C O N S U L T I N G & S E R V I C E S Accès à l Information ~ Gestion des risques Olivier Luxereau NetExpert SA Chemin de la Crétaux 2 CH 1196 Gland +41 22 354 83 83 olivier.luxereau@netexpert.ch 27 mai 2009
Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et/ou fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 2
Données Informations Documents Données Description élémentaire, (souvent codée), d'une chose, d'une transaction d'affaire, d'un événement, etc Information Rassemblement de données structurées, devant être traitées et interprétées pour fournir une information utile Renseignement ou élément de connaissance susceptible d'être représenté sous une forme adaptée à une communication, un enregistrement ou un traitement Document Enregistrement [Record] Contenant de toute forme d informations mots Phrases Pixels Chiffres Calculs Sons images L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Transformation Mise en relation Interprétation Agrégation Page 3
La société de l information Toute entité, quelles que soient la taille, la localisation ou l activité Organismes publics Entreprises privées Secteur de la santé Banques-Finances Assurances Services Industries L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 4
La société de l information Croissance annuelle du volumedes données: 50-70% Variété des types Données Brevets Variété d usages Publiques Localisations Périodes de rétention Données Liste de Augmentation des vulnérabilités + menaces = Risques Professionnelles Comptables Prix Données Techniques Finances Privées Propriété Données Personnelles intellectuelle d entreprise Données Etudes Personnel Intimes R&D L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 5
La société de l information Données Sensibles Critiques Vitales Utiles Entreprise Financières / Comptables Concernant le personnel Org. / Fusions-Acquisitions Reporting -BI Propriété intellectuelle Conception / R&D Code / source Spécifications produits Listes de prix Personnelles Informations nominatives N sécurité sociale N carte de crédit Infos médicales Comment les stocker? Comment les archiver? Comment les protéger? Comment gérer les flux? Comment gérer les accès? L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 6
Rôles et responsabilités Approche ARCI (RACI) Autorité Responsable Consulté Informé PROPRIETAIRE DETENTEUR + mode de fonctionnement sur des cycles de vie Information, système de gestion (PDCA, PO-AI-DS-ME ou autre) sur des relations Arbitre Décisionnaire Conseilleur Approbateur Contrôleur, auditeur RH DSI Finances IT DG Achats Risk Mgt Conformité Ventes Audit interne L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 7
L information ISO/IEC 27002:2005 Imprimée ou écrite sur du papier Stockée électroniquement Transmise par courrier ou par un moyen électronique Exposée sur des vidéos Communiquée lors de conversations L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 8
La sécurité de l information L information (digitale) est une ressource, (stratégique) = un patrimoine (vivant) L information participe à la productivité, la rentabilité, la conformité légale, la réputation... La forte dépendance induit la vulnérabilité Les risques sont multiples Interprétation ISO/IEC 27002:2005 L ouverture et l interconnexion des SI multiplie les risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 9
Qu est-ce que la sécurité de l information? ISO/IEC 27002:2005 Le but = préservation de : La Confidentialité Assurer que l information est accessible uniquement aux personnes disposant d une autorisation d accès La Disponibilité Assurer l accès à l information lorsque nécessaire L Intégrité Protéger l'exactitude et de la complétude de l'information et des méthodes d exécution par un contrôle d accès L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 10
Autres critères de contrôle de protection Préservation : L «Auditabilité» ou la Preuve «Traçabilité», imputabilité, la non-répudiation Du caractère privé [Privacy] Assurer le droit aux individus de conserver la confidentialité de leurs données personnelles (=autorisation d accès) Conformité : Légale (+ règlementaires et contractuelle) aux objectifs La Fiabilité (CobiT) Fourniture d «informations» pertinentes pour le fonctionnement de l'entité et l'exercice des responsabilités sur le plan des finances et des rapports de conformité L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 11
L information et les risques Menaces A E M D mots Chiffres Impacts Valeursur Phrases Sons Calculs D I C A L Vulnérabilités Pixels images Risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 12
Cycles de vie pour l information Gestion des évolutions dans le temps! La valeur de l information changent Nouvelles menaces et vulnérabilités Les supports se modifient se dégradent le cadre légal bouge Flux de données complexes Les exigences de protection doivent s adapter L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 13
Quelles sont les menaces? fraudes intrusions via sans-fil sabotage physique intrusions atteinte à l'image divulgation attaques logiques ciblées chantage pertes services pannes internes événement naturel pertes services accident physique virus erreurs utilisation erreur conception / mise en œuvre SWprocédure vol / disparition matériel malveillance accident pannes internes virus attaques logiques ciblées vol / disparition matériel divulgation erreur événement naturel atteinte à l'image intrusions accident physique sabotage physique erreur conception / mise en œuvre SW-procédure erreurs utilisation fraudes intrusions via sans-fil chantage Adaptation de l étude de sinistralité CLUSIF 2009 - Source : Michel MARTI (Etat de Genève) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 14
Statistiques «Data Loss Prevention» Dans les entreprises : 0,4% des messages contiennent des informations confidentielles 2% des fichiers stockés sur les serveurs sont accessibles (sans autorisation ) 81% ont perdu des données stockées sur des PC portables 52% ont perdu des données stockées sur des médias amovibles (clés USB) les conséquences (les priorités): Sources : éditeurs des solutions DLP / Etude de sinistralité Clusif / Melani Finances + Réputation S.M.S.I. Propriété Intellectuelle Conformité Audit Externe et Interne L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 15
Risques - 6 ème enquête Sécurité 2008 Causes des risques (%) : 27 mai 2009 Page 16
Pourquoi la SSI est indispensable? ISO/IEC 27002:2005 «Beaucoup de systèmes d'information n'ayant pas été conçus pour être sécurisés, la mise en œuvre de moyens techniques de protection a un impact limité et doit être soutenue par une organisation appropriée et des procédures» «Si vous pensez que les technologies peuvent résoudre tous vos problèmes, alors vous n avez rien compris à vos problèmes,... ni aux technologies» Bruce Schneier, CTO Counterplane Author of Applied Cryptography, and an award winner at the EFF Pioneer Awards. @Etech 2007 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 17
Études de sinistralité (menaces) MELANI : Centrale d'enregistrement et d'analyse pour la sûreté de l'information Rapport semestriel - Situation en Suisse et à l international http://www.melani.admin.ch/index.html?lang=fr Instituts américains : CERT, NIST, SANS, GAO, L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 18
Principes de sécurité Pour le contrôle d accès (à l information ) Responsabilisation des acteurs Défense en profondeur Moindre privilège Ségrégation des tâches Durcissement Traiter les risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 19
Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 20
Cadre de référence de gestion des risques Information Security Risk Management ISO/IEC 27005 Établir le contexte Communication sur le risque Appréciation du risque Analyse de risque Identification des risques Estimation des risques Évaluation des risques Décision 1 Appréciation Traitement des risques O N Surveillance et réexamen du risque Activités principales du processus de gestion des risques liés aux traitements de l information Décision 2 Traitement O N Acceptation des risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 21
Approche Inventaire et classification des données (sur tout leur cycle de vie) Identification des risques (sur la base de scénarios de menaces - AEM / DICAL) Processus systématique d amélioration continue jusqu à l acception du niveau de risques résiduel Estimation des risques (sur la base d un audit contrôle des accès) Evaluation des risques (sur la base du niveau actuel de protection / P.P.T) Traitement des risques (sur la base de recommandations d amélioration Acceptation du risque L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 22
Quelles sont les principales menaces? Le processus (même) de gestion / contrôle d accès aux données inapproprié! Inventaire incomplet et non maintenu Classification non gérée Permissions d accès non maintenu ( Autorisation Révocation) par usager ou par groupe / Cycle de vie de l information / Besoin de protection dans le temps Contrôle (permanents) insuffisants (Log Management) des identifiants et des accès des espaces de stockage mise en œuvre et efficacité des mesures de sécurité par le propriétaire par le gestionnaire des accès L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 23
Quelles sont les principales menaces? Le vol de données La fuite d information Traitement de données erronées ou obsolètes Déficience de protection de données inutilisées (oubliées) Préservation des droits d accès aux données archivées (liste non exhaustive) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 24
Risques - 6 ème enquête Sécurité 2008 Prévision des menaces prévues dans les 12 mois - % des répondants Risque Elevé Moyen Faible L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 25
Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 26
ISO 27002 : Contrôle d accès [ 11 ] 11.1 Exigences métier relatives au contrôle d accès 11.1.1 Politique de contrôle d accès 11.2 Gestion de l accès utilisateur 11.2.1 Enregistrement des utilisateurs 11.2.2 Gestion des privilèges 11.2.3 Gestion du mot de passe utilisateur 11.2.4 Réexamen des droits d accès utilisateurs 11.3 Responsabilités utilisateurs 11.3.1 Utilisation du mot de passe 11.3.2 Matériel utilisateur laissé sans surveillance 11.3.3 Politique du bureau propre et de l écran vide 11.4 Contrôle d accès au réseau 11.4.1 Politique relative à l utilisation des services en réseau 11.4.2 Authentification de l utilisateur pour les connexions externes 11.4.3 Identification des matériels en réseau 11.4.4 Protection des ports de diagnostic et de configuration à distance 11.4.5 Cloisonnement des réseaux 11.4.6 Mesure relative à la connexion réseau 11.4.7 Contrôle du routage réseau L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 27
ISO 27002 : Contrôle d accès 11.5 Contrôle d accès au système d exploitation 11.5.1 Ouverture de sessions sécurisées 11.5.2 Identification et authentification de l utilisateur 11.5.3 Système de gestion des mots de passe 11.5.4 Emploi des utilitaires système 11.5.5 Déconnexion automatique des sessions inactives 11.5.6 Limitation du temps de connexion 11.6 Contrôle d accès aux applications et à l information 11.6.1 Restriction d accès à l information 11.6.2 Isolement des systèmes sensibles 11.7 Informatique mobile et télétravail 11.7.1 Informatique mobile et télécommunications 11.7.2 Télétravail L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 28
Autres normes et standards ISO ISO/IEC 2700x : Information Security Management ISO/IEC 31000 : Risk Management ISO/IEC 15489 : Record Management ISO/IEC 5th WD 24760 -- Framework for identity management ISO/IEC 14888-3:2006/PDAM 1 - Digital signatures with appendix -- Part 3: Discrete logarithms based mechanisms ISO/IEC 9797-3 -- Message authentication codes (MACs) -- Mechanisms using a universal hash-function ISO/IEC 1st WD 9798-6 -- Entity authentication -- Part 6: Mechanisms using manual data transfer ISO/IEC 2nd WD 29150 Signcryption ISO/IEC 18033-4:2005 (1st ed.) -- Encryption algorithms -- Part 4: Stream ciphers ISO/IEC CD 13888-2 -- Non-repudiation -- Part 2: Mechanisms using symmetric techniques > 100 normes du SC27 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 29
Autres références Codes de pratiques GAISP Generally Accepted Information Security Principles Information Systems Security Association (ISSA) ISF - Standard of Good Practice for Information Security Information Security Forum BSI (D) IT Baseline Protection Manual, BSI (UK) BS7799-2 NIST SP800-14(GASSP) et 100 Suisses Européens C L U S I F Canada Australie/Nouvelle Zélande L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 30
Autres références Guides méthodologiques ou sectoriels ITIL - the IT Implementation Library COBIT et Security Baseline, OECD Security Guidelines ISO 13569 Financial services-infosec guidelines PCI payment Card Industrie) ETSI FDA (CFR21 part 11) BCI DRii et risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 31
CobiT: assurer la sécurité des S.I [DS 5] DS5.1 Gestion de la Sécurité du SI (SSI) DS5.2 Programme/Système de gestion de la SSI DS5.3 Gestion des identités DS5.4 Gestion des comptes utilisateurs DS5.5 Test, contrôle et surveillance de la sécurité DS5.6 Définition et communication sur les incidents potentiels DS5.7 Protection des technologies de sécurité DS5.8 Gestion des clés cryptographiques DS5.9 Prévention des incidents (anti-virus, IDS/IPS, Firewall ) DS5.10 Sécurité des réseaux DS5.11 Echange de données sensibles L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 32
Objectifs du DS5 de CobiT IT Processus Activités Assurer que les informations critiques et confidentielles sont détenues et utilisées par ceux qui peuvent (sont autorisés) à y accéder Assurer que les transactions automatisées et les échanges d informations sont de confiance Maintenir l intégrité de l information et des infrastructures de traitement Responsabiliser [account] à et assurer la protection des actifs informationnels Set Permettre l accès aux données critiques et sensibles exclusivement aux utilisateurs autorisés Identifier, surveiller et rapporter les vulnérabilités et les incidents Détecter et résoudre les accès non autorisés à l information, aux applications et aux infrastructures Minimiser les impacts dus aux vulnérabilités et aux incidents Set Comprendre les exigences de sécurité, les vulnérabilités et les menaces Gérer les identités des usagers et les autorisations de manière standardisée Définir quels sont les incidents de sécurité Tester / Eprouver régulièrement (les mesures) de sécurité Assurer que les services TIC et les infrastructures peuvent résister et être reconstruire suite à un dysfonctionnement dû à une erreur, à une attaque ou un incident [disaster] L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 33
Loi (F) Protection des Données Sphère privée, «Privacité» Fondements (juridiques) protection données DUDH Art. 12: (1948) + CEDH Art. 8: (1950) Convention 108 du CE (1981) + Traité sur l UE (1992) LPD Art. 1: (RS 235.1; 19.06.1992) Loi visant à protéger la personnalité et les droits fondamentaux des personnes qui font l objet d un traitement de données. LPD Art. 3a: Données personnelles + Art. 3b: Personne concernée Art. 3c: Données personnelles sensibles Art 11 L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 34
Autres lois Loi fédérale sur l archivage (LAr) du 26 juin 1998 Loi fédérale sur le droit d auteur et les droits voisins LDA 231-1 Loi fédérale sur la protection des données (LPD) 235-1 Guide pour le traitement des données personnelles dans le secteur du travail - Traitement par des personnes privées : par le Préposé Fédéral à la Protection des données + Lois Genevoises (LIPAD, LITAO, Archives, ) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 35
Plan Contrôle d accès à l information Définitions et principes généraux Gestion des risques liés à l accès à l information approche pragmatique de gestion des risques Lois, normes et standards à respecter Pratiques de protection Vol (perte) et fuite d information (DLP) Impossibilité de reconstruction L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 36
Sécurité de l information dans dans votre monde ouvert Forces itinérantes Organisation virtuelles Globalisation Médias de stockages Bandes passantes L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 37
Sécurité (protection) des données Avez-vous déployé? PPSG Usage / Contrôle Accès Gestion IAM PKI IPS/IDS Firewall Système de destruction Cryptographie Gestion des périphériques + Gestion des sauvegardes / + Archives L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 38
Comment appréhender la protection des informations? Êtes-vous inquiet de la perte de vos données? L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 39
Protection (automatisée) des données (critiques / sensibles) Bloquer Les emails Les Ports USB Les lecteurs/graveurs Crypter les fichiers et les messages Mise en quarantaine des emails Copier (relocaliser) les données Sauvegarder Archiver / ne pas Archiver Notifier Classifier Information Right Management (IRM) Chaque minute, 19 personnes sont victimes de VOL d identité, dû à un manque de protection des données. (Identity Theft Resource Center, 2007) L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 40
Information Rights Management (IRM) Technologie de protection persistante des fichiers qui permet de protéger la propriété intellectuelle numérique contre une utilisation non autorisée. Permet aux utilisateurs de spécifier l identité des personnes autorisées à accéder aux documents ou messages électroniques et à les utiliser, et qui les aide à protéger cette propriété intellectuelle numérique contre la copie, le transfert ou l impression non autorisés. Permet de contrôler les actions non autorisées, par exemple le transfert, le collage ou l impression en désactivant ces fonctions dans les documents et messages électroniques protégés. Protection des données SENSIBLES Critères : CONFIDENTIALITE, INTEGRITE, AUDITABILITE et CONFORMITE LEGALE L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 41
Information Rights Management Recherches sur : Wikipedia Microsoft IRM Adobe Lifecycle RM EMC documentum IRM Six key criteria for providing persistent document security L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 42
Conclusion Les 5 étapes de la protection des données : 1 2 3 4 5 Identifier et Apprécier les Risques Identifier et Classifier Les données et informations Concevoir les mesures de protection des données + Etablir les PPSG Déployer les technologies qui renforcent la protection et assurent la conformité Communiquer Former et Sensibiliser Créer une Culture de risques L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 43
Conclusion Le CONTENU doit conduire la classification - protection CONTROLER l accès à la donnée, pas juste au «contenant» La SECURITE doit voyager avec les données Protéger les utilisateurs contre les actions malencontreuses» Laisser disponible les données qui doivent être partagées, de manière sécurisée L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 44
Questions? «Ne pas prévoir, c est déjà souffrir» Léonard de Vinci L'atelier du risque, de l'audit et de la sécurité 27 mai 2009 Page 45