Atelier Tableau de Bord SSI

LEXSI > OzSSI 1 Atelier Tableau de Bord SSI De quel Tableau de bord Sécurité du SI ai-je besoin?

LEXSI en quelques mots 2 130 experts - 600 clients - +20 % par an - 10 ans - 4 pays - 24/7 AUDIT VEILLE & CYBERCRIME 1er CERT privé européen Veille en vulnérabilités Enquêtes et réponses à incidents Lutte contre la cybercriminalité 5 missions par semaine Audit stratégique Audit de conformité Audit technique & pentest Audit de code 4 métiers CONSEIL 60 consultants Management des risques Résilience & continuité d activité Assistance à maitrise d ouvrage Accompagnement SSI, ISO 2700x... Gouvernance et stratégie Solutions et architectures de sécurité FORMATION & SENSIBILISATION Plus de 800 RSSI formés Organisme de formation Partenaire SANS Institute (GIAC) Parcours RSSI Nombreux modules experts 04/06/2015 OzSSI - Atelier Tableau de Bord SSI

Atelier Tableau de bord SSI Objectifs de l atelier 3 Échanger sur les tableaux de bord SSI actuellement déployés Proposer une nouvelle approche de construction en fonction de la maturité SSI de l organisation Partager autour des facteurs clés de réussite et des problématiques rencontrées

Programme de l atelier 4 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

Entrée en matière Une «panne» de tableau de bord à l origine d un crash aérien 29 décembre 1972. Le vol 401 Eastern Air Lines amorce son approche vers l aéroport international de Miami. Au moment de sortir le train d atterrissage, l équipage se rend compte que la lumière du tableau de bord servant à indiquer le bon déroulement de l opération reste éteinte : soit le train n est pas bien sorti, soit l ampoule est grillée. Une série de vérifications visuelles liées à ce 1er incident est alors déroulée, occupant certains membres d équipage hors de vue du tableau de bord. Dans le même temps, l avion commence à perdre de l altitude. Une alarme, concernant l altitude cette fois-ci, apparait sur un tableau de bord alors sans surveillance. L alerte humaine n est finalement donnée que quelques temps plus tard, il n est plus possible d agir, l avion s écrase 10 minutes après la découverte de la lampe grillée. http://aviationknowledge.wikidot.com/asi:eastern-air-lines-flight-401-cfitanalysis Des indicateurs inadaptés mis en cause dans des accidents industriels «Juin 2007. Dans une usine de fabrication d ammoniac et engrais, 200 kg d oxydes d azote (NOx) sont émis dans l atmosphère via la cheminée de l atelier acide nitrique en redémarrage après un arrêt de 2 semaines pour maintenance [ ] L émission se poursuit 50 min jusqu à ce que l exploitant identifie la cause de l incident : une défaillance du dispositif de mesure [ ] L inspection [ ] notera sur place que le seuil d alarme de niveau haut [ ] n est pas adapté aux phases de démarrage [ ]. Seule les fumées rousses ont alerté les opérateurs.» 5 A la même période, «un incendie se déclare à la base d un séchoir à fécule. L accident est probablement dû à un dépôt accidentel de fécule ayant subi un échauffement anormal. Compte tenu de la position inadaptée du capteur de température, l injection de vapeur automatique prévue pour éviter ce type d incident n a pas fonctionné». Étude capteur barpi de juin 2012

Entrée en matière Parallèle avec les tableaux de bord d entreprise 6 Ce qu on peut en retenir : Un risque majeur (perte d altitude et décrochage de l avion, mauvais fonctionnement du train d atterrissage) peut être détecté via la mise en place d un indicateur «simple» (une lumière) L absence de surveillance régulière d un indicateur particulier peut aboutir à des conséquences désastreuses Un indicateur mal positionné, non relié à un risque, est un indicateur inutile Un indicateur dont le seuil n est pas défini correctement n est pas efficace : soit il sera toujours bon et ne permettra pas de détecter les risques, soit il sera toujours «rouge» et on finira par ne plus s en préoccuper

Etat des lieux Quelques chiffres 7 CLUSIF 2012, sur un échantillon de 350 entreprises de plus de 200 salariés Alors qu une progression avait été constatée de 2008 à 2010, plus de 79% des entreprises ne disposent pas de Tableau de bord SSI en 2012 (contre 65% en 2010) 2/3 des tableaux de bord existants ne s adressent pas à une Direction Générale. 60% présentent uniquement des indicateurs opérationnels

De la sécurité opérationnelle à la gouvernance Les organisations évoluent Evolution et modification de la gouvernance d entreprise : équilibre entre performance et conformité Gouvernance de la sécurité : doit soutenir la gouvernance institutionnelle Transition d une approche technique vers un soutien des enjeux de l entreprise (soutien métier, respect des contraintes légales et réglementaires, protection du patrimoine informationnel) Nécessité de piloter cette nouvelle gouvernance : passe par la mise en place d un tableau de bord 8

Programme de l atelier 9 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

Le Tableau de bord SSI nécessaire Intérêts de mettre en œuvre un tableau de bord SSI 10 Contrôler la bonne mise en œuvre des mesures et moyens de sécurisation du SI Fournir une vue d'ensemble de la gestion des risques de l entreprise Comparer l'état actuel de la sécurité du SI avec les états précédents, par la fourniture d indicateurs calculés selon des méthodologies répétables et industrialisables Aider à répondre aux questions récurrentes du type : «Quel est notre niveau de sécurité?» et «Sommes-nous conformes?» Mesurer et démontrer l efficacité des mesures et des investissements de sécurité du SI Montrer une image de «service» de sécurité auprès des dirigeants et des métiers, et non de contrainte

Le Tableau de bord SSI nécessaire Un outil de communication pour le RSSI 11 Direction Générale Sécurité opérationnelle Pilotage de la Sécurité Un intérêt multiple et transverse

Programme de l atelier 12 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

Tableau de Bord et maturité SSI Proposition de définition 13 «Tableau de Bord : - Outil d aide à la décision basé sur plusieurs indicateurs de sécurité calculés à partir de points de mesure quantifiables, et muni de plusieurs niveaux de représentation» «Indicateur : - Mesure qui fournit une estimation ou une évaluation d attributs spécifiés dérivé d un modèle analytique, en accord avec les besoins de sécurité» (ISO 27004:2009) - En clair, un indicateur est un moyen de mesurer l atteinte d un objectif de sécurité, la couverture d un risque ou la résolution d un problème de sécurité

Tableau de Bord et maturité SSI Les 4 niveaux de maturité SSI 14 Niveau 1 : «Définition des objectifs de sécurité» (IT Security Goals) Niveau 2 : «Implémentation des mesures de sécurité» (Implementation) Niveau 3 : «Efficacité du dispositif et de la stratégie» (Efficiency & Effectiveness) Niveau 4 : «Prise en compte des impacts métier» (Business Impact) Référence NIST SP 800-55

Tableau de Bord et maturité SSI A chaque niveau de maturité son tableau de bord 15

Tableau de Bord et maturité SSI Caractéristiques par niveau de maturité Niveau de maturité de l organisation en sécurité Description du Tableau de bord Objectifs et cible Type d indicateurs Forme Mise en œuvre 16 1 - Définition des objectifs de sécurité 2 - Implémentation des mesures de sécurité 3 - Efficacité/efficience 4 - Prise en compte des impacts sur le métier Mesurer l avancement de l implémentation des mesures de sécurité A destination du RSSI principalement et des équipes opérationnelles. Mesurer l efficacité des mesures de sécurité mises en œuvre. Vue opérationnelle à destination des équipes opérationnelles de la DSI, vue stratégique à destination du RSSI, du DSI voire du risk manager. Mesurer l impact de la sécurité sur l atteinte des objectifs métier En plus du tableau de bord traditionnelle, un «Balanced Scorecard» peut être mis en œuvre, à destination de la Direction Générale, du Conseil d administration, des actionnaires. Pas de tableau de bord Les indicateurs sont définis à partir des projets et actions sécurité en cours. Les indicateurs sont définis à partir des politiques et des contrôles de sécurité qui y sont définis Les indicateurs sont définis à partir des objectifs métier sur lesquels la sécurité peut avoir un impact (réduction des coûts, gain de clients ou de CA, croissance de l organisation, etc.) Simples pourcentages ou icones, sous forme de listing par exemple. Synthétique Tableau de bord présentant plusieurs niveaux. Les indicateurs sont représentés sous forme de graphiques précis pour la vue opérationnelle, d icônes simples pour la vue stratégique. Le tableau de bord traditionnel est identique à celui du niveau «Efficacité». Le balanced scorecard propose une représentation beaucoup plus abstraite et éloignée des problématiques opérationnelles de la Difficile car très manuelle, que ce soit pour la mise en œuvre initiale et la collecte des indicateurs. Assez difficile tant que tous les processus liés à la sécurité ne seront pas rodés. Difficulté moyenne car à ce stade généralement les automatisations sont nombreuses

Tableau de Bord et maturité SSI Illustrations par niveau de maturité 17

Programme de l atelier 18 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

Fondamentaux d un bon tableau de bord Vue générale Une cinématique de calcul 19 Approche PDCA Différentes vues de représentation des résultats BM1 BM2 IS 1 IS 2 IS 3 IS 4 BM3 BM4 IS KRIs

Fondamentaux d un bon tableau de bord N 1 : Les différentes vues Identifier les cibles (Administrateurs techniques, RSSI, Direction des Risques, Direction générale?) Adapter les représentations pour chacune des cibles (types d indicateurs, forme) Identifier si un découpage des données est nécessaire ou non (contexte multi-filiales, multi-sites?) 20

Fondamentaux d un bon tableau de bord N 2 : La cinématique de calcul Définir : - Métriques - Mesures dérivées - Indicateurs Pour chaque indicateur, définir attentivement la méthode de calcul et les métriques utilisées (tout calcul d indicateur doit être reproductible) 21

Fondamentaux d un bon tableau de bord N 3 : Distinguer le fond et la forme 22 D un point de vue implémentation technique, dissocier : - le fond (indicateurs, métriques, cinématiques de calcul) - de la forme (vues, représentations graphiques) Des outils différents peuvent être utilisés Les objectifs visés priment sur les outils, et non l inverse

Composer son tableau de bord La démarche globale 23 L approche proposée par Lexsi est une approche PDCA, conforme à l ISO 27004.

Les composantes d un bon tableau de bord 1. Définir ses objectifs Répondre aux questions : - Quel est mon niveau de maturité? - Mes objectifs de sécurité sont-ils bien définis? - A qui s adresse le tableau de bord, dois-je prévoir une diffusion au niveau du Comité de Direction ou aux actionnaires? Fixer les paramètres du tableau de bord: - Nombre et types de vue - Types d indicateurs > 1 Définir ses objectifs 24 > 5 Maintenir son tableau de bord > 2 Choisir et organiser les indicateurs > 4 Réaliser un pilote > 3 Construire les vues

Les composantes d un bon tableau de bord 2. Choisir et organiser les indicateurs Partir «par chacun des bouts» - 1. Définir le plus haut niveau de données qui doit figurer dans le tableau de bord (domaines de sécurité? risques? objectifs métiers?) - 2. Identifier les métriques de base à collecter et les fréquences de collecte - 3. Construire si besoin les mesures dérivées à partir du regroupement d une ou plusieurs métriques de base - 4. Effectuer le «matching» > 1 Définir ses objectifs 25 > 5 Maintenir son tableau de bord > 2 Choisir et organiser les indicateurs > 4 Réaliser un pilote > 3 Construire les vues

Les composantes d un bon tableau de bord 2. Choisir et organiser les indicateurs Cinématique de calcul 26

Les composantes d un bon tableau de bord 2. Choisir et organiser les indicateurs Une bonne métrique de base est une métrique SMART - Specific (spécifique) : la métrique doit être claire et non ambiguë - Measurable (mesurable) : la métrique doit être quantifiable, issus d éléments objectifs et empiriques - Attainable (atteignable) : le seuil ne doit pas être trop ambitieux, sous peine d être KO en permanence - Relevant (pertinent) : la métrique doit permettre de prendre une décision en cas de KO - Time-Bound (dans un temps imparti) : la métrique doit être mesurable à chaque période de collecte Autres qualités recherchées : - Rentable : Coût de réalisation inférieur au coût d une non-conformité (statut KO) - Répétable : Résultats reproductibles et contrôlables 27

Les composantes d un bon tableau de bord 2. Choisir et organiser les indicateurs 28 Ne pas oublier de documenter le processus de collecte et les méthodes de calcul : Identification Procédure de collecte Procédure de calcul Procédure d analyse Représentation graphique Paramètres d une métrique de base Nom Description Référence Source de collecte Liste des valeurs remontées Fréquence de collecte Méthode de collecte Type des valeurs remontées Moment de la collecte Responsable de collecte Méthode de calcul Responsable du calcul Type de valeur calculé Valeur(s) du seuil Méthode d analyse OK/KO Type de graphique Nombre de valeurs à afficher Responsable de l analyse Echelle Y maxi Echelle Y mini Fréquence de calcul Moment du calcul Fréquence d analyse Moment de l analyse Fréquence de publication Moment de publication Autres informations (optionnelles) Entités concernées Visibilité / Destinataires

Les composantes d un bon tableau de bord 3. Construire les vues 1 vue = 1 public > 5 Maintenir son tableau de bord > 4 Réaliser un pilote > 1 Définir ses objectifs > 2 Choisir et organiser les indicateurs > 3 Construire les vues A minima, 2 vues sont nécessaires : - Une vue stratégique avec les indicateurs stratégiques et leur valeur - Une vue opérationnelle avec les représentations graphiques des valeurs des métriques de base ème vue : la vue de pilotage Nous ajoutons souvent une 3 - Elle est parfois nécessaire quand le Tableau de Bord consolide les métriques de plusieurs entités et qu une consolidation des KRIs au niveau Groupe est réalisée La composante «template» doit être conçue en sachant par avance sur quel outil sera généré le tableau de bord (fichier XLS, logiciel du marché type Crystal Report, BO, Oracle BI ) 29

Les composantes d un bon tableau de bord 4. Réaliser un pilote Objectif : éprouver l ensemble du processus de fonctionnement du tableau de bord, depuis la collecte des métriques de base (et les relances), jusqu à la publication d une vue stratégique «pilote». Cette phase doit s étendre sur plusieurs mois Elle engendre souvent des modifications du tableau de bord initial (difficultés dans la collecte, adaptation des seuils, des fréquences, etc.) > 1 Définir ses objectifs 30 > 5 Maintenir son tableau de bord > 2 Choisir et organiser les indicateurs > 4 Réaliser un pilote > 3 Construire les vues

Les composantes d un bon tableau de bord 5. Maintenir son tableau de bord Objectifs de la maintenance : - Prendre en compte les modifications des objectifs de sécurité, ou de l organisation - Ajuster le tableau de bord au niveau de maturité en matière de sécurité de l organisation - Intégrer de nouveaux indicateurs ou de nouvelles vues Ces aspects doivent être pensés dès le début de la démarche, Cette étape sera simplifiée par la formalisation d une documentation complète de l outil et son contenu ainsi que du processus de collecte. > 1 Définir ses objectifs 31 > 5 Maintenir son tableau de bord > 2 Choisir et organiser les indicateurs > 4 Réaliser un pilote > 3 Construire les vues

Programme de l atelier 32 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

Les pièges à éviter et les facteurs clés de succès Les facteurs clés de succès 33 C est un projet à part entière, qui nécessite : - Un soutien sans faille de la Direction Générale ou de la DSI durant le projet - Une disponibilité régulière des contributeurs Existence d un processus SMSI et d une filière Une organisation stable ou stabilisée Des objectifs de sécurité clairs et partagés Des métriques de base déjà identifiées comme SMART avant la conception Réaliser un feedback régulier après la première publication Maintien de ressources et d une organisation pour que le TBSSI soit pérenne dans le temps Prendre en compte dès le début du projet les évolutions futures

Les pièges à éviter et les facteurs clés de succès Les difficultés et écueils à éviter 34 Penser couvrir tous les aspects de sécurité dès la première version Trop d indicateurs et trop long Ne pas impliquer suffisamment les contributeurs ni suffisamment tôt (notamment les responsables de la collecte) Défaillance de la collecte par désertion Ne pas automatiser les collectes au maximum Négliger la phase de développement technique du TBSSI Trop coûteux Fixer des seuils trop ambitieux ou pas assez Perte de sensibilité, de pertinence, et donc d intérêt Ne pas prendre en compte les cas où les valeurs ne sont pas remontées Ne pas penser à stocker l historique des valeurs collectées

Programme de l atelier 35 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

Conclusion Les idées à retenir 36 1. Importance du tableau de bord SSI - Outil de pilotage de la sécurité du SI - Outil de mesure de la couverture des risques - Outil de mesure de la contribution de la sécurité aux objectifs de l organisation 2. Objectifs en fonction des populations cibles - Pour les opérationnels : > Suivre la progression de la mise en œuvre des projets de sécurité > Identifier les actions prioritaires en matière d exploitation, de production et d améliorer > Fiabiliser les processus au quotidien - Pour le RSSI et les instances de pilotage et de contrôle : > Valider que les actions entreprises et les mesures en place concourent bien à l atteinte des objectifs de sécurité fixés - Pour les directeurs et les décideurs : > Rassurer ou alerter sur la bonne couverture des risques existants de l organisation liés au Système d Information

Programme de l atelier 37 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

Programme de l atelier 38 Introduction Le Tableau de bord SSI nécessaire? Approche par la maturité SSI Fondamentaux et démarche de mise en œuvre Les pièges à éviter et les facteurs clés de succès Conclusion Questions / Réponses Démonstration d un Tableau de bord SSI

INNOVATIVE SECURITY Pour vous aider à maîtriser vos risques SIEGE SOCIAL : Tours Mercuriales Ponant 40 rue Jean Jaurès 93170 Bagnolet Tél. (+33) 01 55 86 88 88 > Tél. (+33) 01 55 86 88 88 www.lexsi.com LEXSI LYON LEXSI CANADA LEXSI SINGAPORE Bois des Côtes 1 - Bâtiment A 300 Route Nationale 6 69760 LIMONEST Tél. (+33) 08 20 02 55 20 1010, rue de la Gauchetière Ouest Bureau M110 Montréal QC H3B 2N2 Tél. +1 514 903 6560 60 Bayshore Road / Bayshore Park #10-07 - Jade Tower 469982 - Singapore Tél. +65 65191705

Monter un projet de TBSSI Phase 2c : Elaboration du template Exemples de représentation graphique 40

Monter un projet de TBSSI Exemples de métriques de base 41 - Evolution d une infection virale sur un serveur - % serveurs avec une base signature à jour - % de postes nomades chiffrés - Evolution du nb de Blackberries perdus - Proportion du nb de règles critiques modifiées sur les firewalls frontaux - Nombre d incidents de sécurité de niveau critique - Nombre de comptes génériques - Nombre de comptes à supprimer, suite à un départ du collaborateur - Proportion de comptes administrateurs désactivés - % de tests PRA réalisés - % de tests PRA réussis - Evolution du budget Sécurité - % avancement des projets Sécurité - Nombre de tests d intrusion réalisés - Nombre d accès hors heures ouvrées au datacenter - Nombre d activation du processus de gestion de crise - % de présence aux Comités Sécurité - % de spams traités - % de faux positifs sur l antispam - % de mailbox ayant dépassé le quota - Nombre d utilisateurs ayant suivi une sensibilisation à la sécurité - Nombre de déclenchements d alarme dans la salle informatique -

Monter un projet de TBSSI Exemples d indicateurs stratégiques 42 Vision risque - Attaque depuis l extérieur - Propagation depuis l interne - Infection par des programmes malveillants - Accès non-autorisé à des systèmes depuis l interne - Attaque par des utilisateurs depuis l interne - Manque de supervision et d escalade - Continuité d activité - Divulgation d informations confidentielles - Risques humains Vision objectifs de sécurité (souvent ISO 27001 ou PSSI) - Classification des applications - Sécurité des RH - Contrôle des accès et des habilitations - Conformité réglementaire

Monter un projet de TBSSI Exemples de sources de collecte Sources de collecte possibles - Matériels > Firewalls > IDS/IPS > Serveurs > Lecteurs de badges - Logiciels > Antivirus > Antispam > Patch management > Active Directory > Outil Service client > Outil Gestion des incidents > - Processus > Gestion des entrées/sorties > Gestion des incidents > Gestion des projets > PCA/PRA > SMSI - Contrôles > Audits techniques > PCA/PRA > CNIL > Sensibilisation > Habilitations > 43