Comment répondre aux nouveaux enjeux de la sécurité

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Comment répondre aux nouveaux enjeux de la sécurité CLUSIR Tahiti Papeete, 24 septembre 2010

2 Quelques tendances de fond Conformité Règlementations sectorielles Bâle 2, Solvency 2 Législation : protection des données à caractère personnel Référentiels divers : SAS 70, PCI-DSS, RGS,... Concurrence Les monopoles cessent de l'être. Exigence croissante des clients en matière de sécurité auprès de leurs prestataires Transparence Importance de la certification des comptes. Prouver que le SI ne permet pas de détourner l'information. Preuves de bonnes pratiques 2

3 Quelques tendances de fond Dans l'organisation de l'entreprise Transversalisation Suppression des «baronnies» Une formule qui revient souvent : «business oriented» Standardisation ITIL pour la production ISO pour la sécurité CoBIT pour la gouvernance CMMI pour le développement Mutualisation Tous ces référentiels ont des points communs 3

4 Risques récurrents Risques environnementaux Cyclones Tsunami Risques sociaux Blocage de sites Dégradation de matériel Risques Incidents de production Virus Intrusions sur le système etc... 4

5 Question Le DSI ainsi que le RSSI doivent composer avec ces tendances et ces risques Question : comment organiser le système d'information pour satisfaire toutes ces exigences? Dans le domaine de la sécurité, la réponse est apportée par la norme ISO

6 Séquence des points abordés L'essentiel de l'iso Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 6

7 L'essentiel de l'iso La norme ISO est à la sécurité de l'information ce que l'iso 9001 est à la qualité Elle impose la mise en place d'un Système de Management de la Sécurité de l'information (SMSI) Basée sur le modèle Plan / Do / Check / Act PLAN : Dire ce que l'on va faire DO : Faire ce que l'on a dit CHECK : Vérifier ce ce que l'on fait correspond à ce que l'on a dit ACT : Si delta, alors entreprendre des actions correctives et préventives Il est possible de se faire certifier 7

8 L'essentiel de l'iso Organisation Partenaires Système de Management Fournisseurs Formulent des exigences Planification Plan Clients Pouvoirs Publics Satisfait les exigences Action Do Correction Act Services Vérification Check 8

9 L'essentiel de l'iso Système de management Processus Planification Plan Action Do Correction Act Vérification Check 9

10 L'essentiel de l'iso Grandes étapes de la mise en place d'un SMSI Politique / Périmètre Appréciation des risques Documentation Mise en place des mesures de sécurité Audit interne Suivi d'actions Gestion des incidents etc... 10

11 L'essentiel de l'iso Focus sur l'appréciation des risques C'est une modélisation des risques Aucune méthode n'est explicitement exigée par la norme Démarche Inventaire des actifs Valorisation Vulnérabilités Menaces Impacts (Disponibilité, Intégrité, Confidentialité) Conséquences opérationnelles Niveau de risque Traitement (Acceptation, Refus, Transfert, Réduction) Validation de l'ensemble par la direction générale 11

12 L'essentiel de l'iso Focus sur la documentation L'ISO oblige à formaliser les processus du SMSI Tout processus doit être documenté Donc, ISO = Tradition orale Tradition écrite Idée reçue «L'ISO c'est faire du papier, du papier... plein de papier!» C'est FAUX! 12

13 L'essentiel de l'iso Focus sur la documentation Qu'est-ce qu'un bon document de procédure? Qui Fait quoi Quand En générant quel enregistrement Pas de contrainte sur le volume ou la forme Possible d'avoir des documents très concis (une à deux pages) Format variable selon le service et les équipes, en fonction de la culture de chacun Qualité Ingénierie Production 13

14 L'essentiel de l'iso Focus sur les mesures de sécurité On croit souvent que l'iso oblige à lancer de nombreux nouveaux projets de sécurité. En fait, souvent, vous n'avez pas attendu l'iso pour faire le minimum indispensable en matière de sécurité L'essentiel des mesures de sécurité sont déjà en place Le travail consiste surtout à les rendre conformes au modèle PDCA Dans les faits Mise en conformité PDCA des mesures de sécurité existantes (90 %) Déploiement de nouvelles mesures de sécurité (10 %) 14

15 Séquence des points abordés L'essentiel de l'iso Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 15

16 Incidence de la norme sur l'opérationnel En général, le déploiement de l'iso a peu d'incidence sur les processus opérationnels Les gens continuent à travailler comme avant En revanche, l'utilisateur doit prendre conscience de trois points La documentation La notion d'enregistrement Le suivi d'actions Ce point concerne plutôt le management 16

17 Incidence de la norme sur l'opérationnel Focus sur la gestion des enregistrements C'est ce qui prouve que les processus sont opérés conformément à ce qui est spécifié Ce peut être Des comptes rendus de réunions Des fichiers logs Des formulaires Etc. Deux cas possibles Soit ils existent déjà. C'est le cas le plus courant. Il suffit alors de prendre soin de les gérer correctement. Soit, dans certains cas, il faut les créer. 17

18 Séquence des points abordés L'essentiel de l'iso Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 18

19 Apports de l'iso Attention! L'ISO permet d'adopter de bonnes pratiques de mettre en place un processus cohérent en matière de sécurité En revanche, l'iso ne garantit pas un niveau de sécurité. On peut avoir mis en place l'iso et être confronté à des incidents majeurs de sécurité Dans ces conditions, on peut se demander quel est l'intérêt de de la démarche

20 Apports de l'iso D'un point de vue opérationnel Adoption de bonnes pratiques en matière de sécurité Harmonisation des procédures Amélioration progressive du niveau de sécurité Apports business Confiance auprès des clients, en matière de sécurité Grâce à la certification Image de sérieux Avantage concurrentiel Pour l'entreprise Projet fédérateur, car transverse 20

21 Séquence des points abordés L'essentiel de l'iso Incidence de la norme sur l'opérationnel Apports de la norme Retour sur les questions de fond 21

22 Retour sur les tendances de fond Conformité Règlementations sectorielles Bâle 2, Solvency 2 ISO Appréciation des risques Réflexion sur les risques opérationnels Audit interne Législation : protection des données à caractère personnel Mise en place de mesures de sécurité et de contrôle Référentiels divers : SAS 70, PCI-DSS, RGS, Très nombreux points communs entre ces référentiels et l'iso Chaque référentiel insiste sur certains points plus que d'autres L'ISO est structurant : Il sert de socle de base aux autres référentiels 22

23 Retour sur les tendances de fond Concurrence Les monopoles cessent de l'être. Exigence croissante des clients en matière de sécurité auprès de leurs prestataires Apports de l'iso 27001dans ce domaine Appréciation des risques Notion de «Déclaration d'applicabilité» On peut montrer au client de façon claire quels sont les choix qui ont été faits en matière de sécurité 23

24 Retour sur les tendances de fond Transparence Importance de la certification des comptes. Prouver que le SI ne permet pas de détourner l'information. Preuves de bonnes pratiques Apports de l'iso 27001dans ce domaine Audit interne Schéma de certification Possibilité de se faire certifier ISO Audit indépendant par un organisme de certification Suivi d'actions 24

25 Retour sur les tendances de fond Organisation de l'entreprise Transversalisation 25 L'ISO est une démarche fondamentalement transverse Standardisation ITIL, ISO 27001, CoBIT, CMMI, etc. L'ISO est devenue la référence omniprésente en sécurité Mutualisation Points communs avec CoBIT processus DS 5 ITIL Gestion des incidents Gestion des problèmes Gestion des changements Gestion de la configuration

26 Retour sur les risques récurrents Risques environnementaux Cyclones Tsunami Risques sociaux Blocage de sites Dégradation de matériel Apports de l'iso dans ce domaine A proprement parler, aucune exigence de l'iso n'oblige à mettre en place un Plan de continuité de l'activité... mais la démarche rend quasiment incontournable un PCA. 26

27 Retour sur les risques récurrents Risques Incidents de production Virus Intrusions sur le système Apports de l'iso dans ce domaine On a tendance à penser que l'iso est une démarche exclusivement organisationnelle C'est faux! Les aspects techniques sont aussi importants que les aspects organisationnels L'appréciation des risques oblige à sélectionner les bonnes mesures de sécurité techniques... et à contrôler leur efficacité et leur bonne exploitation. 27

28 Conclusion L'ISO Est devenue un espéranto de la sécurité Oblige à adopter de bonnes pratiques en matière de sécurité Bonne pratique reconnue On ne vous reprochera pas de ne pas avoir eu de bonnes pratiques si vous implémentez l'iso Attention toutefois Aux SMSI exclusivement organisationnels Aux SMSI dont le périmètre est très restreint Aux SMSI non contrôlés par une instance indépendante 28

29 Questions 29