La sécurits curité des TI : Comment accroître votre niveau de maturité en sécurits curité Atelier 315 Par : Sylvain Viau Luc Boudrias
Plan de la présentation Qui sommes-nous? Pourquoi la sécurité de vos TI est-elle importante? Comment définir le bon niveau de sécurité requis? Résultats d un sondage réalisé dans le réseau Les constats Les bonnes pratiques (la norme ISO 27001) Que faire? Une proposition (un projet de partenariat) Conclusion Vos questions
Qui sommes-nous? Sylvain Viau Certifications CISA, pm, TP, BSI 27 ans d expérience en sécurité militaire et civile Ex président de l Association de la sécurité informatique du Montréal Métropolitain (2005-06) et du CQSI (2004-2005) Spécialisé dans l évaluation en sécurité pour les banques, les organismes publics, les entreprises manufacturières et de service Luc Boudrias CA, CA-TI, consultant en démarche stratégique TI tels plan directeur, plan de sécurité, plan de continuité, modèle de gouvernance 23 ans d'expérience dont 15 ans comme gestionnaire dans le réseau de l'éducation Connaissance des normes ISO 17799, 27001, des pratiques selon ITIL, COBIT et des méthodologies comme Mehari et Ebios
Pourquoi la sécurits curité de vos TI est-elle elle importante? Vos obligations (légales,contractuelles et morales) Votre crédibilité La protection des informations Le bon fonctionnement de vos opérations La relève de vos activités stratégiques La formation de votre clientèle (sensibilisation, responsabilisation)
Les menaces Divulgation non autorisée d information Poursuite en responsabilité Perte de données Modification d information sans autorisation Utilisation non autorisée de votre infrastructure Perte $$
Comment définir d le bon niveau de sécurits curité requis?
Introduction avec la méthode m EBIOS La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité ) propose une grille d évaluation permettant d établir le niveau de maturité, en se référant à certains paramètres de la norme ISO/IEC 21827,17799. Elle propose ensuite une évaluation de 16 volets reliés à la sécurité des TI.
Les niveaux de maturité selon EBIOS 5- En amélioration constante (processus d amélioration continue) 4- Contrôlé qualitativement (établissement de buts mesurables, gestion objective de la performance) 3- Standardisé (formalisé, utilisation et mise en œuvre de processus définis, coordination des pratiques) 2- Formalisé avec certaines règles définies (pas publié, pas d approche globale) 1- Informel (mise en œuvre de pratiques de base) 0- Non réalisé (pas de mise en œuvre)
Comment évaluer le niveau de maturité Selon deux axes Le niveau de menace, comportant : Le niveau d attractivité environnement opérationnel secteur d activités Le niveau de vulnérabilité interconnexion homogénéité sous-traitance Le niveau d adhérence importance des TI effet de la perte des systèmes effet de la modification des données effet de la divulgation
Grille d éd évaluation du niveau de maturité 1 Niveau de maturité SSI adéquat Niveau de menace 0 1 2 3 2 Niveau d'adhérence 0 0 1 2 3 1 1 2 3 4 2 2 3 4 5 3 3 4 5 5 3
16 volets reliés à la sécurits curité des TI à évaluer la politique de sécurité l organisation de la sécurité la gestion des risques la sécurité et le cycle de vie l assurance, la certification les aspects humains la continuité des activités la gestion des incidents la sensibilisation, la formation l exploitation les aspects physiques et l environnement l identification, l authentification le contrôle d'accès logique la journalisation les infrastructures de gestion de clés cryptographiques les signaux compromettants
Résultats d un d sondage réalisé dans le réseaur Message important Le sondage a été réalisé auprès de quelques commissions scolaires entre les mois de janvier et octobre 2006 dans un contexte de sensibilisation. Les résultats doivent être interprétés avec prudence et réserve.
Résultats du sondage- niveau de maturité Le niveau de maturité requis se situe entre 3 et 5 Attractivité et vulnérabilité faible à important Niveau d adhérenceimportant Niveau de maturité Niveau de menace SSI adéquat 0 1 2 3 0 0 1 2 3 Niveau 1 1 2 3 4 d'adhérence 2 2 3 4 5 3 3 4 5 5 Attractivité et vulnérabilité faible à important Niveau d adhérencetrès important Niveau de maturité Niveau de menace SSI adéquat 0 1 2 3 0 0 1 2 3 Niveau 1 1 2 3 4 d'adhérence 2 2 3 4 5 3 3 4 5 5
Résultats du sondage - 16 volets concernant la sécurits curité Politique de sécurité 5 Signaux compromettants Organisation de la sécurité Infrastructures de gestion de clés cryptographiques 4 3 Gestion des risques, sécurité des systèmes d'information Journalisation 2 1 Sécurité et cycle de vie Contrôle d'accès logique 0 Assurance et certification Identification / authentification Aspects humains Aspects physiques et environnement Exploitation Sensibilisation et formation Planification de la continuité des activités Gestion des incidents Résultats actuels cible Le sondage a été réalisé auprès de quelques commissions scolaires entre les mois de janvier et octobre 2006 dans un contexte de sensibilisation. Les résultats doivent être interprétés avec prudence et réserve.
Les bonnes pratiques ISO 27001
ISO 27001 La norme internationale ISO 27001 est structurée en quatre étapes récurrentes (planifier, mettre en œuvre, vérifier, améliorer) afin de respecter le principe de la roue de Deming, issue du monde de la qualité.
La norme ISO 27001 - approche diagnostique Situer l organisme dans les 11 différents domaines de sécurité en considérant : Intégrité Confidentialité Disponibilité 39 objectifs de sécurité, 133 mesures. Norme internationale avec possibilité de vous qualifier au standard.
Les domaines de sécurits curité selon ISO 27001 Politique de sécurité Organisation de la sécurité Classification et contrôle des actifs Sécurité des ressources humaines Sécurité physique et sécurité de l environnement Gestion des communications et des opérations Contrôle des accès Acquisition, développement et maintenance des systèmes Gestion des incidents en sécurité de l information Gestion de la continuité des activités de l organisme Conformité
Graphique illustrant les résultats r et l ordonnancement des travaux à réaliser selon la norme ISO 27001 Conformité Politique de sécurité 5 4 Organisation de la sécurité de l'information Gestion de la continuité des activités 3 2 Gestion des actifs 1 Gestion des incidents en sécurité de l'information 0 Sécurité des ressources humaines Acquisition, développement et entretien des systèmes Sécurité des bâtiments et des équipements Contrôle des accès Gestion des communications et des opérations Situation actuelle Cible à atteindre Exemple pour un diagnostic réalisé dans le réseau
Les commentaires * Les utilisateurs sont moins vigilants et alertes parce qu ils présument que les contrôles en place sont suffisants et bien gérés par l organisation. Une meilleure communication des risques change la perception des utilisateurs. Selon une étude rapportée par OCDE (2003), une bonne proportion des entreprises n ont pas fait de la sécurité un objectif stratégique. * Tiré d une présentation effectuée par Jacques Bergeron, professeur HEC
Les commentaires * Vous êtes confrontés quotidiennement à des éléments de risques, ce qui a pour effet d atténuer votre niveau de tolérance. Vous considérez que le risque est plus important au niveau des événements visibles (virus, pourriels), parce que quantifiables et contrôlables. Vous accordez beaucoup moins d importance aux événements rares (sinistre, feu ), parce qu ils sont difficilement quantifiables et peu probables. * Tiré d une présentation effectuée par Jacques Bergeron, professeur HEC
Les constats Beaucoup d importance à la protection physique et à l entretien des systèmes Préoccupation relative aux ressources humaines Peu de politiques ou de règles de gestion pour la sécurité Pas de structure organisationnelle pour la sécurité Pas d inventaire des actifs avec catégorisation Peu de documentations Gestion insuffisante des incidents Plan de continuité à formaliser Pas assez d argent ($) consacré à la sécurité de l information
Comment faire pour accroître votre niveau de maturité en sécurité?
Plan d actionsd État de situation (indicateurs, point de départ ) Préparation d une politique ou d une règle de gestion Définition d une structure organisationnelle avec identification formelle de certaines responsabilités Inventaire de vos actifs informationnels avec catégorisation Sensibilisation, communication Instauration d un processus pour l annotation des incidents en sécurité
État de situation Identifier votre niveau actuel en comparaison avec certains indicateurs Identifier les cibles à atteindre Préciser les moyens et les objectifs visés
Politique - quelques considérants relatifs au contenu Objectif(s) Portée Responsabilité(s) Mise à jour Application Principes directeurs Vérification, conformité Sanctions, conséquences
Structure organisationnelle - quelques actions Au niveau stratégique Confirmer les orientations Préciser les rôles et responsabilités Obtenir l engagement des détenteurs d enjeux Au niveau tactique Voir à la formation d un comité de sécurité Au niveau opérationnel Voir à la nomination d un responsable de la sécurité
Inventaire des actifs informationnels avec catégorisation Faire en sorte d identifier pour chacun des actifs : L importance des données véhiculées Le caractère stratégique L'importance quant à l'intégrité Le niveau de confidentialité requis La nécessité de mettre en place : Des mécanismes d'authentification Des mécanismes d'irrévocabilité L importance de la disponibilité des données véhiculées
Gestion des incidents Mettre en place un processus de gestion des incidents de sécurité permettant: D annoter et de catégoriser les incidents D instaurer une grille de priorités et de cibles de résolution D extraire, pour fin d analyse, certaines données
Sensibilisation et communication Il faut démontrer à la haute direction les bénéfices et avantages associés à un programme de gestion de la sécurité. Comment? Faire le lien entre la valeur de l information (inventaire des actifs et classification) et les objectifs d affaires de votre organisation Identifier le niveau actuel de maturité des utilisateurs concernant la sécurité et préparer un programme de sensibilisation * Tiré d une présentation effectuée par Jacques Bergeron, professeur HEC
Sensibilisation et communication Préparer un programme de sensibilisation Identifier les risques et les facteurs humains concernés Identifier les types de clients et leurs caractéristiques Concevoir des messages et des activités Réaliser des activités de sensibilisation Évaluer les résultats Faire un suivi
Conclusion Cette démarche permet de confirmer l Importance d accroître votre niveau de maturité en sécurité des TI en posant les actions appropriées.
Proposition Accompagner un groupe de commissions scolaires dans la mise en place d un programme d amélioration de la gestion de la sécurité.
Proposition Réaliser un diagnostic de votre situation en utilisant une méthode reconnue et normalisée Proposer un plan d action en concertation avec les autres partenaires Accompagner le groupe dans la réalisation des travaux : Fournir expertise, modèle de référence et aide Assurer la gestion du projet Coacher et aider à la mise en oeuvre Assurer le transfert des connaissances Instaurer un processus d amélioration continue
Vos questions?
Pour plus d informationd Téléphone : (514) 266-4665 Courriel : luc.boudrias@grics.qc.ca