SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de nos systèmes d informations. Au-delà d une pure problématique technique, cela représente un risque pour la bonne marche de nos services et de nos institutions. Il est plus que jamais nécessaire de mettre en place une démarche de Sécurité des Systèmes d Information et de gérer les risques! 2
Introduction Cette présentation vise à présenter les différents éléments qui vont constituer une démarche de sécurité, depuis sa conception jusqu à son pilotage. Après un tour d horizon de quelques concepts fondamentaux en sécurité, nous présenterons les étapes à suivre pour déployer une démarche SSI. Chacun va pouvoir s inspirer de ces éléments pour décliner sa propre démarche au sein de sa collectivité. 3 Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 4
Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 5 Définition La sécurité de l information est l'ensemble des moyens techniques, organisationnels et humains à mettre en place pour établir, conserver et garantir la sécurité des systèmes informatiques et des données. ORGANISATION DISPOSITIFS & PROJETS COMPORTEMENTS 6
La sécurité des informations 7 Les fondamentaux de la sécurité La Sécurité du Système d Information (SSI) repose sur 4 critères : DICP Disponibilité L information et les ressources SI doivent être disponibles quand on en besoin Intégrité L information doit rester fiable et les risques d altération doivent être maitrisés Confidentialité L information doit être accessible aux seules personnes autorisées Preuve Savoir qui a fait quoi, et à quel moment? 8
Les fondamentaux de la sécurité Disponibilité L information et les ressources SI doivent être disponibles quand on en besoin 9 Les fondamentaux de la sécurité Intégrité L information doit rester fiable et les risques d altération doivent être maitrisés 10
Les fondamentaux de la sécurité Confidentialité L information doit être accessible aux seules personnes autorisées 11 Les fondamentaux de la sécurité Preuve Savoir qui a fait quoi, et à quel moment? 12
Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 13 La démarche par les risques 14
La démarche par les risques Vulnérabilité Clés sous le tapis Menace Cambrioleur essaie d entrer Impact Cambrioleur casse l armoire, vole de l argent, crée des ennuis Vulnérabilité x Menace x Impact = Risque 15 Comment identifier ses besoins de sécurité? Un des fondement de la démarche : définir un plan d action pragmatique et cohérent L analyse de risque permet de définir la feuille de route du RSSI et de prioriser les plans d action www.advens.fr Document confidentiel Advens 2015
Introduction à l'analyse de risque La menace 17 Introduction à l'analyse de risque L actif 18
Introduction à l'analyse de risque La vulnérabilité 19 Introduction à l'analyse de risque Le risque 20
Introduction à l'analyse de risque Accepter le risque 21 Introduction à l'analyse de risque Réduire le risque 22
Introduction à l'analyse de risque Contourner/éviter le risque 23 Introduction à l'analyse de risque Assurances Transférer le risque 24
Comment identifier ses risques? Une démarche à adapter à son propre contexte et ses contraintes Métier («biens essentiels») Processus Informations Flux Identification des composants du SI (structurés ou non) SI («biens support») Applications Services Données Sécurité / Contrôle Mesures Contrôles Audits Valeur pour le métier (impacts, événements redoutés, besoins) Vulnérabilités des ressources Dispositifs de maîtrise des risques Menaces Biens Impacts métiers Vulnérabilités Contrôles Probabilité Risques www.advens.fr Document confidentiel Advens 2015 La méthode EBIOS Présentation Méthode publiée par l ANSSI (Agence Nationale de la Sécurité des Systèmes d Information), anciennement DCSSI (Direction Centrale de la Sécurité des Systèmes d Information). Trois versions à ce jour dont : EBIOS v2 (2004) EBIOS V3 (2010), dernière version en date De profonds bouleversements entre la v2 et la v3 Changements sur la forme (moins de documents de référence, méthodologie mieux organisée, plus claire et plus accessible) Changements sur le fond (réorganisation complète de la démarche, dorénavant beaucoup plus orientée sur l évaluation et l appréciation des risques) 26
Fiche d identité de la méthode EBIOS Fiche d identité Nom Complet : Expression des Besoins et Identification des Objectifs de Sécurité Date de naissance : 1995 Lieu de naissance : Direction Centrale de la Sécurité des Systèmes d Information (ANSSI actuelle) Pays de naissance : France Langue : Français, Anglais, Allemand, Espagnol Contenu de la méthode Evénements redoutés Démarche EBIOS Contexte Risques Mesures de sécurité Scénarios de menaces Etude du contexte Définir le cadre de la gestion des risques, préparer les métriques et identifier les biens. Etude des événements redoutés Apprécier les événements redoutés identifiés par les métiers de l organisme en termes de gravité et de vraisemblance. Etude des scénarios de menace Apprécier les scénarios de menaces envisageables pour chaque bien support en termes de vraisemblance. Etude des risques Apprécier et évaluer les risques et identifier les objectifs de sécurité par rapport à ces risques. Etude des mesures de sécurité Formaliser les mesures de sécurité à mettre en œuvre et mettre en œuvre les mesures de sécurité. Démarche Biens essentiels et biens supports Sources de menace Menaces Impacts Vulnérabilités Mesures de sécurité L établissement du contexte L appréciation des risque Le traitement des risques La validation du traitement des risques La communication et la concertation relatives aux risques La surveillance et la revue des risques 27 Exemple d une cartographie des risques N. Crit. Risque 4 3 2 Impact 1 R12 R01 R02 R03 R05 R11 R14 R04 R07 R08 R09 R10 R13 Probabilité 1 2 3 Légende : D = Disponibilité, I = Intégrité, C = Confidentialité, P = Preuve = Risque critique, = Risque Majeur, = Risque Mineur R06 4 R01 D Destruction globale des Datacenters R02 D Défaillance physique d un Datacenter R03 DIC Manque de sécurité dans la conception R04 DICP Perte de maîtrise de gouvernance (cloud) R05 DICP Perte de maîtrise (usages) R06 C Divulgation d informations sensibles (non médicales) R07 C Divulgation d infos. médicales R08 C Vol de données / documents R09 D Pertes de compétences clés pour le SI R10 DI Dysfonctionnements dus à l obsolescence, ou l hétérogénéité R11 DIP Pertes de données R12 DI Dysfonctionnements dus à l exploitation d une faille de sécurité R13 DIP Erreurs de manipulation en prod. entraînant dysfonctionnement d une appli. R14 DI Pannes / dysfonctionnements ou saturation du SI dus à la complexité croissante du SI et sa centralisation 28
Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 29 Le cadre normatif La famille ISO 27000 A venir également : ISO 27037 : gestion des traces ISO 27038 : IDS (Intrusion Detection Systems) ISO 27040 : Stockage et sauvegarde ISO 27041 : Méthodes d investigation 30
ISO 27002 ISO 27002 : guide des bonnes pratiques Pistes et recommandations pour la gestion globale de la sécurité de l information ISO 27003 ISO 27003 : guide d implémentation Exemples types et recommandations pour l implémentation d un SMSI Déployer D P C A ISO 27005 ISO 27005 : gestion des risques Identification des risques Evaluation de ces risques Traitement des risques retenus Phase d implémentation : Mise en œuvre de la politique de sécurité Planifier C D A Phase de définition du contexte: La vision sécurité de l organisation Les objectifs à atteindre Les moyens mis à disposition Analyse des risques La stratégie de mise en œuvre La politique de sécurité SMSI ISO 27001 ISO 27003 ISO 27003 : guide d implémentation Exemples types et recommandations pour la planification d un SMSI Phase de contrôle et de mesure d efficacité du SMSI: Mise en place de tableaux de bords Mise en place de métriques de la sécurité Evaluation périodique de la sécurité P Phase de révision et de mise à jour du SMSI: Corriger Adapter Améliorer A C P Impulsion initiale «Nous souhaiterions mettre en place un SMSI» D Améliorer ISO 27004 ISO 27004 : mesurage Guide de préparation d un programme de mesure de l efficacité d un SMSI ainsi que des métriques à choisir et à mettre en place Légende: En vert, cycle PDCA principal tel qu il est utilisé dans la norme ISO 27001. En orange, les autres normes qui gravitent autour de l ISO 27001. www.advens.fr P A D C Contrôler ISO ISO 27007 27008 ISO 27007 : audit des SMSI ISO 27008 : audit des contrôles Recommandations relatives à Recommandations relatives à la conduite la conduite d audits internes et d audits portés sur les contrôles ou groupe externesdocument confidentiel de contrôles Advens implémentés 2015 au sein d un SMSI La norme ISO 27001 La norme ISO 27001 pose les bases d un SMSI Elle professionnalise la démarche sécurité Elle garantie l adéquation entre les mesures mises en œuvre et les risques identifiés, pour une meilleure maîtrise des coûts Elle est certifiante Elle est reconnue internationalement Elle est référencée par ITIL Elle est complétée par une famille de normes (la famille ISO 27000) C est une norme qui établit une démarche, mais ne l outille pas Le choix de la méthode d analyse pour cartographier les risques est libre Des exemples précis et riches sont proposés en annexe Liste type de menaces Exemples de vulnérabilités Tableau de classification des actifs. 32
La norme ISO 27002 La norme ISO 27002 est un guide de bonnes pratiques THÈME Politique de sécurité Organisation de la sécurité Gestion des biens Sécurité liées aux RH Sécurité physique et environs. Gestion des communications. et des opérations Contrôle d accès Acquisition. développement et maintenance des SI Gestion des incidents de sécurité Gestion de la continuité d activité Conformité EXIGENCES Existence, Qualité, Application, Révision de la politique de Sécurité de l Information Définition des rôles et responsabilités au sein de l organisation ainsi que les instances opérationnelles et stratégiques Inventaire et classification des actifs du Système d Information Arrivée et départ des collaborateurs Sécurisation physique des locaux, protection environnementale, définition des zones sensibles Sauvegardes, capacity planning, cloisonnement réseau, gestion des correctifs, sécurité réseaux, échange d informations Gestion des accès utilisateurs, gestion des accès réseaux, gestion de la mobilité, sensibilisation, télétravail Veille technologique, intégration de la sécurité dans les projets, cloisonnement des environnements, bonnes pratiques de développement, gestion des vulnérabilités techniques, cryptographie Procédure de signalement, gestion de crise, procédure de résolution, capitalisation Définition, application, test, révision des plans de continuité d activité, procédures métier, plan de secours informatique. Conformité aux normes et réglementations en fonction de votre activité : Gestion des licences logicielles, CNIL (manipulation de données personnelles) 33 Le SMSI, un modèle de gouvernance de la sécurité de l information Un SMSI, c est un «processus de gestion de la sécurité de l information au quotidien» Le SMSI est cohérent avec les autres systèmes de management de l entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l environnement. Des moyens Organisationnels, techniques, humains Validés par la direction Etablis selon un référentiel Mesurables pour répondre à des objectifs De confiance D amélioration permanente de la sécurité de l information A la demande des parties prenantes et pour les parties prenantes Sur un périmètre bien défini www.advens.fr Document confidentiel Advens 2015
7 processus essentiels Pilotage du SMSI Veille Gestion des risques Gestion documentaire SMSI Gestion des incidents Sensibilisation à la sécurité Contrôle et amélioration 35 L amélioration continue Plan Act Do Check Plan (je dis ce que je fais) Définir le périmètre du SMSI Définir la politique du SMSI Définir la politique de sécurité Impliquer le Management Définir et mettre en œuvre la méthode d analyse de risques Rédiger la déclaration d applicabilité Do (je fais ce que je dis) Définir et mettre en œuvre le plan de traitement des risques Sensibiliser et former Gérer l exploitation et les ressources du SMSI Gérer les incidents de sécurité Gérer la documentation Check (je contrôle ce que je fais ) Collecter et analyser les enregistrements générés par le SMSI Revoir l analyse des risques Conduire les contrôles et mesurer les performances du SMSI Mettre à jour les plans d actions de sécurité pour prendre en compte les résultats des contrôles Act (je corrige et j améliore ce que j ai fait et dit) Décider de mesures correctives et préventives pour améliorer le SMSI Communiquer sur les mesures d amélioration Assurer que les modifications permettront d atteindre les objectifs du SMSI Apporter des résultats concrets, durables, mesurables et proportionnés aux risques 36
Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 37 Exemple de démarche Démarche sponsorisée Pilotage / Sensibilisation / Communication Diagnostic sécurité du SI Analyse de risque sur les processus métier Etude Définition des chantiers sécurité Schéma Directeur Sécurité Identification ou mise à jour des référentiels ou des procédures Construction du Schéma Directeur Sécurité Accompagnement des chantiers de réduction des risques Mise en œuvre des plans d action Mesures et amélioration continue Contrôles 38
Quel résultat? Réalisation d un état des lieux global traitant de l ensemble des thématiques de sécurité de l information, en s appuyant par exemple sur les normes et l état de l art Implication de l ensemble des parties prenantes dès le début de la démarche Identification des risques principaux pesant sur la sécurité de l information Définition d un plan d actions adapté aux enjeux et à l environnement de l organisation Identifier des actions courts termes à gains rapides («quicks wins») et des projets ou chantiers plus globaux 39 Exemple Gouvernance Conformité Référentiel Maîtrise des risques Contrôle et pilotage Couverture Globale (Vision Stratégique et métier) Année 1 Politique de Sécurité Année 2 Référentiels Année 3 Analyse de risque globale Contrôles et tableaux de bord Globaux CSSI Conformité Informatique et libertés RGS : Mise en conformité Organisation Schéma directeur RGS : Cadrage et méthodologie Analyse de risque CCAS Pilotage opérationnel- Contrôle Intégration de la sécurité dans les projets PKI Authentification forte Continuité SI Diagnostic Sécurité opérationnelle : Contrôle opérationnel Opérationnelle Initiale Maturité (vision tactique) 40 Elevée
Exemple de chantiers C2. Sensibiliser les agents et les managers Objectif L objectif est la prise de conscience. Les différentes populations doivent prendre consciences des menaces et des risques ainsi que des enjeux de la sécurité. Des plans d action différenciés doivent être envisagés pour couvrir le «grand public» et instaurer un ensemble de bons réflexes et pour couvrir le management et accorder une place importante à la SSI dans la feuille de route de l organisation. Actions préconisées Organiser un plan de sensibilisation global pour la Collectivité Définirles populations à couvrir Identifierles médias et les actions de communication Décliner le plan pour les agents via la tenue de sessions de sensibilisation et des actions de communication Définir la nature des sessions (e-learning, session plénière ou en petit groupe) Définir le contenu des supports à présenter Identifierdes actions de communication «marquantes» (affichagede poster, communicationpar la bande dessiné, utilisationde la lettre RH, etc.) Décliner le plan pour la direction et les personnels «VIP» via la tenue de sessions de sensibilisation et des actions de communication Définir la nature des sessions (e-learning, session plénière ou en petit groupe) Organiser un ou plusieurs ateliers de travail visant à sensibiliser les personnels «VIP» sur leurs enjeux de sécurité ainsi que sur l importance de la sécurité pour la collectivité Mettre en place un intranet ou un espace documentaire accessible aux agents et dédié aux sujets SSI Identifierun outil ergonomique et visuel Mettre en ligne les documentations de référence Mettre en ligne les réponses aux questions courantes et les procédures en cas d incident Complexité Coût Gain en sécurité Principaux Acteurs Priorité RSSI, Communication, Ressources Humaines Agents 41 1 Exemple de chantiers 42
Exemple de chantiers C9. Surveiller le SI Objectif L objectif est de se doter de moyens pragmatiques et efficaces pour surveiller le SI et renforcer sa maitrise. Cela passe notamment par l analyse des logs (pour connaitre les actions réalisées sur le SI) et par la détection des vulnérabilités (pour connaitre les zones de faiblesses) et l application des patchs de sécurité. Actions préconisées Améliorer la collecte et l analyse des logs Mettre en place un service de collecte et d analyse des logs Définiret appliquer les processus d alerte et d action associé Détecter et traiter les vulnérabilités Mettre en place une solution de diffusionautomatisée des correctifsde sécurité Mettre en place un service de détection automatisée des vulnérabilités Définiret appliquer les processus d alerte et de correction Mettre en place des tableaux de bord opérationnels Construire un «reporting» permettant le suivi des solutions de sécurité opérationnelle Mettre en place un service d alimentation des tableaux de bord et du reporting Définir et appliquer les processus d analyse des tableaux de bord Complexité Coût Gain en sécurité Principaux Acteurs Priorité RSSI, DSI 2 43 C5. Rédiger une charte administrateur Objectif Exemple de chantiers L objectif est de cadrer les «droits et devoirs» des administrateurs vis-à-vis de la sécurité du SI. Le chantier vise à couvrir les administrateurs de la DSI mais également les administrateurs fonctionnels, au sein des directions métier. Ces administrateurs prennent une part croissante dans le suivi de certaines problématiques de sécurité, comme la gestion des droits, et leurs actions doivent être encadrées. Actions préconisées Rédiger une charte administrateur Formaliser une charte administrateur cadrant les droits et devoirs en matière de SSI Expliquer les réflexes à avoir et les comportements à risques Rédiger une charte administrateur fonctionnel Formaliser une charte administrateur fonctionnel cadrant les droits et devoirs en matière de SSI Expliquer les réflexes à avoir et les comportements à risques Formaliser l implication des administrateurs fonctionnels sur les chantiers sécurité (sur la gestion opérationnel de la SSI et la gestion des droits, sur la gestion des incidents, sur l intégration de la sécurité dans les projets) Organiser la diffusion des chartes Prévoir une session d information ou un média adapté pour expliquer l objectif et le contenu des chartes Exemple de documents Plan d une charte administrateur 1. Préambule 2. Objet 3. Définitions 4. Champ d application 5. Prérogatives de l administrateur 5.1. Administration des moyens informatiques et de communications électroniques 5.2. Participation a la politique de sécurité 5.3. Gestion des risques et des menaces 6. Engagements de l administrateur 6.1. Obligation de collaboration 6.2. Obligation d information, de conseil et d alerte 6.3. Obligation de confidentialité renforcée 6.4. Obligation de sécurité 6.5. Obligation de respecter les droits de propriété 6.6. Obligation de respecter la vie privée des utilisateurs 6.7. Obligation de respecter la règlementation informatique et libertés 7. Responsabilité de l administrateur 8. Evolution de la charte 9. Documentation associée 10. Acceptation de la charte 11. Publicité Complexité Coût Gain en sécurité Principaux Acteurs Priorité RSSI, DSI, www.advens.fr Administrateurs Document confidentiel Advens 2015 fonctionnels 44 2
Sommaire Définitions et fondamentaux L approche par les risques Le SMSI La feuille de route Les tableaux de bord 45 Le tableau de bord de pilotage de la sécurité Le tableau de bord permet de piloter le niveau de sécurité et d améliorer le niveau de qualité des services de sécurité. Objectifs : Disposer d une vision synthétique aux travers d indicateurs consolidés Evaluer le niveau de conformité aux règles / objectifs de sécurité Mesurer l efficacité des mesures de sécurité mises en œuvre Suivre l évolution du niveau de sécurité et des menaces Etablir un plan d action unifié dans le cadre de la démarche d amélioration continue Communiquer sur le niveau de sécurité opérationnelle et sur les actions réalisées Tableaux de bord stratégiques Direction Tableaux de bord de pilotage tactique RSSI, DSI Tableaux de bord de pilotage opérationnel DSI, Equipes opérationnelles SI Une vision adaptée en fonction des destinataires 46
Nature des indicateurs Indicateurs quantitatifs valeurs factuelles : permet de rester objectif Pour faire du suivi de projet ou de plan d actions Pour se situer par rapport à une situation antérieure Indicateurs qualitatifs Pour évaluer le respect des procédures de sécurité, la pénétration de la culture sécurité Respect des règles de la politique Indicateurs issus d audit ou de contrôle Nombre de mot de passe découverts dans un délai Nombre de procédures de la politique de sécurité non rédigées Indicateurs de suivi Nombre de test de sauvegarde, de back up, de maintien en condition opérationnelle du plan de secours 47 Indicateurs stratégiques Thème Politique de sécurité Organisation de la sécurité Gestion des biens Sécurité des ressources humaines Sécurité physique et environnementale Exploitation et gestion des menaces Contrôle d accès Intégration de la sécurité dans les projets Suivi des incidents de sécurité Continuité d activités Conformité Situation Commentaires A diffuser aux équipes Peu de personnes présentes lors du dernier CSSI Incohérences dans les inventaires Sensibilisation utilisateur réalisée Pas d incident constaté Certaines procédures à rédiger Des contrôles d accès à mieux maîtriser En cours de mise en place Processus mis en oeuvre PCA mise à jour et testé Projet de mise en conformité prévu en début d année Préserver le patrimoine informationnel I C Assurer la continuité business I C Garantir la conformité I C Légende I Mesure initiale (Diagnostic) C Cible (Objectifs fixés) Niveau actuel (selon la période) C Objectifs atteints I Niveau initial 48
Indicateurs de pilotage Incidents de sécurité Incidents de sécurité Répartition des incidents de sécurité en fonction de leurs impacts Janvier 2014 Nombre d'incidents de sécurité 1 3 Perte de disponibilité Perte d'intégrité <= 2 entre 2 et 7 2 Perte de confidentialité > 7 2 Perte de traçabilité 8 incident(s) Répartition par type d'incidents de sécurité 9 8 7 6 5 4 3 2 1 Tentative d'intrusion Incident éthique Déni de service Usage abusif du SI Virus/Malware M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 49 Indicateurs opérationnels Lutte antivirale Mise à jour des serveurs Incidents de type infection virale <= 0 entre 0 et 2 > 2 93% 2 incident(s) Gestion des sauvegardes Mise en œuvre du plan de sauvegarde Tests de restauration 89% 67% 50
Conclusion Tous les outils, dispositifs et méthodes existent pour mettre en place une démarche de sécurité des SI adaptée à votre collectivité. Une analyse de risques ou un diagnostic vont vous aider à évaluer le niveau de départ et définir les chantiers à organiser. La feuille de route ou le plan d action- vont lister les projets et les sujets à traiter, en interne ou avec un complément d expertise. Le tableau de bord va permettre de piloter la démarche dans le temps. Le tout doit s accompagner de communication, de sensibilisation et de formation! L initiative du CDG59 va vous permettre d être accompagnée dans cette démarche, pour maitriser vos risques, protéger votre collectivité ainsi que les agents et citoyens du territoire! 51 Questions / Réponses 52