Gouvernance de la sécurite des Systèmes d'Information Volet-1

VOLET 1

1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

Philippe PRESTIGIACOMO - Dirigeant de PRONETIS� Consultant SSI – Lead Auditor 27001 / Risk Manager 27005

� Membre du GREPSSI, OWASP

� Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)

PRONETIS – www.pronetis.fr� Société indépendante spécialisée en SSI

� Audit – Conseil – Formation – Lutte contre la fraude informatique


AGENDA VOLET I

� Module N°1 : Rappels� Quelques chiffres - Statistiques

� Système d’information industriel – état des lieux

� Problématiques spécifiques des SI industriels

� Domaines d’exploitation – Impacts majeurs

� Évolution de la sécurité

� Module N°2 : Management de la sécurité� Périmètre de la sécurité et les axes stratégiques

� Système de management de la sécurité Norme ISO 27001

� Fonction RSSI : Rôles et missions – Positionnement

� Difficultés de la sécurité des systèmes d’information

� Module N°3 : Gestion des risques � Gestion des risques - État des lieux

� Définitions, métriques et illustrations

� Module N°4 : Méthode EBIOS - Exemple� Méthode EBIOS étape par étape

� Illustration avec une étude de cas


� Module N°5 : Politique de sécurité� Définition d’une politique cadre et des politiques

ciblées de sécurité

� Exemples de politiques de sécurité

� Normes de sécurité - Normes 27001, 27002

� Module N°6 : Plan d’action et contrôles� Plan d’action sécurité et budget

� Audit de sécurité fonctionnel et technique

� Tableau de bord sécurité

� Pour aller plus loin� Livre

� Magazine

� Articles - Web

TRAVAIL PERSONNEL

� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture des chapitres suivants

� Chapitre 1 Principes de sécurité : 1.1, 1.2, 1.3

� Chapitre 2 Cybercriminalité : 2.5, 2.6

� Chapitre 3 Gouvernance et Stratégie : 3.1 à 3,6

� Chapitre 4 Politique de Sécurité : 4.1 à 4,4, 4.6, 4.7


MODULE N°1 : RAPPELS


QUELQUES CHIFFRES – STATISTIQUES CLUSIF

DÉFINITION DU SYSTÈME D’INFORMATION INDUSTRIEL

CARACTÉRISTIQUES ET VULNÉRABILITÉS DES SI INDUSTRIELS

DOMAINES D’EXPLOITATION

ACTEURS DU SYSTÈME D’INFORMATION

IMPACTS MAJEURS

VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ

ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION


CONTEXTE

CYBER-ATTAQUES INDUSTRIELLES

� Piratage du système d’adduction d’eau de Springfield

� Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail

� En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement

� En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards.


http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html

SYSTÈME D’INFORMATION INDUSTRIEL

� Les systèmes d’automatisme ou systèmes de contrôle industrielsont utilisés pour de multiples applications� Usine classique : chimie, agro, automobile, pharma, production d’énergie…

� Sites plus vastes : traitement de l’eau, des réseaux de transport…

� Gestion de bâtiment (aéroport, hôpitaux…)

� Propulsion de navire

� Santé : biomédicale, laboratoire d’analyse …

Les systèmes industriels contrôlent les infrastructurescritiques depuis les réseaux électriques au traitement del'eau, de l'industrie chimique aux transports. Ils sontprésents partout.

8 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS

� Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) ,disponibilité 24/7

� Environnement physique : ateliers de production : poussière, température,vibrations, électromagnétisme, produits nocifs à proximité, environnement extérieur, etc.

� Durée de vie des équipements : plus de 10 ans (parfois 30 ou 40 ans)

� Multiples technologies et fournisseurs : la grande durée de vie des installationsconduit à une « superposition » des vagues technologiques successives sur un mêmesite entrainant un phénomène d’obsolescence des matériels et logiciels.

� Couvertures géographiques : dans des entrepôts, des usines, sur la voiepublique, dans la campagne (stations de pompage, sous-stations électriques, etc.), deslieux isolés, en mer, dans l’air et dans l’espace Effets indésirables de la mise en œuvrede la sécurité

� Télémaintenance : accès à distance sur les automates

� Culture sécurité : automaticiens, instrumentistes électrotechniciens, spécialistes engénie du procédé


La sécurisation des systèmes industriels passent par lacompréhension de leurs spécificités et de leurs contraintes

ARCHITECTURE TYPIQUE


Combinaison du monde industrielavec le monde informatique

VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS

Vulnérabilités intrinsèques aux systèmes industriel s� Peu de prise en compte de la sécurité lors des phases de conception,

d’installation, d’exploitation et de maintenance

� Automates et composants industriels en production avec des configurations par défauts et mots de passe par défaut

� Informations accessibles – les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut.

� Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l’Internet et ignorance de la menace extérieure

� Des opérateurs non formés à la sécurité informatique


CE QUE L’ON OBSERVE SUR LE TERRAIN


Personnel non sensibilitéAux enjeux / risques

Virus – erreur dedonnéesMauvaise configuration

Pare-feu & intrusion

Console de programmation Infectée – modificationapplication API

Virus – envoi aléatoire de requêtes Modbus

Mot de passeAdmin par défaut

OS APINon à jour

Opérateurs de maintenancenon formés

Pas de cartographiedes flux API

Clé USB infecté

STATISTIQUESCLUSIF 2014


STATISTIQUESCLUSIF 2014


DOMAINES D’EXPLOITATION

Industrie Transports Energie Défense



LE SYSTÈME D’INFORMATION (S.I.)

Le S.I. doit permettre et faciliter la mission de l’organisationLa sécurité du S.I. consiste donc à assurer la sécurité del’ensemble de ces biens.

Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs :

personnesite matériel réseau logiciel organisation

actifs primordiaux

actifs supports

processus métiers et informations

ISO/IEC 27005:2008

VUE DE QUELQUES ACTEURS DU SYSTÈME D’INFORMATION

Entreprise

LAN / station de travail

Environnement

Informatique et télécom

Equipements

de sécurité

Fournisseur

d’accès

Fournisseurs de services

- Opérateurs Télécom

- Hébergeurs,

- Paiement sécurisé,

- Sites de sauvegarde et secours

Environnement

Général : EDF

Intervenants

en amont

dans la conception

et la réalisation

des environnements

Personnel

Serveurs

Prestataires

de services

infogérance



� La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts

LA SÉCURITÉ INFORMATIQUE

Impacts financiersInterruption de la production Modification des paramètres

de fabrication

Impacts juridiqueset réglementaires

Impactsorganisationnels

Impacts sur l’imageet la réputation

Sécuritédes S.I.

Dommages matériels et/ou corporelsResponsabilité civil ou pénale

Impact environnementalPollution du site de production et de l’environnement

VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ


• Anti-virus• Anti-Spyware,• Anti-rootkids• …

• Détecter les vulnérabilités• Appliquer les Correctifs

• Sondes IDS• Analyse des traces

•Supervision, Veille,•Surveillance

• Firewall• Compartimenter le réseau et les systèmes

• Sécuriser et certifier les échanges (VPN / Mails chiffrés)

• Former et sensibiliser les utilisateurs• Consignes en cas d’attaque ou de doutes

• Mise en œuvre de procédures de sécurité• Plan de continuité

•Sauvegarde et protection des supports•Redondance des systèmes

• Classifier les données• Analyse de risques• Protéger des données• Accès restrictifs

Gestion de la sécurité (non exhaustif)

Données

•Protéger et isolerles réseaux sans fil

ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION


Source : Denis Virole Telindus et Jean-Louis Brunel

DÉCLINAISON DES BONNES PRATIQUES


Source : Jean-Louis Brunel

Détection d’intrusionCentralisation des logsAudit / Tests intrusifs

Cours 3A Cours 4A

APPROCHE SÉCURITÉ

� Difficultés d’appliquer les standards de sécurité dessystèmes d’information de gestion

� Une approche différente à construire pour les systèmesd’information industriels « tout en adaptant les recettesexistantes de sécurité »

La gestion du risque, la maîtrise des techniques desécurisation deviennent des compétencesindispensables pour les entreprises dans les secteursindustriels.


PAUSE-RÉFLEXION

Avez-vous des questions ?


RÉSUMÉ DU MODULE


Chiffres

Statistiques

Caractéristiques des SI

Industriels

Vulnérabilités

des SI Industriels

Domaines d’exploitation

Impacts majeurs

Évolution de la sécurité des SI

SI : Systèmes d’Information

MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ


PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ - PDCA -27001

FONCTION RSSI : RÔLES ET MISSIONS - POSITIONNEMENT

DIFFICULTÉS DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

Concevoir et manager un dispositif de sécurité adapté nécessite :– Une bonne connaissance / évaluation des risques– Une approche globale et transversale faisant interagir les fonctions

Direction Générale, Direction de la Sécurité des Systèmesd'Information, Direction du Contrôle Interne et Direction de l'Audit

– Un modèle de conception dynamique qui intègre l’ évolution desarchitectures et des menaces.

Une problématique complexe

PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ


Le SMSI (Système de Management de la Sécurité de l’Information) doit être cohérent avec les objectifs métiers de l’organisme et cohérent avec le système de management de la qualité

La sécurité du SI doit être abordée d’une manière globale avec une volonté affichée et un appui de la direction

Les seules réponses techniques à la problématique sécurité sont insuffisantes sielles ne sont pas sous-tendues par une approche structurée i ntégrant lescomposantes :

� Stratégique� Économique� Organisationnelle� Humaine


PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ

Les priorités portent désormais davantage sur les aspects d’organisation et de management.

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI� Norme ISO-27001


SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI� Norme ISO-27001


SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI


� Phase PLAN - Fixer des objectifs et des plans d'actions� Identification des actifs ou des biens ;

� Analyse de risques ;

� Choisir le périmètre

� Phase DO - Mise en œuvre et exploitation des mesures et dela politique� Établir un plan de traitement des risques ;

� Déployer les mesures de sécurité ;

� Former et sensibiliser les personnels ;

� Détecter les incidents en continu pour réagir rapidement.

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI


� Phase CHECK - Mesurer les résultats issus des actions mis es en œuvre� Audits internes de conformité et d’efficacité du SMSI (ponctuels et planifiés) ;

� Réexaminer l’adéquation de la politique SSI avec son environnement ;

� Suivre l'efficacité des mesures et la conformité du système ;

� Suivre les risques résiduels.

� Phase ACT� Planifier et suivre les actions correctrices et préventives





MÉTIERS EN CYBER SÉCURITÉ


La cybersécurité est transverse à toute activité qui requiert de l’informatique et desréseaux de télécommunications, de la TPE à la multinationale, dans le domaine privéou public.

Exploitants

Administrateurs

Techniciens supports

Direction systèmes d’information et télécom

Responsable SSI - RSSI : gouvernance et gestion de crise

Etudes et services d’ingénierie MOA/MOE

Ingénieurs d’étude SSI : analyse de risque, politique de sécurité, audit

Opérationnels SSI : intégration, configuration, administration, supervision et réaction

Positionnement des métiers au sein des organisation s

Fon

ctio

ns



Gouvernance de la sécuritéGouvernance de la sécurité

Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expressionde besoin jusqu’au retrait de l’exploitation sous la responsabilité de lagouvernance globale de l’organisation.

Exploitation / maintien de condition de sécurité

Validation / audit organisationnel / test intrusion

Expression de besoin / maitrise d’ouvrage (MOA)

Conception d’architecture / maitrise d’œuvre (MOE)

Développement logiciel ou composant matériel

veille des vulnérabilités / analyse forensics

Intégration de produit / déploiement d’architecture

Cartographie des métiers et compétence en SSI



b. Cartographie des métiers et compétence en SSI

ÉtudeExploitation / Maintenance

Gestion des incidents, des crises

Mét

iers

Pha

ses

Implémentation, déploiementConception

Auditeur organisationnel

Auditeur technique

RSSI, Technicien support

Investigateur numérique

Ingénieur de sécurité, architecte de sécurité, développeur de sécurité,

Consultant

Analyste dans un SOC

LA FONCTION DE RSSIDéfinition des principes ou règles applicables

Coordination des actionsAnimation du réseau de correspondants

Evaluation régulière du niveau de sécuritéIntégration de la sécurité dans les projetsEvaluation des risquesVeille sécuritaireSurveillance – gestion des incidents

Promotion de la politique de sécuritéCoordination des actions de sensibilisationConseil en matière de sécurité


ORGANISATION DE LA SÉCURITÉ


RÉMUNÉRATION DU RSSI

(analyse effectuée 2009 - Assises de la sécurité)

Une répartition dessalaires qui varie peuavec un salaire moyenquasi stable à 73,8 k€contre 73,4 k€ en 2008.


SOURCE ZDNET 2011

68K€ pour un RSSI avec 5 à 8 ans d'expérience soit 4.533 € net par mois. 85K€ de salaire moyen entre 10 et 15 ans d'ex périence soit 5.666 € net par mois … et plus de 100K€ au-delà de 15 ans d'expérience.

FREINS A LA SECURITE : CLUSIF 2014


Le premier frein principal reste le manque de moyens budgétaires

LES DIFFICULTÉS DE LA SÉCURITÉ

� Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine� L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de

comprendre ses besoins et de mettre en œuvre les moyens adéquates

� Performance et confort d’utilisation Versus Sécurité� Les mécanismes de sécurité consomment des ressources

additionnelles� La sécurité interfère avec les habitudes de travail des usagers

� Ouverture vers le monde extérieur en constante progression� Les frontières de l’entreprise sont virtuelles ex : télémaintenance

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41

LES DIFFICULTÉS DE LA SÉCURITÉ

� Centre de coût versus centre de profit� La justification des dépenses en matière de sécurité n’est pas évidente� Le retour sur investissement en sécurité est un exercice parfois difficile

� La sécurité n’est pas une fin en soi mais résulte d’un compromis entre :- un besoin de protection ;- le besoin opérationnel qui prime sur la sécurité (coopérations,

interconnexions…)- les fonctionnalités toujours plus tentantes offertes par les technologies

(sans fil, VoIP…)- un besoin de mobilité (technologies mobiles…)- des ressources financières et des limitations techniques


LA SÉCURITÉ EST UN PROCESSUS CONTINU

� La sécurité ne se met pas en œuvre en une seule fois� Elle fait partie intégrante du cycle de vie du système� Il s’agit d’un processus itératif qui n’est jamais fini et doit être

corrigé et testé régulièrement

La sécurité n’est pas une activité ponctuelle :


« La sécurité absolue est inatteignable, c’est un voyage, pas une destination »

PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Périmètre axes

stratégiques

Système de management de

la sécurité - PDCA -27001

Difficultés et freins de la sécurité des

systèmes d’information

Fonction RSSI : Rôles et

missions -positionnement

Enquête

CLUSIF 2014

SI : Systèmes d’Information

MODULE N°3 : GESTION DES RISQUES


MÉTHODOLOGIE - ANALYSE DE RISQUES

ÉTAT DES LIEUX – CLUSIF 2014

DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS

MÉTHODES D’ANALYSE DE RISQUES

PRÉSENTATION DE LA NORME ISO/IEC 27005

ANALYSE DE RISQUES

� La première étape du management de la sécurité des systèmesd'information doit rendre intelligible les risques qui visent une

organisation, l’analyse de risques� Objectifs recherchés

� Inventaire des actifs sensibles (informations : données, applications)� Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de

prendre les décisions stratégiques adaptées� Enclencher les actions associées par ordre de priorité

� L’analyse des risques répond à un besoin de gouvernance desrisques et représente un outil de pilotage / d’aide à la décision.


Minimiser les risques encourus par l’organisme du fait de son système d’information. Faire que ces risques soient acceptables

RAPPEL : MÉTHODOLOGIE


Liste des biens sensibles

Liste des menaces et modes opératoires

Listes des impacts et probabilités

Liste des contre-mesures

1 : Quoi protéger et pourquoi ?

2 : De Quoi protéger ?

3 : Quels sont les risques ?

4 Comment protéger l’entreprise ?

INVENTAIRE DES DONNÉES

� Inventaire des données:� Classifier les données. Par exemple : Publique, Interne, Confidentielle

� permettra de définir les protections, le mode de stockage, d’accès et de diffusion des données en fonction de leur classification.

� Inventaire de l’infrastructure:� Les équipements Logiciels et Matériels

� Réseaux

� Inventaire des canaux d’échange et mode de communication� Mode, fonctionnement, Échanges chiffrés

� Matrice des flux


ANALYSE DE RISQUES

Nouvelle activité de l’entreprise

Nouvelle architecture technique

Nouveau système d’information

Identification des enjeux Analyse de la menace

Identification des risques majeurs

Caractérisation du S.I.(ressources fonctionnelles et techniques)

Identification des vulnérabilités potentielles maje ures

Quels moyens engager ?

SERVICES DE SECURITE

Système d’information existant

Profils fonctionnels de sécurité

S.I.

ProcéduresMécanismes techniques Plans


ANALYSE DE RISQUES


ETAT DES LIEUX –SOURCE CLUSIF 2014


ETAT DES LIEUX – SOURCE CLUSIF 2014


Vulnérabilités

Menaces

Impact

RISQUE

DÉFINITIONS : RISQUES


DÉFINITIONS : NIVEAU DE RISQUES


MÉTRIQUE GRAVITÉ (IMPACTS)


Niveau de Gravité (exemple dans le monde de la sant é)

Niveau Valeur Description

1 MineureInconfort patient, gène ponctuelle dans l’activité, perte financière négligeable, absence de plainte,événement pas médiatisé ou sans impact sur l’image

2 SignificativePerte de chance patient mais limitée et réversible, surcharge de travail ou désorganisation modérée ettemporaire, impact financier modéré, contentieux, dégradation passagère d’image ou de confiance

3 Importante

Perte de chance pour les patients d’un service, avec mise en danger immédiate mais sans atteinteirréversible, désorganisation importante et durable de l’activité, perte financière importante, atteinte à lavie privée d’un patient/salarié ou condamnation pénale et/ou financière, perte d’image ou de confianceavec mise en cause de l’établissement ou d’un organisme tiers

4 Critique

Mise en danger des patients ou menace du pronostic vital, arrêt prolongé d’une part importante del’activité, perte financière élevée pouvant mettre en cause la pérennité de l’établissement, atteinte à lavie privée de plusieurs patients/salariés ou condamnation pénale et/ou financière avec risquejudiciaire, rejet définitif de la capacité de l’établissement à offrir le service attendu

La gravité est l’estimation de la hauteur des effets d’un évé nement redouté ou d’un risque. Lagravité (ou impact) représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et ducaractère préjudiciable des impacts potentiels.

MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ


Gravité (Impact)Qualité de prise en

chargeOrganisation Pertes Financières

Atteinte à l‘ImageEngagement de Responsabilité

1 MineureSans effet sur l’état du patient

Sans effet sur les processus de l’activité

Sans impact financierVisible uniquementen interneDivulgation limitée

2 Significative

Impact sur la santé augmentant la durée d’hospitalisation ou de ré hospitalisation

Fonctionnement processus perturbé –indisponibilité des ressources

Pertes financières < 1% du budget global

Réclamations ou plaintes de patients signalant un dysfonctionnementgrave – visible par peu de patients

3 ImportanteAggravation de l’état de santé - chance limitée pour une victime

Arrêt temporaire de l’activité, fermeturepartielle

Pertes financières < 5% du budget global

Réclamations ou plaintes de patients liés au non respect des bonnes pratiques de prise en charge -débouchant sur une sanction disciplinaire – visible au niveau local

4 CritiquePerte de chance pour un patient, décès, effet irréversible sur la santé

Arrêt prolongé de l’activité, fermeture de l’établissement

Pertes financières >10% du budget global

Visible par un nombre important de patients / niveau régional ou national - Plainte de victimes débouchant sur la condamnation civile ou pénale d'un responsable

MÉTRIQUE VRAISEMBLANCE


Echelle de vraisemblance


1 Exceptionnel Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions très difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années)

2 Peu probable Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions difficiles ou malveillance présentant peu d’intérêt

3 Plausible Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de probabilité très plausible pour un incident involontaire (au moins une fois par an)

4 Quasi certain Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en cas de malveillance

La vraisemblance est l’estimation de la possibilité qu’une menace se produise

La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.

NIVEAU DE RISQUE


Echelle de niveaux de risque


1 Limité les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmontermalgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur,incompréhension, stress, affection physique mineure…).

2 Modéréles personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoirsurmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation debiens, perte d’emploi, assignation en justice, aggravation de l’état de santé…).

3 Fortles personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’ellespourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler,affection psychologique ou physique de longue durée, décès…).

Exceptionnel Peu probable Plausible Quasi-certain

Critique

Importante

Significative

Mineure

Vraisemblance1 2 3 4

1

2

3

4

Gravité


CRITERES DICP (DISPONIBILITE, INTEGRITE, CONFIDENTIALITE, PREUVE)

� Disponibilité (D) : La disponibilité des SI permet de garantir enpermanence la communication et l’échange des données

�

� Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité desdonnées et des traitements. Les SI doivent garantir que les informationssont identiques et inaltérables dans le temps et l’espace et certifier leurexhaustivité, leur validité et leur cohérence.

� Confidentialité (C) : La confidentialité permet de réserver l’accès auxdonnées aux seules personnes autorisées.


MÉTRIQUE DIC


Disponibilité

Valeur Description

1 Un arrêt max de 72 heures




Intégrité

Valeur Description

1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative

2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires, délais) - Quelques erreurs sont tolérées.

3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un client, ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées.

4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée.

Confidentialité

Valeur Description

1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique

2 Une perte de confidentialité des informations est dommageable – accès protégé

3 Une perte de confidentialité des informations est grave – accès restreint - info nominative

4 Une perte de confidentialité des informations est très grave - secret médical est renforcé

PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ


DÉFINITIONS


� Menace : attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations)entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise del'attaquant, ses ressources disponibles et sa motivation.

Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte motivation si les flux financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise nécessaire),...

� Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de lasécurité de l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique desécurité), humaine (ex: pas de formation des personnels), logicielles ou matérielles (ex: utilisation deproduits peu fiables ou non testés),...

Exemple: les fichiers sur les ordinateurs portables ne sont pas protégés en lecture.

� Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé financièrement, ou dans une échelle qui dépend du contexte

� Impact financier ou pertes financières

� Impact sur la production

� Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités

� Impact sur l’organisation de l’établissement (désorganisation …)

SCÉNARII GÉNÉRIQUES DE MENACES

� Accident physique� Malveillance physique� Perte de servitudes essentielles� Perte de données� Indisponibilité d'origine logique� Divulgation d'informations en interne� Divulgation d'informations en externe� Abus ou usurpation de droits� Fraude� Reniement d'actions� Non-conformité à la législation� Erreurs de saisie ou d'utilisation� Erreurs d’exploitation, de conception� Perturbation sociale� Attaque logique du réseau

AccidentErreurMalveillance

Origines AEM


ILLUSTRATION

� Les menaces pesant sur l’intégrité, la disponibilité ou la confidentialité des informationssont souvent liées à des erreurs humaines (du fait de la négligence ou de l’ignorance).

� Les erreurs d’implémentation des systèmes sont aussi à l’origine d’incidents

Exemple : Un défaut d’intégrité de la donnée de santé, comme l'altération accidentelle ou illégitime d'undossier de santé d’un patient ou du paramétrage d’un équipement biomédical, est susceptibled'entraîner des erreurs médicales, voire un préjudice vital envers le patient.

� Négligence du personnel dans la protection des données par méconnaissance desrisques.

Exemple : A cause de cette ignorance du risque, des données médicales se sont retrouvées indexées surles moteurs de recherche internet début 2013 dans un hôpital :

� Le premier fait est le recours à un hébergeur externe non agréé, par méconnaissance desrisques du stockage des données médicales à l’extérieur de l’établissement ; il n’a pas ététenu compte du cadre réglementaire, du « décret hébergeurs » (Décret n° 2006-6 du 4 janvier2006 relatif à l’hébergement de données de santé à caractère personnel).

� Le second fait est la négligence de l’hébergeur qui dans la conception de son système destockage a rendu possible que les dossiers médicaux soient visibles par les moteurs derecherche.


ILLUSTRATION

� Introduction d'un virus dans le système d’information. Une grande partie des incidentsde sécurité informatique impliquent la propagation de virus. Des moyens techniquespeuvent en limiter la propagation (anti-virus) mais le facteur humain ou la conception dessystèmes peuvent faciliter leur diffusion.

Exemple : En mars 2009, le virus « Conficker » a infecté plusieurs millions d’ordinateurs et on comptait,parmi les cibles, un grand nombre d’établissements de santé en France.

� Vols externes. Le vol de données par des personnes extérieures peut se faire par uneentrée physique dans l’hôpital par exemple mais également à distance via Internet. Desfailles de sécurité dans les applications ou le réseau peuvent permettre à un hackerd’accéder aux données stockées sur les serveurs d’un établissement, de les subtiliser et,dans certains cas, de perturber le fonctionnement du SI.

� D’autres menaces existent : le vol interne, les dommages matériels intentionnels ounon, la défaillance de connexion Internet ; il faut aussi indiquer le bug d’un logiciel, lapanne d’un matériel informatique ou du réseau, qui peuvent conduire à un arrêt completdu système, si les mesures de sécurité sont inexistantes ou incomplètes

Exemples

� http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/� http://archives.nicematin.com/nice/un-piratage-informatique-dejoue-au-chu-de-nice.1986813.html


DEFINITIONS

� D, I, C

� Les représentants métiers (maîtrise d’ouvrage)• S’assure de la représentation exhaustive des actifs les plus sensibles du SI à ces critères• Confirme/infirme leur perception sur les besoins en Disponibilité, Intégrité, Confidentialité de

ces actifs sensibles

� Evènements redoutés

� Les représentants métiers et SI de l’établissement indique quels évènements sont à redouter dans la situation actuelle de leur SI

Exemple Données médecine du travail: Modification non désirée des données : le statut d’aptitude des employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...)

� Source de menace

� Les représentants métiers et SI de l’établissement choisissent un type de menace (il est possible d’en ajouter)

� Vraisemblance/Gravité

� Les représentants métiers et SI de l’établissement évaluent selon des grilles définies

� Niveau de risque

� Il est calculé automatiquement selon une matrice (voir après)


DÉFINITIONS : NIVEAU DE RISQUES


TRAITEMENT DU RISQUE

� Traitement du risque: processus de sélection et de mise en œuvre visant à modifier le risque, ce qui signifie une réduction du risque, un transfert du risque ou une prise de risque.

� Réduction du risque: processus visant à minimiser les conséquences négatives et les opportunités d’une menace.

� Transfert de risque: partage avec une autre partie de la charge de la perte d’un risque particulier (souscription d’assurance par exemple)

� Evitement du risque : refus du risque

� Acceptation du risque: décision d’accepter un risque traité selon les critères de risques


PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Gestion des risques

État des lieux –CLUSIF 2014

NormeISO/IEC27005

Définitions, métriques et illustrations

Méthodes d’analyse de

risques

MODULE N°4 : MÉTHODE D’ANALYSE DE RISQUES EBIOS


PRÉSENTATION DE LA MÉTHODE D’ANALYSE DE RISQUES EBIOS

ILLUSTRATIONS

PRÉSENTATION D’EBIOS

� Expression des besoins et identification des objectifs de sécurité� La méthode EBIOS

� créée en 1995 par le SCSSI ;

� acteur majeur de la gestion du risque en France ;

� aboutit à la version 2.0 en 2004 ;

� compatible avec la norme ISO/IEC 27002

� Méthode d’appréciation et de traitement des risques

� Peut être utilisée pour un système existant ou à concevoir

� Fournit une terminologie et des concepts communs


FINALITÉS D’UNE ANALYSE DE RISQUES


PRÉSENTATION DE LA MÉTHODE EBIOS


1.Étude du contexte

2. Etude des événements

redoutés

3. Étude des scénarios de

menaces

4. Etude des risques

5. Etude des mesures de

sécurité

EBIOS MODULE 1 : ETUDE DU CONTEXTE

Définir le cadre


Cadrer l’étude des risques� Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ? � Quel est l’objectif de l’étude (son but et les livrables attendus) ?� Comment organiser le travail (actions, rôles, charges…) ?

Décrire le contexte général� Que sait-on du contexte (externe et interne) ? � Comment les risques sont-ils gérés actuellement ?

Délimiter le périmètre de l’étude� Quelles sont les limites du périmètre étudié ? � Qui doit participer à l’étude ?

Identifier les paramètres à prendre en compte

� Quels sont les référentiels applicables ? � Quelles sont les contraintes qui pourraient impacter l’étude ?

Identifier les sources de menaces� Contre quels types de sources décide-t-on de se protéger ? � Quels sont les exemples illustratifs ?

EBIOS : SOURCES DE MENACES


EBIOS MODULE 1 : MESURES EXISTANTES



Préparer les métriques


Définir les critères de sécurité et élaborer les échelles de besoins

� Quels critères de sécurité devront être étudiés (D, I, C…) ?� Quelle est la définition de chacun des critères retenus ?� Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ?

Élaborer une échelle de niveaux de gravité

� Quelle échelle utilisera-t-on pour la gravité ?

Élaborer une échelle de niveaux de vraisemblance

� Quelle échelle utilisera-t-on pour la vraisemblance ?

Définir les critères de gestion des risques

� Sur quelles règles s’accorde-t-on pour gérer les risques (manière d’estimer, règles d’ordonnancement, critères d’évaluation…) ?


CritèresDIC

Vraisemblance

EBIOS MODULE 1 : MÉTRIQUES SUR LES BESOINS DE SÉCURITÉ

EBIOS MODULE 1 : MÉTRIQUES SUR LES NIVEAUX DE GRAVITÉ


ECHELLE DE NIVEAUX DE GRAVITÉ


1 Limité

les personnes concernées pourraient connaître des désagrémentssignificatifs, qu’elles pourront surmonter malgré quelques difficultés(frais supplémentaires, refus d’accès à des prestations commerciales,peur, incompréhension, stress, affection physique mineure…).

2 Modéré

les personnes concernées pourraient connaître des conséquencessignificatives, qu’elles devraient pouvoir surmonter, mais avec desérieuses difficultés (détournements d’argent, interdiction bancaire,dégradation de biens, perte d’emploi, assignation en justice, aggravationde l’état de santé…).

3 Fort

les personnes concernées pourraient connaître des conséquencessignificatives, voire irrémédiables, qu’elles pourraient ne passurmonter (péril financier tel que des dettes importantes ou uneimpossibilité de travailler, affection psychologique ou physique de longuedurée, décès…).

EBIOS MODULE 1 : CRITÈRES DE GESTION DES RISQUES



Identifier les biens


Identifier les biens essentiels, leurs relations et leurs dépositaires

� Quels sont les informations et processus essentiels aux métiers ?� Quels sont les liens (inclusions, dépendances…) entre ces biens ?� Quel est le responsable de chacun de ces biens essentiels ?

Identifier les biens supports, leurs relations et leurs propriétaires

� Sur quoi reposent les biens essentiels (systèmes informatiques et de téléphonie, organisations, locaux) ?

� Quels sont les liens (inclusions, dépendances…) entre ces biens ?� Quel est le responsable de chacun de ces biens supports ?

Déterminer le lien entre les biens essentiels et les biens supports

� Quel est le lien entre chaque bien essentiel et bien support ?

Identifier les mesures de sécurité existantes

� Quels sont les mesures de sécurité mises en œuvre ou prévues ?� Sur quels biens supports reposent-elles ?

EBIOS MODULE 1 : IDENTIFIER LES BIENS


EBIOS MODULE 1 : BIEN ESSENTIEL

Processus métiers

Processus essentiels Informations essentiels concern ées Dépositaires

Gestion des études

Créer des plans et calculer des structures

Dossier technique d'un projet Bureaud'étudesParamètres techniques (pour les

calculs de structure)Plan techniqueRésultat de calcul de structure

Responsable du Bureau des études


EBIOS MODULE 1 : SCHÉMA GÉNÉRAL DU SYSTÈME


EBIOS MODULE 1 : BIEN SUPPORT


EBIOS MODULE 1 : SYNTHÈSE DU MODULE 1

� Cadrer l’étude:� Décrire le contexte, définir le périmètre

� Sélectionner les sources de menaces retenues

� Préparer les métriques:� Définir les critères de sécurité (D, I, C, …)

� Définir les échelles

� Définir les critères de gestion des risques

� Identifier les biens:� Identifier les biens essentiels (immatériels)

� Identifier les biens supports (supportent les biens essentiels)

� Relier les biens essentiels aux biens supports via un tableau de croisement

� Identifier les mesures de sécurité existantes


EBIOS MODULE 2 : ETUDE DES ÉVÉNEMENTS REDOUTÉS


Analyser tous les événements redoutés

� Quels sont les besoins de sécurité de chaque bien essentiel ?� Quelles sources de menaces peuvent les affecter ?� Quels seraient les impacts si l’événement se produisait ?� Quelle serait la gravité d’un tel événement ?

Évaluer chaque événement redouté � Quelle est la hiérarchie des événements redoutés identifiés ?

Quelles sont les craintes ?

EBIOS MODULE 2 : EVÈNEMENTS REDOUTÉS


Evénement redouté : scénario avec un niveau de gravité donné, représentant unesituation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité,assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s).

Exemple : un journaliste parvient à obtenir le budget prévisionnel de l’organisme, jugé confidentiel, etpublie l’information dans les media, portant atteinte à l’image de l’organisme et faisant chuter le cours enbourse.

Exemple : Un employé peu sérieux ou un concurrent atteint la confidentialité des informations liées au processus d’établissement des devis qui doit rester limitée aux personnels et partenaires. Cela provoquerait la perte d’un marché, une action en justice ou une perte de crédibilité. Cet événement redouté est jugé de gravité importante.

EBIOS MODULE 2 : APPRÉCIER LES ÉVÈNEMENTS REDOUTÉS


EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES


Analyser tous les scénarios de menaces

� Quelles menaces peuvent s’exercer sur chaque bien support ?� Quelles sources de menaces peuvent en être à l’origine ?� Quelles sont les vulnérabilités potentiellement utilisables ?� Y a-t-il des prérequis pour que la menace se réalise ?� Quelle est la vraisemblance des scénarios ?

Évaluer chaque scénario de menace � Quelle est la hiérarchie des scénarios de menaces identifiés ?

Comment cela peut-il arriver ?

EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES

Cette activité sélectionne les méthodes d'attaque pertinentes pour le système cible.

� Une méthodes d'attaque � est caractérisée par les critères de sécurité qu'elle peut affecter ;

� est associée à des éléments menaçants caractérisés par :

� leur type (naturel, humain ou environnemental) � leurs causes possibles (accidentelle, délibérée) ;

� a un potentiel d'attaque.


EBIOS MODULE 3 : SCÉNARIOS DE MENACES

� Analyse des menaces


MAT : matériel, LOG : Logiciel, CAN : Canaux interpersonnels, PER : Personnes


� Analyse des vulnérabilités




Scénario de menace : scénario, avec un niveau donné, décrivant des modes opératoires. Ilcombine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en êtreà l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent.

EBIOS MODULE 4 : ÉTUDE DE RISQUES

Apprécier les risques


Analyser les risques

� Quels scénarios s’appliquent aux événements redoutés ?� Y a-t-il des mesures existantes pour traiter ces risques ?� Quelle est la gravité des risques ?� Quelle est la vraisemblance des risques ?

Évaluer les risques � Quelle est la hiérarchie des risques identifiés ?





Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.



Risque : scénario, avec un niveau donné,combinant un événement redouté et un ou plusieurs scénarios de menaces.


102

Risque(module 4)

Événement redouté(module 2)

Scénarios de menaces(module 3)

Bien essentiel(module 1)

Critère de sécurité(module 1)

Biens supports(module 1)

Tableau de croisement(module 1)

Sources de menaces(modules 1, 2 et 3)

Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.

Gravité(module 2)

Vraisemblance(module 3)

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés


� Éléments dimensionnant d’une étude de risques




Choisir les options de traitement de chaque risque

� Comment choisit-on de traiter chaque risque (réduire, transférer, éviter, prendre) ?

Analyser les risques résiduels � Quels risques resteraient si les objectifs étaient satisfaits ?

Identifier les objectifs de sécurité


� Décisions� Evitement

� Réduction

� Prise

� Transfert




EBIOS MODULE 5 : ÉTUDE DES MESURES


Formaliser les mesures de sécurité à mettre en œuvre

Déterminer les mesures de sécurité� Quelles mesures doivent être mise en place ?� Servent-elles à la prévention, la protection, ou la récupération ?� Sur quels biens supports reposent-elles ?

Analyser les risques résiduels� Quelles sont les nouvelles valeurs de gravité et vraisemblance ?� Quels sont les scénarios toujours possibles ?

Établir une déclaration d'applicabilité

� Les paramètres à prendre en compte ont-ils bien été traités ?

EBIOS MODULE 5 : ÉTUDE DES MESURES


Mettre en œuvre les mesures de sécurité

Élaborer le plan d'action et suivre la réalisation des mesures de sécurité

� Comment planifie-t-on la mise en place des mesures ?� Qui pilote chaque action ?� Où en est la mise en place des mesures de sécurité ?

Analyser les risques résiduels� Quelles sont les nouvelles valeurs de gravité et vraisemblance ?� Quels sont les scénarios toujours possibles ?

Prononcer l'homologation de sécurité

� La manière dont les risques ont été gérés est-elle satisfaisante ?� Les risques résiduels sont-ils acceptables ?

Bien essentielInformation ou processus jugé comme important pour l'organisme. On appréciera ses besoins de sécurité mais pas ses vulnérabilités.Exemples : le dossier patient et les données médicales, les informations personnelles des

patients

Besoin de sécuritéDéfinition précise et non ambiguë du niveau d'exigences opérationnelles relatives à un bien essentiel pour un critère de sécurité donné (disponibilité, confidentialité, intégrité…). Exemples : les données médicales d’un patient ont un besoin de niveau de confidentialité

élevé.

ImpactConséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme et/ou sur son environnement. Exemple : la divulgation externe de données patient peut

nuire gravement à l’image de l’établissement.

Evénement redoutéScénario générique présentant une situation crainte par un organisme. Il combine un bien

essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s).Exemple Données médecine du travail: Modifica�on non désirée des données : le statut

d’ap�tude des employés pourrait être faussé avec toutes les conséquences possibles sur leur

carrière et leur intégrité ́ physique (licenciement, mauvais suivi des risques de santé, voire

invalidité ́ou décès...)

Risque : scénario, avec un niveau donné,

combinant un événement redouté et un ou plusieurs scénarios de menaces.

GravitéEstimation de la hauteur des effets d’un événement redouté ou d’un risque. Elle représente les conséquences.Exemple : Négligeable : l’organisme surmontera les impacts sans difficultés.

Limitée : l’organisme surmontera les impacts malgré quelques difficultés.

Importante : l’organisme surmontera les impacts avec de sérieuses difficultés.

Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée.

VraisemblanceEstimation de la possibilité qu’un scénario de menace ou un risque se produise. Elle représente la force d’occurrence.Exemple : Minime : cela ne devrait pas se (re)produire.

Significative : cela devrait se (re)produire un jour ou l’autre.

Forte : cela pourrait se reproduire.

Maximale : cela va certainement se reproduire.

Critère de sécuritéCaractéristique d'un bien essentiel permettant d'apprécier ses différents besoins de sécurité (disponibilité, confidentialité, intégrité…).

Source de menaceChose ou personne à l'origine de menaces. Elle peut notamment être caractérisée par son type (humain ou environnemental), par sa cause (accidentelle ou délibérée) et selon lecas par les ressources dont elle dispose - son expertise, sa motivation…

Bien supportBien sur lequel reposent des biens essentiels. On distinguenotamment les systèmes informatiques, les organisationset les locaux. On appréciera ses vulnérabilités mais pas sesbesoins de sécurité.

MenaceMoyen type utilisé par une source de menace.Exemples : écoute passive d’un canal informatique ou de

téléphonie ; modification d’un logiciel.

VulnérabilitéCaractéristique d'un bien support qui peut constituer unefaiblesse ou une faille au regard de la sécurité des systèmesd'information.

Scénario de menaceScénario, avec un niveau donné, décrivant des modesopératoires. Il combine, un bien support, un critère de

sécurité, des sources de menaces susceptibles d’en être àl’origine, assorti des menaces et des vulnérabilités

exploitables pour qu’elles se réalisent.Exemple : vol de supports ou de documents du fait de la

facilité de pénétrer dans les locaux.

109

MODULE N°4 : POLITIQUES DE SÉCURITÉ


DÉFINITION D’UNE POLITIQUE CADRE ET DES POLITIQUES CIBLÉES DE SÉCURITÉ

EXEMPLES DE POLITIQUES DE SÉCURITÉ

NORMES DE SÉCURITÉ

NORMES 27001, 27002

POLITIQUE DE SÉCURITÉ

Politique de sécurité� Définition formelle de la position d'une entreprise en matière de sécurité.

« Ensemble des règles formelles auxquelles doivent se conformer les personnesautorisées à accéder à l’information et aux ressources d’une organisation »(RFC 2196)

Finalité d’une politique de sécurité ?� « Réduire les risques »� « Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? »� « Définir les règles du jeu »� « Communiquer , faire accepter et faire respecter les règles du jeu »



Composantes d’une politique de sécurité� Ensemble des principes juridiques, humains, organisationnels et techniques qu’il

est recommandé de mettre en œuvre pour créer, gérer, protéger le système d’information

Réussite de mise en œuvre d’une politique de sécurité� Implication forte de la direction

� En accord avec les directions fonctionnelles et les équipes techniques

� Analyse des risques pleinement étudiée


POLITIQUE DE SÉCURITÉ – CLUSIF 2014


Les politiques de sécurité sont de trois types :– Communication– Informatique– Organisation



CLUSIF 2014

Les politiques de communication prennent les formes suivantes :– Sensibilisation (ex : guide de l’utilisateur, Page Intranet)– Responsabilisation (ex : élaboration de charte de sécurité)– Formations ciblées par métier



CLUSIF 2014

Les politiques touchant aux infrastructures informatiques s'articulent autour des thèmes suivants :

– Systèmes et réseaux sécurisés : organisation de la sécurité opérationnelle, architectures de sécurité, études de solutions techniques, mise en œuvre (intégration, administration, exploitation, supervision)

– Intégration de la sécurité dans la conduite de projets : définition méthode, actions menées sur tout le cycle conception – développement - intégration, clauses contractuelles avec les fournisseurs



POLITIQUE DE SÉCURITÉ – CLUSIF 2014


Les politiques touchant à l'organisation de la sécurité portent sur les aspects suivants :

– Structures, organigramme, comités de sécurité– Responsabilités, fonctions, fiches de mission– Management du changement– Plan de continuité d'activités, Plan de secours, Gestion de crise



EXEMPLES DE POLITIQUES DE SÉCURITÉ CIBLÉES

Politique d’authentification (gestion des comptes) Politique d’autorisation (gestion des habilitations)Politique de gestion de la continuité des services informatiquePolitique d’exploitation des applications et de gestion du réseauPolitique d’acquisition, développement et maintenance des applicationsPolitique d’intervention par des tiers externes pour le personnel informatiquePolitique de sécurité des ressources humainesPolitique de respect de la réglementation interne et externe


EXEMPLE : POLITIQUE DE SÉCURITÉ GÉNÉRALE


NORMES DE SÉCURITÉ


NORMES ET CERTIFICATIONS DE SÉCURITÉ

Pourquoi s’inspirer des normes ou des recueils de meilleures pratiquesen matière de sécurité ?

� Avoir une approche structurée face à la complexité de la tâche

� s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche,� Avoir des éléments communs (vocabulaire, concepts, …) avec tous les intervenants

dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants,fournisseurs, partenaires, etc.

� Bénéficier de l’expérience des meilleures pratiques (succès et erreurs dupassé)

� Se comparer aux meilleures pratiques du moment

� Référentiel de comparaison par rapport aux autres entreprises


POLITIQUE DE SÉCURITÉ ET NORMES – CLUSIF 2014


• ISO-27001 : SMSI– Cycle de gestion de la SI dit « PDCA » PLAN-DO,CHECK-ACT de la roue de Deming– Référentiel pouvant être utilisé pour auditer et certifier le système de management de

la sécurité

• ISO-27002 : « Code de pratiques pour la gestion de la sécurité del'information »

– propose des recommandations pour assurer la sécurité de l'information, sous la formed'objectifs de contrôles ou de mesures de sécurité

– 114 mesures de sécurité réparties en 14 chapitres

Normes ISO 27001 et ISO 27002


NORMES ISO 27001 ET ISO 27002

� « ISO-27001 explique comment appliquer ISO-27002 »



� La norme ISO/IEC 27002:2013 constitue un code de bonnes pratiques. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les domaines organisationnels et techniques ci-contre.

� C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des S.I.

d. Code de bonnes pratiques pour le management de la sécurité de l’information (27002)

Politique de sécurité de l’information

Organisation de la sécurité de l’information

Contrôle d'accès

Sécurité liée aux ressources humaines

Sécurité opérationnelle

Acquisition, dévpt. et maint. des SI

Sécurité physique et environnementale

Gestion des actifs

Conformité

Organisationnel

Opérationnel

Gestion de incidents liés à la sécurité de l’information

Gestion de la continuité de l’activité

Cryptographie

Sécurité des communications

Relations avec les fournisseurs

NORME ISO 27002

PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Définition d’une

politique de sécurité

3 types de politique de sécurité - exemples

Normes27001,27002

Normes de sécurité

MODULE N°6 : PLAN D’ACTION ET CONTRÔLES


PLAN D’ACTION SÉCURITÉ ET BUDGET

AUDIT DE SÉCURITÉ FONCTIONNEL

AUDIT DE SÉCURITÉ TECHNIQUE

TABLEAU DE BORD SÉCURITÉ


� Un plan d’actions peut découler :� d’une analyse de risques

� d’un audit de sécurité organisationnel ou technique

� Les objectifs de sécurité se déclinent en plan d’actions et projets :� Plan de continuité, protection des réseaux informatiques

� SSO (Single Sign On), VPN (Virtual Private Network), Messageriesécurisée …




Politique, procédures

Sécurité physique

DMZ

Réseau Interne

Machine

Application

DonnéeChiffrement, mots de passe, droit d’accès par fichier/répertoire

Contrôle des entrées, test d’intrusion, communication (https, ssh…), traçabilité…

Antivirus, Correctifs de sécurité, HIDS, Authentification

Sous-réseau, NIDS, VLAN…

Pare-feu, VPN, Zone démilitarisée…

Gardiens, verrous, contrôle d’accès…

Politique de sécurité, procédure de secours, sensibilisation…

EXEMPLES DE MESURES

� Mesures techniques� Solution de secours informatique

� Cloisonnement des réseaux et sécurisation de la télémaintenance

� Développement sécurisé d’application

� Contrôle d’accès logique des utilisateurs et des administrateurs systèmes

� Intégration de produits de sécurité

� Mesures organisationnelles� Intégration de la cyber sécurité dans le cycle de vie des projets industriels

� Spécification, Conception, développement, recette� Plan de maintenance et opérations associées

� Sécurité physique et contrôle des accès aux locaux

� Plan de continuité (mode dégradé de fonctionnement)


BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014


RSSI : Responsable Sécurité

BUDGET SÉCURITÉ – SOURCE CLUSIF 2014


AUDIT DE SÉCURITÉ

� Un audit de sécurité permet d’évaluer le niveau de sécurité d’une entité à un moment donné.

� L’audit de sécurité positionne rapidement le niveau de sécurité de votre entreprise et identifie les chantiers prioritaires de sécurité du système d'information à mettre en œuvre.

� L’audit de sécurité se base sur des référentiels de sécurité telles que les normes ISO-27001 et ISO-27002.


AUDIT DE SÉCURITÉ

� Audit organisationnel et technique pour garantir la cohérence

� Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE,SERVICE JURIDIQUE…) et techniques du SI

� Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques)� Audit du référentiel technique (existence de systèmes de sécurité, redondance,

sauvegarde, etc…)� Basé sur une approche normative ISO 27002 – ISO 27001� Avantage - Positionnement rapide du niveau de sécurité par rapport à un

référentiel



DIFFÉRENTS TYPES D’AUDIT TECHNIQUES

AUDIT TECHNIQUE : TESTS INTRUSIFS

� Objectifs des tests d’intrusions� Stigmatiser les aspects techniques� Matérialiser les vulnérabilités identifiées lors de l’audit.� Référentiels : OWASP, OSSTMM

� Accord entre un prestataire et une société sur :� Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications

concernées� Une période de temps : durée de l’autorisation des tests d’intrusion.� Une limite de tests : pas de perturbation de la production ni de corruption de données.

� Focus sur les aspects juridiques� Objet du contrat d’audit : entre obligations et responsabilités

� La licéité de l’exécution de la prestation d’audit

� Les risques inhérents à l’audit

� La confidentialité



� Indicateurs stratégiques : Exposition aux risques (identifiés lors de l’analyse de risque), � Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet :

� de suivre l'application de la politique de sécurité,

� d'établir des comparaisons avec d'autres organismes,

� de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du risque).

� Indicateurs de pilotage : Respect de la politique de sécurité et de la charte utilisateur, � Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet :

� de contrôler la réalisation des objectifs par le niveau opérationnel,

� d'améliorer la qualité de service.

� Indicateurs opérationnels : Mesure du niveau « réel » de sécurité. � Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet :

� de préciser les besoins opérationnels à mettre en œuvre,

� de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production,

� de motiver et dynamiser les équipes.












PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Plan d’action sécurité Budget

Tests intrusifsAudits de sécurité

Tableau de bord Sécurité

POUR ALLER PLUS LOIN

� Livres

� Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD

� Management de la sécurité de l'information. Implémentation ISO 27001 Broché – 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)

� La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions Brochées – 9 février 2011 de Bernard Foray (Auteur)

� La sécurité du système d'information des établissements de santé Broché – 31 mai 2012 de Cédric Cartau (Auteur)

� Magazine

� http://boutique.ed-diamond.com/ (revue MISC)

� Web

� www.ssi.gouv.fr – Sécurité des systèmes industriels� Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr� www.clusif.fr

147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés147 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

FIN DU VOLET

MERCI POUR VOTRE ATTENTION


Education

Gouvernance de la sécurite des Systèmes d'Information Volet-1