21/11/2014 
1 
Sécurité de l'information 
et gestion du risque 
2014 - 2015 
Alain Huet 
Alain Huet Consulting 
huet.alain...
21/11/2014 
2 
3 
Sommaire 
 Concepts – définitions 
 Gestion de la sécurité de l'information 
 Normes 
 ISO 27001 : S...
21/11/2014 
3 
5 
Concepts – définitions (2) 
 Actif [asset] 
• tout élément du système d'information, ayant de la valeur...
21/11/2014 
4 
7 
Concepts – définitions (4) 
 Attributs de sécurité (2) 
• Authenticité [authenticity] 
identification c...
21/11/2014 
5 
9 
Concepts – définitions (6) 
 Vulnérabilité [vulnerability] 
• point faible permettant à une menace de p...
21/11/2014 
6 
11 
Sommaire 
 Concepts – définitions 
 Gestion de la sécurité de l'information 
 Normes 
 ISO 27001 : ...
21/11/2014 
7 
13 
Gestion de la sécurité de l'information (2) 
 Evolution technologique continue 
Menaces  
 gestion d...
21/11/2014 
8 
15 
Gestion de la sécurité de l'information (4) 
 Facteurs critiques de succès 
• Support de la direction ...
21/11/2014 
9 
17 
Normes 
 ISO 27000 Vue d'ensemble et vocabulaire 
 ISO 27001 Systèmes de gestion de sécurité de 
l'in...
21/11/2014 
10 
19 
ISO 27001 : "SGSI : exigences" 
 Définition du SGSI 
• " partie du système global de gestion, basée s...
21/11/2014 
11 
21 
ISO 27002 : code de pratique 
 14 thèmes 
5 Règlement de sécurité 
6 Organisation de la sécurité de l...
21/11/2014 
12 
23 
ISO 27002 : 5. Règlement de sécurité 
 Règlement de sécurité de l'information 
 Règlement 
approuvé ...
21/11/2014 
13 
25 
ISO 27002 : 7. Ressources humaines 
 Avant l'engagement 
 Sélection 
 Conditions d'engagement 
 Du...
21/11/2014 
14 
27 
ISO 27002 : 9. Gestion d'accès (1) 
 Exigences fonctionnelles 
 Règlement général 
 Accès aux résea...
21/11/2014 
15 
29 
ISO 27002 : 10. Cryptographie 
 Cryptographie 
 Règlement d'usage 
 Gestion des clés 
30 
ISO 27002...
21/11/2014 
16 
31 
ISO 27002 : 12. Exploitation (1) 
 Procédures / responsabilités opérationnelles 
 Documentation des ...
21/11/2014 
17 
33 
ISO 27002 : 13. Communications 
 Sécurité des réseaux 
 Mesures générales 
 Fourniture de services ...
21/11/2014 
18 
35 
ISO 27002 : 15. Relations avec les fournisseurs 
 Sécurité dans les relations avec les fournisseurs 
...
21/11/2014 
19 
37 
ISO 27002 : 17. Continuité 
 Continuité 
 Exigences 
 Mise en oeuvre 
 Vérification et évaluation ...
21/11/2014 
20 
39 
Sommaire 
 Concepts – définitions 
 Gestion de la sécurité de l'information 
 Normes 
 ISO 27001 :...
21/11/2014 
21 
41 
ISO 27005 : Gestion du risque (2) 
 Méthod e Référentiel méthodologique 
Risque – étape  
Contexte ...
21/11/2014 
22 
43 
ISO 27005 : Gestion du risque (4) 
 Analyse des risques 
• Actifs ( valeur) 
• Menaces 
ISO 27005 (a...
21/11/2014 
23 
45 
Sommaire 
 Concepts – définitions 
 Gestion de la sécurité de l'information 
 Normes 
 ISO 27001 :...
21/11/2014 
24 
47 
Risque : méthodes et outils classiques (2) 
 Mise en oeuvre assez lourde 
 experts en sécurité 
 ch...
21/11/2014 
25 
49 
Risque : méthode simplifiée (1) 
 Objectif 
propriétaire du système [business owner] 
 acteur princi...
21/11/2014 
26 
51 
Risque : méthode simplifiée (3) 
 Métrique d'impact (2) 
Exemple : service gouvernemental 
Très secre...
21/11/2014 
27 
53 
Risque : méthode simplifiée (5) 
 Métrique d'impact (4) 
• Exercice 2 
Une société d'ingéniérie a éta...
21/11/2014 
28 
55 
Risque : méthode simplifiée (7) 
 Métrique de défauts de sécurité 
Disponibilité 
Indisponibilité : 5...
21/11/2014 
29 
57 
Risque : méthode simplifiée (9) 
 Appréciation des risques (2) 
• Pour chaque actif 
• Impact pour l'...
21/11/2014 
30 
59 
Risque : méthode simplifiée (11) 
 Appréciation des risques (4) 
• Pour chaque actif : 
impact des év...
21/11/2014 
31 
61 
Risque : méthode simplifiée (13) 
 Plan de traitement (1) 
• Mesures de base 
SGSI ( ISO 27001) 
bon...
21/11/2014 
32 
63 
Risque : méthode simplifiée (15) 
 Plan de traitement (3) 
• Pour chaque actif : 
efficacité des mesu...
21/11/2014 
33 
65 
Risque : méthode simplifiée (17) 
 Résumé 
66 
Risque : méthode simplifiée - histoire (18) 
 1991 ét...
21/11/2014 
34 
67 
Risque : méthode simplifiée - évaluation (19) 
+ 
démarrage très court 
implication des propriétaires ...
21/11/2014 
35 
69 
Sommaire 
 Concepts – définitions 
 Gestion de la sécurité de l'information 
 Normes 
 ISO 27001 :...
21/11/2014 
36 
71 
Risque : EBIOS (2) 
 Domaine d'emploi 
• Organisations publiques et privées 
• Organisations grandes ...
21/11/2014 
37 
73 
Risque : EBIOS (4) 
 Module 1 : Etude du contexte (1) 
• Périmètre 
• Sources de menace : retenues ou...
21/11/2014 
38 
75 
Risque : EBIOS (6) 
 Module 2 : Evénements redoutés 
• Sur les biens essentiels 
sans considération p...
21/11/2014 
39 
77 
Risque : EBIOS (8) 
 Module 4 : Etude des risques (1) 
• Corrélation événements redoutés / scénarios ...
21/11/2014 
40 
79 
Risque : EBIOS (10) 
 Module 5 : Mesures de sécurité 
• Formalisation 
Spécification 
Risque résiduel...
Prochain SlideShare
Chargement dans…5
×

Infosafe ah 2014 15

576 vues

Publié le

Sécurité de l'information et gestion du risque.
Cours donné (www.infosafe.be).
ISO 27001, ISO 27002 ISO 27005.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
576
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
33
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Infosafe ah 2014 15

  1. 1. 21/11/2014 1 Sécurité de l'information et gestion du risque 2014 - 2015 Alain Huet Alain Huet Consulting huet.alain@skynet.be + 32 (0) 495 34.71.01 be.linkedin.com/in/AlainHuetConsulting 2 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS
  2. 2. 21/11/2014 2 3 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS 4 Concepts – définitions (1)  Référence : ISO 27000 " Information technology Security techniques Information security management systems Overview and vocabulary "  Concepts • Actif  • Attributs de sécurité Disponibilité Intégrité Confidentialité ... • Menace • Vulnérabilité • Risque
  3. 3. 21/11/2014 3 5 Concepts – définitions (2)  Actif [asset] • tout élément du système d'information, ayant de la valeur pour l'organisation • exemples : locaux et installations techniques (électricité, airco, …) matériel informatique infrastructure télécom logiciels bases de données documentation personnel … 6 Concepts – définitions (3)  Attributs de sécurité (1) • Disponibilité [availability] (actifs) utilisables et accessibles • Intégrité [integrity] (informations) transmises / traitées / conservées sans erreur • Confidentialité [confidentiality] (informations) accessibles seulement aux personnes autorisées
  4. 4. 21/11/2014 4 7 Concepts – définitions (4)  Attributs de sécurité (2) • Authenticité [authenticity] identification certaine de l'utilisateur • Traçabilité (imputabilité) [accountability] attribution d'une action à son auteur • Irrévocabilité [non-repudiation] attribution incontestable d'une action à son auteur • Fiabilité [reliability] (traitement)  résultats logiques intentionnels  • Légalité (ISO 27000) (traitement)  conforme aux dispositions légales  Preuve (ISO 270 00) 8 Concepts – définitions (5)  Menace [threat] • cause pouvant affecter la sécurité d'un actif • caractéristiques – origine : - naturelle : incendie, inondation, … - humaine : accidentelle : erreurs (saisie, bug …) délibérée : fraude, virus, intrusion … – impact sur le système d'information  sur l'organisation  probabilité  opportunité, motivation, faisabilité
  5. 5. 21/11/2014 5 9 Concepts – définitions (6)  Vulnérabilité [vulnerability] • point faible permettant à une menace de porter atteinte à la sécurité d'un actif • exemples détection / extinction d'incendie absente ou inefficace test insuffisant des logiciels personnel insuffisamment formé antivirus non mis à jour architecture du système trop fragile copies de sauvegarde absentes ou non testées plan "catastrophe" absent ou non testé 10 Concepts – définitions (7)  Risque [risk] • probabilité qu'une menace exploite une vulnérabilité du système d'information pour affecter un actif de l'organisation • caractéristiques : - impact sur les actifs : disponibilité, intégrité, confidentialité, …  sur l'organisation : perte financière, image, … - probabilité / fréquence / opportunité
  6. 6. 21/11/2014 6 11 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS 12 Gestion de la sécurité de l'information (1)  Objectif fondamental  Gestion de la sécurité  gestion du risque  Aspect de la gestion de l'organisation Elément de bonne gouvernance Financiers Image Juridiques Humains Financier Organisationnel Inconfort Dommages dus aux incidents / sinistres Coût des mesures de sécurité
  7. 7. 21/11/2014 7 13 Gestion de la sécurité de l'information (2)  Evolution technologique continue Menaces   gestion du risque : processus continu  organisation permanente "Système de gestion de la sécurité de l'information" (SGSI) [Information Security Management System = ISMS] 14 Gestion de la sécurité de l'information (3)  Processus continu  roue de Deming PDCA  [Plan] Identifier / évaluer - risques - actions adéquates  [Act] Rectifier Améliorer  [Check] Mesurer / évaluer les résultats  [Do] Réaliser les actions Informer / éduquer
  8. 8. 21/11/2014 8 15 Gestion de la sécurité de l'information (4)  Facteurs critiques de succès • Support de la direction • Stratégie : définition centrale mise en oeuvre : locale " think globally, act locally " • Impact des risques pour l'organisation • Sensibilisation / formation (personnel, …) • Méthodes  standards • Outils 16 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS
  9. 9. 21/11/2014 9 17 Normes  ISO 27000 Vue d'ensemble et vocabulaire  ISO 27001 Systèmes de gestion de sécurité de l'information (SGSI) : exigences ( BS7799-2)  ISO 27002 Code de pratique (= ISO17799  BS7799-1)  ISO 27003 Guide de mise en oeuvre  ISO 27004 SGSI : métriques  ISO 27005 Gestion du risque ( ISO 13335-3/4)  ISO 27006 Homologation  ISO 27007 Directives d'audit 18 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS
  10. 10. 21/11/2014 10 19 ISO 27001 : "SGSI : exigences"  Définition du SGSI • " partie du système global de gestion, basée sur une approche du risque 'métier', chargée d'établir, de mettre en oeuvre, de faire fonctionner, de suivre, de réviser, de maintenir et d'améliorer la sécurité de l'information " • " le système de gestion comprend une structure d'organisation, des règlements, des activités de planification, des pratiques, des procédures, des processus et des ressources "  Compatible ISO 9001  Roue de Deming 20 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS
  11. 11. 21/11/2014 11 21 ISO 27002 : code de pratique  14 thèmes 5 Règlement de sécurité 6 Organisation de la sécurité de l'information 7 Ressources humaines 8 Gestion des actifs 9 Gestion d'accès 10 Cryptographie 11 Sécurité physique 12 Exploitation 13 Communications 14 Acquisition, développement et maintenance 15 Relations avec les fournisseurs 16 Incidents de sécurité 17 Continuité 18 Conformité  114 "contrôles" = enjeux de sécurité () 22 ISO 27002 : exemple 11.1.3 Securing offices, rooms, and facilities Control Physical security for offices, rooms, and facilities should be designed and applied. Implementation guidance The following guidelines should be considered to secure offices, rooms, and facilities : a) key facilities should be sited to avoid access by the public ; b) where applicable, buildings should be unobtrusive and give minimum indication of their purpose, with no obvious signs, outside or inside the building identifying the presence of information processing activities ; c) facilities should be configured to prevent confidential information or activities from being visible and audible from the outside ; electromagnetic shielding should also be considered as appropriate ; d) directories and internal telephone books identifying locations of confidential information processing facilities should not be readily accessible to anyone unauthorized.
  12. 12. 21/11/2014 12 23 ISO 27002 : 5. Règlement de sécurité  Règlement de sécurité de l'information  Règlement approuvé par la direction communiqué au personnel et aux tiers tenant compte des objectifs de l'organisation assignant des responsabilités à des rôles exercés décliné en règlements spécifiques  Révision périodique en fonction des évolutions importantes 24 ISO 27002 : 6. Organisation de la sécurité de l'information  Organisation interne  Rôles et responsabilités  Séparation de fonctions  Relations avec les autorités  ...  Portables et télétravail  Portables enregistrement mesures de protection restrictions d'emploi BYOD (bring your own device)  Télétravail mesures de protection restrictions d'emploi
  13. 13. 21/11/2014 13 25 ISO 27002 : 7. Ressources humaines  Avant l'engagement  Sélection  Conditions d'engagement  Durant le contrat  Responsabilités de la direction  Sensibilisation et formation à la sécurité  Procédures disciplinaires  A la fin du contrat  Responsabilités 26 ISO 27002 : 8. Gestion des actifs  Responsabilité liée aux actifs  Inventaire  Propriété  Usage licite  Restitution  Classification de l'information  Directives de classification  Marquage  Procédures de traitement des actifs classifiés  Traitement des supports  Gestion des supports amovibles  Elimination des supports  Transport physique
  14. 14. 21/11/2014 14 27 ISO 27002 : 9. Gestion d'accès (1)  Exigences fonctionnelles  Règlement général  Accès aux réseaux  Accès des utilisateurs  Enregistrement et radiation des utilisateurs  Gestion des droits d'accès  Gestion des crédentiels  …  Responsabilités des utilisateurs  Usage des crédentiels 28 ISO 27002 : 9. Gestion d'accès (2)  Accès aux systèmes / applications  Limitation d'accès  Procédures d'authentification  Mots de passe  Usage des utilitaires privilégiés  Accès aux sources de programmes
  15. 15. 21/11/2014 15 29 ISO 27002 : 10. Cryptographie  Cryptographie  Règlement d'usage  Gestion des clés 30 ISO 27002 : 11. Sécurité physique  Zones de sécurité  Périmètre de sécurité physique  Mesures de sécurité à l'entrée  Sécurité des bureaux, locaux, …  Incendie, inondation, séisme, ...  …  Matériel  Placement et protection  Alimentations (énergie, ventilation, …)  Câblage  Maintenance  Déplacement  Matériel plus / ré- utilisé  …
  16. 16. 21/11/2014 16 31 ISO 27002 : 12. Exploitation (1)  Procédures / responsabilités opérationnelles  Documentation des procédures  Gestion des changements  Gestion de la capacité  Séparation développement / test / production  Programmes malveillants, …  Sauvegarde  Journaux / suivi  Enregistrement des événements  Protection des journaux  Synchronisation des horloges  ... 32 ISO 27002 : 12. Exploitation (2)  Logiciel opérationnel  Installation du logiciel tests gestion de changement procédure de retour en arrière ...  Vulnérabilités techniques  Evaluation des vulnérabilités et choix de mesures de sécurité  Limites des installations permises aux utilisateurs finaux  Conditions d'audit
  17. 17. 21/11/2014 17 33 ISO 27002 : 13. Communications  Sécurité des réseaux  Mesures générales  Fourniture de services  Cloisonnement  Echanges d'information  Règlements et procédures  Accords avec les partenaires externes  Messagerie électronique  … 34 ISO 27002 : 14. Acquisition, développement et maintenance  Exigences de sécurité  Analyse et spécifications de sécurité  Services applicatifs sur réseaux publics  Sécurité des transactions  Développement / support  Changements  Progiciels  Ingéniérie système  Environnement de développement  Sous-traitance  Test  …  Données de test  Protection des données de test
  18. 18. 21/11/2014 18 35 ISO 27002 : 15. Relations avec les fournisseurs  Sécurité dans les relations avec les fournisseurs  Règles générales  Convention avec chaque fournisseur  ...  Fourniture de service  Suivi des services fournis  Changements des services fournis 36 ISO 27002 : 16. Incidents de sécurité  Incidents et améliorations  Responsabilités et procédures  Signalement des incidents de sécurité  Signalement des points faibles  Evaluation  Réponse aux incidents  Enseignement retiré des incidents  Constitution de preuves
  19. 19. 21/11/2014 19 37 ISO 27002 : 17. Continuité  Continuité  Exigences  Mise en oeuvre  Vérification et évaluation  Redondances  Disponibilité des équipements 38 ISO 27002 : 18. Conformité  Analyses de sécurité  Indépendance des analyses de sécurité  Conformité aux règlements et normes de sécurité  Conformité technique  Contraintes légales  Identification des législations applicables  Droits intellectuels  Protection des informations  Vie privée  Cryptographie
  20. 20. 21/11/2014 20 39 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS 40 ISO 27005 : Gestion du risque (1)  Rappel  [Plan] Identifier / évaluer - risques - actions adéquates  [Act] Rectifier Améliorer  [Check] Mesurer / évaluer les résultats  [Do] Réaliser les actions Informer / éduquer
  21. 21. 21/11/2014 21 41 ISO 27005 : Gestion du risque (2)  Méthod e Référentiel méthodologique Risque – étape  Contexte Appréciation Plan de traitement Analyse Evaluation Identification Estimation OK ? Acceptation : risque résiduel OUI NON 42 ISO 27005 : Gestion du risque (3)  Etablissement du contexte  Objet ? toute l'organisation  SGSI ? 1 système / service  spécifications du système / service  Critères de base évaluation des risques impact probabilité, opportunité acceptation des risques
  22. 22. 21/11/2014 22 43 ISO 27005 : Gestion du risque (4)  Analyse des risques • Actifs ( valeur) • Menaces ISO 27005 (annexe C "informative") • Vulnérabilités ISO 27005 (annexe D "informative")  Liste des risques et de leur niveau  Evaluation des risques • Conséquences pour l'organisation 44 ISO 27005 : Gestion du risque (5)  Plan de traitement • Mesures de sécurité : bonnes pratiques (ISO 27002) + … prévention : probabilité  protection : impact  coût : initial / récurrent • Décision refus du risque  STOP transfert du risque  assurance, exonération, … réduction du risque  mesures de sécurité  Risque résiduel : à accepter par la direction
  23. 23. 21/11/2014 23 45 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS 46 Risque : méthodes et outils classiques (1)  ISO 27005 : orientations méthodologiques méthode  Méthodes et outils Exemples Exper- Outil tise * Traite-ment Evalu-ation Ana-lyse Origine CRAMM UK     EBIOS F      Grundschutz D      * Expertise nécessaire :  base  standard  spécialiste Source : ENISA  Langue EN NL EN FR DE ES EN DE EN Octave USA    
  24. 24. 21/11/2014 24 47 Risque : méthodes et outils classiques (2)  Mise en oeuvre assez lourde  experts en sécurité  charge de travail  délai ? implication du propriétaire fonctionnel du système ? [business owner] 48 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS
  25. 25. 21/11/2014 25 49 Risque : méthode simplifiée (1)  Objectif propriétaire du système [business owner]  acteur principal de la gestion de risque  Simplifications • métrique d'impact (sur l'organisation) • métrique de défauts de sécurité • probabilités : rôle secondaire • socle de bonnes pratiques de base : pour toute l'organisation • + mesures de sécurité spécifiques : par système 50 Risque : méthode simplifiée (2)  Métrique d'impact (1) Exemple : firme commerciale Divulgation de secret industriel G Nature des conséquences r a v i t é Condamnation pénale Inférieure à la concurrence Altération sérieuse de l'image 4 > 1.000 Divulgation de secret commercial Condamnation civile Egale à la concurrence Clientèle sérieusement perturbée 3 100 – 1.000 Divulgation de données personnelles Perte légère Nombreuses plaintes 2 10 – 100 Quelques plaintes 1 1 – 10 Secret S Juridique Judiciaire J Compétitivité C Image I Perte financière (milliers €) F
  26. 26. 21/11/2014 26 51 Risque : méthode simplifiée (3)  Métrique d'impact (2) Exemple : service gouvernemental Très secret Perte de vie humaine Atteinte grave à la réputation G Nature des conséquences r a v i t é Altération définitive Condamnation internationale de l’Autorité Ordre public gravement en péril 4 > 100 Secret Atteinte sérieuse à l'intégrité ou à la réputation Critiques graves dans les media Condamnation de l’Autorité Difficulté à maintenir l’ordre public 3 10 – 100 Confidentiel Divulgation de données personnelles sensibles Critiques occasionnelles dans les media Actions en justice Menace pour l’ordre public 2 1 – 10 Diffusion restreinte Divulgation de données personnelles Plaintes occasionnelles Sanctions internes Perturbation locale et momentanée 1 0,001 – 1 Classification C Social et humain S Image du service public I Juridique Judiciaire J Ordre public O Perte financière (millions €) F 52 Risque : méthode simplifiée (4)  Métrique d'impact (3) • Exercices Choisir une métrique d'impact Codifier l'impact des incidents décrits P. ex. : F2 O1 J1 I3 S0 C0 • Exercice 1 Une négligence entraîne l'arrêt, pendant 24 heures, d'un site web gouvernemental servant à collecter des données économiques. Il en résulte une perte de temps d'un quart d'heure pour les comptables de 10.000 entreprises. L'incident est relaté dans la presse. Le fonctionnaire négligent est réprimandé.
  27. 27. 21/11/2014 27 53 Risque : méthode simplifiée (5)  Métrique d'impact (4) • Exercice 2 Une société d'ingéniérie a établi pour un client les plans d'une installation très innovante. Quelques mois plus tard, un concurrent de ce client construit une usine exploitant les mêmes idées. Le client suspecte donc une fuite au sein de la société d'ingéniérie et menace de réclamer en justice une indemnité de 2.000.000 €. Une enquête interne révèle que les droits d'accès d'un collaborateur licencié n'avaient pas été révoqués, ce qui constitue peut-être la cause de la fuite. L'administrateur des droits d'accès est licencié à son tour. 54 Risque : méthode simplifiée (6)  Métrique d'impact (5) • Exercice 3 Grâce à une intrusion dans un système gouvernemental, des écologistes extrémistes identifient des entreprises qui utilisent des méthodes de production contraires à leurs principes, mais légales. Ils en menacent les dirigeants et réussissent même à entraver le bon fonctionnement de ces sociétés, ce qui entraîne une perte financière estimée à 1.500.000 €. La sécurité informatique de l'administration fait l'objet d'une question parlementaire relayée par les medias.
  28. 28. 21/11/2014 28 55 Risque : méthode simplifiée (7)  Métrique de défauts de sécurité Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Corruption Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression (loi, règlement, ...) 56 Risque : méthode simplifiée (8)  Appréciation des risques (1) • Actifs Immobilier Matériel Informations Traitements / processus / fonctions Flux / liaisons  Regrouper / limiter Max. 10 – 20 actifs
  29. 29. 21/11/2014 29 57 Risque : méthode simplifiée (9)  Appréciation des risques (2) • Pour chaque actif • Impact pour l'organisation • Modèle documentaire  Valeur des actifs, indépendamment du risque Conséquences Actif : F I ... S Max Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Corruption Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression (loi, règlement, ...) 58 Risque : méthode simplifiée (10)  Appréciation des risques (3) • Menaces / vulnérabilités ISO 27005 - ann. C : menaces ISO 27005 - ann. D : vulnérabilités • "Menace / vulnérabilité" = "événement redouté" • Modèle documentaire  Evénement redouté : ER # Origine de la menace : Cause naturelle Erreur humaine Action délibérée  motivation :    Vulnérabilité : Matériel Logiciel Réseau Personnel Site Organisation      
  30. 30. 21/11/2014 30 59 Risque : méthode simplifiée (11)  Appréciation des risques (4) • Pour chaque actif : impact des événements redoutés Actif : Max ER1 ER2 ... Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Corruption Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression 60 Risque : méthode simplifiée (12)  Appréciation des risques (5) Exemple Actif : Max ER1 ER2 ... Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine  Mesures de sécurité à élaborer 1 2 3 4 X X X X Intégrité Corruption Transactions perdues : 1 10 100 1.000 4 X Confidentialité Divulgation 3 X Preuve Enregistrements non probants Légalité Transgression
  31. 31. 21/11/2014 31 61 Risque : méthode simplifiée (13)  Plan de traitement (1) • Mesures de base SGSI ( ISO 27001) bonnes pratiques de base ( ISO 27002) • Mesures spécifiques au métier, à l'application, … • Attributs des mesures - Mode d'action PV : prévention (probabilité/opportunité ) PT : protection (impact ) - Localisation IT : ICT US : end user - Coût : initial / récurrent - Attributs de sécurité améliorés : disponibilité, intégrité, … - Evénements redoutés traités 62 Risque : méthode simplifiée (14)  Plan de traitement (2) • Modèle documentaire  Mesure de sécurité : MS # Mode d'action Localisation Coût initial Coût récurrent Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Attributs de sécurité améliorés  Intégrité Corruption Transactions perdues : 1 10 100 1.000 Evénements redoutés traités  Confidentialité Divulgation ER1  ER2  ER3  Preuve Enregistrements non probants ER4  ER5  ER6  Légalité Transgression ER7  ER8  ER9 
  32. 32. 21/11/2014 32 63 Risque : méthode simplifiée (15)  Plan de traitement (3) • Pour chaque actif : efficacité des mesures de sécurité sur les événements redoutés Actif : ER1 ... MS1 ... Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Corruption Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression 64 Risque : méthode simplifiée (16)  Plan de traitement (4) • Risque résiduel après application des mesures de sécurité Conséquences Actif : F I ... S Max Disponibilité Indisponibilité : 5 minutes 1 heure 1 jour 1 semaine > 1 semaine Intégrité Corruption Transactions perdues : 1 10 100 1.000 Confidentialité Divulgation Preuve Enregistrements non probants Légalité Transgression (loi, règlement, ...)
  33. 33. 21/11/2014 33 65 Risque : méthode simplifiée (17)  Résumé 66 Risque : méthode simplifiée - histoire (18)  1991 établissement bancaire audit informatique  risque supporté par le département informatique non supporté par les responsables fonctionnels méthode : gestion de risque check  list  méthodes d'audit  méthode simplifiée  1997 ISO 13335  2005 administration fédérale  2008 ISO 27005
  34. 34. 21/11/2014 34 67 Risque : méthode simplifiée - évaluation (19) + démarrage très court implication des propriétaires fonctionnels effort global : faible documentation : claire et synthétique expert en sécurité : intervention limitée – (supposition : bonnes pratiques de base) 68 Risque : méthode simplifiée (20)  Exercice La firme d'ingéniérie BelSmartChem réalise des projets d'usine chimique au moyen d'un logiciel de conception assistée, développé par les fondateurs associés, qui lui permet de produire ses plans et calculs plus vite que ses concurrents. Chiffre d'affaires : 5 millions €/an. Elle utilise l'email dans ses relations commerciales. Elle emploie 20 ingénieurs (800 €/j) et 5 employés administratifs (400 €/j) chargés de la comptabilité et du suivi des projets. Ses bureaux se trouvent dans un immeuble partagé avec un atelier de mécanique.
  35. 35. 21/11/2014 35 69 Sommaire  Concepts – définitions  Gestion de la sécurité de l'information  Normes  ISO 27001 : SGSI – exigences  ISO 27002 : code de pratique  ISO 27005 : gestion du risque  Gestion du risque : méthodes et outils classiques  Gestion du risque : méthode simplifiée  Gestion du risque : EBIOS 70 Risque : EBIOS (1)  Origine • FR : Agence Nationale de la Sécurité des Systèmes d'Information www.ssi.gouv.fr/fr/anssi/  EBIOS = Expression des Besoins et Identification des Objectifs de Sécurité  Méthode publique et gratuite • Guide méthodologique • Base de connaissances • Exemple • Outil documentaire
  36. 36. 21/11/2014 36 71 Risque : EBIOS (2)  Domaine d'emploi • Organisations publiques et privées • Organisations grandes et petites • ISMS ( ISO 27001) • Documents "common criteria" ( ISO 15408) • ... 72 Risque : EBIOS (3)  Etapes
  37. 37. 21/11/2014 37 73 Risque : EBIOS (4)  Module 1 : Etude du contexte (1) • Périmètre • Sources de menace : retenues ou non • Métriques Echelle de besoin disponibilité intégrité confidentialité preuve  légalité  Niveaux de gravité (impact) Niveaux de vraisemblance des scénarios de menace Critères de gestion des risques (seuils de tolérance, ...) 74 Risque : EBIOS (5)  Module 1 : Etude du contexte (2) • Biens Biens essentiels : "patrimoine informationnel", "biens immatériels"  "dépositaire" !? Biens supports : composants du système d'information  "propriétaire" !? Tableau : biens essentiels / biens supports Mesures de sécurité existantes  ISO 27002 (p. ex.) Tableau : mesures existantes / biens supports
  38. 38. 21/11/2014 38 75 Risque : EBIOS (6)  Module 2 : Evénements redoutés • Sur les biens essentiels sans considération pour le scénario technique • Sources de menace • Impacts • Tableau : événement redouté / source menace / impact / gravité 76 Risque : EBIOS (7)  Module 3 : Scénarios de menaces • Sur les biens supports • Menaces • Vulnérabilités • Tableau : biens supports / scénarios menace / sources menace / vraisemblance
  39. 39. 21/11/2014 39 77 Risque : EBIOS (8)  Module 4 : Etude des risques (1) • Corrélation événements redoutés / scénarios de menace  module 2  module 3 • Analyse des risques Par risque : gravité / vraisemblance • Evaluation des risques Classement des risques par gravité et vraisemblance Risques Vraisemblance + ++ +++ Gravité +++ ++ + 78 Risque : EBIOS (9)  Module 4 : Etude des risques (2) • Options de traitement Eviter Réduire Accepter Transférer • Risques résiduels
  40. 40. 21/11/2014 40 79 Risque : EBIOS (10)  Module 5 : Mesures de sécurité • Formalisation Spécification Risque résiduel • Mise en oeuvre 80 Risque : EBIOS (11) + gratuité marché de consultance support d'une agence gouvernementale outil informatique documentation  certification (ISO 15408) base de connaissances – formation à la méthode lourdeur

×