La protection de données, La classification un premier pas

Fadhel GHAJATILead Auditor 27001

Risk Manager ISO 27005

[email protected]

Tunisian Computer Emergency Response Team

La protection de données: La classification un premier pas

25 Février 2015

mailto:[email protected]

2

Plan

• Problématique

• Données: définitions• Classification de données• Modèle Tunisien (Draft)

• Conclusion

• Présentation de l’ANSI


3

Plan

• Problématique


• Conclusion



4Tunisian Computer Emergency Response Team

Lancement d’une unité, spécialisée dans la sécurité des SI (Secrétariat d’état à l’informatique)

1999

Considération du rôle de la sécurité des SI comme pilier de la « Société d’Information : Mise en place d’une stratégie : priorités, volume des actions, logistique nécessaire

2002

Décision du conseil ministériel restreint (CMR): Créer une Agence Nationale : Obligation d’audit et création d’un corps d’auditeurs certifiés en sécurité des SI.

2003

Promulgation d’une Loi “originale” sur la sécurité des SI (Loi N° 5-2004, Fév. 2004 et ses 3 décrets associés)

2004

Lancement du CERT-TCC (Computer Emergency Response Team / Tunisian Coordination Center)

2005

Historique

5

L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés, elle est chargée des missions suivantes:

Missions


Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux

Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine

Assurer la veille technologique dans le domaine de la sécurité informatique

Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication

Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence

Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique

Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux

Décret 1249 du 25 Mai 2004fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique.

Cadre réglementaire


6

Loi n° 5 - 2004 du 3 février 2004relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux.

Décret 1250 du 25 Mai 2004fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.

Circulaire n° 19 - du 11 avril 2007relatif au renforcement des mesures de sécurité informatique dans les établissements publiques (Création d'une Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).

Plan

• Problématique


• Conclusion

7




Faux sentiment

de propriété

Méconnaissance des obligations nées du contrat de travail ou de prestation de

service

Contrôle de l’application des

règles d’utilisation du SI

Déficit de sensibilisation ou complexité de la

politique de protection et de classification de

l’information

« Vol de données »

par un UtilisateurQuelle est la portée et le contenu de

l’obligation de loyauté ? Quelles sont les clauses importantes des

contrats d’externalisation

? …

Comment la Charte peut-elle protéger

l’entreprise ? Quelles sont les dispositions à prévoir ? …

Quel périmètre pour la

politique de protection de données? …

Quel est le statut juridique de l’information ? Toutes les informations présentes sur le SI sont-elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? …

9

Création

Gestion

Utilisation

Archivage

Sécu

rité

Classification de données

Plan

• Problématique


• Conclusion

10



11

Données: définitions

Ce qui est connu ou admis comme tel, sur lequel on peut fonder un raisonnement, qui sert de point de départ pour une recherche,Représentation conventionnelle d'une information en vue de son traitement informatique.

Une Donnée au sens statistique est destinée à être étudiée dans le cadre de l'analyse des données.

Une Donnée au sens informatique est destinée à faire l'objet d'un traitement de données.

Une Donnée à caractère personnel pouvant bénéficier d'une certaine protection dans le cadre de la Protection de la vie privée ou du droit à l'image.

Dictionnaire

12

données personnelles : tenant à la personne

données privées : tenant au respect de la vie privée

données professionnelles : à finalité professionnelle

données publiques : définies par la loi

Données: définitions


Plan

• Problématique

• Données: définitions

• Classification de données• Modèle Tunisien (Draft)

• Conclusion

13



14

SECURITE SantéIndustrie

La classification de données est une problématique répandue dans le monde scientifique, car elle est à l’origine de nombreuses applications.


Gouvernement Finances

Classification (1/8)

15

Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le niveau de sécurité qui s’applique à chaque document ou n’importe quelle autre forme d’information qui existe dans la base de données.

interne secretconfidentiel




Pays\Classe Très secret Secret Confidentiel Restreint

Afrique du Sud

Top Secret Secret Confidential Restricted

USA Top Secret Secret Confidential

Belgique Très secret Secret Confidentiel Diffusion Restreinte

FranceTrès secret

DéfenseSecret

DéfenseConfidentiel

DéfenseDiffusion restreinte

ItalieSegretissim

o Segreto Riservatissimo Riservato

Suisse Secret Secret Confidentiel InterneSource: http://cryptome.info/appf.pdf


http://cryptome.info/appf.pdf

http://cryptome.info/appf.pdf

17

Ordonnance concernant la protection des informations de la Confédération SuisseSecret Confidentiel Interne

Les informations dont la prise de connaissance par des personnes non autorisées peut porter un grave préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut:

a. compromettre gravement la liberté d’action de l’Assemblée fédérale ou du Conseil fédéral;

b. compromettre gravement la sécurité de la population;

c. compromettre gravement l’approvisionnement économique du pays ou la sécurité d’installations de conduite et d’infrastructures d’intérêt national;

d. compromettre gravement l’accomplissement de la mission de l’administration fédérale, de l’armée ou de parties essentielles de celle-ci;

e. compromettre gravement les intérêts en matière de politique extérieure ou les relations internationales de la Suisse;

f. compromettre gravement soit la protection des sources ou des personnes, soit le maintien du secret quant aux moyens et aux méthodes opératifs des services de renseignements.

les informations dont la prise de connaissance par des personnes non autorisées peut porter préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut :

a. porter atteinte à la libre formation de l’opinion et de la volonté de l’Assemblée fédérale ou du Conseil fédéral;

b. porter atteinte à la mise en œuvre conforme de mesures concrètes décidées par une autorité;

c. porter atteinte à la sécurité de la population;

d. porter atteinte à l’approvisionnement économique du pays ou à la sécurité d’infrastructures importantes;

e. porter atteinte à l’accomplissement de la mission de parties de l’administration fédérale ou de l’armée;

f. porter atteinte aux intérêts de la Suisse en matière de politique de sécurité ou aux relations internationales de la Suisse;

g. porter atteinte aux relations entre la confédération et les cantons ou aux relations entre les cantons;

h. porter atteinte aux intérêts de la Suisse en matière économique, monétaire et de politique monétaire.

les informations:

a. dont la prise de connaissance par des personnes non autorisées peut porter atteinte aux intérêts du pays; et

b. qui ne doivent être classifiées ni «SECRET» ni «CONFIDENTIEL».


18

le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), la protège plus efficacement contre sa divulgation :Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers »

Protection par le secret : secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900)secret professionnel (articles 226-13 et 226-14 du Code pénal)secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002)

Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968





En Tunisie la protection des données est régie par:

La loi organique - 63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel

Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel

20

A.8.2.1

Classification des informations

Mesure

Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée.

A.8.2.2

Marquage des informations

Mesure

Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l’organisation.

ISO 27001 version 2013

1. la divulgation ne cause aucun dommage,

2. la divulgation provoque un dommage mineur,

3. la divulgation a un impact significatif à court terme sur les opérations ou les objectifs tactiques,

4. la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la survie de l'organisation à risque.

Exemple


21

FIPS PUB 199Le format généralisé pour exprimer la catégorie de sécurité est :

SC Information = {(confidentialité, impact), (Intégrité, impact),

(Disponibilité, impact)},

Avec l’impact potentiel est : Faible, Modéré, Elevé, Non Applicable

L’impact potentiel est faible si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif limité pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.

L’impact potentiel est modéré si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif sérieux pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.

L’impact potentiel est élevé si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif catastrophique pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.



Plan

• Problématique

• Données: définitions

• Classification de données• Modèle Tunisien (Draft)• Conclusion

22



23

IMPACT POTENTIELObjectif de sécurité FAIBLE MOYEN ELEVE

Confidentialité

La divulgation non autorisée d'informations pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 1

La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 2

La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus.

IMPACT_C = 3

Intégrité

La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 1

La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_I = 2

La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 3

Disponibilité

L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 1

L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_D = 3

L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 3

Modèle Tunisien (Draft)

24

Criticité des

données

Classe de données

1CA

2

3

CB4

6

8

CC9

12

18CD

27



Soient C,I,D tableaux C[i] : valeur de l’impact de

confidentialitéI[j] : valeur de l’impact de

l’intégritéD[k] : Valeur de l’impact de

disponibilitéSC : la valeur de la

corrélation {C,I,D}Classe_D : La classe de

donnée Pour i,j,k de 1 à 3 Calculer SC= C[i]*I[j]*D[k] Si SC = 1||2 alorsClasse_D = CA

Si SC = 3||4||6 alorsClasse_D = CB

Si SC=8||9||12 alorsClasse_D = CC

Si SC= 18 ||27 alorsClasse_D = CD

25

Criticité des

données

Classe de

données

Confidentialté Intégrité Disponibilité

Impact Exemple Impact Outil d'échangeTemps

d’arrêt par an

1

CA

La divulgation pourrait être parfois défavorable aux intérêts de l’organisation ou du groupe autorisé.

Guide utilisateur, certains numéros directs de téléphone, procédure de fonctionnement.

La modification ou la destruction non autorisée de renseignements pourraient parfois avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.

Pas de contraintes sur l’utilisation ou la transmission.

1 mois

2 3 semaines

3

CB

La divulgation pourrait être défavorable aux intérêts de l’organisation ou du groupe autorisé.

Documentation ou schéma de réseau interne, programme source.

La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.

contraintes minimalessur l’utilisation ou la transmission.

18 jours

4 2 Semaines

6 1 semaine

8

CC

La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus.

Secret bancaire, données à caractères personnelles sensibles (santé), incidents de sécurité.

La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.

Limitation des droits d’accès.

½ semaine

9 1 jour

12 ½ jour

18

CD

La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus.

Information classifiée par la loi, mot de passe

La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.

Utilisation de la signature, coffre fort.

1 heure

27 30 min


26

Criticité des donné

es

Classe de

données

Impact sur la population

Impact Economique

Impact de l'interdependance

Périmiètre affecté

1CA

Impact mineur (i.e <10)

Impact mineur (i.e <10 M)

Impact mineur Local2

3

CBImpact modéré

(i.e 10-100)

Impact modéré(i.e 10 M - 100

M)

Impact modéré (Perturbation)

périmètre étendu ou d'autres sécteurs

(partiellement affecté)

4

6

8

CCImpact significatif

(i.e 100-500)

Impact significatif

(i.e 100 M - 500 M)

impact signaficatif

périmètre national ou un

secteur (totalement

affecté)

9

12

18

CDImpact grave

(i.e >500)Impact grave (i.e > 500 M)

impact grave et affaiblissant

périmètre international ou plusieurs

secteurs (totalement

affecté)

27



Modèle Tunisien (Draft) [Traitement de données]

L’accès aux données,

Le cycle de vie de données,

L’échange de données,

Le droit d’accès.

La sécurité des locaux,

La sécurité des serveurs (l’emplacement des données le cas

échéant),

La sécurité des workspaces,

L’identification et l’authentification des utilisateurs,

La sécurité d’accès aux données des utilisateurs,

La gestion des accès à distance.

L’accès aux données

Processus

28

Données

Backup

Logs

Uti

lisa

tion

Collaborateur

Introduction

Modification

Destruction

Sauve

gard

e

Support

Journalisation

Jour

nalis

atio

n

Le cycle de vie des donnéesTunisian Computer Emergency Response Team

La gestion de l’introduction

des données dans le

système,

La surveillance des

traitements sur les données

(journalisation),

Le chiffrement des données,

La sécurité des différents

supports de données,

La sauvegarde les données,

La destruction de manière

définitive les données,

La gestion de sous-traitance

de projets,

La gestion de la sécurité de

l’information et la protection

des données.


29

Logs

Tiers

Journ

alisat

ion

Journ

ali

sati

on

Communication Transmission

Station de travail

Supports

L’échange de donnéesTunisian Computer Emergency Response Team

Chiffrer un message

à envoyer à un tiers

distant,

Signer un message à

envoyer à un tiers

distant,

La transmission des

supports mobiles de

manière sécurisée,

La trace des

différentes

communications.



Criticité de donnéesClasse de données

Echange

1CA Protéger l’accès au document

2

3

CB

Protéger+ Chiffrer le document4

6

8CC

Protéger, chiffrer+ Journaliser le traitement9

12

18

CD

ProtégerChiffrer

JournaliserNuméroter27


31

DonnéesDemande d’accès

Assurer que les

personnes concernées

puissent faire valoir

leur droit.

Assurer la

reproductibilité des

procédures

d’exécution du droit

d’accès.


Le droit d’accès


La classification de données

La protection de données

La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information.

La confiance n’exclut pas le contrôle.


32

Politique de classification et de gestion de l’information

facteur clé de succès

La mise en place d’un système de gestion de sécurité de l’information

Conclusion

33

Merci pour votre attention

Share your knowledge. It is a way to achieve immortality

Technology

La protection de données, La classification un premier pas