Sécurité de l information : vers une convergence des approches par le risque et par l audit? Retour d expérience Groupe France Télécom - Orange / Conix Security François Zamora Emmanuel Christiann Sébastien Michaud Sylvain Conchon 1
Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Conix Security Sylvain Conchon, Conix Security Consultant senior 2
Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Sylvain Conchon, Conix Security Consultant senior 3
Quelques tendances générales Exigences business nouvelles : la certification ISO 27001 devient obligatoire ici et là De nouveaux signaux : L aptitude du contrôle interne de l entreprise à démontrer son efficacité d abord pour la maîtrise de ses risques business ensuite pour afficher la «compliance» La santé financière assurée, la pérennité du projet industriel est clef 4
De la sécurité de l information vers la sécurité globale 5
Bénéfices immédiat et perspectives Expliciter le sens business de la démarche Faciliter la lecture des risques pour le décideur Clarifier l accountable et le responsible Perspectives d amélioration : Profiter des activités de gestion des incidents Profiter des activités d appréciation de menaces 6
Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Sylvain Conchon, Conix Security Consultant senior 7
Ce qui déclenche la réflexion la gestion des risques identifie les vulnérabilités à partir d une modélisation formelle du périmètre valorise les impacts métiers selon une échelle d impact ou de besoin de sécurité vise la réduction de risque, mais se veut offrir une gestion sur la durée est généralement traitée par une fonction Risk Manager, ou déléguée à la fonction RSSI l audit de vulnérabilités identifie les vulnérabilités à partir de constats d audit provenant du terrain valorise la sévérité des vulnérabilités au sens «système d information» vise la correction des vulnérabilités, mais offre une vue instantanée est généralement traitée par une fonction RSSI, voire une entité dédiée aux audits 8
La problématique est posée Le besoin : évaluer et améliorer le niveau de sécurité d un périmètre identifié Le constat : plusieurs approche sont possibles, chacune présentant ses avantages et ses limites L objectif : faire converger simplement et à moindre coût des approches a priori différentes Approche par le risque Contexte métier du service Contexte opérationnel du service Approche par l audit 9
Approche par le risque : une vue synthétique Modélisation du périmètre Biens essentiels Biens supports R = f ( M, V, I ) Identification et valorisation des risques Étude des menaces Étude des vulnérabilités Étude des impacts métiers 10
Approche par le risque : clefs de succès et limites Etablissement du contexte! source Exhaustif a priori ISO/IEC 27005:2008 Dépendant du choix de modélisation Identification du risque!! Exhaustif a priori (approche analytique) Dépendant de l interprétation de l audité Dépendant de la capacité de l auditeur Estimation du risque!! Dépendant de l interprétation de l audité Dépendant de la capacité de l auditeur Evaluation du risque Capacité à fédérer l audience décisionnaire Traitement du risque! Eloignement des problématiques terrain Difficulté de valorisation du RoSI Identification des responsabilités CONTEXT ESTABLISHMENT RISK ASSESSMENT RISK ANALYSIS RISK IDENTIFICATION RISK ESTIMATION RISK EVALUATION RISK TREATMENT 11
Approche par l audit : une vue synthétique Étude du périmètre Biens supports R = f ( M, V, I ) Identification et valorisation des risques Constats d audit Étude des impacts SI 12
Approche par l audit : clefs de succès et limites Etablissement du contexte! Limité aux biens supports Identification du risque! Sur la base de la réalité du terrain Sans viser la complétude Estimation du risque par la sévérité! A priori dissociée de l impact métier Evaluation du risque Notion absente Pas d indicateur priorisant le traitement Traitement du risque Difficulté de priorisation des actions Difficulté de valorisation du RoSI Identification des responsabilités source ISO/IEC 27005:2008 CONTEXT ESTABLISHMENT RISK ASSESSMENT RISK ANALYSIS RISK IDENTIFICATION RISK ESTIMATION RISK EVALUATION RISK TREATMENT 13
Quelle approche de convergence? La colonne vertébrale reste la notion de risque rapporté au métier CONTEXT ESTABLISHMENT Héritage du l approche par le risque : analyse «top down» Pour la phase d identification (approche analytique) Pour la phase d évaluation (seuil et acceptation du risque) Pour la phase de traitement (montant de la perte dans le RoSI) RISK ASSESSMENT RISK ANALYSIS RISK IDENTIFICATION RISK ESTIMATION Héritage de l approche par l audit : analyse «bottom up» Pour la phase d identification (constats terrain et preuve) Pour la phase de traitement (coût opérationnel de l action dans le RoSI) RISK EVALUATION RISK TREATMENT 14
Agenda Exposé du contexte métier (François Zamora, Emmanuel Christiann) Constats, outils et pratiques favorisant la convergence (Sébastien Michaud, Sylvain Conchon) Facteurs de réussite et cas concrets d application (François Zamora, Emmanuel Christiann) Les intervenants : François Zamora, Groupe France Télécom Orange Responsable vigilance opérationnelle Groupe Emmanuel Christiann, Groupe France Télécom Orange Responsable du pôle Evaluation de la sécurité IT&N Sébastien Michaud, Conix Security Directeur Sylvain Conchon, Conix Security Consultant senior 15
Facteurs de succès d une approche par l audit Identifier les scénarii de risques avec les bases de connaissance des méthodes existantes Bénéficier du caractère réversible de l analyse de risque Bénéficier de la richesse des bases de connaissance existantes permet de viser l exhaustivité du panorama des risques Exprimer les impacts métiers par les techniques propres aux analyses de risque Associer les biens essentiels aux biens supports... Valoriser les constats d audit en impacts techniques et métiers permet de proposer des restitutions adaptées à l audience 16
Un exemple de réversibilité L identification de la menace à partir 1 constat d audit = 1 vulnérabilité générique 1 vulnérabilité générique = N menace(s) générique(s) Constat d audit Vulnérabilité générique Menace générique A telnet service is accessible from the Internet, with a login prompt Possibility of remote administration of the system using non-encrypted administration tools [36] Corruption of data [40] Forging of rights Unsuccessful login attempts are not logged into the system The operating system does not log system records or events [40] Forging of rights Le risque est une menace instanciée et contextualisée Un opérateur interne usurpe les credentials d un administrateur [menace] obtenus à partir de l écoute d une transmission en clair sur le réseau [vulnérabilité] pour porter atteinte à la disponibilité [critère de sécurité] du service [bien essentiel] 17
L approche «bottom-up» explicitée Étude du périmètre Biens essentiels Biens supports R = f ( M, V, I ) Identification et valorisation des risques Étude des menaces Étude des vulnérabilités Étude des impacts métiers 18
Deux situations auditées et valorisées quantity quantity 19
Facteurs de succès d une approche par le risque 1/2 Avérer le risque par l identification des preuves Traiter la problématique de la preuve dans l analyse de risque Selon le périmètre, cette approche peut être coûteuse et ne garantit pas toujours un résultat opérationnel Intéressant pour des systèmes complexes, mais à limiter à des sous-systèmes bien définis et bien délimités Insérer l analyse dans une démarche qualité systématique L analyse de risque déclarative est assumée en phase PLAN de la boucle qualité L audit de la phase CHECK de la boucle qualité offre la preuve de l analyse La synergie des approches intervient à la fin du 1 er tour de la boucle qualité Cette approche relève d une «philosophie» ISO 27001 visant l efficacité (de la maîtrise de risque) et non la conformité 20
Facteurs de succès d une approche par le risque 2/2 Rendre opérationnel le plan de réduction des risques L approche par les risques est nativement opérationnelle Mettre des mots sur des événements redoutés, c est baliser le chemin du succès Modéliser son périmètre, c est mettre et reconnaître chacun à sa place L approche par les risques contribue nativement à l awareness Parce qu elle modélise l effet des pratiques en place Parce qu elle modélise l effet de décisions de traitement du risque Parce qu elle modélise l effet de décisions qui augmentent le risque L approche par les risques associe (mais ne confond pas) les objectifs de conformité et les objectifs de sécurité sur le périmètre pertinent Attester que les mesures de sécurité sont en place pour un objectif de conformité, c est s exposer à une erreur de périmètre d application de ces mesures par rapport aux préoccupations de maîtrise des risques métiers 21
Contribution au business Une montée en maturité du métier, désormais son propre acteur de la sécurité de son information Un bénéfice mesurable pour le business et la fonction sécurité L industrialisation des méthodes optimise les coûts et rend possible le benchmark interne Une «R&D» méthodologique appliquée Un différenciateur concurrentiel Une contribution à la communauté SSI 22
Merci de votre attention P Adoptez l'éco-attitude, n'imprimez cette présentation que si cela est vraiment nécessaire 23