Bonjour tout le monde  
J'ai une question : Quels indicateurs pourraient permettre de mesurer le niveau de sécurité d'une entreprise?
(mis à part les mises à jour des patchs sécurité et fichiers de signature antivirus...)
 
PS: je ne cherche pas à faire un audit, c'est plutot ceux qui évoluent constamment (genre le manque de patchs...)

regarde coté SMSI ...( ISO 17799)
 
bye

l'ISO 17799 ne s'utilise plus, c'est la 27001 maintenant.
 
Sinon, pour faire un audit de ta boite, télécharge Mehari, t'auras vite un aperçu de ce qu'il y a à faire...

Merci, j'ais lu mehari et j'ais pris note des indicateurs, mais ce que je recherche c'est des indicateurs au niveau du contrôle d'accès par exemple qui permettent de voir le niveau de sécurité. J'ai pensé aux comptes locaux mais ça ressemble plus à un audit.  
Pour être plus clair, je cherche un indicateur qui évolue constamment : les comptes locaux on les retire et puis c'est fini...
Si quelqu'un a une idée..ce serait sympa merci en tout cas

voir ma réponse,  
la bS7799-2 permet de connaitre les éléments à vérifier, catégorie par catégorie.
 
michalatore : c'était une information générale, et la bs7799-2 est bien celle qu'il faut regarder

ok gizmo, je vais me renseigner merci

merci a tous les deux. J'ais enfin trouvé...

et ... ?

et bien j'ais tout simplement choisit tout ce que dis la politique de contrôle d'accès et de lutte anti-virale... Comme ca rien ne manque... Mais après je ne sais pas encore comment je vais trouver l'échelle de mesure... Du genre "nivo de criticité=1,2...", je ne sais pas comment je vais faire ça... Vous en pensez quoi? Je me dis avec ca j'aurais mesurer le niveau de sécurité de l'entreprise... Non?

Déjà un traitement sur les problèmes : à chaque ticket qui te remonte, tu donnes un indice de criticité. A partir de là, tu pourras faire des stats intéressantes, ça te montrera les points à améliorer.

Après, pour le passif, un audit sur les points classiques (Mehari aide beaucoup pour ça, en notant les points selon la criticité et ce qui est mis en place, et en faisant un différenciel par exemple) (sauvegarde, accès et droits, PRA, etc). Tu fais un truc au niveau de ton entreprise, pas besoin de faire un dossier de 5000 pages.

michalatore, tu ne confondrais pas avec l'ISO 27002 par hasard ?
 
PS: les entreprises continuent à utiliser l'ISO 17799:2005

Perso, je pense que l'audit de ce qui est a faire est loin d'etre suffisant.
 
Cb d'entreprise se crois vraiment en securité, alors que rien ne sépare le reseau du server, avec NDIS, IDS, auth forte...