Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

Atelier A 26

Les Risques liés aux Systèmes d‘Information : comment les

approcher, en avoir une vision

objective et challenger les DSI ?

Intervenants

Modérateur

Julien CAMUS Deputy Risk & Insurance Manager

jcamus@paris.oilfield.slb.com

Pascal LOINTIER Président du CLUSIF, Conseiller Sécurité de l’Information CHARTIS

pascal.lointier@clusif.asso.fr ; pascal.lointier@chartisinsurance.com

François RENAULT Président de l’AFAI, Associé Deloitte Conseil

frenault@deloitte.fr

François BEAUME Responsable Risk Management

fbeaume@dalkia.com

“Les Risques liés aux Systèmes d’Information : comment les approcher, en avoir une vision

objective et challenger les DSI ?”

Les présentations de cet atelier seront sur www.amrae.fr

à partir du 1er février 2010

Quelques illustrations (1/5)

• Panne de signalisation réseau de transport urbain

• Pannes informatiques bourse de Londres (LES)

• Piratage d’informatique ambiante

• …

Quelques illustrations (2/5)

• Panne de signalisation réseau de transport urbain

• Pannes informatiques bourse de Londres (LES)

• Piratage d’informatique ambiante

• …

Lodz (Pologne), déraillement de 4 wagons par un adolescent

Quelques illustrations (3/5)

• Panne de signalisation réseau de transport urbain

• Pannes informatiques bourse de Londres (LES)

• Piratage d’informatique ambiante

• …

« Exercice » de destruction d’une turbine à partir d’une faille de sécurité, depuis corrigée

http://www.cnn.com/2007/US/09/26/power.at.risk/index.ht

ml

Quelques illustrations (4/5)

• Panne de signalisation réseau de transport urbain

• Pannes informatiques bourse de Londres (LES)

• Piratage d’informatique ambiante

• …

Bellingham (USA), 1999 : 3morts. Très récemment, le système informatique a été mis en cause également

Quelques illustrations (5/5)

• Panne de signalisation réseau de transport urbain

• Pannes informatiques bourse de Londres (LES)

• Piratage d’informatique ambiante

• Défaillance système de fermeture automatique de prison :

– http://www.leprogres.fr/fr/permalien/article/1931250/Roanne-nouvelle-panne-du-

systeme-de-fermeture-automatique-d-une-prison.html

5 questions (ou plus)

Au sein de votre structure :

• 1 - Quel historique lié à des défaillances SI ?

• 2 - Qui prime : sécurité ou conformité ?

• 3 - Quelle est la plus grosse exposition en terme de risque liés aux SI ?

• 4 - Avez-vous connaissance du périmètre sous traité de prestations liées au SI ?

• 5 - Envisagez-vous de vous ouvrir sur les réseaux sociaux en terme de

moyen de communication ? (ex: twitter)

Premiers constats

• Les Systèmes d’Information sont :

– en évolution, voire mutation, constante,

– complexes à appréhender dans leur globalité, – techniques certes, mais pas seulement.

• Les risques associés le sont également !

Sommaire

Dynamique d'évolution des systèmes Quelle typologie ?

Et le comportement humain ?

Pour conclure

Dynamique…

• Le Cloud computing, présenté comme une panacée par les vendeurs informatiques,

s'appuie sur une technologie VM dans une architecture SAN et se décline en 3 modes

SaaS, PaaS et IaaS tout en continuant à poser ou bien en amplifiant les problèmes pour 3 des critères DICT.

Le seul mot peu usité : panacée, nf (pa-na-sée), remède universel

Dans le cas contraire… problème potentiel d’évaluation des risques…

Des abréviations qui cachent des risques …

• www.acronymfinder.com pour un 1 ^er décodage ☺

• Le cloud n’est pas dans le ciel mais regroupé, avec les machines virtuelles (VM), dans des Centres

Informatiques.

Besoin de vigilances sur la :

– Disponibilité (par opposition aux SLA de 99,99 % ...) – Confidentialité (contre Intelligence économique)

– Traçabilité

• Conformité réglementaire

• Recherche de responsabilité (ex. RC)

99% désigne le fait que le service est

indisponible moins de 3,65 jours par an

Cloud computing, virtualisation : haute indisponibilité… parfois !

Des effets secondaires :

• Temps de redémarrage des serveurs

• Crash des disques

• Destruction par incendie, le reste par inondation pour extinction…

• Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients)

• Saisie des serveurs (FBI chez Core IP Networks, Texas)

• Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients)

• …

Evolution des architectures

• Globalisation : ^réseau informatique → ^système

d’ information → web 2.0 ( )

• Interopérabilité et interconnexion :

– Mainframe → Clients-Serveurs → Cloud

• Mobilité :

– Nomadisme → Accès Internet

• Cf. convergence téléphonie (GSM) – Internet des ordinateurs

• Avec IPV6, Internet de l’objet (1ers téléviseurs accès RS)

Extension du Système d’Information

• Management (Clients, Fournisseurs, etc.)

• Infogérance, outsourcing

• Téléphonie (VoIP)

• Production (ou logistique, régulation… cf. SCADA)

• Services Généraux sur IP ( )

Dynamique d’(in)sécurité

• Mesure → contre-mesure → contre C-M…

• Toute nouvelle technologie génère deux conséquences :

– Risque spécifique

– Détournement d’emploi malveillant

• Automobile : dommages corporels et matériels, 1 ^er braquage de banque avec fuite en auto (bande à Jules Bonnot)

• Email : bombing, spam, phishing et début de l’affaire Monica Lewinsky

Photo de la cravate, n’ayant

1 ^ères conclusions

• L’interopérabilité masque une complexité

croissante avec une diffusion (« virtualisation ») des ressources et une dilution des responsabilités

• Nécessité d’une analyse de risques et d’une

appréciation de la sécurité effective, logique et

physique et en rapport avec les besoins des

métiers. Votre assureur a-t-il un conseiller sécurité de l’information ? ☺

Quelle typologie de risques liés au SI ?

Définition des risques liés au SI Risques liés à l’usage des SI

Risques liés aux projets SI

Risques liés aux opportunités de l’IT

Synthèse des risques liés au SI

Définition des risques liés au SI

• Définition du référentiel RiskIT (ISACA – 2009) :

– “IT risk is business risk — specifically, the business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise.

• IT risk consists of IT-related events that could potentially

impact the business.”

Risques liés à l’usage des SI

• Interruption de processus

• Suite à défaillance de l’informatique ou des télécommunications

• Altération de processus

• Suite à modification non autorisée ou non maîtrisée d’application informatique

• Altération de données

• Stockées sur support informatique ou en transit sur un réseau

• Divulgation d’informations confidentielles

• Stockées sur support informatique ou en transit sur un réseau

• Absence de preuve

• Dans le cadre d’opérations dématérialisées

• Infraction aux lois ou réglementations

• Portant sur les SI

Exemple de scénarios (tirés de Méhari 2007)

Scénario Cause

07 Manipulation de données

07.10 Données applicatives faussées pendant la transmission 07.20 Rejeu de transaction

07.30 Saisie faussée de données 07.40 Substitution volontaire de supports 07.50 Manipulation de fichiers 07.60 Falsification de message

08 Divulgation de données ou d'informations

08.20 Captation d'informations fugitives 08.30 Vol de documents écrits ou imprimés 08.40 Détournement d'informations en transit

08.50 Détournement d'informations temporaires générées par les systèmes

09 Détournement de fichiers de données

09.10 Accès au système et copie de fichiers de données applicatives 09.20 Vol de supports de données applicatives

09.30 Accès aux serveurs et copie de fichiers bureautiques 09.40 Détournement de code source

10 Perte de fichiers de données ou de documents

10.20 Effacement de supports par virus 10.30 Effacement malveillant direct de supports 10.40 Perte accidentelle de fichiers

10.50 Vol de supports

Scénario Cause

01 Indisponibilité passagère de ressources

01.20 Accident ou panne mettant hors service une ou plusieurs ressources matérielles 01.30 Bug logiciel

01.40 Impossibilité de maintenance 01.50 Vandalisme depuis l'extérieur 01.60 Vandalisme intérieur.

01.70 Indisponibilité totale des locaux

02 Destruction d'équipements

02.10 Catastrophe naturelle ou acidentelle 02.20 Incendie

02.30 Inondation

02.40 Terrorisme ou sabotage depuis l'extérieur

03 Performances dégradées

03.10 modification du logiciel 03.20 modification du matériel

03.30 Surutilisation accidentelle de ressources informatiques ou réseau 03.40 Surutilisation malveillante de ressources informatiques ou réseau

04 Destruction de software

04.10 Effacement de code exécutable ou de configurations 04.20 Ecrasement accidentel d'un disque fixe

04.30 Effacement accidentel de logiciel 04.40 Vol ou effacement d'un support amovible

04.50 Effacement ou destruction de configurations logicielles utilisateurs

05 Altération de logiciel

05.10 Altération malveillante des fonctionnalités prévues d'une application via une bombe logique ou une porte dérobée,...

05.20 Modification volontaire des fonctionnalités prévues d'une application informatique

05.30 Modification volontaire ou accidentelle des fonctionnalités prévues d'une fonction bureautique (macro-instruction, feuille de calcul, etc.)

06 Altération de données

06.10 Accident de traitement 06.20 Erreur de saisie

Risques liés aux projets SI

• Gaspillage de ressources :

– Projet inutile car non aligné sur la stratégie de l’entreprise

– Projet inachevé (par exemple suite à un choix de technologie inappropriée)

• Dépassement du budget

• Dépassement du délai

• Qualité ou performance insuffisante

• Contentieux car carence de contractualisation

• Retour sur investissement non obtenu

Risques liés aux opportunités de l’IT

• Risque de ne pas profiter des opportunités apportées par l’IT :

– Pour offrir de nouveaux produits ou services

• Et donc augmenter le revenu

– Pour réduire les coûts de production ou de fourniture

• Et donc réduire les charges

Synthèse des risques liés au SI

Un monde qui change

Et le comportement humain ?

Les enjeux de la sécurité de l‘information Exemple : perte de données Client

Mesures de contrôle versus Management system

Les "maillons faibles" du SI

Brèche dans le flux d‘informations due à une négligence ou une incompétence Intrusion malveillante dans le SI conduisant à une nuisance volontaire

Les risques majeurs sont généralement liés aux événements ci-dessous :

Perte ou vol d‘information confidentielle (interne ou client) avec ou sans utilisation frauduleuse

Incapacité à assurer la traçabilité et la crédibilité de l‘information

Intrusion dans le SI et atteinte au niveau de service en des endroits et des moments clés Perte d‘opportunité par manque de veille technologique et d‘intelligence économique Continuité de l‘activité non assurée

Elément aggravant dans la gestion d‘une crise Impact

Les risques liés aux Systèmes d‘Information eux-mêmes peuvent être "catastrophiques" au niveau opérationnel, moins au niveau corporate dans la plupart des grandes entreprises Plus difficiles à percevoir, les risques liés à la gestion de l‘information et notamment sa diffusion constituent la majeure partie des risques concernés par la gestion de crise.

Les risques associés à la sécurité de l‘information

Veille technologique

Sécurité des réseaux et infrastructures

Protection des PCs et logiciels contre les attaques, bugs et virus Encryption des supports

Stockage sécurisé Standards entreprises Formation et habilitations

Responsabilités de tous, engagement et sanctions

Gestion de la SSI par objectifs inclus dans le plan de rémunération Formalisation dans les processus

Présence à tous les niveaux de reporting de la gestion des risques

Les mesures de contrôle usuelles...et moins usuelles

Au-delà de la protection technique, un dispositif complet

Conclusion, questions & réponses

« La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit

de ses habitants. » Thucydide,

Histoire de la guerre du Péloponnèse,

Ve siècle av JC.

Webographie

• FMoIP

– http://www.theregister.co.uk/2009/07/01/hospital_hacker_arrested/

– http://www.theregister.co.uk/2009/07/09/swatting_indictment/

– http://www.wired.com/threatlevel/2009/07/video-hijack/

– http://www.leprogres.fr/fr/permalien/article/1931250/Roanne-nouvelle-panne-du-systeme-de-fermeture-automatique-d-une-prison.html

• Centres Informatiques

– http://www.datacenterknowledge.com/archives/2009/11/04/inside-a-cloud-computing-data-center/

– http://www.datacenterknowledge.com/archives/2009/12/16/major-data-center-outages-of-2009/

– http://www.datacenterknowledge.com/archives/2009/07/06/the-day-after-a-brutal-week-for-uptime/

– http://cloudsecurity.org/

– http://www.datacenterknowledge.com/archives/2009/12/23/dns-issues-cause-downtime-for-major-sites/

– http://www.informationweek.com/story/showArticle.jhtml?articleID=222001992

– http://www.networkworld.com/news/2009/101209-sidekick-cloud-computing-outages-short-history.html – http://www.infoworld.com/print/105435

– http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853 – http://www.networkworld.com/news/2009/040609-cloud-computing-security.html

– http://www.theregister.co.uk/2009/10/05/amazon_bitbucket_outage/

– http://www.computerworld.com/s/article/9130283/Backup_provider_Carbonite_loses_data_sues_vendor – http://cloudsecurity.org/

– http://www.tdg.ch/feu-avenue-provence-fermez-fenetres-2009-09-25http://www.tsr.ch/tsr/index.html?siteSect=200001&sid=11279188 http://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/

– http://www.theinquirer.fr/2009/07/02/panne-electrique-sur-un-centre-de-donnees.html – http://www.networkworld.com/news/2009/071009-rackspace-ceo-speaks.html – http://www.theregister.co.uk/2009/08/04/paypal_offline_again/

– http://www.theregister.co.uk/2009/06/24/paypal_uk_down/

– http://www.theregister.co.uk/2009/08/05/cisco_2hour_outage/

– http://www.theregister.co.uk/2009/10/19/swissdisk_failure/

“Les Risques liés aux Systèmes d’Information : comment les approcher, en avoir une vision

objective et challenger les DSI ?”

Les présentations de cet atelier seront sur www.amrae.fr

à partir du 1er février 2010