Atelier gestion des risques

Transcription

1 Atelier gestion des risques Prévention & Sécurité (S. Boullanger) Sécurité de l information (A. Rivet) Journées Qualité en Chimie II octobre 2013, Autrans

2 Le laboratoire : un patrimoine scientifique convoité la réputation du laboratoire La valorisation de la recherche le portefeuille de contrats de recherche (organismes publics, entreprises privées ) le potentiel technique (infrastructures, installations, matériels ) les compétences (savoir, savoir faire) les données informationnelles D après une présentation de Robert LONGEON Chargé de Mission SSI du CNRS

3 soumis à des menaces! l espionnage visant des secrets de défense à des fins de prolifération ou de terrorisme l espionnage scientifique et industriel l altération de données l atteinte à la disponibilité, intégrité, confidentialité de l information l utilisation frauduleuse de moyens informatiques l atteinte à des personnes ou des biens mais aussi les risques juridiques (civils, pénaux). D après une présentation de Robert LONGEON Chargé de Mission SSI du CNRS

4 Les enjeux de la Sécurité des SI Finalité «protection du patrimoine scientifique» Disponibilité de l outil de travail Intégrité des systèmes et des personnes Protection de données sensibles données du patrimoine scientifique données de gestion données individuelles Protection juridique Risques administratifs Risques pénaux Protection de l image de marque

5 La norme ISO La technologie Appréhender la sécurité de l information sous l angle du management permet de dépasser le stade purement technique de la SSI. La procédure L individu

6 Les différentes étapes de mise en place du SMSI

7 Risque en sécurité de l information Risque : Possibilité qu'une menace puisse exploiter une vulnérabilité d'un actif et causer ainsi un préjudice à l'organisation Mesuré par combinaison de : Probabilité d'occurrence ou potentialité de l'évènement Impact, conséquence ou préjudice Impact : plutôt "Sécurité de l'information" Conséquence : plutôt processus métier, organisme Possède Vulnérabilité Actif Exploite Permet la réalisation Cible Menace Provoque Impact Cause Conséquence ou Préjudice

8 Analyse de risques Exercice système d information

9 Appréciation des risques sur un cas d école Utilisation d un portable par un chercheur Projet de travail de groupe : Identifier les risques Effectuer une appréciation des risques Mettre en place un traitement du risque

10 Étude de cas : Utilisation du portable par un chercheur lors de ses déplacements : Le disque dur contient des résultats de recherche et des informations stratégiques (courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet) Ce chercheur se déplace régulièrement à l étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... La seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur

11 Définition des critères Echelle de valorisation des actifs 0 (valeur négligeable) : les effets ne sont pas décelables 1 (valeur faible) : affecte essentiellement des éléments de confort 2 (valeur significative) : affaiblit la performance de l unité 3 (valeur élevée) : affecte l organisme 4 (valeur critique) : mets en danger les missions essentielles de l organisme

12 Critères d'évaluation des risques Probabilité d occurrence Basse Moyenne Haute Facilité d exploitation Difficile Moyenne Facile Difficile Moyenne Facile Difficile Moyenne Facile Valeur de l actif/niveau de l impact Cinq niveaux dans les critères d évaluation du risque : 1.Risques nuls (vert : 0) 2.Risques négligeables (Jaune : 1-2) 3.Risques significatifs (Rose : 3-4) 4.Risques graves (Rouge : 5-6) 5.Risques vitaux (Bordeaux : 7-8)

13 Grille de calcul

14 Analyse de risques Exercice prévention et sécurité

15 Situation à analyser

16 Situation à analyser

17 Situation à analyser

18 Tableau d analyse de risques Sachant qu une dizaine de personnes travaillent quotidiennement dans ce laboratoire Facteur de risque Modalité d exposition Moyens de prévention en place Carences Dysfonction nement cotation Proposition d amelioration Nouvelle cotation observations

19 Analyse de risques Retour exercice système d information

20 Identification des risques A partir d exemples de scénario/conséquence Scénario d'incident Impact/Conséquence Au cours du passage à la douane le disque dur, qui comportait un article en cours de rédaction, est recopié. Un brevet en voie de dépôt, des courriels échangés au sein de la collaboration de recherche et des négociations entre des partenaires industriels ont été espionnés. La perte de l article et des résultats de recherche empêche sa publication. Un industriel concurrent dépose un brevet de barrage. Perte d image du laboratoire Perte de confiance des partenaires industriels Difficulté au sein de la collaboration de recherche

21 Identification des risques Exemples de vulnérabilités liées aux actifs Actifs Menaces Vulnérabilités Actifs primordiaux Informations stockées sur l ordinateur portable Pertes d efficacité/ pertes de contrats Possibilité de transfert des informations sensibles à des organismes hostiles Faible sensibilisation des chercheurs : le processus de publication est un actif dont la perte affecte la performance (les résultats de recherche sont donc un actif critique) Stockage en clair des données du laboratoire (informations stratégiques) et de données à caractère privé et des Actifs de soutien Ordinateur portable Vol de l ordinateur portable Caractère mobile de l'ordinateur portable

22 Appréciation du risque (et traitements) Nom Actif Valorisati on Probabilité d occurrence Facilité d exploitation Niveau de risque Traitement du risque Données utilisateur 3 Haute Moyenne 6 Objectif: Maintenir l intégrité et la disponibilité des informations et des moyens de traitement de l information. A Sauvegarde des informations Mesure : Des copies de sauvegarde des informations et logiciels doivent être réalisées et soumises régulièrement à essai conformément à la politique de sauvegarde convenue. Objectif: Protéger la confidentialité, l authenticité ou l intégrité de l information par des moyens cryptographiques A Politique d utilisation des mesures cryptographiques Mesure : Une politique d utilisation des mesures cryptographiques en vue de protéger l information doit être élaborée et mise en oeuvre. Ordinateur portable 2 Moyenne Moyenne 4 Objectif: Empêcher l accès d utilisateurs non habilités et la compromission ou le vol d informations et de moyens de traitement de l information A Matériel utilisateur laissé sans surveillance Mesure : Les utilisateurs doivent s assurer que tout matériel laissé sans surveillance est doté d une protection appropriée. Objectif: Garantir la sécurité de l information lors de l utilisation d appareils informatiques mobiles et d équipements de télétravail. A Informatique mobile et télécommunications Mesure : Une procédure formelle et des mesures de sécurité appropriées doivent être mises en place pour assurer une protection contre le risque lié à l utilisation d appareils informatiques et de communication mobiles.

23 Mesures de sécurité (annexes ISO 27001)

24 Déclaration d applicabilité (DdA)

25 Conclusion sur la sécurité de l information Exigences de sécurité Objectifs de sécurité Mesures de sécurité ISO est un guide pour la mise en place d un SMSI ISO est la description détaillée des mesures de sécurité de l annexe A de l ISO ISO : Guide de mise en œuvre de la partie appréciation des risques de la sécurité de l'information de l'iso 27001

26 Situation à analyser

27 Situation à analyser