Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014
Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs de sécurité Maîtriser le déploiement des composants de sécurité Gérer les statistiques antivirus et détecter les comportements à risque Suivre les services réseaux autorisés
Suivre les comptes locaux et à privilèges élevés Suivre les partages réseau et leurs droits d accès Gérer la politique d audit Gérer les mesures techniques de sécurité dans le respect des certifications Maîtriser la correction des écarts de conformité Synthétiser le niveau de sécurité du SI et publier les tableaux de gouvernance de la sécurité
En outre DCM-Manager permet de: Savoir si la PSSI est efficiente en mesurant la conformité du SI / PSSI Gérer la conformité en relation avec les certifications Recenser la criticité des actifs métier Cartographier les risques/ enjeu métier Prendre en compte les changements
Disposer d un référentiel : Intégrant toutes les mesures techniques Bonnes pratiques Guide tech sécurité Politique de sécurité Exhaustif en termes d exigences de sécurité ISO 27xx PCI-DSS RGS, SOA Référentiel de sécurité Contrat / SLA
Gérer le référentiel des mesures techniques Détecter les écarts par mesure de sécurité Prendre en compte les changements Gérerlacriticitédesactifs/projetmétier Contrôler l efficience de la sécurité Publierlestableauxdeborddelasécurité Assurer la gouvernance de la sécurité
Chaîne d audit du SI et de publication des tableaux de bord
DCM-Manager est le lien entre Les mesures techniques de sécurité Lagestiondeparc Interfaçage avec l outil de déploiement Auditdisjointdelagestiondeparc Paramétrage automatisé des règles d audit Publication du référentiel de la sécurité Auditcontinuduparc Workflow intégré de gestion
Référentiel de la sécurité Dédié à la sécurité et à la main du RSSI Gère les mesures techniques de sécurité Structure la base des actifs : Niveau de Confidentialité, Intégrité et Disponibilité (CIA) Regroupement par zone réseau, plate-forme métier, parc, entité Responsable, Administrateur, Contrôleur, Informé (RACI) Workflow : changements des mesures de sécurité Trace les changements du référentiel Publie les règles techniques de sécurité
Évolution temporelle du niveau de conformité antivirus
Conformité des plates-formes métier pour l ensemble des composants
Conformité des partages réseau des plates-formes métier
Répartition des écarts au sein du parc «Juridique»
Conformité du SI pour l ensemble des zones réseau
.
.
.
Patch + vulnérabilité / regroupement en ligne pour 2011
Vulnérabilités accessibles à distance / regroupement
.
Principes de l analyse croisée des données Couleur des points selon le taux de conformité antivirus Taille des points inversement proportionnelle au taux de conformité des flux réseau Ordonnée : nb vulnérabilités accessibles localement Sélection d un regroupement (point) du graphe Abscisse : taux de conformité du patch management Affichage pour l année 2009
Analyse temporelle des données Les autres regroupements sont en demi-teinte Défilement temporel entre 2007 et 2010 Tracé du défilement des données
.
.
.
.
.
.
Adaptation de l audit au rôle des actifs Audit de conformité personnalisable Réalisation de plusieurs centaines de contrôles élémentaires pour chaque rôle d actif Détermination dynamique du rôle des actifs Déclinaison du rôle en fonction de l OS Règles personnalisables de détection du rôle des actifs
L audit d un rôle repose sur Des listes de contrôles Contrôles types : services, clés de registre, correctifs, version d applications, AC de confiance, GPO, partages, groupes locaux. Des contrôles spécifiques Implémentation de règles personnalisées à partir de : services, clés de registre, version d application, processus, AC de confiance, GPO, variable d environnement, correctif, répertoire, chaîne de caractères, droits, partage, etc. Des contrôles intégrés Etat de santé de composants de sécurité : antivirus, firewall, chiffrement, mise à jour automatique, HIPS, DHCP, scellement, mise en veille, etc.
Un contrôle est conforme si Chaque paramètre obligatoire est conforme Aucun paramètre interdit n est présent Chaque paramètre optionnel Peut être absent Est conforme s il est présent Les listes fermées de contrôles apportent Stabilité des configurations Tout ce qui n est pas décrit est interdit
Structuration du parc d actifs Regroupement des actifs par Zones réseau, plates-formes métier et découpage administratif Niveau de sensibilité des regroupements par Confidentialité, Intégration, Disponibilité Correspondants par regroupement R : gestionnaire technique A : propriétaire C : contrôleur I : utilisateur à informer
Inventaire des actifs sans impact sur le SI Concomitant à l audit de conformité ou import de l outil d inventaire existant Sans déploiement d agent Continu et récurrent : Version, date d installation, emplacement Consolidé en un seul point Exhaustif par croisement avec les autres référentiels (annuaire, AV, etc.)
Gestion des licences Import du parc de licences par éditeur Import de la liste des licences au format XML Edition en ligne du nombre de licences par éditeur et par logiciel Edition de l état de conformité par éditeur Edition de la liste des licences détenues par éditeur Edition des états de conformité par éditeur Liste des ressources et regroupements sur lesquels un logiciel est déployé
Audit de vulnérabilité statique Basé sur l inventaire en mode «boîte blanche» Par rapprochement avec les bases de vulnérabilité Détecte les vulnérabilités logicielles compte-tenu des correctifs appliqués Cartographie les vulnérabilités par regroupement et niveau de sensibilité de plates-formes métier Sans transmission d information à l extérieur Couplage possible avec un audit «boîte noire»
Audit de vulnérabilité sans impact sur le SI Concomitant à l audit de conformité Sans déploiement d agent et non perturbant Continu et récurrent : Niveau CVSS, exploitabilité, accessibilité Consolidé en un seul point Exhaustif sur l ensemble du parc Possible dans les zones réseau isolées
Par plate-forme métier Cartographie par enjeu métier Définition des objectifs de sécurité Calcul de différents indicateurs par objectif Taux de conformité global, taux de conformité par composant, niveau de vulnérabilité, taux de déploiement des correctifs dans les délais, répartition des écarts par actif, comparatif par rapport à l ensemble des plates-formes par niveau de sensibilité, 10 meilleures / plus mauvaises plates-formes. Suivi des indicateurs dans le temps Analyse croisée des indicateurs
Par composant de sécurité Définition des objectifs de sécurité Calcul de différents indicateurs par objectif Taux de couverture du parc, taux de conformité du composant, taux de conformité des paramètres, taux de déploiement dans les délais, performance de la DSI, répartition des écarts par rôle d actif, zone réseau, plate-forme métier, regroupement administratif ou niveau de sensibilité. Suivi des indicateurs dans le temps Analyse croisée des indicateurs Workflow de gestion du changement
Par regroupement administratif (postes) Détection des comportements à risque Définition des objectifs de sécurité Calcul de différents indicateurs par objectif Taux de couverture du parc, taux de parc en ligne, taux de conformité global/ parc en ligne, taux de conformité par composant, répartition des écarts (par rôle, zone ou regroupement), comparatif par rapport à l ensemble des groupements, 10 meilleurs / plus mauvais regroupements. Suivi des indicateurs dans le temps Analyse croisée des indicateurs
Par zone réseau Répartition géographique des risques Définition des objectifs de sécurité Calcul de différents indicateurs par objectif Taux de conformité global, taux de conformité par type d actif (réseau, poste, serveur), taux de conformité des équipements réseau, niveau de vulnérabilité, taux de déploiement des correctifs dans les délais, répartition des écarts par actif, comparatif par rapport à l ensemble des zones par niveau de sensibilité. Suivi des indicateurs dans le temps Analyse croisée des indicateurs
Publication sur un intranet Gestion des droits utilisateur par profil /rôle Limitation des données consultables au parc sous la responsabilité de chaque utilisateur Déclinaison des graphes par indicateur Analyse croisée par affichage simultané de 4 indicateurs avec leur suivi temporel
Implantation limitée à la pré-production Génération des règles d audit technique Passage en pré-production automatique ou selon le même processus que les mises en production Déploiement des règles d audit et remontée de leur résultat via l outil de déploiement Intégration des résultats d audit dans la base DCM-Manager Architecture indépendante de la taille du parc
Impact pour les projets existants Modification d une seule étape du processus de mise en production Formalisation par les projets de toute évolution de l audit de conformité de leurs composants Absence d étape technique de validation Référentiel sous le contrôle du RSSI Validation du référentiel dès la pré-production
Bénéfices induits Mise en place d un référentiel de la sécurité Workflow de gestion du changement du référentiel (règles d audit technique) Chaque acteur reste dans son domaine de compétence Meilleure maîtrise des délais de déploiement Pas d administrateur fonctionnel à temps plein
Pré production Test du paramétrage Passage en production DCM-Manager Exemple avec infrastructure SCCM Publication des tableaux de bord de gouvernance de la sécurité
Organisation des mises en production Modification d une seule étape du processus de mise en production Le propriétaire de l application planifie son déploiement et en décrit l audit de conformité Le RSSI valide la durée du déploiement A l issue de la durée prévue de déploiement, les équipements non migrés sont en écart Correction des écarts par des correspondants locaux ou reprise centralisée du déploiement
Composant de sécurité existant Version déployée (6.0) obligatoire Mise en production d une nouvelle version Nouvelle version (7.1) optionnelle à compter de la date de début de déploiement prévue Version (7.1) obligatoire à compter de la date de fin de déploiement prévue Au delà de la date de fin de déploiement, toute détection de la version 6.0 constitue un écart
Montée de version de DCM-Manager Processus habituel de qualification Pas d impact sur le référentiel de sécurité Évolution du référentiel d audit Test des nouvelles règles en pré-production Marquage et archivage de la nouvelle version du référentiel associée aux règles d audit Export en production des règles validées
ID NOUVELLES 104 BIS, RUERENÉCOTY 91330 YERRES Tél: +33 (0)1 69 49 56 53 HTTP://WWW.ID-NOUVELLES.FR FRANCIS DELBOS DELBOS@ID-NOUVELLES.FR Tél: +33 (0)6 84 76 57 35