le niveau de sécurité de l'entreprise

le niveau de sécurité de l'entreprise - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 02-07-2007 à 15:13:17    

Bonjour tout le monde :hello:  
J'ai une question : Quels indicateurs pourraient permettre de mesurer le niveau de sécurité d'une entreprise?
(mis à part les mises à jour des patchs sécurité et fichiers de signature antivirus...)
 
PS: je ne cherche pas à faire un audit, c'est plutot ceux qui évoluent constamment (genre le manque de patchs...)

Reply

Marsh Posté le 02-07-2007 à 15:13:17   

Reply

Marsh Posté le 03-07-2007 à 12:25:07    

regarde coté SMSI ...( ISO 17799)
 
bye

Reply

Marsh Posté le 03-07-2007 à 15:21:15    

l'ISO 17799 ne s'utilise plus, c'est la 27001 maintenant.
 
Sinon, pour faire un audit de ta boite, télécharge Mehari, t'auras vite un aperçu de ce qu'il y a à faire...

Reply

Marsh Posté le 03-07-2007 à 17:02:05    

Merci, j'ais lu mehari et j'ais pris note des indicateurs, mais ce que je recherche c'est des indicateurs au niveau du contrôle d'accès par exemple qui permettent de voir le niveau de sécurité. J'ai pensé aux comptes locaux mais ça ressemble plus à un audit.  
Pour être plus clair, je cherche un indicateur qui évolue constamment : les comptes locaux on les retire et puis c'est fini...
Si quelqu'un a une idée..ce serait sympa merci en tout cas

Reply

Marsh Posté le 03-07-2007 à 17:11:39    

voir ma réponse,  
la bS7799-2 permet de connaitre les éléments à vérifier, catégorie par catégorie.
 
michalatore : c'était une information générale, et la bs7799-2 est bien celle qu'il faut regarder ;)

Reply

Marsh Posté le 03-07-2007 à 17:29:30    

ok gizmo, je vais me renseigner merci ;)

Reply

Marsh Posté le 05-07-2007 à 10:14:24    

merci a tous les deux. J'ais enfin trouvé...

Reply

Marsh Posté le 05-07-2007 à 10:24:56    

et ... ?

Reply

Marsh Posté le 05-07-2007 à 11:11:34    

et bien j'ais tout simplement choisit tout ce que dis la politique de contrôle d'accès et de lutte anti-virale... Comme ca rien ne manque... Mais après je ne sais pas encore comment je vais trouver l'échelle de mesure... Du genre "nivo de criticité=1,2...", je ne sais pas comment je vais faire ça... Vous en pensez quoi? Je me dis avec ca j'aurais mesurer le niveau de sécurité de l'entreprise... Non?

Reply

Marsh Posté le 05-07-2007 à 11:38:48    

Déjà un traitement sur les problèmes : à chaque ticket qui te remonte, tu donnes un indice de criticité. A partir de là, tu pourras faire des stats intéressantes, ça te montrera les points à améliorer.

 

Après, pour le passif, un audit sur les points classiques (Mehari aide beaucoup pour ça, en notant les points selon la criticité et ce qui est mis en place, et en faisant un différenciel par exemple) (sauvegarde, accès et droits, PRA, etc). Tu fais un truc au niveau de ton entreprise, pas besoin de faire un dossier de 5000 pages.


Message édité par elliotdoe le 05-07-2007 à 11:39:19
Reply

Marsh Posté le 05-07-2007 à 11:38:48   

Reply

Marsh Posté le 28-08-2007 à 14:10:07    

michalatore, tu ne confondrais pas avec l'ISO 27002 par hasard ?
 
PS: les entreprises continuent à utiliser l'ISO 17799:2005 ;)

Reply

Marsh Posté le 03-09-2007 à 10:38:24    

Perso, je pense que l'audit de ce qui est a faire est loin d'etre suffisant.
 
Cb d'entreprise se crois vraiment en securité, alors que rien ne sépare le reseau du server, avec NDIS, IDS, auth forte...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed