Cliquez pour modifier le style du titre du Contribution AREVA

Transcription

1 Cliquez pour le style du titre du Club masque Contribution AREVA Objectifs et enjeux du projet Système de Management Référentiels pris en compte dans le cadre du projet Aspects Sécurité de l information Les différentes méthodes utilisées dans le groupe AREVA La méthode retenue pour le groupe AREVA Les concepts L utilisation La consolidation Le bilan 1

2 Cliquez Mise pour en place d un le style Système du titre de du Management masque Qualité, Environnement et Sécurité de l Information Objectifs du projet Système de Management Lancement du projet en mars 2006 Objectifs de certification : Certification France fin 2008 Certification Europe et US 2009 Certification reste du groupe par période de 6 mois Les enjeux du projet Système de Management Prendre en compte l'évolution du business AREVA Répondre aux demandes croissantes des Clients et des Autorités de Sûreté Inscrire l évolution de la DSI dans une Démarche de Progrès conforme à AREVAWAY Favoriser l'identification et l'adoption des "best practices" existantes au sein de nos équipes. 2

3 Cliquez Mise pour en place d un le style Système du titre de du Management masque Qualité, Environnement et Sécurité de l Information Définition des processus sera basée sur les référentiels des meilleures pratiques pour les DSI CobiT (Gouvernance) : 4 domaines comprenant 34 processus Planification et organisation (10 processus) Acquisition et mise en place (7 processus) Distribution et support (13 processus) Surveillance (4 processus) ITIL (Services) : Support aux utilisateurs Service aux clients Gestion de l infrastructure informatique ISO (Sécurité) tout en respectant les exigences qu expriment les référentiels de système de management ISO 9001 (Qualité) ISO (Environnement) ISO (Sécurité de l Information) 3

5 Cliquez pour le style du titre du masque La Sécurité : une maturité en progression Doublement des investissements entre 2005 à 2009 Justifié par l évolution de la menace, par le marché, mais méconnaissance des risques par manque d appréciation des risques réels. Sensibilisation des utilisateurs Priorité pour 75 % des organisations d après IDC mais pas d investissement en regard de ces priorités. Métiers sensibilisés Les métiers sont propriétaires des données et définissent les exigences en sécurité vis-à-vis des contraintes réglementaires, du savoir faire, de l image de marque, des contraintes financières. 5

6 Cliquez pour le style Bénéfices du titre du d un masque SMSI Retour sur investissement Justifié par le principe du SMSI d assurer le bon niveau de sécurité, au bon moment, sur les bonnes informations et au meilleur coût Cohérence Participer à la mise en place d une véritable gouvernance interne du SI incluant la sécurité Aligner les besoins de protection avec les enjeux métiers Responsabiliser les métiers et les autres acteurs de la DSI sur les aspects sécurité Planifier les éléments budgétaires en cohérence avec les pratiques de gouvernance Efficacité Améliorer la gestion opérationnelle de la sécurité. Par exemple la réduction du temps de traitement d un incident par la formalisation du processus et des responsabilités permet de limiter l impact de l incident et donc les coûts induits Investissement en sécurité Evolution actuelle Evolution avec 6

8 Cliquez Aspects pour Sécurité le des style Systèmes du titre du d Information masque Historique AREVA Point sur les méthodes pratiquées dans le Groupe Méthodes développées par la DCSSI cadre ITSEC Politique de Sécurité Interne (PSI) Développement de Systèmes d'information Sécurisés (DSIS) Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS) Fiche d'expression Rationnelle des Objectifs de Sécurité (FEROS) Réalisation des Objectifs de Sécurité par le Choix des Fonctions (ROSCOF) Guides d'aide à la Rédaction des fournitures pour l'evaluation (GARDE) Autres méthodes pratiquées AROME - Analyse des Risques et Optimisation des Moyens Economiques INCAS - INtégration dans la Conception des Applications de la Sécurité MARION - Méthode d'analyse des Risques Informatiques et d'optimisation par Niveaux MELISA - Méthode d'evaluation de la vulnérabilité résiduelle des systèmes de traitement de l'information MESSEDI - MEthode de Spécification de la sécurité d'un système d'echange de Données Informatisées MEHARI - MEthode Harmonisée d'analyse de Risques Autres normes utilisées ISO : critères pour l'évaluation de la sécurité des technologies de l'information. Ces critères s'appliquent aux systèmes spécifiques et aux produits informatiques, composants de systèmes sécurisés. BS7799 : code de bonnes pratiques, ensemble de recommandations précises dans les objectifs mais indépendantes de toute solution et qui concernent avant tout la sécurité des Systèmes d'information du monde de la gestion (paiement électronique, commerce international) avec tous les éléments de droits, responsabilités et de finance associés. 8

9 Aspects Sécurité des Systèmes d Information Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Historique AREVA Méthodes d évaluation du groupe AREVA Méthode AMR Conçue pour évaluer les risques des grands projets SI Basée sur une identification préalable des risques projets (planification, préparation aux changements, interopérabilité, exploitabilité..) Basée sur un niveau de sécurité cible, un questionnement déterminant un écart par rapport à la cible Basée sur une représentation graphique instantanée (graphe radar) Basée sur un suivi temporel (évolution des risques dans le temps) Méthode EVA Reprend l ensemble des concepts de AMR et génère automatiquement un plan de proposition d actions d amélioration Permet de sélectionner plus finement le périmètre d évaluation Méthode AGNES Reprend l ensemble des concepts EVA Introduit la notion d Actifs, de Menaces et de Vulnérabilités Cette méthode permet (après évaluation d un niveau de vulnérabilité) : De déterminer un niveau de Risque De cibler les actions à lancer à partir des Actifs à protéger, de Menaces particulières (ou d une combinaison des deux) De générer les actions les plus efficientes celles qui rapporte le plus de sécurité 9

11 Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Concepts manipulés Les 133 mesures de sécurité de l ISO répondent aux vulnérabilités de l ensemble des Actifs AGNES Détermine le niveau de Vulnérabilité Détermine le niveau de Risque Propose le plan d action Le niveau de risque est déterminé à partir - du niveau de vulnérabilité - de la gravité des impacts sur l actif - de la probabilité d utilisation de la vulnérabilité - de la facilité d exploitation de la vulnérabilité Les 1130 exigences de sécurité de l ISO répondent aux Mécanismes de protection de l ensemble des Actifs 11

12 Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Concepts manipulés Les Menaces et méthodes d attaques 42 menaces Ebios et des travaux en cours de la Les Actifs 32 actifs Ebios et des travaux en cours de la Les Vulnérabilités 133 clauses de sécurité de la Chaque clause de sécurité est composée d un ensemble d exigences sécurité La mise en place des exigences de sécurité permet de déterminer la complétude de la clause et donc le niveau de protection Les critères généraux Disponibilité Intégrité Confidentialité Traçabilité Pérennité Pérennité Synthèse des risques généraux Disponibilité 20,00 18,00 16,00 14,00 12,00 10,00 8,00 6,00 4,00 2,00 0,00 Intégrité Trace Confidentialité Risques Généraux MAX Gain risques généraux MAX 12

13 Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Concepts manipulés Difficultés : assurer le mapping entre les Menaces, les Actifs et les Vulnérabilités Regroupement des Menaces (42 32) Regroupement des Actifs (32 15) Matrice impacts des Menaces sur les Actifs Nbr de vulnérabilités concernées par l Actif Nbr de vulnérabilités protégeant de la Menace Impacts Menaces / Actifs 13

14 Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Concepts manipulés Calculs des risques matrice de synthèse VMA Ampleur de la dégradation de l actifs A partir d un seuil de détection Gravité de la menace utilisant la vulnérabilité Valeur de la vulnérabilité calculée à partir du respects des 133 mesures ou des exigences associées Visualisation graphique Valeur du risque 14

15 Analyse Globale Niveaux Systèmes Cliquez pourpar le d Evaluation style du titre des du masque Mode opératoire Préparation de l évaluation Définition du périmètre spécifique au Site concerné Pré-remplissage du questionnaire Identification des acteurs concernés Envoi du questionnaire Agnès Envoi du manuel utilisateur Agnès Question = exigence sécurité Q2 Q3 Q4 Sujet Sujet = mesure de sécurité 15

16 Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Mode opératoire Déroulement de l évaluation Travail préparatoire par groupes puis consolidation (parfois beaucoup de détails ) Travail collectif en réunion (gardien du temps, appréciation des mesures de sécurité par l expérience du terrain, fixer une cadence de réponse) Durée observée d une évaluation (sans recherche des preuves) : entre 6 et 16 h Résultats graphique automatique Génération automatique d une proposition d actions d amélioration de la sécurité 16

17 Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Mode opératoire Que faut-il faire ensuite? Prendre en compte les remarques relevées lors des évaluations Prendre en compte l efficacité des actions Prendre en compte les actifs prioritaires Prendre en compte les menaces prioritaires Prendre en compte le plan d actions stratégiques Etablir un suivi des avancements Etablir un calendrier des actions retenues Attribuer les actions Puis au fur et à mesure : Mettre à jour Agnès Diffuser les tableau de bord Suivre les tendances 17

18 Analyse Cliquez Globale pour par Niveaux le d Evaluation style du titre des du masque Systèmes Bilan Retour d expérience Dissocier clairement la certification (Projet SM) de l évaluation du niveau de sécurité (Agnès) Prendre en compte l expérience des hommes et des femmes en charge de la sécurité (Agnès est un outil) Ne pas rentrer dans le détail (démarche naturelle) et rester au juste niveau d évaluation Consolidation des différentes évaluations par exemple : Afficher le niveau de risque moyen des Sites Afficher le niveau de risques le plus bas Afficher le niveau de risques le plus élevé Afficher la tendance générale Concernant l outillage Agnès : Fédérateur pour déployer une méthode unifiée Vecteur de communication (kit de communication standard) Vecteur de sensibilisation Objectivation de la mesure et observation de la démarche de progrès continu Effort / investissement important de mise au point (donc capitaliser : la méthode Agnès est également utilisée par les projet de système d information) Organiser l outillage afin d assurer facilement une veille normative / technologique Ne pas vouloir tout faire par l outillage 18

19 Cliquez pour le style du titre du Club masque Contribution AREVA Merci de votre attention Vos questions? 19