Retour d Expérience : Problématiques de l application d EBIOS dans des contextes «métiers» techniques

Documents pareils
Division Espace et Programmes Interarméeses. État tat-major des armées

sommaire dga maîtrise de l information LA CYBERDéFENSE

5 novembre Cloud, Big Data et sécurité Conseils et solutions

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

GROUPE CS COMMUNICATION & SYSTEMES

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Sécurité des Systèmes d Information

Résultats annuels 2013

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

Ces efforts ont déjà contribué significativement à l atteinte des objectifs de l OTAN depuis 2014.

HySIO : l infogérance hybride avec le cloud sécurisé

Montrer que la gestion des risques en sécurité de l information est liée au métier

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

ISO conformité, oui. Certification?

EDUCATEUR FEDERAL. NOM : PRENOM : Certifications : EPREUVES DE CERTIFICATIONS

Process 4D Catalogue de formations 2011

A.3 Les méthodes : L applicabilité

METIERS DE L INFORMATIQUE

La conformité et la sécurité des opérations financières

Soldat de métier au Détachement de reconnaissance de l armée 10

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

DOSSIER DE PRESSE

Découverte et investigation des menaces avancées PRÉSENTATION

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

EXPERTISE SYSTÈME D INFORMATION GÉOGRAPHIQUE

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Spécialistes du recrutement des métiers IT, nous vous accompagnons dans tous vos enjeux de recrutement

ZOOM SUR 10 DEMONSTRATIONS

Résultats Semestriels Paris, le 1er octobre 2008

FORMULAIRE DE DEMANDE DE DELIVRANCE DU PERMIS D EXPLOITATION AERIENNE. Réf.- F-DSA-402-OPS-01

FIC 2014 Relever le défi de la sécurité du cyberespace

SOLUTIONS DE VALIDATION

Vidéo Protection La R82

Pour vos appels d offre CABINETS DE CONSEIL EN SCM. Octobre e ÉDITION RGP. SupplyChainMagazine.fr 19, rue Saint-Georges Maisons-Alfort

PRESENTATION DU STANDARD TIA (Télécommunications Industry Association) 942

Sécurité sur le web : protégez vos données dans le cloud

LA QUALITÉ DE SERVICE

Compte Rendu Club Utilisateurs. Marseille 08/10/2014 GINTAO CU 2. Page 1 de 9

SAINT CYR SOGETI THALES

PROJET SINARI. Approche de la Sûreté de fonctionnement et de la cyber-sécurité. Sécurité des Infrastructures et Analyse des Risques

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

DU ROLE D UN BUREAU MILITAIRE AU SEIN D UNE MISSION PERMANENTE

Guide d auto-évaluation

Résumé CONCEPTEUR, INTEGRATEUR, OPERATEUR DE SYSTEMES CRITIQUES

La biométrie au cœur des solutions globales

Pétrochimie Informatique scientifique

Assemblée générale Saint-Cyrienne

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

COMPETITIVITE ENERGETIQUE DES PMI AGRO ALIMENTAIRES Déclencher l action par la formation de 1000 dirigeants

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

Release Notes POM v5

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Atelier Tableau de Bord SSI

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Partie I Stratégies relationnelles et principes d organisation... 23

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Contribution des industries créatives

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

Rencontres interministérielles sur l offre de certification dans les métiers de la sécurité

Optimisez les coûts de possession de votre information et redonnez de la capacité d investissement au DSI

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

ExiOuest Résultats de l enquête ExiOuest 2009 sur l'ingénierie des exigences. Enquête en ligne de Juillet à Octobre 2009 sur

Vers un nouveau modèle de sécurité

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

SUPPLY CHAIN MASTERS CABINETS DE CONSEIL EN SCM. Pour vos appels d offre. 8 e ÉDITION

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

politique de la France en matière de cybersécurité

VISIUM. Méthodologie visuelle Visualisation de système Conception et Optimisation Système d information et d organisation

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Qu est-ce qu un système d Information? 1

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

RAPPORT FINANCIER ACTIVITÉS INFORMATION DES ACTIONNAIRES DOCUMENT DE RÉFÉRENCE

Annonces internes. Sonatrach recherche pour sa DC Informatique et Système d Information :

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

CIRCULAIRE. Procédures de qualification du personnel de certification des organisations de maintenance pour aéronefs.

AUDIT CONSEIL CERT FORMATION

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

RAPPORT FINANCIER SEMESTRIEL 2014

Compte rendu d activité

BULLETIN OFFICIEL DES ARMÉES. Édition Chronologique n 33 du 4 juillet PARTIE PERMANENTE Administration Centrale. Texte 2

Croissance organique : 2,4 %

Solvabilité II Les impacts sur la tarification et l offre produit

THALES et le Logiciel Libre

«L année 2013 a été marquée par le lancement du FALCON 5X, qui enrichit la gamme FALCON, et par la consolidation du socle France du RAFALE.

Transcription:

Retour d Expérience : Problématiques de l application d EBIOS dans des contextes «métiers» techniques Club-EBIOS - 04/07/2016 www.thalesgroup.com

Agenda Le groupe Thales La pratique d EBIOS au sein de Thales Problématique 1 : l approche centrée sur le système Problématique 2 : sources de menace externes / acteurs menaçants internes Problématique 3 : l approche baseline Conclusion 2

Le groupe Thales Présentation www.thalesgroup.com

Profil L intelligence collective pour un monde plus sûr Partout où des décisions critiques doivent être prises, Thales est présent. Sur les marchés que le Groupe sert (aéronautique, espace, transport terrestre, sécurité, défense), ses équipements et systèmes aident ses clients à choisir la meilleure option et à agir en conséquence. L expertise de ses 62 000 collaborateurs et sa présence opérationnelle dans 56 pays en font ainsi un acteur clé de la sécurité des citoyens, des infrastructures et des États. Salariés 62 000 (effectif géré au 31 déc. 2015) Une structure équilibrée du chiffre d affaires Défense 50 % Une présence mondiale 56 pays Répartition du capital (au 31 décembre 2014) R & D Autofinancée* 2015 707 millions d euros * N inclut donc pas la R & D réalisée sur financements externes. Civil 50 % État français 26,4 % Chiffre d affaires 2015 14 milliards d euros Flottant dont 2 % de salariés 48,3 % 25,3 % Dassault Aviation 4

Les implantations Thales par pays 5

Activités AÉRONAUTIQUE ESPACE TRANSPORT TERRESTRE DÉFENSE SÉCURITÉ THALES SERT DES MARCHÉS VITAUX POUR LE FONCTIONNEMENT DE NOS SOCIÉTÉS. Le Groupe constitue un ensemble cohérent, irrigué par une expertise technologique transverse qui lui permet d opérer sur l ensemble de la chaîne de valeur en fonction des besoins de ses clients civils et militaires : maîtrise d œuvre, intégration de systèmes, fourniture d équipements à haute valeur ajoutée, activités de services. 6

Organisation / Activités mondiales et Business Lines Systèmes d information & de communications sécurisés Produits de radiocommunication Réseaux et Systèmes d infrastructure Systèmes de protection Systèmes d information critiques et Cybersécurité Radar de surface Systèmes terrestres & aériens Gestion du trafic aérien Opérations aériennes & Systèmes d armes Optronique et Electronique de missiles Armement & Véhicules protégés Systèmes de mission de défense Systèmes navals de combat de surface Systèmes sous-marins Systèmes de combat électroniques Renseignement, Surveillance, Reconnaissance Avionique civile Avionique militaire Avionique Avionique Hélicoptères Multimédia de bord Systèmes électriques Formation et simulation Sous-systèmes hyperfréquence & d imagerie Télécoms Observation Exploration Navigation Espace Systèmes de transport terrestre Signalisation ferroviaire grandes lignes Signalisation ferroviaire pour réseaux ferrés urbains Systèmes intégrés de communication & de supervision Systèmes de billettique 7

Des positions de premier plan N 1 mondial Charges utiles pour satellites télécom Gestion du trafic aérien Sonars Sécurisation des transactions interbancaires N 2 mondial N 3 mondial Systèmes de signalisation ferroviaire Multimédia de cabine et connectivité Radiocommunications tactiques militaires 14 milliards d euros de chiffre d affaires Avionique commerciale Satellites civils Radars de surface militaires 8

La pratique d EBIOS au sein de Thales Le contexte Thales www.thalesgroup.com

Le contexte Thales Méthodologie : Thales utilise la méthode EBIOS : - Pour ses activités «Défense» - Pour ses Besoins Internes - Pour ses clients du Secteur Public - Enfin, pour ses Clients Civils (depuis EBIOS-2010) 10

Le contexte Thales Périmètres : Thales réalise des analyses des risques sur tous types de périmètres : - Au niveau «composants» - Au niveau «produits» - Au niveau «systèmes» - Au niveau «systèmes complexes» (systèmes de systèmes / SMSI) - Au niveau «Stratégies» 11

Le contexte Thales Utilisations : Les raisons d être des analyses des risques pratiquées par Thales : - Les homologations de produits / systèmes - Les certifications de produits Utilisateurs : Une population technique, principalement d ingénieurs, dans les domaines : - De l ingénierie système - De l ingénierie logicielle 12

Problématique 1 L approche centrée sur le système www.thalesgroup.com

L approche centrée sur le système Problématique : Ingénierie système = culturellement approche bottom-up - Très bonne maîtrise technique depuis les couches basses - Moins à l aise au fur et à mesure que l on s abstrait des couches techniques Maîtrise du système mais pas forcément de son cadre d utilisation métier - Question des enjeux métiers et de leur prise en compte Vocabulaire technique spécifique - Par exemple vocabulaire Critères Communs EBIOS-2010 est perçue comme lacunaire - Sur l étape de l Etude des scénarios de menaces et des vulnérabilités 14

L approche centrée sur le système Réponse Thales : méthode combinée EBIOS-TVRA Trouver une approche plus concrète/complète pour l étude des scénarios de menaces - Mais ne pas réinventer la roue - Être facilement appréhendable par de non-spécialistes de la SSI - Et même faciliter l adhésion de populations techniques tels les Ingénieurs Systèmes Candidat : TVRA (Threat Vulnerability Risk Assessment) de l ETSI (European Telecommunication Standard Institute) - Très pratiquée dans les domaines des Telecom et de l Embarqué Automobile - S appuie sur les concepts et le vocabulaire des Critères Communs - Mais la notion de risque est centrée sur le système étudié lui-même 15

L approche centrée sur le système Réponse Thales : méthode combinée EBIOS-TVRA (suite) Démarche pour combiner EBIOS et TVRA - Prise de recul sur les principes développés par TVRA Le risque TVRA est similaire à la vraisemblance EBIOS - Convergence des deux approches Gros travail sur le vocabulaire Convergence des métriques car c est la clé de voute, le liant entre les deux Points forts de la combinaison EBIOS-TVRA - L étude approfondie des scénarios de menace - Le vocabulaire Critères Communs - Le maintien de la double restitution risque TVRA / risque EBIOS 16

Problématique 2 Sources de menace externes / Acteurs menaçants internes www.thalesgroup.com

Sources de menace externes / Acteurs menaçants internes Problématique : Menaces sur les systèmes sensibles (OIV / services étatiques) - Les sources de menace jugées comme majeures sont externes avec de forts moyens Agences gouvernementales Organisations terroristes Grande criminalité - Cependant beaucoup d attaques demandent des actions internes Accès à des systèmes non atteignables depuis un réseau externe (cf. Internet) Accès à des comptes à privilège en pré-requis Accès à des informations protégées en pré-requis Accès à des connaissances métiers très spécifiques Comment évaluer la vraisemblance de ces scénarios d attaque? 18

Sources de menace externes / Acteurs menaçants internes Réponse Thales : combinaison EBIOS IS1 Trouver une approche de pondération sur la dichotomie Source de menace Vs. Acteur de la menace - En fonction de la volonté et des moyens de la source de menace - Et en fonction de la typologie des acteurs internes nécessaires - Mais toujours ne pas réinventer la roue Candidat : IS1 (Information Security 1) du GCHQ/CESG (alter-ego UK de l ANSSI) - Même si aujourd hui abandonnée par le CESG au profit de l ISO-27005 - Développe les notions de Threat Source / Threat Actor - Avec abaques de la capacité d influence sources externes sur acteurs internes En fonction du nombre d acteurs ciblés En fonction du niveau d habilitation de ces acteurs 19

Sources de menace externes / Acteurs menaçants internes Réponse Thales : méthode combinée EBIOS-IS1 (suite) Démarche pour combiner EBIOS et IS1 - Les sources de menaces sont vues avec les enjeux métiers Étape Etude des évènements redoutés - Les acteurs menaçants sont vus avec les scénarios d attaque Étape Etude des scénarios de menace - Caractéristiques des acteurs par déclinaison pondérée des sources de menace Application des abaques d IS1 par le responsable de l analyse de risque Points forts de la combinaison EBIOS-IS1 - Une vue stratégique haut-niveau maintenue - Une contextualisation pondérée pour le niveau technique - Démarche justifiable et répétable 20

Problématique 3 L approche baseline www.thalesgroup.com

L approche baseline Problématique : Ingénierie système = culturellement approche baseline - Très bonne maîtrise technique de solutions éprouvées - Avec, au mieux, des mesures de sécurité natives - Cependant gérées comme un COTS, figé Les clients finaux montent en maturité SSI - Demandent une analyse de risques sur la solution à déployer Résistance de l ingénierie système - Analyse de risque reverse devant aboutir aux mesures packagées! 22

L approche baseline Réponse Thales : question ouverte Comment gérer la schizophrénie entre - L analyse de risque Top-Down (cf. client) - L analyse de risque Bottom-Up contrainte (cf. ingénierie système) Pas d approche technique satisfaisante, seulement pédagogie / sensibilisation - Il faut faire évoluer les pratiques culturelles - Il faut gérer les impacts économiques sur les offres L adhésion à une approche par les risques est encore un challenge au sein des populations techniques 23

Conclusion www.thalesgroup.com

Conclusion La modularité d EBIOS est une réalité, sous conditions : Après adaptation du vocabulaire! En prenant du recul sur les méthodologies tierces Et une convergence des métriques L intégration méthodologique contextuelle de modules tiers est un plus pour obtenir l adhésion d utilisateurs non professionnels de la SSI Pour approfondir des étapes jugées souvent trop génériques d EBIOS La modularité d EBIOS est une force à conserver! 25

Pour toute information : Nicolas VAN CAUTER Spécialiste Technique Thales, Thales TCS/CSE m: +33 (0) 6 43 59 28 20 nicolas.vancauter@thalesgroup.com 26 Thales Communications & Security Janvier 2012

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back