1. La sécurité applicative

Transcription

1 ISO Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité IT dans une organisation? La sécurité applicative couvre un domaine plus large que le seul développement applicatif. Elle s intègre dans la sécurité d infrastructure qui est un sous-ensemble de la sécurité de l information. Considérant que le management devrait consacrer une enveloppe de 100 à la sécurité de l information, la part relative de la sécurité applicative (dans laquelle est intégrée la sécurité des infrastructures) reviendrait donc à de cette enveloppe. Voici pourquoi : 1. Sécurité de l'information a) La sécurité applicative s exerce, en ce sens, à deux niveaux au sein de la sécurité de l information : i. premier niveau, organisationnel => gestion de la sécurité de l ensemble des applications utilisées par une entreprise (ISO ) ii. deuxième niveau, applicatif => gestion de la sécurité d une application particulière (ISO ) b) ISO envisage aussi la relation entre ces niveaux d étude en articulant les relations entre la sécurité d une application particulière au sein d un ensemble d applications d entreprise, et inversement (ISO ) 2. Sécurité applicative : Selon ISO 27034, la sécurité des applications est la sécurité de l information impliquée dans l utilisation d applications et des systèmes TI supportant les besoins métiers. NB : Cela inclut les technologies mais aussi les personnes et les processus impliqués dans l utilisation d une application. 3. Sécurité des TI : sécurité d infrastructure en entreprise, qui supporte l ensemble des systèmes et des applications. En ce sens la sécurité des TI est un sous-ensemble de la sécurité applicative.

2 v D'où proviennent la plupart des failles de sécurité des applications IT? Et quelles en sont les conséquences possibles? Les failles sont, ou non, importantes, selon les circonstances et les contextes multiples : ð Contexte métier ð Contexte technologique ð Contexte juridique Les exemples suivants démontrent que les dommages et inconvénients causés par la perte de la disponibilité, de la confidentialité ou de l'intégrité des informations reçues, traitées, conservées et communiquées par des applications peuvent parfois entraîner des conséquences très graves qui affectent tous les domaines métiers où des applications TI sont utilisées. Tableau 1.1 Synthèse par secteur d affaires, des cas et conséquences de bris de sécurité de l information impliquant des applications 1 Cas A causé une perte de C I D Conséquences Secteur médical a) , dysfonctionnement de l appareil de radiothérapie Therac-25 b) 1993, accès non journalisé des données des bénéficiaires de la CSST 1. Corruption des données du système 2. Mort de 3 personnes (sûreté) 3. Arrêt de l utilisation de l appareil 4. Poursuites judiciaires 1. Perte de confidentialité de données personnelles 2. Possibilité de modification non autorisée de données 3. Possibilité de destruction non autorisée de données Secteur des transports a) 2006, dysfonctionnement du système de transport rapide BART b) 2010, dysfonctionnement du logiciel de la voiture Prius de Toyota c) 2000 Panne dans un système de réservation de billets d'air Canada 1. Données erronées acceptées par le système 2. Ouvertures des portes lorsque le train était en marche 3. Arrêt et retard du train 1. Délai de traitement du signal de freinage trop long 2. Collisions et accidents de voiture 3. Rappels pour mises à jour du logiciel défectueux 4. Poursuites judiciaires 1. Indisponibilité des systèmes durant la panne 2. Retards et annulations de plusieurs vols 3. Paiement de fais de séjour aux personnes ayant manqué leurs correspondances Secteur financier a) 2004, panne à la Banque Royale du Canada b) 2007, panne à la Banque CIBC 1. Indisponibilité des comptes de 2,5 millions de clients durant la panne 2. Frais causés par les retards de transactions devant être réalisées 1. Perte d'information de Canadiens 2. Perte du fichier de sauvegarde 3. Investigation du vérificateur général du Canada 1 Source : Luc Poulin, Thèse de doctorat «La sécurité des applications en technologie de l information Une approche d intégration des éléments de sécurité dans le cycle de vie des applications et des systèmes d information», 2015, École des technologie supérieure, pp. 256.

3 Tableau 1.1 Synthèse par secteur d affaires, des cas et conséquences de bris de sécurité de l information impliquant des applications (suite) Cas A causé une perte de Conséquences a) 2005, arrêt d applications liées à l'impôt sur le revenu des particuliers québécois 1. Perte de revenu pour le Gouvernement du Québec Secteur gouvernemental a) 2005, problèmes des systèmes de votation électronique 1. Doutes sur le résultat des élections 2. Perte de la confidentialité d'une partie de la liste électorale 3. Enquête du DGÉQ 4. Moratoire interdisant le vote électronique au Québec 5. Pertes de contrats de plusieurs millions b) 2004, panne du système d'approbation du paiement des prêts et bouses 1. Des milliers d'étudiants sans prêts ni bourses pour la rentrée Systèmes des communications a) 1992, panne du système 911 de Londres b) 2003, accès d administration aux routeurs Cisco 1. Impossibilité pour un citoyen de faire un appel à l aide 2. Retard dans les délais d intervention des équipes de secours décès qui auraient pu être évités 1. Modifications possibles des données d'administration du routeur 2. Accès possible aux données reçues et transmises par le routeur 3. Arrêt possible de service du routeur Défense et aérospatiale a) 1991, corruption de la mémoire des missiles antimissiles Patriote 1. Perte de précision du missile 2. N'est plus en mesure d'intercepter des missiles soldats tués, 97 blessés a) 2010, dysfonctionnement 1. Faille permettant le téléchargement et l'installation automatique du composant de mise à de logiciels malicieux Secteur personnel jour du navigateur Web Firefox b) 2010, divulgation d information non autorisée, iphone et Android 2. Perte possible d intégrité, de confidentialité et de disponibilité des informations accessibles par l utilisateur 1. Transmission de données personnelles sans autorisation 2. Perte possible de la confidentialité des informations de l utilisateur

4 v Quels sont les risques majeurs pour le business? Faillite de l entreprise Perte financière inacceptable due o à une baisse de la clientèle ; o au coût de remplacement des informations perdues/divulguées/corrompues ; o à la perte de la réputation de (confiance envers) l organisation. Cela étant, en gestion de la sécurité applicative, la question n est pas tant de savoir quels sont les risques majeurs que d identifier quels sont les impacts (conséquences) pour l entreprise en cas de failles avérées dans les applications (voir le tableau 1.1 ci-dessus). 2. Cibles v Les organisations comprenant un nombre important d'applications et détenant des informations sensibles sont les plus concernées. Mis à part les banques, quelles entreprises/institutions sont les plus vulnérables? Nous préférons répondre en envisageant les secteurs dans lesquelles les entreprises sont actives et pour lesquels les impacts de sécurité applicative pourraient avoir le plus de gravité pour les personnes, puis les biens. En ce sens, nous identifions formellement 4 secteurs potentiellement plus vulnérables que le secteur financier par rapport à ces impacts, notamment : 1. Systèmes de santé 2. Transports de personnes 3. Défense et aérospatiale 4. Agences gouvernementales 5. Autres secteurs (incluant, personnel et systèmes de communication) v Est-il préférable pour une organisation d externaliser ou de conserver les métiers d'auditeur et d'implémenter elle-même la sécurité applicative? Stratégiquement : On conserve la gestion de la sécurité des applications (conception, la gestion et le maintien du cadre normatif organisationnel de la sécurité applicative). Tactiquement et opérationnellement : On peut externaliser les activités et tâches liées à l implémentation des processus et des contrôles ainsi que leur revue/audit. NB : Cette deuxième approche constitue la plus grosse part du travail. Elle couvre plus de 75% de l effort de mise en œuvre. La norme ISO 27001, et principalement le domaine 15 (gestion des relations fournisseurs), ainsi que la norme ISO peuvent aider à définir les frontières et exigences pour réussir à bien cadrer ces activités. v Quel est le meilleur profil au sein d'une organisation pour pérenniser un écosystème de sécurité applicative? En mode opérationnel pur, l objectif ultime de la mise en œuvre du référentiel ISO est de fournir à l organisation les moyens de planifier, mettre en œuvre, surveiller et maintenir un système cohérent de gestion de la sécurité des applications. Dans cette perspective, le rôle le plus approprié n est donc pas unique mais réparti entre les différentes responsabilités en matière de sécurité des applications au sein de celle-ci.

5 En mode de mise en œuvre (projet), c est le Certified Application Security Lead Implementer (CASLI) qui servira de tuteur/moniteur aux différents rôles opérationnels touchés par la sécurité des applications. Cette tâche peut être dévolue à un des rôles suivants au sein de l entreprise, dans l ordre de l importance de leur contribution à la réussite de la mise en place du référentiel et des contrôles associés : Senior Manager, Chefs d équipe de développement logiciel (rôle le plus communément associé à cette certification), Project managers en développement logiciel, Information Security Manager (plutôt orienté software), Administrateurs d applications, Propriétaires d application (seul capable d identifier et faire assumer le risque par l entreprise) 3. La norme internationale ISO/IEC Application Security v Quel sont les grands principes/grandes étapes de la norme ISO 27034? Le principe de base soutenu par ISO est, à travers un cadre de gestion adéquat, de faire évoluer, le l objectif de sécurité des applications, sur demande du management, vers un niveau de confiance cible mesurable et approuvé par l organisation. Ces principes se traduisent à travers deux parcours complémentaires : 1) Le processus de gestion du cadre normatif de l organisation (CNO) : a) Gestion du comité du CNO b) Elaboration du cadre (CNO) c) Implémentation de la sécurité dans le CNO d) Surveillance et révision de la sécurité des applications dans le CNO e) Audit de la sécurité applicative dans le CNO f) Amélioration de la sécurité des applications dans le CNO 2) Le processus de gestion de la sécurité d une application a) Identification des besoins et de l environnement de l application b) Evaluation des risques de sécurité amenés par l application c) Création et maintien du cadre normatif de l application, d) Réalisation et opérations de l application e) Vérification de la sécurité de l application v La norme ISO s'intègre-t-elle facilement avec et 27005? ISO est conçu pour supporter les besoins d ISO en matière de sécurité de l information dans le domaine de la sécurité des applications. ISO identifie les ressources informationnelles à protéger, tandis que ISO protège et apporte les preuves que c est réalisé, de même que fournir les processus permettant de prendre en compte les exigences de ISO et de lui retourner les résultats d évaluation compatibles une fois les activités de sécurité des applications effectuées. L annexe C d ISO présente l alignement possible avec la démarche et les exigences d ISO dans un contexte de gestion des risques en sécurité de l information. Egalement, la partie 3 d ISO fournit des éléments à inclure dans une analyse de risques en sécurité applicative, en respectant les critères d ISO

6 v Qu'apporte la norme aux organisations qui ont déjà mis en œuvre une démarche de sécurité des applications? Elle permet aux organisations plus petites ou moins matures en SA d identifier les activités qui leur manquent en matière de gestion de la sécurité des applications, spécifiquement les activités reliées à : 1) La conception, en développant une vision organisationnelle de la Sécurité des Applications (SA) qui permette : a) d identifier, de développer, de valider et de vérifier des contrôles de sécurité (CS) b) d identifier et d intégrer des CSa requis pour une application durant tout son cycle de vie c) de normaliser les activités et les CSA dans les projets d applications de l organisation d) d appliquer les CSA autant sur les personnes, les processus, et sur la technologie e) de fournir les preuves qu une application a atteint et maintient le niveau de confiance ciblé, en fonction d un contexte d utilisation spécifique 2) La vérification, en produisant un cadre de la SA qui soit : a) approuvé par une organisation internationale de normalisation b) vérifié par des instances nationales compétentes c) acceptable et applicable dans l industrie 3) La diffusion, en rendant le CNO (en tant que source d exigences définies par l organisation) accessible à toute organisation désirant mettre en place ou vérifier la Sécurité des Applications. Elle permet aux organisations plus largement déployées d aligner leurs activités existantes, notamment en : Appliquant les CSA autant sur les personnes, les processus, et la technologie Facilitant la communication et l échange des contrôles de sécurité applicative Minimisant les risques d incompréhension et de mauvaise évaluation des exigences et des impacts de la SA dans les projets Alignant la SA selon différentes méthodes de développement au sein d une même organisation ou de plusieurs entités utilisant des référentiels différents De plus, la mise en œuvre et le respect des exigences de la norme ISO : ð permet d avoir une vision globale des éléments de SA ð permet l intégration des activités de sécurité dans les processus existants de l organisation, en intégrant notamment les CSA requis durant ce cycle ð couvre les étapes de réalisation et d opération du cycle de vie de l application, en normalisant les activités et les CSA dans les projets d applications de l organisation ð définit des niveaux de confiances, qui identifie des listes de Contrôles de Sécurité des Applications (CSA) à mettre en place ð identifie et valide des CSA vérifiables ð rend la sécurité des applications mesurable, en fournissant les preuves qu une application a atteint et maintient le niveau de confiance ciblé, en fonction d un contexte d utilisation spécifique ð n exige pas une mise en place de tous les éléments proposés par la norme mais permet à une organisation de se définir une stratégie de mise en place de la SA qui tient compte de ses priorités, de ses ressources limitées et de son métier particulier.