Evolution du Modèle de Sécurité Didier GRAS RSSI du Groupe BNP Paribas
Le périmètre abordé Depuis au moins une vingtaine d années la sécurité informatique a énormément évolué, on peut retrouver ce thème selon plusieurs angles: la Sécurité des Systèmes d Information (le contenant: les systèmes informatiques, les réseaux, les ordinateurs, les moyens de paiements), la Sécurité de l Information (le contenu: les données, le papier, les conversations), la Sécurité numérique (les usages: l accès aux services bancaires à partir d Internet ou de son téléphone, le télétravail, l accès aux réseaux sociaux). Sécurité des usages Sécurité des terminaux Sécurité des réseaux informatiques Sécurité des Data Centers Sécurité des Moyens de paiement Le numérique a bouleversé la société, le monde de l entreprise, les banques BNP Paribas. La sécurité apporte une contribution significative afin de préserver l essentiel de notre Patrimoine numérique.
Les enjeux Facteur endogènes Informatisation des activités Opérations complètement digitales Interopérabilité multi-métier Dépendance de l'activité face à l'information Evolution des usages Clients : banque électronique, relation client numérique, multicanal Employés : mobilité, collaboration en ligne, réseaux sociaux Opérations bancaires Opérations assurance Opérations des autres entités Facteurs exogènes Professionnalisation de la cybercriminalité Monétisation des données financières Industrialisation des menaces Augmentation des attaques ciblées "Hacktivisme" (wikileaks,...) Augmentation de la complexité technologique Cycles de vie technologique réduits Augmentation des interconnexions Balkanisation du paysage applicatif L'importance de la SSI pour les opérations de BNP Paribas croît dans le contexte métier "connecté"
Un changement du paradigme stratégique de la sécurité des SI est nécessaire Jusqu'ici, la sécurité s'est appuyée avec succès sur un modèle de sécurité "périmétrique"......mais les évolutions du contexte Métier remettent en question la sécurité de bout en bout Enceinte délimitant l'interne et l'externe Employés et applications à l'intérieur de l'enceinte Complexité des flux de données en raison de l'internationalisation et de l'informatisation des activités Arbitrages coût/sécurité dus au enjeux de compétitivité Davantage d'intrusions (volontaires ou non) dues à l'industrialisation de la cybercriminalité "Pare-feu" pour filtrer les flux de données Tunnels pour les nouveaux usages et pour contourner la complexité Périmètre non contrôlé dû à l'externalisation et aux partenaires
USER Legend: SLA PAS 5 User EM Morocco 1 -Importance: 1 -Icon by threat: data confidentiality, virus, hack - ISS Process : ANTICIPATION, PREVENTION, PROTECTION, DETECTION, REACTION ACTIVE DIRECTORY NETWORK Hack 3 Retail Banking Agency Managed by EM Morocco Logon Delegation?? Replication VPN Third Party Carrier Managed by Third Party Carrier 4 5 Virus Users Computers Groups Printers Domain Controller 3 Patching EM Datacenter (Morocco) Managed by EM Morocco Managed by EM VPN WIN Network EMEA (child domain) Managed by ITPS & entities other Managed by WIN APPLICATION Replication PANDA Firewalls Virus 1 CORE-PETAL Firewall Managed by ITPS Firewall Team Roles & Rights 6 Patching 3 Managed by ITPS Shared datacenter network (core) P, A D Point-to-point rules 2 Managed by ITPS (BP2I) INFRA.NET (Root domain) Domain Controller BDDF Segmented Network Zone ATLAS2 Obsolescence & Firewall Numbers 2012 IBM Corporation Approche retenue Cartographie des risques Métier Principes de sécurité Mesures de sécurité adaptées Outils Risques potentiels suite à un incident SI, requérant des mesures de protection L impact de la menace est mesuré sur 3 dimensions Les fonctions de sécurité pour limiter l impact des menaces sont axées sur: Employee Agent Communication Processing S4 S1 S3 DATA S2 Partner & contractor POURQUOI? Indisponibilité des moteurs de paiement Fraude sur les applications transactionnelles Fuite d information de données clients Incapacité de produit le reporting financier Perte d image... Contexte d accès Contexte réseau Contexte application/donnée s Exigences organisationnelles Exigences sur les processus Exigences techniques Le diagramme du modèle de sécurité assure l adéquation des fonctions de sécurité avec l impact des menaces System & Middleware Access Channel Data / App Context Applications External Subcontracted External External Internal Path Context Data Managed Sub-contracted provider Transport Network employee Contractor physical secured location physical non-secured location Client Partner Laptop Client Smartphone & Tablet Thin Client Partner location location UYOD Laptop & Agent UYOD Smartphone & Tablet Location Access Context End User Device QUOI? COMMENT?
Ecosystème APPLICATION & MIDDLEWARE Logiciels assurant une fonction de traitement sur des données DONNEES Classification des données en fonction de la politique Application & Middleware S1 Data S1 S2 S3 Partner Client Agent AGENT Personne physique ou application tiers accédant à un actif S2 S3 S4 SYSTEME Zone d échange entre la couche applicative et le canal de communication System S4 Internal Internal Employee Contractor Laptop Smartphone & Tablet Thin Client UYOD Laptop & UYOD Smartphone & Tablet End User Device SUPPORT D ACCES DE L AGENT Composant utilisé par l agent pour se connecter à un actif External External 4 contextes définis Contexte d accès CANAL DE COMMUNICATION APPLICATIVE Cette couche assure le transfert de données vers l application cible, ex: Centre de Production Informatique (Data-Center) Data/Application Channel User Channel CANAL DE COMMUNICATION UTILISATEUR Cette couche assure le transfert de données depuis le support d accès de l agent vers le SI Contexte réseau Contexte Application/Données Système de gestion de la sécurité
Un exemple de cas d usage Data Data Security sub- Profiles Applications Agent Agent Security sub- Profiles Application Security sub-profiles System & Middleware Security sub-profiles Access Channel Security sub-profiles System & Middleware Access Channel External Subcontracted External Internal Intranet Extranet Transport Network employee Contractor physical secured location Partner Laptop physical non-secured location Client Smartphone & Tablet Partner location Thin Client location UYOD Laptop & UYOD Smartphone & Tablet Location End User Device Risks End User Device Security sub-profiles Location Security sub-profiles Use Case Risk Profile
Une évolution du Modèle de sécurité Niveaux de sécurité minimum cohérents et partagés pour la protection des données de bout en bout Management opérationnel aux commandes Niveaux de sécurité progressifs adaptés au risque et à la sensibilité des données / actifs Capacités de sécurité nécessaires Ex. : équipe de réponse / centre de suivi Ensemble cohérent (de bout en bout) de fonctionnalités de sécurité, adaptées aux niveaux de sécurité
Une chaîne de valeurs Governance Anticipation Prevention Protection Detection Reaction
Trois caractéristiques Des concepts similaires sont déployés par d'autres institutions financières... et sont adaptés au contexte d'activité de Plus "centrés sur les données" De bout en bout Orientée "risque" Rééquilibrer la protection de sécurité de "centrée sur le réseau" à "centrée sur les données" Pour lutter contre l'augmentation des fuites de données...... celà nécessite identifier et protéger les données les plus critiques Assurer une sécurité constante dans toutes les couches du système d'information (pas uniquement le réseau) D'une approche de "pare-feu" solide...... à une combinaison de différentes mesures de sécurité couvrant les employés, la technologie et les opérations, adaptée au nouveau contexte d'activité connecté Adapter la protection aux risques anticipés Démoyenniser le niveau de sécurité selon les risques (menaces, probabilité et impact)