BIENVENUE. Tour d horizon. Sécurité des actifs informatiques et informationnels. Atelier 3, 1 er octobre 2009

Transcription

1 BIENVENUE Sécurité des actifs informatiques et informationnels Tour d horizon Atelier 3, 1 er octobre 2009

2 Objectifs Apprendre l état actuel de la sécurité informatique et des actifs informationnels au Québec. Voir la gestion de la sécurité dans votre organisation sous un jour nouveau. Comprendre les jalons requis pour l'améliorer. 2

3 SOGIQUE Société de gestion informatique Constituée en 1986, à l origine, pour répondre à un besoin de connaissance des avancées technologiques applicables au réseau de la santé et des services sociaux Dans sa forme actuelle depuis 1996 MISSION : À titre de bras opérationnel du MSSS dans le domaine des ressources informationnelles, la mission de SOGIQUE est d assurer le développement et la mise en valeur, à partir des orientations ministérielles, du portefeuille d actifs informationnels d intérêt commun qui lui sont confiés En employés permanents 171 occasionnels et consultants à Québec et à Montréal 3

4 Plan de la présentation Paysage de la sécurité en 2009 Vers une gestion de la sécurité de l information Processus, mécanismes et outils : Service national de sécurité de l information (SNSI) Centre de sécurité opérationnelle (CSO) Gestion de la continuité événements majeurs Arrivée du RITM RéseauSécurIT Portail en sécurité de l information 4

5 Le réseau de la santé et des services sociaux c est : MSSS 18 agences 18 technocentres régionaux 294 établissements installations serveurs membres postes de travail boîtes de courriel

6 Vecteurs des menaces en 2009 Navigation Web (même sur des sites réputés) Polluriels (cartes de vœux, images, PDF, MP3, etc.) Médias amovibles (ex. : clé USB) Failles des systèmes d exploitation Failles du système DNS Trousse d attaques professionnelles Hameçonnage Réseaux de robots (Botnets) Marché pour les vulnérabilités de sécurité Sécurité des machines virtuelles 6

7 Quelques statistiques : Aux États-Unis Nombre de brèches d information dans le secteur de la santé selon le «Identity Theft Resource Center» 2007 : : :? En Californie, une loi oblige la déclaration des accès non autorisés aux données des patients 823 notifications de janvier à mai 2009 Principaux types d incidents : Vol d ordinateur portable Site Web mal configuré Vol interne Pirates s introduisant dans le réseau Majoritairement pour le vol d identité, mais on commence à voir le vol de services de santé en utilisant l information sur l identité dérobée 7

8 Risques d incidents RITM (volet santé) Trois grands réseaux Cliniques privées TCR SOGIQUE Technocentre national TCR TCR Infrastructures sécurisées Télétravail Internet (Jungle) GMF Fournisseurs Centres de recherche RISQ Universités 8

9 Gestion du risque Il n y a pas de sécurité à 100 % : - Gérer le risque est le mieux que l on puisse faire (processus, humain, etc.) - Aucune technologie n est exempte de risques - De plus en plus, la sécurité de l information devient une obligation légale (par exemple : Loi sur la protection des renseignements personnels et les documents électroniques, LSSSS, etc.) 9

10 Besoins d affaires et sécurité Arrivée des PACS => audit des salles de serveurs Migration MPLS en 2007 => Attestations de conformité aux exigences du CGR en vue de la migration au MPLS Enveloppe de maintien des actifs informationnels Favoriser la sécurité et l accessibilité au réseau La migration au RITM VS Les 15 mesures prioritaires 10

11 Vers la gestion de la sécurité de l information COSO QUOI Cobit Gouvernance des TI Gouvernance d entreprises CMMI PMBOK Prince2 ISO Sécurité ISO ITIL Processus Service ISO9000 COMMENT Source: ISACA, AFAI &H. Ceuleman

12 ISO Guide des bonnes pratiques Politique globale 5. Politique sécurité Normes / Directives 6. Organisation de la sécurité 7. Catégorisation 11. Contrôle des accès 15. Conformité Procédures Standards 8. Sécurité des ressources humaines 9. Sécurité physique 10. Gestion des communications et des opérations Bonnes pratiques 12. Développement, acquisition et maintenance de systèmes 14. Continuité des affaires 13. Gestion des incidents 12

13 PDCA «Plan, Do, Check, Act» Planifier Parties intéressées Établir le SGSI Parties intéressées Mettre en œuvre Mettre en oeuvre et exploiter le SGSI Soutenir et améliorer le SGSI Améliorer Exigences reliées à la sécurité de l information 13 Surveillance et revue du SGSI Vérifier Gestion de la sécurité de l information

14 Planifier 14 Sensibiliser la direction avec la législation Définir la politique de la sécurité de l information Définir la portée, les cibles de l organisation pour le programme Identifier et catégoriser les actifs Identifier les menaces et vulnérabilités des actifs Évaluer les impacts d exploitation de chaque vulnérabilité Identifier l approche à utiliser pour l analyse de risque Appliquer l analyse de risque Définir une méthode pour traiter les risques et déterminer le niveau de risque acceptable Identifier les mécanismes de contrôle actuellement disponibles Proposer des mécanismes de contrôle additionnels Prendre action face à tous les risques (accepter, transférer, diminuer ou éviter)

15 Mettre en oeuvre Écrire les politiques spécifiques en fonction des actions (standards, procédures, lignes de base et recommandations) Définir les rôles et responsabilités Implanter les mécanismes de contrôle Définir un programme de formation et de sensibilisation Gérer les opérations Gérer les ressources Formuler et implémenter le plan de traitement du risque Prendre action pour les transferts de risques Prendre action pour éviter un risque 15

16 Surveiller Gérer les incidents (détecter, prévenir et répondre) Maintenir la consistance de la documentation et assurer, en cas de modification, qu il n y a pas détérioration de la sécurité Revoir/refaire la phase «PLAN» en fonction de l évolution et des changements Valider par la réalisation d un test d intrusion interne et externe Assurer une veille technologique 16

17 Améliorer Implémenter les améliorations identifiées Prendre les actions correctives et préventives appropriées Communiquer les résultats et les actions S assurer que les améliorations atteignent les objectifs visés 17

18 Mission du Service national de sécurité de l information (SNSI) Le Service national de sécurité de l information (SNSI) a pour mission de supporter les agences régionales de santé et de services sociaux et les établissements de leurs régions respectives dans la mise en oeuvre d un cadre de gestion national de la sécurité de l information Principes directeurs : Inscrire le SNSI dans la structure actuelle de gestion de l informatisation du secteur sociosanitaire S aligner sur les normes et les meilleures pratiques existantes Agir en complémentarité avec l entreprise privée Favoriser le réseautage (ISIQ, CERTAQ, CCRIC, MSG, les RSIN, ASIQ, ASIMM, FIQ) Tabler sur l existant Adapter l offre aux exigences propres au secteur sociosanitaire 18

19 Les services du SNSI Services d animation et de coordination Table des coordonnateurs régionaux de la sécurité des actifs informationnels (TCRSAI) Aux efforts en sécurité dans le RSSS Diffusion de la stratégie en sécurité de l information Services communs Centre d expertise en sécurité Évaluation de solutions reliées à la gestion de la sécurité Formation technique des intervenants spécialisés Élaboration et évolution des normes et des standards Veille en sécurité de l information Traitement des demandes d exception aux normes et standards en vigueur dans le réseau Services d accompagnement ou à la demande Enquête sur une situation problématique Audit de sécurité (ex. : salle des serveurs) Avis légaux 19

20 Mission du Centre de sécurité opérationnelle (CSO) Assurer la prévention des risques et l assistance au traitement d'incidents de sécurité Regrouper les activités traditionnelles de sécurité : d un «Security Operational Center - SOC» pour la gestion opérationnelle de la sécurité d un «Center for Emergency Response Team - CERT» pour la réaction aux incidents de sécurité Couvrir les actifs informationnels corporatifs et nationaux Travailler en collaboration avec des partenaires chevronnés : CERTAQ (Entité de sécurité du CSPQ dédiée aux M/O) Forces policières CCRIC (Centre canadien de réponse aux incidents cybernétiques) 20

21 Le CSO : Volet gestion des incidents Incidents (par grande famille) Disponibilité (ex. : déni de service) Destruction ou modification non autorisée (c.-à-d. intégrité) Bris de confidentialité Codes malicieux Atteinte à la sécurité physique Fonctionnement inadéquat ou constat de situations à risque Usage inapproprié (ex. : contravention à la politique de sécurité) Infraction au Code criminel ou pénal (ex. : vol, vandalisme, etc.) Enquête et sécurisation de la preuve Infraction au Code civil (ex. : espionnage, dommages et intérêts) Ces processus et procédures sont documentés pour les niveaux SOGIQUE, les Agences et les établissements 21

22 Le CSO : Volet surveillance Surveillance 24/7 et contrôle au niveau du périmètre (la couche de service), de l intranet et des extranets Détection des intrusions avec des sondes réseaux Surveillance des journaux Gestion 3 e niveau des passerelles du filtrage Web et des antipolluriels du RTSS Surveillance de la console d antivirus nationale La vigie des vulnérabilités reliées aux technologies utilisées dans le réseau; émission des avis et des alertes de sécurité pertinents auprès des responsables dans les établissements et organismes 22 Gestion et surveillance de la console de corrélation des évènements

23 Gestion de la continuité lors d événements majeurs Lors d incidents majeurs, un comité de gestion de crise est mis en place afin de faciliter le suivi des escalades hiérarchiques appropriées Le processus ISO 9001 de SOGIQUE sur la gestion de la continuité événements majeurs est suivi pour coordonner la situation : Valider ou préciser la conformité de l information sur la situation Prendre en charge et coordonner la situation Déclencher les mesures, s il y a lieu, selon ce qui est prescrit ou ce qui est le plus apparenté à la situation en termes de procédure Assigner l événement aux responsables des équipes des services concernés par la situation Documenter tout au long de l événement 23

24 24

25 Arrivée du RITM Nouvelles mesures de sécurité positionnées dans la couche d interfonctionnement qui viendront aider à prévenir divers incidents reliés à la sécurité de l information Analyse du comportement réseau/sécurité Détection d intrusions Gestion, analyse et corrélation des journaux de sécurité Une équipe de sécurité du fournisseur dédiée au RITM avec un centre opérationnel de sécurité 24/7 Rehaussement des processus ITIL de SOGIQUE pour intégrer le cadre de gestion du RITM qui est basé sur ISO (ensemble de 18 processus) 25

26 RéseauSécurIT Regroupement privilégié des premiers responsables de la sécurité de l'information des grandes entreprises du Québec Nombre des membres est limité à 25 3 rencontres par année sur des thématiques 26 Créé par le Réseau ACTION TI en juin 2004, en collaboration avec l'asimm, le RéseauSécurIT Objectif de créer un forum d'échanges, de réflexions et de concertations afin de mettre en commun les meilleures pratiques et l'expertise de chacun dans le domaine de la sécurité de l'information Échange d information constant entre les chefs de la sécurité Sécurité des courriels Sécurité sur les machines virtuelles Gestion des incidents (confidentialité de l information) Système d incendie pour les salles de serveurs Filtrage Web et antipourriels Authentification des accès externes Catégorisation de l information

27 Portail en sécurité de l information Un outil accessible et dynamique pour le bénéfice de tout le réseau! Visiteurs différents par mois : 206 Pages par mois : 5026 La communauté de pratique permet de : Regrouper l ensemble de l information en matière de sécurité de l information Favoriser les échanges entre les intervenants Favoriser l accessibilité des documents à l intérieur du domaine de confiance du RTSS On retrouve dans le portail : Plus de 350 documents et liens concernant la sécurité de l information L actualité et les nouveautés dans le domaine Les activités, événements et formations Un forum de discussion afin de répondre à toutes vos questions 27

28 Prix et distinction OCTAS 2009 Portail de la communauté de pratique en sécurité de l information : Où le savoir se partage et se discute Catégorie : Apprentissage en ligne des connaissances 1 à 300 employés 28

29 L objectif ultime : La prise de maturité en sécurité de l information Source : Cobit 29

30 Questions et commentaires