Accès à l Information ~ Gestion des risques

Transcription

1 C O N S U L T I N G & S E R V I C E S Accès à l Information ~ Gestion des risques Olivier Luxereau NetExpert SA Chemin de la Crétaux 2 CH 1196 Gland [email protected] 27 mai 2009

2 Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et/ou fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 2

3 Données Informations Documents Données Description élémentaire, (souvent codée), d'une chose, d'une transaction d'affaire, d'un événement, etc Information Rassemblement de données structurées, devant être traitées et interprétées pour fournir une information utile Renseignement ou élément de connaissance susceptible d'être représenté sous une forme adaptée à une communication, un enregistrement ou un traitement Document Enregistrement [Record] Contenant de toute forme d informations mots Phrases Pixels Chiffres Calculs Sons images L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Transformation Mise en relation Interprétation Agrégation Page 3

4 La société de l information Toute entité, quelles que soient la taille, la localisation ou l activité Organismes publics Entreprises privées Secteur de la santé Banques-Finances Assurances Services Industries L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 4

5 La société de l information Croissance annuelle du volumedes données: 50-70% Variété des types Données Brevets Variété d usages Publiques Localisations Périodes de rétention Données Liste de Augmentation des vulnérabilités + menaces = Risques Professionnelles Comptables Prix Données Techniques Finances Privées Propriété Données Personnelles intellectuelle d entreprise Données Etudes Personnel Intimes R&D L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 5

6 La société de l information Données Sensibles Critiques Vitales Utiles Entreprise Financières / Comptables Concernant le personnel Org. / Fusions-Acquisitions Reporting -BI Propriété intellectuelle Conception / R&D Code / source Spécifications produits Listes de prix Personnelles Informations nominatives N sécurité sociale N carte de crédit Infos médicales Comment les stocker? Comment les archiver? Comment les protéger? Comment gérer les flux? Comment gérer les accès? L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 6

7 Rôles et responsabilités Approche ARCI (RACI) Autorité Responsable Consulté Informé PROPRIETAIRE DETENTEUR + mode de fonctionnement sur des cycles de vie Information, système de gestion (PDCA, PO-AI-DS-ME ou autre) sur des relations Arbitre Décisionnaire Conseilleur Approbateur Contrôleur, auditeur RH DSI Finances IT DG Achats Risk Mgt Conformité Ventes Audit interne L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 7

8 L information ISO/IEC 27002:2005 Imprimée ou écrite sur du papier Stockée électroniquement Transmise par courrier ou par un moyen électronique Exposée sur des vidéos Communiquée lors de conversations L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 8

9 La sécurité de l information L information (digitale) est une ressource, (stratégique) = un patrimoine (vivant) L information participe à la productivité, la rentabilité, la conformité légale, la réputation... La forte dépendance induit la vulnérabilité Les risques sont multiples Interprétation ISO/IEC 27002:2005 L ouverture et l interconnexion des SI multiplie les risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 9

10 Qu est-ce que la sécurité de l information? ISO/IEC 27002:2005 Le but = préservation de : La Confidentialité Assurer que l information est accessible uniquement aux personnes disposant d une autorisation d accès La Disponibilité Assurer l accès à l information lorsque nécessaire L Intégrité Protéger l'exactitude et de la complétude de l'information et des méthodes d exécution par un contrôle d accès L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 10

11 Autres critères de contrôle de protection Préservation : L «Auditabilité» ou la Preuve «Traçabilité», imputabilité, la non-répudiation Du caractère privé [Privacy] Assurer le droit aux individus de conserver la confidentialité de leurs données personnelles (=autorisation d accès) Conformité : Légale (+ règlementaires et contractuelle) aux objectifs La Fiabilité (CobiT) Fourniture d «informations» pertinentes pour le fonctionnement de l'entité et l'exercice des responsabilités sur le plan des finances et des rapports de conformité L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 11

12 L information et les risques Menaces A E M D mots Chiffres Impacts Valeursur Phrases Sons Calculs D I C A L Vulnérabilités Pixels images Risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 12

13 Cycles de vie pour l information Gestion des évolutions dans le temps! La valeur de l information changent Nouvelles menaces et vulnérabilités Les supports se modifient se dégradent le cadre légal bouge Flux de données complexes Les exigences de protection doivent s adapter L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 13

14 Quelles sont les menaces? fraudes intrusions via sans-fil sabotage physique intrusions atteinte à l'image divulgation attaques logiques ciblées chantage pertes services pannes internes événement naturel pertes services accident physique virus erreurs utilisation erreur conception / mise en œuvre SWprocédure vol / disparition matériel malveillance accident pannes internes virus attaques logiques ciblées vol / disparition matériel divulgation erreur événement naturel atteinte à l'image intrusions accident physique sabotage physique erreur conception / mise en œuvre SW-procédure erreurs utilisation fraudes intrusions via sans-fil chantage Adaptation de l étude de sinistralité CLUSIF Source : Michel MARTI (Etat de Genève) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 14

15 Statistiques «Data Loss Prevention» Dans les entreprises : 0,4% des messages contiennent des informations confidentielles 2% des fichiers stockés sur les serveurs sont accessibles (sans autorisation ) 81% ont perdu des données stockées sur des PC portables 52% ont perdu des données stockées sur des médias amovibles (clés USB) les conséquences (les priorités): Sources : éditeurs des solutions DLP / Etude de sinistralité Clusif / Melani Finances + Réputation S.M.S.I. Propriété Intellectuelle Conformité Audit Externe et Interne L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 15

16 Risques - 6 ème enquête Sécurité 2008 Causes des risques (%) : 27 mai 2009 Page 16

17 Pourquoi la SSI est indispensable? ISO/IEC 27002:2005 «Beaucoup de systèmes d'information n'ayant pas été conçus pour être sécurisés, la mise en œuvre de moyens techniques de protection a un impact limité et doit être soutenue par une organisation appropriée et des procédures» «Si vous pensez que les technologies peuvent résoudre tous vos problèmes, alors vous n avez rien compris à vos problèmes,... ni aux technologies» Bruce Schneier, CTO Counterplane Author of Applied Cryptography, and an award winner at the EFF Pioneer 2007 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 17

18 Études de sinistralité (menaces) MELANI : Centrale d'enregistrement et d'analyse pour la sûreté de l'information Rapport semestriel - Situation en Suisse et à l international Instituts américains : CERT, NIST, SANS, GAO, L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 18

19 Principes de sécurité Pour le contrôle d accès (à l information ) Responsabilisation des acteurs Défense en profondeur Moindre privilège Ségrégation des tâches Durcissement Traiter les risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 19

20 Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 20

21 Cadre de référence de gestion des risques Information Security Risk Management ISO/IEC Établir le contexte Communication sur le risque Appréciation du risque Analyse de risque Identification des risques Estimation des risques Évaluation des risques Décision 1 Appréciation Traitement des risques O N Surveillance et réexamen du risque Activités principales du processus de gestion des risques liés aux traitements de l information Décision 2 Traitement O N Acceptation des risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 21

22 Approche Inventaire et classification des données (sur tout leur cycle de vie) Identification des risques (sur la base de scénarios de menaces - AEM / DICAL) Processus systématique d amélioration continue jusqu à l acception du niveau de risques résiduel Estimation des risques (sur la base d un audit contrôle des accès) Evaluation des risques (sur la base du niveau actuel de protection / P.P.T) Traitement des risques (sur la base de recommandations d amélioration Acceptation du risque L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 22

23 Quelles sont les principales menaces? Le processus (même) de gestion / contrôle d accès aux données inapproprié! Inventaire incomplet et non maintenu Classification non gérée Permissions d accès non maintenu ( Autorisation Révocation) par usager ou par groupe / Cycle de vie de l information / Besoin de protection dans le temps Contrôle (permanents) insuffisants (Log Management) des identifiants et des accès des espaces de stockage mise en œuvre et efficacité des mesures de sécurité par le propriétaire par le gestionnaire des accès L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 23

24 Quelles sont les principales menaces? Le vol de données La fuite d information Traitement de données erronées ou obsolètes Déficience de protection de données inutilisées (oubliées) Préservation des droits d accès aux données archivées (liste non exhaustive) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 24

25 Risques - 6 ème enquête Sécurité 2008 Prévision des menaces prévues dans les 12 mois - % des répondants Risque Elevé Moyen Faible L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 25

27 ISO : Contrôle d accès [ 11 ] 11.1 Exigences métier relatives au contrôle d accès Politique de contrôle d accès 11.2 Gestion de l accès utilisateur Enregistrement des utilisateurs Gestion des privilèges Gestion du mot de passe utilisateur Réexamen des droits d accès utilisateurs 11.3 Responsabilités utilisateurs Utilisation du mot de passe Matériel utilisateur laissé sans surveillance Politique du bureau propre et de l écran vide 11.4 Contrôle d accès au réseau Politique relative à l utilisation des services en réseau Authentification de l utilisateur pour les connexions externes Identification des matériels en réseau Protection des ports de diagnostic et de configuration à distance Cloisonnement des réseaux Mesure relative à la connexion réseau Contrôle du routage réseau L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 27

28 ISO : Contrôle d accès 11.5 Contrôle d accès au système d exploitation Ouverture de sessions sécurisées Identification et authentification de l utilisateur Système de gestion des mots de passe Emploi des utilitaires système Déconnexion automatique des sessions inactives Limitation du temps de connexion 11.6 Contrôle d accès aux applications et à l information Restriction d accès à l information Isolement des systèmes sensibles 11.7 Informatique mobile et télétravail Informatique mobile et télécommunications Télétravail L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 28

29 Autres normes et standards ISO ISO/IEC 2700x : Information Security Management ISO/IEC : Risk Management ISO/IEC : Record Management ISO/IEC 5th WD Framework for identity management ISO/IEC :2006/PDAM 1 - Digital signatures with appendix -- Part 3: Discrete logarithms based mechanisms ISO/IEC Message authentication codes (MACs) -- Mechanisms using a universal hash-function ISO/IEC 1st WD Entity authentication -- Part 6: Mechanisms using manual data transfer ISO/IEC 2nd WD Signcryption ISO/IEC :2005 (1st ed.) -- Encryption algorithms -- Part 4: Stream ciphers ISO/IEC CD Non-repudiation -- Part 2: Mechanisms using symmetric techniques > 100 normes du SC27 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 29

30 Autres références Codes de pratiques GAISP Generally Accepted Information Security Principles Information Systems Security Association (ISSA) ISF - Standard of Good Practice for Information Security Information Security Forum BSI (D) IT Baseline Protection Manual, BSI (UK) BS NIST SP800-14(GASSP) et 100 Suisses Européens C L U S I F Canada Australie/Nouvelle Zélande L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 30

31 Autres références Guides méthodologiques ou sectoriels ITIL - the IT Implementation Library COBIT et Security Baseline, OECD Security Guidelines ISO Financial services-infosec guidelines PCI payment Card Industrie) ETSI FDA (CFR21 part 11) BCI DRii et risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 31

32 CobiT: assurer la sécurité des S.I [DS 5] DS5.1 Gestion de la Sécurité du SI (SSI) DS5.2 Programme/Système de gestion de la SSI DS5.3 Gestion des identités DS5.4 Gestion des comptes utilisateurs DS5.5 Test, contrôle et surveillance de la sécurité DS5.6 Définition et communication sur les incidents potentiels DS5.7 Protection des technologies de sécurité DS5.8 Gestion des clés cryptographiques DS5.9 Prévention des incidents (anti-virus, IDS/IPS, Firewall ) DS5.10 Sécurité des réseaux DS5.11 Echange de données sensibles L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 32

33 Objectifs du DS5 de CobiT IT Processus Activités Assurer que les informations critiques et confidentielles sont détenues et utilisées par ceux qui peuvent (sont autorisés) à y accéder Assurer que les transactions automatisées et les échanges d informations sont de confiance Maintenir l intégrité de l information et des infrastructures de traitement Responsabiliser [account] à et assurer la protection des actifs informationnels Set Permettre l accès aux données critiques et sensibles exclusivement aux utilisateurs autorisés Identifier, surveiller et rapporter les vulnérabilités et les incidents Détecter et résoudre les accès non autorisés à l information, aux applications et aux infrastructures Minimiser les impacts dus aux vulnérabilités et aux incidents Set Comprendre les exigences de sécurité, les vulnérabilités et les menaces Gérer les identités des usagers et les autorisations de manière standardisée Définir quels sont les incidents de sécurité Tester / Eprouver régulièrement (les mesures) de sécurité Assurer que les services TIC et les infrastructures peuvent résister et être reconstruire suite à un dysfonctionnement dû à une erreur, à une attaque ou un incident [disaster] L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 33

34 Loi (F) Protection des Données Sphère privée, «Privacité» Fondements (juridiques) protection données DUDH Art. 12: (1948) + CEDH Art. 8: (1950) Convention 108 du CE (1981) + Traité sur l UE (1992) LPD Art. 1: (RS 235.1; ) Loi visant à protéger la personnalité et les droits fondamentaux des personnes qui font l objet d un traitement de données. LPD Art. 3a: Données personnelles + Art. 3b: Personne concernée Art. 3c: Données personnelles sensibles Art 11 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 34

35 Autres lois Loi fédérale sur l archivage (LAr) du 26 juin 1998 Loi fédérale sur le droit d auteur et les droits voisins LDA Loi fédérale sur la protection des données (LPD) Guide pour le traitement des données personnelles dans le secteur du travail - Traitement par des personnes privées : par le Préposé Fédéral à la Protection des données + Lois Genevoises (LIPAD, LITAO, Archives, ) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 35

37 Sécurité de l information dans dans votre monde ouvert Forces itinérantes Organisation virtuelles Globalisation Médias de stockages Bandes passantes L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 37

38 Sécurité (protection) des données Avez-vous déployé? PPSG Usage / Contrôle Accès Gestion IAM PKI IPS/IDS Firewall Système de destruction Cryptographie Gestion des périphériques + Gestion des sauvegardes / + Archives L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 38

39 Comment appréhender la protection des informations? Êtes-vous inquiet de la perte de vos données? L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 39

40 Protection (automatisée) des données (critiques / sensibles) Bloquer Les s Les Ports USB Les lecteurs/graveurs Crypter les fichiers et les messages Mise en quarantaine des s Copier (relocaliser) les données Sauvegarder Archiver / ne pas Archiver Notifier Classifier Information Right Management (IRM) Chaque minute, 19 personnes sont victimes de VOL d identité, dû à un manque de protection des données. (Identity Theft Resource Center, 2007) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 40

41 Information Rights Management (IRM) Technologie de protection persistante des fichiers qui permet de protéger la propriété intellectuelle numérique contre une utilisation non autorisée. Permet aux utilisateurs de spécifier l identité des personnes autorisées à accéder aux documents ou messages électroniques et à les utiliser, et qui les aide à protéger cette propriété intellectuelle numérique contre la copie, le transfert ou l impression non autorisés. Permet de contrôler les actions non autorisées, par exemple le transfert, le collage ou l impression en désactivant ces fonctions dans les documents et messages électroniques protégés. Protection des données SENSIBLES Critères : CONFIDENTIALITE, INTEGRITE, AUDITABILITE et CONFORMITE LEGALE L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 41

42 Information Rights Management Recherches sur : Wikipedia Microsoft IRM Adobe Lifecycle RM EMC documentum IRM Six key criteria for providing persistent document security L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 42

43 Conclusion Les 5 étapes de la protection des données : Identifier et Apprécier les Risques Identifier et Classifier Les données et informations Concevoir les mesures de protection des données + Etablir les PPSG Déployer les technologies qui renforcent la protection et assurent la conformité Communiquer Former et Sensibiliser Créer une Culture de risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 43

44 Conclusion Le CONTENU doit conduire la classification - protection CONTROLER l accès à la donnée, pas juste au «contenant» La SECURITE doit voyager avec les données Protéger les utilisateurs contre les actions malencontreuses» Laisser disponible les données qui doivent être partagées, de manière sécurisée L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 44

45 Questions? «Ne pas prévoir, c est déjà souffrir» Léonard de Vinci L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 45