Formation en SSI Système de management de la SSI

Transcription

1 Formation en SSI Système de management de la SSI 1

2 Présentation de la formation Objectif de la formation : "à l'issue de cette formation les stagiaires auront compris comment réaliser une PSSI d'unité et comment la mettre en œuvre dans le cadre d'un système de management". Ceci implique de comprendre : ce qu'est une analyse de risque et comment la réaliser ce que sont les tableaux de bord et leur rôle dans un système de management ce qu'est un référentiel et son lien avec l'audit et le contrôle comment appliquer à la SSI un processus d'amélioration continue (roue de Deming) 2

3 Présentation de la formation Le cours est prévu en 2 parties : Une première partie: un cours magistral où sont présenter les notions essentiels pour mettre en place un système de management de la SSI dans son laboratoire. Durée : 3 jours. Une deuxième partie : Travaux pratiques (les groupes ne doivent pas excéder 15 personnes) sous la forme d'un jeux de rôle par trinômes. Durée de la simulation : 2 jours. Programme : PLAN réalisation d'une PSSI d'unité ; DO mise en place de la PSSI ; CHECK mesurer à la fois l'efficacité de la PSSI et la réalité de sa mise en œuvre ; ACT faire les corrections qui s'imposent suite au CHECK. 3

4 Organisation des journées Jours Mardi 26/5/2009 Matin 9h 12h30 Robert Longeon Qu est-ce qu un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Après-midi 13h30 17h30 Laurent AZEMA Système de management de la sécurité de l information (ISO 27001) Mercredi 27/5/2009 Jeudi 28/5/2009 Robert Longeon Appréciation du risque Ernest Chiarello DdA et bonnes pratiques (ISO 27002) Robert Longeon Gestion du risque Ernest Chiarello DdA et bonnes pratiques (ISO 27002) 4

5 Plan de la présentation Système de management de la SSI Qu'est-ce qu'un SMSI Le besoin de pilotage de la sécurité Le sens des normes 2700x Mise en place d'un SMSI Systèmes Exemples ISO27000 Systèmes de management Le processus de normalisation ISO Sécurité de l information ISO ISO27004 ISO

6 Plan de la présentation Centre de gravité de la formation est la notion de «système de mangement» SMSI : Système de Management de la Sécurité de l Information S : Système M : Management SM : Système de management SI : Sécurité de l information / sécurité informatique Trois questions fondamentales Qu est ce qu un système de management? Qu entendons nous par sécurité de l information? Pourquoi mettre en place un SMSI? ISO est un guide pour la mise en place d un SMSI 6

7 Les différents acronymes d'un SMSI SMSI Système de Management de la Sécurité de l Information SGSI Système de Gestion de la Sécurité de l Information SGSSI Système de Gestion de la Sécurité des Systèmes d'information ISMS Information Security Management System 7

8 Bibliographie 8

10 Les défenses périmétriques ne suffisent plus Distinction entre la connexion à l'intérieur de l'entreprise et à distance? Postes de travail de moins en moins maîtrisés Échanges avec les mémoires et disques miniatures (Clés USB, MP3, Ipod, ) Nombreuses connexions et échanges sans contrôle Gestion et mise à jour des postes de travail (antivirus, fw perso, antimalware, ) Sensibilisation incessante nécessaire Augmentation des coûts d'exploitation Présence dans son réseau privé de prestataires Risques résiduels Accès Internet ADSL dans certains bureaux Utilisateurs qui ne comprennent pas pourquoi Internet ne marche pas «comme chez eux» Envoi de fichiers professionnels aux PC personnels Plus de différence entre poste de travail portable et fixe De moins en moins de différence entre l'ordinateur du bureau et l'ordinateur à la maison 10

11 Piloter la SSI? Les avancées de la SSI de ces dernières années ont établi que la sécurité doit être perçue comme un «processus», non comme un «état». La SSI consiste à établir un équilibre dynamique entre les conséquences redoutées d une menace et les coûts pour s en protéger. Conséquences : 1. Equilibre dynamique signifie que la SSI est un processus qu'il faut piloter 2. Pour établir cet équilibre il faut pouvoir évaluer les risques: les conséquences d'une menace sa possibilité de réalisation 11

12 Entrée Quatre concepts fondamentaux de systémique Contrôle Processus Sortie Fonctionnement d un processus La complexité d un système et son corollaire le principe de récursivité L organisation est le concept central pour comprendre ce qu est un système. L organisation est l agencement d une totalité en fonction de la répartition de ses éléments en niveaux hiérarchiques. Selon son degré d organisation, une totalité n aura pas les mêmes propriétés. On arrive ainsi à cette idée que les propriétés d une totalité dépendent moins de la nature et du nombre d éléments qu ils contiennent que des relations qui s instaurent entre eux. L interaction (ou l interrelation) renvoie à l idée d une causalité non-linéaire. Ce concept est essentiel pour comprendre la coévolution et la symbiose en biologie. Une forme particulière d interaction est la rétroaction (ou feed-back) dont l étude est au centre des travaux de la cybernétique. La totalité (ou la globalité). Si un système est d abord un ensemble d éléments, il ne s y réduit pas. Selon la formule consacrée, le tout est plus que la somme de ses parties. Bertalanffy montre, contre l'avis de Russell qui rejette le concept d'organisme, «qu'on ne peut obtenir le comportement de l'ensemble comme somme de ceux des parties et [qu'on doit] tenir compte des relations entre les divers systèmes secondaires et les systèmes qui les coiffent [pour] comprendre le comportement des parties». E(t) Régulateur Actionneur Capteur S(t) Boucle de rétroaction dans un processus dynamique 12

14 Qu est-ce qu un Système de management? (Première définition) Première définition : d après l ISO 9000, c est un système permettant : D établir des objectifs D établir une politique D atteindre ces objectifs Objectifs Situation actuelle Politique Situation visée 14

15 Qu est-ce qu un Système de management? (Deuxième définition) Deuxième définition plus empirique Ensemble de mesures Permettant Organisationnelles Techniques D atteindre un objectif Une fois atteint, d y rester dans la durée Objectifs Situation actuelle Politique Mesures techniques Mesures organisationnelles Situation visée 15

16 Propriétés des systèmes de management Couvrent un large spectre de métiers et de compétences Concernent tout le monde De la direction générale jusqu en bas de l échelle Se basent sur des référentiels précis Importance du document écrit Sont auditables Quelqu un peut venir vérifier qu il n y a pas d écart entre le système de management et les référentiels 16

17 Conséquences d'un système de management Le fait de travailler sur un système de management implique : Travail transversal Tout le monde est concerné Peuvent être audités Importance de l écrit Chaîne fonctionnelle De la direction générale à l accueil Les processus seront constamment évalués Passage de la tradition orale à la tradition écrite Dans certains cas, un effort culturel important 17

18 Apports d un système de management? Oblige à adopter Augmente donc la fiabilité de l organisme dans la durée Un système de management est auditable de bonnes pratiques De façon pérenne Il apporte la confiance aux parties prenantes Qui dit confiance dit contrats et collaborations de recherche 18

19 Pourquoi mettre en place un système de management? Les systèmes de management sont mis en place Sous la pression des parties prenantes Pour les parties prenantes Qui sont les parties prenantes? (interested parties) Les actionnaires Les autorités de tutelle Les clients Les fournisseurs Les partenaires Le personnel Le public 19

20 Modèle PDCA appliqué au SMSI Parties prenantes (Interested parties) Attentes et exigences de la sécurité de l information Exigences DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Maintenir et améliorer le SMSI Organi sation Act (Améliorer) Management de la sécurité de l information effective Satisfaction Parties prenantes (Interested parties) Système de management Parties prenantes (Interested parties) Partenaires Fournisseurs Clients Pouvoirs publics Services 20

21 Normes dans les systèmes de management Les systèmes de management couvrent un large spectre de métiers et de compétences Systèmes de management de la qualité (SMQ) ISO 9001:2002 Systèmes de management environnemental (SME) Systèmes de management de la santé et la sécurité au travail (SMSST) Systèmes de management de la sécurité de l'information (SMSI) : Systèmes de management de la sécurité des denrées alimentaires (SMSDA) Systèmes de management des services informatiques des organismes ITIL, BS15000 ISO 14001:2004 OHSAS 18001:1999 (n'est pas une norme ISO) ISO/IEC 27001:2005 ISO 22000:2005 ISO :2005 n est pas encore formellement le PDCA Sureté pour la chaîne d'approvisionnement ISO 28000:

23 Sécurité de l'information La SSI est-elle seulement une affaire de sécurité informatique? Réponse : NON Explicitation des choix, des principes organisationnels et des lignes directrices Uniformisation des techniques et méthodes utilisées : référentiel applicatif, définition des produits, outils, méthodes, instructions, dispositif de formation, moyens humains. Niveau stratégique Pilotage de la sécurité Niveau organisationnel Définition des objectifs Prévention des incidents Mise en place des protections Contrôle du système d'information Réaction sur incident Niveau direction Niveau gestion du système d'information Niveau exploitation P Niveau surveillance du système d'information et maintenance D Niveau prise en charge des incidents et analyse C A Normes, règles, plans, procédures, recommandations, structures, Niveau opérationnel Dispositifs techniques de protection et de contrôle, administration système et réseau, outils d'audits et d'analyse des incidents, 23

24 Sécurité de l'information Sécurité de l information (information security) Confidentialité (confidentiality) Intégrité (integrity) Disponibilité (availability) Auxquels ont peut adjoindre d autres caractéristiques Authenticité (authenticity) = authentification + intégrité Imputabilité, auditabilité, traçabilité (accountability) Non répudiation (non-repudiation) Etc. 24

26 Exemple 1 Société implantée dans toute la France Répartition régionale des compétences Antivirus Paris Mises en production Lyon IDS Metz Rennes Paris Orléans Metz Pas de documentation formelle entre les régions Antivirus Pas le mêmes outils pour administrer les antivirus Mises en production Pas faites de la même façon sur les différents sites IDS Pas déployés Toulouse Lyon 26

27 Exemple 2 Un seul site de production Peu de liaisons avec extérieur Ancienneté du personnel Un mot d ordre «On ne touche pas à quelque chose qui marche bien» Ancienneté du personnel Monoculture On ne touche pas à quelque chose qui marche bien Presque pas de correctifs de sécurité Systèmes très vulnérables Impossibilité de façon sécurisée de s ouvrir vers des partenaires. 27

28 Exemple 3 Fourni des services à valeur ajoutée Fournisseur de services Développement, maintenance et support applicatif Gère et maintient les serveurs Héberge l infrastructure et l'accès internet Prestataire A Développement Maintenance applicative Support applicatif Prestataire B Propriété des serveurs Exploitation système Support système Niveau de compétences général très satisfaisant Méfiance du client Pas de contrôle du code source Le fournisseur de services repose sur trop de prestataires Pas de répartition claire des responsabilités en terme de sécurité 28

29 Synthèse des problèmes rencontrés Les 3 sociétés concernées sont très différentes Banque / PME / Industriel Problèmes de nature très variés Techniques / Organisationnels / Culturels Ont tous des conséquences négatives Problèmes d exploitation Retard des projets d ouverture du réseau Risque de perte de marché Ces problèmes pourraient être évités si un SMSI avait été mis en place 29

31 ISO Ex BS Point sur les normes de type ISO2700x IS Risk management Guidelines on principles and implementation of risk management IS ISM guidelines for BS Specification for information security management IS Code of practice for ISM IS ISM implementation guidance IS Information security risk management ISO Exigences pour les systèmes de management environnemental, IS ISMS requirements SMSI IS ISM measurements IS IT Network security (parties 1à 5) telecommunications (ITU-T X.1051) IS Systems security engineering Capability maturity model IS Guidelines for I&CT disaster recovery services IS ISMS fundamentals and vocabulary BS Code of Practice for information security management ISO Exigences pour les organismes procédant à l'audit et à la certification de systèmes de management IS Requirements for bodies providing audit and certification of ISMS ISO 9001 systèmes de management de la qualité ISO Lignes directrices pour l'audit des systèmes de management 31

32 Les documents normatifs National Européen International Les documents français documents normatifs NF : norme française Pr NF : norme en projet documents d information FD : fascicule de documentation GA : guide d application BP : bonnes pratiques documents d accord AC : accord RP : référentiel de bonnes pratiques Les documents documents normatifs EN : norme européenne TS : spécifications techniques documents informatifs TR : rapport technique documents d accord CWA : Cen Workshop Agreement Les documents ISO documents normatifs ISO : norme internationale ISO/FDIS : (F) DIS (Final) Draft International Standard documents informatifs TR : rapport technique 32

33 Le circuit normatif ISO ~ 5 ans SP: NWI: WD: CD: FCD: DIS: FDIS: IS: Study Period New Working Item Working Draft Committee Draft Final Committee Draft Draft for International Standard Final Draft for International Standard International Standard 33

34 ISO/IEC JTC1 ISO/IEC JTC1 SC7 & SC27 & SC36 ISO : International Standardisation Organisation IEC : International Electrotechnical Commission JTC1 : Joint Technical Committee 1 (Information technology / Technologies de l information) SCx : Sous-Comité SC 2 Jeux de caractères codés SC 6 Téléinformatique SC 7 Ingénierie du logiciel et des systèmes SC 17 Identification des cartes et des personnes SC 22 Langages de programmation, leur environnement et interfaces des logiciels de systèmes SC 23 Supports enregistrés numériquement pour échange et stockage d'information SC 24 Infographie, traitement de l'image et représentation des données environnementales SC 25 Interconnexion des appareils de traitement de l'information SC 27 Techniques de sécurité des technologies de l'information SC 28 Équipements de bureau SC 29 Codage du son, de l'image, de l'information multimédia et hypermédia SC 31 Techniques d'identification et de captage automatique des données SC 32 Gestion et échange de données SC 34 Description des documents et langages de traitement SC 35 Interfaces utilisateur SC 36Technologies pour l'éducation, la formation et l'apprentissage SC 37 Biométrie Au sein de l'iso, le JTC1 (Joint Technical Committee 1) est chargé des technologies de l'information. Il rassemble sur ce thème les compétences de l'iso et de la CEI. L'un de ses sous-comités, le SC27, est dédié à la sécurité 34

35 Les groupes de travail ISO/IEC JTC1 SC27 Le SC27 se compose de cinq WG (Working Group) : Le WG1 est chargé de l SMSI (série 2700x), Le WG2 traite des techniques de sécurité (cryptographie), Le WG3 est consacré aux critères d'évaluation de la sécurité, Le WG4 traite des services et mesures de sécurité, Le WG5 traite de gestion de l'identité et technologies de "privacy". 35

37 La normalisation de la SSI Evolutions en cours 1. Passage de la sécurité informatique à la sécurité des systèmes d'information puis à la sécurité de l'information. On passe de notions plutôt techniques à des notions plutôt organisationnelles ou managériales. 2. Importance croissante des approches de conformité et développement des recours à l évaluation et à la certification. La certification peut porter sur des produits et systèmes (Critères Communs:IS 15403), sur des processus (par exemple IS 27001) sur des organisations (par exemple IS 9001) Sur des personnes (IS 27001, CISM, CISSP) 37

38 Normes ISO2700x : historique 1995 BS7799 Dix mesures clé 100 mesures détaillées, potentiellement applicables 1998 Ajout d une partie 2 Notion de SMSI Objectif : Apporter un schéma de certification 2000 ISO 17799: BS7799-2: 2002 Correspond à la BS 7799 partie 1 Pas de notion de SMSI Pas de certification possible Seconde version de la BS

39 Normes ISO2700x : historique Juin 2005 ISO 17799:2005 Nouvelle version de l ISO 17799: 2000 Octobre 2005 ISO 27001:2005 Adoption par l ISO de la BS :2002 Amélioration de la BS Notion de SMSI Possibilité de certification Juillet 2007 ISO ISO devient ISO Rentre dans la terminologie de la série ISO sans changement 39

40 La famille des normes ISO 2700x (septembre 2008) 40

41 Utilisation des normes Pour les tableaux de bord ISO ISO Usage le plus répandu à ce jour Approche très pragmatique Pour les audits ISO Les conclusions font référence à la norme Espéranto de la sécurité Pour adopter les bonnes pratiques ISO ISO Constat objectif que vous adoptez les bonnes pratiques en matière de SSI Permet d'évoluer, le moment venu, vers une certification Risque : non-conformité avec la norme 41

42 Utilisations des normes Pour donner une image de sérieux aux partenaires ISO Constat, extérieur et objectif que vous adoptez les bonnes pratiques en matière de SSI Permet d'évoluer, le moment venu, vers une certification Pour être certifié ISO Constat impartial, objectif et officiel que "vous adoptez les bonnes pratique en matière de SSI" Engagement dans la durée 42

43 Exigence d'une certification Journal officiel de l'union européenne du 25/03/2005, l'annexe du règlement (CE) n 1663/95 est modifiée comme suit : 6 vi)la sécurité des systèmes d'information se fonde sur les critères établis dans une version applicable, pour l'exercice financier concerné, de l'une des normes reconnues sur le plan international ci-après : - Norme de l'iso / Norme britannique BS BSI (système de sécurité allemand) - ISACA COBIT Appel d'offre du dossier médical personnel, 28/07/2005, annexe "Sécurité" La présente annexe défini les objectifs de sécurité et les exigences fonctionnelles de sécurité que les hébergeurs de DMP devront respecter. Elle s'appuie en particuliers sur la norme ISO17799:2005 et la future norme ISO27001 (basée sur la BS7799-2:2002). 43

44 Utilisation des normes Pour réduire les coûts ISO D'après ceux qui ont mis en oeuvre... Mutualisation des audits Diminution d'usage de mesures de sécurité inutiles Processus en lui-même plutôt moins coûteux que d'autres en SSI Pour homogénéiser ISO ISO Référentiel universel, international, sans concurrence Permet des comparaisons entre entités, sites, pays Facilite les échanges d'expérience et la communication interne Facilite les liens avec les autres métiers et les autres référentiels Facilite la communication aux auditeurs hors de la SSI 44

46 Les normes IS principes et vocabulaire Principes : présentation de la famille des normes de la série 2700x. Elles sont liées à l'smsi (Information Security Management System). Des normes techniques y sont rattachées ISO TR 3 à 5, ISO TR sur les principes de la détection d'intrusion, ISO sur la sécurité des réseaux, ISO sur la gestion de la détection d'intrusion, ISO TR sur la gestion d'incident ISO sur la continuité disaster recovery services). Par ailleurs, la norme donne les définitions des termes liés à la série 2700x. 46

47 Le vocabulaire de l'iso 2700x Attention : dans l ISO 2700x, les mots n ont pas toujours le sens donné dans EBIOS. Exemple : exigences de sécurité Dans l ISO , un organisme doit impérativement identifier ses exigences de sécurité essentiellement à partir de trois sources : l appréciation du risque propre à l organisme sur sa stratégie et ses objectifs généraux : l identification des menaces pesant sur les biens, l analyse des vulnérabilités, l évaluation de la vraisemblance des attaques et de leur impact potentiel. l environnement socioculturel d une part, les exigences légales, statutaires, réglementaires, et contractuelles auxquelles l organisme et ses partenaires commerciaux, contractants et prestataires de service, doivent répondre d autre part,. l ensemble des principes, objectifs et exigences métier en matière de traitement de l information que l organisme s est constitués pour mener à bien ses activités. Dans EBIOS, les exigences de sécurité sont décomposés en "exigences fonctionnelles" et "exigences d'assurances" tirés des critères communs 47

48 Le vocabulaire de l'iso 2700x EBIOS Dans EBIOS Besoins de sécurité / Menaces Objectifs de sécurité Exigences de sécurité Tandis que dans ISO 2700x Exigences de sécurité Objectifs de sécurité Mesures de sécurité 48

50 Principes de base pour le SMSI Définir le champ d'application, la politique de le SMSI, choisir une méthode d'évaluation du risque. Identifier et estimer les risques. Déterminer des options pour le traitement des risques (accepter, éviter, transférer, traiter) et les évaluer. Sélectionner des objectifs de mesure de sécurité et des mesures de traitement des risques (Annexe A), préparer une Déclaration d'applicabilité (DdA). Définir et mettre en oeuvre le SMSI. Superviser et contrôler le SMSI. Entretenir et améliorer le SMSI. Nécessité d'une forte implication managériale tout au long du cycle de vie de le SMSI. 50

51 A qui s'adresse le SMSI? Tout types d'organismes visés (IS ) Sociétés commerciales Agences gouvernementales Associations, ONG Indications de la norme génériques (1.2) Applicables à tout type d organisation indépendamment Type, taille, nature de l'activité Objectif général de la norme (1.1) Spécifier les exigences pour Mettre en place, exploiter, améliorer Un SMSI documenté Spécifier les exigences pour la mise en place de mesures de sécurité Adaptées aux besoins de l organisation Adéquates Proportionnées 51

52 Pourquoi? Pour fournir (1.1) Une protection des actifs d information (information assets) Patrimoine informationel, biens sensibles La confiance aux parties prenantes (interested parties) Sous entendu : clients, actionnaires, partenaires, assureurs, etc. Pour maintenir et améliorer Compétitivité Trésorerie (cash flow) Profitabilité Respect de la réglementation Image de marque Précision présente dans la BS :2002 mais a disparu dans l'iso 27001:

53 Les clauses obligatoires Référence aux principes de l'ocde et à l'approche qualité (Roue de Deming : Plan, Do, Check, Act). Le chapitre 4 mentionne les étapes (établir le SMSI, le mettre en œuvre et l exploiter, le contrôler et le réviser, le maintenir et l améliorer). Il décrit aussi les exigences en matière de documents. Le chapitre 5 affirme la responsabilité managériale Le chapitre 6 décrit l organisation des contrôles internes Le chapitre 7 traite de la révision, sous responsabilité managériale, du SMSI Le chapitre 8 porte sur l amélioration du SMSI Le respect des clauses de ces chapitres est indispensable dans le cadre d une certification. En Annexe C, tableau de correspondance entre cette norme et les normes IS9001:2000 (qualité) et IS 14000:2005 environnement) 53

54 Les 5 chapitres qui construisent le SMSI Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI 5 Établissement du SMSI Déployer (Do) Planifier (plan) Roue de Deming Agir (Act) Documentation Mise à jour et amélioration du SMSI 8 Amélioration du SMSI 6 Vérifier (Check) Audits internes du SMSI Surveillance et réexamen du SMSI Réexamen du SMSI par la direction 54

55 Phase PLAN (4.2.1) Sommaire Périmètre du SMSI Politique du SMSI Plan de gestion des risques Méthodologie d'appréciation des risques Identification et évaluation des risques Traitement des risques Réduction des risques à un niveau acceptable Conservation (acceptation) des risques Refus ou évitement des risques Transfert Objectifs de sécurité et mesures de sécurité Déclaration d'applicabilité : DdA (Statement of applicability ou SoA) 55

56 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Définition du périmètre et des limites du SMSI (4.2.1 a) Caractéristique de l entreprise Organisation Situation Techniques Actifs ou biens Exclusions Exemples : Une activité qui est en cours d'élaboration Une partie du système d'information en cours de renouvellement 56

57 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Politique du SMSI Attention (4.2.1 b) En BS7799-2:2002, le terme était «Politique de sécurité» DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Act (Agir) Maintenir et améliorer le SMSI Précise les objectifs Prend en compte la réglementation Prend en compte la gestion de risque Contrôler et réviser le SMSI Check (Contrôler) 57

58 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Définir l'approche d'appréciation du risque (4.2.1 c) Définir une méthodologie d appréciation du risque Décrire les critères d acceptation des risques DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI Identifier les niveaux de risque acceptables 58

59 Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Phase PLAN Objectifs et mesures de sécurité Aucune méthode d'appréciation des risques n est formellement imposée Méthodes maison EBIOS, Méhari ISO Cramm, BSI PD 3002 Octave Nombreux exemples sur Internet Méthode choisie doit assurer Mettre en œuvre et exploiter le SMSI Établir le SMSI Contrôler et réviser le SMSI Maintenir et améliorer le SMSI Que les appréciations du risque produisent des résultats comparables et reproductibles (4.2.1.c) DO (Déployer) Risques résiduels Plan (Planifier) Check (Contrôler) Déclaration d'applicabilité Act (Agir) ISO : gestion du risque (information security risk management) 59

60 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Démarche d'identification des risques (4.2.1 d) Identifier les actifs ou biens (assets) dans le cadre du SMSI Plan Établir le SMSI Identifier leur propriétaire (data owner) DO Propriétaire de l'information Responsable du traitement Identifier les menaces (threats) sur ces actifs Identifier les vulnérabilités (vulnerabilities) qui pourraient être exploitées par une menace Identifier les impacts d une perte de Confidentialité Intégrité Disponibilité (Déployer) Mettre en œuvre et exploiter le SMSI (Planifier) Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 60

61 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Démarche d'analyse et d'évaluation des risques (4.2.1.e) Évaluer l'impact sur l'organisation et son métier des pertes sur les actifs Évaluer la probabilité d occurrence des défaillances de sécurité Plan Estimer les niveaux de risque Établir le SMSI Décider si le risque est acceptable Identifier le traitement du risque possible DO (Déployer) Mettre en œuvre et exploiter le SMSI (Planifier) Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 61

62 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Traitement du risque (4.2.1 f) Appliquer les mesures de sécurité appropriées Accepter le risque (prendre le risque) en toute connaissance de cause de façon objective Éviter ou refuser le risque Transférer le risque Assureurs Fournisseurs DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 62

63 Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Phase PLAN Sélectionner les objectifs de sécurité et les mesures de sécurité (4.2.1 g) En fonction des résultats de l appréciation des risques DO Se servir dans Annexe A de l ISO ISO Objectifs et mesures de sécurité Risques résiduels Aucune des ces mesures n est obligatoire Même si certaines sont, de fait, incontournables En puisant dans cette liste, sûr de ne rien oublier d important Possible de choisir d autres mesures de sécurité, si elles sont absentes de l annexe A (Déployer) Mettre en œuvre et exploiter le SMSI Déclaration d'applicabilité Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 63

64 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Risques résiduels (4.2.1 h) Obtenir l approbation de la direction sur les risques résiduels Sous-entend : identification préalable des risques résiduels Obtenir l autorisation de la direction de (4.2.1 i) Mettre en oeuvre le SMSI Exploiter le SMSI DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 64

65 Phase PLAN Périmètre du SMSI Politique du SMSI Approche d'appréciation des risques Objectifs et mesures de sécurité Risques résiduels Déclaration d'applicabilité Préparer la Déclaration d Applicabilité En anglais : Statement of Applicability En abrégé : la DdA ou le SoA Déclaration qui contient : Mettre en œuvre et exploiter le SMSI (4.2.1 j) Contrôler et Objectifs de sécurité sélectionnés réviser le SMSI Check Mesures de sécurité retenues Raison de leur sélection Mesures de sécurité effectivement mises en place Mesures de sécurité non retenues Raison de leur mise à l écart DdA permet de vérifier que l on n a rien oublié DO (Déployer) Plan (Planifier) Établir le SMSI (Contrôler) Maintenir et améliorer le SMSI (4.2.1.j NOTE) Act (Agir) 65

66 Phase DO (4.2.2) Sommaire Allocation et gestion de ressources Personnes, temps, argent, etc. Formation du personnel concerné Gestion du risque Pour les risques à réduire : Implémenter les mesures de sécurité identifiées dans la phase précédente Assignation des responsabilités Identifier des risques résiduels Pour les risques transférés : assurance, sous-traitance, etc. Pour les risques acceptés et refusés : rien à faire 66

67 Mise en place du SMSI Phase DO Mise en place du SMSI (4.2.2) Elaborer un plan du traitement du risque Mettre en place ce plan Mettre en place les mesures de sécurité sélectionnées Définir la méthode d'évaluation de l'efficacité des mesures de sécurité Définir les indicateurs Programmer les formations et sensibilisations pertinentes Exploiter le SMSI au quotidien Gérer les ressources du SMSI au quotidien Implémenter les procédures relatives à la détection et réponse aux incidents de sécurité 67

68 Vérification de routine Apprendre des autres Audit du SMSI Audits réguliers sur la base de : Documents Conduit à Traces ou enregistrements Tests techniques Phase CHECK (4.2.3) Sommaire Constatation que les mesures de sécurité ne réduisent pas de façon effective les risques pour lesquels elles ont été mises en place Identification de nouveaux risques non traités Tout autre type d'inadaptation de ce qui est mis en place 68

69 Surveillance du SMSI Phase CHECK Exécuter des procédures de surveillance et de réexamen pour (4.2.3.a) Détecter rapidement des erreurs de traitement Identifier rapidement Les failles de sécurité Les incidents de sécurité Ce terme est tiré de l américain «review» souvent traduit paresseusement par «revue». 69

70 Surveillance du SMSI Phase CHECK Permettre à la direction de vérifier que (4.2.3.a.3) Le personnel applique les tâches de sécurité qui lui ont été assignées Les mesures de sécurité fonctionnent comme prévu Cela revient à surveiller qu il n y a pas d écart Humain Technique Lorsque des actions ont été entreprises Vérifier qu elles sont efficaces (4.2.3.b) Mesurer l efficacité des mesures de sécurité (4.2.3.c) DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Act (Agir) Maintenir et améliorer le SMSI 70

71 Surveillance du SMSI Phase CHECK b) Résultats d audits Incidents passés Mesures d efficacité Retours des parties prenantes Réexamen périodique SMSI Corriger Prévenir Améliorer 71

72 Surveillance du SMSI Phase CHECK Réexaminer l'appréciation du risque Périodiquement, à intervalles planifiés Pour s'adapter aux changements D organisation Technologiques D objectifs de l entreprise Des menaces D efficacité des mesures de sécurité De règlementation (4.2.3 d) Effectuer un réexamen de direction du SMSI Périodiquement Vérifier l'adéquation du périmètre du SMSI Identifier des améliorations sur le SMSI Procéder à des audits internes du SMSI (4.2.3 e) DO (Déployer) Mettre en œuvre et exploiter le SMSI Plan (Planifier) Établir le SMSI Contrôler et réviser le SMSI Check (Contrôler) Maintenir et améliorer le SMSI (4.2.3 f) Act (Agir) 72

73 Phase ACT (4.2.4) Sommaire Prendre les mesures résultant des constatations faites lors de la phase de vérification Actions possibles Passage à la phase de planification Si de nouveaux risques ont été identifiés Passage à la phase d'action Si la phase de vérification en montre le besoin Si constatation de non conformité Actions correctives ou préventives Actions entreprises immédiatement Planification d'actions sur le moyen et long terme 73

74 Amélioration du SMSI Phase ACT Améliorer le SMSI (4.2.4) Mettre en place les améliorations identifiées précédemment Entreprendre des actions Correctives Préventives Vérifier que ces améliorations sont efficaces Communiquer ces actions aux parties prenantes concernées 74

75 Documentation Phase ACT La documentation est obligatoire Elle peut prendre plusieurs formes Papier Électronique Il y a deux familles de documentation Les documents Les enregistrements (records) (exemple : les traces) Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI 6 5 Établissement du SMSI Déployer (Do) (4.3.1 NOTE 3) Planifier (plan) Roue de Deming Vérifier (Check) Agir (Act) Documentation Mise à jour et amélioration du SMSI 8 Amélioration du SMSI Audits internes du SMSI Surveillance et réexamen du SMSI Réexamen du SMSI par la direction 75

76 Documentation Phase ACT Documentation explicitement exigée (4.3.1) Politique du SMSI Périmètre du SMSI Procédures et mesures de contrôle pour le SMSI Description de la méthode d'appréciation des risques du SMSI Rapport d'appréciation du risque Plan de traitement du risque Procédures assurant l'efficacité des mesures de sécurité Enregistrements Déclaration d applicabilité 76

77 Documentation Phase ACT Nécessité d une procédure de gestion de la documentation (4.3.2) Approbation des documents avant diffusion Révision, mise à jour et ré-approbation si nécessaire S assurer du suivi de la documentation S assurer que les versions à jour sont disponibles S'assurer que les documents sont lisibles et identifiables S assurer que les documents sont accessibles à ceux qui en ont un besoin d en connaître S assurer que les documents provenant de l extérieur sont identifiés S assurer que la diffusion est contrôlée Empêcher toute utilisation de documents périmés S'assurer qu'ils sont identifiés en cas d'archivage 77

78 Phase ACT Approbation des documents Qu'est-ce qu'un document validé? La personne concernée a "signé" Signé quoi? La politique de sécurité Le rapport de résultat d'analyse de risque Acceptation des risques résiduels A-t-il lu et approuvé? Savoir être souple sur la notion de signature Dossier de cadrage, lettre de mission Commission ou comité directeur ou comité de pilotage Auditeur doit trouver Convocation Ordre du jour Compte-rendu Validation du compte-rendu Sans enregistrements tangibles, pas de maîtrise du SMSI par la direction 78

79 Enregistrements Phase ACT Processus (ISO ) Apporte une valeur ajoutée Éléments en entrée Ensemble d activités Éléments en sortie Enregistrements 79

80 Enregistrements Phase ACT Enregistrements (4.3.3) Fournissent la preuve de la conformité aux exigences du SMSI Il faut Les vérifier Les protéger Gestion doit être conforme A la réglementation Aux exigences contractuelles Intégrité des preuves est de la responsabilité de l'implémenteur Constat d'auditeur = preuve 80

81 Enregistrements Phase ACT Enregistrements (4.3.3) Clairement identifiés Fournis sur demande Documenter comment les enregistrements sont Stockés Protégés Produits Durée d archivage doit être spécifiée 81

82 Phase ACT Responsabilités de la direction Implication (5.1) La direction doit prouver son engagement dans le SMSI en Etablissant la politique du SMSI S assurant que les objectifs sont établis Communiquant au sein de l organisme l importance du SMSI S assurant que des audits internes sont effectués Révisant régulièrement le SMSI Fixant les critères d acceptation des risques et les niveaux de risques acceptables Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI Audits internes du SMSI Déployer (Do) Planifier (plan) Roue de Deming Vérifier (Check) 6 5 Établissement du SMSI Surveillance et réexamen du SMSI Agir (Act) Documentation Réexamen du SMSI par la direction Mise à jour et amélioration du SMSI Amélioration du SMSI 82

83 Phase ACT Responsabilités de la direction Affecter des ressources (5.2.1) Pour En temps En moyens financiers En personnel Établir, mettre en œuvre, Exploiter, surveiller, réexaminer, tenir à jour et améliorer le SMSI Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI 6 Audits internes du SMSI 5 Établissement du SMSI Déployer (Do) Surveillance et réexamen du SMSI Planifier (plan) Roue de Deming Vérifier (Check) Agir (Act) Documentation Réexamen du SMSI par la direction Mise à jour et amélioration du SMSI Amélioration du SMSI 83

84 Responsabilités de la direction Compétences (5.2.2) Déterminer les compétences nécessaires au fonctionnement du SMSI Former le personnel Embaucher du personnel qualifié Surveiller de près La formation La qualification L expérience Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI 5 Établissement du SMSI Déployer (Do) Planifier (plan) Roue de Deming Agir (Act) Documentation Phase ACT 4.3 Mise à jour et amélioration du SMSI 8 Amélioration du SMSI 6 Vérifier (Check) Audits internes du SMSI Surveillance et réexamen du SMSI Réexamen du SMSI par la direction 84

85 Phase ACT Responsabilités de la direction Sensibilisation (5.2.2) La direction doit sensibiliser chacun de L importance de ses taches reliées à la sécurité Dans quelle mesure ils contribuent de façon effective au SMSI Cette sensibilisation peut prendre plusieurs formes Notes de service Affiches dans les lieux communs Mini séances de sensibilisation Enseignement à distance (e-learning) permettant un questionnaire d'évaluation Etc. Déployer (Do) Planifier (plan) Roue de Deming Vérifier (Check) Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI 6 Audits internes du SMSI 5 Établissement du SMSI Surveillance et réexamen du SMSI Agir (Act) Documentation Réexamen du SMSI par la direction Mise à jour et amélioration du SMSI Amélioration du SMSI 85

86 Phase ACT Réexamen de direction du SMSI Réexamen de direction du SMSI (7) Responsabilité de la direction Faite au moins une fois par an Objectif Voir dans quelle mesure il est possible d améliorer le SMSI Responsabilité de la direction 5 Établissement du SMSI Documentation Mise en œuvre et fonctionnement du SMSI Déployer (Do) Planifier (plan) Roue de Deming Agir (Act) Mise à jour et amélioration du SMSI 8 Amélioration du SMSI 6 Vérifier (Check) Audits internes du SMSI Surveillance et réexamen du SMSI Réexamen du SMSI par la direction 86

87 Phase ACT Réexamen de direction du SMSI Résultats d audits du SMSI 7.1, 7.2, 7.3 Retours des parties prenantes État des actions correctives Indicateurs Vulnérabilités ou menaces non traitées Suivi des précédentes Réexamens Réexamen de direction du SMSI Amélioration du SMSI MAJ du plan de gestion de risque Modification des procédures Besoins en ressources Tout changement du SMSI 87

88 Phase ACT Amélioration du SMSI Amélioration continue (8.1) Action corrective (8.2) Action préventive (8.3) Attention aux différences de sens Responsabilité de la direction Mise en œuvre et fonctionnement du SMSI 5 Établissement du SMSI Déployer (Do) Planifier (plan) Roue de Deming Agir (Act) Documentation Mise à jour et amélioration du SMSI 8 Amélioration du SMSI 6 Vérifier (Check) Audits internes du SMSI Surveillance et réexamen du SMSI Réexamen du SMSI par la direction 88

90 ISO27002 Une autre façon d'appréhender la question : 90

91 Exigences de sécurité Les exigences en matière de sécurité proviennent principalement de trois sources : 1. L appréciation du risque propre à l organisme, qui prend en compte sa stratégie et ses objectifs stratégiques. L appréciation du risque permet d identifier les menaces pesant sur les biens, d analyser les vulnérabilités, de mesurer la vraisemblance des attaques et d en évaluer l impact potentiel. 2. Les exigences a) légales, statutaires, réglementaires, et contractuelles auxquelles l organisme et ses partenaires (commerciaux, contractants et prestataires de service), doivent répondre b) issues de l environnement socioculturel. 3. L ensemble de principes, d objectifs et d exigences métier en matière de traitement de l information que l organisme s est constitués pour mener à bien ses activités. 91

92 Des risques aux mesures SSI Exigences légales et réglementaires Exigences métiers et référentiel SSI de l organisme Exigences de sécurité liées aux enjeux ISO27002 Les bonnes pratiques Exigences de sécurité Appréciation du risque Traitement du risque Objectifs de sécurité Mesures de sécurité (techniques et organisationnelles) Dispositifs de sécurité (techniques et organisationnelles) Acceptation Refus Transfert Réduction 92

93 ISO27002 Ensemble de bonnes pratiques Reprennent les recommandations classiques des experts en sécurité Certaines mesures de sécurité sont très générales, d'autres très précises Certaines mesures sont applicables à tout l'organisme, d'autres à un serveur ou une application particulière Donnent des recommandations parfois très larges pouvant inclure d'autres mesures de sécurité Sélectionnées pour réduire un risque à un niveau acceptable à l'issue d'une appréciation des risques 93

94 ISO par rapport à ISO ISO (anciennement ISO 17799) ISO Notes préliminaires 15 pages Articles ou Clauses 10 pages ET Mesures de sécurité Controls (Annexe A) 23 pages Description détaillée des mesures de sécurité 109 pages 94

95 ISO par rapport à ISO ISO Traite des systèmes de management Volumétrie Nombre total de pages : 33 Articles : 10 pages Annexes : 23 pages Traite des systèmes de management Modèle PDCA Usage du verbe SHALL Certification possible Application de tous les articles 4, 5, 6, 7 et 8 obligatoire (1.2) ISO Ne traite pas des systèmes de management Volumétrie Nombre total de pages : 115 Notes préliminaires : 6 pages Liste des mesures de sécurité : 109 pages Ne traite pas des systèmes de management Pas de modèle PDCA Usage du verbe SHOULD Aucune obligation d application Pas de certification 95

96 Mesures de sécurité (Classement) Organisationnel Nombre total de pages : 115 Notes préliminaires : 6 pages Liste des mesures de sécurité : 109 pages 5- Politique de sécurité 15- Conformité 6- Organisation de la sécurité 7- Gestion des actifs 8- Sécurité des ressources des ressources humaines 11 chapitres 39 objectifs de sécurité (control objectives) 133 mesures de sécurité pouvant être appliquées (security controls) 12- Développement et maintenance 11- Contrôle d accès 10- Gestion des communication et de l exploitation 9- Sécurité physique et environnementale 14- Gestion de la continuité 13- Gestion des incidents Ensemble des mesures de sécurité pouvant être appliquées Opérationnel 96

97 Structure de la norme Chaque rubrique principale de sécurité comprend 1. un objectif de sécurité identifiant le but à atteindre, 2. une ou plusieurs mesure(s) pouvant être appliquée(s) en vue d atteindre l objectif de sécurité. La description des mesures est structurée de la manière suivante: Mesure : spécifie la mesure adaptée à l objectif de sécurité. Préconisations de mise en œuvre : propose des informations détaillées pour mettre en oeuvre la mesure et pour atteindre l objectif de sécurité. Il se peut que certaines préconisations ne soient pas adaptées à tous les cas et que d autres solutions s avèrent préférables. Informations supplémentaires présente des compléments d information à considérer, par exemple des éléments juridiques et des références à d autres normes. 97

98 Présentation de l'iso27002 Chapitres 1 à 4 CH. 1 DOMAINE D'APPLICATION CH. 2 TERMES ET DÉFINITIONS CH. 3 STRUCTURE DE L'ISO27002 CH. 4 APPRÉCIATION ET TRAITEMENT DU RISQUE Appréciation du risque lié à la sécurité Traitement du risque lié à la sécurité 98

99 Présentation de l'iso27002 Chapitres 5 et 6 CH. 5 POLITIQUE DE SÉCURITÉ Document issu de la Direction de l entreprise. Définition de la sécurité de l information, de son champ, de ses objectifs et du besoin de sécurité pour permettre l accès partagé à l information. Une déclaration de la Direction soutenant buts et principes du projet. Définition des responsabilités générales et spécifiques. CH. 6 - ORGANISATION DE LA SÉCURITÉ Existence d un «forum de gestion de la sécurité». (mise à jour de la politique de sécurité, évolution significative des risques et menaces, incidents de sécurité). Dans une grande entreprise, une structure transverse permet de coordonner les mesures de sécurité (analyse des risques, sensibilité de l'information, incidents ). Traitement de l'organisation concernant les accès de tiers à l'information ou la sous-traitance 99

100 Présentation de l'iso27002 Chapitres 7 à 9 CH. 7 GESTION DES ACTIFS Recensement et imputabilité des actifs. Classification de l'information en terme de sensibilité et de criticité. CH. 8 RESSOURCES HUMAINES Introduction de la sécurité dans les descriptions de postes. Contrôles lors du recrutement ou de l'affectation à un poste. Clauses de confidentialité, de sécurité, formation et sensibilisation. Traitement des incidents. CH. 9 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE Domaines de sécurité et périmètre de sécurité (contrôles, conditions de travail, cas des livraisons ou des expéditions). Équipement de sécurité. Contrôles généraux (bureau net, destruction ou enlèvement de produits). 100

101 Présentation de l'iso27002 Chapitre 10 CH. 10 GESTION DE L'EXPLOITATION ET DES COMMUNICATIONS Procédures et responsabilités associées. Protection contre les logiciels "malicieux" (virus, vers, chevaux de Troie). Sauvegardes, traces, traitement des incidents. Gestion du réseau. Échanges d'informations ou de logiciels (dispositions contractuelles, transport, courrier électronique). 101

102 Exemple de mesures Protection contre les codes malveillants et mobiles ISO27001 A.10.4 Objectif : To protect the integrity of software and information. Protéger l'intégrité des logiciels et de l'information. Prévention et détection des code malveillants et mobiles Code mobile : au sens code mobile à l'insu des utilisateurs et exploitants du système d'information Systèmes d'information vulnérables aux virus, vers, chevaux de Troie, bombes logiques... Plus généralement, les logiciels qui ne sont pas sollicités Utilisateurs doivent être conscients des dangers des codes malveillants Responsables doivent mettre en oeuvre les mesures de sécurité permettant d'éviter, de détecter et d'éliminer les codes malveillants et mobiles 102

103 Exemple de mesures Protection contre les codes malveillants et mobiles A Mesures : Des mesures de détection, de prévention et de recouvrement pour se protéger des codes malveillants ainsi que des procédures appropriées de sensibilisation des utilisateurs doivent être mises en œuvre Protection contre les codes malveillants : Lutte anti-virale Lutte anti spyware etc Mesure de sécurité à la fois organisationnelle et technique Test technique conseillé lors de l'audit (IS D.1) Echantillon de serveurs, PC, passerelles et systèmes de contrôle de contenu 103

104 Pour chaque mesure prévoir un contrôle Exemple de mesures Protection contre les codes malveillants et mobiles Contrôle de la politique de prévention et détection des code malveillants et mobiles : Détermination du niveau de protection du Système d'information : Sur les plans organisationnel : vérification que des mesures indispensables comme l'existence d'une charte d'utilisation et d'un plan de sensibilisation des utilisateurs sont mis en œuvre. Sur le plan procédural : vérification, par une analyse documentaire et des entretiens, si l'intégration de l'infrastructure de lutte antivirale au sein du système d'information répond théoriquement aux règles de sécurité (cloisonnement, contrôle des flux, détection antivirale, complémentarité des logiciels utilisés, etc.). Sur le plan technique : Le contrôle porte sur certains points essentiels tels que le paramétrage des suites logicielles employées (reconnaissance de virus, mise en quarantaine, détection de virus, alertes, etc.) et la vérification des mises à jour (notamment pour les postes clients distants et les postes nomades). 104

105 Présentation de l'iso27002 Chapitre 11 CH. 11 CONTRÔLE D'ACCÈS Politique de contrôle d'accès. Gestion des accès utilisateurs (enregistrement, habilitation, authentifiant). Responsabilités des utilisateurs. Contrôle de l'accès aux réseaux et services, aux systèmes d'exploitation et aux applications. Cas des mobiles et du télétravail. Gestion des systèmes de contrôle et réactivité (traces, analyses, risques). 105

106 Exemple de mesures Gestion des accès des utilisateurs A.11.2 Objectif : Contrôler l accès des utilisateurs autorisés et empêcher les accès non autorisés aux systèmes d information Contrôle des droits d'accès aux systèmes et services d information par des procédures formelles. Ces procédures doivent couvrir toutes les étapes du cycle de vie de l accès utilisateur, depuis l enregistrement initial des nouveaux utilisateurs jusqu à la désinscription des utilisateurs pour lesquels l accès aux systèmes et services d information est devenu inutile. Les privilèges permettant de contourner les mesures de sécurité doivent être surveillés. 106

107 Exemple de mesures Gestion des accès des utilisateurs A Mesure : Une procédure formelle d inscription et désincription des utilisateurs destinée à accorder et à supprimer l accès à tous les systèmes et services d information doit être définie. Mesure organisationelle Procédures pour les ouvertures et fermetures des comptes des utilisateurs Systèmes multi-utilisateurs, domaines Windows, annuaire, applications Besoin d'une approbation de la direction Doit se conformer à la politique, et à la notion de segregation of duties (A ) ( c) 107

108 A : Exemple de mesures Gestion des accès des utilisateurs Signature d'une charte spécifique pour l'accès Buts : pas de redondance, d'accès inutiles, de comptes de groupe Très mauvais, notamment pour tracer les actions suspicieuses Désactivation (ou désinscription) importante La procédure doit inclure ce point, à faire immédiatement Fréquent d'avoir des utilisateurs qui n'ont pas utilisé leur compte depuis longtemps Mais l'accès existe toujours Le mot de passe est peut être ancien ou connu Son propriétaire n'est plus sous contrat Les comptes temporaires sont souvent faibles 108

109 Exemple de mesures Gestion des accès des utilisateurs Contrôle de la gestion des habilitations Pour chaque mesure prévoir un contrôle Sur le plan procédural : la définition et cohérence des profils définis au niveau des ressources ciblées (applications, systèmes, composants réseaux, ) ; les modalités d'attribution de ces profils (qui établit la demande? qui la valide? qui la traite? qui la contrôle?) ; la cohérence entre la base d'habilitations et les utilisateurs autorisés (les identités stockés au niveau du ou des référentiels) à intervenir, et les moyens de la contrôler périodiquement ; la traçabilité des actes d'habilitation et des actions entreprises par les utilisateurs (piste d'audit) ; 109

110 Pour chaque mesure prévoir un contrôle Contrôle de la gestion des habilitations Sur le plan technique : Exemple de mesures Gestion des accès des utilisateurs les Autorisations à travers les permissions sur les fichiers et les répertoires en fonction des profils attribués (accès aux données sensibles, mécanismes de conservation, journalisation, etc.) ; la vulnérabilité et la complexité des référentiels existants (annuaires, bases de compte,..) ; les mécanismes utilisés (Authentification des utilisateurs, confidentialité des échanges, ) ; l'interopérabilité des plates-formes (systèmes, annuaires, BdD,..) ; les risques liés à la localisation des bases de données et leurs interactions avec les autres composants de l'architecture applicative, les risques liés à la propagation de l'identité (cookies, requêtes, formulaires, etc.), etc. 110

111 Présentation de l'iso27002 Chapitre 12 CH. 12 DÉVELOPPEMENT ET MAINTENANCE DES SYSTÈMES Spécifications et analyse des exigences de sécurité. Sécurité des applications (validation des données entrantes et sortantes, authentification des messages, contrôles de fonctionnement et d intégrité). Contrôles basés sur la cryptographie (chiffrement, signature, non-répudiation, gestion des clés). Sécurité des fichiers et des données système. Sécurité du développement et procédures de soutien (dont contrôles d évolution, recherche des canaux cachés et des chevaux de Troie). 111

112 Exemple de mesures Audit de code Il est important de suivre une démarche qui prenne en compte la sécurité depuis la phase de spécification jusqu à la phase de validation (recette). Interactions avec le système Bogue de format Débordement de mémoire Race conditions Cross Site Scripting Injections de code SQ.L Vulnérabilités liées à des interactions entre le système et l appréciation qui peuvent être détournées. Vulnérabilités liées aux fonctions de formatage des chaînes de caractères et permettant de modifier la mémoire du processus Vulnérabilités liées au débordement d un espace mémoire dans une application et permettant de modifier la mémoire du processus Vulnérabilités liées à une mauvaise protection des données par une application permettant à un pirate d y accéder Vulnérabilités liées aux applications Web permettant d injecter du code javascript dans une page renvoyée par le serveur Vulnérabilités permettant d injecter du code SQL dans une application 112

113 Présentation de l'iso27002 Chapitres 13 à 15 CH. 13 GESTION DES INCIDENTS DE SÉCURITÉ Signalement des évènements et des failles liés à la SSI CH. 14 GESTION DE LA CONTINUITÉ Procédures de gestion. Exigences et analyses d impact. Élaboration et mise en place des plans de continuité. Tests et mises à jour des plans. CH CONFORMITÉ Exigences légales et réglementaires (copyright, traces et valeur probante, informations nominatives, cryptologie). Compatibilité avec la politique de sécurité. Contrôle des audits et protection des outils associés 113

114 Exemple de mesures Plan de continuité A.14 Deux questions essentielles : les activités critiques de l'unité sont elles actuellement correctement prises en considération? l'ensemble du dispositif de secours actuel est-il validé par des tests satisfaisants? 114

115 Exemple de mesures Plan de continuité A.14 Appréciation des risques pour le PCA / PRA Analyse d'impact sur l'activité (BIA) Mesures Mesures Mise en place d'un PCA hot site; cold site; warm site Mesures Tests Checklist Simulation Parallèle Réel Mesures 115

116 Étude de cas Il n'est pas possible (ni souhaitable) de passer en revue les 133 mesures de sécurité de l'iso Nous n en examinerons que quelques une à l occasion de cette étude ce cas. Le laboratoire UMR007, classé ES, a décidé d'adopter une démarche zéro-papier, l'ensemble des documents de travail ne sont disponibles que sous forme électronique à toutes les étapes de leur cycle de vie. Il veut donc permettre à ses membres (chercheurs, techniciens et administratifs) de travailler avec un ordinateur portable comme poste même quand ils ne sont pas dans leur bureau. Il souhaite d'autre part offrir à ses visiteurs une possibilité de connexion à Internet. Il faut donc mettre en place un réseau WiFi qui donne accès soit À un réseau d accueil pour les visiteurs, étanche vis-à-vis du réseau interne Au réseau interne 116

117 Echelle et abaque Exemple d'échelle valeur négligeable : les effets ne sont pas décelables 0 valeur faible : affecte essentiellement les éléments de confort 1 valeur significative : affaibli la performance, affecte l unité dans son ensemble 2 valeur élevée : affecte l organisme 3 valeur critique : mets en danger les missions essentielles de l organisme 4 117

118 Actifs impactés par le WiFi Dans un premier temps, nous rechercherons les mesures de sécurité supplémentaires à implémenter pour sécuriser les nouveaux accès au réseau liés à la mise en place du WiFi. Pour cela nous allons évaluer les risques sur les actifs de soutien en tenant compte des mesures de sécurité déjà en place - sans qu il soit nécessaire d entrer dans les détails des actifs primordiaux. Actifs Propriétaire Valorisation C I D Actifs Propriétaire Valorisation C I D Réseau WiFi Administrateur système Val = Max (3, 3, 3) = 3 Réseau Interne de l unité Administrateur système Val = Max (3, 3, 3) = 3 Ordinateurs portables Utilisateur Val = Max (3, 1,1) = 3 Données de gestion des utilisateurs Administrateur système Val = Max (3, 2,1) = 3 118

119 Appréciation et traitement du risque Nom Actif Val. Menace Probabilités d occurrence Facilité Exploitation Vulnérabilités Conséquences ou impact Niveau de risque Traitement du risque Réseau WiFi 3 Utilisation du réseau par des personnes non identifiées Élevée Facile Difficulté d identifier à l avance les utilisateurs invités Gaspillage de la bande passante Utilisation de la connexion réseau à des fins frauduleuses ou même criminelles engageant la responsabilité de l organisme Atteinte à l image de professionnalisme du CNRS Enregistrement des utilisateurs Politique relative à l utilisation des services en réseau Définir une procédure formelle de gestion des utilisateurs du réseau WiFi qui donne des droits différents aux visiteurs et au personnel permanent : Le personnel permanent pouvant accéder au réseau interne Les personnes invitées, sans accès au réseau interne et ne pouvant utiliser qu un nombre restreint de service réseau Réseau WiFi 3 Brouillage des ondes Interception du signal Enlèvement d une session Élevée Facile Faiblesse du protocole nature des ondes Indisponibilité du réseau WiFi à des moments cruciaux Usurpation de droits permettant d accéder, de modifier ou de détruire des données sensibles Écoute de communications sensibles Informatique mobile et télécommunications Utilisation du protocole WPA 2 119

120 Appréciation et traitement du risque Nom Actif Val. Menace Probabilités d occurrence Facilité Exploitation Vulnérabilités Conséquences ou impact Niveau de risque Traitement du risque Données de gestion des utilisateurs 3 Atteinte à la confidentialité Moyenne Moyenne Faible sensibilisation sur les risques encourus Données mal protégées Risque juridique Protection des données et confidentialité des informations relatives à la vie privée Respect de l obligation légale de protection des données personnelles Ordinateurs portables 3 Vol Moyenne Moyenne Caractère mobile de la machine Perte des données que contient la machine Atteinte à la confidentialité de ces données Informatique mobile et télécommunications Politique d utilisation des mesures cryptographiques Chiffrement total du disque dur, mise en place d une procédure de recouvrement. Réseau interne de l unité 3 Accès au réseau interne à partir du réseau WiFi de personnes non authorisées Élevée Facile Interconnexion du réseau WiFi et du réseau interne de l unité Accès aux ressources de l unité Accès aux informations confidentielles Authentification de l utilisateur pour les connexions externes Cloisonnement des réseaux Authentification sur le serveur Radius Segmentation du réseau. En particulier du réseau interne par rapport au réseau externe. 120

121 Risques résiduels Actif Risques résiduels Traitement du risque Nom Val. Type du risque résiduel Probabilités d occurrence Facilité Exploitation Niveau de risque Réseau WiFi Enregistrement des utilisateurs Politique relative à l utilisation des services en réseau Utilisation d une vulnérabilité du protocole pour obtenir un accès au réseau WiFi Utilisation d un identifiant «prêté» ou volé pour obtenir un accès au réseau WiFI Faible Difficile 3 Réseau WiFi Informatique mobile et télécommunications Utilisation du protocole WPA 2 Utilisation d une vulnérabilité du protocole Faible Difficile 3 Données de gestion des utilisateurs Protection des données et confidentialité des informations relatives à la vie privée Respect de l obligation légale de protection des données personnelles En principe, il n y plus de défaut de protection des données à caractère personnel 0 121

122 Risques résiduels Actif Risques résiduels Traitement du risque Nom Val. Type du risque résiduel Probabilités d occurrence Facilité Exploitation Niveau de risque Ordinateurs portables Informatique mobile et télécommunications Politique d utilisation des mesures cryptographiques Si les disques sont totalement chiffrés, il n y a plus de risque résiduel significatif (en dehors d une manipulation transgressive de l utilisateur) 0 Réseau interne de l unité Authentification de l utilisateur pour les connexions externes Cloisonnement des réseaux Authentification sur le serveur Radius Segmentation du réseau. En particulier du réseau interne par rapport au réseau externe. Utilisation d une vulnérabilité du serveur radius Usurpation d une identité (utilisation du mot de passe communiqué à un tiers) Faible Difficile 3 122

123 Mesures sélectionnées N de la mesure Titre du paragraphe PSSI Bonnes pratiques Métier Analyse de risque Mesures déjà en place Document de politique de sécurité de l information Implication de la direction vis-à-vis de la sécurité de l'information Coordination de la sécurité de l'information Attribution des responsabilités en matière de sécurité de l information Inventaire des actifs Propriété des actifs Responsabilités de la direction Sensibilisation, qualification et formations en matière de sécurité de l information Responsabilités en fin de contrat Restitution des actifs Retrait des droits d accès Suite dans la déclaration d applicabilité 123

124 Examen de quelques mesures de sécurité sélectionnées A Politique de sécurité de l information A Organisation interne A.7 - Gestion des actifs A.9 - Sécurité physique et environnementale A.10 - Gestion de l exploitation et des télécommunications A Gestion des accès des utilisateurs A Utilisation du mot de passe A Authentification des utilisateurs pour les connexions extérieures A Cloisonnement des réseaux A Contrôle du routage réseau A Identification et authentification des utilisateurs A Déconnexion des sessions A Bon fonctionnement des applications A Gestion des clés A Vulnérabilités techniques A Conformités 124

125 Politique de sécurité de l information A.5.1 Objectif : Apporter à la sécurité de l information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur Il convient que la direction définisse des dispositions générales claires en accord avec ses objectifs et qu elle démontre son soutien et son engagement vis-à-vis de la sécurité de l information en mettant en place et maintenant une politique de sécurité de l information pour tout l organisme. 125

126 Politique de sécurité ISMS policy or security policy A Mesure : Un document de politique de sécurité de l information doit être approuvé par la direction, puis publié et diffusé auprès de l ensemble des salariés et des tiers concernés. Politique du SMSI ou politique de sécurité Document court qui doit fixer Portée du document ou périmètre du SMSI Fait que la politique est applicable et communiquée à tous (5.1.1) Objectifs Buts poursuivis par la direction en SSI (5.1.1.b) Conformité réglementaire (5.1.1.d.1) Conformité ISO Politiques spécifiques applicables (5.1.1.f) Répartition des responsabilités (5.1.1.e) Réexamen régulièr (5.1.2) 126

127 Organisation interne A.6.1 Objectif : Gérer la sécurité de l information au sein de l organisme Il convient d établir un cadre de gestion pour initialiser, puis contrôler la mise en oeuvre de la sécurité de l information au sein de l organisme. Il convient que la direction approuve la politique de sécurité de l information, attribue les rôles liés à la sécurité, puis coordonne et réexamine la mise en oeuvre de la sécurité à travers l organisme. Si nécessaire, il convient de créer un pôle de conseil spécialisé dans le domaine de la sécurité de l information et de le mettre à la disposition de tous dans l organisme. Il convient de développer des contacts avec des spécialistes externes de la sécurité, y compris avec les autorités compétentes, afin de suivre les tendances industrielles et les méthodes d appréciation existantes, de mettre en place une veille normative et de créer des points de contact adaptés au traitement d incidents liés à la sécurité de l information. Il convient de favoriser une approche multidisciplinaire de la sécurité de l information. 127

128 Organisation interne A.6.1 Objectifs : Implication de la direction vis-à-vis de la sécurité de l'information Coordination de la sécurité de l'information Attribution des responsabilités en matière de sécurité de l information Système d autorisation concernant les moyens de traitement de l information Engagements de confidentialité (Confidentiality agreements) Relations avec des groupes de spécialistes (Contact with special interest groups) Réexamen indépendant de la sécurité de l information 128

129 Gestion des actifs A Inventaire des actifs Identifier les propriétaires des actifs " Tous les actifs doivent être clairement identifiés et un inventaire de tous les actifs importants doit être réalisé et géré. " Bref : Ne pas tout inventorier à tout prix Propriété des actifs Mesures Mesures Donnée de façon formelle et exprimée en termes d'dic Penser à la durée de la classification Utilisation correcte des actifs Mesures Physique et logique, transferts de fichiers etc. 129

130 Sécurité physique et environnementale A Zones sécurisées Protéger les accès physiques aux salles machines 9.2 Sécurité du matériel Maintenance Alimentation Air conditionné Sortie d'un actif Objectifs Mesures Objectifs Un matériel, des informations ou des logiciels ne doivent pas être sortis des locaux de l organisme sans autorisation préalable. 130

131 Gestion de l exploitation et des télécommunications A Procédures et responsabilités liées à l'exploitation Documentation des procédures d'exploitation Procédures de gestion des incidents Séparation des environnements de production et de développement 10.3 Planification et acceptation du système Calibrage pour montée en charge Procédures de mise en production Objectifs Objectifs 131

132 Surveillance (Monitoring) A Objectif : To detect unauthorized information processing activities. Détecter les traitements non autorisés de l'information. Notion de journalisation divisée en plusieurs mesures A Audit logging A Monitoring system Use Journaliser l'utilisation des systèmes de traitement de l'information Appréciation des risques donne la carte de journalisation Cette politique doit être réexaminée selon le modèle PDCA Définir les rôles quand à la gestion des journaux Séparation des rôles : celui qui inspecte les journaux ne doit pas faire partie des rôles dont l'activité est journalisée A Clock synchronisation Indispensable à tout traitement de journalisation (corrélation horaire) 132

133 Journaux d'audit Audit logging A Mesure : Les journaux d audit, qui enregistrent les activités des utilisateurs, les exceptions et les événements liés à la sécurité doivent être produits et conservés pendant une période préalablement définie afin de faciliter les investigations ultérieures et la surveillance du contrôle d accès. Que journaliser? Garder les journaux pour des investigations Savoir répondre à : Qui? Où? Quoi? A fait quoi? Quand? Pendant un temps donné, long Il peut être nécessaire d'archiver complètement Utiliser les journaux pour inspecter notamment le contrôle d'accès Tableaux de bord Alertes Violations de contrôle d'accès réseau, accès utilisateur, etc. 133

134 Journaux d'audit Dans le cas du contrôle d'accès : Identification de l'utilisateur Horodage du début et de la fin Terminal ( c) Accès rejeté ou accepté Eventuellement : Utilisation de privilèges Actions ( f) h) l) ( a) ( d) e) ( g) ( b) Situation "habituelle" Journaux par défaut Sous Windows : (selon les versions) aucune Sous Unix : événements système standards Pas d'envoi vers un système dédié à l'archivage et le monitoring S'il y a compromission, aucune confiance à accorder aux journaux Temps de garde très léger Deux jours, au mieux une semaine Ou lorsqu'une certaine taille est atteinte A

135 Journaux d'audit A Bonnes pratiques Penser la journalisation au début du projet Produire des journaux Systèmes Journaux des applications (ex: logs de serveur web) Journaux applicatifs Attention à la charge des logiciels (ex: accounting dans les bases Oracle) Les envoyer vers une machine d'archive Les archiver, les sauvegarder Voir les dispositions légales concernant certains types d'information Test technique possible lors de l'audit (IS D.1) 135

136 Gestion des accès des utilisateurs A.11.2 Objectif : Contrôler l accès des utilisateurs autorisés et empêcher les accès non autorisés aux systèmes d information Contrôle des droits d'accès aux systèmes et services d information par des procédures formelles. Ces procédures doivent couvrir toutes les étapes du cycle de vie de l accès utilisateur, depuis l enregistrement initial des nouveaux utilisateurs jusqu à la désinscription des utilisateurs pour lesquels l accès aux systèmes et services d information est devenu inutile. Les privilèges permettant de contourner les mesures de sécurité doivent être surveillés. 136

137 Gestion des privilèges Privilege management A Mesure : L attribution et l utilisation des privilèges doivent être restreintes et contrôlées. Dans la continuité de la gestion des accès des utilisateurs Suit le même type de procédure que pour l'autorisation d'accès Notamment pour la supprimer! Privilège minimum (need-to-use basis) En fonction des besoins pour le rôle attribué Exemples Administrateurs de bases de données vs Comptes Administrateur/Root Test technique possible lors de l'audit (IS D.1) 137

138 Révision des droits d'accès des utilisateurs Review of user access rights A Mesure : La direction doit réexaminer les droits d accès utilisateurs à intervalles réguliers par le biais d un processus formel. Procédures ne sont pas toujours scrupuleusement respectées : Ajouts de compte «rapidement» Modifications de privilèges temporaires Pour tests Pour une application «qui ne veut pas fonctionner» Vérification périodique (6 mois, 1 an) Des bases de comptes Des privilèges accordés 138

139 Utilisation du mot de passe Password use A Mesure : Il doit être demandé aux utilisateurs de respecter les bonnes pratiques de sécurité lors de la sélection et de l utilisation de mots de passe. Pas toujours facile à mettre en oeuvre entièrement Et à contrôler Des règles Les garder confidentiels! (notamment, ne pas les partager) Cela se détecte Ne pas les écrire Sauf dans un coffre fort, en cas d'urgence, notamment pour les comptes privilégiés 139

140 Utilisation du mot de passe A Des règles (suite) Les changer régulièrement A la première utilisation (mot de passe initial) En fonction du temps ou du nombre d'utilisations La qualité des mots de passe : Longs Pas que des lettres, que des chiffres Mais tout de même facile à retenir ( d) 1) Sinon, ils seront écrits «sous le clavier» 140

141 Utilisation du mot de passe A Le risque : Démonstration % john -show passwd-file soleil:user1 vacances:user2 password:user3 nom_societe:user4 azerty:user5 prenom:user6 nicolas:nicolas (...) 130 passwords cracked, 54 left 141

142 Authentification des utilisateurs pour les connexions externes User authentication for external connections A Mesure : Des méthodes d authentification appropriées doivent être utilisées pour contrôler l accès des utilisateurs distants. Contrôle des accès distants, VPN, etc Appréciation des risques donnera la méthode d'authentification adéquate à employer Identifiant / Mot de passe Challenge/response Calculettes (Tokens) Certificats Call-back pour les accès RTC Test technique conseillé lors de l'audit (IS D.1) 142

143 Protection des ports de diagnostique et de télémaintenance Remote diagnostic and configuration port protection A Mesure : L accès physique et logique aux ports de diagnostic et de configuration à distance doit être contrôlé Ports de télémaintenance Très répandu, et pratiquement systématique dans : Les périphériques télémaintenus SAN Les applications complexes Logiciels clef en main ERP Les équipements réseau Plus ils sont complexes, plus il y a de chance d'avoir besoin d'un accès 143

144 Protection des ports de diagnostique et de télémaintenance A La situation classique : Modem branché sur le port AUX d'un routeur Modem sur un système La connaissance du numéro de téléphone, et éventuellement d'un mot de passe donne un accès administratif! Problèmes Contrôler l'accès Est-ce la bonne société? Est-ce la bonne personne? Corollaire, le tracer S'il y a un problème, cela vient il de cet accès? Pourquoi? Par qui? 144

145 Protection des ports de diagnostique et de télémaintenance A Solutions Politique d'accès stricte Accès permanent Accès sur demande Selon une politique d'accès Sur autorisation du responsable du système/process en question Gestion des login/mot de passe Utilisation d'une passerelle unique pour l'accès Permet de forcer "qui a accès à quoi, quand" Accès par VPN sur Internet ou par modem Test technique conseillé lors de l'audit (IS27006 D.1) 145

146 Cloisonnement des réseaux Segregation in networks A Mesure : Les groupes de services d information, d utilisateurs et de systèmes d information doivent être séparés sur le réseau. Aspect fondamental de la construction des réseaux Test technique possible lors de l'audit (IS27006 D.1) Ce qu'il ne faut pas faire : Un grand réseau «avec tout le monde dedans» Postes de travail (tous!) Serveurs Equipements réseau Plusieurs réseaux, mais routés entre euxyy 146

147 Cloisonnement des réseaux A Ce qu'il faut faire Diviser en plusieurs entités logiques (modules) Postes de travail de chaque section ou département ou groupement de responsabilités Serveurs selon la fonction Serveurs selon le type : applicatif, middleware, bases de données Construire le réseau selon ces entités Déterminer une politique d'accès entre ces modules Liste des flux Configurer cette politique dans les équipements réseau qui le construisent Filtres IP Routeurs Commutateurs (VLANs) 147

148 Cloisonnement des réseaux A Postes administration Postes chercheurs Serveurs administration Serveurs métier Equipe informatique 148

149 Contrôle du routage réseau Network routing control A Mesure : Des mesures du routage des réseaux doivent être mises en œuvre afin d éviter que les connexions réseau et les flux d informations ne portent atteinte à la politique de contrôle d accès des applications métier Contrôle de routage réseau contrôle d'accès réseau --- filtrage sur le périmètre du réseau Filtrage IP et relayage applicatif Appliqué dans les routeurs ou firewalls ou passerelles Entre les réseaux à protéger et les autres réseaux Test technique conseillé lors de l'audit (IS D.1) Vérification des configurations de filtrage IP et tests sur le réseau d'un échantillon de firewalls, routeurs, serveurs, etc 149

150 Contrôle du routage réseau A Le contrôle d'accès réseau utilise deux techniques : Filtrage IP : sécurité appliquée dans la couche réseau Base de la sécurité réseau Contrôle dans les protocoles à travers les couches réseau Identification de la machine, du réseau ou de l'équipement Relayage applicatif : sécurité appliquée dans la couche application Authentification de l'utilisateur Contrôles applicatifs Filtres sur mesure dans les protocoles Techniques complémentaires Bonne architecture 150

151 Contrôle du routage réseau A Filtrage IP : base de la sécurité réseau Contrôle dans les protocoles à travers les couches réseau Identification de la machine, du réseau ou de l'équipement APPLICATION PRESENTATION SESSION TRANSPORT RESEAU LIAISON DE DONNEES PHYSIQUE RESEAU LIAISON DE DONNEES PHYSIQUE APPLICATION PRESENTATION SESSION TRANSPORT RESEAU LIAISON DE DONNEES PHYSIQUE Client Routeur Serveur 151

152 Contrôle du routage réseau A Filtrage IP se base sur Interfaces d'entrée et de sortie du routeur ou firewall Adresse IP source et destination Protocole (TCP, UDP, ICMP) Port TCP/UDP source et destination, ou type de message ICMP Numéro de service RPC Connexions déjà établies Reconnaissance de protocole encapsulée dans un autre protocole comme sur HTTP Taille et nombre par seconde des paquets IP 152

153 Contrôle du routage réseau A Relayage applicatif Authentification de l'utilisateur Contrôles applicatif et analyse de contenu Filtres sur-mesure dans les protocoles APPLICATION PRESENTATION SESSION TRANSPORT RESEAU LIAISON DE DONNEES PHYSIQUE APPLICATION PRESENTATION SESSION TRANSPORT RESEAU LIAISON DE DONNEES PHYSIQUE APPLICATION PRESENTATION SESSION TRANSPORT RESEAU LIAISON DE DONNEES PHYSIQUE Client Routeur Serveur 153

154 Contrôle du routage réseau Contrôle d'accès réseau complété par une bonne architecture de sécurité A Interface entre le réseau interne et les autres réseaux (11.4 a) Architecture en strates Authentification des utilisateurs et équipements (11.4 b) Contrôle des accès des utilisateurs aux services (11.4 c) 154

155 Identification et authentification des utilisateurs User identification and authentication A Mesure : Un identifiant unique et exclusif doit être attribué à chaque utilisateur et une technique d authentification doit être choisie, permettant de vérifier l identité déclarée par l utilisateur. Deux points importants : Identification unique de chaque utilisateur Permettant d'assurer l'auditabilité individuelle des actions réalisées afin, par exemple, de responsabiliser chaque individu. Choix d'une technique d'authentification qui assure que l'utilisateur présentant un identifiant est bien l'utilisateur correspondant (IS D.1) Test technique conseillé lors de l'audit 155

156 Identification et authentification des utilisateurs Exemple avec l'administration Unix Utilisation du compte root ou un compte privilégié admin Le mot de passe est partagé Même s'il est possible de savoir d'où vient la connexion, l'administrateur n'est pas identifié Une solution : SSH + SUDO Démonstration SSH permet une authentification forte, interdisant le compte root Des utilisateurs sont créés sur le système, autant que d'administrateurs Ils utilisent leurs comptes personnels Et l'utilitaire sudo permet une gestion fine des droits et la journalisation Oct 30 16:01:42 srv2 sudo: nicolas : TTY=ttyp6 ; PWD=/home/nicolas ; USER=root ; COMMAND=/bin/cat /etc/passwd 156

157 Déconnexion des sessions Session time-out A Mesure : Les sessions inactives doivent être déconnectées après une période d inactivité définie. Concerne tous les accès, y compris applicatifs Dépassement du temps d'inactivité par défaut dans les connexions déportées Définir la période adéquate Compromis convivialité / sécurité Test technique possible lors de l'audit (IS D.1) Différent du verrouillage d'un terminal (11.3.2) 157

158 Bon fonctionnement des applications A.12.2 Objectif : Empêcher toute erreur, perte, modification non autorisée ou tout mauvais usage des informations dans les applications Pour garantir un bon traitement des informations, il convient d intégrer des mesures appropriées dans les applications, y compris dans les applications mises au point par les utilisateurs. Il convient que ces mesures prévoient la validation des données d entrée, du traitement interne et des données de sortie. Des mesures supplémentaires peuvent être requises pour les systèmes qui traitent ou qui ont une incidence sur les informations sensibles, critiques ou ayant une valeur pour l organisme. Il convient que ces mesures soient déterminées sur la base des exigences de sécurité et l appréciation du risque 158

159 Contrôle des données en entrée Input data validation A Mesure : Les données entrées dans les applications doivent être validées afin de vérifier si elles sont correctes et appropriées. Concept fondamental : Toutes les entrées d'une application doivent être vérifiées Concept néanmoins simple : S'assurer qu'une information est bien du type attendu Exemples Un prix ne peut dépasser une valeur limite Nom d'une personne : lettres, apostrophe, tiret, accents Personne ne s'appelle MARTIN /bin/sh; 159

160 Contrôle des données en entrée A Pourquoi? Se protéger contre un fonctionnement non déterminé Déni de service Comportement erratique Erreurs... Se protéger contre l'injection : Utiliser les paramètres d'entrée pour injecter un contenu Contenu spécialement écrit pour exploiter la vulnérabilité Code (en fonction de l'application : code de script, HTML, SQL) Débordement de buffers 160

161 Contrôle des données en entrée A Client LOGIN=NOM&PASSWORD=SECRET SELECT ID WHERE LOGIN=NOM AND PASSWORD=SECRET Serveur Web OK Base de données 161

162 Contrôle des données en entrée A Client LOGIN=NOM&PASSWORD=PAF OR 'x'='x' SELECT ID WHERE LOGIN=NOM AND PASSWORD=PAF OR 'x'='x Serveur Web OK Base de données 162

163 Contrôle des données en entrée A Entrée d'application Champs d'un formulaire Web Données provenant d'une base de données Saisie sur un terminal Etc. Ici par extension, la validation de toutes les données entrantes Ex: une note interne, demandant un accès privilégié sur un système Est-elle valide? Insertion de 2 millions d'entrées dans une base etc. Test technique conseillé lors de l'audit Démonstration (IS D.1) 163

164 Contrôle des données en sortie Output data validation A Mesure : Les données de sortie d une application doivent être validées pour assurer que le traitement des informations stockées est correct et adapté aux circonstances. Corollaire du précédent Même type de contrôle sur le résultat d'un traitement Les données sont-elles correctes? Leur classification est-elle correcte? Données confidentielles publiées suite à une erreur Toutes les sorties, ou presque, sont les entrées d'un autre programme Confiance mutuelle? 164

165 Contrôle des données en sortie A Exemple typique dans les applications Web : l'exécution croisée de code (Cross Site Scripting ou XSS) Un attaquant arrive à injecter du code JavaScript dans une page web qui sera renvoyée à la victime A partir d'un formulaire Typiquement «vos informations personnelles» Dans un forum Directement dans un lien Etc. Ce code est exécuté, pour renvoyer le cookie de session à l'attaquant <img src=" 165

166 Contrôle des données en sortie A Démonstration POST /newart.php Host: Content-Type: multipart/form-data subject=vds%20palm%20pas%20cher& texte=<script>alert("coucou!")</script> <body> <h2>vds Palm pas cher</h2><br> <hr> <script>alert("coucou!")</script> </body> GET /article.php?id=9081 Host: Test technique possible lors de l'audit (IS D.1) 166

167 Gestion des clés Key Management A Mesure : Une procédure de gestion des clés doit favoriser l utilisation par l organisme de techniques cryptographiques. Utilisation des infrastructures de gestion de clés secrètes ou de clés publiques (PKI) Organisationnel et technique Test technique conseillé lors de l'audit (IS D.1) 167

168 Vulnérabilités techniques Control of technical vulnerabilities A Mesure : Toute information concernant toute vulnérabilité technique des systèmes d information en exploitation doit être obtenue à temps, l exposition de l organisme aux dites vulnérabilités doit être évaluée et les actions appropriées doivent être entreprises pour traiter le risque associé. Veille en vulnérabilité ( b) Gestion des correctifs de sécurité (patches) Aspect fondamental de la sécurité des systèmes d'information S'organiser par actif ou plate-forme ou application Chaine d'information la plus directe et efficace possible Pragmatisme entre le risque de régression d'une application et celui d'une infection généralisée 168

169 Vulnérabilités techniques A Gestion des vulnérabilités et des correctifs de sécurité : Rôles et responsabilités Veille en vulnérabilités ( a) ( b) c) j) Evaluation des risques associés aux vulnérabilités Application des correctifs de sécurité Journalisation des actions réalisées ( g) ( h) ( d) e) f) Audit du processus de gestion des vulnérabilités et d'application des correctifs de sécurité ( i) Test technique conseillé lors de l'audit (IS D.1) 169

170 Conformité aux exigences légales Compliance with legal requirements A.15.1 Objectif : Éviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles et des exigences de sécurité Identification de la législation applicable Protection des traces Protection de la vie privée Réglementation sur la cryptographie 170

171 Conformité avec les politiques et normes de sécurité et conformité technique Reviews of security and technical compliance A.15.2 Objectif : S assurer de la conformité des systèmes avec les politiques et normes de sécurité de l organisme Conformité avec la politique de sécurité Vérification que les procédures sont correctement appliquées Vérification de la conformité technique Vérifications techniques de conformité Mesures Mesures 171

172 Prises en compte de l'audit du SI A.15.3 Objectif : Optimiser l efficacité et réduire le plus possible l interférence (avec le)/(du) processus d audit du système d information Audits des procédures Audits techniques Protection des accès aux outils d'audit 172

173 Protection des outils d audit du système d information Protection of system audit tools A Mesure : L accès aux outils d audit du système d information doit être protégé afin d empêcher tous mauvais usage ou compromission éventuels. Outils d'audit Utilitaires système Utilitaires spéciaux d'audit (par exemple Nessus) Données d'audit, contenant des informations critiques Fichiers de configuration Mots de passe Vulnérabilités du système 173

174 Protection des outils d audit du système d information A Protection of system audit tools Erreurs classiques rencontrées : -rw-r--r-- 1 ecu ecu Nov 3 10:56 etc.tar.gz Contient beaucoup de configurations, dont les empreintes de mot de passe Scripts d'audit ayant des droits permissifs sur le système de fichier Tout le monde peut écrire Et en modifier le comportement Test technique possible lors de l'audit (IS D.1) 174

176 Indicateurs Exigence de l ISO ISO insiste sur l importance des indicateurs d) ; ) ; 7.2 f) L ISO27001 ne précise pas Le nombre d indicateurs à mettre en place La liste des indicateurs Comment les sélectionner Comment les produire Comment les traiter 176

177 Indicateurs Choisir des indicateurs pour Mesurer la sécurité et le SMSI revient à mesurer Mesurer la sécurité Mesurer la conformité du SMSI Les clauses de l ISO Les mesures de sécurité sélectionnées dans le DdA* * Déclaration d applicabilité 177

178 Terminologie ISO définitions Métriques (Metrics) Du latin metricus, du grec metrikos : qui concerne la mesure des vers Versification : Qui est relatif à l'emploi du mètre ou qui est composé de mètres. Vers métrique, fondé sur la quantité prosodique. Les vers grecs et latins sont métriques. Subst. La métrique, l'ensemble des règles qui gouvernent, en poésie, le rythme et la répartition des syllabes. La métrique grecque, latine. La métrique de Pindare. Par ext. Étude des quantités prosodiques et des différents types de vers. La métrique de la poésie française. Prosodique : qui est relatif au rythme et à l'intonation Metrique ou Unité (Measure) 3.13 Variable à laquelle une valeur est assignée Variable et pas attribut Metrique de base ou Unité de base (Base measure) Type de métrique et échelle pour mesurer un ou plusieurs attribut Métrique combinée ou dérivée (Derived measure) 3.4 Une métrique définie par une fonction de plusieurs métriques de base 178

179 Terminologie ISO définitions Metrics metriques Jamais utilisé dans la partie normative du document Sauf dans la figure au 5.1 : attribute measure metric indicator Utilisé sans arrêt dans les annexes informatives Pas défini dans le document Méthode de métrage measurement method 3.17 Séquence logique d'opérations exprimées génériquement pour entreprendre la description du métrage Unité de métrage ou de mesure unit of measurement 3.21 Quantité particulière, définie et adoptée par convention, avec laquelle les autres quantités de même nature sont comparées pour exprimer la magnitude relative à cette quantité Etalon de référence pour faire des mesures 179

180 Attribut (Attribute 3.1 ) Terminologie ISO définitions Propriété ou caractéristique d'une entité Distinguée quantitativement ou qualitativement Par des moyens humains ou automatiques Entité (Entity 3.7 ) Objet devant être défini par le métrage (la mesure) de ses attributs Tangible ou intangible Définitions d'attribut et d'entité se mordent la queue 180

181 Terminologie ISO définitions Métrage ou Capacité ou Mesurage (Measurement) 3.15 Ce qui permet d'obtenir la valeur d'un attribut d'une entité en utilisant un type de métrique Evaluation ou estimation d'un attribut Metrage = le fait de mesurer, Mesurage = measuring Type ou classe de métrage (Form of measurement) 3.8 Ensemble d'opérations pour déterminer la valeur du métrage Mesure Méthode de mesure Fonction de calcul Modèle analytique Détermination d'une grandeur particulière. 181

182 Terminologie ISO définitions Indicateur (Indicator) 3.10 Valeur d une métrique fournissant une estimation ou une évaluation d attribut utile au pilotage de la PSSI (Measure that provides an estimate or evaluation of specified attributes derived from an analytical model with respect to defined information needs (ISO ) Indiquer : faire connaître Permet de caractériser ou d'apprécier une situation ou un événement Permet d'effectuer des comparaisons dans le temps et dans l'espace Donnée objective qui décrit une situation sous forme quantitative Normes d'accréditation santé AFNOR de 1993 Information choisie, associée à un phénomène, destinées à en observer périodiquement les évolutions par rapport à des objectifs Norme management de la qualité AFNOR NF X de

183 Exemples Nombre de postes équipés d'un anti-virus : mesure Pourcentage du nombre de postes équipés d'un antivirus sur le total : métrique Nombre de postes équipés d'un anti-virus dont l'antivirus a été mis à jour : indicateur Pourcentage de postes dont l'anti-virus a été mis jour : métrique Le regroupement des deux métriques : indicateur Indicateur sur le niveau de protection anti-virale des postes de travail, sur la maîtrise du processus anti-viral sur ces postes Indicateur n'est pas sur la qualité Indicateur n'est pas la mesure de la performance de l'anti-virus 183

184 Niveau de sécurité Niveau de conformité vs sécurité Indicateur ne donne pas de niveau de sécurité Indicateurs + échelle de valeur commune peut donner un niveau de sécurité Niveau de conformité Indicateur peut donner conformité à la politique de sécurité Niveau d'efficacité Indicateur mesure l'efficacité du SMSI Conformité ISO27001 SMSI qui tourne bonne gestion de la sécurité Pas forcément bon niveau de sécurité 184

185 Typologie des métriques Binaires : oui/non Dates Nombres résultant d'un calcul Cumuls Moyenne Rapports (numérateur/dénominateur) Pourcentage Montants Durée Etc États d'avancement 185

186 Nature des indicateurs Fonctionnels Ressources humaines Juridique Opérationnels Système d'information Risques Avérés Potentiels 186

187 Familles d'indicateurs Indicateurs issus de données quantitatives Nombre de problèmes critiques Pourcentage de sites couverts Date de révision, dates d'audit Indicateurs issus de données qualitatives Etat d'avancement des actions correctives L'audit signalait-il la nécessité d'entreprendre des actions correctives? Les actions correctives ont-elles été bien faites? 187

188 CNIL Indicateurs nouvelle déclaration CNIL souvent nécessaire Traitement nouveau sur des données nominatives Exemple avec Journalisation dans le trafic SMTP du nombre de messages de courrier électronique avec pièce jointe À destination des domaines appartenants à des concurrents À destination des domaines de fournisseurs d'accès internet grand public représentant des adresses personnelles Journalisation dans le trafic HTTP de l'usage des messageries instantanées Traitement nouveau à partir d'adresses IP faisant l'objet d'une déclaration 188

189 Démarche générale Phase 1 Choisir les indicateurs 1 Phase 2 Identifier la source de chaque indicateur 2 Phase 3 Obtenir les indicateurs 3 Phase 6 Utiliser les indicateurs 5 Phase 5 Consolider les indicateurs 4 Phase 4 Transmettre les indicateurs 6 Phase 7 Auditer les indicateurs 7 Do Plan Check Act 8 Phase 9 Agir en conséquence 189

190 Objectifs : Métrage dans le SMSI Information Security Measurement Programme FaciliterISO27004 (5.1 et 5.2) La prise de décision L identification des non conformités L amélioration des performance Et issue de l ISO ) Évaluer l'efficacité de mise en œuvre des mesure de sécurité Évaluer le SMSI et son amélioration permanente Fournir un état pour guider les Réexamens du management, faciliter les améliorations, et fournir des traces pour les audits Communiquer sur l'importance de la sécurité en interne Servir à l'analyse de risque et au traitement du risque Par rapport au PDCA ISO ) Plan d) : Définir comment mesurer l'efficacité des mesures de sécurité Do et Check c) : Évaluer l'efficacité des mesure de sécurité Act g) : Décrire comment évaluer l'efficacité des mesures de sécurité 190

191 Caractéristiques des indicateurs Caractéristiques d'un indicateur (Indicator) 3.10 Simple, défini, interprétable, reproductible, mesurable, significatif Pertinent s'il est directement relié à une zone d'action Indique où il faut agir Indicateurs de processus et des indicateurs de résultats Peut mesurer une situation du point de vue qualitatif Exemple : taux de satisfaction de 75% Indicateur toujours quantitatif, mais mesure des données quantitatives et qualitatives 191

192 Le choix des indicateurs (1/3) Première question Quel fait Pour chaque mesure de sécurité du SMSI, répondre systématiquement à trois questions fondamentales : Concret Mesurable Si possible vérifiable Attaché à un processus répétitif Permettra de savoir si la mesure de sécurité est 1. Appliquée 2. Efficace Deuxième question Ce fait est-il mesurable facilement? Troisième question Comment obtenir concrètement la mesure? 192

193 Le choix des indicateurs (2/3) Les indicateurs ne doivent concerner que les mesures de sécurité mises en œuvre dans le SMSI Ne pas s'obstiner si aucun indicateur n'est trouvé Pas d'indicateur est préférable à un indicateur inapproprié Travail inutile, coût, mauvaise perception du SMSI Erreurs à éviter Indicateur ne correspondant pas à une mesure de sécurité du SMSI Indicateur ne mesurant pas l efficacité d une mesure de sécurité Indicateur sélectionné sans réflexion préalable Récupération d'informations de rapports déjà existants Recopie d'indicateurs du cours ou ceux utilisés dans une autre unité prise en exemple 193

194 Le choix des indicateurs (3/3) Commencer avec les indicateurs que l'on peut obtenir "à pas cher" De manière automatique Sans déranger les gens Simuler des situations et des évolutions Voir ce que cela donne sur les indicateurs sélectionnés Affiner : à partir de plusieurs indicateurs techniques il sera possible plus tard de ressortir des indicateurs pertinents Pour piloter il ne faut à la fin que quelques indicateurs : 3 à 5 194

195 Conception (1/3) Deux types d indicateurs (5.4) Indicateurs de conformité Les personnes et processus conduisent-ils leurs activités conformément à ce qui est spécifié? Indicateurs de performance Les personnes / processus fournissent-ils le niveau de sécurité attendu? Indépendamment du fait qu ils soient opérés conformément aux spécifications Rôles et responsabilités (6) Responsabilités du management Gestion des ressources Formation, compétence, etc. 195

196 Conception (2/3) Définir les objectifs de chaque indicateur (7.2) Sélection des mesures de sécurité (7.3) Au début Limités aux éléments de plus haute priorité pour le management Par la suite Elargir le spectre Donc Identifier les mesures de sécurité sélectionnés suite à l analyse de risques Sélectionner les plus importantes 196

197 Conception (3/3) Identifier les objets (7.4) Business Units Sites Processus Applications Etc. Attention à la taille des objets Trop grands Mesures trop vagues Trop petits Mesures trop chères à obtenir Méthodes pour mesurer (7.5.1) Subjectives Mesures nécessitant une appréciation humaine Objectives Mesures obtenues par l application d une formule o Peut être obtenue de façon manuelle ou automatique 197

198 Tableau de bord Tableau de bord (Dashboard) Le tableau de bord est un ensemble d indicateurs peu nombreux conçus pour permettre aux gestionnaires de prendre connaissance de l état et de l évolution des systèmes qu ils pilotent et d identifier les tendances qui les influenceront sur un horizon cohérent avec la nature de leurs fonctions (Henri Bouquin «Le contrôle de gestion» 2003). C est un outil de pilotage qui souligne l état d avancement dans lequel se trouve le processus afin de permettre au responsable de mettre en place des actions correctives. Outil de synthèse et de visualisation des situations décrites et des constats effectués par les indicateurs Elément de communication interne 198

200 Acteurs La fourniture d'indicateurs implique un périmètre d'acteurs très large Direction générale Directeur des Systèmes d'information (DSI) Opérationnels Administrateurs d'application, système et réseau Responsable de la Sécurité des Systèmes d'information (RSSI) Responsables de maîtrise d'ouvrage Responsable des ressources humaines Responsable juridique 200

201 Réservoirs d'indicateurs Sources des mesures (7.5.1) Rapports d audits Résultats d analyses de risques Résultats de questionnaires Enregistrements Rapports d incidents Statistiques Résultats de tests Tests d intrusion; ingénierie sociale; outils de conformité; etc. Identifier les personnes concernées (7.5.3) Responsable Client Collecteur Communicateur Réviseur 201

202 Indicateurs dans l ISO27004 Modèle analytique (7.5.5) Validation de la mesure (7.6) Pertinence Coût de la production Méthode de collection 7.7) Documentation (7.8) Client Collecteur Communicateur Réviseur 202

204 Fiabilité des indicateurs (1/3) Raison d'être des indicateurs Donner une image fiable de l'efficacité et de l'adéquation du SMSI Fiabilité vient du latin fides, qui veut dire confiance, donc La fiabilité de l'image que l'on a du SMSI depend de la confiance que l'on a sur les indicateurs Pour faire confiance au SMSI, il faut faire confiance aux indicateurs Conséquence La confiance que l'on a sur les indicateurs est un point clé dans le SMSI 204

205 Fiabilité des indicateurs (2/3) Risques portant sur les indicateurs Choix : Un indicateur mal choisi ne donne pas une image fiable du SMSI Retard : Il se peut que les gens oublient de : Fournir l'indicateur Plus grave : comptabiliser les éléments qui permettent de produire l'indicateur Erreur accidentelle : dans la saisie, dans un programme Erreur volontaire : pour cacher un fait gênant, voire compromettant 205

206 Fiabilité des indicateurs (3/3) Comment réduire ces risques? En automatisant le plus possible la récupération des informations Très difficile Impossible pour de nombreux indicateurs En limitant le plus possible les indicateurs binaires Remplacer les oui/non par des fractions Pas toujours possible En faisant en sorte que numérateur et dénominateur soient remplis par des entités différents (segregation of duties) 206

207 Production des indicateurs quantitatifs Cumuls ou nombres issus d'un comptage Garder une trace des évènements au fur et à mesure de leur occurrence Par exemple remplir un formulaire Peut impliquer l'utilisation d'outils Paramétrage d'outils Maintenance évolutive des outils Développement spécifique de certains outils Il faut pouvoir rejouer la génération de l'indicateur Exemples : Nombre d'équivalent jour-homme de formation à la sécurité Nombre de publications sur la sécurité (papier, affiches, Intranet, etc.) 207

208 Production des indicateurs qualitatifs Pourcentages Etat d'avancement des actions correctives Proportion de personnes satisfaites ou très satisfaites d'une formation Date de révision ou de mise à jour, date d'audit Binaire L'audit signalait-il la nécessité d'entreprendre des actions correctives? Les actions correctives ont-elles été bien faites? Indicateur doit être relié au temps et se calculer régulièrement : Tous les ans Tous les mois Moyenne de la semaine 208

209 Exemple de mauvais indicateurs Subjectif Exemple : est-ce que le travail est bien fait (oui/non) Fraction ne respectant pas la séparation des rôles (segregation of duties) Indicateur impossible à trouver Exemple : nombre total d'incidents de sécurité Indicateur difficile à obtenir Exemple : coût de la perte de disponibilité 209

211 Transmission des indicateurs Vecteur : moyen par lequel le responsable de l'indicateur transmet l'indicateur au responsable de la consolidation Différents types de vecteurs Automatiques Manuels Courriel, formulaire web, formulaire papier Différentes formes QCM Tableau Excel Les vecteurs doivent être auditables Datés Stockés 211

213 Consolidation des indicateurs Combinaison des paramètres Dans un champs donné Pour réduire le nombre d'indicateurs Dans le temps Création d'un tableau de bord 213

215 Usages des indicateurs Pour évaluer la performance de son SMSI Pour soi, en interne Dans une optique de certification En vue d'un audit Pour observer sa situation Indépendamment de l'iso27001 Pour déclencher la mise en oeuvre d'actions En recherchant des franchissement de seuil Pour communiquer Sensibilisation Expression de la durée auprès du management 215

216 Publication des indicateurs Visualisation synthétique rapide Pour le RSSI Pour le top management Pour le middle-management Pour les actionnaires Pour les auditeurs Sensibilisation et aide à la décision Conformité SAS 70, Bâle II,... Indicateurs publiés sous la forme de tableaux de bords Champ couvert par la consolidation Evolution dans le temps 216

218 Quand Auditer les indicateurs A chaque changement important du SMSI A défaut, périodiquement Pertinence des indicateurs Vérifier que l'indicateur est en relation avec l'objectif de la mesure de sécurité Valider les éléments qui ont conduit à utiliser tel indicateur sur telle mesure de sécurité Cohérence des indicateurs Vérifier la cohérence des indicateurs entre eux 218

219 Auditer les indicateurs Fiabilité des indicateurs Reprendre les données ou éléments ayant permis la construction de l'indicateur et le recalculer Valider la façon dont les indicateur sont obtenus Les procédures sont-elles effectuées correctement? Aux dates prévues? Où sont les traces? 219

221 Utilité des indicateurs Plan Do Act Check SMSI modèle PDCA Mesures de sécurité Donc, contrôler l'efficacité d'un SMSI revient à Contrôler l'efficacité du modèle PDCA Qui revient à contrôler l'efficacité des mesures de sécurité mises en œuvre Le processus de mesurage suit lui-même le modèle PDCA 221

222 Processus de mesurage Processus de la mesure de la SSI (5.3) Identifier les mesures de base Exemple : Nombre d utilisateurs ayant été sensibilisés à la sécurité Définir les mesures dérivées Application d une fonction Exemple : Pourcentage d utilisateurs ayant été sensibilisés à la sécurité Obtenir les indicateurs En combinant plusieurs mesures Exemple : Pourcentage d utilisateurs ayant été sensibilisés à la sécurité Pourcentage des utilisateurs ayant signé un engagement de sécurité Do Plan Check Act 222

223 Processus de mesurage Processus de la mesure de la SSI (5.3) Interpréter les indicateurs Par rapport à des critères précis Pour permettre aux parties Check prenantes de décider Exemple : On décide que le résultat indique une amélioration dans la sensibilisation à la sécurité Produire les résultats Réunir tous les résultats pour évaluer le SMSI Exemple : Combiner l indicateur sur la sensibilisation à la sécurité avec d autres indicateurs Afin de d évaluer l efficacité globale du SMSI Do Plan Act 223

224 Exploitation des indicateurs La procédure de production des indicateurs doit être intégrée au SMSI (8.2) Définition des rôles et responsabilités Génération, etc etc. Communication aux parties concernées Collecter les informations (8.3) En temps et en heure Stocker les données (8.4) Vérifier les données (8.5) Do ISO Plan Check Act 224

225 Analyse et rapports sur les mesures Analyser les données et développer les résultats (9.2) Communiquer (9.3) Sorties (10) Les mesures sorties du processus peuvent servir à Entrée pour l évaluation des risques; pour faciliter la prise de décision basée sur les risques Mettre en évidence les progrès vis-à-vis des exigences Pour évaluer ou comparer des organismes similaires Plan Do Act Check 225

226 Constat Amélioration du processus de mesures On trouve rarement les bons indicateurs du premier coup L environnement change Les indicateurs doivent évoluer. Identifier le critère pour évaluer le programme de mesures (11.2) Réviser les mesures (11.3) Peut être fait par des tiers, pour plus d indépendance Mettre en place les modifications (11.4) Plan Do Act Check 226

228 Etude de cas Paragraphe de l'iso / Mesures contre les codes malveillants : Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se protéger des codes malveillants ainsi que des procédures appropriées de sensibilisation des utilisateurs. Exemple d'indicateurs Nombre de virus détectés Date de la dernière attaque virale ayant franchi les mesures de sécurité Délai de résolution Couts directs de la résolution Ratio du nombre d'attaques réussies sur le nombre d'attaques connues Nombre d'attaques (totalement éradiquées) résolues dans les délais et hors délais 228

229 Etude de cas Paragraphe de l'iso /3 Exemple dans la perspective du SMSI : Plan : les endroits où peut y avoir du code malveillant, à partir de l'analyse de risque (ou les endroits où l'impact d'un code malveillant serait le plus grand) Do : le nombre d'endroits où une mesure de sécurité contre le code malveillant a été mise en place Check : nombre de fois ou on a mesuré l'efficacité par la détection d'un code malveillant Act : nombre de modification des mesures de sécurité mises en place 229

230 Etude de cas Paragraphe de l'iso /3 L'indicateur peut être à différents niveau d'abstraction 1. Mesure du nombre de fois où le dispositif de sécurité est utilisé, et donc l'existence de la mesure de sécurité 2. Mesure de l'efficacité de la mesure de sécurité 3. Mesure du nombre de fois où l'efficacité de la mesure de sécurité a été mesurée Dans l'exemple de l'anti-virus 1. Y-a-t-il un anti-virus? A combien d'endroits? Combien de virus ont été détectés? 2. Est-ce que l'anti-virus fonctionne bien, que les signatures sont à jour, que l'anti-virus s'applique à tous les protocoles, qu'il est au bon endroit? 3. Combien de fois dans l'année l'efficacité de l'anti-virus a été vérifiée? 230

231 Conclusion Les indicateurs sont indispensables au SMSI Leur choix doit faire l'objet d'une réflexion, de pragmatisme et d'une amélioration constante pour ne garder que les indicateurs pertinents Avoir des indicateurs pour toutes ses mesures de sécurité n'est généralement pas possible Choisir les bons indicateurs est généralement impossible du premier coup La difficulté opérationelle d'obtention de l'indicateur est difficile à prévoir 231

232 Exemples d'indicateurs 1/8 Indicateurs organisationnels Etat d'avancement de la politique de sécurité et de sa mise en oeuvre Date du dernier réexamen de la politique de sécurité Durée moyenne entre chaque réexamen de la politique de sécurité Est-ce que le forum de gestion de la politique de sécurité est actif et dénote une réelle prise en compte de la sécurité par la direction? Y-a-t-il un bon suivi de la cartographie des risques par les responsables de la protection des actifs? Dates des changements dans les organigramme prévus en cas d'incidents durant l'année 232

233 Exemples d'indicateurs 2/8 Indicateurs financiers Dépenses affectées à la sécurité En valeur monétaire En pourcentage par rapport au budget informatique Part des dépenses affectées à la sécurité dans les projets Part de dépenses de formation affectées à la formation en sécurité 233

234 Exemples d'indicateurs 3/8 Indicateurs liés aux ressources humaines Nombre de jours/hommes de formation dans l'année Inclure les sensibilisations de 30 minutes A quel degré la politique de sécurité et les spécificités de l'organisme ont été prises en compte dans les formations? Nombre de jours/hommes de formation dans la population sensible à la sécurité Nombre de personnes dans la population sensible à la sécurité ayant suivi une formation ou pouvant attester qu'elles sont à jour des procédures de sécurité Part des formations sur mesures dans lesquelles la politique de sécurité et la sensibilisation à la sécurité a été prise en compte 234

235 Exemples d'indicateurs 4/8 Indicateurs fonctionnels Exhaustivité de l'inventaire des actifs Nombres de mises à jour dans l'année et date de dernière mise à jour de l'inventaire des actifs Nombre de problèmes ou failles de sécurité rencontrés dans chaque application métier Nombre de problèmes ou failles de sécurité rencontrés dans les applications métier restés sans suite Part des applications bénéficiant d'une journalisation fonctionnelle en sécurité Uniquement sur l'identitification et authentification ou au-delà? 235

236 Exemples d'indicateurs 5/8 Indicateurs opérationnels Taux de disponibilité de chaque actif Taux de disponibilité des services de base n'apparaissants pas dans les actifs (DNS, serveur d'authentification, connexions réseau, etc) Délai de mise à jour de chaque l'anti-virus Délai de déploiement des correctifs de sécurité Y-a-t-il une procédure de suivi des déploiements de correctifs de sécurité? Nombre de personnes habilitées à l'accès administrateur ou assimilé, à un accès privilégié de type intermédiaire et à un accès client pour chaque actif 236

237 Exemples d'indicateurs 6/8 Indicateurs d'incidents & Nombre d'incidents liés aux utilisateurs sur les postes clients Nombre d'incidents de sécurité Nombre d'incidents de sécurité signalés par les utilisateurs & Y-a-t-il un hiérarchisation des incidents? & Nombre d'incidents constatés lors de l'analyse des fichiers de journalisation 237

238 Exemples d'indicateurs 7/8 Indicateurs de surveillance Nombre de tests de vulnérabilités, tests d'intrusion, audits de sécurité réalisés par actif Y-a-t-il un compte-rendu de bilan ou de prise en compte des rapports de test ou audit? 238

239 Exemples d'indicateurs 8/8 Indicateurs de sécurité Combien de personnes sont en charge de la veille en vulnérabilité? Taux de couverture par la veille en vulnérabilité des technologies utilisées dans les actifs? Nombre de bases de gestion des identités Est-ce que les bases de gestion et de publication des identités sont distinctes? et : Adéquation du cloisonnement du réseau aux entités de l'organisme Part des actifs bénécifiant d'une mesure de sécurité 239

240 Références Démarche de conception d'un tableau de bord qualité appliqué à la sécurité, Clusif, 06/97, Security Metrics Guide for Information Technology Systems, NIST, 07/03, Security, measure to improve, Olaf Sandstrom, ISMS Journal issue 5, 11/04, Clusif : document à paraître sur les métriques pour l'iso27001 ISO27004 : norme en cours d'élaboration sur les métriques pour la norme ISO

242 Piloter dans l'incertitude La SSI est un processus qu il faut piloter mais piloter dans l incertitude. D où la nécessité d intégrer la gestion des risques dans un système de management de la SSI. 242

243 La notion de risque en général En utilisant ma voiture Je peux Avoir un accident Qui causera des dommages Le contexte Une vraisemblance Un évènement Des conséquences Question : pourquoi utilise-t-on encore sa voiture? 243

244 La notion de risque en général Objectifs : Arriver au bureau sans être blessé À l'heure Écouter les nouvelles à la radio Identification de "l'effet de l'incertitude sur les objectifs" : Événement Accident Embouteillage Panne de l autoradio Conséquences Blessures mauvaise humeur En retard à mon rendez-vous Décision Évènement Temps États prévus États atteints Conséquences Risque : est l effet de l'incertitude sur [la réalisation des] objectifs ISO

245 Préambule Si référence (X.Y.Z) en rouge entre parenthèse --- dans la norme Référence à la norme ISO Pour les références aux autres normes, précision devant ISO 27001, ISO 27002, BS Si pas référence en rouge --- ajout par le présentateur 245

246 Sommaire Introduction Historique Vocabulaire (3) Processus de gestion de risque (6) ISO27005 Établissement du contexte (context establishment) (7) Appréciation du risque (risk assessment) (8) Analyse de risque (risk analysis) : Identification des risques (risk identification) (8.2.1) Analyse de risque (risk analysis) : Estimation du risque (risk estimation) (8.2.2) Évaluation du risque (risk evaluation) (8.3) Traitement du risque (risk treatment) (9) Acceptation du risque (risk acceptance) (10) Communication du risque (risk communication) (11) Compléments Acteurs du processus gestion de risque (BS7799-3) Outillage Conclusion Acronymes Annexes Surveillance et réexamen du risque (risk monitoring and review) (12) 246

247 Introduction ISO : Guide de mise en œuvre de la partie appréciation des risques de la sécurité de l'information de l'iso ISO de c) à f) 4), plus d) et 5.1.f) soit 1 page + quelques lignes ISO pages 24 pages normatives, chap. 1 à pages d'annexes A à F ISO 27001: environ 1 page ISO pages normatives, chapitre 1 à pages d'annexes A à F 247

248 Introduction ISO = Norme --- consensus entre les acteurs du marché Ne peut être plus complet que toutes les méthodes qui l'ont précédé Représente le noyau commun accepté par tous Entre dans la gestion de risque en général (ISO 31000) Vocabulaire compréhensible et proche du langage courant ISO = Méthodologie complète Structure sa démarche par une méthodologie détaillée Document autonome et auto-suffisant Correspond strictement au respect de l'iso Nécessaire pour la mise en place d'un SMSI Nécessaire pour une certification 248

249 Historique 1/2 Managing and planning IT security Techniques for the management IT security Selection of safeguards 2008 ISO TR ISO TR ISO TR ISO et puis Information security risk management CRAMM PD 3002 PD 3005 BS CCTA Risk Assessment and Management Method Guide to BS7799 Risk Assessment Guidelines for information security Risk Assessment CRAMM a été privatisé en 1996, CRAMM vendu aujourd'hui n'a rien à voir avec ISO AS/NZS puis 2004 EBIOS Risk Management Expression des Besoins et Identification des Objectifs de Sécurité CCTA est devenu l'ogc (même Et d'autres influences diverses organisme gouvernemental britannique qui a fait et est propriétaire Adaptation d'itil) par R. Longeon du cours d Alexandre Fernandez-Toro et Hervé Schauer 249

250 Vocabulaire (3) Analyse de risque / Appréciation du risque Risque de sécurité de l'information (information security risk ) (3.2) Menace (threat) (C) Vulnérabilité (vulnerability) (D) Impact / Conséquence Tableau d'appréciation des risques Comparatif 250

251 Les problèmes de traduction Likelihood : Likelihood est un terme scientifique anglophone décrivant une fonction statistique. Il n'y a pas de terme générique équivalent en française. D'après le BS : «possibilité que quelque chose se produise, pouvant être définie, mesurée ou estimée objectivement ou subjectivement avec des termes descriptifs généraux (tels que rare, improbable, probable, possible, certain), sous forme de fréquence ou de probabilités mathématiques.» Les francophones ont tendance à traduire «likelihood» par probabilité d occurrence. Cependant, il semble plus cohérent de retenir le terme «vraisemblance» de façon à ne pas être influencé inconscienment par le sous-entendu mathématique du mot «probabilité» («vraisemblance» se réfère à quelque chose de plausible ou le subjectif intervient plus aisément). 251

252 Les problèmes de traduction Control En anglais, le terme «control» possède plusieurs significations. La première définition, qui induit en erreur les francophones est la notion de «maîtrise» confondu souvent avec celle de surveillance et de mesure (controler). La seconde, plus appropriée dans la gestion du risque, est l action de réduire l envergure de quelque chose ("Situation is under control"). Dans la majorité des cas, dans la norme ISO 27005, «control» est employé dans ce dernier sens. Dans le domaine de la sécurité de l information, l action de réduire un risque est réalisée par l implémentation de dispositifs de sécurité. Ces derniers, de différentes natures, sont plus courmment appelés «mesures de sécurité» (control). Dans le cas de la gestion du risque, «control» est donc un faux ami. Ce terme est donc à utiliser avec méfiance d autant que dans la norme, il est parfois employé aussi sous son premier sens de «maîtrise» 252

253 Le vocabulaire sous EBIOS Le risque SSI : combinaison d'une menace et des pertes qu'elle peut engendrer EBIOS Probabilité Conséquence Risque Événement Menace Événement Méthode d attaque Elément menaçant Entité Vulnérabilité Messages piégés (introduction d'un ver) Un pirate expérimenté Poste de travail Sensibilisation insuffisante au danger des pièces jointes dans les messages Opportunité Jugée moyenne Perte s Atteintes des éléments essentiels Impact sur l organisme Pertes de confidentialité et de disponibilité de certaines informations Perte d'avantages concurrentiels 253

254 Discordances de vocabulaire ISO EBIOS v2 MEHARI v3 Appréciation des risques Analyse de risque Analyse de risque Actif Bien Actif (Asset) Actif primordial Élément essentiel Information et ressources Actif de soutien Entité Ressource IT Propriétaire Propriétaire Propriétaire Critère de risque (C,D,I) Critère de sécurité Critère de classification Risque Risque Risque Événement Méthode d attaque + élément menaçant + entité + vulnérabilité Cause Source de la menace Élément menaçant Menace Événement + opportunité Vulnérabilité Vulnérabilité Vulnérabilité Probabilité d occurrence Opportunité Potentialité Scénario d incident Scénario d attaque Scénario Impact Pertes Conséquence (ou impact intrinsèque) Conséquence Pertes Préjudice Objectif de sécurité Objectif de sécurité Fonction de sécurité Mesure de sécurité Exigence de sécurité Mécanisme et solution de sécurité Mesure de sécurité Exigences de sécurité Besoins de sécurité / menaces 254

255 Analyse de risque/ Appréciation du risque Traduction normale et utilisée dans l'iso Risk Analysis (IS ) --- Analyse du risque Risk Estimation (3.4) --- Estimation du risque Risk Evaluation (3.5) --- Evaluation du risque Risk Assessment (IS ) --- Appréciation du risque Langage utilisé par certains en SSI Analyse de risque Risk Assessment Usage impossible à garder sans confusions Pas d'autre traduction possible que Risk Analysis --- du risque Confusion avec Risk Assessment Donc : Risk Assessment --- Appréciation du risque Processus dans son ensemble Analyse 255

256 La norme ISO / Mandat et engagement 5.3 Conception de l architecture de gestion du risque Comprendre l organisme et son contexte Politique de gestion du risque Intégration dans les processus organisationnels Responsabilités Ressources Communication interne et établissement des rapports Communication externe et établissement des rapports Planifier (Plan) 5.6 Amélioration continue de l architecture de gestion du risque Déployer (Do) Roue de Deming Agir (Act) 5.4 Mise en œuvre de la gestion des risques Mise en œuvre de l architecture Mise en œuvre du processus Contrôler (Check) 5.5 suivi et réexamen de l architecture de gestion du risque 256

257 La norme ISO /11 Chapitre de 6 à 9 : détaille le processus de gestion de risque Annexes Elle est complétée de 6 annexes de référence A à F, nécessaires à la mise en œuvre de la méthode. Chapitre 6 : explique le processus de gestion de risque dans son ensemble et la manière dont il se positionne dans un cycle PDCA. Chapitre 7 : précise l'établissement du contexte, afin que l'on spécifie son périmètre de l'appréciation des risques, que l'on établisse tous les critères de base, que l'on décrive son environnement, et organise ses processus. 257

258 La norme ISO /11 Le chapitre 8 : définit l'appréciation des risques, qui se décompose en l'analyse des risques et l'évaluation des risques. Le paragraphe 8.2 définit l'analyse de risques, qui consiste, d'une part, à identifier et valoriser ses actifs sensibles, identifier les menaces et les vulnérabilités, ainsi que les mesures de sécurité existantes, et, d'autre part, à estimer la probabilité d'occurrence des risques identifiés, quantifier les conséquences potentielles, au final, calculer le risque. L'estimation des risques peut être qualitative ou/et quantitative. La norme n'impose aucune méthode de calcul particulière et en propose 3 en annexe. Le paragraphe 8.3 décrit l'évaluation des risques afin d établir des priorités et ordonnancer les risques par rapport aux critères d'évaluation des risques. Ces critères préalablement établis par les objectifs de sécurité imposés par les métiers de l'organisme et identifiés par les parties prenantes permettent de déterminer le seuil au-delà duquel le risque devra être traité. 258

259 La norme ISO /11 Chapitre 9 : spécifie le traitement du risque. Les quatre choix du traitement du risque sont : 1. Le refus ou évitement : le risque est trop élevé, il n'y a pas de mesure de sécurité réaliste pour le réduire, l'activité est supprimée ; 2. Le transfert vers un assureur ou un sous-traitant qui saura mieux le gérer ; 3. La réduction par l'application des mesures de sécurité ; 4. La prise de risque : le risque est accepté tel quel sans qu'aucune action soit prise. A ce stade, la norme dit d'intégrer les coûts notamment dans le choix des mesures de sécurité. 259

260 La norme ISO /11 Chapitre 10: détermine l'acceptation du risque. Il faut calculer le risque résiduel qui sera obtenu une fois que le traitement du risque sera mis en œuvre. La direction générale doit accepter les risques résiduels, donc accepter le plan de traitement du risque dans son ensemble. Cette décision est formellement documentée et enregistrée, et si par exemple des contraintes de budget ou de temps ne permettent pas à la direction de déployer, c'est elle qui en prend la responsabilité, pas le Responsable SSI. 260

261 La norme ISO /11 Chapitre 11 décrit la communication du risque. Cette communication est un partage régulier d'informations entre le gestionnaire des risques SSI (en général, le Responsable SSI), les décisionnaires, et les parties prenantes concernant la gestion du risque. Ses buts sont de donner confiance à la direction générale et aux parties prenantes, collectionner les informations concernant les risques encourus, faire connaître les plans de traitement du risque, obtenir le support et les moyens pour la mise en œuvre du traitement du risque, impliquer la responsabilité des décisionnaires, améliorer les compétences de gestion du risque, et sensibiliser l'organisme à la prévention du risque. Chapitre 12 décrit la surveillance et le réexamen des risques. La surveillance constante du processus de gestion des risques est nécessaire pour s'assurer que le processus reste pertinent et adapté aux objectifs de sécurité des métiers de l'organisme, que chaque risque traité n'est pas surestimé ou sous-estimé, et que ses coûts de gestion sont adaptés à la dimension du risque et aux besoins de sécurité. Il faut aussi identifier les changements nécessitant une réévaluation du risque ainsi que les nouvelles menaces et vulnérabilités. 261

262 La norme ISO /11 Annexe A : liste toutes les contraintes qui peuvent affecter votre processus de gestion des risques. Annexe B : aide à identifier et valoriser les actifs à considérer dans son appréciation des risques, et aide à estimer les impacts. Annexe C : répertorie les menaces classées par type : dommages physiques, pertes de service essentiel, altération d'informations, etc. La liste n'est pas exhaustive mais complète. Annexe D : liste les vulnérabilités, les moyens de recherche de vulnérabilités et des exemples de menaces qui pourraient exploiter ces vulnérabilités. 262

263 La norme ISO /11 Annexe E : décrit trois méthodes de calcul de risque, qui permettent de réaliser l'appréciation des risques, dans l'activité estimation des risques. Les méthodes estiment l'impact potentiel d'un risque par rapport à la valeur de l'actif, à la facilité d'exploitation des vulnérabilités par les menaces, à la probabilité d'occurrence, etc. Annexe F : précise toutes les contraintes à intégrer lors de la réduction des risques, notamment lorsque l'on sélectionne des dispositifs de sécurité. La gestion de risque dans l'iso est un processus continu et itératif. Un Responsable SSI qui démarre son appréciation à partir d'une feuille blanche ne commence pas par décider des échelles alors qu'il ne maîtrise pas encore tous les principes. Les critères de valorisation des actifs, d'évaluation des risques, éventuellement les critères d'impact, et les critères d'acceptation des risques, sont explicités dans l'établissement du contexte (chapitre 6) de la norme mais il sont construits au fur et à mesure des processus itératifs et pas séquentiellement au début. 263

264 La norme ISO /11 La norme insiste sur deux points de décisions : 1. soit le travail est satisfaisant 2. soit il faut réitérer. Cette approche itérative améliore la finesse de l'analyse à chaque itération, fournit une bonne répartition entre le temps et l'effort fourni pour identifier les mesures de sécurité, permet de traiter les risques en fonction des ressources et moyens disponibles, facilite les liens entre les risques et les conséquences sur les métiers, permet d'avancer lorsque les interlocuteurs sont absents, en facilitant la gestion des susceptibilités et des aspects politiques entre interviewés. 264

265 La norme ISO /11 L'approche itérative de l'iso permet à la gestion de risques de tendre progressivement vers une maîtrise des risques de haut niveau et conforme aux besoins de l'organisme. L' ISO fait entrer la gestion des risques pour la SSI dans la gestion de risques en général. Toute direction générale doit mettre en œuvre une gestion globale des risques pour atteindre les objectifs de l'organisme. Avec l'iso 27005, la gestion des risques en sécurité de l'information se rapproche des risques opérationnels, industriels, financiers, etc. Cette nouvelle norme est une méthode complète de la gestion du risque de la sécurité de l'information. Elle est neutre sur les méthodes d'évaluation qualitative et quantitative. Cette norme est intégrée dans de nombreux produits commerciaux, cependant le tableur demeure l'outil le plus performant et le plus utilisé. 265

266 La norme ISO En résumé 11/11 Étude du contexte Établissement du contexte Surveillance et réexamens Identification des risques Estimation du risque Évaluation des risques Traitement des risques Appréciation du risque Analyse de risque 1. Acceptation 2. Refus 3. Transfert 4. Réduction Menaces, vulnérabilités, Probabilités, impacts Métrique d évaluation Risques résiduels Communication et consultations 266

267 Plan de présentation Risques Menaces ISO Vulnérabilités Impact conséquences Processus de gestion du risque 267

268 Risques 1/3 Risque de sécurité de l'information (Information security risk) (3.2) : Possibilité (potential) qu'une menace puisse exploiter une vulnérabilité d'un actif et causer ainsi un préjudice à l'organisation Mesuré par combinaison de Probabilité d'occurence ou vraisemblance ou potentialité de l'évènement Impact (3.1) ou conséquence ou préjudice Impact : plutôt "Sécurité de l'information" Conséquence : plutôt processus métier, organisme Possède Vulnérabilité Actif Exploite Permet la réalisation Cible Menace Provoque Impact Cause Conséquence ou Préjudice 268

269 Risques Le risque est caractérisé par : Source ou origine Menace Probabilité d'occurrence ou vraisemblance ou potentialité Exemples Employé malveillant, personnel non sensibilisé,... Divulgation d'information confidentielle, coupure d'électricité,... Durée et lieu d'occurrence, probabilité d'occurrence Vulnérabilité ayant permis ce risque Erreur de conception, erreur humaine,... Impact, conséquence ou préjudice Mesure de sécurité ou protection ou contre-mesure pour s'en protéger Indisponibilité du service, perte de marché ou d'image,... Contrôle d'accès, politique de sécurité, sensibilisation du personnel,.. 269

270 Risques Exemple dans un tableau d'appréciation des risques : 3/3 Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque 270

271 Menaces 1/4 Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Menaces (Threat) (CD27000:3.3.6) Source potentielle d'incident pouvant entraîner des changements indésirables sur : un actif un ensemble d'actifs l'organisation Menaces Classées par : Origine Type Source, motivation, action Possède Vulnérabilité Actif Exploite Permet la réalisation Cible Menace Provoque Impact Cause Conséquence ou Préjudice 271

272 2/4 Menaces (C) Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Origines des menaces (C) Accidentelle Délibérée Environnementale A D E Accidentelle : A (accidental) Délibérée: D (deliberate) Action humaine qui endommage accidentellement un actif Action délibérée sur un actif Environnementale: E (environmental) Tout incident sur un actif qui ne vient pas d'une action humaine Attention à la terminologie trompeuse 272

273 3/4 Menaces (C) Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Types de menaces (C) Dommage physique (A, D, E) Feu, dégât des eaux, pollution, poussière, gel Accidentelle Délibérée Environnementale A D E Evènement naturel (E) Séisme, éruption volcanique, inondation (d'origine naturelle) Perte de service essentiel Eau (A, D), air conditionné (A, D), électricité (A, D, E), télécommunication Perturbations dues aux radiations (A, D, E) Compromission de l'information Interceptions de toutes natures (D) Vol d'équipement, de supports, d'équipements (D) Divulgation d'information, données peu fiables (A, D) Détection de position (D) 273

274 Menaces (C) 4/4 Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Type de menaces (C) Pannes techniques Mauvais fonctionnement d'un équipement ou d'un logiciel (A) Saturation (A, D) Actions non-autorisées Copies de logiciels non-autorisés (A), usage de contrefaçons (A, D), corruption de données (D) Compromission de fonction Accidentelle Délibérée Environnementale A D E Erreur d'utilisation, abus ou contrefaçon de droits, répudiation 274

275 Vulnérabilités (D) Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Vulnérabilité : propriété intrinsèque de l'actif Menaces peuvent exploiter les vulnérabilités (D) Exemples vulnérabilité Zone inondable Spécifications incomplètes pour les développeurs Manque des rôles et responsabilités en sécurité de l'information dans la description de poste Accidentelle Délibérée Environnementale A D E menace inondation mauvais fonctionnement du logiciel erreur d'utilisation Possède Vulnérabilité Actif Exploite Permet la réalisation Cible Menace Provoque Impact Cause Conséquence ou Préjudice 275

276 Actifs/menaces/vulnérabilités Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Exemple : Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs Menaces Vulnérabilités 276

277 Réponse : Actif Actifs/menaces/vulnérabilités Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs Menaces Vulnérabilités Informations sensibles : projet d'article, contrats en cours, courriels Possibilité de transfert des informations sensibles à des organismes hostiles Écoutes sur les échanges Stockage en clair des informations Courriels échangés sans chiffrement Ordinateur portable Vol de l ordinateur portable Chercheur peu sensibilisé à la sécurité Caractère portable de l'ordinateur 277

278 Impact/Conséquence Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Impact d'un risque exprimé par : ( d.4) Atteinte à un critère de risque, ou perte d'un critère de risque Exemples : Atteinte à l'intégrité Perte de disponibilité Conséquence d'un risque (ou préjudice) exprimée par : Du français Exemple : Atteinte à l'image de marque Perte de chiffre d'affaires Possède Vulnérabilité Actif Exploite Permet la réalisation Cible Menace Provoque Impact Cause Conséquence ou Préjudice 278

279 Actif Menace Impacts/conséquences Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Exemple : Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs Menaces Vulnérabilités Impacts Conséquences 279

280 impacts/conséquences Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Réponse : Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs Menaces Vulnérabilités Impacts Conséquences Informations sensibles : projet d'article, contrats en cours, courriels Possibilité de transfert des informations sensibles à des organismes hostiles Stockage en clair des informations Atteinte à la confidentialité des informations du portable Atteinte à l'intégrité des informations du portable Perte de disponibilité des informations du portable Impossible de publier ou de déposer un brevet Perte de compétitivité du laboratoire qui se fait voler ses recherches Problème d image vis-à-vis des partenaires 280

281 Tableau d'appréciation des risques Actif Menace Vraisemblance (ou probabilité) Vulnérabilité Impact / Conséquence Valeur du risque Exemple dans un tableau d'appréciation des risques : Rapport (report) d'appréciation des risques Tableau (table) d'appréciation des risques (E.2) (IS e) Actif Menace Probabilité d occurrence Vulnérabilité Impact/ Conséquence Valeur du risque 281

282 Processus de gestion du risque Identifier les risques Quantifier chaque risque par rapport aux conséquences que sa matérialisation pourrait avoir sur l activité à sa probabilité d'occurrence (likelihood) Identifier les actions appropriées pour réduire les risques identifiés à un niveau acceptable Implémenter les actions pour réduire les risques Éduquer la direction et le personnel sur les risques et les actions prises pour les atténuer Rectifier le traitement du risque à la lumière des évènements et des changements de circonstances Améliorer le processus de gestion du risque Surveiller et réexaminer les résultats, l'efficacité et l'efficience du processus 282

283 Processus de gestion du risque Définition d'un processus Continu et qui s'améliore, donc PDCA Processus de gestion de risque de la sécurité de l'information (information security risk management process) Processus applicable A toute l'organisation A un sous ensemble Service, site géographique, etc. A tout système d'information A une mesure de sécurité ou un traitement existant ou planifié Exemple : continuité d'activité 283

284 Processus de gestion du risque (6) p6 Décomposé en deux activités séquentielles et itératives Approche itérative Améliore la finesse de l'analyse à chaque itération Garantie une appréciation des risques élevés Minimise le temps et l'effort consenti dans l'identification des mesures de sécurité Appréciation des risques satisfaisante? Risques acceptables? Dans ISO l'activité appréciation du risque s'appelle processus d'appréciation du risque (8.1) Appréciation du risque (risk assessment) Appréciation satisfaisante? Oui Non Traitement du risque (risk treatment) Risques résiduels à un niveau acceptable? Non Oui 284

285 Processus de gestion du risque Approche itérative ou cyclique Permet d'avancer avec des Interlocuteurs absents ou incapables de savoir ou qui refusent de répondre Livrables incomplets Incapacité du management de se prononcer sur l'approbation des risques résiduels sans connaître d'abord les coûts associés Facilite la gestion des susceptibilités et des aspects politiques entre Interviewés Actifs et processus métier Facilite les liens entre les risques et les impacts sur les processus métier Appréciation du risque (risk assessment) Appréciation satisfaisante? Traitement du risque Risques résiduels à un niveau acceptable? Oui Non (risk treatment) Non Oui 285

286 Processus de gestion du risque Appréciation du risque (8) Analyse des risques Mise en évidence des composantes des risques Estimation de leur importance Évaluation des risques Analyse d'ensemble et prise de décision sur les risques Traitement du risque (9) Sélection des objectifs et mesures de sécurité pour réduire le risque Refus, transfert ou maintien du risque Acceptation du risque résiduel (10) Approbation par la direction des choix effectués lors du traitement du risque Communication du risque (11) 286

287 Processus de gestion du risque (6) p8-9 n 1 Assez d'éléments pour déterminer les actions nécessaires à la réduction des risques à un niveau acceptable? n 2 Risque acceptable? Consultations des acteurs et communication à la hiérarchie et aux équipes opérationnelles à chaque étape Risques identifiés utiles immédiatement à la gestion des incidents Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Traitement du risque Risques acceptables? Appréciation du risque Analyse de risque Oui Oui Non Non Acceptation du risque Communication et consultations 287

288 Processus de gestion du risque (6) p7 Établissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Plan Évaluation du risque Élaboration du plan de traitement du risque Do Implémentation du plan de traitement du risque Roue de Deming Act Améliorer le processus de gestion de risque Check Surveillance et réexamen du risque 288

289 Plan de présentation établissement du contexte Critères d'évaluation des risques Critères d'impact Établissement du contexte Appréciation du risque Définir ses critères de base Définir le champ et les limites du processus de gestion du risque Décrire l'environnement du processus de gestion du risque Décrire l'objet du processus de gestion du risque Critères d'acceptation des risques Disponibilité des ressources ISO27005 Traitement du risque Acceptation du risque Organiser et gouverner la gestion du risque Communication du risque Surveillance et réexamen du Adaptation par R. Longeon du cours d Alexandre risque Fernandez-Toro et Hervé Schauer 289

290 Établissement du contexte Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Appréciation du risque Analyse de risque Oui Non Traitement du risque Communication et consultations Risques acceptables? Oui Non Acceptation du risque 290

291 Établissement du contexte Établissement du contexte Communication du risque Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Surveillance et réexamen du risque (IS c) Acceptation du risque Définir ses critères de base (7.2) Définir le champ et les limites du processus de gestion du risque (7.3) Décrire l'environnement du processus de gestion du risque (7.3) Décrire l'objet du processus de gestion du risque (7.3) Organiser et gouverner la gestion du risque (7.4) 291

292 Établissement du contexte Définir ses critères de base (7.2) : 1. Critères d'évaluation des risques (Risk Evaluation Criteria) A partir d'où je dois faire l'évaluation des risques? 2. Critères d'impact (Impact Criteria) A partir d'où l'impact est assez important pour que le risque doive être pris en compte? 3. Critères d'acceptation des risques (Risk Acceptance Criteria) A partir de quel niveau le niveau de risque sera acceptable? Pas d'échelles standard Critères peuvent changer d'une appréciation à l'autre, d'une itération à l'autre 292

293 Établissement du contexte Critères d'évaluation des risques 1. Critères d'évaluation des risques : Valeur stratégique du processus métier Criticité des actifs impliqués (7.2) (IS27001: b.4) Obligations légales et réglementaires (legal and regulatory requirements) Engagements contractuels (contractual obligations) Importance opérationnelle et métier de la disponibilité, confidentialité, intégrité Perception des clients et conséquences négatives pour la clientèle Attentes des clients 0 Cinq niveaux dans les critères d évaluation du risque : 1. Risques nuls (Jaune clair : 0) 2. Risques négligeables (Jaune : 1-2) 3. Risques significatifs (Rose : 2-3) 4. Risques graves (Rouge : 5-6) 5. Risques vitaux (Bordeaux : 7-8) 293

294 Établissement du contexte Critères d'évaluation des risques 1. Critères d'évaluation des risques : Lié à l'établissement des critères de valeur des actifs Généralement de 3 à 5 niveaux «gros grain» Echelle doit prendre en compte les critères de sécurité qui affecteront l'actif s'il est atteint : (BS C.5.1) Confidentialité, Intégrité, Disponibilité et tout autre critère utile à cet actif Exemple : Cinq niveaux dans les critères d évaluation du risque : 1. Risques nuls (Jaune clair : 0) 2. Risques négligeables (Jaune : 1-2) 3. Risques significatifs (Rose : 2-3) 4. Risques graves (Rouge : 5-6) 5. Risques vitaux (Bordeaux : 7-8) 294

295 Établissement du contexte Critères d'évaluation des risques 1. Critères d'évaluation des risques : Proposer des critères prédéfinis Permettra de demander aux gens de se positionner formellement Facile de dire en interview "Ma messagerie, c'est vital", plus difficile avec une liste de critères d'évaluation des risques prédéfinie où il faut choisir Criticité pour l'organisation./. criticité pour le propriétaire de l'actif ou du processus métier Critères d'évaluation des risques variables d'une organisation à une autre Dommage peut être désastreux pour une organisation et négligeable pour une autre Peuvent être utilisés pour ordonnancer le traitement des risques 295

296 2. Critères d'impact : Établissement du contexte Critères d'impact (7.2) (IS27001: d.4) Niveau de classification du patrimoine informationnel impacté Impact de la violation des critères de sécurité (breaches of security criteria) Confidentialité, intégrité, disponibilité et éventuellement d'autres critères de sécurité Détérioration de l'exploitation (impaired operations) Interne ou tierce partie Perte financière et perte de business Perturbation des projets, non-respect des dates limites (disruption of plans and deadlines) Dégradation de la réputation (damage of reputation) Exemple : Cinq niveaux dans les critères d impact : 1. valeur négligeable : les effets ne sont pas décelables 2. valeur faible : les effets affectent essentiellement des éléments de confort 3. valeur significative : les effets affaiblissent la performance 4. valeur élevée : affecte toute l unité 5. valeur critique : mettent en danger les missions essentielles de l organisme 296

297 2. Critères d'impact (B.3) : Établissement du contexte Critères d'impact Différence entre la valeur d'un actif et l'impact? Incident de sécurité peut affecter Un actif Plusieurs actifs Une partie d'un actif Impact mesure le degré de dommage d'un incident Impact immédiat (opérationnel) ou futur (business) Impact direct ou indirect Au départ, l'estimation d'un impact sera très proche de l'estimation de la valeur des actifs impactés Au fur et à mesure des itérations, l'impact finira par être plus faible que la valeur des actifs impactés, à cause de l'efficacité des mesures de sécurité misent en oeuvre 297

298 Établissement du contexte Critères d'acceptation des risques 3. Critères d'acceptation des risques prennent en compte : Métier Légaux et réglementaires D'exploitation Technologiques Financiers Sociaux et humanitaires (7.2) (IS c.2) Les risques sont acceptés jusqu au niveau 2 298

299 Établissement du contexte Critères d'acceptation des risques Définir ses propres échelles et ses propres seuils d'acceptation des risques (levels of risk acceptance) (7.2), fonction de : Politique interne Buts et objectifs Intérêts des ayants-droits (stakeholders) Critères d'acceptation des risques : Les risques sont acceptés jusqu au niveau 2 Décrit les circonstances dans lesquelles l'organisation acceptera les risques (BS ) Correspond au critères de risque (risk criteria) (ISO Guide 73) dans d'autres documents Maintien du risque dépendra des critères d'acceptation des risques Décidé par la direction générale (IS f) 299

300 Établissement du contexte Critères d'acceptation des risques Exemple de seuil 1: Exemple de seuil 2 : Niveau de risque Exemple financier Exemple juridique 0 Sans importance 1 Sans importance Perte > 10k 2 Utile 3 Utile Perte > 100k 4 Important 5 Important Perte > 1M Appel au service juridique 6 Stratégique 7 Stratégique Perte > 10M Appel à un avocat 8 Vital 0 à 2 : risques ne nécessitant pas de traitement 3 à 9 : risques devant être traités Parfois visualisés avec des couleurs lors de l'estimation des risques Exemple : vert (sans importance), jaune (utile), orange (important), rouge (stratégique), noir (vital) 300

301 Exemple de seuil d acceptation Le CNRS utilise cette échelle de risque 301

302 Établissement du contexte Disponibilité des ressources 4. Disponibilité des ressources pour (7.2)(IS ) : Réaliser l'appréciation des risques et le plan de traitement des risques Définir et implémenter les politiques et procédures Implémenter les mesures de sécurité sélectionnées Suivre de près les mesures de sécurité Surveiller le processus de gestion des risques 302

303 Établissement du contexte Disponibilité des ressources Définir le champ et les limites (scope and boundaries) du processus de gestion du risque (7.3) : Inclus dans le périmètre du SMSI Environnement du processus de gestion du risque Objet du processus de gestion du risque Processus de gestion du risque applicable à tout type d'objet : Application Infrastructure IT Processus métier Organisation Communication du risque Établissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Acceptation du risque Surveillance et réexamen du risque 303

304 Établissement du contexte Disponibilité des ressources Décrire l'environnement du processus de gestion du risque (7.3) : Présentation de l'organisation Ses objectifs stratégiques pour son métier, ses stratégies et ses politiques Politique de sécurité Contraintes affectant l'organisation Liste des obligations légales, réglementaires et contractuelles s'appliquant à toute l'organisation Aire d'application du processus au sens des limites système ou géographiques Architecture du système d'information Justification des exclusions du champ du processus de gestion de risque Environnement socio-culturel 304

305 Établissement du contexte Disponibilité des ressources Contraintes pouvant affecter l'organisation (A.2) : Politiques Exemple : administration électronique Stratégiques Exemple : changement de structure ou d'orientation Territoriales Exemple : ambassades Issues du climat économique Exemple : grève, crise internationale Structurelles Exemple : concilier des exigences de sécurité spécifique à chaque pays Fonctionnelles Exemple : 24h/24h 7j/7j 305

306 Établissement du contexte Disponibilité des ressources Contraintes pouvant affecter l'organisation (A.2) : Concernant le personnel Exemple : obligation d'habilitation Issue du calendrier de l'organisation Exemple : nouvelle politique imposant une date limite incontournable Relatives aux méthodes Exemple : utilisation du savoir-faire Culturelles Exemple : habitude tenaces, tempérament, croyances Budgétaires Bien que pas toujours approprié de baser les investissements de sécurité sur leur rapport coût/efficacité, une sorte de justification économique est généralement nécessaire Coût total des mesures de sécurité inférieur au coût des conséquences potentielles des risques 306

307 Établissement du contexte Disponibilité des ressources Décrire l'objet du processus de gestion du risque (7.3) : Présentation du champ Constituants Objectifs Description fonctionnelle Mesures de sécurité déjà en place ou prévues Limites et frontières (Borders and barriers) Interfaces et échanges avec l'environnement Organisation et responsabilités Suppositions (assumptions) Contraintes spécifiques Références réglementaires spécifiques 307

308 Établissement du contexte Disponibilité des ressources Organiser et gouverner la gestion du risque (7.4) : Approbation par la direction générale (Cf IS f) Identification des parties impliquées (involved parties) Dont les ayants-droit (stakeholders) Définition des rôles et responsabilités Dans toutes les entités concernées par le processus de gestion du risque Etablissement des liens nécessaires entre les parties impliquées Particulièrement avec les fonctions de gestion du risque de haut niveau Gestion des risques opérationnels Répartition des tâches et activités, y comprit la documentation Gestion de ressources Définition des chemins d'escalade de décision Définition des enregistrements devant être conservés Communication du risque Établissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Acceptation du risque Surveillance et réexamen du risque 308

309 Plan de présentation Appréciation du risque Identification des actifs Identification des menaces Identification des risques Identification des mesures de sécurité existantes Identification des vulnérabilités Établissement du contexte Analyse de risque Identification des conséquences Appréciation du risque Estimation des conséquences ISO27005 Traitement du risque Évaluation du risque Estimation du risque Estimation de la probabilité d'occurrence des menaces Acceptation du risque Estimation des vulnérabilités Communication du risque Surveillance et réexamen du Adaptation par R. Longeon risque du cours d Alexandre Fernandez-Toro et Hervé Schauer Estimation des niveaux de risques 309

310 Appréciation du risque Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Traitement du risque Risques acceptables? Appréciation du risque Analyse de risque Oui Oui Non Non Acceptation du risque Communication et consultations 310

311 Appréciation du risque Appréciation du risque (8.1) : Déterminer la valeur des actifs Identifier les menaces et les vulnérabilités Identifier les mesures de sécurité existantes et leurs effets sur le risque identifié Quantifier les conséquences potentielles Prioritiser et ordonnancer les risques par rapport aux critères préalablement établis Itérations de l'appréciation (8.1) Haut-niveau De plus en plus en profondeur Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluation du risque Non 1. Critères d'évaluation des risques 2. Critères d'impact 3. Critères d'acceptation des risques Oui Appréciation satisfaisante? 311

312 Appréciation du risque Processus d'appréciation du risque (8.1) : Les critères de base comprennent : Les critères dévaluation du risque Les critères d impact Les critères d acceptation du risque Organisation de la gestion de risques Critères de base Critères d'acceptation du risque Identification des risques Description quantitative ou qualitative des risques Prioritisation des risques Risques évalués : le risque est de niveau 2 Risques appréciés : le risque est négligeable Liste des risques évalués (appréciés) 312

313 Indentification des risques Identification des risques (8.2) : Actif Possède Cible Vulnérabilité Exploite Permet la réalisation Menace Provoque Impact Cause Conséquence ou Préjudice 313

314 Identification des risques (8.2.1) Analyse de risques Identification des risques Identification des actifs Identification des menaces Identification des mesures de sécurité existantes Identification des vulnérabilités Identification des conséquences Estimation des risques Méthodes d'identification des risques Réunions de brainstorming collectif Utilisation de la compétence et l'expérience de chacun Réflexion individuelle structurée Analyses, études, diagrammes, modélisation, Approche par scénarios Permet d'identifier des risques sur des actifs moins définis 314

315 Appréciation du risque Identification des risques Identification des actifs Identification des menaces Identification des mesures de sécurité existantes Identification des vulnérabilités Identification des conséquences Identification et évaluation des actifs ( ) : Actifs non-identifiés à l'issue de cette activité ne seront pas classés ==> même compromis cela n'affecte pas l'objet du processus de gestion de risque (B.1.1) Propriétaire de l'actif ==> responsable et redevable pour cet actif ( ) Production, développement, maintenance, usage, sécurité,... Pas au sens droit de propriété Inventaire des actifs avec propriétaire, emplacement, fonction,... (IS d.1) Identifier et valoriser les actifs dans le périmètre Liste d'actifs valorisés Liste de processus métier relatifs à ces actifs 315

316 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des actifs (B.1) : Actifs primordiaux (principaux, primaires) (primary assets) : Processus et activités métier Processus métiers reliés aux actifs demeurent même s'ils ne sont pas sélectionnés comme actifs eux-mêmes Information Actifs de soutien (de support, secondaires) (supporting assets) : Cadre organisationnel Site Personnel Réseau Logiciel Matériel (Système) 316

317 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des actifs primordiaux (B.1.1) : Identification à la fois par Appréciateur du risque SI, gestionnaire de risque SI, responsable du SMSI Responsable des métiers Utilisateurs Validation par Propriétaire (redevable) du processus métier Dont la responsabilité serait mise en cause en cas de dommage 317

318 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des actifs primordiaux (B.1.1) : Processus et activités métier (B.1.1.1) Dont la perte ou la dégradation rend impossible la poursuite de la mission de l'organisme Qui contiennent des processus secrets ou impliquant de la hautetechnologie Qui, si modifiés, peuvent grandement affecter l'accomplissement de la mission de l'organisme Information (B.1.1.2) Vitale pour la mission ou le métier de l'organisation Nominative, soumise à une législation nationale sur le respect de la vie privée Stratégique, indispensable à l'atteinte des objectifs déterminés par les orientations stratégiques Onéreuse, pour laquelle la collecte, le stockage et le traitement demande beaucoup de temps ou implique un coût d'acquisition élevé 318

319 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des actifs de soutien (B.1.2) : Cadre organisationnel Autorité de tutelle, maison-mère,... Agences, départements, services Projets Sous-traitants & fournisseurs liés par contrats Site géographique Environnement extérieur, locaux, zones, téléphonie classique, courant électrique, eau, air conditionné Personnel Réseau Logiciel Matériel 319

320 Exemple : Actifs/propriétaires Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs primordiaux Actifs de soutien Propriétaires 320

321 Réponses : Actifs/propriétaires Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs primordiaux Actifs de soutien Propriétaires Résultats de recherche Ordinateur portable Laboratoire Chercheur lui-même Articles en cours de rédaction Ordinateur portable Chercheur Brevet en cours Courriels échangés avec les partenaires industriels Ordinateur portable Chercheur lui-même Ordinateur portable Réseaux Partenaire industriel Chercheur et partenaire 321

322 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Évaluation des actifs (B.2) : Définir une échelle et des critères d'évaluation des actifs Évaluer les actifs Indiquer à chaque évaluation le critère utilisé et l'auteur de l'évaluation Assigner une valeur finale à chaque actif Homogénéiser l'ensemble des évaluations Produire une liste d'actifs avec leur valeur 322

323 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Évaluation des actifs (B.2) : Définir une échelle et des critères d'évaluation des actifs Quantitatif : échelle monétaire Exemple : coût initial de l'actif, coùt de remplacement ou de recréation Qualitatif : Exemple : réputation de l'organisme Echelle et vocabulaire propre à l'organisme Exemple d'échelle : négligeable, très faible, faible, moyenne, élevée, très élevée, critique Possible d'utiliser une approche par rapport aux pertes vis-à-vis des critères de sécurité Confidentialité, intégrité, disponibilité, non-répudiation, tracabilité, authenticité, fiabilité o 1 valeur par critère Intègre dans la valorisation de l'actif les conséquences d'un incident sur les processus métiers impactés 323

324 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Évaluation des actifs (B.2) : Évaluer les actifs Identifier les dépendances des processus métiers sur les actifs Considérer le fait qu'un actif existe en plusieurs exemplaires Mais que parfois il sont les premiers oubliés (overlooked easily) Indiquer à chaque évaluation le critère utilisé et l'auteur de l'évaluation Appréciateur des risques doit d'abord chercher les bons interlocuteurs avant d'évaluer lui-même Propriétaire de l'actif, utilisateurs de l'actif, direction générale, etc 324

325 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Évaluation des actifs (B.2) : Assigner une valeur finale à chaque actif Valeur maximale ou somme des valeurs, ou une autre méthode Exemple dans le cas d'un "cahier de labo" Valeur basée sur le travail qui a été nécessaire à concevoir le "cahier" Valeur basée sur le travail qui a été nécessaire à collecter les données nécessaire au "cahier de labo" Valeur basée sur l'intérêt que représente le cahier de laboratoire" pour la concurrence

326 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Évaluation des actifs (B.2) : Homogénéiser l'ensemble des évaluations Par exemple à l'aide de critères permettant d'apprécier la perte vis-àvis d'un critère de sécurité : Violation de la législation Affaiblissement (impairment) de la performance Perte de clientèle / Mauvais effets sur la réputation Abus (breach) associé aux informations nominatives Mise en danger (endangerment) de la sécurité des personnes Effets défavorable (Adverse effects) sur l'application de la loi Violation (breach) de la confidentialité Trouble (breach) à l'ordre public Perte financière Pertubation des activités métier Mise en danger de la sécurité environnementale (environmental safety) 326

327 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Évaluation des actifs (B.2) : Homogénéiser l'ensemble des évaluations (suite) Ou bien en appréciant les conséquences En utilisant au final une échelle d'évaluation des actifs unique Généralement au minimum 3 niveaux et au maximum 10 Eventuellement en précisant les limites possibles à chaque valeur Produire une liste d'actifs avec leur valeur Exemple d'échelle valeur négligeable : les effets ne sont pas décelables 0 valeur faible : les effets affectent essentiellement des éléments de confort 1 valeur significative : les effets affaiblissent la performance 2 valeur élevée : affecte toute l unité 3 valeur critique : mettent en danger les missions essentielles de l organisme 4 327

328 Exemple : actifs valorisés Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Types d'actif et dépendances Actifs Valorisation Processus métier Information Actif de soutien Exemple d'échelle valeur négligeable : les effets ne sont pas décelables 0 valeur faible : les effets affectent essentiellement des éléments de confort 1 valeur significative : les effets affaiblissent la performance 2 valeur élevée : affecte toute l unité 3 valeur Adaptation critique par : R. mettent Longeon en du danger cours d Alexandre les missions Fernandez-Toro essentielles et de Hervé l organisme Schauer 4 328

329 Réponses : actifs valorisés Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Types d'actif et dépendances Actifs Valorisation Processus métier Article en cours 3 Information Résultats de recherche du chercheur 2 Actif de soutien Ordinateur portable 1 Exemple d'échelle valeur négligeable : les effets ne sont pas décelables 0 valeur faible : les effets affectent essentiellement des éléments de confort 1 valeur significative : les effets affaiblissent la performance 2 valeur élevée : affecte toute l unité 3 valeur critique : mettent en danger les missions essentielles de l organisme 4 329

330 Exemple d'actifs Exemple dans un tableau d'inventaire des actifs : Actif N Nom Propriétaire Valeur Actifs reliés Valorisation peut être par rapport aux critères de risque ou critères de sécurité : Actif N Nom Propriétaire Valorisation Confidential. Intégrité Disponibilité 330

331 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des menaces ( ) : En priorité les menaces d'origine accidentelles et délibérées De manière générique et par type Compromission de l'information, pannes techniques, actions non-autorisées Source Qui et quoi cause la menace Cible Quels éléments du système peuvent être affectés par la menace Propriétaires d'actifs Gestion des incidents Catalogues de menaces (IS d.2) Identifier les menaces et leurs sources Liste de menaces avec leur type, source et les personnes pouvant les explorer 331

332 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des menaces ( ) : Par interviews Propriétaires d'actifs, utilisateurs, ressources humaines, services opérationnels, spécialistes en sécurité, sécurité physique, juridique... Autorités gouvernementales, météorologie, compagnies d'assurance... Propriétaires d'actifs Gestion des incidents Catalogues de menaces Identifier les menaces et leurs sources Liste de menaces avec leur type, source et les personnes pouvant les explorer 332

333 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des menaces : Par intuition, connaissance et expérience Utilisation de listes de menaces ISO27005 C : reprise dans le cours dans la partie vocabulaire, ce sont les 42 menaces EBIOS intégrées dans la norme BS C2 : liste non exhaustive de 76 menaces... Limites des interviews Propriétaires d'actifs ne connaissent pas toujours les menaces qui pèsent sur leurs actifs Ne commencent parfois à répondre qu'après avoir vu du concret donc après plusieurs itérations 333

334 Exemple de menaces Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Menaces Types/Sources Origines Type Source Type Source Type source 334

335 Exemple de menaces Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Menaces Types/Sources Origines Perte de l'ordinateur portable Type Source Compromission de l'information Accidentelle Négligence du chercheur Vol de l'ordinateur portable Type Source Compromission de l'information Délibérée Voleur Écoute sur les échanges Type source Compromission de l'information Délibérée Cybercriminalité 335

336 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des mesures de sécurité existantes ( ) : Évite les redondances Réexamen du plan de traitement du risque mis en œuvre, pas du plan élaboré mais pas déjà implémenté Vérification des indicateurs d'efficacité des mesures de sécurité Si une mesure de sécurité ne fonctionne pas comme prévu il peut y avoir des vulnérabilités Interview du RSSI,... Réexamen sur site des mesures de sécurité physique Documentation des mesures de sécurité (procédures) Plan de traitement du risque Identifier les mesures de sécurité Liste des mesures de sécurité existantes et prévues avec le degré d'usage et d'implémentation 336

337 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des mesures de sécurité existantes : Déclaration d'applicabilité (DdA) contient souvent l'état d'avancement de la mise en œuvre des mesure de sécurité Par site géographique ou par actif 337

338 Exemple de conséquences Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Menaces Conséquences Mesures 338

339 Exemple de conséquences Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Menaces Conséquences Mesures Vol de l ordinateur portable Profilage du chercheur chercheur Résultats de recherche récupérer par un autre Données privées publiées Chiffrer le disque dur (IS27001 A ) Accrocher l'ordinateur portable avec un câble à un élément inamovible (IS27001 A.9.2.5) Sensibiliser le chercheur aux risques spécifiques à l'usage d'un ordinateur portable (IS27001 A ) 339

340 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des vulnérabilités ( ) : Vulnérabilités généralement reliées aux propriétés ou attributs des actifs Vulnérabilités sans aucune menace doivent être quand même reconnues et suivies en cas de changement plus tard Liste de menaces Faiblesses des processus métier Facilité d'exploitation... (IS d.3) Identifier les vulnérabilités pouvant être exploitées par les menaces Liste de vulnérabilités reliées aux actifs, menaces et mesures de sécurité 340

341 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des vulnérabilités : Catalogues de vulnérabilités (D.1) Exemples de vulnérabilités, avec les menaces pouvant les exploiter ISO D.1 (EBIOS) BS C.4 Recherche de vulnérabilités techniques (D.2) Logiciels automatiques de tests de vulnérabilités Audits de sécurité par des experts Tests d'intrusion Audit de code Méthodes classiques (D.2) Interview, questionnaires, inspection physique, analyse documentaire 341

342 Exemple de vulnérabilités liées aux actifs Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs Vulnérabilités 342

343 Exemple de vulnérabilités liées aux actifs Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Actifs Informations stockées sur l ordinateur portable Ordinateur portable Connexions internet et réseau 1. Ordinateur portable 2. Informations du portable 3. Connexions réseau Vulnérabilités Stockage en clair de la base de données à caractère privé et des informations stratégiques Caractère mobile de l'ordinateur portable Échanges en clair des informations stratégiques entre l'ordinateur portable du chercheur et ses partenaires Chercheur peu sensibilisé, alors que le processus de publication est un actif dont la perte affecte la performance, et que les données en sa possession (résultats de recherche) sont un actif critique 343

344 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des conséquences ( ) ou des effets induits : Identification des dommages ou des impacts sur l'organisme Causé par une menace exploitant une vulnérabilité Lors d'un scénario d'incident de sécurité (cf IS ) Impact mesuré selon les critères d'impact Peut affecter un ou plusieurs actifs Identification des conséquences opérationnelles Liste des actifs Liste des processus métier reliés aux actifs Identifier les conséquences qu'une perte de CID pourrait avoir sur les actifs Liste des conséquences relatives aux actifs et aux processus métier (IS d.4) 344

345 Appréciation du risque Identification des risques Identification Identification des mesures des menaces de sécurité existantes Identification des actifs Identification des vulnérabilités Identification des conséquences Identification des conséquences ou des effets induits : Association des conséquences aux actifs pas suffisant pour communiquer / être compris Association des conséquences relatives aux processus métier souvent indispensable Reformuler sous forme de scénario pour communiquer 345

346 Exemple de scénario/conséquence Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Scénarios d'incident Impacts/Conséquences 346

347 Exemple de scénario/conséquence Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Scénarios d'incident Impacts/Conséquences Un service d investigation veut obtenir des transfert s sur les recherches que mène un laboratoire. Il fait proposer par une université une invitation de six mois à un directeur de recherche de cette unité. Au cours du passage à la douane le disque dur, qui comportait un article en cours de rédaction, est recopié. Un brevet en voie de dépôt, des courriels échangés au sein de la collaboration de recherche et des négociations entre des partenaires industriels ont été espionnés. Perte de compétitivité de recherche du laboratoire. La perte de l article et des résultats de recherche empêche sa publication. Un industriel concurrent dépose un brevet de barrage. Perte d image du laboratoire Perte de confiance des partenaires industriels Difficulté au sein de la collaboration de recherche 347

348 Plan de présentation Analyse de risque Identification des actifs Identification des menaces Identification des risques Identification des mesures de sécurité existantes Identification des vulnérabilités Établissement du contexte Analyse de risque Identification des conséquences Appréciation du risque Estimation des conséquences ISO27005 Traitement du risque Évaluation du risque Estimation du risque Estimation de la probabilité d'occurrence des menaces Acceptation du risque Estimation des vulnérabilités Communication du risque Surveillance et Adaptation par R. Longeon réexamen du cours du d Alexandre Fernandez-Toro et Hervé Schauer risque Estimation des niveaux de risques 348

349 Analyse de risque Analyse de risque implique généralement de regarder : Origine des risques Conséquences positives et négatives Probabilité d'occurrence ou potentialité et facteurs affectant cette probabilité Facilité de mise en oeuvre Mesures de sécurité ou autres éléments qui réduiraient les conséquences négatives Techniques classiques Interviews, questionnaires Réflexion 349

350 Estimation des risques Identification des risques (8.2.1) : Actif Possède Cible Vulnérabilité Exploite Permet la réalisation Menace Provoque Impact Cause Conséquence ou Préjudice 350

351 Estimation des risques Méthodes d'estimation des risques ( ) : Qualitative Plus grande facilité de compréhension Établissement du contexte Moins grande subjectivité Magnitude des conséquences exprimée par exemple par faible, moyenne, élevée Utile en l'absence de données permettant une estimation quantitative Communication du risque Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Surveillance et réexamen du risque Quantitative Acceptation du risque Plus directement relié aux objectifs de sécurité Moins dépendant de la validité du modèle Échelle avec des valeurs numériques A faire avec l'historique des incidents 351

352 Estimation des risques Méthodes d'estimation des risques : Quantitative Coûts mesurables Investissements Maintenance et support Prime d'assurance Baisse de productivité où l'équivalent financier est chiffrable Perte de revenus Remplacement ou reconstitution Qualitative Coûts difficilement mesurables Baisse de productivité difficile à mesurer Perte de réputation ou de la confiance des clients Perte de part de marché Non-conformité à la législation Poursuites juridiques Combinaison des deux méthodes 352

353 Estimation des risques Estimation des conséquences Estimation de la probabilité d'occurrence des menaces Estimation des vulnérabilités Estimation des niveaux de risques Estimation des conséquences ( ) : Expression sous forme monétaire compréhensible par le plus grand nombre Qualitativement ou quantitativement Critères d'impact Valorisation du coût de l'impact Remplacement de l'actif Reconstitution Remplacement de l'information Critères techniques, humains,... Liste des conséquences relatives aux actifs et aux processus métiers Estimer les impacts des incidents de sécurité possibles en fonction des conséquences CID Liste des conséquences analysées (appréciées) par rapport aux actifs (IS e.1) 353

354 Estimation des risques Estimation des conséquences Estimation de la probabilité d'occurrence des menaces Estimation des vulnérabilités Estimation des niveaux de risques Estimation des probabilités d'occurrence des menaces ( ) : En prenant en compte : Probabilité d'occurrence (potentialité, vraisemblance) de la menace (threat likelihood) Motivation, aptitude et ressources des attaquants potentiels et leur perception de l'attractivité et de la vulnérabilité de l'actif Pour les menaces accidentelles les facteurs d'erreurs humaines et de disfonctionnement, géographiques et météorologiques Probabilité d'occurrence faible, moyenne, élevée Liste de menaces avec leur type, source et les personnes pouvant les explorer (IS e.2) Estimer la probabilité d'occurrence des menaces Liste de menaces identifiées, d'actifs affectés, et probabilité d'occurrence 354

355 Estimation des risques Estimation des conséquences Estimation de la probabilité d'occurrence des menaces Estimation des vulnérabilités Estimation des niveaux de risques Estimation des vulnérabilités ( ) : En envisageant toutes les menaces pouvant les exploiter Dans une situation donnée En prenant en compte : Facilité d'exploitation Qualitative ou quantitative Mesures de sécurité existantes Liste de vulnérabilités reliées aux actifs, menaces et mesures de sécurité Analyser les vulnérabilités en envisageant toutes les menaces pouvant les exploiter Liste des vulnérabilités et l'analyse de leur facilité d'exploitation (IS e.2) 355

356 Estimation des risques Estimation des vulnérabilités reliées aux menaces : Exemple pour le contrôle d'accès, chapitre 11 (extrait) (BS C.4.5) : Vulnérabilité Mauvais cloisonnement des réseaux Manque de protection des équipements portables Vulnérabilité peut être exploitée par Connexions non-autorisées dans les réseaux Accès non-autorisé à l'information Pas ou mauvaise politique de contrôle d'accès Accès non-autorisé à l'information Pas de réexamen des droits d'accès des utilisateurs Accès par des utilisateurs qui ont quitté l'organisation ou changé de tâche Peu de gestion des mots de passe Usurpation de l'identité des utilisateurs 356

357 Estimation des risques Estimation des conséquences Estimation de la probabilité d'occurrence des menaces Estimation des vulnérabilités Estimation des niveaux de risques Estimation des niveaux de risques ( ) : Liste des conséquences analysées par rapport aux actifs Liste de menaces identifiées, d'actifs affectés, et probabilité d'occurrence Liste des vulnérabilités et l'analyse de leur facilité d'exploitation Estimer les niveaux de risques (IS e.3) Liste des risques avec leur indication de niveau 357

358 Exemple d estimation du risque Un chercheur utilise un ordinateur portable dans ses déplacements. Le disque dur contient des résultats de recherche et des informations stratégiques : courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet. Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... Pas de mesure de sécurité en œuvre Résultats de recherche Sur l ordinateur portable du chercheur L'ordinateur est mobile Les résultats sont en clairs vulnérabilités Possède Exploite actifs Permet la réalisation Cible Menace & source Vol de l ordinateur portable impact Provoque Atteinte à la confidentialité conséquences Cause Probabilité d'occurrence élevée Exploitation difficile Vol de l'ordinateur portable donc des résultats Perte d articles scientifiques Pertes de contrats Pertes de collaboration 358

359 Estimation des risques (estimation par tableau) Estimation des niveaux de risques ( ) : Exemple d'une matrice avec des valeurs prédéfinies (E.2.1) : Valeur de l'actif Probabilité d'occurrence de la menace (était niveau de menace (BS C.5.3) ) Facilité d'exploitation (était niveau de vulnérabilité (BS C.5.3) ) Un bien dont la valeur est estimé à 3, soumis à une menace de vraisemblance "haute" et facilité d'exploitation basse, donnera un risque de valeur 5. High L 3 359

360 Estimation des risques (estimation par tableau) Estimation des niveaux de risques ( ) : Exemple d'une matrice avec des valeurs prédéfinies (E.2.1) : Valeur de l'actif Probabilité d'occurence de la menace Facilité d'exploitation 360

361 Estimation des risques (estimation par tableau) Estimation des niveaux de risques avec la matrice de valeurs prédéfinies : Valeur de l'actif «résultats de recherche» : 3 Vraisemblance de la menace : élevée Facilité d'exploitation : Basse Car exploitation difficile Donc niveau de risque : 5 (stratégique) 0 Pas de mesure de sécurité en œuvre Résultats de recherche Sur l ordinateur portable du chercheur L'ordinateur est mobile Les résultats sont en clairs vulnérabilités Possède Exploite actifs Permet la réalisation Cible Menace & source Vol de l ordinateur portable impact Provoque Atteinte à la confidentialité conséquences Cause Probabilité d'occurrence élevée Exploitation difficile Vol de l'ordinateur portable donc des résultats Perte d articles scientifiques Pertes de contrats Pertes de collaboration 361

362 Estimation des risques (estimation par tableau) Exemple dans un tableau d'appréciation des risques : Actif Nom Val. Menace Vraisemblance Facilité Exploitation Vulnérabilités Conséquences ou impact Valeur du risque Résultats de recherche 3 Perte de confidentialité à un stade de prépublication Élevée Facile L'ordinateur est mobile Les résultats sont en clairs Perte d articles scientifiques Pertes de contrats Pertes de collaboration 5 Ordinateur portable 1 Vol Élevée Facile L'ordinateur est mobile Perte du matériel Dysfonctionnement lié à la perte de l outil de travail 3 362

363 Estimation des niveaux de risques ( ) : Exemple d'un ordonnancement des menaces par mesure de risque (E.2.2) : Conséquence (était impact (BS C.5.4) ) en fonction de la valeur de l'actif de 1 à 5 Estimation des risques (estimation par formule mathématique) Probabilité d'occurence de la menace de 1 (faible) à 5 (élevée) Mesure du risque : (d) = (b) (c) : conséquence probabilité d'occurence Ordonnancement des menaces (était incident (BS C.5.4) ) en fonction des niveaux de risque 363

364 Estimation des risques (Estimation par autres tableaux) Estimation des niveaux de risques ( ) : Exemple d'une évaluation par vraisemblance et conséquences possible des risques (E.2.3) : L High 3 364

365 Estimation des risques (Méthode MEHARI) Méthode de calcul (E.2.2) similaire recommandée par MEHARI Conséquence ou Impact de 1 à 4 1 Impact insignifiant au niveau de l'organisation 2 Impact significatif, causant du tort à l'organisation 3 Impact très grave, sans cependant menacer la vie de l'organisation 4 Impact extrêmement grave, menaçant l'organisation ou l'une de ses activités Probabilité d'occurrence (ou potentialité) d'exploitation de la vulnérabilité par la menace de 0 à 4 0 Non envisageable ou non envisagé 1 Très improbable, ne surviendra probablement jamais 2 Possible, bien qu'improbable 3 Probable, devrait arriver un jour 4 Très probable, surviendra sûrement à court terme 365

366 Estimation des risques (Méthode MEHARI) Méthode de calcul (E.2.2) similaire recommandée par Méhari Donne le niveau de risque (ou gravité) : 0 à 2 : Risques tolérables 3 4 : Risque inadmissible : Risque insupportable Actions de réduction du risque par la réduction de : Probabilité d'occurrence Impact Probabilité d occurrence Impact

367 Estimation des risques (Méthode MEHARI) Estimation des niveaux de risques par mesure de risque : Impact "perte d articles" très grave : 3 Probabilité d'occurrence de la menace probable : 2 Donc niveau de risque : 3 (inadmissible) Pas de mesure de sécurité en œuvre Résultats de recherche Sur l ordinateur portable du chercheur L'ordinateur est mobile Les résultats sont en clairs vulnérabilités Possède Exploite actifs Permet la réalisation Cible Menace & source Vol de l ordinateur portable impact Provoque Atteinte à la confidentialité conséquences Cause Probabilité d'occurrence élevée Exploitation difficile Vol de l'ordinateur portable donc des résultats Perte d articles scientifiques Pertes de contrats Pertes de collaboration 367

368 Estimation des risques (Autres méthodes) Valorisation des actifs Valorisation selon les critères C, I, D, de 1 à 7 à chaque fois VA = Maximum de la valeur par rapport à C, I, D, donc de 1 à 7 Probabilité d'occurrence de la menace POM = 1 (faible), 2 (moyenne) ou 3 (élevée) Facilité d'exploitation de la vulnérabilité FEV = 3 (exploitation facile), 2 (exploitation possible), 1 (exploitation difficile) Niveau de risque = VA x (POM + FEV 1) (POM + FEV 1) va de 1 à 5 Niveaux de risques vont de 1 à

369 Estimation des risques (Autres méthodes) VA Niveaux de risques Valorisation Critères d'acceptation des risques : Vert : sans importance, jaune foncé : utile, orange : stratégique, bordeaux : vital Seuil d'acceptation des risques : 10 0 à 10 : risques ne nécessitant pas de traitement 12 à 35 : risques devant être traités POM + FEV

370 Estimation des risques (Autres méthodes) Estimation des niveaux de risques par mesure de risque : Valeur de l'actif «projet d articles scientifiques" par rapport à la confidentialité : très élevée : 6 Probabilité d'occurrence de la menace élevée : 3 Vulnérabilité difficilement exploitable : 1 Donc niveau de risque : 6 x (3+1-1) = 18 (stratégique) Pas de mesure de sécurité en œuvre Résultats de recherche Sur l ordinateur portable du chercheur L'ordinateur est mobile Les résultats sont en clairs vulnérabilités Possède Exploite actifs Permet la réalisation Cible Menace & source Vol de l ordinateur portable impact Provoque Atteinte à la confidentialité conséquences Cause Probabilité d'occurrence élevée Exploitation difficile Vol de l'ordinateur portable donc des résultats Perte d articles scientifiques Pertes de contrats Pertes de collaboration 370

371 Estimation des risques Estimation des conséquences Estimation de la probabilité d'occurrence des menaces Estimation des vulnérabilités Estimation des niveaux de risques Pas de calcul du risque normalisé dans ISO Pas de méthode imposée pour l'estimation Règles générales s'appliquent Reproductibilité Comparabilité Commencez avec une méthode d'estimation simple Ne soyez pas surpris de voir des méthodes d'estimation complexes 371

372 Plan de présentation Évaluation du risque Identification des actifs Identification des menaces Identification des risques Identification des mesures de sécurité existantes Identification des vulnérabilités Établissement du contexte Analyse de risque Identification des conséquences Appréciation du risque Estimation des conséquences ISO27005 Traitement du risque Évaluation du risque Estimation du risque Estimation de la probabilité d'occurrence des menaces Acceptation du risque Estimation des vulnérabilités Communication du risque Surveillance et réexamen du Adaptation par R. Longeon risque du cours d Alexandre Fernandez-Toro et Hervé Schauer Estimation des niveaux de risques 372

373 Évaluation du risque Évaluation du risque (8.3) : Prises de décision Si l'activité de traitement du risque doit être engagée ou pas Priorités pour le traitement du risque Utilisation de la compréhension du risque obtenue grâce à l'analyse de risque Prise en compte en plus des risques estimés, des obligations contractuelles, légales et réglementaires Communication du risque Établissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Acceptation du risque Surveillance et réexamen du risque Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Oui Non 373

374 Évaluation du risque Évaluation des risques (8.3) : Relecture des décisions et du contexte en détail Critères d'évaluation des risques Critères d'acceptation des risques Liste des risques avec leur indication de niveau Comparaison des niveaux des risques (IS e.4) Prise en compte des processus métier que supporte l'actif ou un ensemble d'actifs Liste des risques prioritisés 374

375 Exemple En reprenant l'estimation des niveaux de risques avec une matrice avec des valeurs prédéfinies : Valeur de l'actif «projet d article" : 3 Probabilité d'occurrence : élevée Facilité d'exploitation : faible Donc niveau de risque : 5 Critères d'évaluation des risques : Vital : 7 et 8, Stratégique : 5 et 6, Indispensable : 3 et 4, Utile : 1 et 2, Sans importance : 0 Seuil d'acceptation des risques : 2 Donc niveau de risque 5 : stratégique Le traitement de ce risque doit être fait et réalisé de manière prioritaire 375

376 Plan de présentation Traitement et acceptation du risque Établissement du contexte Méthodologies de traitement du risque Appréciation du risque Refus ou évitement du risque ISO27005 Traitement du risque Acceptation du risque Maintien du risque Transfert du risque Communication du risque Réduction du risque Surveillance et réexamen du risque 376

377 Traitement et acceptation du risque Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Traitement du risque Risques acceptables? Appréciation du risque Analyse de risque Oui Oui Non Non Acceptation du risque Communication et consultations 377

378 Traitement et acceptation du risque Traitement du risque (9.1) : Appréciation des risques Résultats Liste des risques prioritisés Choix des options de traitement des risques (IS f) (9.3) (9.4) Transfert (9.5) (9.2) Réduction Acceptation du risque (10) : risques résiduels risques acceptables? Oui Non Plan de traitement des risques accepté 378

379 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Traitement du risque (9.1) : Intégration des coûts Mise en adéquation de coûts par rapport aux bénéfices attendus Forte réduction pour peu de dépenses? Amélioration très coûteuse? Mesures de sécurité déjà en place trop coûteuses? Prise en compte des risques rares aux impacts importants Qui échappent aux logiques économiques Liste des risques prioritisés (IS g) Sélectionner et implémenter les moyens de réduire le risque à un niveau acceptable Plan de traitement du risque Risques résiduels appréciés 379

380 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Traitement du risque (9.1) : Prise en compte des parties concernés Comment les risques sont perçus par les parties concernées Comment communiquer avec les parties concernées Ordonnancement possible des actions dans le temps Communication du risque Établissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Acceptation du risque Surveillance et réexamen du risque 380

381 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Facteurs clés de traitement du risque (BS ) : Impact du risque quand il se réalise A quelle fréquence il peut se réaliser (sans statistiques d'incident) Méthodologies de traitement du risque : ALE (*) : Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impact Comparaison de l'impact maximal par rapport au coût des mesures de sécurité Comparaison avec les concurrents (benchmarking) Utilisation des mesures de sécurité parce qu'elles sont des bonnes pratiques Financement du risque (risk financing) : Provision de fonds pour couvrir les coûts d'implémentation des mesures de sécurité (*)ALE : Annual Loss of Expectancy 381

382 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque (9.4) Refus ou évitement (9.3) Maintien (Rétention) (9.5) Transfert (9.2) Traitement du risque (9.1) : Réduction Quatre options de traitement des risques qui ne sont pas exclusives 382

383 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Refus ou évitement du risque (9.4) : Suppression de l'activité concernée Risques considérés trop élevés Implémentation des autres options de traitement du risque trop coûteuses par rapport au bénéfice 383

384 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Maintien du risque (9.3) ( f.2) : ISO 27001:2005 : Acceptation du risque (risk acceptance) ISO : Devenu Maintien du risque (risk retention) Maintien ou conservation du risque, prise de risque, ou rétention du risque Risque peut être maintenu car le niveau de risque est inférieur aux critères d'acceptation des risques Risque résiduel d'un risque maintenu = risque initial Risque peut être pris par rapport aux intérêts que celà procure Maintien peut être basé sur l'analyse des coûts de traitement du risque face aux coûts de reconstruction Vérifier que le responsable prenant une décision de maintien du risque a réellement le pouvoir de le faire 384

385 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Transfert du risque (9.5) : Partage du risque avec des tierces parties Peut créer de nouveaux risques ou modifier les risques existants Nouveau traitement du risque potentiellement nécessaire Transfert à une assurance qui supporte les conséquences Transfert à un sous-traitant qui va surveiller le système d'information pour prendre des actions appropriées en cas d'attaque Attention! Transférer la responsabilité managériale (responsability) d'un risque est faisable Transférer la responsabilité légale (liability) d'un impact est normalement impossible 385

386 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Liste des risques à réduire Réduction du risque (9.2) : Fonctionnalités des mesures de sécurité : Correction (correction) Élimination (elimination) Réduire le risque afin que le risque résiduel puisse être réapprécié et acceptable Prévention (prevention) Dissuasion (deterrence) Détection (detection) Recouvrement (recovery) Surveillance (monitoring) Sensibilisation (awareness) Mesures de sécurité Contraintes sur celles-ci 386

387 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Réduction du risque (9.2) : Dans la sélection des mesures de sécurité, prendre en compte les contraintes : Temps Moyens financiers et TCO (*) de la mesure de sécurité Techniques et opérationnelles Exemple : besoins de performance, complexité d'administration, problèmes de compatibilité (*)TCO : Total Cost of Ownership Humaines et culturelles Exemple : un mot de passe trop long et trop complexe sera écrit Exemple : personne n'appliquera une mesure de sécurité que leur responsable juge innacceptable Éthiques Environnementales Légale Facilité d'utilisation Moyens humains Sans personnel compétent les mesures de sécurité ne marcheront pas (F) 387

388 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Réduction du risque : Ou optimisation du risque Prendre en compte aussi (BS ) : Facilité de mise en œuvre de la mesure de sécurité Contraintes organisationnelles et politiques Sélectionner d'abord un objectif de sécurité Dans la mesure du possible Plutôt que directement une mesure de sécurité BS C.3 relie les menaces aux objectifs de sécurité de l'iso Implémenter les mesures de sécurité sélectionnées Plan Élaboration du plan de traitement du risque Do Implémentation du plan de traitement du risque 388

389 Traitement et acceptation du risque Méthodologies de traitement du risque Refus ou évitement du risque Maintien du risque Transfert du risque Réduction du risque Réduction du risque : ISO : Réduction de l'impact d'un risque de manière à ce que le risque soit acceptable BS : Réduction de la probabilité d'occurrence d'exploitation d'une vulnérabilité Réduction de l'impact d'un risque par détection, réaction et reconstruction Pour chaque mesure de sécurité envisagée : Rester pragmatique Ne pas attendre une itération complète du processus de gestion de risque Chercher les risques induits Chercher les conséquences sur les processus métier 389

390 Exemple 1/3 Actifs : Primordial : Projet d article De soutien : Ordinateur portable, chercheur Propriétaires : Directeur de l unité Chercheur Valorisation des actifs 3 1 Processus métier impacté Processus de recherche et de publication 390

391 Exemple 2/3 Menaces Vol de du projet d article par le vol de l'ordinateur portable Probabilité d'occurrence de la menace : élevée Facilité d'exploitation : faible (exploitation difficile) Vulnérabilités Caractère portable de l'ordinateur portable Stockage en clair du projet d article Chercheur peu sensibilisé Mesures de sécurité déjà en place : aucune Impact : atteinte à la confidentialité Conséquences Perte de la publication, partenariat scientifique 391

392 Exemple Niveau de risque : 5 Seuil d'acceptation des risques : 2 risque devant être traité Traitement du risque : réduction du risque par application de mesures de sécurité IS Fourniture d'un câble chercheur pour lui permettre d'accrocher l'ordinateur portable à un élément inamovible IS Chiffrement du disque dur Sensibilisation chercheur aux risques spécifiques à l'usage d'un ordinateur portable 3/3 392

393 Exemple avec traitement du risque Faire un tableau d'appréciation et de traitement des risques Prévoir les références croisées Prévoir le lien avec la déclaration d'applicabilité Exemple dans un tableau d'appréciation des risques : Actif Nom Val. Menace Probabilités d occurrence Facilité Exploitation Vulnérabilités Conséquences ou impact Niveau de risque Traitement du risque Résultats de recherche 3 Perte de confidentialité à un stade de prépublication Élevée Facile L'ordinateur est mobile Les résultats sont en clairs Perte d articles scientifiques Pertes de contrats Pertes de collaboration 5 Chiffrement + sensibilisation A Ordinateur portable 1 Vol Élevée Facile L'ordinateur est mobile Perte du matériel Dysfonctionnement lié à la perte de l outil de travail 3 Fourniture d un câble A

394 Plan de présentation acceptation du risque Établissement du contexte Appréciation du risque ISO27005 Traitement du risque Acceptation du risque Communication du risque Surveillance et réexamen du risque 394

395 Acceptation du risque 1/2 Acceptation (10) Du plan de traitement des risques De l'appréciation du risque résiduel Par la direction générale Soit le plan de traitement du risque est réussi Soit la direction générale accepte le risque en toute connaissance de cause Manque de budget Contraintes de temps Bien que le risque soit au-delà des critères d'acceptation des risques Enregistrement formel Traitement du risque Risque Non acceptable? Oui Acceptation du risque Communication du risque (IS h) Établissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Acceptation du risque Surveillance et réexamen du risque 395

396 Acceptation du risque 2/2 Critères d'acceptation du risque (7.2 et IS c.2) Déterminent le seuil de traitement des risques Maintien du risque lors du plan de traitement du risque (9.5) Auparavant appellé «acceptation du risque» (IS27001, f.2) Acceptation du plan de traitement du risque par la direction (10 et IS h) Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Traitement du risque Risques acceptables? Appréciation du risque Analyse de risque Oui Oui Non Non Acceptation du risque Communication et consultations 396

397 Plan de présentation communication du risque Établissement du contexte Appréciation du risque ISO27005 Traitement du risque Acceptation du risque Communication du risque Surveillance et réexamen du risque 397

398 Communication du risque 1/3 Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Traitement du risque Risques acceptables? Appréciation du risque Analyse de risque Oui Oui Non Non Acceptation du risque Communication et consultations 398

399 Communication du risque Communication du risque de sécurité de l'information (information security risk communication) (11) : Échange et partage d'information sur les risques entre : Processus de gestion de risque Décisionnaires (decision-makers) et les ayants droit (stakeholders) Activité continue Permet de : Réduire les incompréhensions avec les décisionnaires Obtenir de nouvelles connaissance en sécurité Améliorer la sensibilisation Communication du risque Établissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Acceptation du risque Surveillance et réexamen du risque 399

400 Communication du risque Communication du risque de sécurité de l'information : Feed-back et participation (feedback and involvement) (BS ) : Echange et partage pour tous indispensable au succès du SMSI en général Permet pour la gestion du risque de : Connaître les problèmes dans la mise en oeuvre des mesures de sécurité Identifier les risques en augmentation Consituer une base d'incidents de sécurité Créer une fiche pour les suggestions liées à la sécurité, simple, claire, et sortant pas du périmètre des activités du SMSI Identifier les personnes qui traiteront la fiche Accuser réception des fiches Quand c'est possible impliquer la personne dans la solution au problème Mettre en oeuvre les améliorations rapidement et efficacement Publier les améliorations issues du retour des utilisateurs 3/3 400

401 Plan de présentation acceptation du risque Établissement du contexte Appréciation du risque ISO27005 Traitement du risque Acceptation du risque Communication du risque Surveillance et réexamen du risque 401

402 Surveillance et réexamen du risque 1/3 Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Appréciation du risque Analyse de risque Oui Non Traitement du risque Communication et consultations (IS d) Risques acceptables? Oui Non Acceptation du risque 402

403 Surveillance et réexamen du risque Établissement du contexte Communication du risque Appréciation du risque Analyse de risque Identification du risque Estimation du risque Évaluations du risque Traitement du risque Acceptation du risque Surveillance et réexamen du risque Possède Actif Cible Surveillance et réexamen des éléments du risque (12.1) (suivi des risques) : Valeur des actifs Menaces Nouvelles menaces Vulnérabilités Vulnérabilités nouvelles, ou exploitables par de nouvelles menaces Vraisemblance (probabilité d'occurrence) (likelihood) Exploitation de vulnérabilités qui ne l'étaient pas auparavant Impacts et conséquences Vulnérabilité Exploite Permet la réalisation Menace Provoque Impact Cause Conséquence ou Préjudice 403

404 Surveillance et réexamen du risque Surveillance et réexamen du processus de gestion de risques (12.2) : Contexte légal et environnemental Concurrence Approche de l'appréciation du risque Valeur et catégories des actifs Critères d'impact Critères d'évaluation des risques Critères d'acceptation des risques TCO (Total Cost of Ownership) Ressource potentiellement disponibles 3/3 404

405 Exercice de synthèse Etude de risques sur la climatisation d'une salle serveur On a un actif de soutien: la salle des machines. Les menaces sur cette salle vont affecter deux autres actifs de soutien : les moyens de calcul et le serveur de sauvegarde. Ce faisant, on affecte l'actif primordial: les données de calcul. Dans l'appréciation du risque de dysfonctionnement de la climatisation, quels sont les actifs qui doivent être pris en compte? L'armoire de climatisation doit-elle apparaître comme actif de soutien? 405

406 Eléments constitutifs du risque Actifs Menaces Vulnérabilités Impacts Conséquences Climatisation Panne Absence de coupure électrique automatique en cas de surchauffe des équipements Contrat de dépannage sous 24h ouvrées alors qu il n y pas de redondance du matériel de climatisation Dysfonctionnement du matériel au-delà d une température de 80, destruction des circuits à partir de 120 Absence d alarme de dysfonctionnement de la climatisation Données et sauvegardes dans le même local Pertes des moyens de de calculs et de stockage Heures de travail perdues Pertes de résultats scientifiques Pertes de collaboration de recherche Perte de compétitivité scientifique Exode des bons chercheurs Perte d image Pertes de contrats industriels Moindre attractivité pour les étudiants thésards 406

407 Actifs touchés Actif N Nom Propriétaire Valorisation Confidentialité Intégrité Disponibilité 1 Climatisation DU 3 2 Données de calculs, etc. Chercheurs Activité de recherche Chercheurs 3 407

408 Valorisation des actifs Types d'actif et dépendances Actifs Valorisation Processus métier Recherche 3 Information Données de calculs, etc. Max(2,2) = 2 Actif de soutien Climatisation Max(3,3) = 3 Exemple d'échelle valeur négligeable : les effets ne sont pas décelables 0 valeur faible : affecte essentiellement les éléments de confort 1 valeur significative : affaibli la performance 2 valeur élevée : affecte toute l unité 3 valeur critique : mets en danger les missions essentielles de l organisme 4 408

409 Traitement du risque Nom Actif Val. Menace Probabilités d occurrence Facilité Exploitation Vulnérabilités Conséquences ou impact Niveau de risque Traitement du risque Climatisation 3 Panne du matériel Atteinte à la disponibilité des données de calculs Atteinte à l intégrité des résultats de recherche Atteinte au processus de recherche Élevée Facile Absence de coupure électrique automatique en cas de surchauffe des équipements Contrat de dépannage sous 24h ouvrées alors qu il n y pas de redondance du matériel de climatisation Dysfonctionnement du matériel informatique au-delà d une température de 80, destruction des circuits à partir de 120 Absence d alarme de dysfonctionnement de la climatisation Données et sauvegardes dans le même local Pertes des moyens de de calculs et de stockage Heures de travail perdues Pertes de résultats scientifiques Pertes de collaboratio n de recherche 7 Diminution du risque par les mesures suivantes : A : La sécurité dans les accords conclus avec des tiers A : Maintenance du matériel A : Dimensionnement A : Sauvegarde des informations Réplication des sauvegardes dans un autre bâtiment Surveillance permanente température, envoi SMS si dépassement 409

410 Risques résiduel Nom Actif Val. Menace Probabilités d occurrence Facilité Exploitation Niveau de risque Risque résiduel Climatisation 3 Panne du matériel Atteinte à la disponibilité des données de calculs Atteinte à l intégrité des résultats de recherche Atteinte au processus de recherche Faible difficile 3 Panne du détecteur de température Non intervention sur une alerte Sauvegardes non récupérables 410

411 Acceptation des risques résiduels? Peut-on accepter ce risque résiduel? Quel type de communication allez-vous faire autour de ce risque résiduel? Quelle surveillance allez-vous mettre en œuvre autour de ce risque résiduel? 411

412 Plan de présentation Compléments Acteurs du processus gestion de risque Outillage Compléments Conclusion Acronymes Annexes 412

413 Acteurs du processus gestion de risque Gestionnaire de risques Appréciateur de risques Surveillance et réexamens du risque Établissement du contexte Identification du risque Estimation du risque Évaluation du risque Appréciation satisfaisante? Appréciation du risque Analyse de risque Oui Non Traitement du risque Communication et consultations Risques acceptables? Oui Non Acceptation du risque 413

414 Acteurs du processus gestion de risque Gestionnaire de risque de sécurité (security risk manager) (BS ) : Chef d'équipe, personne, ou une des responsabilités d'une personne Doit être : Organisé et systématique dans son approche de la surveillance des risques connus et la suggestions des actions appropriées Orienté sur le métier et au fait de l'état des affaires et des priorités Tenace et indépendant d'esprit tout en sachant comprendre les points de vues et savoir s'en accommoder si c'est le mieux pour le business Capable de présenter les choses de manière convaincante Exemple : les dépenses indispensables à la réduction d'un risque élevé A l'aise avec tous les niveaux hiérarchique et tous les métiers Doit avoir : Bonne compréhension des risques, des technologies et des mesures de sécurité 414

415 Acteurs du processus gestion de risque Appréciateur du risque (Risk Assessor) (BS ) : Celui qui réalise l'appréciation des risques ou Responsable de l'étude (Study Manager) (A.1.4) Doit avoir : Connaissance du métier de l'organisme, comment il fonctionne et sa tolérance aux risques Connaissance des concepts du risque : comment estimer ensemble des menaces, vulnérabilités et impacts pour evaluer le risque Connaissance des technologies de l'information à un niveau suffisant pour comprendre les menaces et vulnérabilités ellesmêmes Connaissance des différents types de mesures de sécurité, leurs fonctionnement, leur limites Capacité à mettre en œuvre l'analyse de risque 415

416 Acteurs du processus gestion de risque Appréciateur du risque (Risk Assessor) (BS ) : Celui qui réalise l'appréciation des risques Doit avoir : Capacités d'analyse pour être capable d'isoler ce qui est significatif Aptitude à identifier les personnes capable de fournir l'information nécessaire Dextérité dans les relations humaines Pour obtenir l'information de la part du personnel Communiquer les résultats de manière compréhensible par les décisionnaires Peut être de toute origine : Informatique, sécurité, métier, ou un consultant externe 416

417 Outillage CITICUS Citicus, DPCIA DPCIA, ERM (Enterprise Risk Management) Mega international, RVR Systems RA2 Par les auteurs des normes Aexis et Xisec, ou 417

418 Outillage SCORE ISMS Intégration ISO en cours Actuellement macros Excel, interface web annoncée Ageris Software, SecureAware Inclus tout l'outillage pour le SMSI, dont un module d'appréciation du risque Neupart, Outils plutôt ISO Axur ( Ecora ( 418

419 Conclusion ISO27005 permet une gestion des risques simple, pragmatique, adapté aux réalités des affaires Pas un processus linéaire Pas une étape infaisable sans avoir fait la précédente Possible de démarrer au milieu et d'y aller progressivement Rien d'obligatoire dans le formalisme Seules les étapes imposées par l'iso doivent être suivies Le fait qu'elles ont été suivies doit être montrable ISO est incontournable au niveau international Du fait de l'iso

420 Acronymes ALE : Annual Loss of Expectancy Pertes annuelles prévisibles à partir de la fréquence de survenance d'un incident et coût financier de son impact CID : Confidentialité, Intégrité, Disponibilité Trois principaux critères de sécurité TCO : Total Cost of Ownership Coût total associé au cycle déploiement / maintenance 420

421 Annexe 1 : traitement du risque Exemple NTT de traitement du risque : Présenté au Club ISO Tableau par risque + tableau par mesure de sécurité Ref Type Logged Date Risk Description Vulnerability Supporting Documentation Policy / BS7799 Control reference Responsibility Status Expected Completion 16 T 01/06/04 UK Clear Screen is OK, but Clear Desk is a problem. Audit results showed that there is insufficient cupboard space to be able to force Clear Desk policy on employees. HR / Facilities Mgr has requested the budget. Agreed to go ahead at ISMG 14 October2004. Completion declared for 1/12/04, enforced from 1/1/05. End of grace period notified 18/1 A Clear Desk and Clear Screen Policy ISM / Country Manager Closed 18/01/05 End P 14/10/04 Camera phones The standard Verio mobile telephone handset includes a camera. As this is now a standard feature, Verio has no choice but to accept the risk inherent with them. Staff education will take place in order to mitigate the risk as far as possible. Staff could photograph parts of our DCs and distribute electronically- to friend or foe. Minutes of ISMG 14th October 2004 A Securing offices, rooms & facilities ISM / Country Manager Accepted Permanent 421

422 Annexe 2 : traitement du risque Cntrl Ref. Exemple NTT : Tableau par risque + tableau par mesure de sécurité Control Description Applies to RA Refs. Current Status UK, Fr, De, ES Current Status NL Notes Resp. Comments Proof / Policy Name Restricted Circulation: ISM, All ISMGs, LRQA Auditors A.5 Security policy A.5.1 Information security policy A Information security policy document A Review of the information security policy Version /01/2007 All Y Y ISM For BS In place For ISO Clauses added to align with new standard. Additionally, IS004 updated to refer to risk assessment process, risk management and control selection All Y Y ISM / ISMGs IS001 - Information Security Policy IS004 - BS7799 / ISO27001 Policy In place - Annual Review - 1st performed Oct / Nov nd review IS001 - Information Security Policy Nov-05-March-06. See policy index for details. A.6 Organization of information security A.6.1 Internal organization A Management commitment to information security A A Information security coordination Allocation of information security responsibilities Y Y ISMG / ISM Employment of a qualified ISM and regular meetings of the ISMG at a ISMG minutes European and country level indicates management commitment. Original ToR 27/10/03 Y x ISM / ISMGs All Y x ISM / ISMGs In place - ISMG, UKISMG, FISMG, GISMG, SISMG Original ToR 27/10/03 ISM has pan-european role. Local staff project manage certification and post-certification support. NL -?????? In place - ISMG, UKISMG, FISMG, GISMG NL -????? See security forum minutes & ToR - IS019 IS002 - Information Security Principles & other policies as applicable 422

Montrer encore