Atelier A 26 Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?
Intervenants Julien CAMUS Deputy Risk & Insurance Manager jcamus@paris.oilfield.slb.com Pascal LOINTIER Président du CLUSIF, Conseiller Sécurité de l Information CHARTIS pascal.lointier@clusif.asso.fr ; pascal.lointier@chartisinsurance.com François RENAULT Président de l AFAI, Associé Deloitte Conseil frenault@deloitte.fr Modérateur François BEAUME Responsable Risk Management fbeaume@dalkia.com 2
Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI? Les présentations de cet atelier seront sur www.amrae.fr à partir du 1er février 2010 3
Quelques illustrations (1/5) Panne de signalisation réseau de transport urbain Pannes informatiques bourse de Londres (LES) Piratage d informatique ambiante 4
Quelques illustrations (2/5) Panne de signalisation réseau de transport urbain Pannes informatiques bourse de Londres (LES) Piratage d informatique ambiante Lodz (Pologne), déraillement de 4 wagons par un adolescent 5
Quelques illustrations (3/5) Panne de signalisation réseau de transport urbain Pannes informatiques bourse de Londres (LES) Piratage d informatique ambiante «Exercice» de destruction d une turbine à partir d une faille de sécurité, depuis corrigée http://www.cnn.com/2007/us/09/26/power.at.risk/index.ht ml 6
Quelques illustrations (4/5) Panne de signalisation réseau de transport urbain Pannes informatiques bourse de Londres (LES) Piratage d informatique ambiante Bellingham (USA), 1999 : 3morts. Très récemment, le système informatique a été mis en cause également 7
Quelques illustrations (5/5) Panne de signalisation réseau de transport urbain Pannes informatiques bourse de Londres (LES) Piratage d informatique ambiante Défaillance système de fermeture automatique de prison : http://www.leprogres.fr/fr/permalien/article/1931250/roanne-nouvelle-panne-dusysteme-de-fermeture-automatique-d-une-prison.html 8
5 questions (ou plus) Au sein de votre structure : 1 - Quel historique lié à des défaillances SI? 2 - Qui prime : sécurité ou conformité? 3 - Quelle est la plus grosse exposition en terme de risque liés aux SI? 4 - Avez-vous connaissance du périmètre sous traité de prestations liées au SI? 5 - Envisagez-vous de vous ouvrir sur les réseaux sociaux en terme de moyen de communication? (ex: twitter) 9
Premiers constats Les Systèmes d Information sont : en évolution, voire mutation, constante, complexes à appréhender dans leur globalité, techniques certes, mais pas seulement. Les risques associés le sont également! 10
Sommaire Dynamique d'évolution des systèmes Quelle typologie? Et le comportement humain? Pour conclure 11
Dynamique Le Cloud computing, présenté comme une panacée par les vendeurs informatiques, s'appuie sur une technologie VM dans une architecture SAN et se décline en 3 modes SaaS, PaaS et IaaS tout en continuant à poser ou bien en amplifiant les problèmes pour 3 des critères DICT. Le seul mot peu usité : panacée, nf (pa-na-sée), remède universel Dans le cas contraire problème potentiel d évaluation des risques 12
Des abréviations qui cachent des risques www.acronymfinder.com pour un 1 er décodage Le cloud n est pas dans le ciel mais regroupé, avec les machines virtuelles (VM), dans des Centres Informatiques. Besoin de vigilances sur la : Disponibilité (par opposition aux SLA de 99,99 %...) Confidentialité (contre Intelligence économique) Traçabilité Conformité réglementaire Recherche de responsabilité (ex. RC) 13
14 99% désigne le fait que le service est indisponible moins de 3,65 jours par an
Cloud computing, virtualisation : haute indisponibilité parfois! Des effets secondaires : Temps de redémarrage des serveurs Crash des disques Destruction par incendie, le reste par inondation pour extinction Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients) Saisie des serveurs (FBI chez Core IP Networks, Texas) Perte de contrats (prestataire mais aussi pour l entreprise commerciale vis-à-vis de ses propres clients) 15
Evolution des architectures Globalisation : réseau informatique système d information web 2.0 ( ) Interopérabilité et interconnexion : Mainframe Clients-Serveurs Cloud Mobilité : Nomadisme Accès Internet Cf. convergence téléphonie (GSM) Internet des ordinateurs Avec IPV6, Internet de l objet (1ers téléviseurs accès RS) 16
Extension du Système d Information Management (Clients, Fournisseurs, etc.) Infogérance, outsourcing Téléphonie (VoIP) Production (ou logistique, régulation cf. SCADA) Services Généraux sur IP ( ) 17
Dynamique d (in)sécurité Mesure contre-mesure contre C-M Toute nouvelle technologie génère deux conséquences : Risque spécifique Détournement d emploi malveillant Automobile : dommages corporels et matériels, 1 er braquage de banque avec fuite en auto (bande à Jules Bonnot) Email : bombing, spam, phishing et début de l affaire Monica Lewinsky Photo de la cravate, n ayant pas eu accès à l email 18
1 ères conclusions L interopérabilité masque une complexité croissante avec une diffusion («virtualisation») des ressources et une dilution des responsabilités Nécessité d une analyse de risques et d une appréciation de la sécurité effective, logique et physique et en rapport avec les besoins des métiers. Votre assureur a-t-il un conseiller sécurité de l information? 19
Quelle typologie de risques liés au SI? Définition des risques liés au SI Risques liés à l usage des SI Risques liés aux projets SI Risques liés aux opportunités de l IT Synthèse des risques liés au SI 20
Définition des risques liés au SI Définition du référentiel RiskIT (ISACA 2009) : IT risk is business risk specifically, the business risk associated with the use, ownership, operation, involvement, influence and adoption of IT within an enterprise. IT risk consists of IT-related events that could potentially impact the business. 21
Risques liés à l usage des SI 22 Interruption de processus Suite à défaillance de l informatique ou des télécommunications Altération de processus Suite à modification non autorisée ou non maîtrisée d application informatique Altération de données Stockées sur support informatique ou en transit sur un réseau Divulgation d informations confidentielles Stockées sur support informatique ou en transit sur un réseau Absence de preuve Dans le cadre d opérations dématérialisées Infraction aux lois ou réglementations Portant sur les SI A l aide de systèmes informatiques
Exemple de scénarios (tirés de Méhari 2007) Scénario Scénario Cause 07 Manipulation de données 07.10 Données applicatives faussées pendant la transmission 07.20 Rejeu de transaction 07.30 Saisie faussée de données 07.40 Substitution volontaire de supports 07.50 Manipulation de fichiers 07.60 Falsification de message 08 Divulgation de données ou d'informations 08.10 Accès au système et consultation 08.20 Captation d'informations fugitives 08.30 Vol de documents écrits ou imprimés 08.40 Détournement d'informations en transit 08.50 Détournement d'informations temporaires générées par les systèmes 09 Détournement de fichiers de données 09.10 Accès au système et copie de fichiers de données applicatives 09.20 Vol de supports de données applicatives 09.30 Accès aux serveurs et copie de fichiers bureautiques 09.40 Détournement de code source 10 Perte de fichiers de données ou de documents 10.10 Effacement par bombe logique 10.20 Effacement de supports par virus 10.30 Effacement malveillant direct de supports 10.40 Perte accidentelle de fichiers 10.50 Vol de supports 10.60 Perte accidentelle de documents 11 Sinistre immatériel total 11.10 Effacement de fichiers par bombe logique 11.20 Effacement malveillant des supports 12 23Non conformité à la législation et à la réglementation 12.10 Attaque d'une tierce société 12.20 Violation des droits de propriété industrielle Cause 01 Indisponibilité passagère de ressources 01.10 Absence de personnel 01.20 Accident ou panne mettant hors service une ou plusieurs ressources matérielles 01.30 Bug logiciel 01.40 Impossibilité de maintenance 01.50 Vandalisme depuis l'extérieur 01.60 Vandalisme intérieur. 01.70 Indisponibilité totale des locaux 02 Destruction d'équipements 02.10 Catastrophe naturelle ou acidentelle 02.20 Incendie 02.30 Inondation 02.40 Terrorisme ou sabotage depuis l'extérieur 03 Performances dégradées 03.10 modification du logiciel 03.20 modification du matériel 03.30 Surutilisation accidentelle de ressources informatiques ou réseau 03.40 Surutilisation malveillante de ressources informatiques ou réseau 04 Destruction de software 04.10 Effacement de code exécutable ou de configurations 04.20 Ecrasement accidentel d'un disque fixe 04.30 Effacement accidentel de logiciel 04.40 Vol ou effacement d'un support amovible 04.50 Effacement ou destruction de configurations logicielles utilisateurs 05 Altération de logiciel 05.10 Altération malveillante des fonctionnalités prévues d'une application via une bombe logique ou une porte dérobée,... 05.20 Modification volontaire des fonctionnalités prévues d'une application informatique 05.30 Modification volontaire ou accidentelle des fonctionnalités prévues d'une fonction bureautique (macro-instruction, feuille de calcul, etc.) 06 Altération de données 06.10 Accident de traitement 06.20 Erreur de saisie
Risques liés aux projets SI 24 Gaspillage de ressources : Projet inutile car non aligné sur la stratégie de l entreprise Projet inachevé (par exemple suite à un choix de technologie inappropriée) Dépassement du budget Dépassement du délai Qualité ou performance insuffisante Contentieux car carence de contractualisation Retour sur investissement non obtenu
Risques liés aux opportunités de l IT Risque de ne pas profiter des opportunités apportées par l IT : Pour offrir de nouveaux produits ou services Et donc augmenter le revenu Pour réduire les coûts de production ou de fourniture Et donc réduire les charges 25
Synthèse des risques liés au SI 26 Extrait de RiskIT ISACA 2009
Un monde qui change 27
Et le comportement humain? Les enjeux de la sécurité de l information Exemple : perte de données Client Mesures de contrôle versus Management system 28
Les risques associés à la sécurité de l information Les "maillons faibles" du SI Brèche dans le flux d informations due à une négligence ou une incompétence Intrusion malveillante dans le SI conduisant à une nuisance volontaire Les risques majeurs sont généralement liés aux événements ci-dessous : Impact Perte ou vol d information confidentielle (interne ou client) avec ou sans utilisation frauduleuse Incapacité à assurer la traçabilité et la crédibilité de l information Intrusion dans le SI et atteinte au niveau de service en des endroits et des moments clés Perte d opportunité par manque de veille technologique et d intelligence économique Continuité de l activité non assurée Elément aggravant dans la gestion d une crise Les risques liés aux Systèmes d Information eux-mêmes peuvent être "catastrophiques" au niveau opérationnel, moins au niveau corporate dans la plupart des grandes entreprises Plus difficiles à percevoir, les risques liés à la gestion de l information et notamment sa diffusion constituent la majeure partie des risques concernés par la gestion de crise. Les conséquences indirectes sont rarement prises en compte a priori. 29
30
Les mesures de contrôle usuelles...et moins usuelles Veille technologique Sécurité des réseaux et infrastructures Protection des PCs et logiciels contre les attaques, bugs et virus Encryption des supports Stockage sécurisé Standards entreprises Formation et habilitations Responsabilités de tous, engagement et sanctions Gestion de la SSI par objectifs inclus dans le plan de rémunération Formalisation dans les processus Présence à tous les niveaux de reporting de la gestion des risques 31
32 Au-delà de la protection technique, un dispositif complet
33 Conclusion, questions & réponses
«La sécurité de la cité tient moins à la solidité de ses fortifications qu à la fermeté d esprit de ses habitants.» Thucydide, Histoire de la guerre du Péloponnèse, Ve siècle av JC. 34
Webographie FMoIP http://www.theregister.co.uk/2009/07/01/hospital_hacker_arrested/ http://www.theregister.co.uk/2009/07/09/swatting_indictment/ http://www.wired.com/threatlevel/2009/07/video-hijack/ http://www.leprogres.fr/fr/permalien/article/1931250/roanne-nouvelle-panne-du-systeme-de-fermeture-automatique-d-une-prison.html Centres Informatiques http://www.datacenterknowledge.com/archives/2009/11/04/inside-a-cloud-computing-data-center/ http://www.datacenterknowledge.com/archives/2009/12/16/major-data-center-outages-of-2009/ http://www.datacenterknowledge.com/archives/2009/07/06/the-day-after-a-brutal-week-for-uptime/ http://cloudsecurity.org/ http://www.datacenterknowledge.com/archives/2009/12/23/dns-issues-cause-downtime-for-major-sites/ http://www.informationweek.com/story/showarticle.jhtml?articleid=222001992 http://www.networkworld.com/news/2009/101209-sidekick-cloud-computing-outages-short-history.html http://www.infoworld.com/print/105435 http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853 http://www.networkworld.com/news/2009/040609-cloud-computing-security.html http://www.theregister.co.uk/2009/10/05/amazon_bitbucket_outage/ http://www.computerworld.com/s/article/9130283/backup_provider_carbonite_loses_data_sues_vendor http://cloudsecurity.org/ http://www.tdg.ch/feu-avenue-provence-fermez-fenetres-2009-09-25http://www.tsr.ch/tsr/index.html?sitesect=200001&sid=11279188 http://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/ http://www.theinquirer.fr/2009/07/02/panne-electrique-sur-un-centre-de-donnees.html http://www.networkworld.com/news/2009/071009-rackspace-ceo-speaks.html http://www.theregister.co.uk/2009/08/04/paypal_offline_again/ http://www.theregister.co.uk/2009/06/24/paypal_uk_down/ http://www.theregister.co.uk/2009/08/05/cisco_2hour_outage/ http://www.theregister.co.uk/2009/10/19/swissdisk_failure/ 35
Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI? Les présentations de cet atelier seront sur www.amrae.fr à partir du 1er février 2010 36
37