Problématique Besoins La norme ISO/IEC 27034:2011 Concepts Processus Impact sur l organisation Intérêt dans l industrie

Transcription

1 La norme ISO/IEC 27034:2011 Sécurité des applications Bruno Guay, Nurun Luc Poulin, Cogentas

2 Plan Problématique Besoins La norme ISO/IEC 27034:2011 Concepts Processus Impact sur l organisation Intérêt dans l industrie

3 Problématique de la sécurité des applications

4 Problématique pour les clients Les vulnérabilités des applications ont eu un impact majeur sur la sécurité des organisations dans les deux dernières années Le profil des attaques a changé en 2011 augmentation de la proportion d attaques externes vs internes augmentation des attaques sur les applications diminution des attaques sur l infrastructure Les pirates le disent: il est plus facile et plus rentable d attaquer les applications que l infrastructure

5 Problématique pour les clients Le contexte d utilisation d une application peut changer L environnement technologique est de plus en plus complexe En phase de maintenance, difficile de conserver le niveau de sécurité initial On ne tient pas compte de l impact d une nouvelle application sur la sécurité de l information de l organisation Il faut rester conforme aux contextes d affaires et juridique en regard desquels l organisation pourrait être vérifiée

6 Problématique pour les clients Peu de contrôle sur les applications acquises, gérées par des tierces parties ou hébergées Sont-elles vulnérables? Sont-elles bien installées et configurées? Sont-elles bien gérées? Peu d exigences de sécurité dans les appels d offres Absence de critères vérifiables Absence de preuve de conformité Peu de clauses de sécurité dans les contrats Peu de droit de regard pour le client On dépend du bon vouloir du fournisseur

7 Problématique pour les auditeurs Difficulté à définir l application et à délimiter la portée de l évaluation Quels systèmes, quels progiciels? Logiciel, processus ou infrastructure? Frontière floue entre l application et l établissement Absence de processus d évaluation adéquat Absence d exigences standard Absence de processus d évaluation standard Absence de méthodologie d analyse de risque pour les applications Peu de similitude entre les projets d évaluation Difficile d appliquer les mêmes critères Improvisation à chaque intervention Efficacité et efficience réduite

8 Problématique pour les fournisseurs Peu d activités de sécurité dans les méthos de développement Peu de contrôles de sécurité (bonnes pratiques) Peu de tests de sécurité Absence de critères formels et vérifiables Absence d un processus répétable pour appliquer la sécurité dans un projet La sécurité d une application dépend de la compétence de chaque équipe Peu de raisons pour améliorer tout cela!

9 Problématique pour tous Manque de maturité dans le domaine La valeur ajoutée par la sécurité est difficile à démontrer La sécurité est mal intégrée aux projets Pas perçue comme un besoin d affaire Perçue comme une couche de peinture qu on applique au produit final on entend souvent: «L important est que l application fonctionne. Ensuite on verra pour la sécurité» remplaçons «l application» par «l avion» et voyons si c est aussi bien accepté Perçue comme cause de dépassements de coût et d échéancier

10 Besoins

11 Besoins Le client a besoin d outils pour spécifier ses exigences de sécurité dès le début du projet Le fournisseur a besoin d outils pour se conformer aux exigences L auditeur a besoin d outils pour évaluer la sécurité d une application Processus Méthodologie Contrôles (critères)

12 La Norme ISO/IEC 27034:2011

13 Les 6 parties de la Norme : Survol et concepts : Cadre Normatif de l Organisation : Processus de gestion de la sécurité d une application : Vérification de la sécurité d une application : Protocoles et structure de données des contrôles de sécurité applicative : Pratique de sécurité pour des cas spécifiques d applications

14 Objectif Cette nouvelle norme propose un modèle pour faciliter l intégration de la sécurité dans le cycle de vie des applications Concepts, principes, cadres Composants et processus Elle s applique autant au développement interne qu à l acquisition ou l impartition Elle propose des lignes directrices pour les propres processus et méthodologies de l organisation Elle ne propose pas de contrôles ou de règles de développement

15 Principes La sécurité est un besoin d affaires La sécurité d une application dépend de son contexte d utilisation Il faut investir les ressources appropriées pour sécuriser une application ni plus ni moins La sécurité d une application doit pouvoir être prouvée

16 Une nouvelle vue sur la sécurité Organisation Application

17 Une nouvelle vue sur la sécurité Portée de la sécurité d une application Tout ce qui, dans l organisation, peut mettre en péril l information critique de l application Ce qu il faut contrôler pour protéger cette information S étend au-delà de la portée de l application elle- même Inclut les personnes, les processus et l infrastructure technologique qui supportent ou interagissent avec l application

18 Portée de la sécurité d une application Périmètre de sécurité de l application

19 Concepts

20 Cadre normatif de l organisation

21 Cadre normatif de l organisation Le contexte d affaires documente les standards et pratiques adoptés par l organisation et pertinents aux projets d application Processus de gestion de projet, de développement, d analyse de risque, d opération, d acquisition, etc. Politique de sécurité Pratiques du domaine Méthodologie(s) de développement Règles de développement

22 Cadre normatif de l organisation Le contexte régulatoire documente les articles de lois et règlements qui peuvent contraindre les projets d application, dans toutes les juridictions où les applications sont utilisées

23 Cadre normatif de l organisation Le contexte technologique documente les produits, services et technologies disponibles pour les projets d application dans l organisation. Il permet aussi de déterminer les menaces auxquelles les applications sont exposées

24 Cadre normatif de l organisation Le dépôt de spécifications documente les besoins fonctionnels et les solutions utilisées pour y répondre. On y retrouve la documentation des applications, les architectures, les analyses On y retrouve aussi le code source, les librairies, les outils

25 Cadre normatif de l organisation La description de tous les rôles impliqués dans les projets d applications, leur responsabilités et qualifications requises Assure que les acteurs requis pour les processus sont définis et assure la séparation des responsabilités

26 Cadre normatif de l organisation La banque de tous les contrôles de sécurité applicative approuvés par l organisation C est un recueil de bonnes pratiques, dans un format standard

27 Cadre normatif de l organisation La description formelle de tous les processus de l organisation impliqués dans la sécurité des applications Y compris les nouveaux processus apportés par cette Norme

28 Cadre normatif de l organisation Un modèle standard de cycle de vie pour la sécurité d une d application, utilisé comme référence pour les contrôles de sécurité Il couvre toute la vie de l application, du besoin initial jusqu à la mise au rebut

29 Modèle de cycle de vie pour la sécurité d une application

30 Contrôle de sécurité applicative CSA Activité de sécurité (qui, quand, quoi, comment, coût) Activité de vérification (qui, quand, quoi, comment, coût) Modèle de sécurité du cycle de vie de l application

31 Contrôle de sécurité applicative C est une mesure de réduction de risque Créé, approuvé et maintenu par l organisation Utilisé par les équipes de projet et d opération Utilisé par les équipes d assurance-qualité et d audit Peut servir pour le développement interne ou comme critère d acceptation / homologation Vérifiable en tout temps Décrit formellement dans un format et une structure standard

32 Contrôle de sécurité applicative Chaque contrôle de sécurité comprend: Des métadonnées: identification, description, historique, versions, approbation, signature électronique, parent, enfant, etc. Des objectifs en rapport avec un risque, une spécification fonctionnelle, un élément de contexte d affaires, régulatoire, technologique, le niveau de confiance applicable Uneactivitéde sécurité la description détaillée de la mesure de réduction du risque Uneactivitéde vérification qui permettra de prouver que la mesure de réduction du risque a été appliquée avec succès Le coût estimé de ces activités

33 Contrôle de sécurité applicative Les contrôles sont hiérarchiques, ce qui permet la simplification et la réutilisation CSA CSA

34 La banque de contrôles de sécurité applicative Similaire à un recueil de bonnes pratiques Adaptée aux besoins spécifiques de l organisation Adaptée au contexte d affaires, légal et technologique Alimentée par les normes et standards, les bonnes pratiques du marché, l expérience de l organisation Gérée et approuvée par l organisation Elle contient les contrôles disponibles pour chaque spécification fonctionnelle et chaque degré de confiance désiré Peut être représentée comme une grille

35 Liste tous les CSA de l organisation La banque de contrôles de sécurité applicative Librarie des CSA de l organisation 0 Niveaux de confiance d application utilisés par l organisation

36 Le niveau de confiance C est un indice de tolérance au risque Concrétisé par un ensemble de contrôles (une colonne dans la grille) On a confiance en l application quand on y a appliqué les contrôles adéquats Targeted level of trust: niveau de confiance ciblé, décidé par le propriétaire de l application suite à l analyse de risque Actual level of trust: niveau de confiance réel, mesuré par une vérification, un audit

37 Le niveau de confiance C est le plan d action de sécurité pour l application On fait déjà: analyse de risque et plan d action, mais c est improvisé chaque fois et c est toujours à recommencer La Norme standardise le processus dans l organisation Suite à l analyse de risque, on choisit un plan d action préapprouvé et éprouvé Gain d efficacité et d efficience majeur

38 Processus

39 Processus La Norme repose sur des processus que l organisation doit définir ou arrimer avec ses processus existants Deux niveaux de processus: Organisationnel: gestion du Cadre normatif organisationnel Projet: utilisation du Cadre normatif organisationnel pour gérer la sécurité d une application

40 Processus Cadre Normatif de l Organisation Processus de gestion Cadre Normatif de l Application 1 Processus de gestion Cadre Normatif de l Application 2 Processus de gestion Cadre Normatif de l Application 3 Processus de gestion

41 Processus Application Security Management Process Chaque 2 projet d application3 Assessing application security risks Application s Targeted Level of Trust Creating and maintaining the Application Normative Framework 5 Auditing the security of the application Application s Actual Level of Trust Application Normative Framework Niveau du projet 1 Specifying the application requirements and environment 4 Provisioning and operating the application Organization Normative Framework Organization management processes ONF Management Process Components and processes related to Application Security Other components and processes Niveau de l organisation

42 Processus de gestion de la sécurité d une application Application Security Management Process 2 3 Assessing application security risks Determines Is used for Creating and maintaining the Application Normative Framework Application s Targeted Level of Trust Organization Normative Framework Identifies Application contexts and specifications used for 1 Specifying the application requirements and environment Provides 5 Auditing the security of the application Application s Actual Level of Trust Mandates security adjustments used for Provides Application Normative Framework used for Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application

43 Organization Normative Framework Processus de gestion de la sécurité d une application 2 Assessing application security risks Identifies Application contexts and specifications used for 1 Specifying the application requirements and environment Application Security Management Process Creating and maintaining On détermine les éléments Is used qui ont un the Application for Normative Framework impact sur la sécurité de l application: Application s Targeted spécifications Level of Trust acteurs information Determines 5 contextes d affaire, régulatoire, Provides Provides Application s Actual Application Normative technologique Level of Trust Framework used for Auditing the security of the application Mandates security adjustments used for 3 Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application

44 Processus de gestion de la sécurité d une application Application Security Management Process 2 3 Assessing application security risks Determines Is used for Creating and maintaining the Application Normative Framework Application s Targeted Level of Trust Identifies Application contexts and specifications used for Provides Provides Application s Actual Application Normative 1 5 Le propriétaire de Level of Trust Framework used for Specifying the l application Mandates security détermine le application Auditing the security adjustments requirements and of the application Niveau de confiance ciblé environment used for On identifie, analyse et évalue le risque On en déduit les exigences de sécurité Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application

45 Processus de gestion de la sécurité d une application 2 On extrait de l ONF les contrôles pertinents pour réduire le risque de Assessing l application application en fonction security des Determines risks spécifications trouvées en 1 et du Niveau de confiance ciblé choisi en 2 Identifies Application contexts and specifications used for Application Security Management Process 5 Provides Provides Application project artefacts and ANF used for Application s Targeted Level of Trust Cela 1 donne un mini-onf qu on appelle ANF: le Cadre normatif Specifying the Auditing the security de l application requirements and of the application environment C est un dépôt permanent qui contient toute l information détaillée relative à Provides la sécurité Implemented required ASCs de l application used for Application s Actual Level of Trust Is used for Mandates security adjustments used for 3 Creating and maintaining the Application Normative Framework Provides Application Normative Framework used for 4 Provisioning and operating the application

46 Processus de gestion de la sécurité d une application Application Normative Framework Business context associated with the application s environment Regulatory context associated with the application s environment Technological context associated with the application s environment Application specifications Application actors: roles, responsibilities and qualifications Selected ASCs for the application s life cycle Processes related to the security of the application Application life cycle

47 Processus de gestion de la sécurité d une application Application Normative Framework Business context associated with the application s environment Regulatory context associated with the application s environment Technological context associated with the application s environment Application specifications Application actors: roles, responsibilities and qualifications Selected ASCs for the application s life cycle On ajoute des activités de sécurité et de vérification aux processus existants Application life cycle Processes related to the security of the application

48 Processus de gestion de la sécurité d une application Application Security Management Process 2 3 Assessing application security risks Determines Is used for Creating and maintaining the Application Normative Framework On utilise les Identifies contrôles prescrits par Application contexts l ANF pendant and specifications tout le cycle de vie de l application used for Provides acquisition 1 ou développement 5 opération, maintenance, mise à Specifying the la retraite application Auditing the security requirements and of the application On réalise toutes environment les activités de sécurité de tous les contrôles On réalise toutes les activités de Provides vérification de tous les contrôles Provides Application project artefacts and ANF used for Application s Targeted Level of Trust Implemented required ASCs used for Application s Actual Level of Trust Mandates security adjustments used for Provides Application Normative Framework used for 4 Provisioning and operating the application

49 Processus de gestion de la sécurité d une application Assessing On vérifie le résultat application security (la preuve) risks de toutes les activités de vérification de tous les contrôles Le résultat est le Niveau de confiance réel 2 Identifies Application contexts and specifications used for 1 Specifying the application requirements and environment Application Security Management Process Determines Provides 5 Auditing the security of the application Application s Targeted Level of Trust Application s Actual Level of Trust Is used for Mandates security adjustments used for 3 Creating and maintaining the Application Normative Framework Provides Application Normative Framework used for Provides Implemented required ASCs used for Provides Application project artefacts and ANF used for 4 Provisioning and operating the application

50 Processus de gestion de la sécurité d une application L audit peut être réalisé en tout temps dans le cycle de vie de l application Il peut être réalisé par des auditeurs internes ou externes Il devrait être réalisé au moment d un point de décision: mise en production, acceptation, homologation, etc. Il consiste simplement à vérifier que tous les contrôles ont été vérifiés avec succès Si un contrôle n a pas été vérifié avec succès, on n atteint pas le Niveau de confiance ciblé Si le Niveau de confiance réel = Niveau de confiance ciblé, l organisation peut déclarer que l application est sécuritaire jusqu au prochain audit Le Niveau de confiance réel représente le risque résiduel au moment où l audit est réalisé Le propriétaire de l application peut accepter le risque résiduel en toute confiance car il est basé sur des preuves

51 Impact sur l organisation

52 Avantages d adopter la Norme pour l organisation Facilitation de la conformité aux lois, normes et bonnes pratiques Augmentation mesurable de la sécurité des applications Vérification basée sur des preuves Uniformisation et normalisation de la gestion de la sécurité dans les divers projets Gain d efficacité et d efficience Facilitation du transfert de connaissances Réutilisation des processus et contrôles existants Meilleur contrôle des fournisseurs et tierces parties Diminution des dépassements de coût et de durée Chaque controle de sécurité peut comprendre un coût La liste précise des contrôles de sécurité est connue de tous les soumissionnaires Les critères précis de vérification sont connus de tous les soumissionnaires

53 Efforts pour l organisation Assigner les rôles et responsabilités Documenter les processus et composants existants Les arrimer et les mettre à niveau avec la Norme Mettre en œuvre les processus au niveau organisationnel Créer le Cadre normatif de l organisation Mettre en œuvre le processus dans les projets Gérer le changement

54 Intérêt manifesté dans l industrie

55 Intérêt manifesté dans l industrie Collaborateurs enthousiastes à la rédaction et l adoption par ISO/IEC Microsoft Cisco Boeing Représentants d environ 15 pays membres Experts en sécurité et en génie logiciel 27 pays membres votants sur 28 ont voté pour la publication (96%) en novembre 2011 ISO/IEC :2011 est disponible sur et bientôt sur csa.ca

56 Intérêt manifesté dans l industrie Organismes actuellement en projet d implantation de la Norme Élections Canada Mouvement Desjardins Deux banques majeures canadiennes Un fournisseur d applications du domaine de la santé Organismes envisageant un projet d implantation de la Norme Deux banques majeures canadiennes

57 Merci de votre attention