Par : Sylvain ViauLuc Boudrias

La sLa séécuritcuritéé des TI : des TI : Comment accroComment accroîître votre niveau de tre votre niveau de

maturitmaturitéé en sen séécuritcuritééAtelier 315Atelier 315

© Société GRICS

Plan de la prPlan de la préésentationsentation

• Qui sommes-nous ?• Pourquoi la sécurité de vos TI est-elle importante ?• Comment définir le bon niveau de sécurité requis ?• Résultats d’un sondage réalisé dans le réseau • Les constats• Les bonnes pratiques (la norme ISO 27001)• Que faire ?• Une proposition (un projet de partenariat)• Conclusion• Vos questions

© Société GRICS

Qui sommesQui sommes--nous ?nous ?• Sylvain Viau

Certifications CISA, pm, TP, BSI 27 ans d’expérience en sécurité militaire et civileEx président de l’Association de la sécurité informatique du Montréal Métropolitain (2005-06) et du CQSI (2004-2005)Spécialisé dans l’évaluation en sécurité pour les banques, les organismes publics, les entreprises manufacturières et de service

• Luc BoudriasCA, CA-TI, consultant en démarche stratégique TI tels plan directeur, plan de sécurité, plan de continuité, modèle de gouvernance23 ans d'expérience dont 15 ans comme gestionnaire dans le réseau de l'éducationConnaissance des normes ISO 17799, 27001, des pratiques selon ITIL, COBIT et des méthodologies comme Mehari et Ebios

© Société GRICS

Pourquoi la sPourquoi la séécuritcuritéé de vos TI estde vos TI est--elle elle importante ?importante ?

Vos obligations (légales,contractuelles et morales)

Votre crédibilitéLa protection des informations Le bon fonctionnement de vos opérationsLa relève de vos activités stratégiquesLa formation de votre clientèle (sensibilisation,

responsabilisation)

© Société GRICS

Les menacesLes menaces

• Divulgation non autorisée d’information• Poursuite en responsabilité• Perte de données• Modification d’information sans

autorisation• Utilisation non autorisée de votre

infrastructure• Perte $$

© Société GRICS

Comment dComment dééfinir le bon niveau finir le bon niveau de sde séécuritcuritéé requis ?requis ?

© Société GRICS

Introduction avec la mIntroduction avec la mééthode EBIOSthode EBIOS

La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité ) propose une grille d’évaluation permettant d’établir le niveau de maturité, en se référant àcertains paramètres de la norme ISO/IEC 21827,17799.

Elle propose ensuite une évaluation de 16 volets reliés à la sécurité des TI.

© Société GRICS

Les niveaux de maturitLes niveaux de maturitéé selon EBIOSselon EBIOS

5- En amélioration constante (processus d’amélioration continue)

4- Contrôlé qualitativement (établissement de buts mesurables, gestion objective de la performance)

3- Standardisé (formalisé, utilisation et mise en œuvre de processus définis, coordination des pratiques)

2- Formalisé avec certaines règles définies (pas publié, pas d’approche globale)

1- Informel (mise en œuvre de pratiques de base)

0- Non réalisé (pas de mise en œuvre)

© Société GRICS

Comment Comment éévaluer le niveau de maturitvaluer le niveau de maturitéé

Le niveau de menace, comportant :

Le niveau d’attractivité• environnement opérationnel• secteur d’activités

Le niveau de vulnérabilité• interconnexion • homogénéité• sous-traitance

Selon deux axes

Le niveau d’adhérence

• importance des TI• effet de la perte des systèmes• effet de la modification des

données• effet de la divulgation

© Société GRICS

Grille dGrille d’é’évaluationvaluationdu niveau de maturitdu niveau de maturitéé

1

2

3

0 1 2 3

0 0 1 2 31 1 2 3 42 2 3 4 53 3 4 5 5

Niveau de maturitéSSI adéquat

Niveau de menace

Niveaud'adhérence

© Société GRICS

16 volets reli16 volets reliéés s àà la sla séécuritcuritéé des TI des TI ààéévaluervaluer

• la politique de sécurité• l’organisation de la sécurité• la gestion des risques • la sécurité et le cycle de vie• l’assurance, la certification• les aspects humains• la continuité des activités• la gestion des incidents

• la sensibilisation, la formation• l’exploitation• les aspects physiques et

l’environnement• l’identification, l’authentification• le contrôle d'accès logique• la journalisation• les infrastructures de gestion de

clés cryptographiques • les signaux compromettants

© Société GRICS

RRéésultats dsultats d’’un sondage un sondage rrééalisaliséé dans le rdans le rééseauseau

Message importantLe sondage a été réalisé auprès de quelques

commissions scolaires entre les mois de janvier et octobre 2006 dans un contexte de sensibilisation. Les résultats doivent être interprétés avec prudence et

réserve.

© Société GRICS

RRéésultats du sondagesultats du sondage-- niveau de maturitniveau de maturitéé

Le niveau de maturité requis se situe entre 3 et 5

Attractivité et vulnérabilité – faible à important

Niveau d’adhérence-important

Attractivité et vulnérabilité – faible à important

Niveau d’adhérence-très important

0 1 2 30 0 1 2 31 1 2 3 42 2 3 4 53 3 4 5 5

Niveau d'adhérence

Niveau de maturitéSSI adéquat

Niveau de menace

0 1 2 30 0 1 2 31 1 2 3 42 2 3 4 53 3 4 5 5

Niveau de maturitéSSI adéquat

Niveau de menace

Niveau d'adhérence

© Société GRICS

RRéésultats du sondage sultats du sondage -- 16 volets 16 volets concernant la sconcernant la séécuritcuritéé

0

1

2

3

4

5Politique de sécurité

Organisation de la sécurité

Gestion des risques, sécurité dessystèmes d'information

Sécurité et cycle de vie

Assurance et certification

Aspects humains

Planification de la continuité desactivités

Gestion des incidents Sensibilisation et formation

Exploitation

Aspects physiques etenvironnement

Identification / authentification

Contrôle d'accès logique

Journalisation

Infrastructures de gestion de cléscryptographiques

Signaux compromettants

Résultats actuelscible

Le sondage a été réalisé auprès de quelques commissions scolaires entre les mois de janvier et octobre 2006 dans un contexte de sensibilisation. Les résultats doivent être interprétés avec prudence et réserve.© Société GRICS

Les bonnes pratiques

ISO 27001

© Société GRICS

ISO 27001ISO 27001

La norme internationale ISO 27001 est structurée en quatre étapes récurrentes (planifier, mettre en œuvre, vérifier, améliorer) afin de respecter le principe de la roue de Deming, issue du monde de la qualité.

© Société GRICS

La norme ISO 27001 La norme ISO 27001 -- approche diagnostiqueapproche diagnostique

Situer l’organisme dans les 11 différents domaines de sécurité en considérant :– Intégrité– Confidentialité– Disponibilité

39 objectifs de sécurité, 133 mesures.Norme internationale avec possibilité

de vous qualifier au standard.© Société GRICS

Les domaines de sLes domaines de séécuritcuritéé selonselonISO 27001ISO 27001

• Politique de sécurité• Organisation de la sécurité• Classification et contrôle des actifs• Sécurité des ressources humaines• Sécurité physique et sécurité de l’environnement• Gestion des communications et des opérations• Contrôle des accès• Acquisition, développement et maintenance des

systèmes• Gestion des incidents en sécurité de l’information• Gestion de la continuité des activités de l’organisme• Conformité

© Société GRICS

Graphique illustrant les rGraphique illustrant les réésultats et sultats et ll’’ordonnancement des travaux ordonnancement des travaux àà rrééaliser selon aliser selon

la norme ISO 27001la norme ISO 27001

0

1

2

3

4

5Politique de sécurité

Organisation de la sécurité del'information

Gestion des actifs

Sécurité des ressources humaines

Sécurité des bâtiments et deséquipements

Gestion des communications et desopérationsContrôle des accès

Acquisition, développement et entretiendes systèmes

Gestion des incidents en sécurité del'information

Gestion de la continuité des activités

Conformité

Situation actuelle Cible à atteindre

Exemple pour un diagnostic réalisé dans le réseau

© Société GRICS

Les commentaires *Les commentaires *

• Les utilisateurs sont moins vigilants et alertes parce qu’ils présument que les contrôles en place sont suffisants et bien gérés par l’organisation.

• Une meilleure communication des risques change la perception des utilisateurs.

• Selon une étude rapportée par OCDE (2003), une bonne proportion des entreprises n’ont pas fait de la sécurité un objectif stratégique.

* Tiré d’une présentation effectuée par Jacques Bergeron, professeur HEC

© Société GRICS

Les commentaires *Les commentaires *

Vous êtes confrontés quotidiennement à des éléments de risques, ce qui a pour effet d’atténuer votre niveau de tolérance.

Vous considérez que le risque est plus important au niveau des événements visibles (virus, pourriels), parce que quantifiables et contrôlables.

Vous accordez beaucoup moins d’importance aux événements rares (sinistre , feu…), parce qu’ils sont difficilement quantifiables et peu probables.

* Tiré d’une présentation effectuée par Jacques Bergeron, professeur HEC

© Société GRICS

Les constatsLes constats• Beaucoup d’importance à la protection physique et à l’entretien

des systèmes• Préoccupation relative aux ressources humaines

________________

• Peu de politiques ou de règles de gestion pour la sécurité• Pas de structure organisationnelle pour la sécurité• Pas d’inventaire des actifs avec catégorisation• Peu de documentations• Gestion insuffisante des incidents • Plan de continuité à formaliser• Pas assez d’argent ($) consacré à la sécurité de l’information

© Société GRICS

Comment faire pour accroître votre niveau de maturité en sécurité ?

© Société GRICS

Plan dPlan d’’actionsactions• État de situation (indicateurs, point de départ )

• Préparation d’une politique ou d’une règle de gestion

• Définition d’une structure organisationnelle avec identification formelle de certaines responsabilités

• Inventaire de vos actifs informationnels avec catégorisation

• Instauration d’un processus pour l’annotation des incidents en sécurité

Sensibilisation,

comm

unication

© Société GRICS

ÉÉtat de situationtat de situation

• Identifier votre niveau actuel en comparaison avec certains indicateurs

• Identifier les cibles à atteindre• Préciser les moyens et les objectifs

visés

© Société GRICS

Politique Politique -- quelques considquelques considéérants rants relatifs au contenurelatifs au contenu

Objectif(s)PortéeResponsabilité(s)Mise à jourApplicationPrincipes directeursVérification, conformitéSanctions, conséquences

© Société GRICS

Structure organisationnelle Structure organisationnelle --quelques actionsquelques actions

Au niveau stratégique• Confirmer les orientations• Préciser les rôles et responsabilités• Obtenir l’engagement des détenteurs d’enjeux

Au niveau tactique• Voir à la formation d’un comité de sécurité

Au niveau opérationnel• Voir à la nomination d’un responsable de la sécurité

© Société GRICS

Inventaire des actifs informationnels avec Inventaire des actifs informationnels avec catcatéégorisationgorisation

Faire en sorte d’identifier pour chacun des actifs :• L’importance des données véhiculées • Le caractère stratégique • L'importance quant à l'intégrité• Le niveau de confidentialité requis • La nécessité de mettre en place :

– Des mécanismes d'authentification – Des mécanismes d'irrévocabilité

• L’importance de la disponibilité des données véhiculées

© Société GRICS

Gestion des incidentsGestion des incidents

• Mettre en place un processus de gestion des incidents de sécurité permettant:

– D’annoter et de catégoriser les incidents – D’instaurer une grille de priorités et de

cibles de résolution– D’extraire, pour fin d’analyse, certaines

données

© Société GRICS

Sensibilisation et communicationSensibilisation et communication• Il faut démontrer à la haute direction les

bénéfices et avantages associés à un programme de gestion de la sécurité.

Comment ?– Faire le lien entre la valeur de l’information

(inventaire des actifs et classification) et les objectifs d’affaires de votre organisation

– Identifier le niveau actuel de maturité des utilisateurs concernant la sécurité et préparer un programme de sensibilisation

* Tiré d’une présentation effectuée par Jacques Bergeron, professeur HEC

© Société GRICS

Sensibilisation et communicationSensibilisation et communicationPréparer un programme de sensibilisation

• Identifier les risques et les facteurs humains concernés

• Identifier les types de clients et leurs caractéristiques

• Concevoir des messages et des activités • Réaliser des activités de sensibilisation• Évaluer les résultats • Faire un suivi

© Société GRICS

ConclusionConclusion

Cette démarche permet de confirmer l’Importance d’accroître votre niveau de

maturité en sécurité des TI en posant les actions appropriées.

© Société GRICS

PropositionProposition

Accompagner un groupe de commissions scolaires dans la mise en place d’un programme d’amélioration de la gestion de la sécurité.

© Société GRICS

PropositionPropositionRéaliser un diagnostic de votre situation en utilisant une méthode reconnue et normalisée

Proposer un plan d’action en concertation avec les autres partenaires

Accompagner le groupe dans la réalisation des travaux :– Fournir expertise, modèle de référence et aide – Assurer la gestion du projet– Coacher et aider à la mise en oeuvre – Assurer le transfert des connaissances

Instaurer un processus d’amélioration continue

© Société GRICS

Vos questions?

© Société GRICS

Pour plus d’informationPour plus dPour plus d’’informationinformation

Téléphone : (514) 266-4665Courriel : luc.boudrias@grics.qc.ca

TTééllééphone : (514) 266phone : (514) 266--46654665Courriel : Courriel : luc.boudriasluc.boudrias@@grics.qc.cagrics.qc.ca

© Société GRICS