Audit de la sécurité physique-bl

icon

15

pages

icon

Français

icon

Documents

Écrit par

Publié par

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

icon

15

pages

icon

Français

icon

Documents

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

Université de LausanneEcole des Hautes Etudes Commerciales (HEC)Cédric GaspozAgendaOBJECTIFCours Audit des SI >> 16.11.2005RISQUES• Objectifs de contrôleCONCEPT GLOBALPROCESSUS D’AUDIT• Sécurité physique• Discrétion du siteAudit de la sécurité physique• Visiteurs• Santé et sécurité• Environnement• Alimentation électriqueConclusionCédric GaspozAssistant recherche et enseignementHEC LausanneInternef / 127.2 - 1015 Lausanne - Switzerland - Tel. +41 21 692 3408 – cedric.gaspoz@unil.ch - http://www.hec.unil.ch/cgaspozUniversité de LausanneObjectifFournir un environnement physique adapté qui protège l’équipement informatique et les personnes contre les risques humains et naturels.• L’accès aux installations• L’identification du site• La sécurité physique• Les politiques d’inspection et d’escalade• Le plan de continuité des activités et la gestion de crise • La santé et la sécurité du personnel• Les politiques de maintenance préventive• La protection contre les menaces de l’environnement• La surveillance automatisée© 2005 Cédric GaspozOBJECTIF | RISQUES | CONCEPT | AUDIT2Université de LausanneRisquesLes hommes sont essentiels pour la bonne marche des data centers. Toutefois les études montrent que les hommes sont responsables de 60% du downtime des data centers à cause d’accidents et d’erreurs — procédures non respectées, équipements mal identifiés, objets ou liquides renversés, commandes mal entrées et autres erreurs plus ou moins ...
Voir icon arrow

Publié par

Langue

Français

Université de Lausanne Ecole des Hautes Etudes Commerciales (HEC) Cédric Gaspoz
Agenda
OBJECTIF RISQUES Cours Audit des SI >> 16.11.2005  Objectifs de contrôle
CONCEPT GLOBAL
PROCESSUS DAUDIT  Sécurité physique Audit de la sécurité physique  Discrétion du site  Visiteurs  Santé et sécurité  Environnement  Alimentation électrique
Conclusion
Cédric Gaspoz Assistant recherche et enseignement HEC Lausanne
Internef / 127.2 - 1015 Lausanne - Switzerland - Tel. +41 21 692 3408  cedric.gaspoz@unil.ch - http://www.hec.unil.ch/cgaspoz
Université de Lausanne
Objectif
Fournir un environnement physique adaptéqui protège l équipement informatique et les personnes contre les risques humains et naturels.
Laccès aux installations Lidentification du site La sécurité physique Les politiques dinspection et descalade Le plan de continuité des activités et la gestion de crise La santé et la sécurité du personnel Les politiques de maintenance préventive La protection contre les menaces de lenvironnement La surveillance automatisée
OBJECTIF | RISQUES | CONCEPT | AUDIT
Université de Lausanne
Risques
Les hommes sont essentiels pour la bonne marche des data centers. Toutefois les études montrent que les hommes sont responsables de 60% du downtime des data centers à cause d accidents et d erreurs — procédures non respect ées, équipements mal identifiés, objets ou liquides renversés, commandes mal entrées et autres erreurs plus ou moins importantes.
Processus CobiT
DS Livraison et Support 12 Sécurité physique
P P
X
             
OBJECTIF | RISQUES | CONCEPT | AUDIT
Université de Lausanne
Objectifs de contrôle du CobiT (DS12)
©020
12.1 Sécurité physique 12.2 Discrétion du site informatique 12.3 Accompagnement des visiteurs 12.4 Santé et sécurité du personnel 12.5 Protection contre les risques liés à lenvironnement 12.6 Continuité de lalimentation électrique
5 CédrciG saopz
4
Université de Lausanne
Concept général
La sécuritéphysique est le premier rempart (après lhumain) pour assurer la protection des données de l entreprise
Extérieur
Intérieur
Ressources
 Données APrpopglircaamtiomness +  OS  Plates-formes Bureaux, locaux, Immeubles, équipements
OBJECTIF | RISQUES | CONCEPT | AUDIT
Université de Lausanne
Processus d audit
La sécurité de tout lensemble sera toujours à la sécurité du maillon le plus faible!
La sécurité physique des SI doit être partie intégrante de la politique de sécurité globale de lentreprise
Laudit de la sécurité physique des SI se base en premier lieu sur la politique de sécurité définie par lentreprise, son respect par le personnel, la formation de ce dernier ainsi que lanalyse des traces et des historiques
OBJECTIF | RISQUES | CONCEPT | AUDIT
Université de Lausanne
12.1 Sécurité physique
©200
Protéger le périmètre avec des clôtures de sécurité Entrée des véhicules des employés/livraisons surveillée par un gardien Parking visiteurs à lextérieur du périmètre Protéger le bâtiment par des éléments naturels Limiter les points daccès au minimum et les répartir en fonction des besoins des personnes Eviter les fenêtres, poser des vitres blindées Eviter les murs communs entre le data center et lextérieur Poser des issues de secours à sens unique Protéger les équipements de secours sils sont à lextérieur du centre de calcul Surveiller les sorties Utiliser des caméras de surveillance (LPD!) Mettre le data center sous alarme complète: feu, mouvement, paramètres env,
 5Cédric Gaspoz
7
Université de Lausanne
12.1 Sécurité physique (accès)
©0205 Cédric Gaspoz
Accès en fonction des besoins et non des personnes Former des périmètres concentriques (une personne est authentifiée N fois avant dentrer dans le data center) Utiliser des badges sur les portes (mantrap), verrouiller les racks Garder des traces de tous les accès (positifs ou négatifs) Gestion restrictive des droits daccès (one-time, échéance, )
8
Université de Lausanne
12.1 Sécurité physique (authentification)
©2005 CédricG saopz
Authentification à deux facteurs Le gardien est toujours plus performant quun système automatique Empêcher le vol didentité Panacher les systèmes
9
Université de Lausanne
12.1 Sécurité
©2005 CédricG aspoz
physique (compromis)
20/80
10
Université de Lausanne
12.2 Discrétion du site informatique
©200
Rendre le site totalement anonyme (ne pas lidentifier ou le rendre identifiable), si nécessaire utiliser un nom fantaisiste Si le site nest pas dédié, mélanger les utilisations pour « noyer » le data center parmi les autres activités En cas de recours fréquents à des prestataires, prévoir des parkings à labri des regards
5 Cédric Gaspoz
11
Voir icon more
Alternate Text