VOLET N°2
1 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Principes fondamentaux de la sécurité du système d’information Scenarios génériques de menaces Méthodes et bonnes pratiques de l’analyse de risques Plan d’actions sécurité et budgets : exemples, retour d’expérience
Définition des objectifs de sécurité
Sécurité générale : protection des biens et des personnes
« Une protection adéquate dépend de la valeur des biens à protéger. » 4 niveaux de mesures de sécurité :
Prévention: Empêcher vos biens d’être endommagés.
Ex: Serrures sur toutes les portes
Détection: Se rendre compte que vos biens ont été endommagés, comment et par qui Ex: Système d’alarme sur une maison, vidéo surveillance
Réaction: Recouvrir vos biens ou réparer le dommage causé par leur perte.
Ex: Appeler la police, Assurance…
Reprise : reprendre le fonctionnement normal Ex : Véhicule de prêt
3 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Principes fondamentaux de la sécurité
Les aspects fondamentaux de la sécurité du système d’information :
Confidentialité : Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés ISO 7498-2 (1989). AFNOR
Disponibilité : Propriété d’être accessible et utilisable sur demande par une entité autorisée. La disponibilité est une des quatre propriétés essentielles qui constituent la sécurité. ISO 7498-2 (1999). AFNOR
Intégrité : Propriété des données dont l’exactitude et la cohérence sont préservées à travers toute modification illicite. Prévention de toute modification non autorisée de l’information ISO/IEC IS 2382-8 (1998) . AFNOR.
Auditabilité Capacité pour une autorité compétente, à fournir la preuve que la conception et le fonctionnement du système et de ses contrôles internes sont conformes aux exigences de sécurité Garantir une maîtrise complète et permanente sur le système et en particulier pouvoir retracer tous les évènements au cours d’une certaine période. AFNOR
Continuité Fiabilité DISPONIBILITE
Exactitude Inaltérabilité INTEGRITE
Contrôle d'accès Non divulgation CONFIDENTIALITE
Preuves Contrôles
AUDITABILITE
Les Risques: les atteintes et impacts
Principes fondamentaux de la sécurité
Vue de quelques acteurs du système d’information
Entreprise
LAN / station de travail
Environnement Informatique et télécom
Equipements de sécurité
Fournisseur d’accès Fournisseurs de services - Opérateurs Télécom - Hébergeurs, - Paiement sécurisé, - Sites de sauvegarde et secours
Environnement Général : EDF Intervenants
en amont dans la conception
et la réalisation des environnements
Personnel
Serveurs Prestataires
de services
infogérance
5 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Principes fondamentaux de la sécurité
Stratégies, procédures,
& sensibilisation
Renforcement de la sécurité du système d'exploitation, gestion des mises à jour, authentification, sonde HIDS
Firewall, VPN IPSec, SSL , VLAN
Protections, verrous, dispositifs de suivi, contrôle par badges
Segments réseau, systèmes de détection d'intrusion réseau NIDS
Renforcement de la sécurité des applications, antivirus, contrôle des développements et des saisies ACL, Chiffrement, Sauvegarde
Formation/Sensibilisation des utilisateurs
Sécurité physique Périmètre Réseau interne
Hôte Hôte Hôte Hôte Application Application Application Application Données
Vue de quelques mesures de préventions et de protections
Accident physique Malveillance physique
Perte de servitudes essentielles Perte de données
Indisponibilité d'origine logique Divulgation d'informations en interne Divulgation d'informations en externe Abus ou usurpation de droits
Fraude
Reniement d'actions
Non-conformité à la législation Erreurs de saisie ou d'utilisation Erreurs d’exploitation, de conception Perturbation sociale
Attaque logique du réseau
Accident Erreur Malveillance
Origines AEM
7 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Etude CLUSIF 2008
Typologie des incidents de sécurité
Analyse de risques
La première étape du management de la sécurité des systèmes d'information doit rendre intelligible les risques qui visent une organisation, l’analyse de risques
Objectifs recherchés
Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de prendre les décisions stratégiques adaptées
Enclencher les actions associées par ordre de priorité
L’analyse des risques répond à un besoin de
gouvernance des risqueset représente un outil de pilotage / d’aide à la décision.
9 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Les grands risques
Incendie d’une banque : le crédit lyonnais Explosion d’un site industriel : AZF Fraude à la carte bancaire
Cyclone Katrina 2005
Les préoccupations Vol de données
Programmes malveillants
Chantage extorsion, racket sur Internet Cyber terrorisme
Mobilité
…
Les nouvelles formes de risques :
Intégration renforcée (supply chain, Erp, ..) Diversité des intervenants dans le SI
Moindres compétences (IT) de certains acteurs Cadre juridique et réglementaire
Visibilité sur le web et perte d’image de marque
11 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Définitions
MENACES : Événement d'origine accidentelle ou délibérée, capable s'il se réalise de causer un dommage au sujet étudié
VULNERABILITE : Faiblesse dans le système qui peut être exploitée par une menace (« perméabilité »). La vulnérabilité est intrinsèque au système d’information de l’entreprise.
Analyse de risques
Définitions
POTENTIALITE – EXPOSITION AU RISQUE : (plausibilité/possibilité) : Facteurs de risques favorisent ou non l'occurrence de l'agression. Ils s'intéressent aux CAUSES et permettent de qualifier sa POTENTIALITE.
Exposition au risque (Potentialité) : P = menace x vulnérabilité
La potentialité permet d’exprimer une évaluation du caractère plausible d ’une menace (compte tenu des vulnérabilités, notamment en prévention, des supputations sur la force des agressions, des agresseurs…).13 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Définitions
IMPACT : Les facteurs de risques influent sur la nature des CONSEQUENCES de l'agression, ils permettent de qualifier l’IMPACT.
L ’Impact est analysé selon les critères d ’impact en rapport direct avec les objectifs d’entreprise (compte tenu des vulnérabilités, notamment en protection, des « valeurs » des objets concernés, du type et du niveau de l’agression…).
Les critères d’impacts peuvent être définis de la manière suivante :
Impact sur l’image de marque de la société auprès de clients, des partenaires Impact financier ou pertes financières
Impact sur l’activité de l’entreprise
Impact sur les responsabilités (juridique) : engagement de responsabilités
Vulnérabilités
Menaces RISQUE
Définitions
UN RISQUE : Combinaison de l’exposition au risque d'un événement de sécurité et de son IMPACT et qualifie le niveau de danger associé à un scénario de sinistre, tel que perçu par l'entreprise
Niveaux de risques : Risque insignifiant
Risque acceptable - Risque toléré Risque inadmissible (bien que tolérable)
Risque insupportable (parce que n’ayant pas les moyens de faire face à ses conséquences)
Risque (ou Gravité du risque) = Exposition au risque X Impact
15 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
L’objectif de la gestion de risques, c’est :
SE PREMUNIRCONTRE DES RISQUES INACCEPTABLES POUR L’ENTREPRISE CIBLERLES EFFORTS ET INVESTISSEMENTS EN MATIERE DE SECURITE
L’objectif de l’identification des services de sécurité, c’est :
SPECIFIER FONCTIONNELLEMENTLES MOYENSORGANISATIONNELS, TECHNIQUES, OU HUMAINS A METTRE EN ŒUVRE POUR RENDRE ACCEPTABLESLES RISQUES QUI
PESENT SUR LES ACTIVITES CLES DE L’ENTREPRISE
Analyse de risques
Nouvelle activité de l’entreprise Nouvelle architecture
technique
Nouveau système d’information
Identification des enjeux Analyse de la menace
Identification des risques majeurs Caractérisation du S.I.
(ressources fonctionnelles et techniques)
Identification des vulnérabilités potentielles majeures
Quels moyens engager ? SERVICES DE SECURITE
Système d’information existant
Profils fonctionnels de sécurité S.I.
Procédures Mécanismes
techniques Plans
17 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Typologie des méthodes d’analyse de risques
Point commun
Visent à exprimer le risque en terme d’impact potentiel et de probabilité de survenance.
Différences
Par la mesure de l’historique
Estimation financière des incidents des x derniers mois Par la mesure des risques « intrinsèques »
Analyser l’exposition naturelle de l’entreprise face à des menaces et les impacts métiers de la survenance d’un incident
Méthodes d’analyse de risques
MEHARI (MEthode Harmonisée d'Analyse de RIsques):
https://www.clusif.asso.fr/fr/production/mehari/
Développé depuis 1995 issue du monde associatif
« Compatible » BS 7799 / ISO 27002 / ISO 27005 Cible : Administration & grands comptes & PME-PMI Aide au management des risques
Logiciel RISCARE disponible par le biais du CLUSIF Approche normative : Norme ISO 27002
Enumère des domaines où le contrôle peut s'exercer.
Ne représente pas une méthode d’analyse de risques
Mais peut être utilisée comme une table des matières permettant de ne rien oublier pour la sélection des parades.
http://www.securite.teamlog.com/publication/4/5/index.html
19 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Méthodes d’analyse de risques
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), Mise au point par la ANSSI en 1995 (Direction Centrale de la Sécurité des Systèmes d'Information) ;
http://www.ssi.gouv.fr/site_article45.html
Logiciel EBIOS disponible gratuitement sur le site de la ANSSI
« Compatible » ISO 27005 Langue Française
Cible : Administration & grands comptes
La version d’EBIOS 2010 sera basée sur la démarche proposée par ISO/CEI 27005.
Analyse de risques
EBIOS en 5 étapes
21 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Etape N
°1 : Etude du contexte
Vision globale et explicite du système étudié, des enjeux, des contraintes et référentiels applicables
Objectif
Fixer le périmètre et les caractéristiques du système d’information étudié, afin d’identifier lesactivitéset les ressourcesentrant dans le champ de l’analyse des risques.
préparer les métriques et critères de gestion des risques qui seront utilisés dans l’appréciation du risques,
Fixer le périmètre de l’étude :
Identifier les activités : Activités principales, Activités de support
Identifier les ressources : Ressources humaines, Matériels informatiques, Logiciels, Réseaux…
Identifier les contraintes et obligations réglementaires ….
Métriques
Critères de sécurité et échelle de besoins,
Critères de vraisemblance, d’impact et de gestion de risques.
Eléments - Entités
Eléments : fonctions – informations
Entités : supports des éléments , matériel, logiciels, réseaux, organisations, personnels
Etape N°2 : étude des événements redoutés
détermination des événements redoutés en positionnant des éléments à protéger (patrimoine informationnel) en terme de disponibilité, intégrité, confidentialité… et mise en évidence des impacts en cas de sinistre
Objectif
identifier de manière systématique les scénarios génériques que l'on souhaite éviter concernant le périmètre de l'étude : les événements redoutés. Elle permet également aux utilisateurs du système d'exprimer leurs besoins en matière de sécurité pour les fonctions et informations qu'ils manipulent.
Les enjeux de sécurité sont déterminés
A partir d’une évaluation des conséquences qu’auraient, sur l’activité, la matérialisation de risques potentiels prenant naissance au sein du système d’information
En utilisant une échelle d’évaluation d’impact (image de marque, financière…)
Attribuer un besoin de sécurité par critère de sécurité (disponibilité, intégrité, confidentialité…) à chaque élément essentiel.
La sensibilité d’une ressource est celle de l’activité la plus sensible qui l’utilise.
23 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Etape N°3 : Etude des menaces
Recensement des scénarios pouvant porter atteinte aux composants (techniques ou non) du SI
Objectif
Formaliser les menaces en identifiant leurs composants : les méthodes d'attaque auxquelles l'organisme est exposé, les éléments menaçants qui peuvent les employer, les vulnérabilités exploitables sur les entités du système et leur niveau.
Elément menaçant
Un élément menaçant peut être caractérisé selon son type (naturel, humain ou environnemental) et selon sa cause (accidentelle ou délibérée).
Analyse de risques
Etape N°3 : Etude des menaces
Les vulnérabilités à prendre en considération peuvent être déterminées : en se référant à unetypologie de vulnérabilitéset en se basant, si possible, sur la connaissance qu’à l’entreprise de ses forces et faiblesses en sécurité :
Applicationaux ressources du système cible des vulnérabilités connues (ou perçues) au sein des ressources communes à d’autres activités de l’entreprise (par exemple, messagerie, accès Internet, …)
Extrapolationaux ressources du système cible des vulnérabilités génériques connues (par exemple, faiblesse de la protection des locaux, manque de robustesse des mots de passe, …)
en se basant sur les résultats d’un audit éventuel (cas d’un système d’information existant)
Audit organisationnel et techniquepour garantir la cohérence Tests d’intrusions
25 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Etape N°4 : étude de risques
Mise en évidence des risques réels et expression de la volonté de les traiter en cohérence avec le contexte particulier de l’organisme
Objectif
Déterminer les risques réels pesant sur le système cible - confrontation des menaces aux événements redoutés permet de retenir et hiérarchiser les risques qui sont véritablement susceptibles de porter atteinte aux éléments essentiels.
Déterminer les objectifs de sécurité en terme d’évitement, d’acceptation ,de transfert et de réduction de risques
Déterminer les risques résiduels
Représente le Cahier des charges de la MOA pour la MOE
Etape N°5 : Etude des mesures de sécurité
Spécification des mesures concrètes à mettre en œuvre pour traiter les risques sur la base d’une négociation argumentée - mesures de prévention (ex : anonymisation d’une base de données), mesure protection (pare-feux), mesure récupération (ex : PRA ).
Objectifs
Sélectionner des mesures de sécurité cohérentes pour réduire ou transférer le risque - mesure à mettre en œuvre pour fournir un niveau de sécurité conforme aux besoins spécifiés et en respectant les principes énoncés au sein de la politique cadre de sécurité.
Disposer d’un cadre d’orientation des solutions de sécurité à mettre en œuvre qui tienne compte de la spécificité de l’entreprise
Enumération des mesures de sécurité et associées aux risques correspondants – SOA – State Of Applicabilité
Représente la réponse de la MOE à la MOA
27 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Analyse de risques
Logiciels du marché : analyse de risques
EBIOS : http://www.ssi.gouv.fr/site_article45.html
Mehari : https://www.clusif.asso.fr/fr/production/mehari/
DPCIA 5.01 Global System Management : www.dpcia.comlogiciel orienté gestion du SMSI que gestion des risques
Modulo Risk Manager: www.modulo.com produit sud américain dont IBM se servirait pour ses propres besoins. Ce produit intègre OCTAVE
http://www.cert.org/octave/ainsi que d’autres normes
RA2 : www.aexis.de(voir la démo) ou www.xisec.compar les auteurs de la 27001,
Real ISMS : http://www.realismssoftware.comil y a une vidéo sur le module de risk management qu’ils proposent
29 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Audit de sécurité
Un audit de sécurité permet d’évaluer le niveau de sécurité d’une entité à un moment donné.
L’audit de sécurité positionne rapidement le niveau de sécurité de votre entreprise et identifie les chantiers prioritaires de sécurité du système d'information à mettre en œuvre.
L’audit de sécurité se base sur des référentiels de sécurité telles
que les normes ISO-27001 et ISO-27002.
Audit organisationnel et technique pour garantir la cohérence
Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE, SERVICE JURIDIQUE…) et techniques du SI
Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques) Audit du référentiel technique (existence de systèmes de sécurité, redondance, sauvegarde, etc…)
Basé sur une approche normative ISO 27002 – ISO 27001
Avantage - Positionnement rapide du niveau de sécurité par rapport à un référentiel
31 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Tests d’intrusions
Objectifs des tests d’intrusions Stigmatiser les aspects techniques
Matérialiser les vulnérabilités identifiées lors de l’audit.
Référentiels : OWASP, OSSTMM
Accord entre un prestataire et une société sur :
Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications concernées
Une période de temps : durée de l’autorisation des tests d’intrusion.
Une limite de tests : pas de perturbation de la production ni de corruption de données.
Focus sur les aspects juridiques
Objet du contrat d’audit : entre obligations et responsabilités La licéité de l’exécution de la prestation d’audit
Les risques inhérents à l’audit La confidentialité
Plan d’actions sécurité et budgets
Un plan d’actions peut découler :
d’une analyse de risquesd’un audit de sécurité organisationnel ou technique
Les objectifs de sécurité se déclinent en plan d’actions et projets :
Plan de continuité, PKI (Public Key Infrastructure),SSO (Single Sign On), VPN (Virtual Private Network), Messagerie sécurisée …
33 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Plan d’actions sécurité et budgets
Élaborer un plan d’actions cohérent :
Traiter en priorité les risques inacceptablesPromouvoir une approche transversale de la sécurité du système d’information
Critères de priorisation et identification des socles en fonction
du niveau de maturité sécurité constatédu contexte organisationnel de l’entreprise et bien sûr de votre budget sécurité
Conseils
Présenter au maximum de 10 mesures, actions ou projets Certains projets sont stratégiquement à positionner au début Décomposer entre 3 socles
Copyright Société PRONETIS 2011 -
Droits d'utilisation ou de reproduction 35
Analyse de risques Exemple :
Très urgent Peu
important Très important
Moyennement important
Peu urgent
Socle 3
- Sécurité physique et sécurité de l’environnement
Moyennement urgent
Socle 2
- Respect de la réglementation interne et externe - Intégration de la sécurité dans les projets informatiques
Socle 1
- Contrôle d’accès logique -Mise en œuvre d’un plan de continuité informatique priorités
Plan d’actions et budgets
Exemple de plan d’actions Type de risque :
Juridique, financier, image de marque etc…
Risque identifié s’il n’y a pas d’action ou de projet Contribution sécurité
Contribution du projet par rapport à la situation actuelle de la sécurité dans l’entreprise
Complexité :
Complexité de mise en œuvre organisationnelle ou technique Coût :
Ordre de grandeur en investissement et en jour.homme du projet Priorité proposée :
En fonction de la criticité socle 1, socle 2 et socle 3 Par rapport à la situation actuelle de la sécurité informatique Type de projet :
Organisationnel et/ou Technique
Plan d’actions et budgets
Exemple de plan d’actions Sécurité
37 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Plan d’actions et budgets - les projets SSI
Les sujets biens traités en général
Sécurisation des applications critiques, sécurisation du réseau, sécurisation e-mails, Backup, Sécurisation des accès distants,
Mise en conformité réglementaire, Sécurisation des applis web,
Les sujets en retrait
Formation et
sensibilisation
dupersonnel
Plan de Reprise d’Activité (
PRA
), Plan de Continuité d’Activité (PCA) Source IDC 2008Budget informatique alloué à la sécurité (source CLUSIF 2008)
Le
niveau de dépense
des entreprises en matière de sécurité esttrès hétérogène
30%
des entreprises (de plus de 200 salariés)ne semblent pas identifier ou mesurer cette dépense
.Ce budget n’a pas encore une définition très claire et une périmètre bien délimité
39 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Plan d’actions et budgets
Budget informatique alloué à la sécurité (source CLUSIF 2008)
Que représente votre budget sécurité par rapport au budget informatique total ?
Plan d’actions et budgets
Budget informatique alloué à la sécurité (source CLUSIF 2008)
Les contraintes
organisationnelles
et lebudget
freinent le RSSI Difficile de faire passer un projet sécurité dans votre entreprise ?les contraintes organisationnelles.
le manque de budget.
la réticence de la hiérarchie, des services ou des utilisateurs.
le manque de personnel qualifié.
la réticence de la Direction des Systèmes d’Information.
41 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Plan d’actions et budgets
Le périmètre : le recentrage des enjeux
(analyse effectuée en 2009 - Assises de la sécurité)
Le périmètre : le recentrage des enjeux par secteur d’activité
43 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
(analyse effectuée en 2009 - Assises de la sécurité)
Plan d’actions et budgets
Les actions
de pilotage :
typologie
des actions
Plan d’actions et budgets
Les actions de pilotage sur le plan opérationnel
45 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
(analyse effectuée début 2009 - Assises de la sécurité)
(analyse effectuée 2009 - Assises de la sécurité)
Retour sur investissement (ROI) – un exercice difficile en SSI
Quelles sont les difficultés pour évaluer et calculer le ROI ?
Source IDC octobre 2008Périmètre de la sécurité et les axes stratégiques Fiche de poste du RSSI Organisation de la sécurité Difficultés de la sécurité des systèmes d’information Communication et formation autour de la sécurité Tableau de bord du RSSI
Management de la sécurité
47 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Concevoir et manager un dispositif de sécurité adapté est une mission complexe qui nécessite :
– Une bonne connaissance / évaluation des risques
– Une approche globale et transversale faisant interagir les fonctions Direction Générale, Direction de la Sécurité des Systèmes d'Information, Direction du Contrôle Interne et Direction de l'Audit – Un modèle de conception dynamique qui intègre l’ évolution des
architectures et des menaces.
Une problématique complexe
Périmètre et les axes stratégiques de la sécurité
Périmètre et les axes stratégiques de la sécurité
La sécurité du SI doit être abordée d’une manière globale avec une volonté affichée et un appui de la direction
Les seules réponses techniques à la problématique sécurité sont insuffisantes si elles ne sont pas sous-tendues par une approche structurée intégrant les composantes :
Stratégique Économique Organisationnelle Humaine
Il s’agit pour les organisations de passer d’une politique sécurité basée sur la juxtaposition de briques techniques hétérogènes à une politique visant l’optimisation des processus et la rationalisation des investissements. Les priorités portent désormais davantage sur les aspects d’organisation et de management.
49 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Système de management de la sécurité de l'information : SMSI
Norme ISO-27001
Phase PLAN
Périmètre du SMSIPolitique de sécurité et/ou politique du SMSI Identification et évaluation des risques
Plan de gestion des risques (méthode – traitement des risques) Objectifs de sécurité et mesures de sécurité
Phase DO
Allocation et gestion de ressources Personnes, temps, argent
Rédaction de la documentation et des procédures Formation du personnel concerné
Gestion du risque (mise en œuvre des mesures de traitement des risques)
51 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Phase CHECK
Vérification de routine Apprendre des autresAudit du SMSI : Audits réguliers sur la base de docs, logs, tests techniques…
Conduit à Constatation des mesures correctives - Identification de nouveaux risques non traités
Phase ACT
Prendre les mesures résultant des constatations faites lors de la phase de vérification
Actions possibles :
Passage à la phase de planification Si de nouveaux risques ont été identifiés Passage à la phase d'action Si la phase de vérification en montre le besoin Si constatation de non-conformité Actions correctives ou préventives
Système de management de la sécurité de l'information : SMSI
Système de management de la sécurité de l'information : SMSI
Focus sur la partie Audit de Sécurité
Audit interne : audit commandité par l’entreprise pour se contrôler elle-même.
Dans les sociétés disposant d’une structure d’audit interne, il peut être réaliser par du personnel interne, mais rien n’empêche de commander un audit interne à un cabinet spécialisé.
Audit seconde partie : audit dans lequel le commanditaire est une partie prenante (un client, par exemple), et l’audité un fournisseur. Ce type d’audit est extrêmement courant. Les auditeurs sont, soit des employés du commanditaire, soit ils travaillent dans un cabinet fournissant une prestation d’audit pour le compte du commanditaire.
Audit tierce partie : couramment appelé audit de certification. Le commanditaire et l’audité font partie de la même entité. En revanche, l’auditeur travaille obligatoirement pour un organisme de certification indépendant.
53 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Taille moyenne des équipes de sécurité
(analyse effectuée 2009 - Assises de la sécurité)
Mission transverse du Responsable de la sécurité des Systèmes d’Information Sa mission est de piloter et de coordonner la mise en œuvre, l’application et l’évolution de la politique de sécurité du système d’information
Structure de la fonction sécurité
Structure de concertation, de pilotage et de contrôle Ou bien structure opérationnelle
Êtes-vous positionné en maîtrise d’ouvrage ou maîtrise d’œuvre ? Temps plein ou temps partiel affecté à la sécurité ?
55 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
La fonction de RSSI
Définition des principes ou règles applicables
Coordination des actions Animation du réseau de correspondants
Evaluation régulière du niveau de sécurité
Intégration de la sécurité dans les projets
Evaluation des risques Veille sécuritaire
Surveillance – gestion des incidents
Promotion de la politique de sécurité Coordination des actions de sensibilisation
RSSI – Aptitudes – Fonctions clés
Ses aptitudes Capacité d’écoute Culture Sécurité
Esprit critique et de synthèse Bon Relationnel et force de
proposition
57 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
(analyse effectuée 2009 - Assises de la sécurité)
La fonction de RSSI – Actions transverses du RSSI
Les actions transverses Elaboration de la politique Mise en œuvre de la politique Définition des rôles / organisation Mise en place de la conformité juridique Plan de continuité des activités Formation / sensibilisation
Mise en conformité SOX, LSF, Bâle II Architecture et standards de sécurité Pilotage de projets « sécurité » globaux Intégration de la sécurité dans les projets Plan d'audit de sécurité
Veille en Sécurité SI
Pilotage global des budgets SSI Certification
Les éléments à prendre en compte
L ’histoire de la sécurité dans l ’entreprise – historique de la sécurité - sinistres, culture du management
La perception de la dépendance du SI de l ’équipe dirigeante La création de la fonction sécurité
Ses moyens : le RSSI a-t-il un budget dont il est responsable ?
59 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Organisation de la sécurité
Rôle du comité de sécurité ?
Approuve la politique de sécurité
Suivi du tableau de bord général de sécurité
Fixer les grandes orientations en fonction du schéma directeur Arbitrage en cas conflit d’intérêt
Cellule de crise en cas d’incidents ayant un impact critique ou
catastrophique sur la continuité et la qualité des services délivrés
(Plan de continuité d’activité)
Organisation de la sécurité
Quelle structure ?
Comité de sécurité (3 ou 4 par an) et incident grave
Composée des différents responsables de l’entreprise (DG,DAF, RH, Qualité,… référents métier)
Revue des scénarii et/ou audit annuel
Les métiers informatiques tels que le responsable IT, responsable d’application, l’expert réseau, l’administrateur système et de base de données, qualité, … viennent en support au RSSI dans sa mission transverse
61 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Organisation de la sécurité
Comité de Sécurité
RSSI
Politique Securité
Fixe les grandes orientations Approuve la politique de sécurité Suit le tableau de bord général de sécurité Arbitre en cas conflit d’intérêt
Cellule de crise en cas d’incidents critique
Définit de la politique de sécurité du SIH Gère les projets sécurité
Contrôle l’application de la sécurité Sensibilise, forme et conseille
Responsable IT, experts, système, réseau,
responsable applications métier
Positionnement du RSSI ?
Champ SI : DSI, auditChamp « entreprise » : secrétaire général, direction générale Ou mixte
Le positionnement du RSSI dépend également du positionnement de la DSI
Est-ce que la DSI est positionnée uniquement en maîtrise d’œuvre ?Ou la DSI a-t-elle aussi une mission de maîtrise d’ouvrage déléguée ?
63 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Organisation de la sécurité
Positionnement du RSSI
(analyse effectuée 2009 - Assises de la sécurité)Une représentativité quasi identique d’année en année avec néanmoins une proportion croissante des Directions Sécurité / Sûreté (10% en 2008).
Rémunération du RSSI
65 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
(analyse effectuée 2009 - Assises de la sécurité)
Une répartition des salaires qui varie peu avec un salaire moyen quasi stable à 73,8 k€
contre 73,4 k€ en 2008.
Les difficultés rencontrées en SSI
Les usagers ont des besoins spécifiques en sécurité SI, mais en général ils ont aucune expertise dans le domaine
Performance et confort d’utilisation Versus Sécurité
Les mécanismes de sécurité consomment des ressources additionnelles
La sécurité interfère avec les habitudes de travail des usagers
Ouverture vers le monde extérieur en constante progression
Les frontières de l’entreprise sont virtuelles ex : télétravail, télémaintenance
L’ouverture du commerce en ligne sur Internet, (e-business, e- procurement, la dématérialisation des appels d’offre publics, …)
Centre de coût versus centre de profit
La justification des dépenses en matière de sécurité n’est pas évidente Le retour sur investissement en sécurité est un exercice parfois difficile
La sécurité n’est pas une fin en soi mais résulte d’un compromis entre :
un besoin de protection
un besoin opérationnel qui prime sur la sécurité (coopérations, interconnexions…)
des fonctionnalités toujours plus tentantes offertes par les technologies (sans fil, VoIP…)
un besoin de mobilité (technologies mobiles…)
des ressources financières limitées et des limitations techniques
67 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Communication et formation autour de la sécurité
Marketing de la sécurité en interne
Éclairer les principes du risqueCommuniquer sur la dépendance technologique Organiser des séminaires – session de sensibilisation
Faire remonter les incidents internes et externes …et leurs conséquences
Communiquer en externe
Vos actions auront des répercutions en interne – renforcer votre crédibilité Rédiger des articles – revues spécialisées
Etre interviewé – revues spécialisées
Participer à des associations et forums de sécurité
Communication et formation autour de la sécurité
Communiquer sur les attaques externes pour vendre correctement les contraintes
Intranet, lettre, plaquette interne, événement annuel, ..
Communiquer sur incident (après résolution):
Communiquer en interne si provenance A, E ou M externe Décrire les mesures en place ou les nouvelles mesures Rappeler les règles en usage
Relancer l’implication des utilisateurs Mettre à jour l’intranet, les procédures, etc..
69 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Communication et formation autour de la sécurité
Formation
Formation permanente des acteurs de la sécurité
Organiser des réunions de veilles technologiques sur les produits sécurité avec les équipes opérationnelles
Sensibilisation
Organiser régulièrement des séances de sensibilisation des usagers Lors de l’arrivée d’un nouvel embauché etc…
Lors d’une formation bureautique, introduisez des notions de sécurité
Aide et support pour le suivi de l’activité Sécurité au sein d’une entreprise
Dispositif de contrôle et de pilotage de l’activité sécurité.
Contrôle la conformité du dispositif de sécurité par rapport aux objectifs de sécurité ainsi que son efficacité en regard de l’évolution des architectures techniques et des menaces.
71 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Tableau de bord
Des objectifs par niveau
Tableau de bord Sécurité
Les incidents et risques
AEM, synthèse des journaux techniques (FW), …et descriptifs (photos)
Les indicateurs de pilotage
Risques actuels par gravité
Rosace d ’audit (à utiliser avec précautions)
Coût (formation, projet, incidents, mesures de sécurité) État des projets
Les indicateurs d’exploitation
Comptes logiques, ….Indisponibilité, attaques virales, sauvegardes,
73 Copyright Société PRONETIS 2011 - Droits d'utilisation ou de reproduction réservés.
Etudes Réseaux
Etude Sécurité
Etudes MCO
Mise en Œuvre Réseaux Mise en Œuvre Sécurité
Tableau de bord Sécurité
Performance
Traçabilité
Evolutivité
Confidentialité
Disponibilité Intégrité
Archi logique
LAN – VLAN – ATM Routage - QoS
Adressage