CIRC: Computer Incident Response Capability, CIRT: Computer Incident Response Team, CSIRC: Computer Security Incident Response Capability, CSRC: Computer Security Response Capability, IHT: Incident Handling Team, IRC: Incident Response Center/Incident Response Capability, IRT: Incident Response Team, SERT: Security Emergency Response Team, SIRT: Security Incident Response Team,
ont généralement 03 principales attributions qui sont:
1 - Actions réactives
Alertes et Avertissements
Traitement des incidents
Traitement des vulnérabilité
2 - Actions Proactives
Veille technologique
Audit et Évaluation de la sécurité
Développement d'outils de sécurité
3 - Gestion de la qualité des services de sécurité
Analyse des risques
Plan de continuité des activités
Plan de relèvement a la suite d'un désastre
le schéma ci dessous nous présente les grandes fonctions d'une centre de soutien a la cybersecurité (CSC)
ont généralement 03 principales attributions qui sont:
1 - Actions réactives
Alertes et Avertissements
Traitement des incidents
Traitement des vulnérabilité
2 - Actions Proactives
Veille technologique
Audit et Évaluation de la sécurité
Développement d'outils de sécurité
3 - Gestion de la qualité des services de sécurité
Analyse des risques
Plan de continuité des activités
Plan de relèvement a la suite d'un désastre
le schéma ci dessous nous présente les grandes fonctions d'une centre de soutien a la cybersecurité (CSC)
Recommandations de Ouagadougou - Economie Numerique
INFRASTRUCTURES INTERNET POUR UNE ÉCONOMIE NUMÉRIQUE EN AFRIQUE DU 5 – 7 MARS 2012
1. Promouvoir le modèle multipartite dans la gestion globale de l’Internet y compris
dans la gestion locale du nom de domaine de premier niveau du pays (ccTLD);
2. Participer pleinement aux activités sur la gouvernance de l’Internet au niveau local, régional et global ;
3. Mettre en place des mesures d’amélioration de l’infrastructure Internet et de
l’accès à cette infrastructure, y compris :
• Un environnement politique et réglementaire favorable ;
• La participation au développement des normes Internet au niveau global, régional et national ;
• l’établissement de points d’échange Internet (IXP) et d’instances de serveurs racine à l’échelle nationale et régionale ;
• le déploiement du système de sécurité des noms de domaine (DNSSEC) à tous les niveaux ;
• l’adoption du Protocol Internet version 6 (IPv6) au niveau national incluant
le soutien aux activités régionales y relatives ;
• le déploiement d’efforts pour la création d’agences de certification au niveau national ou régional.
4. Promouvoir le développement des ccTLD, de leur utilisation au niveau local ainsi que l’utilisation du nom de domaine de premier niveau à venir : le «point Africa» ;
5. Développer et implémenter un cadre national pour la cybersécurité afin de faciliter la provision de conseils ;
susciter une réponse locale avertie sur les questions de cybersécurité et améliorer la réponse aux incidents de cybersécurité en collaboration et en coopération avec les acteurs compétents du secteur au niveau local, régional et global ;
6. Améliorer les mesures au niveau national et régional pour renforcer la protection
de la Propriété Intellectuelle (PI) africaine y inclue une participation aux activités du Comité de l’OMPI sur le Développement et la Propriété Intellectuelle (CDIP), pour la préservation de nos noms géographique, de nos noms d’héritage culturel et des noms de notre connaissance traditionnelle;
7. Mettre en place des mesures qui soutiennent le développement de contenus
locaux, y compris la création d’un environnement favorable, l’amélioration de
l’infrastructure Internet locale pour offrir un accès et un hébergement des contenus au niveau local;
8. La promotion de l’utilisation des langues nationales et des noms de domaines
Internationalisés (IDNs) dans le développement et l’hébergement de contenus
locaux comme moyen pour atteindre plus de personnes au niveau local et préserver la
culture locale;
9. La promotion de l’établissement de centres de données (Data Centers) et des
infrastructures connexes au niveau local ;
10. L’amélioration de la participation et des contributions des gouvernements aux travaux des institutions régionales et internationales et aux initiatives qui participent de la gestion de l’infrastructure Internet Africaine et international tel que AfriNIN, AfricaCert, AfNOG, AfTLD, ISOC, UIT, ICANN et toute autre institution pertinente.
Source: http://www.africaasia.net/EN-FR-Ouagadougou_Recommendtations.pdf
1. Promouvoir le modèle multipartite dans la gestion globale de l’Internet y compris
dans la gestion locale du nom de domaine de premier niveau du pays (ccTLD);
2. Participer pleinement aux activités sur la gouvernance de l’Internet au niveau local, régional et global ;
3. Mettre en place des mesures d’amélioration de l’infrastructure Internet et de
l’accès à cette infrastructure, y compris :
• Un environnement politique et réglementaire favorable ;
• La participation au développement des normes Internet au niveau global, régional et national ;
• l’établissement de points d’échange Internet (IXP) et d’instances de serveurs racine à l’échelle nationale et régionale ;
• le déploiement du système de sécurité des noms de domaine (DNSSEC) à tous les niveaux ;
• l’adoption du Protocol Internet version 6 (IPv6) au niveau national incluant
le soutien aux activités régionales y relatives ;
• le déploiement d’efforts pour la création d’agences de certification au niveau national ou régional.
4. Promouvoir le développement des ccTLD, de leur utilisation au niveau local ainsi que l’utilisation du nom de domaine de premier niveau à venir : le «point Africa» ;
5. Développer et implémenter un cadre national pour la cybersécurité afin de faciliter la provision de conseils ;
susciter une réponse locale avertie sur les questions de cybersécurité et améliorer la réponse aux incidents de cybersécurité en collaboration et en coopération avec les acteurs compétents du secteur au niveau local, régional et global ;
6. Améliorer les mesures au niveau national et régional pour renforcer la protection
de la Propriété Intellectuelle (PI) africaine y inclue une participation aux activités du Comité de l’OMPI sur le Développement et la Propriété Intellectuelle (CDIP), pour la préservation de nos noms géographique, de nos noms d’héritage culturel et des noms de notre connaissance traditionnelle;
7. Mettre en place des mesures qui soutiennent le développement de contenus
locaux, y compris la création d’un environnement favorable, l’amélioration de
l’infrastructure Internet locale pour offrir un accès et un hébergement des contenus au niveau local;
8. La promotion de l’utilisation des langues nationales et des noms de domaines
Internationalisés (IDNs) dans le développement et l’hébergement de contenus
locaux comme moyen pour atteindre plus de personnes au niveau local et préserver la
culture locale;
9. La promotion de l’établissement de centres de données (Data Centers) et des
infrastructures connexes au niveau local ;
10. L’amélioration de la participation et des contributions des gouvernements aux travaux des institutions régionales et internationales et aux initiatives qui participent de la gestion de l’infrastructure Internet Africaine et international tel que AfriNIN, AfricaCert, AfNOG, AfTLD, ISOC, UIT, ICANN et toute autre institution pertinente.
Source: http://www.africaasia.net/EN-FR-Ouagadougou_Recommendtations.pdf
Inscription à :
Articles (Atom)
