La révolution de l information



Documents pareils
Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

ISO/CEI 27001:2005 ISMS -Information Security Management System

Vector Security Consulting S.A

Opportunités s de mutualisation ITIL et ISO 27001

ISO conformité, oui. Certification?

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

D ITIL à D ISO 20000, une démarche complémentaire


Club toulousain

Gestion des Incidents SSI

Table des matières. Partie I CobiT et la gouvernance TI

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

INF4420: Sécurité Informatique

THEORIE ET CAS PRATIQUES

Sécurité informatique: introduction

La sécurité applicative

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Club ISO Juin 2009

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

AUDIT CONSEIL CERT FORMATION

Stratégie nationale en matière de cyber sécurité

La politique de sécurité

Catalogue des formations 2014 #CYBERSECURITY

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

exemple d examen ITMP.FR

SMSI et normes ISO 27001

Panorama général des normes et outils d audit. François VERGEZ AFAI

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

LA CONTINUITÉ DES AFFAIRES

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

«Audit Informatique»

La sécurité de l'information

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

«Audit Informatique»

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

ITIL : Premiers Contacts

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

ITIL v3. La clé d une gestion réussie des services informatiques

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

JOURNÉE THÉMATIQUE SUR LES RISQUES

Historique des normes et des règlements encadrant les contrôles internes

Brève étude de la norme ISO/IEC 27003

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

dans un contexte d infogérance J-François MAHE Gie GIPS

Le Cert-IST Déjà 10 ans!

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Management de la sécurité des technologies de l information

ITIL V2. Historique et présentation générale

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Evoluez au rythme de la technologie

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Plan de Continuité des Activités Disneyland Resort Paris. Préparé par Karine Poirot/Paul Chatelot 26 mars 2009

Retour d expérience. Mise en place ITIL en Milieu Télécoms. Tunisiana

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Formation en SSI Système de management de la SSI

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Sécurité des Systèmes d Information

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

La Qualité de SFR Business Team

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

ITIL V2 Processus : La Gestion des Configurations

curité des TI : Comment accroître votre niveau de curité

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Menaces du Cyber Espace

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CobiT une expérience pratique

politique de la France en matière de cybersécurité

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

L'infonuagique, les opportunités et les risques v.1

Module 197 Développer et implanter un concept de gestion des versions et des configurations

Présentation de la démarche : ITrust et IKare by ITrust

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Modèle Cobit

Août 2013 Recommandations en matière de Business Continuity Management (BCM)

La sécurité IT - Une précaution vitale pour votre entreprise

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Site de repli et mitigation des risques opérationnels lors d'un déménagement

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

LA PROTECTION DES DONNÉES

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

Transcription:

Forum 2006 du CERT-IST Le Management de la sécurité, un enjeu stratégique Philippe Duluc Directeur de la Sécurité Groupe de France Télécom Secrétariat général SG/DSEC, le 8 Juin 2006, slide n 1 sur 12 Fil directeur Un environnement qui évolue de plus en plus vite La nécessité de globaliser la sécurité et de la gérer La convergence des managements de sécurité L apport des CSIRT Quels nouveaux services? Perspectives SG/DSEC, le 8 Juin 2006, slide n 2 sur 12

La révolution de l information La révolution d Internet Le 5 décembre 1969 : Arpanet, 4 sites, 20 utilisateurs 1980 : 200 sites, 50 à 100 000 utilisateurs 1990 : 300 000 sites, 2 à 3 millions d utilisateurs 2000 : 10 millions de sites internet et 60 millions intranet, 260 à 300 millions d utilisateurs Le 8 juin 2006 : plus de 400 millions de sites, plus d un milliard d utilisateurs, soit plus d un humain sur six La révolution de la cryptologie asymétrique Diffie-Hellman (1976, Stanford), Rivest-Shamir-Adleman (1978, MIT) L avènement de la société de l information : du techno-push au market-pull. Les grandes tendances : interconnexion généralisée des réseaux entre eux, poussée par les usages et par la réduction des coûts convergence IP : elle s accélère (VoIP) convergence fixe-mobile : elle arrive (IMS : IP Multimedia Subsystem, UNIK) dynamisme et rapidité SG/DSEC, le 8 Juin 2006, slide n 3 sur 12 Un nouvel espace à civiliser Ces révolutions technologiques et la frénésie autour de l information et la communication ouvrent un nouvel espace à l activité humaine : le cyberespace De nouveaux horizons insoupçonnés : MMORPG : 5 millions d abonnés à WoW une énigme littéraire Flaubertienne (1840) résolue par Google Wikipedia : 3,8 millions d articles (01/01), 13000 contributeurs, 5 milliards de pages consultées par mois, etc. De nouvelles incivilités et délinquances : ver Slammer : le tour du globe en 10 minutes (2003) botnet : un réseau de 100 000 PC zombies (troyen W32-Toxbot) démantelé aux Pays-Bas (2005) spam : le canadien Eric Head en a envoyé 94 millions en un mois (2004) rootkit : 4,7 millions de CD musicaux Sony (2005) malware PtoP à venir, etc. Ce nouvel espace ressemble au Far West, royaume de la gratuité, de l abondance, de la liberté et des fortunes faciles. L impunité peut encore y régner. La police et les autorités judiciaires doivent s y adapter, et les comportements civiques s y développer. SG/DSEC, le 8 Juin 2006, slide n 4 sur 12

La sécurité globale De la sécurité informatique à la sécurité de l information standards britanniques, le CLUSIF change de nom, etc. On ne peut réduire la lutte contre les cybercrises à la seule SSI, la sécurité doit être globale pas de sécurité globale si la sécurité physique n est pas au niveau (contrôle d accès, sécurité incendie, etc) : tentative avortée de vol de 220 millions à la Sumitomo Mitsui Bank de Londres en mars 2005 (keylogger) pas de sécurité globale si le personnel n est pas sensibilisé et formé : contre l ingénierie sociale (par téléphone, par mail, phishing), aux procédures de traitement de l information sensible (évaluation, marquage) ou de réaction aux crises (exercices, planification), etc. Elle doit être démontrable (auditabilité) à des clients, des assureurs, des autorités réglementaires, etc. le cas échéant par l intermédiaire de tiers de confiance La dynamique de l évolution de la société de l information nécessite une adaptation permanente de la posture de sécurité globale SG/DSEC, le 8 Juin 2006, slide n 5 sur 12 L approche métier du SI Une adaptation permanente de la posture de sécurité globale la sécurité de l information doit s inscrire dans une démarche d amélioration continue similaire au contrôle qualité W. Edwards Deming, père du contrôle qualité et du cycle perpétuel d amélioration : Plan/Do/Check/Act mise en place d un système de management (ISMS) ISO/IEC 27001 (BS 7799-2 R-U) novembre 2005 : spécifications pour ISMS, inclut PDCA, donner l assurance, via une certification, qu un système a été implémenté suivant l état de l art Nécessite au préalable une définition du périmètre et une analyse de risques, plusieurs méthodes disponibles : EBIOS (Fr), mais aussi CRAMM (R-U), ISF, IT Baseline (All), MEHARI (Fr),voire MELISA (Fr), OCTAVE (E-U), future ISO/IEC27005 Bonnes pratiques de sécurité (BS 7799-1) ou plus générales orientées process (ITIL, Information Technology Infrastructure Library) SG/DSEC, le 8 Juin 2006, slide n 6 sur 12

Approche gestion de risques FERMA (Federation of European Risk Management Association) : cadre de référence de la gestion des risques 2002 risque = probabilité d occurrence x intensité des conséquences approche d origine britannique, couvrant tous types de risques et d opportunités possibles : de cause interne ou externe, stratégiques, financiers ou opérationnels, etc. Approche utilisable pour la sécurité globale (uniquement risques) : accepter, prendre les risques de sécurité ou ne pas les prendre (si possible dans l opération considérée) ou réduire les risques de sécurité (probabilité d'occurrence et étendue des dégâts) et prendre les risques résiduels devenus acceptables ou transférer les risques de sécurité (assurance, contrat client ou fournisseur) en totalité ou en partie (partager les risques de sécurité) Vision auditeurs (ISACA) : COBIT (Control objectives for information and technology), qui s étend à la gouvernance des SI Vision métiers bancaires (Bâle II, Eur., 2004) : risques de crédit, risques de marché, et risques opérationnels (approche gestion de crise, BCP) SG/DSEC, le 8 Juin 2006, slide n 7 sur 12 Approche gestion de crise Inéluctabilité de certaines crises, qu elles soient d origine naturelle ou criminelle (effets de seuil du modèle gestion de risques) risques extrêmes de Bâle II Nécessité de planifier la continuité / reprise d activité : tout système de management de la sécurité doit inclure cette dimension Standards NFPA 1600 (E-U, 1991) : disaster/emergency management et business continuity BS 25999 (R-U) : standard for business continuity management, reprend la norme PAS56 (R-U, Business Continuity Institute) et comptatible ITIL partie 1 : code de bonnes pratiques partie 2 : système de management ISO/IEC 24762 en gestation : Guidelines for Information and Communication Technology Disaster Recovery Scenario SG/DSEC, le 8 Juin 2006, slide n 8 sur 12

SG/DSEC, le 8 Juin 2006, slide n 9 sur 12 Approche financière Sarbanes-Oxley Act (juillet 2002) moralisation aux E-U suite aux scandales Enron et Worldcom certification des comptes par les CEO et CFO qui encourent personnellement jusqu à 20 ans de prison pas de comptes solidement certifiés sans un SI bien sécurisé cite l usage du référentiel COSO (qualité du reporting financier)) COSO (COmmittee of Sponsoring Organizations of the Treadway Commission) : contrôle des processus financiers et mise en place du contrôle interne, a évolué en 2004 vers la gestion de risques : ERM COSO ou COSO2 comprend 3 objectifs et 5 composantes : Concourir à la réalisation des 3 objectifs suivants : - la réalisation et l optimisation des opérations, - la fiabilité des informations financières, - la conformité aux lois et règlements. Analyser pour chacun de ces 3 objectifs les 5 composantes du contrôle interne suivantes : - l environnement de contrôle, - l évaluation des risques, - les activités de contrôle, - l information et la communication, - le pilotage du contrôle interne Prestataires de services Les CERTs constituent des organismes indissociables de la sécurité des réseaux et de l information ver Morris le 2 novembre 88 : création du CERT-CC 15 jours après Évolution des services rendus, plus globaux et plus adaptés à l évolution des usages : les CERTs deviennent des CSIRTs (Computer Security Incident Response Team) ENISA (voir http://www.enisa.eu.int/), 3 thèmes de travail 2005 : 1) sensibiliser à la sécurité de l information dans les Etats membres 2) analyse de risques, management des risques : répertoire, bonnes pratiques 3) CERT CSIRT http://www.enisa.eu.int/doc/pdf/deliverables/enisa_cert_inventory_v1.2_060210.pdf Inventaire des activités (jusqu aux abuse-team) dans l UE : une centaine de CSIRT répertoriés Analyse par le CERT-CC des nouveaux services (voir http://www.cert.org/archive/pdf/csirt-handbook.pdf) SG/DSEC, le 8 Juin 2006, slide n 10 sur 12

Services possibles services réactifs : répondent directement à la révélation d une compromission, d une faille de sécurité ou d un début d attaque, Alerte, analyse d incident ou de vulnérabilité, examen postmortem, préservation de preuves, coordination en cours d incident, conseil sur suites à donner, etc. services proactifs : aider à se préparer à la révélation d une compromission, faille, attaque Conseils ciblés ou thématiques, bonnes pratiques, veille technologique, audits de sécurité, configuration et exploitation des outils de sécurité, développement d outils de sécurité adaptés, IDS (détection d intrusion), tenue de référentiels de sécurité, etc. services de management de la sécurité Analyse de risques, business continuity planning, disaster recovery planning, conseil, communication de sécurité, sensibilisation, formation évaluation de produits, etc. SG/DSEC, le 8 Juin 2006, slide n 11 sur 12 SG/DSEC, le 8 Juin 2006, slide n 12 sur 12 Perspectives Convergence des systèmes de management liés à la sécurité initiative de Business Software Alliance, RSA, Entrust : «information security gouvernance» (convergence COSO, BS7799), avril 2004 du COSO au ERM COSO (enterprise risk management), septembre 2004 ASIS, ISACA et ISSA ont formé AESRM «the alliance for enterprise security management», février 2005 étude Booz/Allen commanditée par AESRM : «convergence of enterprise security organization», novembre 2005 série des ISO/IEC 2700x convergence à venir : responsabilité sociale (IS0/IEC 26000) On peut s attendre à une évolution normative (d origine anglo-saxonne) de tout le secteur s appuyant sur de la certification par des tiers de confiance et sur de l évaluation par des experts, dans un cadre général de responsabilité sociale d entreprise Les CERT, ou plus généralement les CSIRT, seront des partenaires naturels dans cette évolution

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back