15-18 octobre 2013, Autrans

Journées Qualité en Chimie II

Atelier gestion des risques

Prévention & Sécurité (S. Boullanger)

Sécurité de l’information (A. Rivet)

Le laboratoire : un patrimoine scientifique

convoité

la réputation du laboratoire

La valorisation de la recherche

le portefeuille de contrats de recherche (organismes publics,

entreprises privées…)

les données informationnelles

les compétences (savoir, savoir faire)

le potentiel technique (infrastructures,

installations, matériels…)

D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS

l’espionnage visant des secrets de

défense à des fins de prolifération ou de

terrorisme

l’espionnage scientifique et

industriel

l’altération de données

l ’atteinte à la disponibilité ,

intégrité, confidentialité de

l’information

l ’utilisation frauduleuse de

moyens informatiques

l ’atteinte à des personnes ou des

biens

mais aussi les risques juridiques

(civils, pénaux) ….

…soumis à des menaces !

D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS

Disponibilité de l ’outil de travail

Intégrité des systèmes et des

personnes

Protection de données sensibles • données du patrimoine

scientifique

• données de gestion • données individuelles

Protection juridique • Risques administratifs

• Risques pénaux

• Protection de l’image de marque

Les enjeux de la Sécurité des SI Finalité « protection du patrimoine scientifique »

Appréhender la

sécurité de

l’information sous

l’angle du

management permet

de dépasser le stade

purement technique

de la SSI.

La norme ISO 27001

La technologie

L’individu

La procédure

Les différentes étapes de mise en place du

SMSI

Risque en sécurité de l’information

Risque : Possibilité qu'une menace puisse exploiter

une vulnérabilité d'un actif et causer ainsi un préjudice à l'organisation

Mesuré par combinaison de : • Probabilité d'occurrence ou potentialité de

l'évènement

• Impact, conséquence ou préjudice

► Impact : plutôt "Sécurité de l'information"

► Conséquence : plutôt processus métier, organisme

Menace Vuln

éra

bilité

Actif

Impact

Conséquence

ou Préjudice

Exploite

Cib

le

Possède

Cau

se

Permet la réalisation

Pro

vo

qu

e

Analyse de risques

Exercice système d’information

Appréciation des risques sur un cas d’école

Projet de travail de groupe :

• Identifier les risques

• Effectuer une appréciation des risques

• Mettre en place un traitement du risque

Utilisation d’un portable par un chercheur

Étude de cas :

Utilisation du portable par un chercheur lors de ses déplacements :

• Le disque dur contient des résultats de recherche et des informations

stratégiques (courriels échangés avec des partenaires industriels, rapport

de recherche, projet de brevet)

• Ce chercheur se déplace régulièrement à l’étranger et utilise son

ordinateur dans des endroits publics exposés : aéroports, gares, hôtels...

• La seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur

Définition des critères

Echelle de valorisation des actifs

0 (valeur négligeable) : les effets ne sont pas décelables

1 (valeur faible) : affecte essentiellement des éléments de confort

2 (valeur significative) : affaiblit la performance de l’unité

3 (valeur élevée) : affecte l’organisme

4 (valeur critique) : mets en danger les missions essentielles de

l’organisme

Critères d'évaluation des risques

Probabilité d’occurrence

Basse Moyenne Haute

Facilité d’exploitation

Difficile Moyenne Facile Difficile Moyenne Facile Difficile Moyenne Facile

Valeur de l’actif/niveau de

l’im

pact

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6 7

8

Cinq niveaux dans les critères d’évaluation

du risque :

1.Risques nuls (vert : 0)

2.Risques négligeables (Jaune : 1-2)

3.Risques significatifs (Rose : 3-4)

4.Risques graves (Rouge : 5-6)

5.Risques vitaux (Bordeaux : 7-8)

Grille de calcul

Analyse de risques

Exercice prévention et sécurité

Situation à analyser

Situation à analyser

Situation à analyser

Tableau d’analyse de risques

Facteur

de risque

Modalité

d’exposition

Moyens

de prévention

en place

Carences

Dysfonction

nement

cotation Proposition

d’amelioration

Nouvelle

cotation

observations

Sachant qu’une dizaine de personnes travaillent quotidiennement dans ce

laboratoire

Analyse de risques

Retour exercice système

d’information

Identification des risques

A partir d’exemples de scénario/conséquence

Scénario d'incident Impact/Conséquence

Au cours du passage à la douane le disque dur,

qui comportait un article en cours de rédaction, est

recopié.

La perte de l’article et des résultats de recherche

empêche sa publication.

Un brevet en voie de dépôt, des courriels

échangés au sein de la collaboration de recherche

et des négociations entre des partenaires

industriels ont été espionnés.

Un industriel concurrent dépose un brevet de barrage.

Perte d’image du laboratoire

Perte de confiance des partenaires industriels

Difficulté au sein de la collaboration de recherche

Actifs Menaces Vulnérabilités

Actifs primordiaux

Informations stockées

sur l’ordinateur

portable

Pertes d’efficacité/

pertes de contrats

Possibilité de transfert

des informations

sensibles à des

organismes hostiles

Faible sensibilisation des chercheurs : le processus de

publication est un actif dont la perte affecte la

performance (les résultats de recherche sont donc un

actif critique)

Stockage en clair des données du laboratoire

(informations stratégiques) et de données à caractère

privé et des

Actifs de soutien

Ordinateur portable

Vol de l’ordinateur

portable

Caractère mobile de l'ordinateur portable

Identification des risques Exemples de vulnérabilités liées aux actifs

Actif

Pro

bab

ilité

d’o

ccu

rren

ce

Fac

ilité

d’e

xp

loita

tion

Niv

eau

de

risq

ue

Traitement du risque

Nom Valorisati

on

Données utilisateur 3

Ha

ute

Mo

ye

nn

e

6

Objectif: Maintenir l’intégrité et la disponibilité des informations et des moyens

de traitement de l’information.

A.10.5.1 - Sauvegarde des informations

Mesure : Des copies de sauvegarde des informations et logiciels doivent être

réalisées et soumises régulièrement à essai conformément à la

politique de sauvegarde convenue.

Objectif: Protéger la confidentialité, l’authenticité ou l’intégrité de l’information

par des moyens cryptographiques

A.12.3.1 - Politique d’utilisation des mesures cryptographiques

Mesure : Une politique d’utilisation des mesures cryptographiques en vue de

protéger l’information doit être élaborée et mise en oeuvre.

Ordinateur portable 2

Mo

ye

nn

e

Mo

ye

nn

e

4

Objectif: Empêcher l’accès d’utilisateurs non habilités et la compromission ou

le vol d’informations et de moyens de traitement de l’information

A.11.3.2 - Matériel utilisateur laissé sans surveillance

Mesure : Les utilisateurs doivent s’assurer que tout matériel laissé sans

surveillance est doté d’une protection appropriée.

Objectif: Garantir la sécurité de l’information lors de l’utilisation d’appareils

informatiques mobiles et d’équipements

de télétravail.

A 11.7.1 - Informatique mobile et télécommunications

Mesure : Une procédure formelle et des mesures de sécurité appropriées

doivent être mises en place pour assurer une protection contre le risque lié à

l’utilisation d’appareils informatiques et de communication mobiles.

Appréciation du risque (et traitements)

Mesures de sécurité (annexes ISO 27001)

Déclaration d’applicabilité (DdA)

Conclusion sur la sécurité de l’information

• Exigences de sécurité

• Objectifs de sécurité

• Mesures de sécurité

• ISO 27001 est un guide pour la mise en place d’un SMSI

• ISO 27002 est la description détaillée des mesures de sécurité de

l’annexe A de l’ISO 27001

• ISO 27005 : Guide de mise en œuvre de la partie appréciation des

risques de la sécurité de l'information de l'ISO 27001

Situation à analyser

Situation à analyser