1. La sécurité applicative



Documents pareils
Panorama général des normes et outils d audit. François VERGEZ AFAI

L évolution du modèle de la sécurité des applications

curité des TI : Comment accroître votre niveau de curité

La politique de sécurité

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

La classification des actifs informationnels au Mouvement Desjardins

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

JOURNÉE THÉMATIQUE SUR LES RISQUES

Standard de contrôle de sécurité WLA

Règlement sur l utilisation et la gestion des actifs informationnels

Vector Security Consulting S.A

ISO/CEI Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

L'infonuagique, les opportunités et les risques v.1

Politique de sécurité de l information

Chapitre 2. Le contrat et les concepts de base de en assurance

Activité auxiliaire Activité réputée appuyer ou assurer la prestation d un service pour faciliter les opérations d assurance ou les placements.

Prestations d audit et de conseil 2015

ISO/CEI 27001:2005 ISMS -Information Security Management System

Management de la sécurité des technologies de l information

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Politique de remboursement pour la conférence annuelle du CATON Concernant les DÉPENSES DE VOYAGE DES PARTICIPANTS

isrs 7 Améliorer la performance Sécurité, Environnement et Opérationnelle

ASSURANCE COLLECTIVE ACCIDENT VÉHICULE DE TRANSPORT PUBLIC CERTIFICAT D ASSURANCE

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

Concours En route vers mon premier gala JPR RÈGLEMENT DE PARTICIPATION

ISO/CEI Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences

ISO la norme de la sécurité de l'information

Demande de permis Candidats du cheminement CPA, CA

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Banque Zag. Troisième pilier de Bâle II et III Exigences de divulgation. 31 décembre 2013

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

CHARTE DU CORRESPONDANT MODELE TYPE

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Plan de Reprise d Activité

FAQ LES ÉTUDIANTS INTERNATIONAUX ET L IMPÔT SERVICE DE SOUTIEN À LA DÉCLARATION DE REVENUS 2012

Politique de gestion des risques

POLITIQUE SUR LES FRAIS DE FONCTION ET DE CIVILITÉS. Modification :

Introduction à l ISO/IEC 17025:2005

L Agence du revenu du Canada protège l accès au système pour utilisateurs

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

RECOMMANDATIONS PROPOSÉES

DEVENIR TUTEUR DANS LE MEILLEUR INTÉRÊT DE L ENFANT

When Recognition Matters

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Stratégie IT : au cœur des enjeux de l entreprise

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

D ITIL à D ISO 20000, une démarche complémentaire

Rapport de certification

CONDITIONS GÉNÉRALES D ADHÉSION À L ASSURANCE COLLECTIVE

Comment protéger ses systèmes d'information légalement et à moindre coût?

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

RÈGLEMENTS DU CONCOURS Gagnez une certification en ligne SMART

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Classification : Non sensible public 2 / 22

Déterminer quelle somme dépenser en matière de sécurité des TI

VERSION ENRICHIE DU STANDARD SUR LE CLAVIER QUÉBÉCOIS (SGQRI 001)

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

MÉMOIRE CONSEIL QUÉBÉCOIS DU COMMERCE DE DÉTAIL SUR LE DOCUMENT DE CONSULTATION VERS UN RÉGIME DE RENTES DU QUÉBEC RENFORCÉ ET PLUS ÉQUITABLE

Veuillez lire les présentes modalités et conditions du service (les «CONDITIONS») avant d utiliser le présent site.

Charte de Qualité sur l assurance vie

RÈGLES DE CERTIFICATION D ENTREPRISE

Partir en toute. assurance PARTOUT DANS LE MONDE

ITIL V2 Processus : La Gestion des Configurations

CaRMS en ligne Guide d aide pour les candidats Connexion à la plateforme CaRMS en ligne et remplir votre candidature

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

Modèle Cobit

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Principes anti-blanchiment de Wolfsberg pour les banques correspondantes

Programme de Certification en Business Analysis

Crédits d impôt pour la recherche scientifique et le développement expérimental («RS&DE»)

Commentaires de l ICÉA à la Commission canadienne de l UNESCO - Suivi de CONFITEA VI page 2

Statistiques de finances publiques consolidées

Liste des recommandations

3. NORMES RELATIVES A LA CERTIFICATION DES COMPTES ANNUELS CONSOLIDES

Conditions d utilisation de la Carte Scotia MD SCÈNE MD*

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Brève étude de la norme ISO/IEC 27003

Pré-requis Diplôme Foundation Certificate in IT Service Management.

5.11 Programme de subventions aux entreprises adaptées

exemple d examen ITMP.FR

Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Janvier 2014

Politique de gestion documentaire

Chapitre 9 : Informatique décisionnelle

Transcription:

ISO 27034 Caractéristiques et avantages pour les entreprises 1. La sécurité applicative v Quel est le poids de la sécurité applicative par rapport à la sécurité de l'information et par rapport à la sécurité IT dans une organisation? La sécurité applicative couvre un domaine plus large que le seul développement applicatif. Elle s intègre dans la sécurité d infrastructure qui est un sous-ensemble de la sécurité de l information. Considérant que le management devrait consacrer une enveloppe de 100 à la sécurité de l information, la part relative de la sécurité applicative (dans laquelle est intégrée la sécurité des infrastructures) reviendrait donc à 85-90 de cette enveloppe. Voici pourquoi : 1. Sécurité de l'information a) La sécurité applicative s exerce, en ce sens, à deux niveaux au sein de la sécurité de l information : i. premier niveau, organisationnel => gestion de la sécurité de l ensemble des applications utilisées par une entreprise (ISO 27034-2) ii. deuxième niveau, applicatif => gestion de la sécurité d une application particulière (ISO 27034-3) b) ISO 27034 envisage aussi la relation entre ces niveaux d étude en articulant les relations entre la sécurité d une application particulière au sein d un ensemble d applications d entreprise, et inversement (ISO 27034-4) 2. Sécurité applicative : Selon ISO 27034, la sécurité des applications est la sécurité de l information impliquée dans l utilisation d applications et des systèmes TI supportant les besoins métiers. NB : Cela inclut les technologies mais aussi les personnes et les processus impliqués dans l utilisation d une application. 3. Sécurité des TI : sécurité d infrastructure en entreprise, qui supporte l ensemble des systèmes et des applications. En ce sens la sécurité des TI est un sous-ensemble de la sécurité applicative.

v D'où proviennent la plupart des failles de sécurité des applications IT? Et quelles en sont les conséquences possibles? Les failles sont, ou non, importantes, selon les circonstances et les contextes multiples : ð Contexte métier ð Contexte technologique ð Contexte juridique Les exemples suivants démontrent que les dommages et inconvénients causés par la perte de la disponibilité, de la confidentialité ou de l'intégrité des informations reçues, traitées, conservées et communiquées par des applications peuvent parfois entraîner des conséquences très graves qui affectent tous les domaines métiers où des applications TI sont utilisées. Tableau 1.1 Synthèse par secteur d affaires, des cas et conséquences de bris de sécurité de l information impliquant des applications 1 Cas A causé une perte de C I D Conséquences Secteur médical a) 1985-1987, dysfonctionnement de l appareil de radiothérapie Therac-25 b) 1993, accès non journalisé des données des bénéficiaires de la CSST 1. Corruption des données du système 2. Mort de 3 personnes (sûreté) 3. Arrêt de l utilisation de l appareil 4. Poursuites judiciaires 1. Perte de confidentialité de données personnelles 2. Possibilité de modification non autorisée de données 3. Possibilité de destruction non autorisée de données Secteur des transports a) 2006, dysfonctionnement du système de transport rapide BART b) 2010, dysfonctionnement du logiciel de la voiture Prius de Toyota c) 2000 Panne dans un système de réservation de billets d'air Canada 1. Données erronées acceptées par le système 2. Ouvertures des portes lorsque le train était en marche 3. Arrêt et retard du train 1. Délai de traitement du signal de freinage trop long 2. Collisions et accidents de voiture 3. Rappels pour mises à jour du logiciel défectueux 4. Poursuites judiciaires 1. Indisponibilité des systèmes durant la panne 2. Retards et annulations de plusieurs vols 3. Paiement de fais de séjour aux personnes ayant manqué leurs correspondances Secteur financier a) 2004, panne à la Banque Royale du Canada b) 2007, panne à la Banque CIBC 1. Indisponibilité des comptes de 2,5 millions de clients durant la panne 2. Frais causés par les retards de transactions devant être réalisées 1. Perte d'information de 470 000 Canadiens 2. Perte du fichier de sauvegarde 3. Investigation du vérificateur général du Canada 1 Source : Luc Poulin, Thèse de doctorat «La sécurité des applications en technologie de l information Une approche d intégration des éléments de sécurité dans le cycle de vie des applications et des systèmes d information», 2015, École des technologie supérieure, pp. 256.

Tableau 1.1 Synthèse par secteur d affaires, des cas et conséquences de bris de sécurité de l information impliquant des applications (suite) Cas A causé une perte de Conséquences a) 2005, arrêt d applications liées à l'impôt sur le revenu des particuliers québécois 1. Perte de revenu pour le Gouvernement du Québec Secteur gouvernemental a) 2005, problèmes des systèmes de votation électronique 1. Doutes sur le résultat des élections 2. Perte de la confidentialité d'une partie de la liste électorale 3. Enquête du DGÉQ 4. Moratoire interdisant le vote électronique au Québec 5. Pertes de contrats de plusieurs millions b) 2004, panne du système d'approbation du paiement des prêts et bouses 1. Des milliers d'étudiants sans prêts ni bourses pour la rentrée Systèmes des communications a) 1992, panne du système 911 de Londres b) 2003, accès d administration aux routeurs Cisco 1. Impossibilité pour un citoyen de faire un appel à l aide 2. Retard dans les délais d intervention des équipes de secours 3. 20 décès qui auraient pu être évités 1. Modifications possibles des données d'administration du routeur 2. Accès possible aux données reçues et transmises par le routeur 3. Arrêt possible de service du routeur Défense et aérospatiale a) 1991, corruption de la mémoire des missiles antimissiles Patriote 1. Perte de précision du missile 2. N'est plus en mesure d'intercepter des missiles 3. 29 soldats tués, 97 blessés a) 2010, dysfonctionnement 1. Faille permettant le téléchargement et l'installation automatique du composant de mise à de logiciels malicieux Secteur personnel jour du navigateur Web Firefox b) 2010, divulgation d information non autorisée, iphone et Android 2. Perte possible d intégrité, de confidentialité et de disponibilité des informations accessibles par l utilisateur 1. Transmission de données personnelles sans autorisation 2. Perte possible de la confidentialité des informations de l utilisateur

v Quels sont les risques majeurs pour le business? Faillite de l entreprise Perte financière inacceptable due o à une baisse de la clientèle ; o au coût de remplacement des informations perdues/divulguées/corrompues ; o à la perte de la réputation de (confiance envers) l organisation. Cela étant, en gestion de la sécurité applicative, la question n est pas tant de savoir quels sont les risques majeurs que d identifier quels sont les impacts (conséquences) pour l entreprise en cas de failles avérées dans les applications (voir le tableau 1.1 ci-dessus). 2. Cibles v Les organisations comprenant un nombre important d'applications et détenant des informations sensibles sont les plus concernées. Mis à part les banques, quelles entreprises/institutions sont les plus vulnérables? Nous préférons répondre en envisageant les secteurs dans lesquelles les entreprises sont actives et pour lesquels les impacts de sécurité applicative pourraient avoir le plus de gravité pour les personnes, puis les biens. En ce sens, nous identifions formellement 4 secteurs potentiellement plus vulnérables que le secteur financier par rapport à ces impacts, notamment : 1. Systèmes de santé 2. Transports de personnes 3. Défense et aérospatiale 4. Agences gouvernementales 5. Autres secteurs (incluant, personnel et systèmes de communication) v Est-il préférable pour une organisation d externaliser ou de conserver les métiers d'auditeur et d'implémenter elle-même la sécurité applicative? Stratégiquement : On conserve la gestion de la sécurité des applications (conception, la gestion et le maintien du cadre normatif organisationnel de la sécurité applicative). Tactiquement et opérationnellement : On peut externaliser les activités et tâches liées à l implémentation des processus et des contrôles ainsi que leur revue/audit. NB : Cette deuxième approche constitue la plus grosse part du travail. Elle couvre plus de 75% de l effort de mise en œuvre. La norme ISO 27001, et principalement le domaine 15 (gestion des relations fournisseurs), ainsi que la norme ISO 27036 peuvent aider à définir les frontières et exigences pour réussir à bien cadrer ces activités. v Quel est le meilleur profil au sein d'une organisation pour pérenniser un écosystème de sécurité applicative? En mode opérationnel pur, l objectif ultime de la mise en œuvre du référentiel ISO 27034 est de fournir à l organisation les moyens de planifier, mettre en œuvre, surveiller et maintenir un système cohérent de gestion de la sécurité des applications. Dans cette perspective, le rôle le plus approprié n est donc pas unique mais réparti entre les différentes responsabilités en matière de sécurité des applications au sein de celle-ci.

En mode de mise en œuvre (projet), c est le Certified Application Security Lead Implementer (CASLI) qui servira de tuteur/moniteur aux différents rôles opérationnels touchés par la sécurité des applications. Cette tâche peut être dévolue à un des rôles suivants au sein de l entreprise, dans l ordre de l importance de leur contribution à la réussite de la mise en place du référentiel et des contrôles associés : Senior Manager, Chefs d équipe de développement logiciel (rôle le plus communément associé à cette certification), Project managers en développement logiciel, Information Security Manager (plutôt orienté software), Administrateurs d applications, Propriétaires d application (seul capable d identifier et faire assumer le risque par l entreprise) 3. La norme internationale ISO/IEC 27034 Application Security v Quel sont les grands principes/grandes étapes de la norme ISO 27034? Le principe de base soutenu par ISO 27034 est, à travers un cadre de gestion adéquat, de faire évoluer, le l objectif de sécurité des applications, sur demande du management, vers un niveau de confiance cible mesurable et approuvé par l organisation. Ces principes se traduisent à travers deux parcours complémentaires : 1) Le processus de gestion du cadre normatif de l organisation (CNO) : a) Gestion du comité du CNO b) Elaboration du cadre (CNO) c) Implémentation de la sécurité dans le CNO d) Surveillance et révision de la sécurité des applications dans le CNO e) Audit de la sécurité applicative dans le CNO f) Amélioration de la sécurité des applications dans le CNO 2) Le processus de gestion de la sécurité d une application a) Identification des besoins et de l environnement de l application b) Evaluation des risques de sécurité amenés par l application c) Création et maintien du cadre normatif de l application, d) Réalisation et opérations de l application e) Vérification de la sécurité de l application v La norme ISO 27034 s'intègre-t-elle facilement avec 27001 et 27005? ISO 27034 est conçu pour supporter les besoins d ISO 27001 en matière de sécurité de l information dans le domaine de la sécurité des applications. ISO 27001 identifie les ressources informationnelles à protéger, tandis que ISO 27034 protège et apporte les preuves que c est réalisé, de même que fournir les processus permettant de prendre en compte les exigences de ISO 27001 et de lui retourner les résultats d évaluation compatibles une fois les activités de sécurité des applications effectuées. L annexe C d ISO 27034 présente l alignement possible avec la démarche et les exigences d ISO 27005 dans un contexte de gestion des risques en sécurité de l information. Egalement, la partie 3 d ISO 27034 fournit des éléments à inclure dans une analyse de risques en sécurité applicative, en respectant les critères d ISO 27005.

v Qu'apporte la norme aux organisations qui ont déjà mis en œuvre une démarche de sécurité des applications? Elle permet aux organisations plus petites ou moins matures en SA d identifier les activités qui leur manquent en matière de gestion de la sécurité des applications, spécifiquement les activités reliées à : 1) La conception, en développant une vision organisationnelle de la Sécurité des Applications (SA) qui permette : a) d identifier, de développer, de valider et de vérifier des contrôles de sécurité (CS) b) d identifier et d intégrer des CSa requis pour une application durant tout son cycle de vie c) de normaliser les activités et les CSA dans les projets d applications de l organisation d) d appliquer les CSA autant sur les personnes, les processus, et sur la technologie e) de fournir les preuves qu une application a atteint et maintient le niveau de confiance ciblé, en fonction d un contexte d utilisation spécifique 2) La vérification, en produisant un cadre de la SA qui soit : a) approuvé par une organisation internationale de normalisation b) vérifié par des instances nationales compétentes c) acceptable et applicable dans l industrie 3) La diffusion, en rendant le CNO (en tant que source d exigences définies par l organisation) accessible à toute organisation désirant mettre en place ou vérifier la Sécurité des Applications. Elle permet aux organisations plus largement déployées d aligner leurs activités existantes, notamment en : Appliquant les CSA autant sur les personnes, les processus, et la technologie Facilitant la communication et l échange des contrôles de sécurité applicative Minimisant les risques d incompréhension et de mauvaise évaluation des exigences et des impacts de la SA dans les projets Alignant la SA selon différentes méthodes de développement au sein d une même organisation ou de plusieurs entités utilisant des référentiels différents De plus, la mise en œuvre et le respect des exigences de la norme ISO 27034 : ð permet d avoir une vision globale des éléments de SA ð permet l intégration des activités de sécurité dans les processus existants de l organisation, en intégrant notamment les CSA requis durant ce cycle ð couvre les étapes de réalisation et d opération du cycle de vie de l application, en normalisant les activités et les CSA dans les projets d applications de l organisation ð définit des niveaux de confiances, qui identifie des listes de Contrôles de Sécurité des Applications (CSA) à mettre en place ð identifie et valide des CSA vérifiables ð rend la sécurité des applications mesurable, en fournissant les preuves qu une application a atteint et maintient le niveau de confiance ciblé, en fonction d un contexte d utilisation spécifique ð n exige pas une mise en place de tous les éléments proposés par la norme mais permet à une organisation de se définir une stratégie de mise en place de la SA qui tient compte de ses priorités, de ses ressources limitées et de son métier particulier.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back