RootDev

Appearance

Gouvernance, risques et conformité

Rédigé le 26/03/2024

Comparer et contraster différents types de contrôles de sécurité (Objectif 5.1)

Regroupement par objectif ou type de contrôle

Contrôles préventifs:

Empêchent les problèmes de sécurité dès le départ.

Exemple: Pare-feu bloquant le trafic réseau non désiré.

Contrôles détecteurs:

Identifient les violations potentielles nécessitant une enquête supplémentaire.

Exemple: Système de détection d'intrusion recherchant des signes de violations réseau.

Contrôles correctifs:

Corrigent les problèmes de sécurité déjà survenus.

Exemple: Restauration d'informations critiques à partir de sauvegardes après une attaque.

Contrôles dissuasifs:

Empêchent les attaquants de violer les politiques de sécurité.

Exemple: Chiens de garde vicieux et clôtures barbelées.

Contrôles compensatoires:

Comblent une lacune connue dans l'environnement de sécurité.

Exemple: Placer un garde à une porte pour surveiller les entrées, en complément d'une clôture.

Regroupement par mécanisme d'action

Contrôles techniques:

Utilisent la technologie pour atteindre des objectifs de sécurité.

Exemple: Pare-feu, système de prévention d'intrusion, chiffrement.

Contrôles opérationnels:

Processus mis en place pour gérer la technologie de manière sécurisée.

Exemple: Révisions des accès utilisateurs, surveillance des journaux, formation à la sécurité.

Contrôles managériaux:

Se concentrent sur les mécanismes du processus de gestion des risques.

Exemple: Évaluations régulières des risques, intégration de la sécurité dans les méthodologies de gestion des changements.

Comprendre ces différents types de contrôles de sécurité est essentiel pour réussir l'examen Security Plus.

Importance des réglementations, normes ou cadres applicables à la posture de sécurité d'une organisation (Objectif 5.2)

Réglementations et législations

  1. Réglementation de l'Union Européenne:

    • GDPR (General Data Protection Regulation): Régule la manipulation des informations personnelles des résidents de l'Union Européenne.

  2. Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS):

    • Règlementation privée régissant les informations de cartes de crédit.

Cadres de sécurité

  1. Center for Internet Security (CIS):

    • Benchmarks et Standards de Configuration: Fournissent des recommandations de configuration pour sécuriser les systèmes.

  2. National Institute of Standards and Technology (NIST):

    • Risk Management Framework (RMF): Cadre pour la gestion des risques.
    • Cybersecurity Framework (CSF): Cadre pour améliorer la cybersécurité d'une organisation.

  3. Organisation Internationale de Normalisation (ISO):

    • ISO 27001: Gestion de la sécurité de l'information.
    • ISO 27002: Ensemble de contrôles de sécurité de l'information.
    • ISO 27701: Normes de confidentialité de l'information.
    • ISO 31000: Gestion des risques.

  4. Cloud Security Alliance:

    • Matrice de contrôle Cloud: Guide les professionnels de la sécurité travaillant dans le cloud.

Vérification des normes de sécurité des fournisseurs de services Cloud

  1. Audits SOC (Service Organization Control):
    • SOC 2: Audit détaillé des contrôles de confidentialité, d'intégrité, de disponibilité et de confidentialité d'un fournisseur de services.
    • Rapports type 1: Description des contrôles en place avec l'opinion de l'auditeur sur leur adéquation.
    • Rapports type 2: Même opinion que le type 1, avec des tests pour vérifier le bon fonctionnement des contrôles.

En tant que candidat à l'examen Security+, il est crucial de comprendre ces réglementations, normes et cadres pour garantir une posture de sécurité efficace pour une organisation.

Importance des politiques pour la sécurité organisationnelle (Objectif 5.3)

Politiques de sécurité du personnel

  1. Politique d'utilisation acceptable:

    • Définit les façons dont les employés sont autorisés à utiliser les actifs technologiques de l'organisation.

  2. Politique de rotation des emplois:

    • Déplace le personnel dans des postes sensibles à travers une série de différents emplois pour éviter qu'ils restent dans une même position sensible pendant une longue période.

  3. Politique de congés obligatoires:

    • Exige que les individus prennent du temps loin du bureau pour permettre de découvrir toute activité frauduleuse éventuelle.

  4. Politique de séparation des fonctions:

    • Interdit à une personne d'avoir deux autorisations différentes qui, combinées, leur permettent d'effectuer des actions sensibles.

  5. Politique du privilège minimum:

    • Les individus doivent avoir le jeu de permissions minimum nécessaire pour effectuer leurs fonctions.

  6. Politique de bureau propre:

    • Assure que les documents sensibles ne sont pas laissés à découvert où quelqu'un pourrait les observer.

  7. Vérification des antécédents:

    • Vérifie l'historique criminel avant d'embaucher de nouveaux employés.

  8. Accords de non-divulgation (NDA):

    • Les employés acceptent de maintenir la confidentialité des informations sensibles.

Politiques de gestion des risques tiers

  1. Accord de niveau de service (SLA):

    • Définit les attentes de performance envers le fournisseur et les conséquences en cas de non-respect des normes.

  2. Accords de partenariat commercial (BPA):

    • Établit les paramètres d'un partenariat avec une organisation externe.

Politiques de gestion des données

  1. Politique de classification des données:

    • Exigences pour classer les données en fonction de leur sensibilité.

  2. Politique de gouvernance des données:

    • Procédures pour gérer le cycle de vie des données.

  3. Politique de conservation des données:

    • Détermine quelles données l'organisation conservera et pendant combien de temps.

Politiques de gestion des identifiants

  1. Politique des identifiants:
    • Exigences pour la gestion des mots de passe et autres identifiants.

Politiques de gestion des changements et des actifs

  1. Politique de gestion des changements:
    • Procédures pour s'assurer que les systèmes sont maintenus correctement.

En tant que candidat à l'examen Security+, comprendre et appliquer ces politiques est essentiel pour assurer la sécurité organisationnelle.

Résumé des processus et concepts de gestion des risques (Objectif 5.4)

Types de risques

  1. Risques externes:

    • Exemples: Hackers, menaces extérieures à l'organisation.

  2. Risques internes:

    • Exemples: Employés malveillants, problèmes de conformité en matière de licences logicielles.

Stratégies de gestion des risques

  1. Mitigation des risques:

    • Réduit la probabilité ou l'impact d'un risque potentiel.

  2. Transfert des risques:

    • Déplace une partie du risque vers une organisation externe, souvent par l'achat d'une assurance.

  3. Évitement des risques:

    • Modification des pratiques commerciales pour rendre un risque irrélevant.

  4. Acceptation des risques:

    • Reconnaitre qu'un risque existe mais décider de poursuivre les activités malgré ce risque.

Processus de gestion des risques

  1. Enregistrement des risques dans un registre des risques.
  2. Évaluation des risques par une matrice ou une carte de chaleur.
  3. Détermination de la tolérance aux risques.
  4. Identification du risque inhérent et du risque résiduel.
  5. Analyse des risques qualitative ou quantitative.

Analyse des risques quantitative

  1. Perte espérée unique (SLE): Mesure des dommages financiers en cas de matérialisation du risque.
  2. Taux de fréquence annuel (ARO): Nombre de fois où l'on s'attend à ce que le risque se matérialise chaque année.
  3. Perte espérée annuelle (ALE): Mesure globale du risque.

Plan de reprise d'activité (PRA)

  1. Objectif de temps de récupération (RTO): Durée maximale d'interruption tolérable.
  2. Objectif de point de récupération (RPO): Perte de données acceptable en cas de perturbation.
  3. Temps moyen entre les pannes (MTBF): Fréquence prévue des pannes d'équipement.
  4. Temps moyen de réparation (MTTR): Durée typique pour réparer l'équipement.

Plan de reprise après sinistre (DRP)

  1. Identifie les fonctions essentielles à la mission et les systèmes critiques.
  2. Effectue une évaluation des risques de ces fonctions.
  3. Identifie les plans de récupération pour restaurer le service après un sinistre.

En résumé, la gestion des risques implique l'identification, l'évaluation et la gestion des risques pour assurer la continuité des opérations et la résilience de l'organisation face aux menaces potentielles.

Concepts de confidentialité et de données sensibles en relation avec la sécurité (Objectif 5.5)

Conséquences organisationnelles des violations de la confidentialité et des données

  1. Dommages financiers: amendes et pénalités.
  2. Dommages de réputation: impact sur la perception publique.
  3. Vol d'identité: conséquences pour les clients, employés et autres parties prenantes.
  4. Perte de propriété intellectuelle: risques associés à la divulgation non autorisée d'informations sensibles.

Classification des données

  1. Niveaux de classification: public, privé, sensible, confidentiel, critique, propriétaire, etc.
  2. Catégories de données sensibles: PII (Informations Personnellement Identifiables), informations de santé, informations financières, données client, etc.

Technologies améliorant la confidentialité

  1. Minimisation des données: ne conserver que les données essentielles à l'activité.
  2. Masquage des données: suppression des éléments sensibles.
  3. Tokenization: remplacement des éléments sensibles par des valeurs alternatives.
  4. Anonymisation et pseudo-anonymisation: suppression des éléments d'identification personnelle.

Rôles et responsabilités dans la gestion des données

  1. Propriétaire des données: responsable global des données.
  2. Gestionnaire et intendant des données: responsables des opérations quotidiennes de gestion des données.
  3. Contrôleur des données: organisation déterminant comment et pourquoi les données personnelles sont traitées.
  4. Processeur de données: organisation tierce traitant des données pour le compte du contrôleur des données.
  5. Officier de protection des données (DPO): responsable de la mise en œuvre des politiques de confidentialité et de la liaison principale pour les questions de confidentialité.

Contrôles de sécurité tout au long du cycle de vie des informations

  1. Définir des contrôles de sécurité pour suivre les informations du début à la fin de leur cycle de vie.
  2. Effectuer des évaluations d'impact pour identifier les points d'exposition potentiels des informations.

Politique de confidentialité

  1. Afficher une politique de confidentialité claire qui informe les parties prenantes sur la manière dont l'organisation traite leurs informations conformément aux accords en vigueur.

En conclusion, la gestion efficace de la confidentialité et des données sensibles est essentielle pour prévenir les violations de données et protéger la réputation et la crédibilité de l'organisation.


Sources

Ce cours s'inspire du cours sur Linkedin eLearning de Mike CHAPPLE :

https://www.linkedin.com/learning/comptia-security-plus-sy0-601-cert-prep-1-threats-attacks-and-vulnerabilities?contextUrn=urn%3Ali%3AlyndaLearningPath%3A57bdd64992015ae4c0cb990e&dApp=36524473&leis=LAA&u=98048682

Vous, et uniquement vous, êtes responsable de vos actes.

Copyright © 2024 - RootDev.fr par Guilyan - contact@rootdev.fr