Download - Sécurité Internet
La gestion de la sécurité vue par un standard e-SCM de
Sourcing
Gestion des risques – Définition ISO
Sécurité (Le SI au cœur du Business)
Typologie des incidents de sécurité
Pratiques de nature à augmenter les risques
Budget – Priorisation
Le processus
Analyse des risques (cartographie)
Au-delà de l’audit, ProximIT apporte de l’expertise sur :o PRA : Plan de reprise d’activité
o Tableau de bord sécurité
o Votre charte Informatique
o La CNIL
Audit sécurité
Sommaire
Identifier et gérer activement les menaces qui pèsent sur une entreprise
(ou autre) de façon à lui permettre d’être en capacité d’atteindre ses
objectifs et ses exigences Business
Une attention particulière doit être portée à :
L’intégrité (la donnée doit être garantie)
La confidentialité (l’accès des données aux bonnes personnes)
La disponibilité (infrastructure / Service / continuité)
Pour couvrir ce domaine, il faut :
Avoir une politique de gestion des risques
Gérer les risques liés à l’engagement (contrat)
Sécuriser la prestation
Adopter un plan de reprise d’activité
Se conformer à la réglementation
Audit sécurité
e-SCM
La gestion de la sécurité vue par un standard e-SCM de Sourcing(eSourcing Capability Model for Client Organizations) / Outils d’évaluation et
d'amélioration des aptitudes des clients à gérer les relations fournisseurs de
services (CL) / Idem versus fournisseur (SP) pour Service Provider
La gestion des risques est définie par l’ISO comme l’ensemble des activités
coordonnées visant à diriger et piloter un organisme vis-à-vis du risque.
On dégage en général trois finalités à la gestion des risques pour les SI :
1. Améliorer la sécurisation des systèmes d’information.
2. Justifier le budget alloué à la sécurisation du système d’information.
3. Prouver la crédibilité du système d’information à l’aide des analyses
effectuées.
Audit sécurité
Gestion des risques – Définition ISO
On estime qu’il existe plus de 200 méthodes de gestion des risques. Cette multiplicité
entraîne une très grande diversité dans les approches des risques de sécurité.
Exemple : EBIOS ou MÉHARI, permet d’apprécier ses besoins intrinsèques de
sécurité et d’ordonner les priorités de mise en œuvre de plans relatifs
Audit sécurité
Liste des normes ISO pour la sécurité de l’information
ISO 27000 : Série de normes dédiées à la sécurité de l'information
ISO/CEI 27001 : Système de Management de la Sécurité de l'Information (SMSI) —
Exigences
ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de
l'information (anciennement ISO/CEI 17799)
ISO/CEI 27003 : Système de Management de la Sécurité de l'Information (SMSI) —
Guide d'implémentation
ISO/CEI 27004 : Mesure de la gestion de la sécurité de l'information
ISO/CEI 27005 : Gestion du risque en sécurité de l'information
ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de
Systèmes de Management de la Sécurité de l'Information (SMSI)
ISO/CEI 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de
l'Information (SMSI).
ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative
à la santé en utilisant l'ISO/CEI 27002
Avec un sentiment de dépendance à l'informatique toujours en
hausse, les entreprises continuent d’avancer dans la prise en compte de la
Sécurité des Systèmes d’Information (SSI).
Toutefois, les changements concrets se font à petits pas…
Audit sécurité
Les chiffres cités dans cette présentation sont essentiellement des extraits du
rapport officiel du Clusif (Club pour la sécurité de l’information français) 2010
Sécurité (Le Business au cœur de l’information)
Si un risque est avéré (100%), ce n ’est
plus un risque mais un problème. Le
traitement de la situation est différent.
Audit sécurité
Typologie des incidents
de sécurité (Clusif 2010)
saisie, Exploitatio
n du système,…
Coupure
électricité, eau
télécom
Indispo systèmeInondation, tempê
te
Destruction
manuelle de
données, déni de
service, bombe
logique,
% des entreprises ayant répondues que ce type
d’incident était un « problème » IMPORTANT
Audit sécurité
Pratiques de nature à
augmenter les risques
Bien que de plus en plus conscients des risques liés à la sécurité, la priorité des
entreprises dans un contexte économique « compliqué », n’est pas dans
l’augmentation du budget associé à la sécurité.
Audit sécurité
Les budgets « stagnent » Priorisation
Budget - Priorisation
La gestion des risques se compose de trois blocs interdépendants :
l’organisation cible de l’étude, définie par ses assets (ressource ayant de la valeur
pour l’entreprise) et ses besoins de sécurité / identification des assets
les risques pesant sur les assets
les mesures prises ayant pour but de traiter les risques et donc d’assurer un certain
niveau de sécurité. Les contrôles sont de deux types :
o Sur la menace ou la vulnérabilité, afin de limiter la cause du risque
o Sur l’impact, afin de limiter la conséquence du risque.
Audit sécurité
« Equation du risque » RISQUE = MENACE * VULNÉRABILITÉ * IMPACT
Audit sécurité
Le processus
Le processus suivant est habituellement appliqué dans les méthodes pratiques de
gestion des risques.
Identification
des assets
Détermination
des objectifs
Analyse des
risques
(cartographie)
Définition des
exigences de
sécurité
Sélection des
contrôles
Implémentation
des contrôles
• Identifier périmètre
• Identification des
assets business
constituant la valeur
de l’organisation,
• puis les assets
système
• vise à spécifier les
besoins en termes de
confidentialité, intégrité et
disponibilité des assets
• le cœur de la
démarche de gestion
des risques
• permettra de réduire
les risques identifiés
• Ici sont définis les choix
techniques des solutions de
sécurité
Audit sécurité
Analyse des risques (cartographie)
Elle a pour finalité l’identification et l’estimation de chaque
composante du risque (menace/vulnérabilité/impact), afin d’évaluer
le risque et d’apprécier son niveau, dans le but de prendre des
mesures adéquates
Il y a deux grandes écoles pour l’identification des risques :
soit en réalisant un audit du système et de ses différents acteurs
soit à partir de bases de connaissances prédéfinies
En pratique, il se révèle difficile de donner des valeurs absolues et
on se contente bien souvent d’une échelle de valeurs relatives.
Audit sécurité
Analyse des risquesD’une manière générale, on considère
que : Les risques ayant une occurrence et un impact
faible sont négligeables.
Les risques ayant une forte occurrence et un
impact important ne doivent pas
exister, autrement une remise en cause des
activités de l’entreprise est nécessaire
Les risques ayant une occurrence forte et un
impact faible sont acceptés, leur coût est
généralement inclus dans les coûts
opérationnels de l’organisation (acceptation du
risque).
Les risques ayant une occurrence faible et un
impact lourd sont à transférer. Ils peuvent être
couverts par une assurance ou un tiers
(transfert du risque).
Enfin, les autres risques, en général
majoritaires, sont traités au cas par cas et sont
au centre du processus de gestion des risques
; l’objectif, étant de diminuer les risques en les
rapprochant au maximum de l’origine de l’axe
(allègement du risque à l’aide de contrôles).
Scénarios
Audit sécurité
Cartographie des risques : Exemple
1 Inondation
4 Sabotage physique
3 Attaque logique
2 Vol de matériel
5 Incendie
6
Perte de services
essentiels
7 Panne d’origine
interne
Audit sécurité
Analyse des risques : Budget à associer aux prises de risques
Audit sécurité
On constate que :
Des audits de sécurité : 25% des entreprises n’en font pas …,
Les PRA (Plan de Reprise d’Activité)
33% (-7% vs 2008) des entreprises ne disposent pas d’un plan de
continuité d’activité pour traiter les crises majeures !
Tableau de bord de la sécurité informatique : 34% seulement en
disposent
Une charte sécurité / des règles élémentaires…
Des « obligations CNIL » : en légère progression par rapport à 2008
Audit sécurité
PRA : Plan de reprise d’activité (1/1)
Un plan de reprise d'activité (Disaster Recovery Plan ou DRP) permet
d'assurer, en cas de crise majeure ou importante d'un centre
informatique, la reconstruction de son infrastructure et la remise en route
des applications supportant l'activité d'une organisation.
La durée maximale d'interruption admissible, en anglais Recovery
Time Objective (RTO) constitue le temps maximal acceptable durant
lequel une ressource (généralement informatique) peut ne pas être
fonctionnelle après une interruption majeure de serviceLe RTO est considéré en conjonction avec le Recovery Point Ojbective (RPO)
qui quantifie la capacité de reprise sur sauvegarde de la ressource.
Audit sécurité
Tableau de bord sécurité (1/4)
Quels objectifs ?
Que veut-on mesurer ? Le niveau d’exposition / attaques / menaces ?
Le niveau de vulnérabilités résiduelles ?
Le nombre d’incidents de sécurité identifiés ?
L’évolution de la couverture des risques ?
Le niveau de déploiement d’une PSSI ?
L’état d’avancement des plans d’actions ?
Le niveau de conformité aux règlements et autres standards (SOX, PCI DSS,
ISO2700x, etc.) ?
Vers qui veut-on communiquer ? La DG ? (Indicateurs stratégiques)
La DSI ?
Les métiers ? (indicateurs opérationnels)
Les corps d’audit et d’inspection ?
A quelle fréquence ? Hebdomadaire ? Mensuelle ? Trimestrielle ? Annuelle ?
Audit sécurité
Quels indicateurs ?
On peut partir de zéro et faire une séance de… brainstorming !
Mais il est plus efficace d’utiliser les référentiels existants comme
l’ISO17799 (future ISO27002) Il s’agit de définir des grandes familles d’indicateurs, …..pas forcément
d’utiliser les recommandations de l’ISO comme carcan
Une fois les familles (domaines et sous-domaines ISO) retenues, identifier
deux ou trois indicateurs pertinents par sous-famille
Ne pas dépasser une trentaine (maximum) d’indicateurs
Tableau de bord sécurité (2/4)
Audit sécurité
Exemples d’indicateurs
% de serveurs conformes, basés sur des masters homologués sécurisés (d’où proportion
de machines à migrer, ex: Windows NT 4.0)
% de postes de travail conformes (sous contrôle DSI)
% d’antivirus activés et à jour des signatures
Nb de partage de fichiers avec des permissions d’accès en lecture générale / nb de
partages (domaine bureautique / domaine production)
Nb de documents classifiés confidentiels et stockés non chiffrés
Nb d’alertes de sécurité traitées par le Service Desk
Nb d’alertes de sécurité critiques remontées par les IDS (Intrusion Detection System) ou
système de détection d'intrusion
Nb de correctifs appliqués sur le parc / nb de correctifs diffusés par les éditeurs
(développeurs) présents sur le parc
% de projets lancés prenant en compte les normes de sécurité de l’entreprise
% de serveurs secourus (reprise sur incident majeur)
% de serveurs sauvegardés
% d’équipements critiques redondés
Nb de comptes génériques / nb de comptes total
% d’accès prestataires (TMA) sécurisés (authentification individuelle, …)
% de serveurs configurés par outil de gestion de parc (cf CMDB – ITIL)
Etc…
Tableau de bord sécurité (3/4)
Audit sécurité
Le tableau de bord de sécurité est un instrument de
communication privilégié pour le RSSI Vs DSI Vs DG
Sa conception nécessite de la réflexion et sa
production a un coût, mais le jeu en vaut la chandelle
Tableau de bord sécurité (4/4)
Suivi global des indicateurs sur les 12
derniers mois
Evolution des Interruptions de Service
applicatif/exploitation (prévues ou non) sur les douze
derniers mois
0
5000
10000
15000
20000
25000
Nov Ja
nM
arM
ai Jul
Sep
IS applicatif
IS exploitation
IS indéterminées
Répartition applicatif/exploitation (prévues ou non) :
cumul 12 derniers mois
74%
20%
6%
IS applicatif
IS exploitation
IS indéterminées
Exemple : indicateurs opérationnels
Audit sécurité
Une charte sécurité : (1/3)
Quels objectifs ?
Créer un outil juridique (opposable à un utilisateur) et pédagogique
(sensibilisation) au sein du système d’information;
Définir les règles de bonne utilisation des ressources informatiques
de l’entreprise : Protection du patrimoine informationnel de l’entreprise, des données
personnelles des utilisateurs, des ressources informatiques;
Respect des dispositions légales et des règles de déontologies en
vigueur;
Audit sécurité
La charte protège l’espace individuel de chacun au sein de l’entreprise et l’entreprise d’une mauvaise utilisation de
son outil informatique, ceci en toute transparence :
Responsabilités : En utilisant l’outil informatique de l’entreprise, les personnes physiques et morales (l’entreprise)
ont une responsabilité civile et pénale (au-delà d’être un utilisateur responsable),
Activités interdites : utilisation de documents inconvenants et illégaux, Utilisation extra professionnelle des
ressources informatiques, copie et utilisation des logiciels piratés, gaspillage des ressources informatiques, accords en
ligne sans autorisation préalable ;
Vie privée / vie professionnelle :
Les ressources informatiques sont mises à disposition des utilisateurs par la société pour un usage
professionnel et interdit d’utilisation à toute autre personne non habilité (jeux sur Internet à titre familial).
La Société considèrera comme personnel et non professionnel le seul courrier électronique indiquant
« personnel » dans l’objet du message ou stocké dans un dossier de la messagerie intitulé « personnel ». Ce
principe est applicable aux répertoires et fichiers marqués comme « personnels » dans l’Explorateur Windows.
Messagerie électronique : Il est interdit d’ouvrir une pièce jointe dans un message d'un émetteur inconnu ou avec un
objet douteux (.exe, .gif,.com…), pour prévenir l'introduction d'intrus et la diffusion de virus à l’insu, il est demandé de
le détruire immédiatement.
Accès à Internet : La Société n’assume aucune responsabilité sur l’utilisation d’Internet et notamment en ce qui
concerne le contenu des sites visités. Le partage d’espace disque est interdit (Peer-to-Peer).
Une charte sécurité : (2/3)
Audit sécurité
Forums : l’inscription à des forums à titre privé avec l’adresse mail de l’entreprise est interdite. De même l’inscription à
des forums sensibles doit se faire avec une adresse mail anonyme (Hotmail et en dehors du réseau Société).
Réseaux sociaux : l’utilisateur ne doit pas faire référence à son employeur actuel ou à tout sujet professionnel et doit
éviter de donner des informations privées pouvant être utilisées comme mots de passe dans les systèmes de la
société (nom de jeune fille de la mère…) ;
Surveillance : l’entreprise peut techniquement surveiller la navigation sur Internet et toute activité au sein du système
d’information dans le respect de la charte et de la CNIL (Commission Nationale Informatique et Liberté);
Mots de passe : Les utilisateurs disposent de droits d’accès et de mots de passe qui sont personnels et ne peuvent
être en aucun cas transmis à des tiers non autorisés.
Propriétaire de l’information : Le propriétaire d’une information doit la classifier dans une des catégories suivantes :
Non classifié
Sensible (pouvant entrainer des dommages irréversibles pour l’entreprise en cas de perte de
confidentialité, intégrité, trace)
Et la protéger conformément à la politique de sécurité en accord avec le service informatique (chiffrement, mots de
passe, transport à l’extérieur …)
Utilisateurs d’informations nomades : utilisateur ayant extrait un fichier d’un poste fixe ou serveur de données
stocké sur un support nomade (ordinateur portable, Smartphone, clé USB, DVD, support papier…). Tout support
hébergeant un fichier sensible doit obligatoirement être chiffré conformément à la politique de sécurité et en accord
avec le service informatique.
Une charte sécurité : (3/3)
Audit sécurité
C.N.I.L. : (1/4)
Pourquoi faire ?
La Commission nationale de l’informatique et des libertés est chargée de veiller à ce
que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité
humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou
publiques. Elle exerce ses missions conformément à la loi du 6 janvier 1978 modifiée le 6
août 2004.
Qu’est-ce qu’une donnée personnelle ?
Il s’agit selon la loi, de toute information relative à une personne physique identifiée ou
susceptible de l’être, directement ou indirectement, par référence à un numéro
d’identification (ex : n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont
propres (ex : nom et prénom, date de naissance, éléments biométriques, empreinte
digitale, ADN...)
Audit sécurité
1°) le principe de finalité: Les données à caractère personnel ne peuvent être recueillies et
traitées que pour un usage déterminé et légitime.
« Un autocommutateur ne doit pas être utilisé pour surveiller les utilisateurs »
Tout détournement de finalité est passible de sanctions pénales de finalité est passible de
sanctions pénales
2°) le principe de proportionnalité et de pertinence des données:
Seules doivent être traitées les informations pertinentes et nécessaires au regard des
objectifs poursuivis.
« le n° de sécurité sociale n’est pas utile à un recrutement »
3°) le principe d’une durée limitée de conservation des données :
Les informations ne peuvent être conservées de façon indéfinies dans le système
d’information. Une durée de conservation précise doit être déterminée en fonction de la
finalité du fichier.
« cinq ans pour la paie, un mois vidéosurveillance… »
C.N.I.L. : (2/4)
Les 5 principes à respecter
Audit sécurité
4°) le principe de sécurité et de confidentialité des données :
L’employeur est astreint à une obligation de sécurité et doit prendre les mesures nécessaires
pour garantir la confidentialité des données .
« mesures de contrôles d’accès: politique de mots de passe… »
les données personnelles ne doivent être accessibles qu’aux personnes habilitées (interne:
RH, paie…/externe: inspection du travail, police…)
5°) le principe du respect des droits des personnes :
Information des personnes: clairement informées des objectifs poursuivis, du caractère
obligatoire ou facultatif de leurs réponses, des destinataires, des modalités d’exercice de
leurs droits conformément à la CNIL (ci-dessous).
Droits d’accès et de rectification: toute personne peut demander au détenteur du fichier de
lui communiquer toutes informations la concernant et de faire rectifier ou supprimer toute
information erronée.
« dossier professionnel… »
C.N.I.L. : (3/4)
Les 5 principes à respecter ?
Audit sécurité
Déclaration Simplifiée ou Normale / Le correspondant informatique et Libertés et libertés (CIL)
C.N.I.L. : (4/4)
Christophe [email protected] | www.proximit.fr
Merci