Embed Size (px)
Citation preview
CRiP Thématique Sécurité du SI 19/03/2014
Jean-Paul JOANANY - RSSI
Approche Méthodologique de la Gestion des vulnérabilités
CRiP Thématique Sécurité du SI 19/03/2014
Generali un grand nom de l’Assurance
• Le Groupe Generali • Generali en France
• 60 pays
• 65 millions de clients
• 80.000 collaborateurs
• 70 Mds€ de CA annuel
• 6 millions d’assurés
• 7000 salariés et C.Ciaux
• 3000 agents et collab.
• Près de 14 Mds€ de CA
CRiP Thématique Sécurité du SI 19/03/2014
Une entreprise unique depuis 2007
CRiP Thématique Sécurité du SI 19/03/2014
2 Réseaux salariés 1700 conseillers commerciaux
Agents généraux 1000 Agents Généraux 1400 points de vente
Courtiers Generali, 2è fournisseur national des courtiers (1500 apporteurs réguliers)
Conseillers en gestion de patrimoine 1500 CGPI indépendants
Internet De grands partenaires Internet
dans le domaine de l’épargne et un site marchand, generali.fr
Partenariats Des partenaires bancaires importants
Une politique de distribution multiforme & ambitieuse
CRiP Thématique Sécurité du SI 19/03/2014
Support Departments
Applications Development IT Production
Architecture
Human Ressources
EngineeringOperations
Management
Services
Management
Integration
Applications Development Team
Methodology & Quality
Business Continuity
Management
Business
Departments
Logical Access Security
Emergency
Management
Physical Access Security
SECURITY CONTINUITY
Risks & Security Committees
Communication
Purchase
Legal
Compliance
Disaster Recovery
Plan
Risks Management
Risks Management DepartmentInternal Audit
IT Security Health & Safety
CISO Physical Security Manager
Authorizatio
n
La Sécurité des Systèmes d’Information - Une responsabilité partagée -
CRiP Thématique Sécurité du SI 19/03/2014
WATCHES
CONTROL
OPERATIONSGOVERNANCE
ISS_DEF – Policies Definition
ISS_RSK – Risks Management
ISS_REP – Reporting
ISS_ARC – Architecture
ISS_COM – Communication
ISS_MON – Monitoring
ISS_PAT – Patches Management
ISS_ACC – Access Management
ISS_INC – Incident Management
ISS_CRI – Emergency Management
ISS_PRJ – Projects Support
ISS_USR – Users Support
ISS_DRP – Disaster Recovery Plan
ISS_ACT – Security Projects
ISS_AUT – Authorization Management
ISS_AUD – Audit
ISS_TEC – Technology Watch
ISS_LEG – Legal Watch
ISS_CYB – Cybercrime WatchISS_FOR – Forensics
ISS_CMP – Compliance
ISS_PMO – Project Management
La Sécurité des Systèmes d’Information est organisée en 4 grands types d’activités
Ces activités sont réparties entre le RSSI, la Sécurité Opérationnelle, le Contrôle
Interne de la DSI, et les autres équipes informatiques (Production, Etudes).
La Sécurité des Systèmes d’Information - Processus et Activités -
CRiP Thématique Sécurité du SI 19/03/2014
Caractère de ce qui est vulnérable ; Synonymes : Fragilité, Précarité
Une ressource exposée à 5 types de risque (AFNOR) :
Humaine (atteintes aux personnes),
Technique (atteintes aux biens et techniques),
Information (Pertes d’informations),
Partenariat (Dommages aux partenaires),
Finance (Pertes de revenus)
Les causes : Evènements aléatoires dont la survenance priverait le S.I de
son intégrité ou d’une de ses ressources, partiellement ou totalement, et
de façon temporaire ou définitive.
Les conséquences qu’entraînerait une perte d’intégrité du S.I ou de
l’une de ses ressources, qu’elle soit partielle, totale, et de façon
temporaire ou définitive
En termes propres à la Cyndinique (science des risques) : Une
vulnérabilité d’un système d’information est un point faible qui peut
être défini par :
La Gestion des Vulnérabilités - Définitions -
CRiP Thématique Sécurité du SI 19/03/2014
Quels sont les éléments ou composants (critiques) du Système
d’information qui présentent des vulnérabilités ou faiblesses ?
Identifier les ressources ou actifs à risques
Limiter les conséquences
Prévenir les causes Comment et pourquoi des actifs qui renferment des vulnérabilités
sont-elles présentes dans le Système d’Information ?
Est-ce que des mesures existent et sont actuellement déployées
pour en limiter les effets?
N’est-on pas dans la Gestion de risques ?
Le Système d’Information présente-t-il des faiblesses ?
La Gestion des Vulnérabilités - Objectifs -
Ces faiblesses pourraient-elles être exploitées?
CRiP Thématique Sécurité du SI 19/03/2014
La Gestion des Vulnérabilités - Approche par l’Architecture -
INFRASTRUCTURE
Postes de travail
Systèmes d’Exploitation
Virtualisation
Stockage
Réseau
Serveurs
Datacenters
MIDDLEWARE
APPLICATIONS
PROCESSUS
Applications Métiers
Progiciels
UTILSATEURS L’Architecture pour un Système d’Information sécurisé
ITIL
ISO2700x
CMMI
CoBIT
Solvency II (Assurance)
Référentiels
Disponibilité
Intégrité
Confidentialité
Traçabilité et Preuves
Performance
Résilience
Conformité réglementaire
Exploitabilité
Justesse
Propriétés Chiffrement (SSL),
VPN,
DMZ,
Firewalls,
Proxies,
Gateways,
Antivirus,
Anti-malwares,
IDS/IPS
SIEM
Supervision,
Plan de Sauvegarde,
Plan de Secours Informatique
Security Operations Center,
Gestion des Habilitations,
Gestion des Identités,
Gestion des Accès,
Gestion des Incidents,
Gestion des vulnérabilités,
Audits
Moyens
No
n e
xh
au
sti
f
CRiP Thématique Sécurité du SI 19/03/2014
INFRASTRUCTURE
Postes de travail
Systèmes d’Exploitation
Virtualisation
Stockage
Réseau
Serveurs
Datacenters
MIDDLEWARE
APPLICATIONS
PROCESSUS
Applications Métiers
Progiciels
UTILSATEURS
Les utilisateurs sont des ressources fragiles et il est nécessaire de les protéger.
C’est plutôt du domaine de la RH et de la Sécurité des Personnes.
Les utilisateurs sont des vulnérabilités et il est nécessaire de s’en protéger.
Les comportements ou habitudes des utilisateurs sont à risques, et il est nécessaire de s’en protéger.
C’est à adresser par des Formations et des Campagnes de Sensibilisation.
La Gestion des Vulnérabilités - Les Utilisateurs -
CRiP Thématique Sécurité du SI 19/03/2014
INFRASTRUCTURE
Postes de travail
Systèmes d’Exploitation
Virtualisation
Stockage
Réseau
Serveurs
Datacenters
MIDDLEWARE
APPLICATIONS
PROCESSUS
Applications Métiers
Progiciels
UTILSATEURS
La complexité de certains processus (métiers et informatiques ) induisent des vulnérabilités pouvant avoir des conséquences sur l’Entreprise en général et le S.I en particulier.
Davantage de rigueur
Conception des processus et des organisations
Gestion des profiles et des habilitations
Davantage de contrôles
Cellules de lutte contre la Fraude,
Cellules de lutte contre le Blanchiment et le Financement du Terrorisme (LCB-FT),
Conformité Réglementaire,
Contrôle Interne,
Audits (Internes ou Externes)
La gestion des vulnérabilités - Les Processus -
CRiP Thématique Sécurité du SI 19/03/2014
INFRASTRUCTURE
Postes de travail
Systèmes d’Exploitation
Virtualisation
Stockage
Réseau
Serveurs
Datacenters
MIDDLEWARE
APPLICATIONS
PROCESSUS
Applications Métiers
Progiciels
UTILSATEURS
Problématiques
Multiplicité des technologies,
Multiplicité des acteurs,
Manque de visibilité,
Documentation « perfectible »,
Contraintes de Production,
Etc.
Qui doit être concerné?
Le RSSI,
La Sécurité Opérationnelle,
Les Architectes et Urbanistes,
Les responsables d’exploitation,
Les administrateurs,
Les experts,
Etc.
La gestion des vulnérabilités - L’Infrastructure -
CRiP Thématique Sécurité du SI 19/03/2014
La gestion des vulnérabilités - La Méthode -
Signalement Analyse Validation Déploiement
Signalement
• Veille technologique
• Informations / Avertissements éditeurs, fournisseurs, CERT ou autres.
• Rapport de tests d’intrusion, d’audits ou de scan de vulnérabilités.
• Déclarations d’incidents provenant d’utilisateurs.
• Alertes remontées par les systèmes de supervision
• Mise à jour de la base des vulnérabilités
Analyse
• Recherche de correctifs et/ou des mesures de protection appropriée.
• Etude d’impacts (Opérationnels, financiers, juridiques, réputation).
• Evaluation de la criticité (Critique, Elevé, Modéré, Faible)
• Planification en tenant compte des règles de sécurité définies et des contraintes de production
• Mise à jour de la base des vulnérabilités
Validation
Du RSSI et/ou du Comité Sécurité.
• Moyens pour réduire le risque disproportionnés par rapport au risque lui-même.
• Délai pour le déploiement non conforme aux règles.
• Le composant doit être prochainement désendetté.
• Mise à jour de la base des vulnérabilités.
Déploiement
• Packaging
• Test (Pilote)
• Généralisation
• Vérification de l’efficacité des correctifs
• Mise à jour de la base des vulnérabilités.
CRiP Thématique Sécurité du SI 19/03/2014
Les Responsables d’équipes
Exercer une veille sur leurs périmètres (technologies ou applicatifs),
Analyser les vulnérabilités découvertes,
Piloter le déploiement des correctifs,
Etablir un reporting des vulnérabilités de son périmètre.
La gestion des vulnérabilités - Rôles et Responsabilités -
Le RSSI
Exercer une veille sur les menaces potentielles
Valider les demandes de dérogation aux règles de sécurité.
Consolider un reporting permettant de restituer le niveau de vulnérabilité global du S.I
Les Architectes Techniques
Mêmes responsabilités que les Responsables d’équipes
Tenir compte des vulnérabilités connues dans leurs préconisations d’architecture pour les nouvelles fonctionnalités ou applications.
Exercer une veille concernant les outils de développement (IDE, Frameworks, Web Services, etc.)
CRiP Thématique Sécurité du SI 19/03/2014
INFRASTRUCTURE
Postes de travail
Systèmes d’Exploitation
Virtualisation
Stockage
Réseau
Serveurs
Datacenters
MIDDLEWARE
APPLICATIONS
PROCESSUS
Applications Métiers
Progiciels
UTILSATEURS
La gestion des vulnérabilités - La sécurité dans les Développements -
Prise en compte au plus tôt de la sécurité dans les projets
Phase de Spécification
Analyse de Risques orientée Métier (Fraude)
Identification des données mises en jeu
Analyse de Risques
Définition des profiles et des habilitations
Phase de Conception
Choix des composants et/ou progiciels
Analyse de risques orientée Technique (Revue de l’architecture)
Définition (voire exécution) des tests de sécurité
Phase de Qualification
Audit de codes
Scan de vulnérabilités
Tests de pénétration
Tests de robustesse / Tests de montée en charge
CRiP Thématique Sécurité du SI 19/03/2014
La gestion des vulnérabilités - Les prochaines étapes -
Complétude des périmètres
Impliquer davantage de responsables d’équipe
Prise en compte de davantage de technologies
Prise en compte des services externalisés
Automatisation des Reportings
Homogénéisation des formats,
Centralisation des bases de vulnérabilités
Intégration
Outils de gestion des déploiement,
Configuration Management DataBase
CRiP Thématique Sécurité du SI 19/03/2014
Questions Questions / Réponses
