CNAM-TS. Constitution et mise en place d une équipe sécurité

(1)

CNAM-TS

Couverture

Direction des Systèmes d’Information

Département Infrastructure, Réseaux et Sécurité

Constitution et mise en place

(2)

La CNAM-TS en quelques chiffres

¾ 70 % des remboursements maladie des assurés sociaux

¾ + de 120 Milliards € de remboursements / an

¾ 150 Organismes juridiquement indépendants (CTIR, CPAM, CGSS, URCAM, UGECAM…)

¾ 1700 sites géographiques

¾ 90 000 postes de travail

¾ 2000 serveurs Windows

¾ 200 serveurs Unix

(3)

Département Infrastructure, Réseaux et Sécurité

¾ Conception et mise à disposition des

infrastructures mutualisées (dns, annuaire, messagerie…)

¾ Centre National de Gestion du Réseau

(exploitation des « tuyaux », dns, pare-feux, proxy)

¾ Conception des infrastructures et outils

nécessaire à la sécurité

(4)

Pourquoi une équipe dédiée Sécurité ?

¾ La gestion de la sécurité est répartie

9 Le Réseau

9 Le Bureau d’Etudes

9 Les Centres de Traitements Informatiques Régionaux 9 Les Organismes de bases

¾ Multiples interlocuteurs

¾ Pas de tableaux de bord généraux

(5)

Objectifs

¾ Disposer d’un pôle d’expertise reconnu

9 Intégration dans les applications 9 AntiVirus / AntiSpam

9 Durcissement des Systèmes 9 Évaluation des vulnérabilités

¾ Fédérer les actions liées à la sécurité

¾ Mettre en place des outils de reporting de la

sécurité

(6)

La Sécurité à la CNAM-TS

Sécurité Applicative

9 Réponse aux dossiers sécurité 9 Respect des exigences du S.D.S.

pendant cycle de vie des projets

9 Intégration des différents outils dans l’infrastructure applicative

9 Mise en œuvre politique

d’identification / authentification pour l’accès sécurisé aux applications

Experts « solutions » pour le

développement

(7)

La Sécurité à la CNAM-TS

Sécurité Applicative

9 Réponse aux dossiers sécurité 9 Respect des exigences du S.D.S.

pendant cycle de vie des projets

9 Intégration des différents outils dans l’infrastructure applicative

9 Mise en œuvre politique

d’identification / authentification pour l’accès sécurisé aux applications

Experts « solutions » pour le développement

Sécurité Infrastructure

9 Responsabilité globale de la sécurité de l’infrastructure

9 Validation des solutions de sécurité 9 Conception et évolution des outils

spécifiques A.M. (IGC, transfert sécurisé, anonymisation, …) 9 MOE des outils des serveurs et

postes de travail

Experts « solution sécurité -

infrastructure »

(8)

Sécurité des Infrastructures

Animation des RSSI

(9)

Sécurité des Infrastructures

Animation des RSSI

E X P E R T I S E

Conception de produits propres à l’AM : IGC, anonymisation, transfert

sécurisé…

(10)

Sécurité des Infrastructures

Animation des RSSI

E X P E R T I S E

O P

E

A R

T I

O N

S

(11)

Sécurité des Infrastructures

Animation des RSSI

E X P E R T I S E

O P E A R T I O N S

Processus de sécurité (ONS…)

(12)

Sécurité des Infrastructures

Animation des RSSI

E X P E R T I S E

O P E A R T I O N S

Processus de sécurité (ONS…)

Crises virales / gestion des failles

(13)

Sécurité des Infrastructures

Animation des RSSI

E X P E R T I S E

O P E A R T I O N S

Processus de sécurité (ONS…)

Crises virales / Gestion des failles Suivi des connexions des partenaires

et sécurité réseau

(14)

La formation d’experts sécurité

¾ Largeur du scope de formation !

9Administration 9Réseau

9Sécurité 9Méthode

9Développement

¾ Difficile de trouver le bon compromis en

fonction du profil

(15)

La formation d’experts sécurité

¾ Difficile de trouver aussi le bon dosage entre théorie et pratique

¾ Effort constant, qui peut être partiellement

comblé par de la veille technologique

(16)

La veille technologique

¾ C’est coûteux et il y a peu ou pas de retour sur investissement visible

¾ Mais indispensable => ne pas l’oublier dans les plans de charge !

¾ Interne ou externalisée ?

9Nouveaux produits

9Vulnérabilités

(17)

La veille technologique - Vulnérabilités

¾ Facilement externalisable

¾ Ne pas céder à la folie du patch systématique

¾ Nécessite donc une cellule pour évaluer

les risques en interne

(18)

Les premiers résultats - AntiVirus

¾ Centralisation des mises à jour

¾ Centralisation des alertes

CPAM CPAM CPAM CPAM

CTIR CTIR

CNAM-TS MAJ

Logs

(19)

Les premiers résultats - ONS

¾ Définition des circuits d’alimentation

9Quels évènements ? 9Remontés par qui ?

¾ Définition des circuits d’action

¾Qui alerter ?

¾Vers qui escalader ?

¾ Rédaction du cahier des charges en cours

(20)

Les premiers résultats – Vulnérabilités

¾ Qualification de la gravité de la vulnérabilité par l’équipe sécurité

¾ Transfert au BE pour étude d’application du patch

¾ Qualification / diffusion par le CNQD

(21)

Les premiers résultats – Authentification LDAP

¾ Coupler une annuaire LDAP avec le système AccessMaster

¾ Permettre aux applications clients légers d’utiliser les standards

¾ Sortir progressivement du client/serveur

¾ Maquette en cours de réalisation.

(22)

Les futurs projet

¾ Refonte du système d’identification / authentification

¾ Migrer les technologies internes vers les standards

¾ Mise en place de proxy de sécurité pour

interopérabilité avec les autres régimes

(23)

Constitution d’une équipe dédiée sécurité

¾ Travail de longue alène

¾ Bien évaluer les besoins en formation

¾ Impliquer tous les acteurs potentiels

¾ Prévoir les outils de reporting

¾ Ne pas négliger la veille technologique

(24)

Constitution d’une équipe dédiée sécurité

Des questions ?

Merci beaucoup…