–

L’ÉQUIPE DU STANDL’ÉQUIPE DU STAND

Antoine ANCELRSSI – SNCF Réseau

STANDSTAND SÉCURITÉ DU SYSTÈME D’INFORMATION

–

OBJECTIFS ET DÉROULÉ

DÉROULÉ DU STAND

2

+ Dans un monde en constante mutation et face aux nouvelles menaces informatiques,

la SSI SNCF Réseau s’engage auprès de ses clients et partenaires pour leur offrir des services

à la fois facile d’utilisation et sécurisés.

LA SÉCURITÉ DU SI - VOUS GARANTIR DES SERVICES SI SÉCURISÉS

+ De nouveaux enjeux pour la SSI SNCF Réseau

+ Présentation de la SSI SNCF Réseau

+ Objectifs de la SSI: répondre aux nouveaux besoins

+ De nouveaux leviers pour garantir aux clients des services sécurisés

–

1. DE NOUVEAUX ENJEUX POUR LA SÉCURITÉ DU SYSTÈME D’INFORMATION

3

–

+ Il y a 25 ans… Une sécurité périmétrique

Des frontières claires, maîtrisées et protégées

+ Depuis 10 ans… Un SI réparti

Appel à l’externalisation

Introduction du « Cloud », des services SI mutualisés

Une sécurité distribuée (Plan d’Assurance Sécurité)

+ Aujourd’hui… un monde ouvert

La création de la Direction Innovation & Digital

L’introduction du multicanal

Introduction du « BYOD »

Développement du « Shadow IT »

Développement de « l’internet de l’Objet » (IOT), du tout connecté

ÉVOLUTION DU SI… ÉVOLUTION DU MODÈLE DE PROTECTION

4

1. DE NOUVEAUX ENJEUX (1/2)

vous garantir la protection de vos données ;

vous garantir souplesse et simplicité dans vos accès à nos services SI ;

vous garantir la disponibilité de nos services SI par le déploiement de services

techniques de protection face aux attaques notamment externes.

Enjeux

–

1. DE NOUVEAUX ENJEUX (2/2)DES CONTRAINTES LÉGALES & RÉGLEMENTAIRES RENFORCÉES

5

+ La Politique Sécurité du SI de l’ETAT

Applicable à l’ensemble des administrations et EPIC

Rapport annuel au ministère de tutelle

+ La Loi de Programmation Militaire – Une sécurité à

plusieurs niveaux

Réponses aux nouveaux risques

Durcissement des mesures de protection

Une obligation de transparence + des audits des services de

Sécurité de l’Etat (ANSSI)

+ La protection des données

Des données d’entreprise sensibles (Régulateurs, Sécurité,

personnels,…)

Des pénalités lourdes (CNIL)

+ Les régulateurs ferroviaires : l’ARAFER

Garantir la non discrimination Dossier de Sécurité

Convention de Services SI Sécurisés pour les Clients et les

Partenaires de SNCF Réseau

LA DÉFENSE EN

PROFONDEUR…

UNE RÉPONSE

PROPORTIONNÉE

AUX RISQUES SI…

–

2. PRÉSENTATION DE LA SSI SNCF RÉSEAU

6

–

2. PRÉSENTATION DE LA SSISYNTHÈSE DES SERVICES DE LA SÉCURITÉ DU SI

7

Rédiger et gérer le corpus

documentaire SSI de SNCF

Réseau.

Valider les architectures

techniques applicatives et

piloter des projets sécurité.

Assurer que les prestataires de

services respectent les

exigences de sécurité de SNCF

Réseau.

Identifier les vulnérabilités du SI via

des audits et piloter les plans

d’action de remédiation associés.

Garantir la conformité aux exigences

de sécurité SI de SNCF Réseau

dans les projets applicatifs ou

techniques.

Répondre aux indisponibilités des infrastructures et

des applications critiques et vitales pour l’entreprise

et les utilisateurs.

Assurer l’intégration de la sécurité dans les projets

de la DSI SNCF Réseau.

PSSI

ISP

PAS

Référentiel SSI

Audits de vulnérabilit

és

PCA DSI

Conformité

Études SSI

Veille et prospective

SSI

Assurer la veille sécurité du SI

sur les menaces, les

mécanismes d’attaques et les

vulnérabilités des SI

–

3. OBJECTIFS DE LA SSI SNCF RÉSEAU: RÉPONDRE À VOS BESOINS

8

–

3. OBJECTIFS DE LA SSIRÉPONDRE AUX BESOINS CLIENTS EN PROPOSANT DES SERVICES SÉCURISÉS

9

•Mise en place de containers sécurisés pour les données critiques;•Déploiement de sondes de protection / détection des attaques

•Déploiement d’un Centre de Surveillance des Incidents de SSI•Déploiement de sondes de protection / détection des attaques

•Projets d’ouverture des principes de Fédération d’identité aux clients et partenaires•Développement de solutions sécurisées « multi-canal »

•Déploiement de solution d’authentification forte aux clients et partenaires pour accéder au SI de SNCF Réseau

Garantir des mécanismes d’authentification forte

4

Garantir souplesse et simplicité dans les accès au SI SNCF Réseau

2

Besoin en confidentialitéBesoins « users » et de disponibilité

Besoins en confidentialité

Garantir la disponibilité des services SI par le déploiement de services techniques de protection

3

Garantir la protection des données clients

1

Besoins en confidentialité et disponibilité

4 grands

défis pour

répondre aux

besoins des

clients

–

4. DE NOUVEAUX LEVIERS POUR VOUS GARANTIR DES SERVICES SÉCURISÉS

10

–

4. CHANTIERS EN COURS (5/5)INTÉGRER L’AUTHENTIFICATION FORTE POUR LES SERVICES SI LES PLUS SENSIBLES

11

+ Le SI de SNCF Réseau s’ouvre de plus en plus à l’extérieur, aussi bien pour les tiers et partenaires

(ouverture d’applications sur internet), que pour ses propres collaborateurs (télétravail…).

+ Cette ouverture entraine un accroissement des risques d’intrusion sur le SI qui nécessite un renforcement

de son contrôle d’accès.

+ La SSI de SNCF Réseau accompagne actuellement la DSI dans la mise en place de mécanismes

d’authentification permettant de répondre à des besoins de sécurisation renforcés.

CONTEXTE ET ENJEUX

APPORTS DE LA SOLUTION

+ Permet la gestion des accès multicanaux

(ordinateur, téléphone, tablette) ;

+ Propose plusieurs types d’authentification (code

PIN, application mobile, avec clés usb,

smartphone, etc.) ;

+ Fournit un enrôlement simple et rapide des

utilisateurs ;

+ Est multiplateforme et supportée par la quasi-

totalité des navigateurs ;

+ Est certifié par l’ANSSI ;

+ S’intègre avec les solutions de sécurité

existantes de SNCF Réseau (SSO, Bastion

Fin du projet prévue pour 2016

–

4. CHANTIERS EN COURS (2/5)CHIFFREMENT DES CONTAINERS DE DONNÉES CRITIQUES

12

+ SNCF Réseau met actuellement à disposition de ses collaborateurs un service de Protection des données

dans le but d’assurer la confidentialité des données sensibles.

+ Cette solution permet de chiffrer les répertoires confidentiels sur le poste d’un utilisateur ou sur un espace

partagé.

+ La SSI de SNCF Réseau conjointement avec la DSI, étudie aussi de déployer des solutions de chiffrement

de container applicatif grâce à des boitiers HSM.

CONTEXTE ET ENJEUX

Applications et utilisateurs

Zone de Chiffrement /

Déchiffrement

Données protégées

Disques locaux et

partagés, disques

amovibles

Serveurs de

fichiers

FONCTIONNEMENT

Serveurs de

données

–

4. CHANTIERS EN COURS (3/5)OUVERTURE DES PRINCIPES DE FÉDÉRATION D’IDENTITÉ AUX CLIENTS ET PARTENAIRES

13

+ Le SI de SNCF Réseau s’ouvre de plus en plus à ses clients et partenaires.

+ Pour garantir un accès sécurisé tout en améliorant l’expérience utilisateur (connexions d’un SI externe via

un identifiant unique sur la plateforme, la SSI Réseau travaille conjointement avec la DSI Réseau sur

l’ouverture des principes d’identités aux clients et partenaires.

+ Des solutions sécurisées (SAML) sont en cours d’étude pour permettre la gestion des identités et des

habilitations des comptes externes.

CONTEXTE ET ENJEUX

FONCTIONNEMENT

UTILISATEURS

Fournisseur

d’identité

Authentifie l’utilisateur

et récupère les

informations

additionnelles

associées à son identité

IDENTITY

PROVIDER

Fournisseur de

service

Délivre l’accès à

l’application souhaitée à

l’utilisateur authentifié

SERVICE

PROVIDERAPPLICATIONS

–

4. CHANTIERS EN COURS (4/5)DÉPLOIEMENT DE SONDES DE PROTECTION / DÉTECTION DES ATTAQUES

14

+ La zone d’hébergement des accès clients & partenaires permet d’accéder, via sa brique IAM et SSO, à un

panel d’applications du SI grâce à une authentification unique.

+ L’objectif de ce projet est donc de mettre en place une sonde de détection/protection (IDS/IPS) en entrée

de la zone afin de détecter toute intrusion et de garantir la sécurité de l’application.

CONTEXTE ET ENJEUX

OBJECTIFS DE LA SOLUTION

+ Analyse tous les paquets de flux qui passent par

le réseau;

+ Analyse les comportements et identifie les

tentatives d’attaques ;

+ Deux rôles principaux:

Préventif: blocage des attaques;

De détection: alerte les équipes

opérationnelles.

Fin du projet prévue pour 2016

–

4. CHANTIERS EN COURS (5/5)DÉPLOIEMENT D’UN CENTRE DE SURVEILLANCE DES INCIDENTS SSI (SOC)

15

+ Les outils mis en place pour surveiller et détecter les attaques nécessitent un dispositif humain permettant

d’administrer la sécurité du SI et réagir en cas d’incidents.

+ Pour ce faire, SNCF Réseau souhaite se doter d’un centre de surveillance des incidents SSI qui va

collecter les événements remontés par les composants de sécurité, les analyser, détecter les anomalies et

définir des réactions en cas d'émission d'alerte.

CONTEXTE ET ENJEUX

DISPOSITIF MIS EN PLACE

SOC RéseauSecurity Operating Center

SOC GroupeCellule Opérationnelle de

sécurité des technologies

de l'information et de de la

Communication

Conduit les activités de surveillance

et de détection au quotidien

Pilote l’investigation en crise

transverse

+ Surveillance du SI industriel

+ Gestion des vulnérabilités

+ Pilotage des plans de correction

+ Veille vulnérabilités et attaques

+ Apport d’expertise

+ Investigations pointues

En cours

d’études

Dispositif

existant

–

MERCI DE VOTRE

ATTENTION !

–

PRÉSENTATION DE LA SSIEN PLUS DE VOTRE ACCOMPAGNEMENT… TRAITER LES INCIDENTS DE SÉCURITÉ DU SI

17

+ Ransomware

+ Potentiel Administrateur indélicat

+ Traiter les risques face aux vols / pertes de données

+ Traiter les machines « Zombie »

+ Rechercher des marqueurs de compromission

+ Suspicion de vol de données en masse

+ Gérer les Attaques (STEP)

+ Gérer « les fraudes aux présidents »

+ …

Le monde des « Bisounours » n’existe pas…

La Sécurité du SI nécessite un juste milieu entre:

Le pourvoir de dire « OUI » et..

Protéger en continue en veillant à contrôler

–

COMPLEMENT CHANTIERS EN COURSINTÉGRER L’AUTHENTIFICATION FORTE POUR LES SERVICES SI LES PLUS SENSIBLES 2/2

18

Connexion à un Web-

service ou une

application via login/mdpPortail d’accès Applications

Solu

tion

HSM

- Acceptation de connexion

- Utilisation d’un jeton

- Utilisation d’un code PIN à remplir sur le mobile

Génération d’un mot de passe

unique

Génération d’un

OTP

Notification réseau grâce à l’enrôlement utilisateur/bien support

FONCTIONNEMENT DE LA SOLUTION

–

AUTRES CHANTIERS EN COURS DÉVELOPPEMENT DE SOLUTIONS SÉCURISÉES « MULTI-CANAL »

19

+ SNCF Réseau souhaite permettre à ses clients et partenaires d’accéder à ses services via différents

supports. Pour cela la SSI souhaite développer une solution se basant sur le concept d’ADN du

numérique .

+ Cela permettra une gestion des identités et des habilitations des comptes applicatifs sur l’ensemble des

composants techniques avec la plus grande compatibilité possible et garantir la traçabilité des utilisateurs

(ESB, Serveur d’application, base de données, Moteur BPM etc..).

CONTEXTE ET ENJEUX

FONCTIONNEMENT

L’utilisateur… … connecte son

équipement…

…entre son code PIN,

puis clique sur le bouton

d’authentification par

ADN numérique

L’utilisateur est

authentifié et peut se

connecter à ses services

favoris

+ PC

+ Téléphone

+ Support

amovible

UTILISATEUR EQUIPEMENT CODE PIN SERVICES / APPLICATIONS

ADN numérique

et Code PIN

reconnus !