La gestion des risquesde sécurité del’information dans lesprojetsSuzanne Thibodeau, directriceStratégies, Gouvernance et S...
Plan de présentation1. Les principaux risques liés à la sécurité de   l’information2. Coût de l’intégration de la sécurité...
La gestion des risques de sécurité de                     l’information dans les projetsPartie 1Principaux risques de sécu...
Sécurité de l’information• Disponibilité :   – Rendre l’information accessible et     utilisable sur demande par une entit...
Qu’est-ce qu’un risque de sécurité de              l’information ?« Potentiel qu’une menace donnée exploite lesvulnérabili...
Sources de menaces Protéger l’information contre qui/quoi? Plusieurs sources de menaces :     • Source humaine agissant ...
Exemples de risques liés à la sécurité de                l’information Risques liés aux renseignements personnels  ou con...
La gestion des risques de sécurité de                      l’information dans les projetsPartie 2Coûts de l’intégration de...
Quelques statistiques                            9 75% des brèches de sécurité sont facilitées par les applications, et  ...
Niveau d’intégration de la sécurité et                    vulnérabilitésPourcentage de vulnérabilités trouvées par phase d...
Niveau d’intégration et efforts de correction   Coûts et durée de correction des vulnérabilités par phase de projetPhase d...
Investissement en sécurité de l’information
La gestion des risques de sécurité de                    l’information dans les projetsPartie 3Survol de l’approche propos...
Qu’est-ce que la norme ISO 27034 ? Lignes directrices pour aider les organisations  à intégrer la sécurité dans les procé...
Exemple d’arbre de décision
Exemple de niveaux de sécurité• Niveau de sécurité de base  – balayage de vulnérabilité automatique  – Journalisation de b...
Bénéfices de l’approche ISO 27034• Sécurisation basée sur les besoins de chaque  projet• Consolidation de la sécurisation ...
La gestion des risques de sécurité de                     l’information dans les projetsPartie 4Quand et comment intégrerl...
Livrables de sécurité par phase de projet
Étapes de réalisation d’une analyse de                              risque          1.                           2.       ...
La gestion des risques de sécurité de                     l’information dans les projetsPartie 510 écueils à éviter et aut...
10 écueils à éviter et autres leçons tirées                 d’expériences vécues1.    Classification vous dites ?2.    PCI...
10 écueils à éviter et autres leçons tirées       d’expériences vécues (suite)6.L’industrialisation aveugle7.Le trou noir ...
MERCI DE VOTRE ATTENTION :-)
La gestion des risques de sécurité de                     l’information dans les projetsAnnexeMatériel de référence
Analyse du flux de données Décrire tout le cycle de vie de l’information  Création > Traitement > Utilisation > Transmiss...
Classification des actifs• Objectif: Déterminer la valeur de l’actif pour  l’organisation afin d’établir des mesures de  p...
Classification des actifs           Niveau de confidentialité - ExempleNiveaux        Définitions                         ...
Classification des actifs          Niveaux d’intégrité – ExempleNiveaux    Définitions                                Exem...
Classification des actifs         Niveaux de disponibilité - ExempleNiveaux      Définitions                              ...
Évaluation de l’impact - exempleCote                                                     Impact          Financier   Clien...
Évaluation de la probabilité – Exemple    Cote         Probabilité       1         Il est difficile d’envisager que le ris...
Grille d’évaluation du risque
Prochain SlideShare
Chargement dans…5
×

MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets

3 970 vues

Publié le

0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 970
Sur SlideShare
0
Issues des intégrations
0
Intégrations
61
Actions
Partages
0
Téléchargements
120
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Bonnes pratiques : Exercice habituellement réalisé en collaboration avec l’ensemble des départements de l’organisation; Classification révisée et approuvée par les départements concernés et les parties prenantes touchées; Nombre de niveaux doit être limité (3 à 5 maximum); Doit demeurer simple et facile d’utilisation; Mesures de sécurité associés à chaque niveau de classification, augmentant en fonction de la sensibilité et de la criticité de l’information.
  • MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets

    1. 1. La gestion des risquesde sécurité del’information dans lesprojetsSuzanne Thibodeau, directriceStratégies, Gouvernance et Services-Conseils,Sécurité, Mouvement Desjardins
    2. 2. Plan de présentation1. Les principaux risques liés à la sécurité de l’information2. Coût de l’intégration de la sécurité de l’information dans les projets3. Survol de l’approche proposée par la norme ISO 270344. Quand et comment intégrer l’analyse de risque de sécurité dans un projet ?5. 10 écueils à éviter et autres leçons tirées d’expériences vécues
    3. 3. La gestion des risques de sécurité de l’information dans les projetsPartie 1Principaux risques de sécurité del’information
    4. 4. Sécurité de l’information• Disponibilité : – Rendre l’information accessible et utilisable sur demande par une entité autorisée• Intégrité : – Sauvegarder lexactitude et lexhaustivité de l’actif• Confidentialité : – S’assurer que l’information n’est pas mise à la disposition ou divulguée à des personnes, des entités ou des processus non autorisés. 4
    5. 5. Qu’est-ce qu’un risque de sécurité de l’information ?« Potentiel qu’une menace donnée exploite lesvulnérabilités d’un actif ou d’un groupe d’actif, causant ainsi un dommage à l’organisation»**Source: ISO/IEC 27005:2011 5
    6. 6. Sources de menaces Protéger l’information contre qui/quoi? Plusieurs sources de menaces : • Source humaine agissant délibérément (attaque, fraude, sabotage, vol) • Source humaine accidentelle (erreur, omission) • Source naturelle (inondation, feu, panne d’électricité) • Source environnementale (conflit social, hacktivisme, pandémie) 6
    7. 7. Exemples de risques liés à la sécurité de l’information Risques liés aux renseignements personnels ou confidentiels Risques de non-conformité (ex: PCI DSS, 52 109, Bâle, loi 138, etc.) Risques de fraude et de vol d’identité Risques liés aux fournisseurs externes Risques liés à l’image et la réputation
    8. 8. La gestion des risques de sécurité de l’information dans les projetsPartie 2Coûts de l’intégration de la sécuritédans les projets
    9. 9. Quelques statistiques 9 75% des brèches de sécurité sont facilitées par les applications, et non le réseau. - Gartner 92% des vulnérabilités rapportées sont au niveau des applications. – NIST Plus de 70% des vulnérabilités de sécurité sont dans les applications. – Gartner
    10. 10. Niveau d’intégration de la sécurité et vulnérabilitésPourcentage de vulnérabilités trouvées par phase de projet en fonction de lintégration de la sécuritéPhase de projet Sécurité non intégrée Sécurité intégréeRéalisation 0% 33%Test/Acceptation 40% 57%En production 35% 8%Latent 25% 2%*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
    11. 11. Niveau d’intégration et efforts de correction Coûts et durée de correction des vulnérabilités par phase de projetPhase de projet Coût Durée de correctionRéalisation $ 20 moins de 1 heureTest $ 360 3-5 heuresEn production $ 12,000 10 heures et plusLatent $-*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
    12. 12. Investissement en sécurité de l’information
    13. 13. La gestion des risques de sécurité de l’information dans les projetsPartie 3Survol de l’approche proposée parla norme ISO 27034
    14. 14. Qu’est-ce que la norme ISO 27034 ? Lignes directrices pour aider les organisations à intégrer la sécurité dans les procédés utilisés pour la gestion de leurs solutions TI Vise la sécurisation des solutions TI sur mesure selon le niveau de sécurité assigné au projet Sous-ensemble de mesures de sécurité associés à chacun des différents niveaux de sécurité
    15. 15. Exemple d’arbre de décision
    16. 16. Exemple de niveaux de sécurité• Niveau de sécurité de base – balayage de vulnérabilité automatique – Journalisation de base – authentification simple (code usager / mot de passe)• Niveau de sécurité modéré – balayage de vulnérabilité manuel – journalisation des principales actions – authentification adaptative (deux informations connues)• Niveau de sécurité élevé – authentification forte (deux facteurs) – journalisation détaillée de toutes les actions – système de prévention d’intrusion – transmission chiffrée, etc..
    17. 17. Bénéfices de l’approche ISO 27034• Sécurisation basée sur les besoins de chaque projet• Consolidation de la sécurisation des solutions TI• Implication légère d’équipe de sécurité dans les projets
    18. 18. La gestion des risques de sécurité de l’information dans les projetsPartie 4Quand et comment intégrerl’analyse de risque dans un projet
    19. 19. Livrables de sécurité par phase de projet
    20. 20. Étapes de réalisation d’une analyse de risque 1. 2. 3. 4. 5. Établissement Identification Analyse Traitement Communication du contexte des risques des risques du risque du risque•Échelles de probabilité et •Identification des •Identification et •Élaboration du plan de •Inscription au registred’impact et seuil de menaces et des évaluation des contrôles traitement des risques des risquestolérance au risque vulnérabilités potentielles en place (refuser, accepter, •Divulgation au(préalables) •Évaluation de l’impact •Évaluation de la mitiger, transférer) responsable de la gestion•Classification des actifs sur la disponibilité, probabilité de •Acceptation du plan de des risquesinformationnels visés et l’intégrité et la matérialisation du risque traitement des risques par •Suivi et reddition deidentification des confidentialité de la •Comparaison du risque le propriétaire des actifs compte sur la mise enpropriétaires matérialisation de la inhérent au seuil de informationnels œuvre du plan de suivi•Diagramme de flux des menace tolérance au risquedonnées déterminé par l’entreprise•Cadre normatif , légal etréglementaire applicable Portée de Liste des Risque Plan de Registre des l’analyse menaces Inhérent traitement et risques risque résiduel 20
    21. 21. La gestion des risques de sécurité de l’information dans les projetsPartie 510 écueils à éviter et autres leçonstirées d’expériences vécues
    22. 22. 10 écueils à éviter et autres leçons tirées d’expériences vécues1. Classification vous dites ?2. PCI ? Jamais entendu parlé !3. L’autosuffisance4. C’est le problème du fournisseur5. Le Syndrome du couper / coller (one size fits all)
    23. 23. 10 écueils à éviter et autres leçons tirées d’expériences vécues (suite)6.L’industrialisation aveugle7.Le trou noir de sécurité8.La pensée magique9.La confiance excessive10.Le bonhomme sept-heures
    24. 24. MERCI DE VOTRE ATTENTION :-)
    25. 25. La gestion des risques de sécurité de l’information dans les projetsAnnexeMatériel de référence
    26. 26. Analyse du flux de données Décrire tout le cycle de vie de l’information Création > Traitement > Utilisation > Transmission > Entreposage > Destruction Considérer tous les médias et supports Papier, CD, Matériel (Disque dur), Logiciels et Applications, BD, Canaux de communications, etc. 26
    27. 27. Classification des actifs• Objectif: Déterminer la valeur de l’actif pour l’organisation afin d’établir des mesures de protection proportionnellement adéquates• Critères de classification : 1. Disponibilité 2. Intégrité 3. Confidentialité SÉANCE 6 27
    28. 28. Classification des actifs Niveau de confidentialité - ExempleNiveaux Définitions ExemplesPublic Information dont la divulgation publique a été Services et autorisée par son propriétaire et qui n’est pas coordonnées de susceptible de causer un préjudice à l’entreprise l’organisationPrivé ou Information dont la divulgation sans autorisation Bottin des employés,interne préalable à l’extérieur de l’organisation pourrait procédures causer un préjudice à l’organisation, sans avoir administratives cependant d’impact sur ses activités .Confidentiel Actif dont la divulgation sans autorisation Renseignements préalable est susceptible de causer un préjudice personnes sur les significatif à l’organisation ou à ses clients. clients, coût de revient des produitsSecret Actif dont la divulgation sans autorisation Projet d’acquisition préalable est susceptible de causer un préjudice d’une entreprise, brevet d’une très grande gravité à l’organisation. en développement 28
    29. 29. Classification des actifs Niveaux d’intégrité – ExempleNiveaux Définitions ExemplesFaible Information pour laquelle l’organisation Liste des cours suivis peut tolérer certains écarts (restant par les employés, cependant acceptables) d’autant plus compétences que les impacts qui y sont associés ont recherchées par poste beaucoup moins d’importance.Modéré Information qui se doit d’être exacte et Feuilles de temps du dont l’inexactitude peut avoir des personnel, conséquences significatives sur statistiques sur les l’organisation. ventesÉlevé Information qui se doit d’être exacte en Transactions tout temps et dont l’inexactitude peut financières avoir des conséquences grave pour Information médicale l’organisation ou ses clients. 29
    30. 30. Classification des actifs Niveaux de disponibilité - ExempleNiveaux Définitions ExemplesFaible Information dont l’impact de non- Rapports de gestion disponibilité est minime. On considère qu’une interruption pouvant aller jusqu’à un 24 heures demeure acceptable.Modéré Information dont la non-disponibilité Information requise apporte des impacts moins importants pour la production sur les opérations de l’organisation. On d’états de compte considère qu’une interruption maximale de 4 heures reste acceptable.Élevé Information pour laquelle on doit assurer Information sur les la disponibilité presque en tout temps. comptes clients On considère qu’une interruption maximale de 1 heure est acceptable. 30
    31. 31. Évaluation de l’impact - exempleCote Impact Financier Clients Employés Réputation Conformité 1 < 100 K Peu d’impact sur les clients Peu ou aucun Peu ou pas de Peu ou pas très ou disponibilités des produits impact sur le climat couverture d’impact au de travail médiatique niveau des faible autorités réglementaires 2 > 100 K Cas isolé de pertes de Impact à court terme Couverture Peu d’impact sur faible < 500 K clients, récurrences des sur le climat de médiatique de le droit d’opérer plaintes sur les délais et les travail courte durée erreurs de produits 3 > 500 K Diminution de la rétention Impact ressenti sur Couverture Compromet lamodérée < 800 K des clients, plusieurs la mobilisation et médiatique crédibilité auprès problèmes nécessitant des l’absentéisme importante et des autorités solutions temporaires constante réglementaires ressources additionnelles 4 > 800 K Perte significative de clients, Perte de ressources Impact important Imposition deélevée <1M plusieurs problèmes clés et sur l’image de restrictions au importants et persistants augmentation du marque et la droit d’opérer taux de roulement perception des clients 5 >1M Problème endémique de Exode massif des La réputation ne Révocation du très qualité du service, ressources, climat peut qu’être droit d’opérer une détérioration marquée de la conflictuel rétablie à long ou plusieursélevée capacité à offrir les produits terme activités 31
    32. 32. Évaluation de la probabilité – Exemple Cote Probabilité 1 Il est difficile d’envisager que le risque puisse se réaliser. (très faible) Pas de précédent connu dans l’industrie ou l’organisation 2 Le risque pourrait se réaliser, mais la probabilité est peu (faible) significative. Pas de précédent connu dans l’organisation. 3 Il est envisageable que le risque puisse se réaliser, mais il (modérée) y a peu de précédent connu dans l’industrie ou l’organisation. 4 Il est facilement envisageable que le risque puisse se (élevée) réaliser, car il y a quelques précédents connus dans l’industrie ou l’organisation. 5 Il est presque certain que le risque se réalisera si rien (très élevée) n’est fait. Plusieurs précédents sont connus dans l’industrie ou l’organisation. 32
    33. 33. Grille d’évaluation du risque

    ×