M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1
Plan Introduction Organisation de la Sécurité des SI 2
Introduction Actualité : NSA / PRISM Suxnet & co Le cas Challanger Focus du CERT : ¼ des crimes électroniques proviennent des employés ou des personnes habilitées. (ref)
Introduction Les dimensions de la sécurité Organisation de la Sécurité des SI Organisation Démarche (SMSI) Principes Chiffrement Gestion de l Identification et Authentification (IAM) Technique Sécurisation réseau Sécurisation d une application web Sécurité du postes de travail
Références bibliographiques Sécurité Informatique, Laurent Bloch & Christophe Woflhugel, Eyrolles 2013 La sécurité dans le Cloud, V. Winkler, Pearson 2011 Site du CLUSIF, du CLUSIR (de Lyon) et publications associés profusion de matériaux de toute sorte sur le net (des références dans le support)
Plan Introduction Organisation de la Sécurité des SI 6
Organisation de la sécurité des SI «La sécurité est un processus, pas un produit» (OSSTMM3) Quelle place doit avoir la sécurité dans l entreprise? Quelles activités (périmètre)? Quelle gouvernance? Quelle organisation? Quelles démarches outillent la sécurité SI? Systèmes de management de la sécurité du SI
Organisation de la sécurité SI Pour identifier les activités, la gouvernance et la place d une thématique dans une organisation la démarche est de prendre comme base les «best practices» (tour d horizon CMMI, ITIL, Cobit à http://www.afai.fr/index.php?c=37)
Organisation de la sécurité SI Structure de la norme 27002 (source CLUSIF)
Activités/périmètre de la sécurité du SI Cadre et respect du cadre (base ISO 27002/17799) Appréciation et traitement du risque Appréciation du risque lié à la sécurité Traitement du risque lié à la sécurité Politique de sécurité de l'information «Il convient que le document de politique de sécurité de l information démontre l engagement de la direction et définisse l approche de l organisme pour gérer la sécurité de l information.» (ISO 27002) Le corpus des politiques de sécurité du SI doit couvrir l ensemble des thématiques «opérationnelles» et définissant/contextualisant les règles de leur «l instanciation». Conformité Conformité avec les exigences légales Conformité avec les politiques et normes de sécurité et conformité technique Prises en compte de l audit du système d information
Activités/périmètre de la sécurité du SI Processus RH (base ISO 27002/17799) Sécurité liée aux ressources humaines Avant le recrutement Rôles et responsabilités Sélection Conditions d embauche Pendant la durée du contrat Responsabilités de la direction Sensibilisation, qualification et formations en matière de sécurité de l information Processus disciplinaire Fin ou modification de contrat Responsabilités en fin de contrat Restitution des biens Retrait des droits d accès
Activités/périmètre de la sécurité du SI Sécurité des actifs (base ISO 27002/17799) Gestion des biens Responsabilités relatives aux biens Inventaire des biens / Propriété des biens /Utilisation correcte des biens Classification des informations Lignes directrices pour la classification Marquage et manipulation de l information Sécurité physique et environnementale Zones sécurisées Périmètre de sécurité physique Contrôles physiques des accès Sécurisation des bureaux, des salles et des équipements Protection contre les menaces extérieures et environnementales Travail dans les zones sécurisées Zones d accès public, de livraison et de chargement Sécurité du matériel Choix de l emplacement et protection du matériel Services généraux Sécurité du câblage Maintenance du matériel Sécurité du matériel hors des locaux Mise au rebut ou recyclage sécurisé(e) du matériel / Sortie d un bien
Activités/périmètre de la sécurité du SI Processus opérationnels (base ISO 27002/17799) Gestion de l exploitation et des télécommunications (1/2) Procédures et responsabilités liées à l exploitation Procédures d exploitation documentées Gestion des modifications / Séparation des tâches Séparation des équipements de développement, de test et d exploitation Gestion de la prestation de service par un tiers Prestation de service / Surveillance et réexamen des services tiers Gestion des modifications dans les services tiers Planification et acceptation du système Dimensionnement / Acceptation du système Protection contre les codes malveillant et mobile Mesures contre les codes malveillants Mesures contre le code mobile Sauvegarde Sauvegarde des informations Gestion de la sécurité des réseaux Mesures sur les réseaux / Sécurité des services réseau
Activités/périmètre de la sécurité du SI Processus opérationnels (base ISO 27002/17799) Gestion de l exploitation et des télécommunications (2/2) Manipulation des supports Gestion des supports amovibles / Mise au rebut des supports Procédures de manipulation des informations Sécurité de la documentation système Échange des informations Politiques et procédures d échange des informations Accords d échange Supports physiques en transit Messagerie électronique Systèmes d information d entreprise Services de commerce électronique Commerce électronique Transactions en ligne Informations à disposition du public Surveillance Rapport d audit Surveillance de l exploitation du système Protection des informations journalisées Journal administrateur et journal des opérations Rapports de défaut Synchronisation des horloges
Activités/périmètre de la sécurité du SI Processus opérationnels (base ISO 27002/17799) Gestion des incidents liés à la sécurité de l information Signalement des événements et des failles liés à la sécurité de l information Signalement des événements liés à la sécurité de l information Signalement des failles de sécurité Gestion des améliorations et incidents liés à la sécurité de l information Responsabilités et procédures Exploitation des incidents liés à la sécurité de l information déjà survenus Collecte de preuves Gestion du plan de continuité de l activité Aspects de la sécurité de l information en matière de gestion de la continuité de l activité Intégration de la sécurité de l information dans le processus de gestion du plan de continuité de l activité Continuité de l activité et appréciation du risque Élaboration et mise en œuvre des plans de continuité intégrant la sécurité de l information Cadre de la planification de la continuité de l activité Mise à l essai, gestion et appréciation constante des plans de continuité de l activité
Activités/périmètre de la sécurité du SI Processus de développement (base ISO 27002/17799) Acquisition, développement et maintenance des systèmes d information Exigences de sécurité applicables aux systèmes d information Analyse et spécification des exigences de sécurité Bon fonctionnement des applications Validation des données d entrée Mesure relative au traitement interne Intégrité des messages Validation des données de sortie Mesures cryptographiques Politique d utilisation des mesures cryptographiques / Gestion des clés Sécurité des fichiers système Mesure relative aux logiciels en exploitation Protection des données système d essai Contrôle d accès au code source du programme Sécurité en matière de développement et d assistance technique Procédures de contrôle des modifications Réexamen technique des applications après modification du système d exploitation Restrictions relatives à la modification des progiciels Fuite d informations Externalisation du développement logiciel Gestion des vulnérabilités techniques Mesure relative aux vulnérabilités techniques
Sécurité dans ITIL? Selon la mise en œuvre, couvre tout ou partie d ISO 27002
Sécurité dans ITIL? Selon la mise en œuvre, couvre tout ou partie d ISO 27002 (base Wikipedia) Classification de la sécurité Disponibilité : l'information doit être disponible et utilisable lorsque nécessaire, Confidentialité : l'information doit être divulguée ou vue uniquement par les utilisateurs qui en ont le droit, Intégrité : l'information doit être complète, précise et on la protège de modifications non autorisées, Authenticité, non répudiation : l'information doit être réputée "de confiance" lorsque des transactions d'affaire ont lieu (et réalisées électroniquement) et lors des échanges entre les organisations ou avec des partenaires de l'organisation. Gestion de la sécurité (Security management) et référentiel de sécurité la stratégie de sécurité globale (liée aux stratégies d'affaires de l'organisation), la politique de sécurité de l information (aspects de la stratégie, des contrôles et de la réglementation), le système de gestion de la sécurité de l information (ou Information Security Management System - ISMS) l'ensemble des contrôles de sécurité pour soutenir la politique la structure organisationnelle de sécurité efficace le processus de surveillance (conformité et remontée de l'information) la stratégie et le plan de communication pour la sécurité la gestion des risques sur la sécurité la stratégie ainsi que le plan de formation et de sensibilisation des utilisateurs
Organisation de la sécurité SI Gouvernance (recommandation ISO 27014) Le processus en jeu dans la gouvernance de la sécurité du SI identifie les activités : -Évaluation (Evaluate), -Pilotage (Direct) -Mesure (monitor) -Communication (communicate) Il est généralement porté par l organisation de sécurité SI et fait partie des missions du D/RSSI. En complément, le processus de certification (assure) donne un point de vue indépendant et objectif sur la gouvernance de la sécurité et ses objectifs.
Organisation de la SSI (Recommandation ISO 27002) Définition de l organisation de la sécurité explicitant : Engagement de la direction vis-à-vis de la sécurité de l information Coordination de la sécurité de l information Attribution des responsabilités en matière de sécurité de l information Système d autorisation concernant les moyens de traitement de l information Engagements de confidentialité Relations avec les autorités Relations avec des groupes de spécialistes Revue indépendante de la sécurité de l information Tiers Identification des risques provenant des tiers La sécurité et les clients La sécurité dans les accords conclus avec des tiers
Organisation de la sécurité des SI Acteurs de la mise en œuvre de la SSI Missions des acteurs de la sécurité : Définir et faire appliquer la politique de sécurité Analyse des risques. Contrôle, audit. Architecture, conception. Veille technologique et législative. Sensibilisation, formation. Niveau décisionnel : concevoir, mettre en place, et assurer le respect de la politique de sécurité. Niveau de pilotage : il s agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la charge (consignes, directives, contrôle interne, sensibilisation). Niveau opérationnel : il s agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.
Organisation de la sécurité des SI Question posée : Où sont les interlocuteurs/acteurs de la sécurité. Constat : rien d uniforme et indicative de la perception de la problématique par l entreprise. Fortement lié à la taille et au métier de l entreprise. Exemples de positionnement possibles : Au sein de la DSI, de la DG, d une direction métier, des directions (fonctions) audit, qualité, risk managment,
Organisation de la sécurité des SI SSI au sein de la DSI (source CLUSIF) Positionnement Avantage Inconvénients Au sein de la DG Au sein d une direction métier Prise en compte au plus haut niveau. Décisions suivies d actions En prise naturelle avec les risques de l entreprise (choix du cœur de métier) Traiter la sécurité en mode exception, effet balancier Pas dans tous les métiers Risques méthodologiques Porté par le DSI Vision globale du SI Loin du métier (?) SI comme centre de coût Activité à temps partagé Poste de RSSI Prise en compte de toutes les dimensions techniques SI (interactions, démarches, bonnes pratiques) Loin du métier (?) Difficulté de justifier le ROI
Organisation de la sécurité des SI SSI au sein de la DSI (source CLUSIF) Positionnement Avantage Inconvénients Au sein du Service AUDIT Au sein du service qualité Au sein du Risk Managment Pas de RSSI La SSI devient une fonction qu il faut auditer comme les autres Convergence des méthodes. Positionnement transverse naturel. Au cœur des processus sensibles. Seule fonction capable de faire de la SSI un avantage concurrentiel. L avenir? Si aucun risque, économie budgétaire. Position faible pour mettre en œuvre le changement Passer à côté des enjeux principaux (sécurité comme une méthode) Compétence? Dépend du profil et du mode de management. Aucune prise en compte du risque, conséquence grave pour la pérennité de l entreprise.
Organisation de la sécurité des SI Et en pratique «Deux ex-étudiants de la MIAGE d Evry se sont associés afin de créer leur entreprise (startup) autour d un logiciel pour SmartPhone facilitant le suivi des commandes passées sur plusieurs sites.» De votre point de vue, quels points de la sécurité estil important qu ils mettent en œuvre dès le début de leur activité?