l'analyse de risque dans le cadre du système...

2 et 3 décembre 2015, Biarritz6ème rencontre du Réseau Qualité en Recherche

L'Analyse de risque dans le cadredu système d’information

1

Alain Rivet

[email protected]

6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015

Analyse de risque dans le cadredu système d’information

Objectifs de la présentation:

• Appréhender les enjeux de la sécurité des systèmes d’information dans notre contexte

• Découvrir la logique de la norme qui y est associée

La théorie …..et la pratique

• Une présentation

• Une mise en pratique



La problématique


Le laboratoire : un patrimoine scientifique

convoité

la réputation du laboratoire

La valorisation de la recherche

le portefeuille de contrats de recherche (organismes publics,

entreprises privées…)

les données informationnelles

les compétences (savoir, savoir faire)

le potentiel technique (infrastructures,

installations, matériels…)


l’espionnage visant des secrets de

défense à des fins de prolifération ou de

terrorisme

l’espionnage scientifique et

industriel

l’altération de données

l ’atteinte à la disponibilité ,

intégrité, confidentialité de

l’information

l ’utilisation frauduleuse de

moyens informatiques

l ’atteinte à des personnes ou des

biens

mais aussi les risques juridiques (civils,

pénaux)….

…soumis à des menaces !

Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007


Disponibilité de l ’outil de travail

Intégrité des systèmes et des

personnes

Protection de données sensibles • données du patrimoine

scientifique

• données de gestion• données individuelles

Protection juridique • Risques administratifs

• Risques pénaux

• Protection de l’image de marque

Les enjeux de la Sécurité des SI

Finalité « protection du patrimoine scientifique »


Cadre institutionnel de la sécurité des Systèmes d’Information au CNRS

Direction des Systèmes d’Information (DSI)

Direction du CNRS

Secrétariat Général Fonctionnaire de Sécurité Défense

Sécurité

Coordinateurs sécurité

Unités de recherche

Service des Systèmes d’Information

Architecture et applications

Délégation régionale

National

Régional

CRSSI

CSSILocal



Les référentiels


Appréhender la sécurité de l’information sous l’angle du management permet de dépasser le stade purement technique de la SSI.

La sécurité…

L’intérêt de l’approche par la norme

La technologie

L’individu

La procédure

Suivre une politique permet :

• de piloter

• de sensibiliser et fédérer

les utilisateurs

• de discuter avec les

partenaires

• de maîtriser la SSI

La sécurité…La technologie

L’individu

La procédure


L’hiver est là


Système de management

• Organisationnelles

• Techniques

• Humaines

Ensemble de mesures

• D’atteindre un objectif

• Une fois atteint, d’y rester dans la duréePermettant

Mesurestechniques

Mesuresorganisationnelles

PolitiqueSituation actuelle

Situation visée

Objectifs

L’intérêt de l’approche par la norme

D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS


Norme ISO 2700x : SMSI

SMSI : Système de management de la sécuritéde l'information

• Intègre la gestion des risques liés aux systèmes d'information (SI)

• Norme organisationnelle structurante relative à la sécurité des SI et les bonnes pratiques associées

• Différentes normes :

• ISO 27001 : Exigences

• ISO 27002 : Code de bonnes pratiques

• ISO 27004 : Mesurage

• ISO 27005 : Gestion du risque


Les différentes étapes de mise en place du SMSI


Phase PLAN du modèle PDCA

Périmètre du SMSI

Politique du SMSI

Plan de gestion des risques

Appréciation des risques

Traitement des risques

Objectifs de sécurité et mesures de sécurité

Déclaration d'applicabilité : DdA



La gestion des risques


Risque en sécurité de l’information

Risque de sécurité de l'information :

Possibilité qu'une menace puisse exploiter une vulnérabilité d'un actif et causer ainsi un préjudice à l'organisation

Mesuré par combinaison de :

• Probabilité d'occurrence ou vraisemblance ou potentialité de l'évènement

• Impact ou conséquence ou préjudice

• Impact : Sécurité de l'information

• Conséquence : processus métier

MenaceVuln

éra

bilité

Actif

Impact

Conséquenceou Préjudice

Exploite

Cib

lePossède

Ca

us

e

Permet la réalisation

Pro

vo

qu

e


La gestion du risque

La gestion du risque analyse les

évènements susceptibles de se produire

et leurs possibles conséquences avant de

décider :

ce qui pourrait être fait,

dans quels délais

à quel moment,

pour réduire les risques à un niveau

acceptable.

Com

mu

nic

atio

n d

u ris

qu

e

Su

rve

illance

et ré

exa

me

n d

u ris

qu

e

Établissement du contexte

Acceptation du risque

Évaluation du risque

Estimation du risque

Identification du risque

Traitement du risque

oui

non

non

oui

Appréciation du risque

Appréciation satisfaisante ?

Traitement satisfaisant ?


Définir l'approche d'appréciation du risque

• Définir une méthodologie d’appréciation du risque (Mehari, Ebios, ISO 27005)

• Décrire les critères d’acceptation des risques

Démarche d'identification des risques

• Identifier les actifs ou biens (et leur propriétaire)

• Identifier les menaces sur ces actifs

• Identifier les vulnérabilités qui pourraient être exploitées par une menace

• Identifier les impacts d’une perte de Confidentialité, Intégrité et Disponibilité

Appréciation du risque


Démarche d'analyse et d'évaluation des risques

• Évaluer l'impact sur l'organisation et son métier des pertes sur les actifs

• Évaluer la probabilité d’occurrence des défaillances de sécurité

• Estimer les niveaux de risque

• Décider si le risque est acceptable


Types de traitement

• Accepter le risque (prendre le risque)

• en toute connaissance de cause

• de façon objective

• Éviter ou refuser le risque

• Transférer le risque (Assureurs, Fournisseurs)

• Appliquer les mesures de sécurité appropriées

Traitement du risque


Sélectionner les objectifs de sécurité et les mesures de sécurité

• En fonction des résultats de l’appréciation des risques

• Utiliser l’Annexe A de l’ISO 27001 et l’ISO 27002

• Pas de mesure obligatoire (même si certaines sont, de fait,

incontournables)

• En puisant dans cette liste, sûr de ne rien oublier d’important

• Possible de choisir d’autres mesures de sécurité (si absentes de

l’annexe A)


Préparer la Déclaration d’Applicabilité (DdA) :

• Objectifs de sécurité sélectionnés

• Mesures de sécurité retenues (raison de leur sélection)

• Mesures de sécurité effectivement mises en place

• Mesures de sécurité non retenues (raison de leur mise à

l’écart)

DdA permet de vérifier que l’on n’a rien oublié

PSSI


Le SMSI



Atelier


Étude de cas :Utilisation d’un portable par un chercheur

Utilisation du portable lors de ses déplacements :

• Le disque dur contient des résultats de recherche et des informations stratégiques (courriels échangés avec des partenaires

industriels, rapport de recherche, projet de brevet)

• Ce chercheur se déplace régulièrement à l’étranger et utilise son ordinateur dans des endroits publics exposés (aéroports,

gares, hôtels...)

• La seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur


Projet

• Définir les actifs

• Identifier les risques

• Evaluer les risques

• Traiter les risques

Travail individuel ou en groupes

Restitution


Définition des critères

Echelle de valorisation des actifs

0 (valeur négligeable) : les effets ne sont pas décelables

1 (valeur faible) : affecte essentiellement des éléments de confort

2 (valeur significative) : affaiblit la performance de l’unité

3 (valeur élevée) : affecte l’organisme

4 (valeur critique) : mets en danger les missions essentielles de l’organisme


Critères d'évaluation des risques

Probabilité d’occurrence

Basse Moyenne Haute

Facilité d’exploitation

Difficile Moyenne Facile Difficile Moyenne Facile Difficile Moyenne Facile

Valeur de l’actif/niveau de

l’im

pact

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 67

8

Cinq niveaux dans les critères d’évaluation du risque :1.Risques nuls (vert : 0)2.Risques négligeables (Jaune : 1-2)3.Risques significatifs (Rose : 3-4)4.Risques graves (Rouge : 5-6)5.Risques vitaux (Bordeaux : 7-8)


Identification des risquesExemple de scénario/conséquence

Scénarios d'incident Impacts/Conséquences

Un service d’investigation veut obtenir des

transferts sur les recherches que mène un

laboratoire. Il fait proposer par une université

une invitation de six mois à un directeur de

recherche de cette unité.

Perte de compétitivité de recherche du laboratoire.

Au cours du passage à la douane le disque dur,

qui comportait un article en cours de rédaction,

est recopié.

La perte de l’article et des résultats de recherche

empêche sa publication.

Un brevet en voie de dépôt, des courriels

échangés au sein de la collaboration de

recherche et des négociations entre des

partenaires industriels ont été espionnés.

Un industriel concurrent dépose un brevet de

barrage.

Perte d’image du laboratoire

Perte de confiance des partenaires industriels

Difficulté au sein de la collaboration de recherche


Actifs Menaces Vulnérabilités

Actifs primordiaux

Informations stockées

sur l’ordinateur

portable

Pertes d’efficacité/

pertes de contrats

Possibilité de transfert

des informations

sensibles à des

organismes hostiles

Faible sensibilisation des chercheurs : le

processus de publication est un actif dont la perte

affecte la performance (les résultats de recherche

sont donc un actif critique)

Stockage en clair des données du laboratoire

(informations stratégiques) et de données à

caractère privé

Actifs de soutien

Ordinateur portable

Vol de l’ordinateur

portable Caractère mobile de l'ordinateur portable

Identification des risquesExemple de vulnérabilités liées aux actifs


Actif

Pro

bab

ili

té

d’o

ccu

rr

en

ce

Fac

ilité

d’e

xp

loit

atio

n

Niv

eau

de

risq

ue

Traitement du risqueNom

Valorisa

tion

Données

utilisateur3

Hau

te

Mo

ye

nn

e

6

Objectif: Maintenir l’intégrité et la disponibilité des

informations et des moyens de traitement de l’information.

A.10.5.1 - Sauvegarde des informations

Mesure : Des copies de sauvegarde des informations et

logiciels doivent être

réalisées et soumises régulièrement à essai conformément à

la

politique de sauvegarde convenue.

Objectif: Protéger la confidentialité, l’authenticité ou

l’intégrité de l’information par des moyens cryptographiques

A.12.3.1 - Politique d’utilisation des mesures

cryptographiques

Mesure : Une politique d’utilisation des mesures

cryptographiques en vue de protéger l’information doit être

élaborée et mise en oeuvre.

Ordinateur

portable2

Mo

ye

nn

e

Mo

ye

nn

e

4

Objectif: Empêcher l’accès d’utilisateurs non habilités et la

compromission ou le vol d’informations et de moyens de

traitement de l’information

A.11.3.2 - Matériel utilisateur laissé sans surveillance

Mesure : Les utilisateurs doivent s’assurer que tout matériel

laissé sans

surveillance est doté d’une protection appropriée.

Objectif: Garantir la sécurité de l’information lors de

l’utilisation d’appareils informatiques mobiles et

d’équipements

de télétravail.

A 11.7.1 - Informatique mobile et télécommunications

Mesure : Une procédure formelle et des mesures de sécurité

appropriées doivent être mises en place pour assurer une

protection contre le risque lié à l’utilisation d’appareils

Appréciation du risque (et traitements)


ISO 27001 (annexes)


Déclaration d’applicabilité


Conclusion sur la sécurité de l’information

•Exigences de sécurité

•Objectifs de sécurité

•Mesures de sécurité

• ISO 27001 est une norme certifiante pour la mise en place d’un SMSI

• ISO 27002 est la description détaillée des mesures de sécurité de l’annexe A de l’ISO 27001

• ISO 27005 : Guide de mise en œuvre de la partie appréciation des risques de la sécurité de l'information de l'ISO 27001

l'analyse de risque dans le cadre du système...

Documents