HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Transcription

1 HERÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA Gestion des risques SSI dans les projets Julien Levrard

2 Présentation HSC! Société de conseil et d expertise en SSI depuis 1989! Acteur indépendant commercialement et financièrement! PME de 28 salariés dont 8 consultants «Organisation de la SSI»! 3 métiers! Expertise technique en SSI : Audit, tests d intrusion et conseil! Organisation de la SSI : Audit, conseil et implémentation! Formation : Modules techniques et organisationnels (2700x)! Démarche pragmatique face aux projets issue :! D une très solide et riche expérience! De la conciliation permanente de la technique et de la gouvernance! Nous recrutons actuellement des consultants junior en sécurité technique ou organisationnelle! cv@hsc.fr 2

3 Publications HSC 3

4 Julien Levrard Consultant/auditeur Sécurité des système d information depuis 2006.! Audit et conseil des systèmes d information! Assistance à la mise en œuvre de SMSI ISO-27001! Gestion des risques de sécurité! Audit des SI dans le cadre du commissariat aux comptes! Organisation des SI! Tests d intrusions! Revues techniques! Conseil en architecture Certifications: CISA, Itil 3 Fondation, ISO Lead Auditor, Lead Implementer, ISO Risk Manager. 4

5 Pourquoi gérer les risques de sécurité dans les projets (1) Le commanditaire du projet (maîtrise d ouvrage)! A un besoin métier! Atteinte d objectifs! Amélioration de processus! Contrainte règlementaire! Opportunité business! Nouvelle activité! Des parties prenantes! Clients! Management! Actionnaires! Des contraintes! Réglementaires! Budgétaires! De temps! Organisationnelles! Liées à l existant 5

6 Certains projets ont des besoins de sécurité évidents :! Domaine sensible (armement, nucléaire, )! Opérateur d importance vitale (électricité, télécom, eau, etc.)! Secret industriel (aviation civile, automobile, carte à puce, etc.)! Données de cartes de crédits! Applications médicales! Paye! Etc. Pourquoi gérer les risques de sécurité dans les projets (2) 6

7 Ou des contraintes règlementaires/légales :! Données médicales: Agrément du ministère de la santé! Opérateur de jeux en ligne : ARJEL! Données de carte bancaire: PCI-DSS! Société cotées au USA : Loi «Sarbanes Oxley» (SOX)! Banque et assurance: Bale 2 (3), Solvency 2, AMF! Données personnelles: CNIL! Etc. Pourquoi gérer les risques de sécurité dans les projets (3) 7

8 MOA/MOE: Roles en SSI Maîtrise d ouvrage (Commanditaire)! Exprime des besoins fonctionnels :! Disponibilité du processus! Confidentialité des données! Intégrité des traitements et des données! A rarement la maitrise et/ou la compréhension des technologies sousjacentes! Ne comprends pas forcément le lien entre les éléments techniques et les besoins fonctionnels! Pense en terme de risque fonctionnel sur l activité! Considère la sécurité comme une contrainte et un coût Maîtrise d œuvre (Réalisateur)! Définit et met en œuvre les éléments techniques :! Disponibilité d un serveur, d un lien internet! Droits d accès aux serveurs, comptes dans la base de données! Contrôles de saisie des champs dans les applications! Ne comprend pas forcément tous les impératifs fonctionnels! Pense en terme de risques sur les systèmes! Orientée sur la technique 8

9 MOA/MOE: Des exemples Maitrise d ouvrage! Disponibilité! Fonction métiers disponible au besoin! Ex: Application boursière doit être disponible pendant les heures d ouverture du marché. Chaque heure d indisponibilité représente une perte de X millions d euros! Confidentialité! L application gère des données sensibles.! Ex: Liste des porteur d une maladie. Les données rendues publiques ont des conséquences lourdes sur les patients! Intégrité! La fiabilité des données est critiques! Ex: Le projet permet à l utilisateur de transférer de l argent. Les données relatives aux virements doivent être correctes. Formulés en termes de besoins et d exigences Maitrise d œuvre! Disponibilité! Les serveurs et les liens internet sont redondées! Les équipes de maintenances sont d astreintes 24/7! Confidentialité! Les disques durs sont chiffrés! La connexion au serveur implique l utilisation d un certificat sur carte à puce! Intégrité! Contrôles de fiabilité des bases de données! Signature électronique des documents Formulés en termes de mesures donc de coûts 9

10 ISO Les actifs en SSI Actif primordial Actif de support! Processus et information! Logiciel! Matériel! Réseau! Personnes! Site! Organisation! Un actif peut être tout ce qui a une valeur pour l organisme! Comme leur nom l indique, les actifs de supports supportent les actifs primordiaux 10

11 ISO Mesures de sécurité Sur les actifs primordiaux Sur les actifs de support! N/A! Formation des développeurs! Mise en place de firewall applicatif! Gestion des droits d accès applicatifs! Tests d intrusion / Audit! Procédure d accès à la salle serveur! Détection d incendie! Extinction automatique d incendie! Pas de mesure de sécurité sur des processus et des informations oir ISO pour avoir une liste de mesure de sécurité Chaque mesure de sécurité a un coût :! Financier (achat de matériel, logiciel)! Humain (temps, personne dédiée)! Organisationnel (Audit, etc )! Fonctionnel (mot de passe, procédure)! Etc. Comment déterminer quelles mesures de sécurité mettre en œuvre? Et que tout le monde soit d accord 11

12 ISO

13 Identifier les actifs et les risques Les actifs Actif primordial Processus d achat sur internet Actifs de support Application web Logiciel de gestion Actifs de support Développeur Serveurs web Base de données Utilisateur Poste de travail Actifs de support Apache SGDB Data file Système d exploitation Fichiers 13

14 ISO Actifs primordiaux! Processus! Achat sur internet! Gestion de dossier client! Paiement! Information! Données médicales! Données de paiement! Données personnelles! Source des inquiétudes! Fraude avec des données bancaires volées! Indisponibilité du service pour les clients Actifs de support! Personnels! Exploitants! Développeurs! Utilisateurs! Matériels! Serveurs! Routeurs! Logiciel! Base de données! Systèmes d exploitation! Applications! Locaux! Sites! Salle serveurs! Etc.! Source des risques! Faille dans une application PHP! La salle serveur peut brûler 14

15 Identifier les actifs et les risques Les vulnérabilités des actifs Exemples de vulnérabilités: Développeur Application web Serveurs web Apache SGDB Processus d achat sur internet Base de données Data file Utilisateur Logiciel de gestion Système d exploitation Poste de travail Fichiers! Application web:! XSS! Authentification faible! Utilisateur! Non formé! Incompétent! Apache! Faille de sécurité! Mauvaise configuration! Etc 15

16 Identifier les actifs et les risques Les menaces Menaces Abus de droits Accès non autorisé logique Compromission de système Destruction non désirée de données Erreur d'administration Espionnage logique interne Perte de matériel Utilisation frauduleuse de logiciel ol de matériel ol de supports ou de documents 16

17 Identifier les actifs et les risques Les scénarios d incident 17

18 Estimer les risques Niveau de risque Conséquences fonctionnelles du scénario raisemblance du scénario Besoin en DIC de l actif Impact en DIC du scénario sur les actifs impactés Probabilité d occurrence de la menace Facilité d exploitation des vulnérabilités Etc. Etc. Etc. Etc. 18

19 Evaluer les risques et leur traitement On obtient une liste des risques estimés qu on peut prioriser pour décider de leur traitement:! Réduction! Refus! Transfert! Maintient On obtient un plan de traitement du risque avec un coût associé. «Contrat» entre la MOA et la MOE sur les mesures à mettre en œuvre et les risques à accepter. 19

20 Modélisation ISO par HSC Identif ication des mesures de sécurité existantes ( ) 20