RSSI à Temps Partagé Retour d expériences Intrinsec - securite.intrinsec.com

Transcription

1 RSSI à Temps Partagé Retour d expériences 2011 Intrinsec - securite.intrinsec.com

2 Agenda Contexte Présentation du cadre d intervention «RSSI à Temps Partagé». Démarche SSI Retour d expérience sur la mise en œuvre d une démarche SSI : objectifs et positionnement de la SSI, en fonction de la maturité en la matière. Panorama de problématiques SSI Tour d horizon d une petite sélection de problématiques sécurité rencontrées, et quelques pistes sur la manière de les aborder. Conclusion Annexe : Présentation Intrinsec

3 Agenda Contexte Démarche SSI Panorama de problématiques SSI Conclusion Annexe : Présentation Intrinsec

4 Contexte L offre «RSSI à Temps partagé» Lancée en 2008 Un accompagnement inscrit dans la durée (mode «partenariat») Objectifs initiaux Faire bénéficier d une expertise en SSI (de la technique à l organisationnel) Mettre en place et animer une démarche de gestion de la SSI Approche pragmatique (réalités métier / production informatique) Cible : grosses PME (250 à 1000 salariés) Au bout de 3 ans Une quinzaine de références, un fort intérêt (nombreux prospects) Pour des organisations variées : de petites PME (100 salariés à Groupes internationaux) Offre majoritairement déclinée sous 3 formes : «Coaching RSSI» : accompagnement sur création de poste RSSI «Accompagnement SSI» : expertise SSI force de proposition, pilotée par le client «Assistant RSSI» : ressource experte en renfort du RSSI Une position privilégiée pour observer différentes pratiques de la SSI!

5 Démarche Une démarche générique, à adapter au contexte et aux besoins.

7 Objectifs SSI Quels objectifs réalistes fixer en terme de sécurité? Problématiques Coût de la sécurité (solutions, prestations, ressources internes, impacts métiers ) Besoins hétérogènes Implication nécessaire de la Direction, des salariés Tenir compte du niveau de maturité SSI Définir ses objectifs de sécurité Faire évoluer la maturité SSI vers une cible adéquate (besoins / moyens) Outils Analyse de risques : définir ses objectifs de sécurité EBIOS 2010 (ANSSI) ISO:27005 (norme ISO/CEI) MEHARI (CLUSIF) Maturité SSI : identifier un niveau d organisation SSI adéquat Guide «Maturité SSI» de l ANSSI Cobit 4.1 DS5 : «Ensure Systems Security» Rester réaliste au niveau des objectifs ; adopter une approche itérative.

8 Maturité SSI Exemple des niveaux de maturité de l ANSSI Point de départ fréquent Cible de maturité standard Un questionnaire pour aider à définir une cible de maturité.

9 Organisation SSI Où positionner la SSI? Différentes approches constatées : Au niveau de la DSI (au sein des équipes d exploitation, ou sous le DSI) Risque de focus technique au détriment de l organisationnel inadapté pour maturité 3 Au sein d une équipe Qualité ou Méthodes Eloignement des opérations, ancrage dans le process inadapté pour maturité 1 ou petites structures Sous la Direction (Risk Management ) Absence de lien avec les opérations inadapté pour maturité 2 ou petites structures Un positionnement à adapter à la maturité recherchée, et au contexte. Comment positionner le RSSI? Poste ou fonction RSSI? Fonction : attention à la répartition du temps (production vs sécurité) Poste : disposer du budget et des ressources requises Intervient-il directement au niveau des opérations? Disposer des ressources / compétences requises Juge et partie (implémente et contrôle les mesures SSI) Sinon, soutien de la DSI indispensable (sensibilisation des équipes, relations RSSI - Production, filière SSI) Est-il directement responsable du niveau de sécurité? Disposer des moyens (financiers et humains) associés, nécessaire implication de la Direction Un positionnement à adapter aux moyens et ambitions Assurer le portage de la démarche SSI au niveau souhaité

11 Sécurité technique Constats De nombreuses solutions techniques pas toujours idéalement administrées Fréquents écarts de niveau de sécurité selon les domaines (disponibilité, sécu périmétrique ) Objectif : Assurer l efficacité des fondamentaux techniques Sécurité périmétrique (protection contre les attaques externes basiques) Antivirus Architecture réseau Sécurité des nomades Sauvegardes Axes de travail Optimiser les moyens disponibles (la course aux déploiements de solution est coûteux) Avoir un minimum de processus de contrôles / revues Un Firewall ouvert ne filtrera pas grand-chose Un antivirus non-déployé sur la moitié du parc ressemble à une passoire Des sauvegardes non-testées apportent peu de garanties Adopter de bonnes pratiques d exploitation : un parc non maîtrisé sera généralement plus difficile à sécuriser. approche ITIL Sensibiliser les équipes techniques

12 Sécurité dans les projets Constat : La sécurité rarement considérée avant la mise en production quand elle est considérée Surcoûts et délais, ou absence / faible niveau de sécurité. Objectif : Assurer la prise en compte de la sécurité dans les projets Intégrer les besoins de sécurité essentiels dès la conception Evaluer le niveau de sécurité Se doter des standards et méthodes requis Axes de travail Etablir / Consolider une méthode de gestion de projets Définir les standards essentiels, adaptés au contexte (quantité de documents, moyens) Intégration des aspects SSI aux livrables projet (ex : spécification des besoins SSI, description des flux ) Masters systèmes sécurisés Bonnes pratiques de développement / Exigences pour les prestataires (ex : validation des données ) Evaluer les fondamentaux SSI avant la mise en production : Recette sécurité (antivirus, sauvegardes, mots de passe ) Test d intrusion, test de charge pour les applications exposées et/ou critiques Références : GISSIP («Guide d Intégration de la SSI dans les Projets» proposé par l ANSSI) Recommandations de l OWASP (notamment le «Secure Software Contract Annex») Analyses de risques (EBIOS )

13 Sécurité avec les tiers Constats Présence, parfois massive, de prestataires (Cloud, hébergement, infogérance, développements ) Ouverture croissante des SI (nomadisme, accès partenaires) Objectif : Assurer la prise en compte de la sécurité avec les tiers Définition précise des responsabilités et service Ex infogérant FW : au-delà de la création de règles, qui est responsable de la pertinence des filtrages? Les logs sont-ils conservés, combien de temps? Dans quels délais sont-ils accessibles en cas d incident? Qui intervient en cas de sinistre majeur, dans quels délais? Définition d engagements (SLA), garants de la tenue des engagements Contrôles : tableau de bord, audits Axes de travail Définir le besoin : exigences de sécurité à transmettre aux tiers Notamment prendre en compte les aspects légaux (données personnelles, traçabilité ) Inclusion d un «Plan d Assurance Sécurité» dans le contrat. Le pendant d un Plan de Qualité de Service, appliqué à la SSI Cf le «Guide de l externalisation» de l ANSSI (recommandations concrètes) Formalisation de standards de sécurité (par ex pour la configuration des accès distants) Processus de suivi : Aspects sécurité intégrés à l ordre du jour des comités de pilotage Approche par programme d audit

14 Continuité & Reprise Constats Les fondamentaux pas toujours assurés Une approche parfois réductrice Axes de travail Sauvegardes Souvent implémentées et monitorées mais la reprise rarement documentée et testées. Seuls des tests de restauration réguliers apportent le niveau d assurance requis. PRA (Plan de Reprise d Activité) Souvent limité à la reprise de la salle informatique / du datacenter correspond à un PSI («Plan de Secours Informatique») plutôt qu un PRA Des moyens en place, mais la reprise est rarement documentée et testée. Un PSI ou PRA qui n est pas toujours maintenu pour tenir compte des évolutions du SI. La reprise de la salle informatique n est pas la solution à tous les problèmes! Infections virale, pandémie Besoins métiers Les délais de reprise (RTO) sont généralement connus mais pas nécessairement pris en compte. et les besoins de reprise (RPO) et impacts métiers réels souvent insuffisamment connus. Assurer l alignement des moyens avec le coût des conséquences possibles. Approfondir la connaissance métier : Risques à traiter Actifs critiques (fichier indispensable en local sur un poste non-sauvegardé, prestataire indispensable ) Scénarios métier palliatifs ne nécessitant pas d action technique (parfois couteuse)

16 Synthèse Gestion de la sécurité Des fondamentaux techniques à assurer Un minimum de gestion requis (déployer des solutions ne fait pas tout) Une approche progressive, vers les aspects organisationnels / risques Le contrôle est un fondamental Définir ses objectifs Adapter la démarche au contexte Positionner le pilotage SSI au bon niveau (cad celui où les interlocuteurs seront concernés) Dialoguer Avec les équipes techniques (sécurité au niveau des opérations) Avec les métiers (identification des besoins, sensibilisation) Avec le management (gestion des risques, arbitrages) Objectifs et mesures de sécurité Se concentrer sur la réponse aux enjeux métiers Rester réaliste : s adapter aux moyens, ressources, niveau de maturité Les tests et contrôles peuvent être restreints aux périmétriques critiques Les méthodes, standards (EBIOS, ISO:27001 ), bonnes pratiques peuvent n être appliqués que sur les parties pertinentes

18 Intrinsec Fondé en acteur historique de la sécurité des SI Membre du groupe Neurones depuis 1999 Présence sur Paris, Nantes, Lyon, Sophia Antipolis (siège à Nanterre) 180 collaborateurs (Conseil & évaluation SSI : 20 consultants ; Sécurité opérationnelle : 30 experts) POLE SECURITE POLE INFOGERANCE Sécurité Active Éprouver Analyser Renforcer Maîtriser Evaluation Conseil Opérations Ingénierie (Veille, R&D) RGS, ARJEL, ISO, Investigation IODE Infogérance On Demand Cloud Computing Private Cloud HQ : Paris Lyon Nantes Capacités logiques on demand Production informatique ITIL Tuning de la production

19 Sécurité Active

20 Contacts