Upload
taji
View
35
Download
2
Embed Size (px)
DESCRIPTION
ISO 9001. Interconnexions. SMSI. Risques. Technologies. Menaces. Flux accéléré. RSSI. ISO 27001. Actifs. Sécurité. Vulnérabilités. 5à7 MFQ Cartographier, protéger et contrôler la valeur de l ’ information Le 3 juin 2013. - PowerPoint PPT Presentation
Citation preview
ISO 27001Ac
tifs
Vulnérabilités
RisquesFlux accéléré
Tech
nolo
gies
Interconnexions
MenacesISO 9001
RSSISécurité
SMSI
5à7 MFQ
Cartographier, protéger
et contrôler la valeur de
l’informationLe 3 juin 2013
Ordre du jour du 5à7
Présentation co-animée par Stéphanie Buscayret (Latecoere) et Michel Tudela (Cabinet StraTime)
• Qualité et sécurité, même combat ?• Démystification des concepts clés• Contenu de la boite à outils (démarche, normes, méthodes,
etc.)• Quels sont les acteurs transverses à fédérer pour protéger
l’information ?• Le rôle clé de l’audit interne/externe• Et au quotidien … accompagner, accompagner,
accompagner !
Quelques chiffres …
• 160 disparitions par jour de matériel informatique en France
• + de 80% du trafic e-mail mondial est du spam • 1/4 des entreprises françaises ont mis en place une
politique de sécurité • Causes d'incidents de sécurité dans les entreprises:
manque de robustesse IT : 69% failles de management : 63% confidentialité mal assurée : 60% qualité des données mal assurée : 49%
(sources : sources : Gartner, Radicati Group, APWG, Canalys, Clusif, PricewaterhouseCoopers)
Qualité et sécurité, même combat ?
• Management de la qualité Passif : Produits et/ou des
services sans processus qualité, plaintes et pertes de clients, mesures correctives au coup par coup et coûteuses
Proactif : Démarche de management de la qualité pour écouter et répondre aux exigences des clients
• Management de la sécurité de l'information Passif : Ne rien faire (anti-
virus par ci et firewall par là), croiser les doigts et espérer qu'il n'y aura pas de problèmes impactant les activités
Proactif : Démarche de management de la sécurité de l'information pour assurer le bon niveau de sécurité sur les actifs, et efficacement
Les concepts clés
Actifs
Vulnérabilités
SMSI Menaces
• Actifs = Tout ce qui a de la valeur pour l'entreprise (informations, données, logiciels, etc.)
• Menace = Cause potentielle d'un incident de sécurité pouvant entraîner des dommages à un actif• Vulnérabilité = Faiblesse d'un actif pouvant être exploitée par une menace• Risque = Possibilité qu'une menace exploite la vulnérabilité d'un actif• SMSI = Système de management de la sécurité des systèmes d’informations
Contenu de la boite à outils : normes (1/5)
• Série IS0 27XXX ISO 27000 = Fondements et vocabulaire SMSI (2008) ISO 27002 = ISO17799 à partir de 2007 ISO 27003 = Guide pour la mise en place d’un SMSI (2008) ISO 27004 = Mesures et métriques pour le MSI (2007) ISO 27005 = Gestion du risque de la sécurité de l’information
(2007)
Contenu de la boite à outils : EBIOS (2/5)
• EBIOS = Expression des Besoins et Identification des Objectifs de Sécurité• Principes de base
Identification des actifs (fonctions, informations) reposant sur des entités (matériels, logiciels, réseaux, personnels, sites, organisations)
Les actifs ont des besoins de sécurité (disponibilité, confidentialité, intégrité, éventuellement, non-répudiation, traçabilité,…) plus ou moins forts (conséquences si le besoin n’est pas satisfait)
Les entités ont des vulnérabilités et sont soumis à des menaces pouvant avoir des impacts sur les actifs (risques)
Identification des objectifs permettant de contrer ces risques et traduction de ces objectifs en mesures de sécurité (exigences de sécurité)
Contenu de la boite à outils : démarche (3/5)
• Planifier Définir les objectifs, la stratégie, la politique globale de
sécurité Identifier les actifs d'informations Analyser les risques
• Implémenter Mettre en œuvre les mesures de protection Assurer la sensibilisation et la formation des personnels
Roue de
Deming
Contenu de la boite à outils : démarche (4/5)
• Contrôler Vérifier régulièrement la conformité des mesures de
protection Revoir régulièrement les niveaux de risques résiduels et
acceptés en fonction des évolutions (activités, systèmes et technologies, nouvelles menaces, etc.)
Mettre en œuvre des procédures de gestion du changement et un schéma de gestion des incidents de sécurité
• Réagir Assurer l'administration et la maintenance (préventive /
corrective) des mesures de protection mises en œuvre Identifier et implémenter les évolutions requises sur le SMSI
Roue de
Deming
Contenu de la boite à outils : méthode (5/5)
Périmètre Nom de l’actif
Type d’actif Responsable
de l’actif
Classification
de l’actif
Impact (1)
Fréquence
Gravité
Commercial
BDD clients
Actif Information
nel
Resp. Commercia
l
Confidentiel 3 1 3
Atelier 1 Logiciel GPAO
Actif logiciel Resp. Production
Entreprise 4 2 4
Atelier 2 Serveur 1 Actif physique
Resp. Production
Entreprise 3 1 3
Maintenance
Autocom Actif de service
Resp. Maintenanc
e
Entreprise 4 2 4
(1) Impact « DICA »: disponibilité, intégrité, confidentialité et auditabilité
Acteurs transverses à fédérer pour protéger l’information
La sécurité de l’information n’est pas (uniquement) l’affaire de la DSI: Evidemment, les collaborateurs de l’entreprise sont les 1ers
acteurs de la sécurité de leur information!
Parce que la sécurité repose sur les comportements des salariés, la Direction des Ressources Humaines est un partenaire naturel,
Parce qu’elle engage contractuellement des Tiers, la Direction des Affaires Juridiques est forcément impliquée ,
Parce que les prestataires et partenaires sont acteurs de la sécurité de l’information de l’entreprise, la Direction des Achats est concernée,
Parce que l’information doit aussi être protégée contre les risques « physiques », la Direction des Services Généraux est un partenaire quotidien.
Sécuritéinformation
SineQuaNone
A minima
Le rôle clé de l’audit interne/externe
• L’audit interne permet de : Confronter formellement les processus aux exigences de la norme. Vérifier l’intégration des processus métiers (méthodologie associée
dans la conduite de projets, se poser les bonnes questions à chaque affaire, etc.).
Conserver un historique formalisé de la prise en compte de la sécurité sur les affaires/projets.
• L’audit externe atteste : Du caractère indépendant de vos contrôles internes, des risques
d’exploitation, de la maîtrise des processus opérationnels, des exigences de continuité des activités.
Souligner les points d’amélioration à envisager. Prouver aux clients que la sécurité de leurs informations est
fondamentale. Attester de l'engagement de l'équipe dirigeante quant à la sécurité
des informations.
Et au quotidien … accompagner, accompagner, accompagner !!
Parce que nul n’est sensé ignorer la loi (et les sanctions encourues en cas de violation)
Parce que les risques ne sont pas connus de tous…
Parce que l’adhésion de chacun est indispensable à la sécurité de tous
Communiquer sur les droits et devoirs issus de la Charte informatique de l’entreprise
Illustrer les situations à risques selon le contexte du métier
Positionner chaque acteur dans la chaîne de protection de l’information
les “Y” sont parmi nous …
• 70% des jeunes employés admettent ne pas respecter les politiques de sécurité informatique (étude Cisco 2012)
• Férus de BYOD (Bring Your OwnDevice)
• Des utilisateurs avertis … impression de maîtriser le SI …
Indépendant+ Instantané+ Mobile + Impatient
Quelle tactique ?
Des utilisateurs qui ne respectent pas les règles s’ils ne les comprennent pas • La soif de connaissance des Y est une opportunité pour
communiquer encore et encore
Les utilisateurs 2.0 passent facilement d’un sujet à l’autre• Faire simple et original (tweet, réseaux sociaux, serious
games, etc.)Des utilisateurs connectés• Innover en évoluant sur leur terrain (apprendre en
s’amusant pour les toucher directement et de les intéresser à la sécurité)
Exemples d’indicateurs de sécurité de l’informationMaîtrise du risque lié à l’hébergement de l’information
Activité / Activity: Gestion des salles informatiques/ IT rooms’ management KPI: Evaluation des risques liés à la localisation des ressources serveurs / Assessment of servers’ location risk level
Sites
sociét
é FR
Sites
sociét
é Mon
de
Sites
filiale
FR
Sites
filiale M
onde
Contr
ats ex
terna
lisés
01234
23
12
4
Salles auditéesAudit planifiésEnvironnements non audités
2
3
21
Résultats des audits des sites société
Conforme sans réserveConforme avec réserveSoumis à correction d'anomalieNon conforme
3
1
Résultats des audits de sites gérés par un Tiers
Conforme sans réserve
Conforme avec réserve
Soumis à correction d'anomalie
Non conforme
23
Personnel auditeur
Formé A former
Bilan du programme d’audit des environnements IT physiques
Métriques fictives données à titre d’illustrationExample based on fictive data
2
Analyse / analysis• Les valeurs comprises entre 100 et 75 sont pleinement conformes aux exigences de sécurité• Les valeurs comprises entre 75 et 60 indiquent les points d’amélioration prioritaires• Les valeurs en deçà de 60 identifient les zones de risques intolérables devant faire l’objet de plan d’action à court terme.
Status
Activité / Activity: Risques liés au SI, maîtrise des risques physiques et environnementauxObjectif /Objective : Evaluer l’efficacité et la complétude des dispositifs de protection
KPI : Maîtrise du risque physique et environnemental par site géographique
Autorité/ Accountable : IT operations manager/ [Name]Mise à jour / Updated : [date] / [Nom] / [Name]
NIV_SECURITE_DATACENTERS
Mesure d’exposition aux risques physiques et environnementauxExposure level to physical and environmental risks
Nombre de salles intégrées dans le périmètre: 5Nombre total de salles sur le site: 1
66,50 0,00 0,00
Périmètre des métriques: XX salles informatiques, site de [nom du site]
coeffNb Salles
conformes mars 2013
Métrique mars 2013
Nb Salles conformes avril 2013
Métrique avril 2013
Nb Salles conformes mai 2013
Métrique mai 2013
Nb Salles conformes juin 2013
DETECTION INCENDIE70,00 0,00 0,00
EXTINCTION INCENDIE70,00 0,00 0,00
DETECTION DEGAT DES EAUX/ CONTRÔLE HYGROMETRIQUE20,00 0,00 0,00
CLIMATISATION70,00 0,00 0,00
SECOURS ELECTRIQUE69,00 0,00 0,00
CONTRÔLE ACCES PHYSIQUE100,00 0,00 0,00
Typologie des locaux exclus du périmètre : local brassage télécom non sécuriséIndice Mars
base 100Indice Avril
base 100Indice Mai base 100
Métriques fictives données à titre d’illustrationExample based on fictive data
Zoom…
Métriques fictives données à titre d’illustrationExample based on fictive data