Sécurité des systèmes d information

Transcription

1 Sécurité des systèmes d information Les audits SSI Claude LELOUSTRE Audits - Page 1

2 Claude LELOUSTRE CV ingénieur aéronautique & informatique 20 ans en SSII et dans l industrie 5 ans en intelligence économique 10 ans cabinet de conseil SSI Parcours SSI militaire, nucléaire, transport, sidérurgie, 50 audits SSI en PME RSSI pendant 2 ans 1/2 Président du CLUSIR PACA Membre du GREPSSI Audits - Page 2

3 SOMMAIRE Audits SSI : Pourquoi? Comment? Qui? Principes de l évaluation Les outils» panorama : historique et tendances» Présentation détaillée : MARION MEHARI EBIOS ISO 2700x Etude de cas» MARION» ISO Bibliographie Audits - Page 3

4 Rappel : la mission d un RSSI audits Audits - Page 4

5 Rappel : un des 12 métiers de la SSI Incident Sinistre risques Auditeur Méthodes Conseils Plan d actions SSI Volets : organisationnel technologique économique juridique humain Audits - Page 5

6 Vision ISO de la mission SSI politique de sécurité organisation & moyens risques RH communications contrôle d accès (charte, sensibilisation) (politique d autorisation) achats, développements & maintenance incidents continuité (PCA / PRA) conformité (juridique, normes, CNIL, ) Audits - Page 6

7 Audit SSI : Définitions Audit = mission d examen et de vérification de la conformité (à des règles ou à des normes) d un processus, d un projet, d une activité ou d une entreprise Audits - Page 7

8 Audit SSI : Pourquoi? S auto évaluer Se comparer S améliorer Sensibiliser Analyser après incident Certifier / prouver Audits - Page 8

9 Audit SSI : Comment? Pour auditer, il faut :» un besoin clairement exprimé» un périmètre bien défini» une méthode formelle» des outils» des moyens» des compétences Audits - Page 9

10 Principe de l évaluation des risques Comment se déroule un sinistre? Comment définir le risque? Comment traquer le maillon faible? Par quoi commencer? (on ne peut pas tout protéger) Audits - Page 10

11 Le modèle du risque (1) selon MEHARI (CLUSIF) AVANT t = 0 APRES CAUSES CONSEQUENCES Profondes Immédiates Techniques Fonctionnelles Financières Environnement socio-culturel AEM DIC Organisation générale Détection Situation de Crise le Temps Recouvrement AEM : Accident Erreur Malveillance DIC = Disponibilité Intégrité Confidentialité Audits - Page 11

12 RESSOURCES BIENS ou ACTIFS sont la CIBLE de Le modèle du risque selon MEHARI (CLUSIF) CAUSES MENACE POTENTIELLE se CONCRETISE par une AGRESSION qui DECLENCHE une CONSEQUENCES DETERIORATION qui PROVOQUE des DEGATS qui OCCASIONNENT des PERTES Audits - Page 12

13 Définition du risque Le modèle du risque selon MEHARI (CLUSIF) RISQUE = Le fait qu un événement puisse empêcher de maintenir une situation donnée et/ou maintenir un objectif dans des conditions fixées et/ou satisfaire une finalité programmée Audits - Page 13

14 Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) La capacité du risque à ce qu un tel événement se produise, se traduit par la notion de potentialité (ou probabilité ou occurrence) L importance de ses conséquences se traduit par la notion d impact Audits - Page 14

15 Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) CAUSES 3 types de Risques 3 types de Mesures Exposition naturelle Possibilité de sinistre Intention de l'agresseur Mesures structurelles Mesures dissuasives Mesures préventives Accident Erreur Malveillance Audits - Page 15

16 Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) CONSEQUENCES 3 types d'effets 3 types de Mesures Détériorations Dysfonctionnements Pertes finales Mesures de protection Mesures palliatives Mesures de récupération Atteintes à : Disponibilité Intégrité Confidentialité Audits - Page 16

17 Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) Mesures Structurelles réduisent Exposition Naturelle caractérise Mesures Dissuasives réduisent Intention de l agresseur caractérise Potentialité Mesures Préventives réduisent Possibilité de sinistre caractérise GRAVITÉ Mesures de Protection réduisent Gravité des Détériorations caractérise Mesures Palliatives réduisent Gravité des Dysfonctions caractérise Impact Mesures de Récupération réduisent Gravité des Pertes finales caractérise Audits - Page 17

18 Audit SSI : Les outils Les outils» panorama : historique et tendances» présentations détaillées : MARION MEHARI EBIOS ISO 2700x Audits - Page 18

19 Pourquoi une méthode? Les méthodes "globales"» Pourquoi une méthode? Etre efficace Etre crédible Se comparer» Oui, mais... C'est trop lourd! C'est pas adapté! C'est trop théorique et «intello»! Les méthodes «perso» Objectif : adapter et simplifier... Audits - Page 19

20 Pourquoi une méthode? Les auto-évaluations» Léger» Excellent en sensibilisation (Implication des intéressés)» Exige un référentiel rodé (détaillé, clair, didactique,...)» Demande confiance / engagement formel du "signataire»» Impose des contrôles (réguliers et inopinés)» Mais : Difficile dans des environnements hétérogènes Les résultats dépendent du répondant Les plans d'actions sont souvent aussi à décentraliser Audits - Page 20

21 Pourquoi une méthode? Les évaluations CC et ITSEC / certifications par un CESTI» agréé par l ANSSI et accrédité par le COFRAC» très orienté "matériel" (chiffrement, cartes à puce,...)» des conditions de développement encore «floues»» avenir potentiellement prometteur (signature électronique,...)» documents (très) formels : Profil de protection Cible de sécurité Cible d évaluation» démarrage lent (6 CESTI en France) CESTI logiciels & réseaux OPPIDA SILICOMP-AQL AMOSSYS CESTI électronique CEA-LETI SERMA Techno THALES (T3S-CNES) Audits - Page 21

22 Méthodes d audit SSI Principes de toutes les méthodes identification des risques Vulnérabilité MENACE SI RISQUE évaluation de la gravité GRAVITE = IMPACT x PROBABILITE Notion de niveau "normal" de sécurité Photographie de l'état "sécurité" du SI Audits - Page 22

23 MARION Méthodologie d'analyse de Risques Informatiques Orientée par Niveaux» méthode analytique» 650 questions» 27 facteurs regroupés en 6 chapitres :» organisation entreprise» aspects socio-économiques» sécurité physique» sécurité logique» exploitation» études» fournit une photographie de l état sécuritaire de l entreprise» dernière version en 1998» officiellement abandonnée par le CLUSIF, mais a toujours ses adeptes Audits - Page 23

24 MARION Photographie de l état sécuritaire d une entreprise org contrôles regl socio-éco env accès pollution consignes incendie eau fiabilité relations utilisateurs personnel inf. plan système télécom SGBD archivage saisies sauvegarde exploitation maintenance recettes méthodes contrôles programmés progiciel secours Facteurs Audits - Page 24

25 MEHARI MEthode Harmonisée d Analyse des RIsques Méthode publiée par le CLUSIF en déc Objectif : proposer un plan de sécurité Audits - Page 25

26 Matrice du risque (suite) Potentialité x Impact = Gravité du risque Impact = risques insupportables = risques inadmissibles 2 = risques tolérés 0 & 1 = risques «admis» ou «ignorés» Potentialité MEHARI (CLUSIF) Audits - Page 26

27 MEHARI : Scénarios d attaque <scénario type> = <conséquences - causes - origines> La typologie décrit : les types de détériorations ou de dégâts les événements qui ont pu conduire au déroulement du scénario les origines qui complètent la description des types d'agression Audits - Page 27

28 MEHARI : Scénarios d attaque Pour étudier un scénario, il faut : identifier l ensemble des ressources qui ont participé au déroulement du scénario, depuis son origine jusqu'à son aboutissement Audits - Page 28

29 MEHARI Ressources réparties en 9 Domaines de sécurité Organisationnel Entité Géographique Site Locaux Technique Architecture Rés. & Télécom Exploitation Rés. & Télécom Systèmes Production informatique Applicatifs Développement Audits - Page 29

30 MEHARI La reconnaissance des VALEURS DE L'ENTREPRISE est un préalable à toute action dans le domaine de la sécurité. Les mesures de sécurité ont un coût et l'effort investi doit l'être en fonction de ce que l'on veut protéger. Analyser les ressources» selon les 3 critères D, I, C Classifier les ressources» selon des seuils de gravité définis sur une échelle de 1 à 4 Audits - Page 30

31 G R A V I T É des S C É N A R I O S MEHARI Causes P O T E N T I A L I T E Conséquences I M P A C T Q u a l i t é des S e r v i c e s de S é c u r i t é Structurelles Dissuasives Préventives Protection Palliatives Récupération BIENS ou ACTIFS sont la CIBLE de MENACE POTENTIELLE se CONCRETISE par une AGRESSION qui DECLENCHE une DETERIORATION qui PROVOQUE des DEGATS qui OCCASIONNENT des PERTES Audits - Page 31

32 MEHARI Propose un cadre et une méthode qui garantissent la cohérence des décisions prises au niveau directorial Structure la sécurité de l'entreprise sur une base unique d'appréciation dans la complexité des systèmes d information Permet la recherche de solutions au niveau opérationnel de la sécurité en délégant les décisions aux unités opérationnelles et autonomes Assure, au sein de l'entreprise, l'équilibre des moyens et la cohérence des contrôles Audits - Page 32

33 La méthode MEHARI 3 Plans = 3 Phases Plan Stratégique de Sécurité (PSS) Plans Opérationnels de Sécurité (POS) Plan Opérationnel d'entreprise (POE) Audits - Page 33

34 MEHARI P S S Indicateurs Tableau de Bord Direction Générale Opérationnel Politique Charte Métriques Objectifs Vulnérabilité Gravité Plan d action P O E P O S (1 à n) Audits - Page 34

35 MEHARI le Plan Stratégique de Sécurité Fixer les objectifs de sécurité Métrique des risques G = A (I, P) Appréciation des risques Mettre en évidence les enjeux Classification des Ressources Seuils de gravité Définir la politique de sécurité Règles Générales et Spécifiques - Solutions Etablir la charte de management Droits et Devoirs du Personnel et de l'entreprise Audits - Page 35

36 MEHARI Plans Opérationnels de Sécurité Spécifier le domaine et les outils Périmètre et niveau de détail Elaboration des scénarios Validation de la classification Auditer le niveau de sécurité Audit des services et s/s services Consolidation des résultats par site Evaluer la gravité des scénarios Détermination des gravités Potentialité / Impact / Gravité Exprimer les besoins de sécurité Planifier les actions de sécurité Mesures spécifiques Mesures générales Mesures spécifiques et prioritaires Autres mesures hiérarchisées Audits - Page 36

37 Approche analytique : audit des services de sécurité Mesures de protection - détection - intervention - non propagation réduisent Approche globale : évaluation des facteurs de risque Conséquences directes - matérielles - données caractérisent MEHARI Valeurs des ressources : Classification Mesures palliatives - restauration - reconfiguration - secours réduisent Conséquences indirectes - opérationnelles - financières - image caractérisent Impact Mesures de récupération - assurances - actions en justice réduisent Pertes finales - financières caractérisent Mesures structurelles - localisation - architecture - organisation réduisent Exposition naturelle - attrait - ciblage caractérise Gravité du risque Mesures dissuasives - identification - journalisation - sanctions augmentent Risque de l'agresseur - être identifié - sanction caractérise Potentialité Mesures préventives - contrôle d'accès - détection - interception augmentent Moyens requis - matériels -intellectuels - temps caractérisent Audits - Page 37

38 La méthode MEHARI Plan Opérationnel d Entreprise Choix des scénarios Elaboration des indicateurs Couverture des types d'impact et de cause Ressources critiques Risques graves - Impact Synthèse de l'entreprise Synthèse / Scénario Synthèse / Unité Synthèse / Entreprise Audits - Page 38

39 MEHARI Les applications de MEHARI Plan Stratégique de Sécurité Plan(s) Opérationnel(s) de Sécurité Traitement d une famille de scénario Traitement d un risque spécifique (A, E, M) Traitement d un critère de sécurité (D, I, C) Traitement d un scénario particulier Traitement d une application opérationnelle Traitement d un projet Audits - Page 39

40 Outils MEHARI Ouvrages du CLUSIF - Méthode, cas pratique, indicateurs de sécurité Bases de Connaissances - 12 Familles de scénarios en Français et en Anglais - Services de sécurité - Questionnaire de vulnérabilité - Grilles de calcul Logiciel RISICARE (BUC S.A.) - module de formatage des bases et de personnalisation - module d analyse de vulnérabilité et des risques Audits - Page 40

41 Livrables MEHARI Plan Stratégique de Sécurité - métriques (P, I, G), classification des ressources (D, I, C) - Politique de sécurité, charte de management Plan(s) Opérationnel(s) de Sécurité - audit de vulnérabilité, gravité des scénarios, - plan(s) d actions Plan Opérationnel d Entreprise - scénarios surveillés, indicateurs, tableau de bord Audits - Page 41

42 Métrique des risques et objectifs de sécurité Valeurs de l'entreprise : classification des ressources Politique de sécurité Charte de management Plan Stratégique de sécurité Phase 1 Conduite d un projet MEHARI Etape préparatoire : domaine couvert, base de scénarios, reprise de classification,.. Phase 2 - Unité Z Phase 2 - Unité Y Phase 2 - Unité X Audit de l'existant Evaluation de la gravité des scénarios Expression des besoins de sécurité Plan Opérationnel de sécurité Phase 2 Choix d'inidicateurs représentatifs Elaboration d'un tableau de bord de la sécurité de l'entreprise Rééquilibrages et arbitrages entre unités Plan Opérationnel d'entreprise Phase 3 Audits - Page 42

43 Suivi et évolutions de MEHARI CLUSIF - Commission METHODES» annie.dupont@clusif.asso.fr» Club utilisateur - ouvert aux non membres du CLUSIF - 1 réunion / trimestre depuis 09/2001 Compatibilité MEHARI - ISO respect de la démarche BS : choix des objectifs des sécurité en fonction des risques - analyse des risques et expressions des besoins de sécurité - résultats ré-utilisables et optimisés en fonction des risques - correspondance des bases de connaissances MEHARI avec ISO Audits - Page 43

44 Les évolutions de MEHARI Bases de connaissances CLUSIF - dernière version janvier module de diagnostic rapide - bases spécifiques : MEHARI.NET MEHARI.PME MEHARI.... Objectif : conformité ISO (Gestion des risques) Bases de connaissances personnalisées - risques opérationnels - risques métier Audits - Page 44

45 EBIOS Expression des Besoins et Identification des Objectifs de Sécurité Contexte» périmètre, collecte d infos, choix des interlocuteurs Besoins de sécurité» ressources à protéger : matériel, logiciel, réseau, données, autres» besoins fonctionnels» risques et niveau de risque acceptable par ressource (DIC) Risques» menaces pertinentes et de leur occurrence» vulnérabilités» menaces x vulnérabilités = risques» options : détection et tests d intrusion Préconisations & solutions Audits - Page 45

46 EBIOS Caractéristiques» méthode franco-française, quasi imposée dans le secteur public» tout est gratuit : documentation, outils, formation» sortie imminente de EBIOS 2005 multilingue Autres productions de l ANSSI» PSSI - Guide d élaboration de politiques de sécurité des SI» TDBSSI - Guide d élaboration de tableaux de bord SSI» GISSIP - Guide d Intégration de la SSI dans les Projets» Guide de la maturité SSI Audits - Page 46

47 EBIOS TdB SSI D après Philippe Tourron, Université de la Méditerranée Audits - Page 47

48 EBIOS TdB SSI (suite) D après Philippe Tourron, Université de la Méditerranée Audits - Page 48

49 ISO 2700x exigences ISO SMSI ISO audit de SMSI ISO Vocabulaire ISO Mesures de sécurité ISO analyse de risque ISO Métrage & Métriques guides ISO audit de SMSI ISO Implémentation ISO 27xxx Guides sectoriels Audits - Page 49

50 ISO Guides sectoriels (Statut fin 2009) WLA SCS : Standard SMSI spécifique au secteur du Jeu - Publiée ISO Guide pour le secteur des télécoms - Draft ISO Guide pour le secteur financier - Proposée ISO Guide pour le secteur de l'industrie - Proposée ISO Guide pour l'accréditation - Proposée ISO Audits et Revues. Statut - Proposée ISO Continuité d'activité - Draft ISO Cyber sécurité (Internet) - Draft ISO x - Sécurité des réseaux - Draft ISO Guide pour la sécurité applicative - Draft ISO Gestion des incidents de sécurité - Draft ISO Déclinaison de l'iso pour le secteur de la santé - Publiée. Audits - Page 50

51 ISO Norme générique Objectif : spécifier les exigences pour» élaborer» mettre en place» exploiter» améliorer un SMSI Système de Management de la Sécurité de l Information preuve de l adoption des bonnes pratiques SSI permet de se préparer à la certification (# 1an) Ce n est pas une fin en soi mais cela peut devenir un avantage concurrentiel Audits - Page 51

52 ISO chapitres 0 à 3 : introduction & définitions 4 : le SMSI (fondé sur PDCA) 5 : engagement de la Direction 6 :audits internes du SMSI 7 : réexamen par la Direction 8 : amélioration annexe : mesures de sécurité détaillées dans Audits - Page 52

53 ISO to PLAN périmètre politique de sécurité identification & évaluation des risques plan de gestion des risques» réduction à un niveau acceptable» acceptation» transfert (assurance, )» refus ou évitement Audits - Page 53

54 ISO to DO affectation des ressources» personnel, temps, doc & procédures formation gestion du risque» mise en œuvre des mesures planifiées» responsabilités» identifier les risques résiduels Audits - Page 54

55 ISO to CHECK vérifier, contrôler se comparer aux autres auditer le SMSI constater les écarts (risques moins réduits que prévu) identifier de nouveaux risques Audits - Page 55

56 ISO to ACT traiter les constats précédents» re-planifier» ré-agir» actions correctives et/ou préventives Audits - Page 56

57 ISO politique du SMSI 11 chapitres 39 objectifs de sécurité 133 mesures de sécurité 6. organisation 7. classification 8. personnel 9. sécu physique 10. communications & exploitation 11. contrôle d accès 12. développement & maintenance 13. incidents 14. continuité 15. conformité Audits - Page 57

58 ISO Remarques formulation de recommandations ou d exigences» correspondant à l état de l art («esperanto de la sécurité»)» du général au particulier objectifs : réduire le risque à un niveau acceptable pas de hiérarchie dans les mesures de sécurité» c est dans la Audits - Page 58

59 ISO Gestion des risques (disponible en français depuis sept 2010) Méthodologie de gestion des risques conforme à la Elle applique à la gestion des risques le cycle PDCA Synthèse de MARION, MEHARI, EBIOS, CRAMM (UK)» est itérative (fonctionne dans la durée)» impose l analyse des vulnérabilités Démarche» identification et classification des actifs» identification des menaces potentielles» probabilités de survenance» évaluation de la gravité des risques en fonction des valeurs des actifs» choix de traitement des risques (évitement, transfert, )» portefeuille de risques résiduels acceptation ou re-traitement Audits - Page 59

60 Audit SSI : Exemples Etudes de cas» MARION : questionnaire CLUSIF» ISO méthode SCORE / AGERIS» GMSIH : adaptation dans le secteur hospitalier Audits - Page 60

61 Les outils d audit technique objectif : détection de vulnérabilités outils Linux» host, telnet, netstat, showmount outils Linux pour Windows» sambatools, nbtscan, LC5/LCP outils graphiques sous Windows» snscan, N-stealyh, winfingerprint, netbiosys,visualroute sans fil» netstumbler, winwave, linkferret «espions»» ethereal, john the ripper,pscan, nessus analyseur de mots de passe Audits - Page 61

62 Sources d informations Fournisseurs d outils et prestataires d audits» logiciels (éditeurs spécialisés) : AGERIS (SCORE)» services : LEXSI, HSC, TELINDUS, SOLUCOM Organismes» Etat : ANSSI (EBIOS)» associations : CLUSIF (MARION, MEHARI)» ISO : famille 2700x OzSSI GREPSSI et en région PACA Club Audits - Page 62

63 Tendances convergence des méthodes ==> ISO 27000» EBIOS s intègre dans la 27005» MEHARI? obligation de certification?» l exemple tunisien Audits - Page 63

64 Réglementation en Tunisie Circulaire du Premier Ministre du 30 Novembre 2001 portant sur l obligation d un audit SSI au moins une fois par an Création de «l Agence Nationale de la Sécurité Informatique» Soumise à la tutelle du Ministère chargé des technologies de la communication Mission : contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics ou privés, et notamment : Veiller à l exécution des réglementations relatives à l obligation de l audit périodique de la sécurité du SI Audits - Page 64

65 Exemple de certification en France Remise d un certificat EAL 5 à Bertin Technologie pour son logiciel PolyXene» Le 29 septembre 2009, l amiral Michel BENEDITTINI, directeur général adjoint de l ANSSI, a remis un certificat CC-EAL5 à Bertin Technologies et à la DGA (Délégation Générale pour l Armement) pour le logiciel PolyXene dans sa version 1.1.» PolyXene est un hyperviseur, c est-à-dire un logiciel qui permet à plusieurs systèmes d exploitation de travailler en même temps sur un seul ordinateur. Son haut niveau de sécurité et notamment sa forte capacité de cloisonnement permettent d envisager désormais d être connecté, sur un même poste de travail, à divers réseaux de niveaux de confidentialité différents ou appartenant à des organisations différentes, et de transférer des informations entre ces réseaux de manière totalement maîtrisée, sans risque de compromission. Audits - Page 65

66 Merci de votre attention Claude LELOUSTRE 500 rue Paradis MARSEILLE Audits - Page 66