Sécurité des systèmes d information Les audits SSI Claude LELOUSTRE Audits - Page 1
Claude LELOUSTRE CV ingénieur aéronautique & informatique 20 ans en SSII et dans l industrie 5 ans en intelligence économique 10 ans cabinet de conseil SSI Parcours SSI militaire, nucléaire, transport, sidérurgie, 50 audits SSI en PME RSSI pendant 2 ans 1/2 Président du CLUSIR PACA Membre du GREPSSI Audits - Page 2
SOMMAIRE Audits SSI : Pourquoi? Comment? Qui? Principes de l évaluation Les outils» panorama : historique et tendances» Présentation détaillée : MARION MEHARI EBIOS ISO 2700x Etude de cas» MARION» ISO 27001 Bibliographie Audits - Page 3
Rappel : la mission d un RSSI audits Audits - Page 4
Rappel : un des 12 métiers de la SSI Incident Sinistre risques Auditeur Méthodes Conseils Plan d actions SSI Volets : organisationnel technologique économique juridique humain Audits - Page 5
Vision ISO de la mission SSI politique de sécurité organisation & moyens risques RH communications contrôle d accès (charte, sensibilisation) (politique d autorisation) achats, développements & maintenance incidents continuité (PCA / PRA) conformité (juridique, normes, CNIL, ) Audits - Page 6
Audit SSI : Définitions Audit = mission d examen et de vérification de la conformité (à des règles ou à des normes) d un processus, d un projet, d une activité ou d une entreprise Audits - Page 7
Audit SSI : Pourquoi? S auto évaluer Se comparer S améliorer Sensibiliser Analyser après incident Certifier / prouver Audits - Page 8
Audit SSI : Comment? Pour auditer, il faut :» un besoin clairement exprimé» un périmètre bien défini» une méthode formelle» des outils» des moyens» des compétences Audits - Page 9
Principe de l évaluation des risques Comment se déroule un sinistre? Comment définir le risque? Comment traquer le maillon faible? Par quoi commencer? (on ne peut pas tout protéger) Audits - Page 10
Le modèle du risque (1) selon MEHARI (CLUSIF) AVANT t = 0 APRES CAUSES CONSEQUENCES Profondes Immédiates Techniques Fonctionnelles Financières Environnement socio-culturel AEM DIC Organisation générale Détection Situation de Crise le Temps Recouvrement AEM : Accident Erreur Malveillance DIC = Disponibilité Intégrité Confidentialité Audits - Page 11
RESSOURCES BIENS ou ACTIFS sont la CIBLE de Le modèle du risque selon MEHARI (CLUSIF) CAUSES MENACE POTENTIELLE se CONCRETISE par une AGRESSION qui DECLENCHE une CONSEQUENCES DETERIORATION qui PROVOQUE des DEGATS qui OCCASIONNENT des PERTES Audits - Page 12
Définition du risque Le modèle du risque selon MEHARI (CLUSIF) RISQUE = Le fait qu un événement puisse empêcher de maintenir une situation donnée et/ou maintenir un objectif dans des conditions fixées et/ou satisfaire une finalité programmée Audits - Page 13
Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) La capacité du risque à ce qu un tel événement se produise, se traduit par la notion de potentialité (ou probabilité ou occurrence) L importance de ses conséquences se traduit par la notion d impact Audits - Page 14
Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) CAUSES 3 types de Risques 3 types de Mesures Exposition naturelle Possibilité de sinistre Intention de l'agresseur Mesures structurelles Mesures dissuasives Mesures préventives Accident Erreur Malveillance Audits - Page 15
Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) CONSEQUENCES 3 types d'effets 3 types de Mesures Détériorations Dysfonctionnements Pertes finales Mesures de protection Mesures palliatives Mesures de récupération Atteintes à : Disponibilité Intégrité Confidentialité Audits - Page 16
Définition du risque (suite) Le modèle du risque selon MEHARI (CLUSIF) Mesures Structurelles réduisent Exposition Naturelle caractérise Mesures Dissuasives réduisent Intention de l agresseur caractérise Potentialité Mesures Préventives réduisent Possibilité de sinistre caractérise GRAVITÉ Mesures de Protection réduisent Gravité des Détériorations caractérise Mesures Palliatives réduisent Gravité des Dysfonctions caractérise Impact Mesures de Récupération réduisent Gravité des Pertes finales caractérise Audits - Page 17
Audit SSI : Les outils Les outils» panorama : historique et tendances» présentations détaillées : MARION MEHARI EBIOS ISO 2700x Audits - Page 18
Pourquoi une méthode? Les méthodes "globales"» Pourquoi une méthode? Etre efficace Etre crédible Se comparer» Oui, mais... C'est trop lourd! C'est pas adapté! C'est trop théorique et «intello»! Les méthodes «perso» Objectif : adapter et simplifier... Audits - Page 19
Pourquoi une méthode? Les auto-évaluations» Léger» Excellent en sensibilisation (Implication des intéressés)» Exige un référentiel rodé (détaillé, clair, didactique,...)» Demande confiance / engagement formel du "signataire»» Impose des contrôles (réguliers et inopinés)» Mais : Difficile dans des environnements hétérogènes Les résultats dépendent du répondant Les plans d'actions sont souvent aussi à décentraliser Audits - Page 20
Pourquoi une méthode? Les évaluations CC et ITSEC / certifications par un CESTI» agréé par l ANSSI et accrédité par le COFRAC» très orienté "matériel" (chiffrement, cartes à puce,...)» des conditions de développement encore «floues»» avenir potentiellement prometteur (signature électronique,...)» documents (très) formels : Profil de protection Cible de sécurité Cible d évaluation» démarrage lent (6 CESTI en France) CESTI logiciels & réseaux OPPIDA SILICOMP-AQL AMOSSYS CESTI électronique CEA-LETI SERMA Techno THALES (T3S-CNES) Audits - Page 21
Méthodes d audit SSI Principes de toutes les méthodes identification des risques Vulnérabilité MENACE SI RISQUE évaluation de la gravité GRAVITE = IMPACT x PROBABILITE Notion de niveau "normal" de sécurité Photographie de l'état "sécurité" du SI Audits - Page 22
MARION Méthodologie d'analyse de Risques Informatiques Orientée par Niveaux» méthode analytique» 650 questions» 27 facteurs regroupés en 6 chapitres :» organisation entreprise» aspects socio-économiques» sécurité physique» sécurité logique» exploitation» études» fournit une photographie de l état sécuritaire de l entreprise» dernière version en 1998» officiellement abandonnée par le CLUSIF, mais a toujours ses adeptes Audits - Page 23
MARION Photographie de l état sécuritaire d une entreprise org contrôles regl socio-éco env accès pollution consignes incendie eau fiabilité relations utilisateurs personnel inf. plan système télécom SGBD archivage saisies sauvegarde exploitation maintenance recettes méthodes contrôles programmés progiciel secours Facteurs Audits - Page 24
MEHARI MEthode Harmonisée d Analyse des RIsques Méthode publiée par le CLUSIF en déc. 1996 Objectif : proposer un plan de sécurité Audits - Page 25
Matrice du risque (suite) Potentialité x Impact = Gravité du risque Impact 4 0 3 4 4 4 4 = risques insupportables 3 2 0 0 2 1 3 1 3 2 3 2 3 = risques inadmissibles 2 = risques tolérés 0 & 1 = risques «admis» ou «ignorés» 1 0 0 0 1 1 0 1 2 3 4 Potentialité MEHARI (CLUSIF) Audits - Page 26
MEHARI : Scénarios d attaque <scénario type> = <conséquences - causes - origines> La typologie décrit : les types de détériorations ou de dégâts les événements qui ont pu conduire au déroulement du scénario les origines qui complètent la description des types d'agression Audits - Page 27
MEHARI : Scénarios d attaque Pour étudier un scénario, il faut : identifier l ensemble des ressources qui ont participé au déroulement du scénario, depuis son origine jusqu'à son aboutissement Audits - Page 28
MEHARI Ressources réparties en 9 Domaines de sécurité Organisationnel Entité Géographique Site Locaux Technique Architecture Rés. & Télécom Exploitation Rés. & Télécom Systèmes Production informatique Applicatifs Développement Audits - Page 29
MEHARI La reconnaissance des VALEURS DE L'ENTREPRISE est un préalable à toute action dans le domaine de la sécurité. Les mesures de sécurité ont un coût et l'effort investi doit l'être en fonction de ce que l'on veut protéger. Analyser les ressources» selon les 3 critères D, I, C Classifier les ressources» selon des seuils de gravité définis sur une échelle de 1 à 4 Audits - Page 30
G R A V I T É des S C É N A R I O S MEHARI Causes P O T E N T I A L I T E Conséquences I M P A C T Q u a l i t é des S e r v i c e s de S é c u r i t é Structurelles Dissuasives Préventives Protection Palliatives Récupération BIENS ou ACTIFS sont la CIBLE de MENACE POTENTIELLE se CONCRETISE par une AGRESSION qui DECLENCHE une DETERIORATION qui PROVOQUE des DEGATS qui OCCASIONNENT des PERTES Audits - Page 31
MEHARI Propose un cadre et une méthode qui garantissent la cohérence des décisions prises au niveau directorial Structure la sécurité de l'entreprise sur une base unique d'appréciation dans la complexité des systèmes d information Permet la recherche de solutions au niveau opérationnel de la sécurité en délégant les décisions aux unités opérationnelles et autonomes Assure, au sein de l'entreprise, l'équilibre des moyens et la cohérence des contrôles Audits - Page 32
La méthode MEHARI 3 Plans = 3 Phases Plan Stratégique de Sécurité (PSS) Plans Opérationnels de Sécurité (POS) Plan Opérationnel d'entreprise (POE) Audits - Page 33
MEHARI P S S Indicateurs Tableau de Bord Direction Générale Opérationnel Politique Charte Métriques Objectifs Vulnérabilité Gravité Plan d action P O E P O S (1 à n) Audits - Page 34
MEHARI le Plan Stratégique de Sécurité Fixer les objectifs de sécurité Métrique des risques G = A (I, P) Appréciation des risques Mettre en évidence les enjeux Classification des Ressources Seuils de gravité Définir la politique de sécurité Règles Générales et Spécifiques - Solutions Etablir la charte de management Droits et Devoirs du Personnel et de l'entreprise Audits - Page 35
MEHARI Plans Opérationnels de Sécurité Spécifier le domaine et les outils Périmètre et niveau de détail Elaboration des scénarios Validation de la classification Auditer le niveau de sécurité Audit des services et s/s services Consolidation des résultats par site Evaluer la gravité des scénarios Détermination des gravités Potentialité / Impact / Gravité Exprimer les besoins de sécurité Planifier les actions de sécurité Mesures spécifiques Mesures générales Mesures spécifiques et prioritaires Autres mesures hiérarchisées Audits - Page 36
Approche analytique : audit des services de sécurité Mesures de protection - détection - intervention - non propagation réduisent Approche globale : évaluation des facteurs de risque Conséquences directes - matérielles - données caractérisent MEHARI Valeurs des ressources : Classification Mesures palliatives - restauration - reconfiguration - secours réduisent Conséquences indirectes - opérationnelles - financières - image caractérisent Impact Mesures de récupération - assurances - actions en justice réduisent Pertes finales - financières caractérisent Mesures structurelles - localisation - architecture - organisation réduisent Exposition naturelle - attrait - ciblage caractérise Gravité du risque Mesures dissuasives - identification - journalisation - sanctions augmentent Risque de l'agresseur - être identifié - sanction caractérise Potentialité Mesures préventives - contrôle d'accès - détection - interception augmentent Moyens requis - matériels -intellectuels - temps caractérisent Audits - Page 37
La méthode MEHARI Plan Opérationnel d Entreprise Choix des scénarios Elaboration des indicateurs Couverture des types d'impact et de cause Ressources critiques Risques graves - Impact Synthèse de l'entreprise Synthèse / Scénario Synthèse / Unité Synthèse / Entreprise Audits - Page 38
MEHARI Les applications de MEHARI Plan Stratégique de Sécurité Plan(s) Opérationnel(s) de Sécurité Traitement d une famille de scénario Traitement d un risque spécifique (A, E, M) Traitement d un critère de sécurité (D, I, C) Traitement d un scénario particulier Traitement d une application opérationnelle Traitement d un projet Audits - Page 39
Outils MEHARI Ouvrages du CLUSIF - Méthode, cas pratique, indicateurs de sécurité Bases de Connaissances - 12 Familles de scénarios en Français et en Anglais - Services de sécurité - Questionnaire de vulnérabilité - Grilles de calcul Logiciel RISICARE (BUC S.A.) - module de formatage des bases et de personnalisation - module d analyse de vulnérabilité et des risques Audits - Page 40
Livrables MEHARI Plan Stratégique de Sécurité - métriques (P, I, G), classification des ressources (D, I, C) - Politique de sécurité, charte de management Plan(s) Opérationnel(s) de Sécurité - audit de vulnérabilité, gravité des scénarios, - plan(s) d actions Plan Opérationnel d Entreprise - scénarios surveillés, indicateurs, tableau de bord Audits - Page 41
Métrique des risques et objectifs de sécurité Valeurs de l'entreprise : classification des ressources Politique de sécurité Charte de management Plan Stratégique de sécurité Phase 1 Conduite d un projet MEHARI Etape préparatoire : domaine couvert, base de scénarios, reprise de classification,.. Phase 2 - Unité Z Phase 2 - Unité Y Phase 2 - Unité X Audit de l'existant Evaluation de la gravité des scénarios Expression des besoins de sécurité Plan Opérationnel de sécurité Phase 2 Choix d'inidicateurs représentatifs Elaboration d'un tableau de bord de la sécurité de l'entreprise Rééquilibrages et arbitrages entre unités Plan Opérationnel d'entreprise Phase 3 Audits - Page 42
Suivi et évolutions de MEHARI CLUSIF - Commission METHODES» annie.dupont@clusif.asso.fr» www.clusif.asso.fr/mehari Club utilisateur - ouvert aux non membres du CLUSIF - 1 réunion / trimestre depuis 09/2001 Compatibilité MEHARI - ISO 27002 - respect de la démarche BS 7799-2:2002 - choix des objectifs des sécurité en fonction des risques - analyse des risques et expressions des besoins de sécurité - résultats ré-utilisables et optimisés en fonction des risques - correspondance des bases de connaissances MEHARI avec ISO 27002 Audits - Page 43
Les évolutions de MEHARI Bases de connaissances CLUSIF - dernière version janvier 2010 - module de diagnostic rapide - bases spécifiques : MEHARI.NET MEHARI.PME MEHARI.... Objectif : conformité ISO 27005 (Gestion des risques) Bases de connaissances personnalisées - risques opérationnels - risques métier Audits - Page 44
EBIOS Expression des Besoins et Identification des Objectifs de Sécurité Contexte» périmètre, collecte d infos, choix des interlocuteurs Besoins de sécurité» ressources à protéger : matériel, logiciel, réseau, données, autres» besoins fonctionnels» risques et niveau de risque acceptable par ressource (DIC) Risques» menaces pertinentes et de leur occurrence» vulnérabilités» menaces x vulnérabilités = risques» options : détection et tests d intrusion Préconisations & solutions Audits - Page 45
EBIOS Caractéristiques» méthode franco-française, quasi imposée dans le secteur public» tout est gratuit : documentation, outils, formation» sortie imminente de EBIOS 2005 multilingue Autres productions de l ANSSI» PSSI - Guide d élaboration de politiques de sécurité des SI» TDBSSI - Guide d élaboration de tableaux de bord SSI» GISSIP - Guide d Intégration de la SSI dans les Projets» Guide de la maturité SSI Audits - Page 46
EBIOS TdB SSI D après Philippe Tourron, Université de la Méditerranée Audits - Page 47
EBIOS TdB SSI (suite) D après Philippe Tourron, Université de la Méditerranée Audits - Page 48
ISO 2700x exigences ISO 27001 SMSI ISO 27006 audit de SMSI ISO 27000 Vocabulaire ISO 27002 Mesures de sécurité ISO 27005 analyse de risque ISO 27004 Métrage & Métriques guides ISO 27007 audit de SMSI ISO 27003 Implémentation ISO 27xxx Guides sectoriels Audits - Page 49
ISO 27001 Guides sectoriels (Statut fin 2009) WLA SCS : Standard SMSI spécifique au secteur du Jeu - Publiée ISO 27011 - Guide pour le secteur des télécoms - Draft ISO 27012 - Guide pour le secteur financier - Proposée ISO 27013 - Guide pour le secteur de l'industrie - Proposée ISO 27015 - Guide pour l'accréditation - Proposée ISO 27016 - Audits et Revues. Statut - Proposée ISO 27031 - Continuité d'activité - Draft ISO 27032 - Cyber sécurité (Internet) - Draft ISO 27033-x - Sécurité des réseaux - Draft ISO 27034-1 - Guide pour la sécurité applicative - Draft ISO 27035 - Gestion des incidents de sécurité - Draft ISO 27799 - Déclinaison de l'iso 27002 pour le secteur de la santé - Publiée. Audits - Page 50
ISO 27001 Norme générique Objectif : spécifier les exigences pour» élaborer» mettre en place» exploiter» améliorer un SMSI Système de Management de la Sécurité de l Information preuve de l adoption des bonnes pratiques SSI permet de se préparer à la certification (# 1an) Ce n est pas une fin en soi mais cela peut devenir un avantage concurrentiel Audits - Page 51
ISO 27001 9 chapitres 0 à 3 : introduction & définitions 4 : le SMSI (fondé sur PDCA) 5 : engagement de la Direction 6 :audits internes du SMSI 7 : réexamen par la Direction 8 : amélioration annexe : mesures de sécurité détaillées dans 27002 Audits - Page 52
ISO 27001 to PLAN périmètre politique de sécurité identification & évaluation des risques plan de gestion des risques» réduction à un niveau acceptable» acceptation» transfert (assurance, )» refus ou évitement Audits - Page 53
ISO 27001 to DO affectation des ressources» personnel, temps, doc & procédures formation gestion du risque» mise en œuvre des mesures planifiées» responsabilités» identifier les risques résiduels Audits - Page 54
ISO 27001 to CHECK vérifier, contrôler se comparer aux autres auditer le SMSI constater les écarts (risques moins réduits que prévu) identifier de nouveaux risques Audits - Page 55
ISO 27001 to ACT traiter les constats précédents» re-planifier» ré-agir» actions correctives et/ou préventives Audits - Page 56
ISO 27002 5. politique du SMSI 11 chapitres 39 objectifs de sécurité 133 mesures de sécurité 6. organisation 7. classification 8. personnel 9. sécu physique 10. communications & exploitation 11. contrôle d accès 12. développement & maintenance 13. incidents 14. continuité 15. conformité Audits - Page 57
ISO 27002 Remarques formulation de recommandations ou d exigences» correspondant à l état de l art («esperanto de la sécurité»)» du général au particulier objectifs : réduire le risque à un niveau acceptable pas de hiérarchie dans les mesures de sécurité» c est dans la 27006 Audits - Page 58
ISO 27005 Gestion des risques (disponible en français depuis sept 2010) Méthodologie de gestion des risques conforme à la 27001 Elle applique à la gestion des risques le cycle PDCA Synthèse de MARION, MEHARI, EBIOS, CRAMM (UK)» 27005 est itérative (fonctionne dans la durée)» 27005 impose l analyse des vulnérabilités Démarche» identification et classification des actifs» identification des menaces potentielles» probabilités de survenance» évaluation de la gravité des risques en fonction des valeurs des actifs» choix de traitement des risques (évitement, transfert, )» portefeuille de risques résiduels acceptation ou re-traitement Audits - Page 59
Audit SSI : Exemples Etudes de cas» MARION : questionnaire CLUSIF» ISO 27001 méthode SCORE / AGERIS» GMSIH : adaptation dans le secteur hospitalier Audits - Page 60
Les outils d audit technique objectif : détection de vulnérabilités outils Linux» host, telnet, netstat, showmount outils Linux pour Windows» sambatools, nbtscan, LC5/LCP outils graphiques sous Windows» snscan, N-stealyh, winfingerprint, netbiosys,visualroute sans fil» netstumbler, winwave, linkferret «espions»» ethereal, john the ripper,pscan, nessus analyseur de mots de passe Audits - Page 61
Sources d informations Fournisseurs d outils et prestataires d audits» logiciels (éditeurs spécialisés) : AGERIS (SCORE)» services : LEXSI, HSC, TELINDUS, SOLUCOM Organismes» Etat : ANSSI (EBIOS)» associations : CLUSIF (MARION, MEHARI)» ISO : famille 2700x OzSSI GREPSSI et en région PACA Club 27001 Audits - Page 62
Tendances convergence des méthodes ==> ISO 27000» EBIOS s intègre dans la 27005» MEHARI? obligation de certification?» l exemple tunisien Audits - Page 63
Réglementation en Tunisie Circulaire du Premier Ministre du 30 Novembre 2001 portant sur l obligation d un audit SSI au moins une fois par an Création de «l Agence Nationale de la Sécurité Informatique» Soumise à la tutelle du Ministère chargé des technologies de la communication Mission : contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics ou privés, et notamment : Veiller à l exécution des réglementations relatives à l obligation de l audit périodique de la sécurité du SI Audits - Page 64
Exemple de certification en France Remise d un certificat EAL 5 à Bertin Technologie pour son logiciel PolyXene» Le 29 septembre 2009, l amiral Michel BENEDITTINI, directeur général adjoint de l ANSSI, a remis un certificat CC-EAL5 à Bertin Technologies et à la DGA (Délégation Générale pour l Armement) pour le logiciel PolyXene dans sa version 1.1.» PolyXene est un hyperviseur, c est-à-dire un logiciel qui permet à plusieurs systèmes d exploitation de travailler en même temps sur un seul ordinateur. Son haut niveau de sécurité et notamment sa forte capacité de cloisonnement permettent d envisager désormais d être connecté, sur un même poste de travail, à divers réseaux de niveaux de confidentialité différents ou appartenant à des organisations différentes, et de transférer des informations entre ces réseaux de manière totalement maîtrisée, sans risque de compromission. Audits - Page 65
Merci de votre attention Claude LELOUSTRE 500 rue Paradis 13008 MARSEILLE managis@managis.fr Audits - Page 66