Upload
pmi-montreal
View
1.471
Download
2
Embed Size (px)
Citation preview
La gestion des risques de sécurité de l’information dans les projets
Suzanne Thibodeau, directriceStratégies, Gouvernance et Services-Conseils, Sécurité, Mouvement Desjardins
Plan de présentation
1. Les principaux risques liés à la sécurité de l’information
2. Coût de l’intégration de la sécurité de l’information dans les projets
3. Survol de l’approche proposée par la norme ISO 27034
4. Quand et comment intégrer l’analyse de risque de sécurité dans un projet ?
5. 10 écueils à éviter et autres leçons tirées d’expériences vécues
La gestion des risques de sécurité de l’information dans les projets
Partie 1
Principaux risques de sécurité de l’information
Sécurité de l’information
• Disponibilité :– Rendre l’information accessible et
utilisable sur demande par une entité autorisée
• Intégrité : – Sauvegarder l'exactitude et l'exhaustivité
de l’actif
• Confidentialité : – S’assurer que l’information n’est pas
mise à la disposition ou divulguée à des personnes, des entités ou des processus non autorisés.
4
Intégrité de l’information
Confidentialité de l’information
Disponibilité de l’information
Qu’est-ce qu’un risque de sécurité de l’information ?
5
« Potentiel qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actif, causant ainsi un dommage à l’organisation»*
*Source: ISO/IEC 27005:2011
Sources de menaces
Protéger l’information contre qui/quoi? Plusieurs sources de menaces :
• Source humaine agissant délibérément (attaque, fraude, sabotage, vol)
• Source humaine accidentelle (erreur, omission)• Source naturelle (inondation, feu, panne
d’électricité)• Source environnementale (conflit social,
hacktivisme, pandémie)
6
Exemples de risques liés à la sécurité de l’information
Risques liés aux renseignements personnels ou confidentiels
Risques de non-conformité (ex: PCI DSS, 52 109, Bâle, loi 138, etc.)
Risques de fraude et de vol d’identité Risques liés aux fournisseurs externesRisques liés à l’image et la réputation
La gestion des risques de sécurité de l’information dans les projets
Partie 2
Coûts de l’intégration de la sécurité dans les projets
9Quelques statistiques
75% des brèches de sécurité sont facilitées par les applications, et non le réseau. - Gartner
92% des vulnérabilités rapportées sont au niveau des applications. – NIST
Plus de 70% des vulnérabilités de sécurité sont dans les applications. – Gartner
Niveau d’intégration de la sécurité et vulnérabilités
Pourcentage de vulnérabilités trouvées par phase de projet en fonction de l'intégration de la sécurité
Phase de projet Sécurité non intégrée Sécurité intégrée
Réalisation 0% 33%
Test/Acceptation 40% 57%
En production 35% 8%
Latent 25% 2%
*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
Niveau d’intégration et efforts de correction
Coûts et durée de correction des vulnérabilités par phase de projet
Phase de projet Coût Durée de correction
Réalisation $ 20 moins de 1 heure
Test $ 360 3-5 heures
En production $ 12,000 10 heures et plus
Latent $ -
*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
Investissement en sécurité de l’information
La gestion des risques de sécurité de l’information dans les projets
Partie 3
Survol de l’approche proposée par la norme ISO 27034
Qu’est-ce que la norme ISO 27034 ?
Lignes directrices pour aider les organisations à intégrer la sécurité dans les procédés utilisés pour la gestion de leurs solutions TI
Vise la sécurisation des solutions TI sur mesure selon le niveau de sécurité assigné au projet
Sous-ensemble de mesures de sécurité associés à chacun des différents niveaux de sécurité
Exemple d’arbre de décision
· Information publique mais à l’intégrité élevée
· Rassemblement d’une grande quantité d’information privée dans un même système
Exceptions
· Information publique mais à l’intégrité élevée
· Rassemblement d’une grande quantité d’information privée dans un même système
Exceptions
Défi
nitio
n m
anue
lle d
u N
S pa
r un
arch
itect
e sp
écia
lisé
en s
écur
ité
Niveau de base interne
La solution est-elle assujettie à une exigence légale, réglementaire ou de l’industrie?
Niveau modéré interne
Niveau élevé
interne
Quelle est la classification de l’information manipulée et/ou stockée ?
Sensible
D’après la classification des actifs du Mouvement Desjardins, dans les informations concernées par la solution certaines sont « Confidentielle » ou « Secrète ».Ex. Information personnelle…
Non sensible
D’après la classification des actifs du Mouvement Desjardins, aucune des informations concernées par la solution n’est plus sensible que « Public » ou « Privée ».Ex. Menu de la caféteria… Quelle est la classification de l’information
et quelle est la visibilité de la solution ?
Sensible et/ou forte visibilité
D’après la classification des actifs du Mouvement Desjardins, dans les informations concernées par la solution certaine sont « Confidentielle » ou « Secrète » et/ou la solution possède une haute visibilité.Ex. Portail principal Desjardins, solution de paiement en ligne…
Non sensible et faible visibilité
D’après la classification des actifs du Mouvement Desjardins, aucune des informations concernées par la solution n’est plus sensible que « Public » ou « Privée » et, de plus, la solution ne possède qu’une visibilité faible.Ex. Site promotionnel pour un événement ponctuel…
Niveau de base externe
Niveau élevé
externe
· Fonction de sécurité (ex. Coupe-feux, SSO, etc)
· Outil d’exploitation
· Outil de gestion technologique
ExceptionsQuel est le type d’exposition de la solution ?
Une exigence ou plus
La solution est couverte par une ou plusieurs exigence légales, réglementaires ou de l’industrie.Ex. Système de gestion de paie…
Aucune norme
Aucune des données ou processus concernés par la solution n’implique d’exigence légale, réglementaire ou de l’industrie.Ex. Gestionnaire de code source…
InterneC’est une solution qui ne peut être accédé que depuis l’intérieur du réseau du Mouvement Desjardins.Ex. Portail des employés…
ExterneC’est une solution qui pourrait être accédé depuis l’extérieur du réseau du Mouvement Desjardins.Ex. AccèsD…
Exemple de niveaux de sécurité
• Niveau de sécurité de base– balayage de vulnérabilité automatique– Journalisation de base – authentification simple (code usager / mot de passe)
• Niveau de sécurité modéré– balayage de vulnérabilité manuel– journalisation des principales actions– authentification adaptative (deux informations connues)
• Niveau de sécurité élevé– authentification forte (deux facteurs)– journalisation détaillée de toutes les actions – système de prévention d’intrusion– transmission chiffrée, etc..
Bénéfices de l’approche ISO 27034
• Sécurisation basée sur les besoins de chaque projet
• Consolidation de la sécurisation des solutions TI
• Implication légère d’équipe de sécurité dans les projets
La gestion des risques de sécurité de l’information dans les projets
Partie 4
Quand et comment intégrer l’analyse de risque dans un projet
Livrables de sécurité par phase de projet
Étapes de réalisation d’une analyse de risque
20
1.Établissement
du contexte
2.Identification des risques
3.Analyse
des risques
4.Traitement du risque
5.Communication
du risque
Portée de l’analyse
Liste des menaces
Risque Inhérent
Plan de traitement et risque résiduel
•Échelles de probabilité et d’impact et seuil de tolérance au risque (préalables)•Classification des actifs informationnels visés et identification des propriétaires •Diagramme de flux des données•Cadre normatif , légal et réglementaire applicable
•Identification des menaces et des vulnérabilités potentielles•Évaluation de l’impact sur la disponibilité, l’intégrité et la confidentialité de la matérialisation de la menace
•Identification et évaluation des contrôles en place •Évaluation de la probabilité de matérialisation du risque •Comparaison du risque inhérent au seuil de tolérance au risque déterminé par l’entreprise
•Élaboration du plan de traitement des risques (refuser, accepter, mitiger, transférer)•Acceptation du plan de traitement des risques par le propriétaire des actifs informationnels
•Inscription au registre des risques •Divulgation au responsable de la gestion des risques•Suivi et reddition de compte sur la mise en œuvre du plan de suivi
Registre des risques
La gestion des risques de sécurité de l’information dans les projets
Partie 5
10 écueils à éviter et autres leçons tirées d’expériences vécues
10 écueils à éviter et autres leçons tirées d’expériences vécues
1. Classification vous dites ? 2. PCI ? Jamais entendu parlé ! 3. L’autosuffisance 4. C’est le problème du fournisseur 5. Le Syndrome du couper / coller (one size fits
all)
10 écueils à éviter et autres leçons tirées d’expériences vécues (suite)
6.L’industrialisation aveugle 7.Le trou noir de sécurité8.La pensée magique 9.La confiance excessive 10.Le bonhomme sept-heures
MERCI DE VOTRE ATTENTION :-)
La gestion des risques de sécurité de l’information dans les projets
Annexe
Matériel de référence
Analyse du flux de données
Décrire tout le cycle de vie de l’informationCréation > Traitement > Utilisation > Transmission > Entreposage > Destruction
Considérer tous les médias et supportsPapier, CD, Matériel (Disque dur), Logiciels et Applications, BD, Canaux de communications, etc.
26
• Objectif: Déterminer la valeur de l’actif pour l’organisation afin d’établir des mesures de protection proportionnellement adéquates
• Critères de classification :
1. Disponibilité
2. Intégrité
3. Confidentialité
SÉANCE 6 27
Classification des actifs
Classification des actifsNiveau de confidentialité - Exemple
28
Niveaux Définitions Exemples
Public Information dont la divulgation publique a été autorisée par son propriétaire et qui n’est pas susceptible de causer un préjudice à l’organisation
Services et coordonnées de l’entreprise
Privé ou interne
Information dont la divulgation sans autorisation préalable à l’extérieur de l’organisation pourrait causer un préjudice à l’organisation, sans avoir cependant d’impact sur ses activités .
Bottin des employés, procédures administratives
Confidentiel Actif dont la divulgation sans autorisation préalable est susceptible de causer un préjudice significatif à l’organisation ou à ses clients.
Renseignements personnes sur les clients, coût de revient des produits
Secret Actif dont la divulgation sans autorisation préalable est susceptible de causer un préjudice d’une très grande gravité à l’organisation.
Projet d’acquisition d’une entreprise, brevet en développement
Classification des actifs Niveaux d’intégrité – Exemple
Niveaux Définitions Exemples
Faible Information pour laquelle l’organisation peut tolérer certains écarts (restant cependant acceptables) d’autant plus que les impacts qui y sont associés ont beaucoup moins d’importance.
Liste des cours suivis par les employés, compétences recherchées par poste
Modéré Information qui se doit d’être exacte et dont l’inexactitude peut avoir des conséquences significatives sur l’organisation.
Feuilles de temps du personnel, statistiques sur les ventes
Élevé Information qui se doit d’être exacte en tout temps et dont l’inexactitude peut avoir des conséquences grave pour l’organisation ou ses clients.
Transactions financièresInformation médicale
29
Classification des actifs Niveaux de disponibilité - Exemple
Niveaux Définitions Exemples
Faible Information dont l’impact de non-disponibilité est minime. On considère qu’une interruption pouvant aller jusqu’à un 24 heures demeure acceptable.
Rapports de gestion
Modéré Information dont la non-disponibilité apporte des impacts moins importants sur les opérations de l’organisation. On considère qu’une interruption maximale de 4 heures resteacceptable.
Information requise pour la production d’états de compte
Élevé Information pour laquelle on doit assurer la disponibilité presque en tout temps. On considère qu’une interruption maximale de 1 heure est acceptable.
Information sur les comptes clients
30
Évaluation de l’impact - exempleCote Impact
Financier Clients Employés Réputation Conformité
1très
faible
< 100 K Peu d’impact sur les clients ou disponibilités des produits
Peu ou aucun impact sur le climat de travail
Peu ou pas de couverture médiatique
Peu ou pas d’impact au niveau des autorités réglementaires
2faible
> 100 K< 500 K
Cas isolé de pertes de clients, récurrences des plaintes sur les délais et les erreurs de produits
Impact à court terme sur le climat de travail
Couverture médiatique de courte durée
Peu d’impact sur le droit d’opérer
3modérée
> 500 K< 800 K
Diminution de la rétention des clients, plusieurs problèmes nécessitant des solutions temporaires ressources additionnelles
Impact ressenti sur la mobilisation et l’absentéisme
Couverture médiatique importante et constante
Compromet la crédibilité auprès des autorités réglementaires
4élevée
> 800 K< 1 M
Perte significative de clients, plusieurs problèmes importants et persistants
Perte de ressources clés et augmentation du taux de roulement
Impact important sur l’image de marque et la perception des clients
Imposition de restrictions au droit d’opérer
5très
élevée
> 1 M Problème endémique de qualité du service, détérioration marquée de la capacité à offrir les produits
Exode massif des ressources, climat conflictuel
La réputation ne peut qu’être rétablie à long terme
Révocation du droit d’opérer une ou plusieurs activités
31
Évaluation de la probabilité – Exemple
Cote Probabilité
1(très faible)
Il est difficile d’envisager que le risque puisse se réaliser. Pas de précédent connu dans l’industrie ou l’organisation
2(faible)
Le risque pourrait se réaliser, mais la probabilité est peu significative. Pas de précédent connu dans l’organisation.
3(modérée)
Il est envisageable que le risque puisse se réaliser, mais il y a peu de précédent connu dans l’industrie ou l’organisation.
4(élevée)
Il est facilement envisageable que le risque puisse se réaliser, car il y a quelques précédents connus dans l’industrie ou l’organisation.
5(très élevée)
Il est presque certain que le risque se réalisera si rien n’est fait. Plusieurs précédents sont connus dans l’industrie ou l’organisation.
32
Grille d’évaluation du risque