stand sÉcuritÉ du systÈme d’information · d’administrer la sécurité du si et réagir en...
TRANSCRIPT
–
L’ÉQUIPE DU STANDL’ÉQUIPE DU STAND
Antoine ANCELRSSI – SNCF Réseau
STANDSTAND SÉCURITÉ DU SYSTÈME D’INFORMATION
–
OBJECTIFS ET DÉROULÉ
DÉROULÉ DU STAND
2
+ Dans un monde en constante mutation et face aux nouvelles menaces informatiques,
la SSI SNCF Réseau s’engage auprès de ses clients et partenaires pour leur offrir des services
à la fois facile d’utilisation et sécurisés.
LA SÉCURITÉ DU SI - VOUS GARANTIR DES SERVICES SI SÉCURISÉS
+ De nouveaux enjeux pour la SSI SNCF Réseau
+ Présentation de la SSI SNCF Réseau
+ Objectifs de la SSI: répondre aux nouveaux besoins
+ De nouveaux leviers pour garantir aux clients des services sécurisés
–
1. DE NOUVEAUX ENJEUX POUR LA SÉCURITÉ DU SYSTÈME D’INFORMATION
3
–
+ Il y a 25 ans… Une sécurité périmétrique
Des frontières claires, maîtrisées et protégées
+ Depuis 10 ans… Un SI réparti
Appel à l’externalisation
Introduction du « Cloud », des services SI mutualisés
Une sécurité distribuée (Plan d’Assurance Sécurité)
+ Aujourd’hui… un monde ouvert
La création de la Direction Innovation & Digital
L’introduction du multicanal
Introduction du « BYOD »
Développement du « Shadow IT »
Développement de « l’internet de l’Objet » (IOT), du tout connecté
ÉVOLUTION DU SI… ÉVOLUTION DU MODÈLE DE PROTECTION
4
1. DE NOUVEAUX ENJEUX (1/2)
vous garantir la protection de vos données ;
vous garantir souplesse et simplicité dans vos accès à nos services SI ;
vous garantir la disponibilité de nos services SI par le déploiement de services
techniques de protection face aux attaques notamment externes.
Enjeux
–
1. DE NOUVEAUX ENJEUX (2/2)DES CONTRAINTES LÉGALES & RÉGLEMENTAIRES RENFORCÉES
5
+ La Politique Sécurité du SI de l’ETAT
Applicable à l’ensemble des administrations et EPIC
Rapport annuel au ministère de tutelle
+ La Loi de Programmation Militaire – Une sécurité à
plusieurs niveaux
Réponses aux nouveaux risques
Durcissement des mesures de protection
Une obligation de transparence + des audits des services de
Sécurité de l’Etat (ANSSI)
+ La protection des données
Des données d’entreprise sensibles (Régulateurs, Sécurité,
personnels,…)
Des pénalités lourdes (CNIL)
+ Les régulateurs ferroviaires : l’ARAFER
Garantir la non discrimination Dossier de Sécurité
Convention de Services SI Sécurisés pour les Clients et les
Partenaires de SNCF Réseau
LA DÉFENSE EN
PROFONDEUR…
UNE RÉPONSE
PROPORTIONNÉE
AUX RISQUES SI…
–
2. PRÉSENTATION DE LA SSI SNCF RÉSEAU
6
–
2. PRÉSENTATION DE LA SSISYNTHÈSE DES SERVICES DE LA SÉCURITÉ DU SI
7
Rédiger et gérer le corpus
documentaire SSI de SNCF
Réseau.
Valider les architectures
techniques applicatives et
piloter des projets sécurité.
Assurer que les prestataires de
services respectent les
exigences de sécurité de SNCF
Réseau.
Identifier les vulnérabilités du SI via
des audits et piloter les plans
d’action de remédiation associés.
Garantir la conformité aux exigences
de sécurité SI de SNCF Réseau
dans les projets applicatifs ou
techniques.
Répondre aux indisponibilités des infrastructures et
des applications critiques et vitales pour l’entreprise
et les utilisateurs.
Assurer l’intégration de la sécurité dans les projets
de la DSI SNCF Réseau.
PSSI
ISP
PAS
Référentiel SSI
Audits de vulnérabilit
és
PCA DSI
Conformité
Études SSI
Veille et prospective
SSI
Assurer la veille sécurité du SI
sur les menaces, les
mécanismes d’attaques et les
vulnérabilités des SI
–
3. OBJECTIFS DE LA SSI SNCF RÉSEAU: RÉPONDRE À VOS BESOINS
8
–
3. OBJECTIFS DE LA SSIRÉPONDRE AUX BESOINS CLIENTS EN PROPOSANT DES SERVICES SÉCURISÉS
9
•Mise en place de containers sécurisés pour les données critiques;•Déploiement de sondes de protection / détection des attaques
•Déploiement d’un Centre de Surveillance des Incidents de SSI•Déploiement de sondes de protection / détection des attaques
•Projets d’ouverture des principes de Fédération d’identité aux clients et partenaires•Développement de solutions sécurisées « multi-canal »
•Déploiement de solution d’authentification forte aux clients et partenaires pour accéder au SI de SNCF Réseau
Garantir des mécanismes d’authentification forte
4
Garantir souplesse et simplicité dans les accès au SI SNCF Réseau
2
Besoin en confidentialitéBesoins « users » et de disponibilité
Besoins en confidentialité
Garantir la disponibilité des services SI par le déploiement de services techniques de protection
3
Garantir la protection des données clients
1
Besoins en confidentialité et disponibilité
4 grands
défis pour
répondre aux
besoins des
clients
–
4. DE NOUVEAUX LEVIERS POUR VOUS GARANTIR DES SERVICES SÉCURISÉS
10
–
4. CHANTIERS EN COURS (5/5)INTÉGRER L’AUTHENTIFICATION FORTE POUR LES SERVICES SI LES PLUS SENSIBLES
11
+ Le SI de SNCF Réseau s’ouvre de plus en plus à l’extérieur, aussi bien pour les tiers et partenaires
(ouverture d’applications sur internet), que pour ses propres collaborateurs (télétravail…).
+ Cette ouverture entraine un accroissement des risques d’intrusion sur le SI qui nécessite un renforcement
de son contrôle d’accès.
+ La SSI de SNCF Réseau accompagne actuellement la DSI dans la mise en place de mécanismes
d’authentification permettant de répondre à des besoins de sécurisation renforcés.
CONTEXTE ET ENJEUX
APPORTS DE LA SOLUTION
+ Permet la gestion des accès multicanaux
(ordinateur, téléphone, tablette) ;
+ Propose plusieurs types d’authentification (code
PIN, application mobile, avec clés usb,
smartphone, etc.) ;
+ Fournit un enrôlement simple et rapide des
utilisateurs ;
+ Est multiplateforme et supportée par la quasi-
totalité des navigateurs ;
+ Est certifié par l’ANSSI ;
+ S’intègre avec les solutions de sécurité
existantes de SNCF Réseau (SSO, Bastion
Fin du projet prévue pour 2016
–
4. CHANTIERS EN COURS (2/5)CHIFFREMENT DES CONTAINERS DE DONNÉES CRITIQUES
12
+ SNCF Réseau met actuellement à disposition de ses collaborateurs un service de Protection des données
dans le but d’assurer la confidentialité des données sensibles.
+ Cette solution permet de chiffrer les répertoires confidentiels sur le poste d’un utilisateur ou sur un espace
partagé.
+ La SSI de SNCF Réseau conjointement avec la DSI, étudie aussi de déployer des solutions de chiffrement
de container applicatif grâce à des boitiers HSM.
CONTEXTE ET ENJEUX
Applications et utilisateurs
Zone de Chiffrement /
Déchiffrement
Données protégées
Disques locaux et
partagés, disques
amovibles
Serveurs de
fichiers
FONCTIONNEMENT
Serveurs de
données
–
4. CHANTIERS EN COURS (3/5)OUVERTURE DES PRINCIPES DE FÉDÉRATION D’IDENTITÉ AUX CLIENTS ET PARTENAIRES
13
+ Le SI de SNCF Réseau s’ouvre de plus en plus à ses clients et partenaires.
+ Pour garantir un accès sécurisé tout en améliorant l’expérience utilisateur (connexions d’un SI externe via
un identifiant unique sur la plateforme, la SSI Réseau travaille conjointement avec la DSI Réseau sur
l’ouverture des principes d’identités aux clients et partenaires.
+ Des solutions sécurisées (SAML) sont en cours d’étude pour permettre la gestion des identités et des
habilitations des comptes externes.
CONTEXTE ET ENJEUX
FONCTIONNEMENT
UTILISATEURS
Fournisseur
d’identité
Authentifie l’utilisateur
et récupère les
informations
additionnelles
associées à son identité
IDENTITY
PROVIDER
Fournisseur de
service
Délivre l’accès à
l’application souhaitée à
l’utilisateur authentifié
SERVICE
PROVIDERAPPLICATIONS
–
4. CHANTIERS EN COURS (4/5)DÉPLOIEMENT DE SONDES DE PROTECTION / DÉTECTION DES ATTAQUES
14
+ La zone d’hébergement des accès clients & partenaires permet d’accéder, via sa brique IAM et SSO, à un
panel d’applications du SI grâce à une authentification unique.
+ L’objectif de ce projet est donc de mettre en place une sonde de détection/protection (IDS/IPS) en entrée
de la zone afin de détecter toute intrusion et de garantir la sécurité de l’application.
CONTEXTE ET ENJEUX
OBJECTIFS DE LA SOLUTION
+ Analyse tous les paquets de flux qui passent par
le réseau;
+ Analyse les comportements et identifie les
tentatives d’attaques ;
+ Deux rôles principaux:
Préventif: blocage des attaques;
De détection: alerte les équipes
opérationnelles.
Fin du projet prévue pour 2016
–
4. CHANTIERS EN COURS (5/5)DÉPLOIEMENT D’UN CENTRE DE SURVEILLANCE DES INCIDENTS SSI (SOC)
15
+ Les outils mis en place pour surveiller et détecter les attaques nécessitent un dispositif humain permettant
d’administrer la sécurité du SI et réagir en cas d’incidents.
+ Pour ce faire, SNCF Réseau souhaite se doter d’un centre de surveillance des incidents SSI qui va
collecter les événements remontés par les composants de sécurité, les analyser, détecter les anomalies et
définir des réactions en cas d'émission d'alerte.
CONTEXTE ET ENJEUX
DISPOSITIF MIS EN PLACE
SOC RéseauSecurity Operating Center
SOC GroupeCellule Opérationnelle de
sécurité des technologies
de l'information et de de la
Communication
Conduit les activités de surveillance
et de détection au quotidien
Pilote l’investigation en crise
transverse
+ Surveillance du SI industriel
+ Gestion des vulnérabilités
+ Pilotage des plans de correction
+ Veille vulnérabilités et attaques
+ Apport d’expertise
+ Investigations pointues
En cours
d’études
Dispositif
existant
–
MERCI DE VOTRE
ATTENTION !
–
PRÉSENTATION DE LA SSIEN PLUS DE VOTRE ACCOMPAGNEMENT… TRAITER LES INCIDENTS DE SÉCURITÉ DU SI
17
+ Ransomware
+ Potentiel Administrateur indélicat
+ Traiter les risques face aux vols / pertes de données
+ Traiter les machines « Zombie »
+ Rechercher des marqueurs de compromission
+ Suspicion de vol de données en masse
+ Gérer les Attaques (STEP)
+ Gérer « les fraudes aux présidents »
+ …
Le monde des « Bisounours » n’existe pas…
La Sécurité du SI nécessite un juste milieu entre:
Le pourvoir de dire « OUI » et..
Protéger en continue en veillant à contrôler
–
COMPLEMENT CHANTIERS EN COURSINTÉGRER L’AUTHENTIFICATION FORTE POUR LES SERVICES SI LES PLUS SENSIBLES 2/2
18
Connexion à un Web-
service ou une
application via login/mdpPortail d’accès Applications
Solu
tion
HSM
- Acceptation de connexion
- Utilisation d’un jeton
- Utilisation d’un code PIN à remplir sur le mobile
Génération d’un mot de passe
unique
Génération d’un
OTP
Notification réseau grâce à l’enrôlement utilisateur/bien support
FONCTIONNEMENT DE LA SOLUTION
–
AUTRES CHANTIERS EN COURS DÉVELOPPEMENT DE SOLUTIONS SÉCURISÉES « MULTI-CANAL »
19
+ SNCF Réseau souhaite permettre à ses clients et partenaires d’accéder à ses services via différents
supports. Pour cela la SSI souhaite développer une solution se basant sur le concept d’ADN du
numérique .
+ Cela permettra une gestion des identités et des habilitations des comptes applicatifs sur l’ensemble des
composants techniques avec la plus grande compatibilité possible et garantir la traçabilité des utilisateurs
(ESB, Serveur d’application, base de données, Moteur BPM etc..).
CONTEXTE ET ENJEUX
FONCTIONNEMENT
L’utilisateur… … connecte son
équipement…
…entre son code PIN,
puis clique sur le bouton
d’authentification par
ADN numérique
L’utilisateur est
authentifié et peut se
connecter à ses services
favoris
+ PC
+ Téléphone
+ Support
amovible
UTILISATEUR EQUIPEMENT CODE PIN SERVICES / APPLICATIONS
ADN numérique
et Code PIN
reconnus !