Le « Security by Design » et ses multiples facettes

Le « Security by Design » et ses multiples facettes Thierry PERTUS

Janvier 2015

Le « Security by Design » et ses multiples facettes

Janvier 2015 p 2

►Avant-propos

En matière de management de la sécurité des systèmes d’information, il est admis que les besoins de sécurité doivent être pris en compte très en amont et tout au long du cycle projet. Si cette démarche méthodologique vertueuse et responsable s’appuie idéalement sur une analyse de risques s’inscrivant dans un processus standardisé et reproductible, l’exercice peut s’avérer particulièrement délicat lorsque le périmètre d’étude comporte des interactions ou adhérences fortes avec un écosystème complexe, hétérogène et pas toujours maîtrisé, ainsi que des actifs informationnels devenant inquantifiables, volatiles et polymorphes *.

Par où commencer pour relever ce défi d’aujourd’hui et de demain ? Quelles sont les pistes d’action pour obtenir une assurance sécurité intégrée, dite « built-in », alignée durablement sur les objectifs stratégiques et opérationnels de la DSI, du Métier et de la gouvernance d’entreprise ? Autant de questions ésotériques qui nous amènent à nous intéresser à l’univers très codifié de l’architecture d’entreprise et de l’urbanisation des SI.

►Teaser (Security by Design and its many facets)

In terms of security management of information systems, it is recognized that security needs must be taken into account very early on and throughout the project cycle. This commendable and responsible methodological approach is justly based on risk analysis as part of a standardized, repeatable process. But the exercise can prove especially difficult when the field of concern has strong interactions or connections with a complex, heterogeneous ecosystem, which may not always be under control, and with information assets that have become unquantifiable, volatile and polymorphic.

Where does one start to address this current and upcoming challenge? What are the courses of action for integrated security assurance, known as "built-in", aligned with the long-term strategic and operational objectives of the CIO, Business Processes and Corporate governance? What may appear to be rather arcane questioning leads us directly to issues regarding the highly codified world of enterprise architecture and urbanization of IS.

Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 30 (Trimestriel Janvier-Mars 2015)

* 3V (Volume, Vitesse, Variété) caractérisant le Big Data

http://www.globalsecuritymag.fr/


p 3

Un cadre d’architecture pour manager la SSI : une question de « point de vue »

Janvier 2015


p 4 Janvier 2015

►Des enjeux multiples

s’appuyer sur des composants réputés et avérés fiables, interopérables et maintenus en conditions de sécurité (MCS)

disposer d’un SI efficient et résilient, mais aussi évolutif et réactif (agilité et time-to-market obligent), de façon à soutenir la stratégie d’entreprise et les objectifs opérationnels du Métier ;

apprécier et de contenir les risques cyber pour garantir une certaine « confiance numérique » aux différentes parties prenantes ;

rationaliser les coûts d’investissement et de possession (TCO) et optimiser les délais d’implémentation ou de délivrance des services en support.

Pour relever un tel challenge, l’architecture d’entreprise s’avère être LA discipline incontournable, permettant de se doter d’une vision systémique de l’organisation, à partir d’une approche holistique, structurée et partagée, mais également d’un support commun à la réflexion et à la communication, lui conférant la vocation de véritable « clé de voûte » du changement.

►L’architecture d’entreprise (EA) et ses modèles multi-niveaux

EA Enterprise Architecture TCO Total Cost of Ownership TIC Technologies de l’Information et de la Communication


Stratégie d’entreprise

(gouvernance)

Pilotage des processus Métier

(fonctionnel orienté objets Métier)

Urbanisation du SI (fonctionnel orienté

applications & données)

Architecture technique - TIC

(socle technique d’infrastructure)

Sécurité des socles systèmes

Sécurité des données

Sécurité des opérations de traitement

Sécurité des socles middleware

Sécurité des réseaux et stockages

Sécurité des applications

Classification de l’information,

Gestion des habilitations

Gestion de crise COMEX

CODIR

MOA

(Métier)

AMOA

(CdP SI)

MOE

Pilo

tage

de

la s

écur

ité o

péra

tionn

elle

Prévention Détection Réaction

Vei

lle, C

onfo

rmité

, Con

trôl

e in

tern

e, S

ensi

bilis

atio

n

Gou

vern

ance

de

la s

écur

ité

Gestion des risques d’entreprise

Ser

vice

s fé

déra

teur

s de

con

fianc

e, C

ontin

uité

d’a

ctiv

ité

Exp

loita

tion,

Mai

ntie

n en

con

ditio

n de

séc

urité

,

Sur

veill

ance

, G

estio

n de

s in

cide

nts

de s

écur

ité

Séc

urité

pro

jets

, Ing

énie

rie, C

ondu

ite d

u ch

ange

men

t

(fournisseur,

intégrateur, mainteneur)

p 5 Janvier 2015

►Correspondance entre domaines d’architecture d’entreprise et domaines de sécurité


Facteurs externes

de conformité Référentiels

internes

Démarche méthodologique « top-down »

de conduite des projets de transformation

• Gouvernance de la sécurité du SI

• Appréciation des risques cyber en lien avec les enjeux stratégiques


• Spécifications des besoins de sécurité pour les actifs informationnels en lien avec les objectifs opérationnels et les impacts potentiels (ex : niveau de sensibilité DICP)

Pilotage des processus Métier

• Analyse de risques liés à la sécurité du SI

• Spécifications des exigences de sécurité et des niveaux de service requis

• Plan d’audit / recette / homologation sécurité

Urbanisation du SI

• Spécifications des fonctions de sécurité et des capacités appropriées

• Sélection des services, produits et mécanismes de sécurité appropriés

Architecture technique - TIC

Exigences

de sécurité

Composants

de sécurité

Fonctions

de sécurité

Principes

de sécurité

(PSSI)

Critères

de sécurité

/ Classification

des données

Obligations

légales,

réglementaires

et contractuelles

Référentiels

méthodologiques

et techniques

(normes,

standards, guides)

Catalogues (artefacts)

à élaborer et faire évoluer Rebouclage « bottom-up »

par cycles itératifs (alignement / ajustement)

Gestion des risques techniques

Gestion des risques fonctionnels

Gestion des risques opérationnels

p 6 Janvier 2015

►« Vue » sur les activités de sécurité dans les projets


p 7

La modélisation par blocs fonctionnels

Janvier 2015


Fondations

(générique)

Systèmes communs

(transverse)

Domaine d’activité

(sectoriel)

Entreprise

(contextuel)

Solution

Building Block (SBB)

/ Design pattern

Architecture

Building Block (ABB)

/ Architecture pattern

Produits

et services

du marché

Produits

et services

d’un domaine

considéré

Ex. : Sécurité

Produits

et services

éligibles

Produits

et services

du secteur

de l’entreprise

Technical Référence Model (TRM) &

Standards Information Base (SIB)

Recherche de Building Blocks

(Etat de l’art, prospective et veille technologique)

Réutilisation / adaptation de Building Blocks pour l’entreprise

(ex : sécurisation dans le contexte)

p 8 Janvier 2015

►Continuum d’architecture et Building Blocks associés (TOGAF)


p 9 Janvier 2015

►Catalogues de sécurité (artefacts)


Sphère privée

(dédié, SI fermé) Sphère communautaire

(sectoriel partagé, SI étendu) ex : GIE

Sphère publique

(partagé, SI ouvert)

Souveraineté / autonomie

(stratégie de maîtrise opérationnelle)

Mutualisation / agilité

(stratégie d’optimisation économique)

Cloud communautaire Cloud privé Cloud public

Cloud hybride

Virtualisation

système

Middleware

& Runtime

Plateforme

serveur

Applications

Réseau

& Stockage

OS

PaaS (on-demand solution stack /

dev environment)

IaaS (on-demand VM,

VDC, VDI)

SaaS (web/mobile apps :

ERP, xRM, SCM, BI, e-sourcing,

office suite, cloud drive, …)

BaaS / mBaaS (CMS, UI tools,, MEAP,

WS-*, e-payment, Shibboleth, …

Infr

astr

uctu

re a

s a

Ser

vice

Pla

tform

as

a S

ervi

ce

Sof

twar

e as

a S

ervi

ce /

[mob

ile]

Bac

kend

as

a S

ervi

ce

Opérations

Bus

ines

s P

roce

ss a

s a

Ser

vice

BPaaS (BPO, offshoring)

Données DaaS

(Marked-metadata databank)

Dat

a as

a S

ervi

ce

Infrastucture

Datacenter

Dat

aCen

ter

as a

Ser

vice

DCaaS (hosting,

housing)

CAPEX

OPEX

Bus

ines

s se

rvic

es

IT s

ervi

ces

Niv

eau

de

con

trô

le d

e l’e

ntr

epri

se

Low

High

IDE,

API, EDI

On-Premise On-Premise On-Premise

p 10 Janvier 2015

► Cas d’usage : Les différents modèles de cloud computing abordés sous l’angle sécuritaire


p 11 Janvier 2015

►Cas d’usage : Un security pattern générique applicable aux systèmes de contrôle industriels (SCI)

Source : Industrial Control Systems Security Pattern [SP-023] - OSA (http://www.opensecurityarchitecture.org)

http://www.opensecurityarchitecture.org/




p 12

Des référentiels applicables et un programme d’action

Janvier 2015


• TOGAF, EAM, ArchiMate, DoDAF, MoDAF, FEA, Zachman, SABSA, Urba-EA [FR], Praxeme [FR], …

Architecture d’entreprise (EA)

• BSC, Matrice BCG (DAS), Porter 5F / value chain, PESTEL, 5 Ws / QQOQCCP [FR], SWOT, ROI, …


• COSO, ISO 31000, ISO 31010,, ISO/IEC 27005, EBIOS [FR] ,… ; ISO 22301 (SMCA), BP Z74-700 [FR], …

Management des risques d’entreprise / conformité (ERM / GRC) ; Continuité d’activité (BCP)

• BA-BOK, BPA, BPI, BPM, MOF, XMI, UML, SADT, Merise [FR], BPMN, Six Sigma, SIPOC, 5S, business / use case, supply chain / ISO 28000 (SMSCA), B2B, A2A, B2C, C2C, M2M, …

Modélisation / optimisation opérationnelle (processus Métier)

• ISO 9001 (SMQ),, Roue de Deming (PDCA),, BPMM, TQM, Lean Six Sigma, Kaizen, EFQM, ISO 9004, CMMI, ISO/IEC 21827, eSCM, …

Qualité / Maturité des processus

• CobiT, ISO/IEC 38500, ISO/IEC 24762 (DR), ISO/IEC 27001 (SMSI), ISA-99/IEC 62443-2-1 (SMCS), ISO/IEC 29100 (Privacy), …

Gouvernance du SI (processus IT) ; Classification de l’information / Données personnelles

• PM-BOK, PMP, Prince 2, cycle en V, méthodes de développement agiles / itératives (Scrum, XP, …), …

Conduite de projet

• DM-BOK, SysML, SoaML, …

Urbanisation du SI

• ITIL, ISO/IEC 20000 (ITSM), ISO/IEC 27002, ISO/IEC 15408-2 / CC, ISA-99/IEC 62443-3-3, RGS [FR], OSA, …

Architecture fonctionnelle de centre de services IT (services IT, fonctions / mesures de sécurité)

• Mainframe, ERP, xRM, SCM, BI, SOA / WOA (n-tiers, J2EE/.NET, EAI/ESB, WS (UDDI, SOAP, WSDL, BPEL), DBMS (SQL/NoSQL), PKI, BI), …

Architecture applicative / Architecture de données

• Cloud computing (IaaS / Paas / SaaS), Virtualisation systèmes (Machines, Apps, Desktops), Virtualisation réseaux (VLAN, VRF), Datacenter (SAN, NAS, Switch Fabric), Backbone MAN / WAN (Metro Ethernet, MPLS, VPN IPsec), Accès local (Ethernet, WiFi), Accès distant (xDSL / FO, HTTPS / VPN TLS / IPsec), Internet Mobile (Wi-Fi hotspot, xG), …

Architecture technique infrastructure (virtualisation / systèmes / réseau / stockage)

Domaine SSI (IS)

Domaine SCI (ICS)

p 13 Janvier 2015

►Panorama des principaux référentiels et outils méthodologiques applicables au pilotage des projets de transformation


Cartographie des processus et activités critiques

(cf. BPM, BPA)

Cartographie des données sensibles

(cf. classification des données structurées/non structurées)

Cartographie des applications critiques / sensibles

(cf. SLAs, PAS, …)

Cartographie de l’infrastructure et des composants techniques en support

(architecture réseau/stockage et télécoms L1/L2/L3, systèmes physiques/virtuels, middleware/SGBD, …)

Identification des vulnérabilités potentielles sur les composants critiques / exposés

(scan de vulnérabilités, tests d’intrusion, audit de conf, analyse de code, détection des SPOF, …)

Identification des scénarios de risques majeurs et cartographie des risques nets

(analyse de risques, BIA, use case, …)

Plan d’action (application des correctifs/upgrade, mise en conformité des configurations et procédures, …)

(gap analysis, PCA/PCI, quickwins, plan de remédiation, contre-audits ,plan de contrôle ,…)

1

2

3

4

5

6

7

p 14 Janvier 2015

►7 steps QuickStart Program pour aligner le niveau de sécurité du SI sur les enjeux Métier


p 15

►Bibliographie

Les référentiels du système d'information - Données de référence et architectures d'entreprise (DUNOD)

Architecture d’entreprise dans un contexte d’entreprise numérique - 2014 (Club URBA-EA)

Architecture et transformation de l’entreprise et du SI - La méthode TOGAF en pratique (EYROLLES)

TOGAF en pratique - Modèles d’architecture d’entreprise (DUNOD)

TOGAF v9.1 - 2011 (The Open Group)

Security Principles for Cloud and SOA - 2011 (The Open Group)

Impact du Cloud Computing sur l’Architecture d’Entreprise (CEISAR)

La sécurité dans le cloud – Techniques pour une informatique en nuage sécurisée (PEARSON)

Security by Design with CMMI for Development, v1.3 - 2013 (CMMI Institute)

Cadre Commun d’Urbanisation du Système d’Information de l’Etat, v1.0 - 2012 (DISIC)

Janvier 2015


p 16

Source* : Star Wars, Episode VI : Le retour du Jedi (Lucasfilm Ltd.) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)

Janvier 2015

Vous me confirmez qu’une fois sa construction achevée, cette étoile noire

ne souffrira pas des mêmes failles que la précédente ?

Affirmatif, Amiral.

Par contre, pour des raisons de budget, on a dû réutiliser des bluiding blocks

trouvés sur le darknet pour la conception de son bouclier de protection.

Eh bien j’ose espérer que nous

n’aurons pas à le regretter …

Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM

Cybersécurité

Powered by

[email protected]

www.conix.fr

Keep control.

mailto:[email protected]

http://www.conix.fr/

Presentations & Public Speaking

Le « Security by Design » et ses multiples facettes