infosafe ah 2013 14

Sécurité de l'information

et gestion du risque

2013 - 2014

Alain Huet

2

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

3

Sommaire



Normes







4

Concepts – définitions (1)

Référence : ISO 27000 " Information technology

Security techniques

Information security management systems

Overview and vocabulary "

Concepts

• Actif

• Attributs de sécurité

Disponibilité

Intégrité

Confidentialité

...

• Menace

• Vulnérabilité

• Risque

5


Actif [asset]

• tout élément du système d'information, ayant de la valeur pour

l'organisation

• exemples :

locaux et installations techniques (électricité, airco, …)

matériel informatique

infrastructure télécom

logiciels

bases de données

documentation

personnel

…

6


Attributs de sécurité (1)

• Disponibilité [availability]

(actifs) utilisables et accessibles

• Intégrité [integrity]

(informations) transmises / traitées / conservées sans erreur

• Confidentialité [confidentiality]

(informations) accessibles seulement aux personnes autorisées

7


Attributs de sécurité (2)

• Authenticité [authenticity]

identification certaine de l'utilisateur

• Traçabilité (imputabilité) [accountability]

attribution d'une action à son auteur

• Irrévocabilité [non-repudiation]

attribution incontestable d'une action à son auteur

• Fiabilité [reliability]

(traitement) résultats logiques intentionnels

• Légalité (ISO 27000)

(traitement) conforme aux dispositions légales

Preuve (ISO 27000)

8


Menace [threat]

• cause pouvant affecter la sécurité d'un actif

• caractéristiques

– origine :

- naturelle : incendie, inondation, …

- humaine :

accidentelle : erreurs (saisie, bug …)

délibérée : fraude, virus, intrusion …

– impact sur le système d'information

sur l'organisation

probabilité

opportunité,

motivation,

faisabilité

9


Vulnérabilité [vulnerability]

• point faible permettant à une menace de porter atteinte à la

sécurité d'un actif

• exemples

détection / extinction d'incendie absente ou inefficace

test insuffisant des logiciels

personnel insuffisamment formé

antivirus non mis à jour

architecture du système trop fragile

copies de sauvegarde absentes ou non testées

plan "catastrophe" absent ou non testé

10


Risque [risk]

• probabilité qu'une menace exploite une vulnérabilité du système

d'information pour affecter un actif de l'organisation

• caractéristiques :

- impact

sur les actifs : disponibilité, intégrité, confidentialité, …

sur l'organisation : perte financière, image, …

- probabilité / fréquence / opportunité

11

Sommaire



Normes







12

Gestion de la sécurité de l'information (1)

Objectif fondamental

Gestion de la sécurité gestion du risque

Aspect de la gestion de l'organisation Elément de bonne gouvernance

Financiers

Image

Juridiques

Humains

Financier

Organisationnel

Inconfort

Dommages dus aux

incidents / sinistres

Coût des mesures de

sécurité

13


Evolution technologique continue

Menaces

gestion du risque : processus continu

organisation permanente

"Système de gestion de la sécurité de l'information" (SGSI)

[Information Security Management System = ISMS]

14


Processus continu

roue de Deming

PDCA

[Plan]

Identifier / évaluer

- risques

- actions adéquates

[Check]

Mesurer / évaluer

les résultats

[Act]

Rectifier

Améliorer

[Do]

Réaliser les actions

Informer / éduquer

15


Facteurs critiques de succès

• Support de la direction

• Stratégie : définition centrale

mise en œuvre : locale

" think globally, act locally "

• Impact des risques pour l'organisation

• Sensibilisation / formation (personnel, …)

• Méthodes standards

• Outils

16

Sommaire



Normes







17

Normes

ISO 27000 Vue d'ensemble et vocabulaire

ISO 27001 Systèmes de gestion de sécurité de

l'information (SGSI) : exigences ( BS7799-2)

ISO 27002 Code de pratique (= ISO17799 BS7799-1)

ISO 27003 Guide de mise en oeuvre

ISO 27004 SGSI : métriques

ISO 27005 Gestion du risque ( ISO 13335-3/4)

ISO 27006 Homologation

ISO 27007 Directives d'audit

18

Sommaire



Normes







19

ISO 27001 : "SGSI : exigences"

Définition du SGSI

• " partie du système global de gestion, basée sur une approche

du risque 'métier', chargée d'établir, de mettre en œuvre, de faire

fonctionner, de suivre, de réviser, de maintenir et d'améliorer la

sécurité de l'information "

• " le système de gestion comprend une structure d'organisation,

des règlements, des activités de planification, des pratiques, des

procédures, des processus et des ressources "

Compatible ISO 9001

Roue de Deming

20

Sommaire



Normes







21


14 thèmes

5 Règlement de sécurité

6 Organisation de la sécurité de l'information

7 Ressources humaines

8 Gestion des actifs

9 Gestion d'accès

10 Cryptographie

11 Sécurité physique

12 Exploitation

13 Communications

14 Acquisition, développement et maintenance

15 Relations avec les fournisseurs

16 Incidents de sécurité

17 Continuité

18 Conformité

114 "contrôles" = enjeux de sécurité ()

22

ISO 27002 : exemple

11.1.3 Securing offices, rooms, and facilities

Control

Physical security for offices, rooms, and facilities should be designed

and applied.

Implementation guidance

The following guidelines should be considered to secure offices, rooms,

and facilities :

a) key facilities should be sited to avoid access by the public ;

b) where applicable, buildings should be unobtrusive and give

minimum indication of their purpose, with no obvious signs, outside

or inside the building identifying the presence of information

processing activities ;

c) facilities should be configured to prevent confidential information or

activities from being visible and audible from the outside ;

electromagnetic shielding should also be considered as appropriate ;

d) directories and internal telephone books identifying locations of

confidential information processing facilities should not be readily

accessible to anyone unauthorized.

23

ISO 27002 : 5. Règlement de sécurité

Règlement de sécurité de l'information

Règlement

approuvé par la direction

communiqué au personnel et aux tiers

tenant compte des objectifs de l'organisation

assignant des responsabilités à des rôles exercés

décliné en règlements spécifiques

Révision

périodique

en fonction des évolutions importantes

24

ISO 27002 : 6. Organisation de la sécurité de l'information

Organisation interne

Rôles et responsabilités

Séparation de fonctions

Relations avec les autorités

...

Portables et télétravail

Portables

enregistrement

mesures de protection

restrictions d'emploi

BYOD (bring your own device)

Télétravail

mesures de protection

restrictions d'emploi

25

ISO 27002 : 7. Ressources humaines

Avant l'engagement

Sélection

Conditions d'engagement

Durant le contrat

Responsabilités de la direction

Sensibilisation et formation à la sécurité

Procédures disciplinaires

A la fin du contrat

Responsabilités

26

ISO 27002 : 8. Gestion des actifs

Responsabilité liée aux actifs

Inventaire

Propriété

Usage licite

Restitution

Classification de l'information

Directives de classification

Marquage

Procédures de traitement des actifs classifiés

Traitement des supports

Gestion des supports amovibles

Elimination des supports

Transport physique

27

ISO 27002 : 9. Gestion d'accès (1)

Exigences fonctionnelles

Règlement général

Accès aux réseaux

Accès des utilisateurs

Enregistrement et radiation des utilisateurs

Gestion des droits d'accès

Gestion des crédentiels

…

Responsabilités des utilisateurs

Usage des crédentiels

28

ISO 27002 : 9. Gestion d'accès (2)

Accès aux systèmes / applications

Limitation d'accès

Procédures d'authentification

Mots de passe

Usage des utilitaires privilégiés

Accès aux sources de programmes

29

ISO 27002 : 10. Cryptographie

Cryptographie

Règlement d'usage

Gestion des clés

30

ISO 27002 : 11. Sécurité physique

Zones de sécurité

Périmètre de sécurité physique

Mesures de sécurité à l'entrée

Sécurité des bureaux, locaux, …

Incendie, inondation, séisme, ...

…

Matériel

Placement et protection

Alimentations (énergie, ventilation, …)

Câblage

Maintenance

Déplacement

Matériel non utilisé

…

31

ISO 27002 : 12. Exploitation (1)

Procédures / responsabilités opérationnelles

Documentation des procédures

Gestion des changements

Gestion de la capacité

Séparation développement / test / production

Programmes malveillants, …

Sauvegarde

Journaux / suivi

Enregistrement des événements

Protection des journaux

Synchronisation des horloges

...

32

ISO 27002 : 12. Exploitation (2)

Logiciel opérationnel

Installation du logiciel

tests

gestion de changement

procédure de retour en arrière

...

Vulnérabilités techniques

Evaluation des vulnérabilités et choix de mesures de sécurité

Limites des installations permises aux utilisateurs finaux

Conditions d'audit

33

ISO 27002 : 13. Communications

Sécurité des réseaux

Mesures générales

Fourniture de services

Cloisonnement

Echanges d'information

Règlements et procédures

Accords avec les partenaires externes

Messagerie électronique

…

34

ISO 27002 : 14. Acquisition, développement et maintenance

Exigences de sécurité

Analyse et spécifications de sécurité

Services applicatifs sur réseaux publics

Sécurité des transactions

Développement / support

Changements

Progiciels

Ingéniérie système

Environnement de développement

Sous-traitance

Test

…

Données de test

Protection des données de test

35

ISO 27002 : 15. Relations avec les fournisseurs

Sécurité dans les relations avec les fournisseurs

Règles générales

Convention avec chaque fournisseur

Chaîne logistique

Fourniture de service

Suivi des services fournis

Changements des services fournis

36

ISO 27002 : 16. Incidents de sécurité

Incidents et améliorations

Responsabilités et procédures

Signalement des incidents de sécurité

Signalement des points faibles

Evaluation

Réponse aux incidents

Enseignement retiré des incidents

Constitution de preuves

37

ISO 27002 : 17. Continuité

Continuité

Exigences

Mise en oeuvre

Vérification et évaluation

Redondances

Disponibilité des équipements

38

ISO 27002 : 18. Conformité

Contraintes légales

Identification des législations applicables

Droits intellectuels

Protection des informations

Vie privée

Cryptographie

Analyses de sécurité

Indépendance des analyses de sécurité

Conformité aux règlements et normes de sécurité

Conformité technique

39

Sommaire



Normes







40

ISO 27005 : Gestion du risque (1)

Rappel

[Plan]

Identifier / évaluer

- risques

- actions adéquates

[Check]

Mesurer / évaluer

les résultats

[Act]

Rectifier

Améliorer

[Do]

Réaliser les actions

Informer / éduquer

41


Méthode Référentiel méthodologique

Risque – étape

Contexte

Appréciation

Plan de traitement

Analyse

Evaluation

Identification

Estimation

OK ?

Acceptation : risque résiduel OUI

NON

42


Etablissement du contexte

Objet

? toute l'organisation SGSI

? 1 système / service spécifications du système / service

Critères de base

évaluation des risques

impact

probabilité, opportunité

acceptation des risques

43


Analyse des risques

• Actifs ( valeur)

• Menaces

ISO 27005 (annexe C "informative")

• Vulnérabilités

ISO 27005 (annexe D "informative")

Liste des risques et de leur niveau

Evaluation des risques

• Conséquences pour l'organisation

44


Plan de traitement

• Mesures de sécurité : bonnes pratiques (ISO 27002) + …

prévention : probabilité

protection : impact

coût : initial / récurrent

• Décision

refus du risque STOP

transfert du risque assurance, exonération, …

réduction du risque mesures de sécurité

Risque résiduel : à accepter par la direction

45

Sommaire



Normes







46

Risque : méthodes et outils classiques (1)

ISO 27005 : orientations méthodologiques

méthode

Méthodes et outils Exemples

* Expertise nécessaire : base

standard

spécialiste

Source : ENISA

EN

EN DE

EN FR

DE ES

EN NL

Langue

USA Octave

D Grundschutz

F EBIOS

UK CRAMM

Outil Exper-

tise *

Traite-

ment

Evalu-

ation

Ana-

lyse

Origine

47

Risque : méthodes et outils classiques (2)

Mise en œuvre assez lourde

experts en sécurité

charge de travail

délai

? implication du propriétaire fonctionnel du système ?

[business owner]

48

Sommaire



Normes







49

Risque : méthode simplifiée (1)

Objectif

propriétaire du système [business owner]

acteur principal de la gestion de risque

Simplifications

• métrique d'impact (sur l'organisation)

• métrique de défauts de sécurité

• probabilités : rôle secondaire

• socle de bonnes pratiques de base : pour toute l'organisation

• + mesures de sécurité spécifiques : par système

50


Métrique d'impact (1)

Exemple : firme commerciale

Divulgation de

secret industriel

Condamnation

pénale

Inférieure à la

concurrence

Altération

sérieuse de

l'image

> 1.000 4

Divulgation de

secret

commercial

Condamnation

civile

Egale à la

concurrence

Clientèle

sérieusement

perturbée

100 – 1.000 3

Divulgation de

données

personnelles

Perte légère Nombreuses

plaintes 10 – 100 2

Quelques

plaintes 1 – 10 1

Secret

S

Juridique

Judiciaire

J

Compétitivité

C

Image

I

Perte

financière

(milliers €)

F

Nature des conséquences G

r

a

v

i

t

é

51



Exemple : service gouvernemental

Très secret

Perte de vie

humaine

Atteinte grave à la

réputation

Altération

définitive

Condamnation

internationale de

l’Autorité

Ordre public

gravement en

péril

> 100 4

Secret

Atteinte sérieuse à

l'intégrité ou à la

réputation

Critiques graves

dans les media

Condamnation de

l’Autorité

Difficulté à

maintenir l’ordre

public

10 – 100 3

Confidentiel

Divulgation de

données

personnelles

sensibles

Critiques

occasionnelles

dans les media

Actions en justice Menace pour

l’ordre public 1 – 10 2

Diffusion restreinte

Divulgation de

données

personnelles

Plaintes

occasionnelles Sanctions internes

Perturbation

locale et

momentanée

0,001 – 1 1

Classification

C

Social et humain

S

Image du

service public

I

Juridique

Judiciaire

J

Ordre public

O

Perte

financière

(millions

€)

F

Nature des conséquences G

r

a

v

i

t

é

52



• Exercices Choisir une métrique d'impact

Codifier l'impact des incidents décrits

P. ex. : F2 O1 J1 I3 S0 C0

• Exercice 1 Une négligence entraîne l'arrêt, pendant 24 heures, d'un site web

gouvernemental servant à collecter des données économiques.

Il en résulte une perte de temps d'un quart d'heure pour les

comptables de 10.000 entreprises. L'incident est relaté dans la

presse. Le fonctionnaire négligent est réprimandé.

53



• Exercice 2 Une société d'ingéniérie a établi pour un client les plans d'une

installation très innovante.

Quelques mois plus tard, un concurrent de ce client construit une

usine exploitant les mêmes idées.

Le client suspecte donc une fuite au sein de la société

d'ingéniérie et menace de réclamer en justice une indemnité de

2.000.000 €.

Une enquête interne révèle que les droits d'accès d'un

collaborateur licencié n'avaient pas été révoqués, ce qui constitue

peut-être la cause de la fuite. L'administrateur des droits d'accès

est licencié à son tour.

54



• Exercice 3 Grâce à une intrusion dans un système gouvernemental, des

écologistes extrémistes identifient des entreprises qui utilisent

des méthodes de production contraires à leurs principes, mais

légales.

Ils en menacent les dirigeants et réussissent même à entraver le

bon fonctionnement de ces sociétés, ce qui entraîne une perte

financière estimée à 1.500.000 €.

La sécurité informatique de l'administration fait l'objet d'une

question parlementaire relayée par les medias.

55


Métrique de défauts de sécurité

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Corruption

Transactions perdues : 1

10

100

1.000

Confidentialité Divulgation

Preuve Enregistrements non probants

Légalité Transgression (loi, règlement, ...)

56


Appréciation des risques (1)

• Actifs Immobilier

Matériel

Informations

Traitements / processus / fonctions

Flux / liaisons

Regrouper / limiter

Max. 10 – 20 actifs

57



• Pour chaque actif

• Impact pour l'organisation

• Modèle documentaire

Valeur des actifs, indépendamment du risque

Conséquences

Actif : F I ... S Max

Disponibilité


1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Corruption


10

100

1.000




58



• Menaces / vulnérabilités

ISO 27005 - ann. C : menaces

ISO 27005 - ann. D : vulnérabilités

• "Menace / vulnérabilité" = "événement redouté"


Evénement redouté :

ER

#

Origine de la menace : Cause naturelle

Erreur humaine

Action délibérée

motivation :

Vulnérabilité : Matériel

Logiciel

Réseau

Personnel

Site

Organisation

59



• Pour chaque actif :

impact des événements redoutés

Actif : Max ER1 ER2 ...

Disponibilité


1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Corruption


10

100

1.000



Légalité Transgression

60



Exemple

Mesures de sécurité à élaborer

Actif : Max ER1 ER2 ...

Disponibilité


1 heure

1 jour

1 semaine

> 1 semaine

1

2

3

4

X

X

X

X

Intégrité

Corruption


10

100

1.000

4

X

Confidentialité Divulgation 3 X



61


Plan de traitement (1)

• Mesures de base

SGSI ( ISO 27001)

bonnes pratiques de base ( ISO 27002)

• Mesures spécifiques

au métier, à l'application, …

• Attributs des mesures

- Mode d'action PV : prévention (probabilité/opportunité )

PT : protection (impact )

- Localisation IT : ICT

US : end user

- Coût : initial / récurrent

- Attributs de sécurité améliorés : disponibilité, intégrité, …

- Evénements redoutés traités

62




Mesure de sécurité : MS #

Mode d'action

Localisation

Coût initial

Coût récurrent

Disponibilité


1 heure

1 jour

1 semaine

> 1 semaine

Attributs de

sécurité améliorés

Intégrité

Corruption


10

100

1.000

Evénements

redoutés traités

Confidentialité Divulgation ER1 ER2 ER3

Preuve Enregistrements non probants ER4 ER5 ER6

Légalité Transgression ER7 ER8 ER9

63



• Pour chaque actif :

efficacité des mesures de sécurité sur les événements redoutés

Actif : ER1 ... MS1 ...

Disponibilité


1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Corruption


10

100

1.000




64



• Risque résiduel

après application des mesures de sécurité

Conséquences

Actif : F I ... S Max

Disponibilité


1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Corruption


10

100

1.000




65


Résumé

66

Risque : méthode simplifiée - histoire (18)

1991 établissement bancaire

audit informatique

risque supporté par le département informatique

non supporté par les responsables fonctionnels

méthode : gestion de risque

check list méthodes d'audit

méthode simplifiée

1997 ISO 13335

2005 administration fédérale

2008 ISO 27005

67

Risque : méthode simplifiée - évaluation (19)

+ démarrage très court

implication des propriétaires fonctionnels

effort global : faible

documentation : claire et synthétique

expert en sécurité : intervention limitée

– (supposition : bonnes pratiques de base)

68


Exercice

La firme d'ingéniérie BelSmartChem réalise des projets d'usine chimique au

moyen d'un logiciel de conception assistée, développé par les fondateurs

associés, qui lui permet de produire ses plans et calculs plus vite que ses

concurrents.

Chiffre d'affaires : 5 millions €/an.

Elle utilise l'email dans ses relations commerciales.

Elle emploie 20 ingénieurs (800 €/j) et 5 employés administratifs

(400 €/j) chargés de la comptabilité et du suivi des projets.

Ses bureaux se trouvent dans un immeuble partagé avec un atelier de

mécanique.

69

Sommaire



Normes







70

Risque : EBIOS (1)

Origine

• FR : Agence Nationale de la Sécurité des Systèmes d'Information

www.ssi.gouv.fr/fr/anssi/

EBIOS = Expression des Besoins et Identification des Objectifs

de Sécurité

Méthode publique et gratuite

• Guide méthodologique

• Base de connaissances

• Exemple

• Outil documentaire

71

Risque : EBIOS (2)

Domaine d'emploi

• Organisations publiques et privées

• Organisations grandes et petites

• ISMS ( ISO 27001)

• Documents "common criteria" ( ISO 15408)

• ...

72

Risque : EBIOS (3)

Etapes

73

Risque : EBIOS (4)

Module 1 : Etude du contexte (1)

• Périmètre

• Sources de menace : retenues ou non

• Métriques

Echelle de besoin

disponibilité

intégrité

confidentialité

preuve

légalité

Niveaux de gravité (impact)

Niveaux de vraisemblance des scénarios de menace

Critères de gestion des risques (seuils de tolérance, ...)

74

Risque : EBIOS (5)

Module 1 : Etude du contexte (2)

• Biens

Biens essentiels : "patrimoine informationnel", "biens immatériels"

"dépositaire" !?

Biens supports : composants du système d'information

"propriétaire" !?

Tableau : biens essentiels / biens supports

Mesures de sécurité existantes ISO 27002 (p. ex.)

Tableau : mesures existantes / biens supports

75

Risque : EBIOS (6)

Module 2 : Evénements redoutés

• Sur les biens essentiels

sans considération pour le scénario technique

• Sources de menace

• Impacts

• Tableau : événement redouté / source menace / impact / gravité

76

Risque : EBIOS (7)

Module 3 : Scénarios de menaces

• Sur les biens supports

• Menaces

• Vulnérabilités

• Tableau :

biens supports / scénarios menace / sources menace / vraisemblance

77

Risque : EBIOS (8)

Module 4 : Etude des risques (1)

• Corrélation événements redoutés / scénarios de menace

module 2 module 3

• Analyse des risques

Par risque : gravité / vraisemblance

• Evaluation des risques

Classement des risques par gravité et vraisemblance

Risques Vraisemblance

+ ++ +++

Gravité

+++

++

+

78

Risque : EBIOS (9)

Module 4 : Etude des risques (2)

• Options de traitement

Eviter

Réduire

Accepter

Transférer

• Risques résiduels

79

Risque : EBIOS (10)

Module 5 : Mesures de sécurité

• Formalisation

Spécification

Risque résiduel

• Mise en oeuvre

80

Risque : EBIOS (11)

+ gratuité

marché de consultance

support d'une agence gouvernementale

outil informatique

documentation certification (ISO 15408)

base de connaissances

– formation à la méthode

lourdeur

81

[email protected]

+ 32 2 212.96.77

infosafe ah 2013 14

Technology