Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI
Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs 70 Mds de CA annuel 6 millions d assurés 7000 salariés et C.Ciaux 3000 agents et collab. Près de 14 Mds de CA
Une entreprise unique depuis 2007
Une politique de distribution multiforme & ambitieuse Agents généraux 1000 Agents Généraux 1400 points de vente 1700 conseillers commerciaux 2 Réseaux salariés Courtiers Generali, 2è fournisseur national des courtiers (1500 apporteurs réguliers) Conseillers en gestion de patrimoine 1500 CGPI indépendants Partenariats Des partenaires bancaires importants De grands partenaires Internet dans le domaine de l épargne et un site marchand, generali.fr Internet
La Sécurité des Systèmes d Information - Une responsabilité partagée - Risks & Security Committees Risks Management Internal Audit Risks Management Department Business Departments SECURITY CONTINUITY Support Departments Human Ressources IT Security CISO Health & Safety Physical Security Manager Business Continuity Management Communication Purchase Legal Compliance Logical Access Security Authorization Physical Access Security Disaster Recovery Plan Emergency Management Integration Architecture Engineering Operations Management Services Management Methodology & Quality Applications Development Team IT Production Applications Development
La Sécurité des Systèmes d Information - Processus et Activités - La Sécurité des Systèmes d Information est organisée en 4 grands types d activités GOVERNANCE ISS_DEF Policies Definition OPERATIONS ISS_MON Monitoring CONTROL ISS_AUT Authorization Management ISS_RSK Risks Management ISS_PAT Patches Management ISS_AUD Audit ISS_REP Reporting ISS_ACC Access Management ISS_CMP Compliance ISS_ARC Architecture ISS_INC Incident Management ISS_COM Communication ISS_CRI Emergency Management ISS_PMO Project Management ISS_PRJ Projects Support ISS_USR Users Support WATCHES ISS_DRP Disaster Recovery Plan ISS_TEC Technology Watch ISS_ACT Security Projects ISS_LEG Legal Watch ISS_FOR Forensics ISS_CYB Cybercrime Watch Ces activités sont réparties entre le RSSI, la Sécurité Opérationnelle, le Contrôle Interne de la DSI, et les autres équipes informatiques (Production, Etudes).
La Gestion des Vulnérabilités - Définitions - Caractère de ce qui est vulnérable ; Synonymes : Fragilité, Précarité En termes propres à la Cyndinique (science des risques) : Une vulnérabilité d un système d information est un point faible qui peut être défini par : Une ressource exposée à 5 types de risque (AFNOR) : Humaine (atteintes aux personnes), Technique (atteintes aux biens et techniques), Information (Pertes d informations), Partenariat (Dommages aux partenaires), Finance (Pertes de revenus) Les causes : Evènements aléatoires dont la survenance priverait le S.I de son intégrité ou d une de ses ressources, partiellement ou totalement, et de façon temporaire ou définitive. Les conséquences qu entraînerait une perte d intégrité du S.I ou de l une de ses ressources, qu elle soit partielle, totale, et de façon temporaire ou définitive
Identifier les ressources ou actifs à risques Quels sont les éléments ou composants (critiques) du Système d information qui présentent des vulnérabilités ou faiblesses? Prévenir les causes La Gestion des Vulnérabilités - Objectifs - Le Système d Information présente-t-il des faiblesses? Ces faiblesses pourraient-elles être exploitées? Comment et pourquoi des actifs qui renferment des vulnérabilités sont-elles présentes dans le Système d Information? Limiter les conséquences Est-ce que des mesures existent et sont actuellement déployées pour en limiter les effets? N est-on pas dans la Gestion de risques?
Non exhaustif UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Datacenters La Gestion des Vulnérabilités - Approche par l Architecture - L Architecture pour un Système d Information sécurisé Propriétés Moyens Disponibilité Intégrité Confidentialité Traçabilité et Preuves Performance Résilience Conformité réglementaire Exploitabilité Justesse Référentiels ITIL ISO2700x CMMI CoBIT Solvency II (Assurance) Chiffrement (SSL), VPN, DMZ, Firewalls, Proxies, Gateways, Antivirus, Anti-malwares, IDS/IPS SIEM Supervision, Plan de Sauvegarde, Plan de Secours Informatique Security Operations Center, Gestion des Habilitations, Gestion des Identités, Gestion des Accès, Gestion des Incidents, Gestion des vulnérabilités, Audits
La Gestion des Vulnérabilités - Les Utilisateurs - UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Les utilisateurs sont des ressources fragiles et il est nécessaire de les protéger. C est plutôt du domaine de la RH et de la Sécurité des Personnes. Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Les utilisateurs sont des vulnérabilités et il est nécessaire de s en protéger. Les comportements ou habitudes des utilisateurs sont à risques, et il est nécessaire de s en protéger. C est à adresser par des Formations et des Campagnes de Sensibilisation. Datacenters
La gestion des vulnérabilités - Les Processus - UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Datacenters Davantage de rigueur La complexité de certains processus (métiers et informatiques ) induisent des vulnérabilités pouvant avoir des conséquences sur l Entreprise en général et le S.I en particulier. Conception des processus et des organisations Gestion des profiles et des habilitations Davantage de contrôles Cellules de lutte contre la Fraude, Cellules de lutte contre le Blanchiment et le Financement du Terrorisme (LCB-FT), Conformité Réglementaire, Contrôle Interne, Audits (Internes ou Externes)
La gestion des vulnérabilités - L Infrastructure - UTILSATEURS PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Virtualisation Stockage Réseau Serveurs Datacenters Problématiques Multiplicité des technologies, Multiplicité des acteurs, Manque de visibilité, Documentation «perfectible», Contraintes de Production, Etc. Qui doit être concerné? Le RSSI, La Sécurité Opérationnelle, Les Architectes et Urbanistes, Les responsables d exploitation, Les administrateurs, Les experts, Etc.
La gestion des vulnérabilités - La Méthode - Signalement Analyse Validation Déploiement Signalement Analyse Validation Déploiement Veille technologique Informations / Avertissements éditeurs, fournisseurs, CERT ou autres. Rapport de tests d intrusion, d audits ou de scan de vulnérabilités. Déclarations d incidents provenant d utilisateurs. Alertes remontées par les systèmes de supervision Mise à jour de la base des vulnérabilités Recherche de correctifs et/ou des mesures de protection appropriée. Etude d impacts (Opérationnels, financiers, juridiques, réputation). Evaluation de la criticité (Critique, Elevé, Modéré, Faible) Planification en tenant compte des règles de sécurité définies et des contraintes de production Mise à jour de la base des vulnérabilités Du RSSI et/ou du Comité Sécurité. Moyens pour réduire le risque disproportionnés par rapport au risque luimême. Délai pour le déploiement non conforme aux règles. Le composant doit être prochainement désendetté. Mise à jour de la base des vulnérabilités. Packaging Test (Pilote) Généralisation Vérification de l efficacité des correctifs Mise à jour de la base des vulnérabilités.
Les Responsables d équipes Exercer une veille sur leurs périmètres (technologies ou applicatifs), Analyser les vulnérabilités découvertes, Piloter le déploiement des correctifs, Etablir un reporting des vulnérabilités de son périmètre. Les Architectes Techniques Le RSSI La gestion des vulnérabilités - Rôles et Responsabilités - Mêmes responsabilités que les Responsables d équipes Tenir compte des vulnérabilités connues dans leurs préconisations d architecture pour les nouvelles fonctionnalités ou applications. Exercer une veille concernant les outils de développement (IDE, Frameworks, Web Services, etc.) Exercer une veille sur les menaces potentielles Valider les demandes de dérogation aux règles de sécurité. Consolider un reporting permettant de restituer le niveau de vulnérabilité global du S.I
La gestion des vulnérabilités - La sécurité dans les Développements - UTILSATEURS Prise en compte au plus tôt de la sécurité dans les projets PROCESSUS APPLICATIONS Applications Métiers Progiciels MIDDLEWARE INFRASTRUCTURE Postes de travail Systèmes d Exploitation Phase de Spécification Analyse de Risques orientée Métier (Fraude) Identification des données mises en jeu Analyse de Risques Définition des profiles et des habilitations Phase de Conception Choix des composants et/ou progiciels Analyse de risques orientée Technique (Revue de l architecture) Définition (voire exécution) des tests de sécurité Virtualisation Stockage Réseau Serveurs Datacenters Phase de Qualification Audit de codes Scan de vulnérabilités Tests de pénétration Tests de robustesse / Tests de montée en charge
La gestion des vulnérabilités - Les prochaines étapes - Complétude des périmètres Impliquer davantage de responsables d équipe Prise en compte de davantage de technologies Prise en compte des services externalisés Automatisation des Reportings Homogénéisation des formats, Centralisation des bases de vulnérabilités Intégration Outils de gestion des déploiement, Configuration Management DataBase
Questions / Réponses