12 mai 2014 QSE : qualité et gouvernance des systèmes d information Module n 1 : les processus d'intégration de la dans les projets SI
Agenda 1. Introduction 2. Une démarche-type d'isp 2
Introduction Pourquoi la dans les nouveaux projets? Tout changement sur le SI induit de nouveaux risques de de l information Introduction d un nouveau composant Modification d un composant existant Des risques pour le Métier Des risques pour l ensemble du SI Si les besoins de du Métier ne sont pas pris en compte Ex: divulgation de données sensibles, indisponibilité d une application, etc. Si le changement induit de nouvelles failles de sur le SI Ex: ouverture du SI à l extérieur, nouvelles vulnérabilités techniques, etc. Le Métier doit être partie prenante de la démarche Le RSSI doit garantir le niveau global de pour le SI La réflexion liée à la doit être réalisée lors de tout changement sur le SI, notamment lors de la conduite de projets SI 3
HORS PERIMETRE PERIMETRE Introduction Application de la démarche d Intégration de la Sécurité dans les Projets Généralement tous les nouveaux projets SI Applicatifs et d infrastructure Réalisés en interne et externalisés Basé sur un développement spécifique et basé sur un outil de marché Idéalement, les maintenances évolutives importantes Maintenances menées en mode projet Traitement de l intégration de sur le périmètre de maintenance Les changements mineurs Maintenances correctives Montées de versions mineures Modification de données en production Le SI existant 4
Introduction Enjeux de la méthodologie ISP 1 Prendre en compte au plus tôt les risques SSI dans les projets SI Pour prévenir les incidents de Pour mettre en place un SI intrinsèquement sécurisé, plutôt que de sécuriser un SI déjà en place 2 Disposer d un SI offrant un niveau de en adéquation avec les besoins Métiers et de l entreprise En adéquation avec la sensibilité exprimée par les Métiers et le niveau de risques accepté par le Métier En adéquation avec les standards de de l entreprise 3 Aider les chefs de projets à acquérir les réflexes pour intégrer les aspects de la de l information Sans que la n apparaisse seulement comme une contrainte (complexité, délai; coût ) 5
Introduction Comment s inscrit l ISP dans une gouvernance? 1 Dans la Politique de Sécurité du SI Pour les politiques alignées ISO 27002, souvent une directive dédiée à la dans les projets informatiques Chapitre 12 : mesures 12.1 : applicables aux SI et 12.2 : bon fonctionnement des applications 2 Dans le Plan d actions Après avoir mené les principaux chantiers transverses de sécurisation de l infrastructure Antivirus, gestion des accès, etc. le RSSI décide souvent de sécuriser les applications sensibles de manière spécifique 3 Lors d une certification ISO 27001 L ISP est un chantier généralement obligatoire lorsque des activités de développement sont dans le périmètre de certification 6
Agenda 1. Introduction 2. Une démarche-type d'isp 7
Livrables Phases Intégration de la Sécurité dans les Projets Phases projet Une démarche type d intégration de la dans les projets Objectif : s assurer que la est prise en compte tout au long du projet Un pré-requis facilitateur : disposer d une méthode de gestion de projet d entreprise Étude préalable Réalisation du Projet Production Etude opportunité Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse Analyse de risque SSI Définition des MOE des Recette des Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la en MCO Participation aux Comités Projet Fiche de qualification Expression des besoins de Scénarios de risques Spécifications fonctionnelles Spécifications techniques Cahier de recette Dossier d exploitation Processus Métiers Aspects intégrés dans les documents existants 8
Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Appréciation de la sensibilité du produit Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Une première étape incontournable : l identification des projets les plus sensibles en termes de, afin de prioriser et d optimiser les efforts Appréciation par les Métiers / les MOA sur la base d un questionnaire simple lors du démarrage des projets Décision de la fonction de suivre la méthode ISP en fonction de la sensibilité Avec un mode dérogatoire lors de la phase de mise en place de la méthode Dans le cas de projets non sensibles : Pas de suite Dans le cas de projets sensibles : La méthode ISP doit être appliquée De manière complète ou simplifiée en fonction de la sensibilité Risques IT : utilisation de nouvelles technologies, ouverture sur des réseaux extérieurs, externalisation Exigences métiers : besoin de confidentialité, de dispo Points d attention S assurer d avoir une vue exhaustive des projets SI lors de leur démarrage Construire le questionnaire de manière à pouvoir faire varier la taille de la «maille» de sélection des projets éligibles à la méthode ISP Afin de pouvoir démarrer par le suivi des projets les plus sensibles en termes de et généraliser la démarche progressivement 9
Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Etude opportunité Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Détails de la démarche type d ISP Analyse de risques SSI du produit Pré-analyse Analyse de risque Définition des MOE des Participation aux Comités Projet Recette des Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la en MCO Objectif Une analyse de risques SSI à réaliser seulement pour les projets identifiés comme sensibles Permettant d identifier et de quantifier les risques portant sur le produit Impliquant à la fois Les Métiers pour analyser les enjeux et les attentes particulières Le Chef de Projet MOA transverse pour s assurer de la complétude de la réflexion Les responsables MOE et l exploitation pour identifier les menaces et les vulnérabilités potentielles pesant sur le produit Eventuellement les risk-managers pour valider le niveau de gravité des risques et pour comparer les niveaux de gravité d un projet à l autre Un support pour expliquer et faciliter la démarche d analyse de risques Les résultats de l analyse de risques peuvent alimenter l étude d opportunité en chiffrant les coûts liés à la Points d attention Une méthodologie à définir en cohérence avec les démarches de classification et d analyse de risques de l entreprise (notamment pour les échelles de classification) Un effort particulier pour faire accepter les risques résiduels par les Métiers eux-mêmes 10
Accepter Refuser Transférer Réduire Détails de la démarche type d ISP Analyse de risques SSI du produit un livrable type APPRECIATION DU RISQUE SSI TRAITEMENT DU RISQUE SSI Option de traitement Menaces Critères impactés Scénarios de risque Actifs impactés Vulnérabilités Probabilité Impact retenu Gravité Thème 3 Compromission des informations et des traitements 7. Écoute passive C Interception des flux echangés par l'application par un internaute X 8. Vol de supports ou de documents C interception courrier postaux ou email 9. Vol de matériels D, C 10. Récupération de supports recyclés ou mis au rebus 11. Erreur d'utilisation I N/A Utilisation de données présentes sur les serveurs Les supports recyclés sont systématiquement effacés Erreur d'utilisation au niveau des flux utilisateurs (exemples : suppression d'utilisateur, saisies d'informations erronées, ) Pas de chiffrement des flux (http) 1 1 1 x email non chiffrés, et courrier envoyé en non recommandé 1 1 1 x Pas de cryptage des données 1 1 1 x N/A Interfaces d'utilisation sont compliquées pour la MOA 2 2 2 x 12. Abus de droit / Divulgation I,C 12. Abus de droit / Divulgation I,C 13. Usurpation de droit C Thème 4 Défaillances techniques Attribution de droits à des personnes non habilitées (ex. visibilité ou accès en modification sur certaines données "sensibles" : données de rémunération) Diffulté d'utilisation des journaux des événements Connexion avec le profil d'un autre administrateur Gestion de Profil non déterminé ou mal déterminé 3 2 3 x Pas de suivi des journaux 2 1 1 x x Pas de changement régulier des mots de passe Pas de gestion durcie de la politique des mots de passe 2 2 2 x 16. Panne matérielle / Dysfonctionnement du matériel D,I Panne de l'application suite à souci matériel Ensemble des actifs Absence de PCIT pour l'application 1 1 1 x 17. Saturation du système informatique D,I Sous-dimensionnement de l'application Pas de test de montée en charge 2 3 3 x 18. Dysfonctionnement logiciel D,I 18.1. Mauvaise conception ou installation des logiciels incidents récurrents sur l'outil Caméléon 3 3 3 x 11
Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Définition et mise en œuvre des Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Identification des à prendre en compte pour chacun des acteurs La MOA pour le cahier des charges ou l appel d offres dans le cas du choix d un outil du marché La MOE pour les spécifications fonctionnelles et techniques, le développement et l intégration L exploitation Sur cette base, l expert a en charge de valider les aspects des différents livrables Spécifications fonctionnelles et techniques, dossier d architecture technique Dossier d exploitation, processus d exploitation Métiers (habilitations, formation des utilisateurs, PCA ) Points d attention Le choix des mesures de doit se baser sur un catalogue de spécifications fonctionnelles de, associées à chaque niveau de risques Les solutions de implémentées dans un projet peuvent être rationalisées et réutilisées dans d autres projets (ex: PKI, cloisonnement, etc.) Des projets connexes à mener dans un second temps Définition d un catalogue standard de solutions de (en collaboration avec les architectes) Rédaction de guides de développement (J2EE,.net ) Rédaction de guides de sécurisation (OS, IIS, Websphere ) 12
Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Etude opportunité Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Détails de la démarche type d ISP Recette et mise en production Pré-analyse Analyse de risque Définition des MOE des Participation aux Comités Projet Recette des Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la en MCO Objectif Réalisation d une recette lors des recettes fonctionnelle et technique Pour valider la prise en compte des mesures définies Pour valider leur efficacité Conduite de tests d intrusion pour les projets les plus sensibles Notamment pour les applications ouvertes à l extérieur Avis de la fonction avant la mise en production Bloquant ou consultatif pour la mise en production Portant notamment sur les risques impactant globalement le SI Des projets connexes à mener dans un second temps Intégration des scénarios dans les plans de tests Mise en place d un outil d audit du code Mise en place d un outil de scan de vulnérabilité 13
Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Participation aux Comités de Pilotage Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Participation de la fonction aux Comités de Pilotage de suivi des projets phare Pour avoir la vision des projets en cours En parallèle de toutes les étapes de l ISP, implication de la fonction dans les Comités de Pilotage importants de chacun des projets suivis Pour pouvoir fournir les recommandations lors des étapes de validation du projet (spécifications, dossier d architecture, etc.) Pour pouvoir participer au Comité de validation de la mise en production Pour être reconnu comme un acteur à part entière d un projet SI 14
Détails de la démarche type d ISP Suivi des déclarations CNIL Objectif La phase d appréciation de la sensibilité du projet a permis de valider si le projet manipule des données à caractère personnel Dans certains contextes, le RSSI assure le suivi de la réalisation des déclarations CNIL Points d attention Les déclarations CNIL doivent être rédigées par le propriétaire de l application, qui n est pas toujours un interlocuteur de l équipe projet de la DSI La déclaration CNIL doit être rédigée avant la mise en production Et demain? Projet de règlement européen sur les données à caractère personnel Privacy by design : la protection des données à caractère personnel dès la conception des traitements Passage d une bonne pratique à une obligation règlementaire Passage d une étape au sein de l ISP à un processus en tant que tel 15
Phases Intégration de la Sécurité dans les Projets Phases projet Étude préalable Réalisation du Projet Production Détails de la démarche type d ISP Suivi et contrôle du déploiement de la méthode ISP Etude opportunité Etude de faisabilité Pré-analyse Analyse fonct. Analyse de risque Conception détaillée Définition des Réalisation MOE des Participation aux Comités Projet Qualif. Recette Recette des Mise en prod. Audit de conformité Avis du RSSI avant mise en prod Maintenance (MCO) Prise en compte de la en MCO Objectif Assurer le suivi et le contrôle du déploiement de la méthode ISP Parmi tous les projets, pointer ceux qui doivent suivre la méthodologie Pour ceux qui suivent la méthodologie, valider que toutes les étapes sont réalisées Tracer l avis de la fonction relatif à la mise en production Insérer ces indicateurs dans les tableaux de bord existants Un livrable type 16
Une démarche type d ISP Les facteurs clés de succès Adopter une méthodologie pragmatique et outillée S intégrer dans la méthode existante de gestion de projet de l entreprise et définir une documentation lisible et simple Réaliser un catalogue des spécifications fonctionnelles de, puis un catalogue des solutions de disponibles Impliquer et faire adhérer les acteurs Une adhésion des Métiers pour obtenir une vision claire des besoins et des équipes opérationnelles qui voient surtout les contraintes de délai et de budget Un accompagnement par des experts indispensable pour la mise en application de la méthodologie ISP Mettre en œuvre progressivement la méthodologie Ancrer les actions de sensibilisation dans les processus existants 17
www.solucom.fr Contact Etienne CAPGRAS Consultant Sénior Tel : +33 (0)1 49 03 24 51 Mobile : +33 (0)6 67 49 45 35 Mail : etienne.capgras@solucom.fr
Une démarche classique de déploiement d une méthode ISP Analyse du processus de gestion des projets Définition des volets Réalisation d un pilote (facultatif) Formation Accompagnement à la mise en œuvre Analyser la documentation existante Rencontrer les acteurs principaux des équipes SI Synthétiser l existant et définir les orientations de la méthode Définir la méthodologie ISP Définir le Dossier Sécurité et les outils Intégrer la méthodologie ISP dans la démarche de gestion de projets de l entreprise Tester sur un projet en cours d initialisation Mettre à jour la méthodologie en fonction des retours Former les CP à la méthodologie ISP Définir l outillage de suivi de la mise en oeuvre Accompagner les projets dans la mise en oeuvre Entretiens Synthèse et orientations Méthodologie v0 Dossier Sécurité v0 Réunions pilote Méthodologie v1 Dossier Sécurité v1 Support de formation Outillage de suivi du déploiement Dossiers Sécurité renseignés 19