MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets

La gestion des risques de sécurité de l’information dans les projets

Suzanne Thibodeau, directriceStratégies, Gouvernance et Services-Conseils, Sécurité, Mouvement Desjardins

Plan de présentation

1. Les principaux risques liés à la sécurité de l’information

2. Coût de l’intégration de la sécurité de l’information dans les projets

3. Survol de l’approche proposée par la norme ISO 27034

4. Quand et comment intégrer l’analyse de risque de sécurité dans un projet ?

5. 10 écueils à éviter et autres leçons tirées d’expériences vécues


Partie 1

Principaux risques de sécurité de l’information

Sécurité de l’information

• Disponibilité :– Rendre l’information accessible et

utilisable sur demande par une entité autorisée

• Intégrité : – Sauvegarder l'exactitude et l'exhaustivité

de l’actif

• Confidentialité : – S’assurer que l’information n’est pas

mise à la disposition ou divulguée à des personnes, des entités ou des processus non autorisés.

4

Intégrité de l’information

Confidentialité de l’information

Disponibilité de l’information

Qu’est-ce qu’un risque de sécurité de l’information ?

5

« Potentiel qu’une menace donnée exploite les vulnérabilités d’un actif ou d’un groupe d’actif, causant ainsi un dommage à l’organisation»*

*Source: ISO/IEC 27005:2011

Sources de menaces

Protéger l’information contre qui/quoi? Plusieurs sources de menaces :

• Source humaine agissant délibérément (attaque, fraude, sabotage, vol)

• Source humaine accidentelle (erreur, omission)• Source naturelle (inondation, feu, panne

d’électricité)• Source environnementale (conflit social,

hacktivisme, pandémie)

6

Exemples de risques liés à la sécurité de l’information

Risques liés aux renseignements personnels ou confidentiels

Risques de non-conformité (ex: PCI DSS, 52 109, Bâle, loi 138, etc.)

Risques de fraude et de vol d’identité Risques liés aux fournisseurs externesRisques liés à l’image et la réputation


Partie 2

Coûts de l’intégration de la sécurité dans les projets

9Quelques statistiques

75% des brèches de sécurité sont facilitées par les applications, et non le réseau. - Gartner

92% des vulnérabilités rapportées sont au niveau des applications. – NIST

Plus de 70% des vulnérabilités de sécurité sont dans les applications. – Gartner

Niveau d’intégration de la sécurité et vulnérabilités

Pourcentage de vulnérabilités trouvées par phase de projet en fonction de l'intégration de la sécurité

Phase de projet Sécurité non intégrée Sécurité intégrée

Réalisation 0% 33%

Test/Acceptation 40% 57%

En production 35% 8%

Latent 25% 2%

*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009

Niveau d’intégration et efforts de correction

Coûts et durée de correction des vulnérabilités par phase de projet

Phase de projet Coût Durée de correction

Réalisation $ 20 moins de 1 heure

Test $ 360 3-5 heures

En production $ 12,000 10 heures et plus

Latent $ -

*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009

Investissement en sécurité de l’information


Partie 3

Survol de l’approche proposée par la norme ISO 27034

Qu’est-ce que la norme ISO 27034 ?

Lignes directrices pour aider les organisations à intégrer la sécurité dans les procédés utilisés pour la gestion de leurs solutions TI

Vise la sécurisation des solutions TI sur mesure selon le niveau de sécurité assigné au projet

Sous-ensemble de mesures de sécurité associés à chacun des différents niveaux de sécurité

Exemple d’arbre de décision

· Information publique mais à l’intégrité élevée

· Rassemblement d’une grande quantité d’information privée dans un même système

Exceptions

· Information publique mais à l’intégrité élevée

· Rassemblement d’une grande quantité d’information privée dans un même système

Exceptions

Défi

nitio

n m

anue

lle d

u N

S pa

r un

arch

itect

e sp

écia

lisé

en s

écur

ité

Niveau de base interne

La solution est-elle assujettie à une exigence légale, réglementaire ou de l’industrie?

Niveau modéré interne

Niveau élevé

interne

Quelle est la classification de l’information manipulée et/ou stockée ?

Sensible

D’après la classification des actifs du Mouvement Desjardins, dans les informations concernées par la solution certaines sont « Confidentielle » ou « Secrète ».Ex. Information personnelle…

Non sensible

D’après la classification des actifs du Mouvement Desjardins, aucune des informations concernées par la solution n’est plus sensible que « Public » ou « Privée ».Ex. Menu de la caféteria… Quelle est la classification de l’information

et quelle est la visibilité de la solution ?

Sensible et/ou forte visibilité

D’après la classification des actifs du Mouvement Desjardins, dans les informations concernées par la solution certaine sont « Confidentielle » ou « Secrète » et/ou la solution possède une haute visibilité.Ex. Portail principal Desjardins, solution de paiement en ligne…

Non sensible et faible visibilité

D’après la classification des actifs du Mouvement Desjardins, aucune des informations concernées par la solution n’est plus sensible que « Public » ou « Privée » et, de plus, la solution ne possède qu’une visibilité faible.Ex. Site promotionnel pour un événement ponctuel…

Niveau de base externe

Niveau élevé

externe

· Fonction de sécurité (ex. Coupe-feux, SSO, etc)

· Outil d’exploitation

· Outil de gestion technologique

ExceptionsQuel est le type d’exposition de la solution ?

Une exigence ou plus

La solution est couverte par une ou plusieurs exigence légales, réglementaires ou de l’industrie.Ex. Système de gestion de paie…

Aucune norme

Aucune des données ou processus concernés par la solution n’implique d’exigence légale, réglementaire ou de l’industrie.Ex. Gestionnaire de code source…

InterneC’est une solution qui ne peut être accédé que depuis l’intérieur du réseau du Mouvement Desjardins.Ex. Portail des employés…

ExterneC’est une solution qui pourrait être accédé depuis l’extérieur du réseau du Mouvement Desjardins.Ex. AccèsD…

Exemple de niveaux de sécurité

• Niveau de sécurité de base– balayage de vulnérabilité automatique– Journalisation de base – authentification simple (code usager / mot de passe)

• Niveau de sécurité modéré– balayage de vulnérabilité manuel– journalisation des principales actions– authentification adaptative (deux informations connues)

• Niveau de sécurité élevé– authentification forte (deux facteurs)– journalisation détaillée de toutes les actions – système de prévention d’intrusion– transmission chiffrée, etc..

Bénéfices de l’approche ISO 27034

• Sécurisation basée sur les besoins de chaque projet

• Consolidation de la sécurisation des solutions TI

• Implication légère d’équipe de sécurité dans les projets


Partie 4

Quand et comment intégrer l’analyse de risque dans un projet

Livrables de sécurité par phase de projet

Étapes de réalisation d’une analyse de risque

20

1.Établissement

du contexte

2.Identification des risques

3.Analyse

des risques

4.Traitement du risque

5.Communication

du risque

Portée de l’analyse

Liste des menaces

Risque Inhérent

Plan de traitement et risque résiduel

•Échelles de probabilité et d’impact et seuil de tolérance au risque (préalables)•Classification des actifs informationnels visés et identification des propriétaires •Diagramme de flux des données•Cadre normatif , légal et réglementaire applicable

•Identification des menaces et des vulnérabilités potentielles•Évaluation de l’impact sur la disponibilité, l’intégrité et la confidentialité de la matérialisation de la menace

•Identification et évaluation des contrôles en place •Évaluation de la probabilité de matérialisation du risque •Comparaison du risque inhérent au seuil de tolérance au risque déterminé par l’entreprise

•Élaboration du plan de traitement des risques (refuser, accepter, mitiger, transférer)•Acceptation du plan de traitement des risques par le propriétaire des actifs informationnels

•Inscription au registre des risques •Divulgation au responsable de la gestion des risques•Suivi et reddition de compte sur la mise en œuvre du plan de suivi

Registre des risques


Partie 5

10 écueils à éviter et autres leçons tirées d’expériences vécues

10 écueils à éviter et autres leçons tirées d’expériences vécues

1. Classification vous dites ? 2. PCI ? Jamais entendu parlé ! 3. L’autosuffisance 4. C’est le problème du fournisseur 5. Le Syndrome du couper / coller (one size fits

all)

10 écueils à éviter et autres leçons tirées d’expériences vécues (suite)

6.L’industrialisation aveugle 7.Le trou noir de sécurité8.La pensée magique 9.La confiance excessive 10.Le bonhomme sept-heures

MERCI DE VOTRE ATTENTION :-)


Annexe

Matériel de référence

Analyse du flux de données

Décrire tout le cycle de vie de l’informationCréation > Traitement > Utilisation > Transmission > Entreposage > Destruction

Considérer tous les médias et supportsPapier, CD, Matériel (Disque dur), Logiciels et Applications, BD, Canaux de communications, etc.

26

• Objectif: Déterminer la valeur de l’actif pour l’organisation afin d’établir des mesures de protection proportionnellement adéquates

• Critères de classification :

1. Disponibilité

2. Intégrité

3. Confidentialité

SÉANCE 6 27

Classification des actifs

Classification des actifsNiveau de confidentialité - Exemple

28

Niveaux Définitions Exemples

Public Information dont la divulgation publique a été autorisée par son propriétaire et qui n’est pas susceptible de causer un préjudice à l’organisation

Services et coordonnées de l’entreprise

Privé ou interne

Information dont la divulgation sans autorisation préalable à l’extérieur de l’organisation pourrait causer un préjudice à l’organisation, sans avoir cependant d’impact sur ses activités .

Bottin des employés, procédures administratives

Confidentiel Actif dont la divulgation sans autorisation préalable est susceptible de causer un préjudice significatif à l’organisation ou à ses clients.

Renseignements personnes sur les clients, coût de revient des produits

Secret Actif dont la divulgation sans autorisation préalable est susceptible de causer un préjudice d’une très grande gravité à l’organisation.

Projet d’acquisition d’une entreprise, brevet en développement

Classification des actifs Niveaux d’intégrité – Exemple


Faible Information pour laquelle l’organisation peut tolérer certains écarts (restant cependant acceptables) d’autant plus que les impacts qui y sont associés ont beaucoup moins d’importance.

Liste des cours suivis par les employés, compétences recherchées par poste

Modéré Information qui se doit d’être exacte et dont l’inexactitude peut avoir des conséquences significatives sur l’organisation.

Feuilles de temps du personnel, statistiques sur les ventes

Élevé Information qui se doit d’être exacte en tout temps et dont l’inexactitude peut avoir des conséquences grave pour l’organisation ou ses clients.

Transactions financièresInformation médicale

29

Classification des actifs Niveaux de disponibilité - Exemple


Faible Information dont l’impact de non-disponibilité est minime. On considère qu’une interruption pouvant aller jusqu’à un 24 heures demeure acceptable.

Rapports de gestion

Modéré Information dont la non-disponibilité apporte des impacts moins importants sur les opérations de l’organisation. On considère qu’une interruption maximale de 4 heures resteacceptable.

Information requise pour la production d’états de compte

Élevé Information pour laquelle on doit assurer la disponibilité presque en tout temps. On considère qu’une interruption maximale de 1 heure est acceptable.

Information sur les comptes clients

30

Évaluation de l’impact - exempleCote Impact

Financier Clients Employés Réputation Conformité

1très

faible

< 100 K Peu d’impact sur les clients ou disponibilités des produits

Peu ou aucun impact sur le climat de travail

Peu ou pas de couverture médiatique

Peu ou pas d’impact au niveau des autorités réglementaires

2faible

> 100 K< 500 K

Cas isolé de pertes de clients, récurrences des plaintes sur les délais et les erreurs de produits

Impact à court terme sur le climat de travail

Couverture médiatique de courte durée

Peu d’impact sur le droit d’opérer

3modérée

> 500 K< 800 K

Diminution de la rétention des clients, plusieurs problèmes nécessitant des solutions temporaires ressources additionnelles

Impact ressenti sur la mobilisation et l’absentéisme

Couverture médiatique importante et constante

Compromet la crédibilité auprès des autorités réglementaires

4élevée

> 800 K< 1 M

Perte significative de clients, plusieurs problèmes importants et persistants

Perte de ressources clés et augmentation du taux de roulement

Impact important sur l’image de marque et la perception des clients

Imposition de restrictions au droit d’opérer

5très

élevée

> 1 M Problème endémique de qualité du service, détérioration marquée de la capacité à offrir les produits

Exode massif des ressources, climat conflictuel

La réputation ne peut qu’être rétablie à long terme

Révocation du droit d’opérer une ou plusieurs activités

31

Évaluation de la probabilité – Exemple

Cote Probabilité

1(très faible)

Il est difficile d’envisager que le risque puisse se réaliser. Pas de précédent connu dans l’industrie ou l’organisation

2(faible)

Le risque pourrait se réaliser, mais la probabilité est peu significative. Pas de précédent connu dans l’organisation.

3(modérée)

Il est envisageable que le risque puisse se réaliser, mais il y a peu de précédent connu dans l’industrie ou l’organisation.

4(élevée)

Il est facilement envisageable que le risque puisse se réaliser, car il y a quelques précédents connus dans l’industrie ou l’organisation.

5(très élevée)

Il est presque certain que le risque se réalisera si rien n’est fait. Plusieurs précédents sont connus dans l’industrie ou l’organisation.

32

Grille d’évaluation du risque

Documents

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets