Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Documents pareils
Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

La sécurité applicative

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Panorama général des normes et outils d audit. François VERGEZ AFAI

Modèle MSP: La vente de logiciel via les services infogérés

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

ISO/CEI 27001:2005 ISMS -Information Security Management System

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

dans un contexte d infogérance J-François MAHE Gie GIPS

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

La relation DSI Utilisateur dans un contexte d infogérance

Vers un nouveau modèle de sécurisation

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Software Asset Management Savoir optimiser vos coûts licensing

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Yphise accompagne les décideurs et managers dans leurs réflexions, décisions et actions

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Club ISO Juin 2009

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Cycle de conférences sur Cloud Computinget Virtualisation. Cloud Computing et Sécurité Pascal Sauliere, Architecte, Microsoft France

ITIL Gestion de la continuité des services informatiques

La Sécurité des Données en Environnement DataCenter

PAS X. PAS-X Services. Competence. Implementation. Support. Vue d ensemble des services SERVICES PAS-X. Centres de services internationaux

Gestion des Incidents SSI

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

IT SERVICES BUSINESS STORAGE DATA AUDIT PARTNERSHIP INTEGRATOR SECURITY PLANNING PRIVATE AGILITY DYNAMIC PUBLIC TECHNOLOGY SOLUTIONS MANAGEMENT

MMA - Projet Capacity Planning LOUVEL Cédric. Annexe 1

Module Projet Personnel Professionnel

Vector Security Consulting S.A

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Créer un tableau de bord SSI

Systèmes et réseaux d information et de communication

Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Projet Sécurité des SI

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Déterminer les enjeux du Datacenter

Dossier Solution - Virtualisation CA arcserve Unified Data Protection

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

la conformité LES PRINCIPES D ACTION

AUDIT CONSEIL CERT FORMATION

Pensezdifféremment: la supervision unifiéeen mode SaaS

Aligner le SI sur la stratégie de l entreprise

.Réinventons l innovation.

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Cabinet d Expertise en Sécurité des Systèmes d Information

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

DU RÉSEAU AU BIG DATA UNE OFFRE GLOBALE DE GESTION DE LA DONNÉE. Bruno Fleisch - Responsable Produits Tarik Hakkou Responsable du pôle «Data»

La sécurité IT - Une précaution vitale pour votre entreprise

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

Sécurité des Systèmes d Information

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

The Path to Optimized Security Management - is your Security connected?.

THEORIE ET CAS PRATIQUES

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Atelier " Gestion des Configurations et CMDB "

HÉBERGEMENT CLOUD & SERVICES MANAGÉS

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

LA PROTECTION DES DONNÉES

La méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004

Synthèse. Quelle performance opérationnelle pour la sécurité de l information?

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

PCI DSS un retour d experience

Introduction Fabrice Pesin, Secrétaire général adjoint de l ACP

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Prestations d audit et de conseil 2015

AXIAD Conseil pour décider en toute intelligence

Présentation de l offre de services

Club toulousain

Prolival Cloud Services

Offres de services I n s i g h t. SAM Technology Services & Consulting Support Hardware Formation

La gestion des risques en entreprise de nouvelles dimensions

accompagner votre transformation IT vers le Cloud de confiance

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Gestion des incidents de sécurité. Une approche MSSP

Xavier Masse PDG IDEP France

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Transcription:

Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI

Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs 70 Mds de CA annuel 6 millions d assurés 7000 salariés et C.Ciaux 3000 agents et collab. Près de 14 Mds de CA

Une entreprise unique depuis 2007

Une politique de distribution multiforme & ambitieuse Agents généraux 1000 Agents Généraux 1400 points de vente 1700 conseillers commerciaux 2 Réseaux salariés Courtiers Generali, 2è fournisseur national des courtiers (1500 apporteurs réguliers) Conseillers en gestion de patrimoine 1500 CGPI indépendants Partenariats Des partenaires bancaires importants De grands partenaires Internet dans le domaine de l épargne et un site marchand, generali.fr Internet

La Sécurité des Systèmes d Information - Une responsabilité partagée - Risks & Security Committees Risks Management Internal Audit Risks Management Department Business Departments SECURITY CONTINUITY Support Departments Human Ressources IT Security CISO Health & Safety Physical Security Manager Business Continuity Management Communication Purchase Legal Compliance Logical Access Security Authorization Physical Access Security Disaster Recovery Plan Emergency Management Integration Architecture Engineering Operations Management Services Management Methodology & Quality Applications Development Team IT Production Applications Development

La Sécurité des Systèmes d Information - Processus et Activités - La Sécurité des Systèmes d Information est organisée en 4 grands types d activités GOVERNANCE ISS_DEF Policies Definition OPERATIONS ISS_MON Monitoring CONTROL ISS_AUT Authorization Management ISS_RSK Risks Management ISS_PAT Patches Management ISS_AUD Audit ISS_REP Reporting ISS_ACC Access Management ISS_CMP Compliance ISS_ARC Architecture ISS_INC Incident Management ISS_COM Communication ISS_CRI Emergency Management ISS_PMO Project Management ISS_PRJ Projects Support ISS_USR Users Support WATCHES ISS_DRP Disaster Recovery Plan ISS_TEC Technology Watch ISS_ACT Security Projects ISS_LEG Legal Watch ISS_FOR Forensics ISS_CYB Cybercrime Watch Ces activités sont réparties entre le RSSI, la Sécurité Opérationnelle, le Contrôle Interne de la DSI, et les autres équipes informatiques (Production, Etudes).

La Gestion des Vulnérabilités - Définitions - Caractère de ce qui est vulnérable ; Synonymes : Fragilité, Précarité En termes propres à la Cyndinique (science des risques) : Une vulnérabilité d un système d information est un point faible qui peut être défini par : Une ressource exposée à 5 types de risque (AFNOR) : Humaine (atteintes aux personnes), Technique (atteintes aux biens et techniques), Information (Pertes d informations), Partenariat (Dommages aux partenaires), Finance (Pertes de revenus) Les causes : Evènements aléatoires dont la survenance priverait le S.I de son intégrité ou d une de ses ressources, partiellement ou totalement, et de façon temporaire ou définitive. Les conséquences qu entraînerait une perte d intégrité du S.I ou de l une de ses ressources, qu elle soit partielle, totale, et de façon temporaire ou définitive

Identifier les ressources ou actifs à risques Quels sont les éléments ou composants (critiques) du Système d information qui présentent des vulnérabilités ou faiblesses? Prévenir les causes La Gestion des Vulnérabilités - Objectifs - Le Système d Information présente-t-il des faiblesses? Ces faiblesses pourraient-elles être exploitées? Comment et pourquoi des actifs qui renferment des vulnérabilités sont-elles présentes dans le Système d Information? Limiter les conséquences Est-ce que des mesures existent et sont actuellement déployées pour en limiter les effets? N est-on pas dans la Gestion de risques?

Non exhaustif UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Datacenters La Gestion des Vulnérabilités - Approche par l Architecture - L Architecture pour un Système d Information sécurisé Propriétés Moyens Disponibilité Intégrité Confidentialité Traçabilité et Preuves Performance Résilience Conformité réglementaire Exploitabilité Justesse Référentiels ITIL ISO2700x CMMI CoBIT Solvency II (Assurance) Chiffrement (SSL), VPN, DMZ, Firewalls, Proxies, Gateways, Antivirus, Anti-malwares, IDS/IPS SIEM Supervision, Plan de Sauvegarde, Plan de Secours Informatique Security Operations Center, Gestion des Habilitations, Gestion des Identités, Gestion des Accès, Gestion des Incidents, Gestion des vulnérabilités, Audits

La Gestion des Vulnérabilités - Les Utilisateurs - UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Les utilisateurs sont des ressources fragiles et il est nécessaire de les protéger. C est plutôt du domaine de la RH et de la Sécurité des Personnes. Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Les utilisateurs sont des vulnérabilités et il est nécessaire de s en protéger. Les comportements ou habitudes des utilisateurs sont à risques, et il est nécessaire de s en protéger. C est à adresser par des Formations et des Campagnes de Sensibilisation. Datacenters

La gestion des vulnérabilités - Les Processus - UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Datacenters Davantage de rigueur La complexité de certains processus (métiers et informatiques ) induisent des vulnérabilités pouvant avoir des conséquences sur l Entreprise en général et le S.I en particulier. Conception des processus et des organisations Gestion des profiles et des habilitations Davantage de contrôles Cellules de lutte contre la Fraude, Cellules de lutte contre le Blanchiment et le Financement du Terrorisme (LCB-FT), Conformité Réglementaire, Contrôle Interne, Audits (Internes ou Externes)

La gestion des vulnérabilités - L Infrastructure - UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Datacenters Problématiques Multiplicité des technologies, Multiplicité des acteurs, Manque de visibilité, Documentation «perfectible», Contraintes de Production, Etc. Qui doit être concerné? Le RSSI, La Sécurité Opérationnelle, Les Architectes et Urbanistes, Les responsables d exploitation, Les administrateurs, Les experts, Etc.

La gestion des vulnérabilités - La Méthode - Signalement Analyse Validation Déploiement Signalement Analyse Validation Déploiement Veille technologique Informations / Avertissements éditeurs, fournisseurs, CERT ou autres. Rapport de tests d intrusion, d audits ou de scan de vulnérabilités. Déclarations d incidents provenant d utilisateurs. Alertes remontées par les systèmes de supervision Mise à jour de la base des vulnérabilités Recherche de correctifs et/ou des mesures de protection appropriée. Etude d impacts (Opérationnels, financiers, juridiques, réputation). Evaluation de la criticité (Critique, Elevé, Modéré, Faible) Planification en tenant compte des règles de sécurité définies et des contraintes de production Mise à jour de la base des vulnérabilités Du RSSI et/ou du Comité Sécurité. Moyens pour réduire le risque disproportionnés par rapport au risque luimême. Délai pour le déploiement non conforme aux règles. Le composant doit être prochainement désendetté. Mise à jour de la base des vulnérabilités. Packaging Test (Pilote) Généralisation Vérification de l efficacité des correctifs Mise à jour de la base des vulnérabilités.

Les Responsables d équipes Exercer une veille sur leurs périmètres (technologies ou applicatifs), Analyser les vulnérabilités découvertes, Piloter le déploiement des correctifs, Etablir un reporting des vulnérabilités de son périmètre. Les Architectes Techniques Le RSSI La gestion des vulnérabilités - Rôles et Responsabilités - Mêmes responsabilités que les Responsables d équipes Tenir compte des vulnérabilités connues dans leurs préconisations d architecture pour les nouvelles fonctionnalités ou applications. Exercer une veille concernant les outils de développement (IDE, Frameworks, Web Services, etc.) Exercer une veille sur les menaces potentielles Valider les demandes de dérogation aux règles de sécurité. Consolider un reporting permettant de restituer le niveau de vulnérabilité global du S.I

La gestion des vulnérabilités - La sécurité dans les Développements - UTILSATEURS Prise en compte au plus tôt de la sécurité dans les projets PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Phase de Spécification Analyse de Risques orientée Métier (Fraude) Identification des données mises en jeu Analyse de Risques Définition des profiles et des habilitations Phase de Conception Choix des composants et/ou progiciels Analyse de risques orientée Technique (Revue de l architecture) Définition (voire exécution) des tests de sécurité Virtualisation Stockage Réseau Serveurs Datacenters Phase de Qualification Audit de codes Scan de vulnérabilités Tests de pénétration Tests de robustesse / Tests de montée en charge

La gestion des vulnérabilités - Les prochaines étapes - Complétude des périmètres Impliquer davantage de responsables d équipe Prise en compte de davantage de technologies Prise en compte des services externalisés Automatisation des Reportings Homogénéisation des formats, Centralisation des bases de vulnérabilités Intégration Outils de gestion des déploiement, Configuration Management DataBase

Questions / Réponses

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back