Atelier A 26
Les Risques liés aux Systèmes d‘Information : comment les
approcher, en avoir une vision
objective et challenger les DSI ?
Intervenants
Modérateur
Julien CAMUS Deputy Risk & Insurance Manager
jcamus@paris.oilfield.slb.com
Pascal LOINTIER Président du CLUSIF, Conseiller Sécurité de l’Information CHARTIS
pascal.lointier@clusif.asso.fr ; pascal.lointier@chartisinsurance.com
François RENAULT Président de l’AFAI, Associé Deloitte Conseil
frenault@deloitte.fr
François BEAUME Responsable Risk Management
fbeaume@dalkia.com
“Les Risques liés aux Systèmes d’Information : comment les approcher, en avoir une vision
objective et challenger les DSI ?”
Les présentations de cet atelier seront sur www.amrae.fr
à partir du 1er février 2010
Quelques illustrations (1/5)
• Panne de signalisation réseau de transport urbain
• Pannes informatiques bourse de Londres (LES)
• Piratage d’informatique ambiante
• …
Quelques illustrations (2/5)
• Panne de signalisation réseau de transport urbain
• Pannes informatiques bourse de Londres (LES)
• Piratage d’informatique ambiante
• …
Lodz (Pologne), déraillement de 4 wagons par un adolescent
Quelques illustrations (3/5)
• Panne de signalisation réseau de transport urbain
• Pannes informatiques bourse de Londres (LES)
• Piratage d’informatique ambiante
• …
« Exercice » de destruction d’une turbine à partir d’une faille de sécurité, depuis corrigée
http://www.cnn.com/2007/US/09/26/power.at.risk/index.ht
ml
Quelques illustrations (4/5)
• Panne de signalisation réseau de transport urbain
• Pannes informatiques bourse de Londres (LES)
• Piratage d’informatique ambiante
• …
Bellingham (USA), 1999 : 3morts. Très récemment, le système informatique a été mis en cause également
Quelques illustrations (5/5)
• Panne de signalisation réseau de transport urbain
• Pannes informatiques bourse de Londres (LES)
• Piratage d’informatique ambiante
• Défaillance système de fermeture automatique de prison :
– http://www.leprogres.fr/fr/permalien/article/1931250/Roanne-nouvelle-panne-du-
systeme-de-fermeture-automatique-d-une-prison.html
5 questions (ou plus)
Au sein de votre structure :
• 1 - Quel historique lié à des défaillances SI ?
• 2 - Qui prime : sécurité ou conformité ?
• 3 - Quelle est la plus grosse exposition en terme de risque liés aux SI ?
• 4 - Avez-vous connaissance du périmètre sous traité de prestations liées au SI ?
• 5 - Envisagez-vous de vous ouvrir sur les réseaux sociaux en terme de
moyen de communication ? (ex: twitter)
Premiers constats
• Les Systèmes d’Information sont :
– en évolution, voire mutation, constante,
– complexes à appréhender dans leur globalité, – techniques certes, mais pas seulement.
• Les risques associés le sont également !
Sommaire
Dynamique d'évolution des systèmes Quelle typologie ?
Et le comportement humain ?
Pour conclure
Dynamique…
• Le Cloud computing, présenté comme une panacée par les vendeurs informatiques,
s'appuie sur une technologie VM dans une architecture SAN et se décline en 3 modes
SaaS, PaaS et IaaS tout en continuant à poser ou bien en amplifiant les problèmes pour 3 des critères DICT.
Le seul mot peu usité : panacée, nf (pa-na-sée), remède universel
Dans le cas contraire… problème potentiel d’évaluation des risques…
Des abréviations qui cachent des risques …
• www.acronymfinder.com pour un 1 er décodage ☺
• Le cloud n’est pas dans le ciel mais regroupé, avec les machines virtuelles (VM), dans des Centres
Informatiques.
Besoin de vigilances sur la :
– Disponibilité (par opposition aux SLA de 99,99 % ...) – Confidentialité (contre Intelligence économique)
– Traçabilité
• Conformité réglementaire
• Recherche de responsabilité (ex. RC)
99% désigne le fait que le service est
indisponible moins de 3,65 jours par an
Cloud computing, virtualisation : haute indisponibilité… parfois !
Des effets secondaires :
• Temps de redémarrage des serveurs
• Crash des disques
• Destruction par incendie, le reste par inondation pour extinction…
• Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients)
• Saisie des serveurs (FBI chez Core IP Networks, Texas)
• Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients)
• …
Evolution des architectures
• Globalisation : réseau informatique → système
d’ information → web 2.0 ( )
• Interopérabilité et interconnexion :
– Mainframe → Clients-Serveurs → Cloud
• Mobilité :
– Nomadisme → Accès Internet
• Cf. convergence téléphonie (GSM) – Internet des ordinateurs
• Avec IPV6, Internet de l’objet (1ers téléviseurs accès RS)
Extension du Système d’Information
• Management (Clients, Fournisseurs, etc.)
• Infogérance, outsourcing
• Téléphonie (VoIP)
• Production (ou logistique, régulation… cf. SCADA)
• Services Généraux sur IP ( )
Dynamique d’(in)sécurité
• Mesure → contre-mesure → contre C-M…
• Toute nouvelle technologie génère deux conséquences :
– Risque spécifique
– Détournement d’emploi malveillant
• Automobile : dommages corporels et matériels, 1 er braquage de banque avec fuite en auto (bande à Jules Bonnot)
• Email : bombing, spam, phishing et début de l’affaire Monica Lewinsky
Photo de la cravate, n’ayant
1 ères conclusions
• L’interopérabilité masque une complexité
croissante avec une diffusion (« virtualisation ») des ressources et une dilution des responsabilités
• Nécessité d’une analyse de risques et d’une
appréciation de la sécurité effective, logique et
physique et en rapport avec les besoins des
métiers. Votre assureur a-t-il un conseiller sécurité de l’information ? ☺
Quelle typologie de risques liés au SI ?
Définition des risques liés au SI Risques liés à l’usage des SI
Risques liés aux projets SI
Risques liés aux opportunités de l’IT
Synthèse des risques liés au SI
Définition des risques liés au SI
• Définition du référentiel RiskIT (ISACA – 2009) :
– “IT risk is business risk — specifically, the business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise.
• IT risk consists of IT-related events that could potentially
impact the business.”
Risques liés à l’usage des SI
• Interruption de processus
• Suite à défaillance de l’informatique ou des télécommunications
• Altération de processus
• Suite à modification non autorisée ou non maîtrisée d’application informatique
• Altération de données
• Stockées sur support informatique ou en transit sur un réseau
• Divulgation d’informations confidentielles
• Stockées sur support informatique ou en transit sur un réseau
• Absence de preuve
• Dans le cadre d’opérations dématérialisées
• Infraction aux lois ou réglementations
• Portant sur les SI
Exemple de scénarios (tirés de Méhari 2007)
Scénario Cause
07 Manipulation de données
07.10 Données applicatives faussées pendant la transmission 07.20 Rejeu de transaction
07.30 Saisie faussée de données 07.40 Substitution volontaire de supports 07.50 Manipulation de fichiers 07.60 Falsification de message
08 Divulgation de données ou d'informations
08.10 Accès au système et consultation08.20 Captation d'informations fugitives 08.30 Vol de documents écrits ou imprimés 08.40 Détournement d'informations en transit
08.50 Détournement d'informations temporaires générées par les systèmes
09 Détournement de fichiers de données
09.10 Accès au système et copie de fichiers de données applicatives 09.20 Vol de supports de données applicatives
09.30 Accès aux serveurs et copie de fichiers bureautiques 09.40 Détournement de code source
10 Perte de fichiers de données ou de documents
10.10 Effacement par bombe logique10.20 Effacement de supports par virus 10.30 Effacement malveillant direct de supports 10.40 Perte accidentelle de fichiers
10.50 Vol de supports
Scénario Cause
01 Indisponibilité passagère de ressources
01.10 Absence de personnel01.20 Accident ou panne mettant hors service une ou plusieurs ressources matérielles 01.30 Bug logiciel
01.40 Impossibilité de maintenance 01.50 Vandalisme depuis l'extérieur 01.60 Vandalisme intérieur.
01.70 Indisponibilité totale des locaux
02 Destruction d'équipements
02.10 Catastrophe naturelle ou acidentelle 02.20 Incendie
02.30 Inondation
02.40 Terrorisme ou sabotage depuis l'extérieur
03 Performances dégradées
03.10 modification du logiciel 03.20 modification du matériel
03.30 Surutilisation accidentelle de ressources informatiques ou réseau 03.40 Surutilisation malveillante de ressources informatiques ou réseau
04 Destruction de software
04.10 Effacement de code exécutable ou de configurations 04.20 Ecrasement accidentel d'un disque fixe
04.30 Effacement accidentel de logiciel 04.40 Vol ou effacement d'un support amovible
04.50 Effacement ou destruction de configurations logicielles utilisateurs
05 Altération de logiciel
05.10 Altération malveillante des fonctionnalités prévues d'une application via une bombe logique ou une porte dérobée,...
05.20 Modification volontaire des fonctionnalités prévues d'une application informatique
05.30 Modification volontaire ou accidentelle des fonctionnalités prévues d'une fonction bureautique (macro-instruction, feuille de calcul, etc.)
06 Altération de données
06.10 Accident de traitement 06.20 Erreur de saisie