Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?



Documents pareils
HySIO : l infogérance hybride avec le cloud sécurisé

Sécurité des Systèmes d Information

ISO/CEI 27001:2005 ISMS -Information Security Management System

Vers un nouveau modèle de sécurité

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Gestion des Incidents SSI

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Management de la sécurité des technologies de l information

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Panorama général des normes et outils d audit. François VERGEZ AFAI

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Opportunités s de mutualisation ITIL et ISO 27001

Yphise accompagne les décideurs et managers dans leurs réflexions, décisions et actions

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Indicateur et tableau de bord

Table des matières. Partie I CobiT et la gouvernance TI

The Path to Optimized Security Management - is your Security connected?.

Projet Sécurité des SI

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

La sécurité applicative

Prestations d audit et de conseil 2015

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Gestion des mises à jour logicielles

Analyse statique de code dans un cycle de développement Web Retour d'expérience

Jean-Louis FELIPE (Né le 20/11/1960) Consultant sénior ITSM

Sécurisation d un site nucléaire

PASSI Un label d exigence et de confiance?

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

LA PROTECTION DES DONNÉES

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

CATALOGUE DE PRESTATIONS SOLUTIONS GMAO. performed by PYC : Pierre-Yves COLLIN

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Présentation CERT IST. 9 Juin Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Sécurité informatique: introduction

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

dans un contexte d infogérance J-François MAHE Gie GIPS

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Créer un tableau de bord SSI

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Découvrir les vulnérabilités au sein des applications Web

Cette première partie pose les enjeux de la BI 2.0 et son intégration dans le SI de l entreprise. De manière progressive, notre approche situera le

ISO 27001:2013 Béatrice Joucreau Julien Levrard

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

DÉPARTEMENT FORMATIONS 2015 FORMATION-RECRUTEMENT CATALOGUE. CONTACTS (+226)

Gestion des incidents de sécurité. Une approche MSSP

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

curité des TI : Comment accroître votre niveau de curité

ISO la norme de la sécurité de l'information

LA PROTECTION DES DONNÉES

Les stratégies de protection des marques sur Internet au travers des noms de domaine

«Sécurisation des données hébergées dans les SGBD»

Mise en place d un Système de Management Environnemental sur la base de la Norme ISO SARRAMAGNAN Viviane

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

Vector Security Consulting S.A

Modèle MSP: La vente de logiciel via les services infogérés

Montrer que la gestion des risques en sécurité de l information est liée au métier

Sécurité du cloud computing

Les audits de l infrastructure des SI

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

ISO conformité, oui. Certification?

Systèmes et réseaux d information et de communication

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Guide sur la politique de la protection des renseignements personnels et des données électroniques de Groupe Cloutier Inc. Annexe 16 Novembre 2013

Classification : Non sensible public 2 / 22

P s a sep e o p r o t S e S r e vi v ce c s Fabrice Dubost

SCHMITT Année 2012/2014 Cédric BTS SIO TP SPICEWORKS. SpiceWorks propose un logiciel de gestion de parc informatique aux multiples facettes :

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Excellence. Technicité. Sagesse

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Méthode d'organisation de la veille juridique

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Retour d expérience RATP. Intégrer le test de performance au cœur du processus de développement agile. Challenges, techniques, résultats.

JOURNÉE THÉMATIQUE SUR LES RISQUES

L exploitation des rapports de vérifications réglementaires : quels enjeux, quelle solution?

La gestion des risques IT et l audit

Références des missions en Gestion des Risques

LES SOLUTIONS MEGA POUR LA GOUVERNANCE, RISQUES ET CONFORMITÉ (GRC)

Transcription:

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2

Organisation du BNP Paribas La sécurité des SI au sein de BNP Paribas OBJECTIF : maîtrise démontrée du risque sécurité lié aux SI conformément Aux lois et règlements de l'industrie bancaire et financière Les valeurs du groupe BNP Paribas : éthique, développement durable, valeur de la marque, maîtrise du risque opérationnel... L'appétence au risque propre à chaque métier dans chaque implantation PÉRIMÈTRE : tout le groupe sur l ensemble de ses territoires COUVERTURE : la sécurité de l'information comme définie par l ISO 27001 MOYENS : un cadre de management de la sécurité (politique, procédure, scorecard, gouvernance projet, veille...) et des actions permanentes EFFECTIFS : sécurité groupe (~40 pers.) + un réseau de BISO / CISO (~30 pers.) + une communauté (~150 pers.) et des acteurs opérationnels repartis (~500 pers. soit 4% des informaticiens) La maîtrise du risque de sécurité lié aux SI, c'est : Une dimension de la stratégie de Sécurité Globale La contribution au processus global de gestion des risques opérationnels Un moyen de contrôle permanent Une valeur du groupe BNP Paribas et de des métiers

Agenda Inventaire et classification «Car nous ne pouvons protéger que ce que nous connaissons» Veille «Car nous ne pouvons nous protéger que de ce que nous connaissons» Patch management 0-days, ½-days et vulnérabilités humaines : lesquelles prioritiser Gestion des priorités Risk acceptence et dérogation Contrôle Parce que «la confiance n exclut pas le contrôle» (Lénine) 5 2011 en chiffre 721 avis de sécurité 84 mises à jours majeurs 2427 mises à jours mineurs 1150 produits 9248 versions 6

Inventaire et classification «Car nous ne pouvons protéger que ce que nous connaissons» Un pré-requis pour : Connaître son parc Identifier les priorités Disposer d état des lieux fiables Souvent réduit à l état d objectif Limité par la taille des inventaires L indiscipline des acteurs La limitation des outills 7 Veille «Car nous ne pouvons nous protéger que de ce que nous connaissons» Indispensable sur les gros parcs Veille Vulnérabilité Pour identifier les points faibles et les actions à réaliser Veille Environnementale Pour définir les priorités Veille Spécifique Pour anticiper Conception Technique Fonctionnelle Veille Environnementale Failles Métier Rapide Entreprise Exploits Veille Vulnérabilité Veille Stratégique Stratégie Besoins Technologies Menaces matures Objectifs Nouvelles technologies Veille Spécifique Lente Règlementations Évolution 8

Patch management 0-days, ½-days et reliquat: lesquels prioritiser Rappel sur le cycle de patch-management Risque Correctif Qualification définie GO déploiement Processus de reporting à 80% à 95% du 0-day Processus de veille Processus Processus de d homologation et de qualification packaging Processus de déploiement Temps 9 La vérité sur le patch management Zone de risque non maitrisable avant la connaissance du 0-day Zone de risque liée à la publication du 0-day Zone de risque subie jusqu au patch de la moitié des équipements Zone de risque résiduelle : «reliquat» Risque ½-day Découverte d une vulnérabilité 0-Day Correctif du 0-day Qualification définie GO déploiement à 80% à 95% Reliquat Temps 10

Gestion des priorités Le patch management n est possible que si un correctif existe Les zones de risque induites par un 0-Day doivent être gérées par des mesures de sécurité autre que le patch management La zone de risque subie pendant le déploiement du correctif doit être couvertes par des mesures de sécurité complémentaires Priorisation de déploiement (actifs critiques ou très exposés) Monitoring accru Le risque porté par le reliquat doit continuer à être réduit Identification des équipements vulnérables non inventoriés (scans) Suivi du déploiement et identification des anomalies En dernier recours acceptation du risque et définition de mesures complémentaires si impossibilité de passer le correctif sur un serveur 11 Un processus complexe La gestion des vulnérabilités est un processus complexe intégrant un nombre important de mesures Organisationnelles Veille Gestion des inventaires Classification Suivi du déploiement Réalisation de tableaux de bord Acceptation du risque Techniques Détection d événements et signatures (SMC) Identification et implémentation de mesures de sécurité complémentaires Déploiement de correctif Scans de vulnérabilité L efficacité de ce processus ne peut être garanti que si toutes ces mesures sont déployées 12

Des contrôles pour assurer l efficacité du processus «Implémentation» «Efficacité» «Pérennité» Trois niveaux de contrôle Contrôle de premier niveau par les équipes opérationnelles Contrôle permanent par le contrôle interne Contrôle périodique par l audit interne Ciblant l ensemble du processus sécurité Du physique à l organisation de la sécurité Du technique à l organisationnel Continuité d activité Organisation de la sécurité Sécurité des applications Sécurité des OS Sécurité réseau Sécurité Physique En revenant aux basiques Une nouvelle tactique face à l évolution des attaques : Ne pas oublier ses basiques Anticipation Prévention Protection Découverte d un 0-Day Exploitation non détectée du 0-day Gestion des inventaires et classification Veille sur les menaces Revues du niveau de sécurité Défense en profondeur Exploitation accrue Veille sur les vulnérabilités Scans de vulnérabilité Mesures complémentaires Correctif Déploiement sur 80% du parc Suivi du déploiement Déploiement du correctif à 80% Reliquat Détection Monitoring des anomalies Monitoring des signatures d attaque Collecte des déclarations d incidents de sécurité Réaction Gestion des incidents de sécurité 14

Questions

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back