ETUDE DE CAS : SECURITE D UN

Transcription

1 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d information Sous-direction assistance, conseil et epertise Bureau assistance et conseil EBIOS 2010 ETUDE DE CAS : SECURITE D UN SERVICE DU CLOUD Version du 20 juillet 2011

2 Les commentaires et suggestions sont encouragés et peuvent être adressés à l'adresse suivante (voir formulaire de recueil de commentaires en fin de guide) : Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d'information Sous-direction assistance, conseil et epertise Bureau assistance et conseil 51 boulevard de La Tour-Maubourg PARIS 07 SP ebios@ssi.gouv.fr Page 2 sur 61

3 Historique modifications Date Objet de la modification Statut 20/07/2011 Création du document Validé Table matières 1 MODULE 1 ETUDE DU CONTEXTE ACTIVITE 1.1 DEFINIR LE CADRE DE LA GESTION DES RISQUES Identifier les sources de menaces ACTIVITE 1.2 PREPARER LES METRIQUES Activité Définir les critères de sécurité et élaborer les échelles de besoins Activité Elaborer une échelle de niveau de gravité Activité Elaborer une échelle de niveau de vraisemblance Echelle de niveau de risque Critères de gestion risques ACTIVITE 1.3 IDENTIFIER LES BIENS Biens essentiels Biens supports Liens entre biens supports et biens essentiels Mesures de sécurité eistantes MODULE 2 ÉTUDE DES EVENEMENTS REDOUTES MODULE 3 ÉTUDE DES SCENARIOS DE MENACES SYSTEME D ACCES (SYS_AIN) SYSTEME DU PRESTATAIRE (SYS_EXT) SYSTEME D ACCES DU PRESTATAIRE (SYS_APR) ORGANISATION INTERNE (ORG_INT) ORGANISATION DU PRESTATAIRE (ORG_PRE) MODULE 4 ÉTUDE DES RISQUES ANALYSE ET EVALUATION DES RISQUES Divulgation données de déclaration de sinistre Altération données de déclaration de sinistre Indisponibilité données de déclaration de sinistre Divulgation données de sécurité Altération données de sécurité Indisponibilité données de sécurité Divulgation de la fonction de traitement données de déclaration de sinistre Dysfonctionnement de la fonction de traitement données de déclaration de sinistre Arrêt de la fonction de traitement données de déclaration de sinistre IDENTIFICATION DES OBJECTIFS DE SECURITE IDENTIFICATION DES RISQUES RESIDUELS MODULE 5 - ÉTUDE DES MESURES DE SECURITE DEFINITION DES MESURES DE SECURITE ANALYSE DES RISQUE RESIDUELS DECLARATION D APPLICABILITE MISE EN ŒUVRE DES MESURES DE SECURITE Page 3 sur 61

4 1 Module 1 Etude du contete Les risques évoqués dans ce document sont décrit dans le document de référence publié par l ENISA («Cloud computing : Benefits, risks and recommendations for information security», et dans celui publié par l ANSSI «Eternalisation systèmes d information». Un assureur s attend à un pic de déclaration en cas d évènements catastrophiques. Il fait appel à un service de type IAAS pour héberger et traiter les données de déclaration de sinistre. Ces données sont rapatriées dans son SI une fois instruites par les eperts d assurance. Personnel Opérateur en charge de la saisie Personnel eterne Opérateur en charge de l instruction Auditeur Administrateur technique Postes utilisateurs Portail Serveurs s Internet Référentiel d identité Cloud 1.1 Activité 1.1 Définir le cadre de la gestion risques La définition détaillée du cadre de la gestion risques sera faite avec le logiciel. Page 4 sur 61

5 1.1.1 Identifier les sources de menaces Types de sources de menaces Source humaine, malveillante, avec de faibles capacités Source humaine, malveillante, avec capacités importantes Source humaine, malveillante, avec capacités illimitées Source humaine eterne, malveillante, avec de faibles capacités Source humaine eterne, malveillante, avec capacités importantes Source humaine eterne, malveillante, avec capacités illimitées Source humaine, sans intention de nuire, avec de faibles capacités Source humaine, sans intention de nuire, avec capacités importantes Source humaine, sans intention de nuire, avec capacités illimitées Source humaine eterne, sans intention de nuire, avec de faibles capacités Source humaine eterne, sans intention de nuire, avec capacités importantes Source humaine eterne, sans intention de nuire, avec capacités illimitées Code malveillant d origine inconnue Phénomène naturel Catastrophe naturelle ou sanitaire Activité animale Retenu ou non Oui Oui Oui Non Oui Non Oui Oui Oui Non Non Non Non Oui Oui Non Eemple Employé malveillant Employé du malveillant Administrateur malveillant Administrateur du malveillant Pirate Concurrent Employé peu sérieu Employé du peu sérieu Administrateur peu sérieu Administrateur du peu sérieu Panne de matériel Panne de réseau Inondation Tempête Tremblement de terre Evènement Oui Faille dans l application Evènement eterne Oui Décision du cloud provider Mauvaise gestion du Décision de justice Changement de juridiction Page 5 sur 61

6 1.2 Activité 1.2 Préparer les métriques Activité Définir les critères de sécurité et élaborer les échelles de besoins Afin d eprimer les besoins de sécurité, les critères de sécurité retenus sont les suivants : Critères de sécurité Disponibilité Intégrité Confidentialité Définitions Propriété d accessibilité au moment voulu biens essentiels Propriété d eactitude et de complétude biens essentiels Propriété biens essentiels de n être accessibles que par utilisateurs autorisés L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes de disponibilité : Niveau de l échelle Plus de 48h Entre 24 et 48h Entre 4 et 24h Moins de 4h Description détaillée de l échelle Le bien essentiel peut être indisponible plus de 48 heures Le bien essentiel doit être disponible dans les 48 heures Le bien essentiel doit être disponible dans les 24 heures Le bien essentiel doit être disponible dans les 4 heures L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes d intégrité : Niveau de l échelle Détectable Maîtrisé Intègre Description détaillée de l échelle Le bien essentiel peut ne pas être intègre si l altération est identifiée Le bien essentiel peut ne pas être intègre, si l altération est identifiée et l intégrité du bien essentiel retrouvée Le bien essentiel doit être rigoureusement intègre L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes de confidentialité : Niveau de l échelle Public Limité Réservé Privé Description détaillée de l échelle Le bien essentiel est public Le bien essentiel ne doit être accessible qu au personnel et au partenaires Le bien essentiel ne doit être accessible qu au personnel impliqué Le bien essentiel ne doit être accessible qu à personnes identifiées et ayant le besoin d en connaître Page 6 sur 61

7 1.2.2 Activité Elaborer une échelle de niveau de gravité L échelle suivante sera utilisée pour estimer la gravité évènements redoutés et risques. Niveau de l échelle Description détaillée de l échelle 0. Insignifiant L évènement redouté n est pas retenu dans le contete de cette étude 1. Négligeable La société surmontera les impacts sans aucune difficulté 2. Limitée La société surmontera les impacts malgré quelques difficultés 3. Importante La société surmontera les impacts avec de sérieuses difficultés 4. Critique La société surmontera les impacts avec de très sérieuses difficultés et sur une très longue période Activité Elaborer une échelle de niveau de vraisemblance L échelle suivante sera utilisée pour estimer la vraisemblance scénarios de menaces et risques. Niveau de l échelle Description détaillée de l échelle 1. Minime Cela ne devrait pas se (re)produire dans les 3 ans / Besoin privilèges d administrateur 2. Significative Cela pourrait se (re)produire dans les 3 ans / Besoin de connaissances et d un accès au utilisateurs Cela devrait se (re)produire dans l année / Sans besoin de connaissances et avec un besoin au utilisateurs 4. Maimale Cela va certainement se (re)produire plusieurs fois dans l année / Sans besoin de connaissances ni au utilisateurs Echelle de niveau de risque 4 4. Intolérable Gravite 3 Significatif 2 2. Limité 1 1. Négligeable 2. Limité Vraisemblance Critères de gestion risques Ce point sera à complété avec le logiciel. Page 7 sur 61

8 1.3 Activité 1.3 Identifier les biens Biens essentiels d information eternalisé Fonctions eternalisées Données de déclaration de sinistre Données de sécurité (Clés de chiffrement, logs, référentiel d identité et droits) Traitement données Biens supports (SYS_AIN) eternalisé (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Réseau de l organisme Réseau t Serveurs du Postes de travail du Logiciel d administration du Portail Réseau du Utilisateurs (opérateurs en charge de la saisie, opérateurs en charge de l instruction, auditeurs) Administrateurs fonctionnels Administrateurs techniques Administrateurs du cloud Sous-traitants du Cloud Provider Liens entre biens supports et biens essentiels Biens supports Biens essentiels Données de déclaration de sinistre Données de sécurité Traitement données (SYS_AIN) eternalisé (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Page 8 sur 61

9 1.3.4 Mesures de sécurité eistantes N Thème ISO Mesure de sécurité Description Prévention Récupération Bien support Zones sécurisée Périmètre de sécurité physique Zones sécurisée Contrôle physique accès Zones sécurisée Sécurité du matériel Services générau Sécurité du matériel Sécurité du câblage Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements contre les menaces de terre, les eplosions, les troubles civils et autres formes de etérieures et catastrophes naturelles ou de sinistre provoqués par l homme. Les environnementales datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. X X du / du / Page 9 sur 61

10 Responsabilités utilisateurs 11.4 Contrôle au réseau 11.4 Contrôle au réseau Utilisation du mot de passe Authentification administrateurs Authentification utilisateurs Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de la sélection et de l utilisation de mots de passe. Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en 14.1 Aspects de la sécurité compte les eigences en matière de sécurité de l information, les Plan de continuité de l activité de l information en matière de évènements pouvant être à l origine d interruption processus du gestion de l activité métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. / Page 10 sur 61

11 2 Module 2 Étude évènements redoutés N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER1 Divulgation données Privé ER2 Altération données Intègre ER3 Indisponibilité données 24h Données de sécurité ER4 ER5 Divulgation données de sécurité Altération données de sécurité Indisponibilité données ER6 de sécurité Traitement données ER7 ER8 ER9 Divulgation de la fonction de traitement Altération de la fonction de traitement Indisponibilité de la fonction de traitement Privé Intègre 48h Réservé Intègre 24h Employé du peu sérieu Employé du malveillant Bogue logiciel Hébergeur/Faille dans l application Employé peu sérieu Employé du peu sérieu Employé peu sérieu Hébergeur/Faille dans l application Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Entreprise tierce Changement de juridiction Panne de serveur Bogue logiciel Catastrophe naturelle Employé peu sérieu Employé malveillant Employé malveillant Employé malveillant Employé du malveillant Employé malveillant Employé du malveillant Mauvaise gestion du Concurrent Employé malveillant Panne de réseau Perte de notoriété Perte de confiance vis-à-vis clients Impossibilité de remplir obligations légales Action en justice à l encontre de la société Non-conformité au labels de sécurité Chute de valeur en bourse Impossibilité de remplir les obligations légales Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Non-conformité au labels de sécurité Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Mise en péril du système d information eternalisé Impossibilité de remplir les obligations légales Non-conformité au labels de sécurité Perte de notoriété Perte de confiance vis-à-vis clients Chute de valeur en bourse Perte de contrôle sur le système d information eternalisé Impossibilité d assurer le traitement Perte de contrôle sur le système d information eternalisé Perte d un avantage concurrentiel Traitement données non valide Perte de confiance vis-à-vis clients Perte de notoriété Perte de crédibilité Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Perte de notoriété 4. Critique 3. Importante 2. Limitée 4. Critique 3. Importante 2. Limitée 0. Insignifiant 0. Insignifiant 3. Importante Page 11 sur 61

12 L importance relative évènements redoutés précédemment analysés est évaluée à l aide du tableau suivant : Gravité 4. Critique 3. Importante 2. Limitée Evénements redoutés ER1 Divulgation données ER4 Divulgation données de sécurité ER2 Altération données ER5 Altération données de sécurité ER9 Indisponibilité de la fonction de traitement ER3 Indisponibilité données ER6 Indisponibilité données de sécurité 1. Négligeable 0. Insignifiant ER7 Divulgation de la fonction de traitement ER8 Altération de la fonction de traitement Page 12 sur 61

13 3 Module 3 Étude scénarios de menaces 3.1 (SYS_AIN) Bien Support Scénario de menace (SYS_AIN) Menace sur le réseau t causant une indisponibilité Menace sur le réseau t causant une altération Menace sur le réseau t causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Entreprise tierce Concurrent Employé malveillant Panne de réseau Concurrent Employé malveillant Concurrent Employé malveillant M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M13 RSX-USG Attaque du milieu sur un canal informatique M14 RSX-ESP Ecoute passive d un canal informatique Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Attaque de type Man in the Middle Acquisition de données par écoute passive 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Acquisition de données par écoute passive Attaque de type Man in the Middle Possibilité d être impliqué dans les activités frauduleuses d une entreprise tierce sur le cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau perméable Données transmises interprétables Possibilité de falsification du service appelé Routage altérable Serveurs partagés (cloud public) Accès à la table de routage Accès au utilisateurs Contrôle insuffisant du matériel Accès physique au réseau Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs 2. Significative 4. Maimale Mesures de sécurité eistantes N 9 10 Thème ISO Gestion de l accès utilisateur Mesures de sécurité eistantes Gestion du mot de passe utilisateur Description L attribution de mots de passe doit être réalisée dans le cadre d un processus formel Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs Prévention Récupération Bien support / / Mesures de sécurité complémentaires N 9 11 Thème ISO Mesures de sécurité 10.3 Planification et Dimensionnement acceptation du système informations journalisées Description Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. Prévention Récupération Bien support / / / / Page 13 sur 61

14 12 Journal administrateur journal opérations et La journalisation opérations administrateurs permet de garder une trace actions administrateurs. / / 13 Rapports de défaut Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. / / Contrôle Contrôle au routage réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. Chiffrement flu Gestion clés du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. / Page 14 sur 61

15 3.2 (SYS_EXT) Bien Support Scénario de menace (SYS_EXT) Menace sur le système du causant une indisponibilité Menace sur le système du causant une altération Menace sur le système du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du peu sérieu Employé du malveillant Décision du cloud provider Concurrent Hébergeur/Faille dans l application Décision de justice Panne de matériel Bogue logiciel Catastrophe naturelle Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Décision du cloud provider Concurrent Employé peu sérieu Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Bogue logiciel Panne de matériel Décision de justice M9 LOG-DEP Dépassement limites d un logiciel M12 LOG-PTE Disparition d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M4 MAT-PTE Détérioration d un matériel M11 LOG-MOD Modification d un logiciel M7 LOG-USG Détournement de l usage prévu d un logiciel M11 LOG-MOD Modification d un logiciel M8 LOG-ESP Analyse d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel Sureploitation du système du Cessation d activité du Serveurs du saisis par la justice Perte ou effacement données Changement données du portail au cloud Données rendues accessibles à d autres utilisateurs du cloud Collecte de données au SI eternalisé Prestataire racheté par une société investissant moins dans la sécurité Serveurs du saisis par la justice Vol de serveurs Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Changement données du portail au cloud 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Sureploitation du système du Manque de compétence du personnel du Négligence du personnel du Ressources allouées par le insuffisantes Cessation d activité du Portabilité données non assurée Fébrilité économique du 1. Minime 2. Significative Serveurs du saisis par la justice Perte ou effacement données Juridiction liée à la position géographique données Données accessibles avec les droits adéquats Matériel peu fiable Matériel inapproprié au conditions d utilisation Datacenter mal protégé contre les catastrophes naturelles Mauvaise compartimentation du logiciel Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Privilèges élevés sur l application Ou Contrôle insuffisant du matériel Ou Bogue dans le logiciel utilisé Ou Datacenter dans une zone à risque de catastrophes naturelles Ou Serveurs partagés (cloud public) 2. Significative Page 15 sur 61

16 Collecte de données au SI eternalisé Changement données du portail au cloud Prestataire racheté par une société investissant moins dans la sécurité Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Vol de serveurs SI du sous-traitant mal sécurisé Faille dans l application Faille dans le portail au cloud Négligence du personnel du Manque de compétence du personnel du Négligence du personnel du Mauvais effacement données par le Mauvaise compartimentation du logiciel Manque de sécurisation datacenters Négligence du personnel du Négligence du personnel de sécurité du datacenter Accès physique ou logique au SI du sous-traitant Connaissance de l eistence du logiciel Connaissance de l eistence du portail Accès physique ou logique au portail Connaissance de l eistence du portail Fébrilité économique du Serveurs partagés ou réutilisés Serveurs partagés ou réutilisés Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Possibilité de déplacer un serveur 4. Maimale 2. Significative Mesures de sécurité eistantes N Thème ISO Zones sécurisée 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès contre les menaces etérieures et environnementales Services générau 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements de terre, les eplosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistre provoqués par l homme. Les datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X X Récupération Bien support Mesures de sécurité complémentaires N 5 6 Thème ISO Sécurité du matériel 10.2 Gestion de la prestation de service par un tiers Mesures de sécurité Mise au rebut ou recyclage sécurisé du matériel Prestation de service et contrat Description Vérifier tout le matériel contenant supports de stockage pour s assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Le devra préciser les mesures mises en œuvre pour assurer la mise au rebut de ses matériels. S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Prévention Récupération Bien support Page 16 sur 61

17 Gestion de Clause la prestation de contractuelle service par un restitution tiers données 10.2 Gestion de la prestation de service par un tiers Gestion modifications dans les services tiers 10.3 Planification et Dimensionnement acceptation du système 10.5 Sauvegarde Le contrat de prestation de service doit préciser les conditions de restitution de données (conditions, délais, formats) pour permettre le rapatriement données ou le changement de sans interruption de service. Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et Rapports de défaut 11.4 Contrôle au réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec eigences légales 15.1 Conformité avec eigences légales les ports de diagnostic et de configuration à distance Politique d utilisation mesures cryptographiques Gestion clés Mesures relatives au vulnérabilités techniques équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Elaboration et mise en œuvre d une politique d utilisation mesures cryptographiques en vue de protéger l information. Par eemple, employer un logiciel de chiffrement données eternalisées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. Le doit satisfaire les eigences de protection et de confidentialité données à caractère personnel telles que l eigent la législation ou les données et réglementations applicables. confidentialité Le transfert données à caractère personnel en dehors frontières de informations l Union européenne est réglementé par la directive européenne 95/46/CE et la loi relatives à la vie n du 6 janvier 1978 modifiée relative à l inf ormatique, au fichiers et au privée libertés. Hébergement non mutualisé Localisation les données L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. Le doit être en mesure d indiquer la localisation données pour informer l organisation / / / / / / / / / / Page 17 sur 61

18 3.3 (SYS_APR) Bien Support Scénario de menace Menace sur le réseau du (SYS_APR) causant une indisponibilité Menace sur le réseau du causant une altération Menace sur le réseau du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du malveillant Panne de réseau Employé du malveillant Employé du malveillant M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M13 RSX-USG Attaque du milieu sur un canal informatique M11 LOG-MOD Modification d un logiciel M14 RSX-ESP Ecoute passive d un canal informatique Perte de liaison entre les serveurs du Attaque de type Man in the Middle Changement données du portail au cloud Acquisition de données par écoute passive entre les serveurs du Menace Vulnérabilités Pré-requis Vraisemblance Perte de liaison entre les serveurs du Attaque de type Man in the Middle Acquisition de données par écoute passive entre les serveurs du Changement données du portail au cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Possibilité de falsification du service appelé Routage altérable Perméabilité du réseau Données observables lors du transfert Données du portail modifiables Données du portail accessibles avec les droits adéquats Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs Accès physique ou logique au portail Connaissance de l eistence du portail Mesures de sécurité eistantes N 5 Thème ISO Sécurité du matériel Mesures de sécurité eistantes Sécurité câblage du Description Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. Prévention Récupération Bien support Mesures de sécurité complémentaires N Thème ISO Mesures de sécurité 10.3 Planification et Dimensionnement acceptation du système informations journalisées Journal administrateur journal opérations et Description Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Prévention Récupération Bien support / / / / / / Page 18 sur 61

19 13 Rapports de défaut Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. / / Contrôle au réseau ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion Contrôle Contrôle au réseau du routage réseau du S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. / Page 19 sur 61

20 3.4 (ORG_INT) Bien Support Scénario de menace (ORG_INT) Menace sur l organisation causant une indisponibilité Menace sur l organisation causant une altération Menace sur l organisation causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé peu sérieu Employé peu sérieu Employé malveillant M23 PER-MOD Influence sur une personne M21 PER-DEP Surcharge capacités d une personne M23 PER-MOD Influence sur une personne Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Mauvaise répartition rôles entre le personnel et le personnel du L employé se venge 2. Significative 1. Minime Menace Vulnérabilités Pré-requis Vraisemblance Mauvaise répartition rôles entre le personnel et le personnel du Collecte de données au SI eternalisé Manque de compétence du personnel Négligence du personnel Personne influençable ou manipulable Partage de l administration entre le personnel et le personnel du Etablissement d une relation avec la personne 1. Minime 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative Mesures de sécurité eistantes N Thème ISO Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs Prévention Récupération Bien support / du / / Mesures de sécurité complémentaires N Thème ISO Mesures de sécurité Description Prévention Récupération Bien support Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information / eterne Page 20 sur 61

21 2 3 4 Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. Page 21 sur 61

22 3.5 du (ORG_PRE) Bien Support Scénario de menace du (ORG_PRE) Menace sur l organisation du causant une indisponibilité Menace sur l organisation du causant une altération Menace sur l organisation du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du peu sérieu Employé peu sérieu Employé malveillant M23 PER-MOD Influence sur une personne M21 PER-DEP Surcharge capacités d une personne M23 PER-MOD Influence sur une personne Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Mauvaise répartition rôles entre le personnel et le personnel du L employé se venge 2. Significative 1. Minime Menace Vulnérabilités Pré-requis Vraisemblance Mauvaise répartition rôles entre le personnel et le personnel du Collecte de données au SI eternalisé Manque de compétence du personnel Négligence du personnel Personne influençable ou manipulable Partage de l administration entre le personnel et le personnel du Etablissement d une relation avec la personne 1. Minime 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative Mesures de sécurité eistantes N Thème ISO Mesures de sécurité eistantes Description Prévention Récupération Bien support Manipulation supports Sécurité de la documentation système La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). / du Mesures de sécurité complémentaires N Thème ISO Mesures de sécurité Description Prévention Récupération Bien support Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information / eterne Page 22 sur 61

23 L importance relative scénarios de menaces précédemment analysés est évaluée de la façon suivante : Vraisemblance 4. Maimale 2. Significative 1. Minime Scénarios de menaces Menace sur le réseau t causant une indisponibilité Menace sur le système du causant une compromission Menace sur le réseau t causant une altération Menace sur le réseau t causant une compromission Menace sur le système du causant une indisponibilité Menace sur le système du causant une altération Menace sur le réseau du causant une indisponibilité Menace sur le réseau du causant une altération Menace sur le réseau du causant une compromission Menace sur l organisation causant une compromission Menace sur l organisation du causant une compromission Menace sur l organisation causant une indisponibilité Menace sur l organisation du causant une indisponibilité Menace sur l organisation causant une altération Menace sur l organisation du causant une altération Page 23 sur 61

24 4 Module 4 Étude risques 4.1 Analyse et évaluation risques Divulgation données de déclaration de sinistre Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Logiciel d administration du Logiciel d administration du Serveurs du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Personnel ou personnel du Personnel du Internet Réseau du - Serveurs du - Serveurs du Le Cloud Provider fait appel à un offrant de plus faibles garanties de sécurité : un pirate accède au données via le SI de ce. Le Cloud Provider est racheté par une société investissant moins dans la sécurité : une faille permet à un pirate de s introduire dans le système. Les données confidentielles et soumises à réglementations sont stockées à l étranger. La réglementation du pays où sont stockées les données permet une divulgation de ces données. Les données peuvent être saisies par la justice. Les données confidentielles soumises à réglementations sont stockées dans le cloud. Cette eternalisation rend possible l accès au données par un pirate. L administrateur du cloud n efface délibérément pas les données stockées sur les serveurs. L administrateur du cloud oublie d effacer tout ou partie données stockées sur le serveur. Un bogue logiciel laisse traces de données sur les serveurs. Les données de plusieurs sociétés sont stockées sur un même support : leur mauvaise séparation entraîne une divulgation non-intentionnelle données. Le piratage droits d un administrateur du cloud permet l accès à tout le système. Un pirate utilise les techniques de «social engineering» pour obtenir l accès au données. Un employé du souhaitant se venger divulgue données. Un pirate intercepte sur Internet les données transitant entre le système et le cloud. Un pirate ou un employé du Cloud Provider intercepte les données transitant entre les serveurs du cloud. Un pirate ou un employé du Cloud Provider obtient de manière frauduleuse l accès au serveurs de données Un pirate ou un employé du Cloud Provider dérobe les serveurs de backup données N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER1 Divulgation données Privé Employé du peu sérieu Employé du malveillant Bogue logiciel Hébergeur/Faille dans l application Employé peu sérieu Perte de notoriété Perte de confiance vis-à-vis clients Impossibilité de remplir obligations légales Action en justice à l encontre de la société Non-conformité au labels de sécurité Chute de valeur en bourse 4. Critique Résultat obtenu par le logiciel Bien support Scénarios de Critèr menace e Sources de menaces Types de menace Menaces Vraisembla nce Page 24 sur 61

25 (SYS_AIN) (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Menace sur le réseau t causant une compromission Menace sur le système du causant une compromission Menace sur le réseau du causant une compromission Menace sur l organisation causant une compromission Menace sur l organisation du causant une compromission C C C C C Concurrent Employé malveillant Décision du cloud provider Employé peu sérieu Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Bogue logiciel Panne de matériel Décision de justice Employé du malveillant Employé malveillant Employé malveillant M14 RSX-ESP Ecoute passive d un canal informatique M8 LOG-ESP Analyse d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M14 RSX-ESP Ecoute passive d un canal informatique M23 PER-MOD Influence sur une personne M23 PER-MOD Influence sur une personne Acquisition de données par écoute passive Collecte de données au SI eternalisé Prestataire racheté par une société investissant moins dans la sécurité Serveurs du saisis par la justice Accès physique au serveurs Vol de serveur Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Changement données du portail au cloud Acquisition de données par écoute passive entre les serveurs du L employé se venge L employé se venge 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Acquisition de données par écoute passive Serveurs du saisis par la justice Données rendues accessibles à d autres utilisateurs du cloud Collecte de données au SI eternalisé Changement données du portail au cloud Prestataire racheté par une société investissant moins dans la sécurité Données non effacées serveurs du et rendues accessibles Accès physique au serveurs Vol de serveurs Acquisition de données par écoute passive entre les serveurs du Réseau perméable Données transmises interprétables Juridiction liée à la position géographique données Mauvaise compartimentation du logiciel SI du sous-traitant mal sécurisé Faille dans l application Faille dans le portail au cloud Négligence du personnel du Manque de compétence du personnel du Négligence du personnel du Mauvais effacement données par le Manque de sécurisation datacenters Négligence du personnel du Manque de sécurisation datacenters Négligence du personnel du Négligence du personnel de sécurité du datacenter Perméabilité du réseau Données observables lors du transfert Accès à la table de routage Accès au utilisateurs Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Serveurs partagés (cloud public) ou réutilisés Accès physique ou logique au SI du sous-traitant Connaissance de l eistence du logiciel Connaissance de l eistence du portail Accès physique ou logique au portail Connaissance de l eistence du portail Fébrilité économique du Serveurs partagés ou réutilisés Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Possibilité de déplacer un serveur Accès à la table de routage Accès au utilisateurs L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative 2. Significative 4. Maimale 2. Significative Niveau de risque avant application mesures Page 25 sur 61

26 Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes N Thème ISO Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X Récupération Bien support / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 2 Thème ISO Mesures de sécurité Description Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information Prévention Récupération Bien support Page 26 sur 61