Gouvernance de la sécurite des Systèmes d'Information Volet-1

VOLET 1
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO - Dirigeant de PRONETIS
Consultant SSI – Lead Auditor 27001 / Risk Manager 27005
Membre du GREPSSI, OWASP
Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)
PRONETIS – www.pronetis.fr
Société indépendante spécialisée en SSI
Audit – Conseil – Formation – Lutte contre la fraude informatique

AGENDA VOLET I
Module N°1 : Rappels
Quelques chiffres - Statistiques
Système d’information industriel – état des lieux
Problématiques spécifiques des SI industriels
Domaines d’exploitation – Impacts majeurs
Évolution de la sécurité
Module N°2 : Management de la sécurité
Périmètre de la sécurité et les axes stratégiques
Système de management de la sécurité Norme ISO 27001
Fonction RSSI : Rôles et missions – Positionnement
Difficultés de la sécurité des systèmes d’information
Module N°3 : Gestion des risques
Gestion des risques - État des lieux
Définitions, métriques et illustrations
Module N°4 : Méthode EBIOS - Exemple
Méthode EBIOS étape par étape
Illustration avec une étude de cas
Module N°5 : Politique de sécurité
Définition d’une politique cadre et des politiques
ciblées de sécurité
Exemples de politiques de sécurité
Normes de sécurité - Normes 27001, 27002
Module N°6 : Plan d’action et contrôles
Plan d’action sécurité et budget
Audit de sécurité fonctionnel et technique
Tableau de bord sécurité
Pour aller plus loin
Livre
Magazine
Articles - Web

TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 1 Principes de sécurité : 1.1, 1.2, 1.3
Chapitre 2 Cybercriminalité : 2.5, 2.6
Chapitre 3 Gouvernance et Stratégie : 3.1 à 3,6
Chapitre 4 Politique de Sécurité : 4.1 à 4,4, 4.6, 4.7

MODULE N°1 : RAPPELS
QUELQUES CHIFFRES – STATISTIQUES CLUSIF
DÉFINITION DU SYSTÈME D’INFORMATION INDUSTRIEL
CARACTÉRISTIQUES ET VULNÉRABILITÉS DES SI INDUSTRIELS
DOMAINES D’EXPLOITATION
ACTEURS DU SYSTÈME D’INFORMATION
IMPACTS MAJEURS
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

CONTEXTE

CYBER-ATTAQUES INDUSTRIELLES
Piratage du système d’adduction d’eau de
Springfield
Attaque sur différents gazoducs aux états unis en
2012 - Attaque provenant d’un malware en pièce
jointe d’un mail
En 2012, Cyber attaque de la centrale nucléaire
Three Mile Island au niveau du système de
contrôle commande des pompes de
refroidissement
En 2013, cyber attaque d’un réseau ferroviaire
aux états unis occasionnant de nombreux retards.
http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html

SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôle industriel
sont utilisés pour de multiples applications
Usine classique : chimie, agro, automobile, pharma, production d’énergie…
Sites plus vastes : traitement de l’eau, des réseaux de transport…
Gestion de bâtiment (aéroport, hôpitaux…)
Propulsion de navire
Santé : biomédicale, laboratoire d’analyse …
Les systèmes industriels contrôlent les infrastructures
critiques depuis les réseaux électriques au traitement de
l'eau, de l'industrie chimique aux transports. Ils sont
présents partout.
8 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS
Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) ,
disponibilité 24/7
Environnement physique : ateliers de production : poussière, température,
vibrations, électromagnétisme, produits nocifs à proximité, environnement extérieur, etc.
Durée de vie des équipements : plus de 10 ans (parfois 30 ou 40 ans)
Multiples technologies et fournisseurs : la grande durée de vie des installations
conduit à une « superposition » des vagues technologiques successives sur un même
site entrainant un phénomène d’obsolescence des matériels et logiciels.
Couvertures géographiques : dans des entrepôts, des usines, sur la voie
publique, dans la campagne (stations de pompage, sous-stations électriques, etc.), des
lieux isolés, en mer, dans l’air et dans l’espace Effets indésirables de la mise en œuvre
de la sécurité
Télémaintenance : accès à distance sur les automates
Culture sécurité : automaticiens, instrumentistes électrotechniciens, spécialistes en
génie du procédé
La sécurisation des systèmes industriels passent par la
compréhension de leurs spécificités et de leurs contraintes

ARCHITECTURE TYPIQUE
Combinaison du monde industriel
avec le monde informatique

VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Vulnérabilités intrinsèques aux systèmes industriels
Peu de prise en compte de la sécurité lors des phases de conception,
d’installation, d’exploitation et de maintenance
Automates et composants industriels en production avec des
configurations par défauts et mots de passe par défaut
Informations accessibles – les manuels techniques sont disponibles
assez facilement- avec les mots de passe par défaut.
Une culture et une expérience des opérationnels différentes du
monde informatique : Connexion à l’Internet et ignorance de la
menace extérieure
Des opérateurs non formés à la sécurité informatique

CE QUE L’ON OBSERVE SUR LE TERRAIN
Personnel non sensibilité
Aux enjeux / risques
Virus – erreur de
donnéesMauvaise configuration
Pare-feu & intrusion
Console de programmation
Infectée – modification
application API
Virus – envoi aléatoire de requêtes Modbus
Mot de passe
Admin par défaut
OS API
Non à jour
Opérateurs
de maintenance
non formés
Pas de
cartographie
des flux API
Clé USB
infecté

STATISTIQUES
CLUSIF 2014

DOMAINES D’EXPLOITATION
Industrie Transports Energie Défense

LE SYSTÈME D’INFORMATION (S.I.)
Le S.I. doit permettre et faciliter la mission de l’organisation
La sécurité du S.I. consiste donc à assurer la sécurité de
l’ensemble de ces biens.
Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs :
personnesite matériel réseau logiciel organisation
actifs primordiaux
actifs supports
processus métiers
et informations
ISO/IEC 27005:2008

VUE DE QUELQUES ACTEURS DU SYSTÈME D’INFORMATION
Entreprise
LAN / station de travail
Environnement
Informatique et télécom
Equipements
de sécurité
Fournisseur
d’accès
Fournisseurs de services
- Opérateurs Télécom
- Hébergeurs,
- Paiement sécurisé,
- Sites de sauvegarde et secours
Environnement
Général : EDF
Intervenants
en amont
dans la conception
et la réalisation
des environnements
Personnel
Serveurs
Prestataires
de services
infogérance

La sécurité a pour objectif de réduire les risques pesant sur le système
d’information, pour limiter leurs impacts
LA SÉCURITÉ INFORMATIQUE
Impacts financiers
Interruption de la production
Modification des paramètres
de fabrication
Impacts juridiques
et réglementaires
Impacts
organisationnels
Impacts sur l’image
et la réputation
Sécurité
des S.I.
Dommages matériels
et/ou corporels
Responsabilité civil ou
pénale
Impact
environnemental
Pollution du site de
production et de
l’environnement

VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
• Anti-virus
• Anti-Spyware,
• Anti-rootkids
• …
• Détecter les vulnérabilités
• Appliquer les Correctifs
• Sondes IDS
• Analyse des traces
•Supervision, Veille,
•Surveillance
• Firewall
• Compartimenter le
réseau et les systèmes
• Sécuriser et certifier
les échanges (VPN /
Mails chiffrés)
• Former et sensibiliser les
utilisateurs
• Consignes en cas
d’attaque ou de doutes
• Mise en œuvre de
procédures de sécurité
• Plan de continuité
•Sauvegarde et protection des supports
•Redondance des systèmes
• Classifier les données
• Analyse de risques
• Protéger des données
• Accès restrictifs
Gestion de la sécurité (non exhaustif)
Données
•Protéger et isoler
les réseaux sans fil

ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES
D’INFORMATION
Source : Denis Virole Telindus et Jean-Louis Brunel

DÉCLINAISON DES BONNES PRATIQUES
Source : Jean-Louis Brunel
Détection d’intrusion
Centralisation des logs
Audit / Tests intrusifs
Cours 3A Cours 4A

APPROCHE SÉCURITÉ
Difficultés d’appliquer les standards de sécurité des
systèmes d’information de gestion
Une approche différente à construire pour les systèmes
d’information industriels « tout en adaptant les recettes
existantes de sécurité »
La gestion du risque, la maîtrise des techniques de
sécurisation deviennent des compétences
indispensables pour les entreprises dans les secteurs
industriels.

PAUSE-RÉFLEXION
Avez-vous des questions ?

RÉSUMÉ DU MODULE
Chiffres
Statistiques
Caractéristiques
des SI
Industriels
Vulnérabilités
des SI
Industriels
Domaines
d’exploitation
Impacts majeurs
Évolution de la
sécurité des SI
SI : Systèmes d’Information

MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ
PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ - PDCA -27001
FONCTION RSSI : RÔLES ET MISSIONS - POSITIONNEMENT
DIFFICULTÉS DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

Concevoir et manager un dispositif de sécurité adapté nécessite :
– Une bonne connaissance / évaluation des risques
– Une approche globale et transversale faisant interagir les fonctions
Direction Générale, Direction de la Sécurité des Systèmes
d'Information, Direction du Contrôle Interne et Direction de l'Audit
– Un modèle de conception dynamique qui intègre l’ évolution des
architectures et des menaces.
Une problématique complexe
PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
Le SMSI (Système de Management de la Sécurité de l’Information) doit être
cohérent avec les objectifs métiers de l’organisme et cohérent avec le
système de management de la qualité

La sécurité du SI doit être abordée d’une manière globale avec une
volonté affichée et un appui de la direction
Les seules réponses techniques à la problématique sécurité sont insuffisantes si
elles ne sont pas sous-tendues par une approche structurée intégrant les
composantes :
Stratégique
Économique
Organisationnelle
Humaine
PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
Les priorités portent désormais davantage sur les
aspects d’organisation et de management.

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION - SMSI
Norme ISO-27001

Norme ISO-27001

Phase PLAN - Fixer des objectifs et des plans d'actions
Identification des actifs ou des biens ;
Analyse de risques ;
Choisir le périmètre
Phase DO - Mise en œuvre et exploitation des mesures et de
la politique
Établir un plan de traitement des risques ;
Déployer les mesures de sécurité ;
Former et sensibiliser les personnels ;
Détecter les incidents en continu pour réagir rapidement.
L'INFORMATION : SMSI

Phase CHECK - Mesurer les résultats issus des actions mises
en œuvre
Audits internes de conformité et d’efficacité du SMSI (ponctuels et planifiés) ;
Réexaminer l’adéquation de la politique SSI avec son environnement ;
Suivre l'efficacité des mesures et la conformité du système ;
Suivre les risques résiduels.
Phase ACT
Planifier et suivre les actions correctrices et préventives

MÉTIERS EN CYBER SÉCURITÉ
La cybersécurité est transverse à toute activité qui requiert de l’informatique et des
réseaux de télécommunications, de la TPE à la multinationale, dans le domaine privé
ou public.
Exploitants
Administrateurs
Techniciens supports
Direction systèmes d’information
et télécom
Responsable SSI - RSSI : gouvernance
et gestion de crise
Etudes et services d’ingénierie
MOA/MOE
Ingénieurs d’étude SSI : analyse de
risque, politique de sécurité, audit
Opérationnels SSI :
intégration,
configuration,
administration,
supervision et
réaction
Positionnement des métiers au sein des organisations
Fonctions

Gouvernance de la sécuritéGouvernance de la sécurité
Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression
de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la
gouvernance globale de l’organisation.
Exploitation / maintien de
condition de sécurité
Validation / audit
organisationnel / test intrusion
Expression de besoin /
maitrise d’ouvrage (MOA)
Conception d’architecture
/ maitrise d’œuvre (MOE)
Développement logiciel ou
composant matériel
veille des vulnérabilités
/ analyse forensics
Intégration de produit /
déploiement d’architecture
Cartographie des métiers et compétence en SSI

b. Cartographie des métiers et compétence en SSI
Étude
Exploitation /
Maintenance
Gestion des
incidents, des crises
MétiersPhases
Implémentation,
déploiement
Conception
Auditeur organisationnel
Auditeur technique
RSSI, Technicien support
Investigateur numérique
Ingénieur de sécurité, architecte de
sécurité, développeur de sécurité,
Consultant
Analyste dans un SOC

LA FONCTION DE RSSI
Définition des principes ou règles
applicables
Coordination des actions
Animation du réseau de
correspondants
Evaluation régulière du niveau de
sécurité
Intégration de la sécurité dans les
projets
Evaluation des risques
Veille sécuritaire
Surveillance – gestion des incidents
Promotion de la politique de sécurité
Coordination des actions de
sensibilisation
Conseil en matière de sécurité

ORGANISATION DE LA SÉCURITÉ

RÉMUNÉRATION DU RSSI
(analyse effectuée 2009 - Assises de la sécurité)
Une répartition des
salaires qui varie peu
avec un salaire moyen
quasi stable à 73,8 k€
contre 73,4 k€ en 2008.
SOURCE ZDNET 2011
68K€ pour un RSSI avec 5 à 8 ans d'expérience soit 4.533 € net par
mois. 85K€ de salaire moyen entre 10 et 15 ans d'expérience soit 5.666 € net
par mois … et plus de 100K€ au-delà de 15 ans d'expérience.

FREINS A LA SECURITE : CLUSIF 2014
Le premier frein principal reste le manque de
moyens budgétaires

LES DIFFICULTÉS DE LA SÉCURITÉ
Les usagers ont des besoins spécifiques en sécurité informatique,
mais en général ils ont aucune expertise dans le domaine
L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de
comprendre ses besoins et de mettre en œuvre les moyens
adéquates
Performance et confort d’utilisation Versus Sécurité
Les mécanismes de sécurité consomment des ressources
additionnelles
La sécurité interfère avec les habitudes de travail des usagers
Ouverture vers le monde extérieur en constante progression
Les frontières de l’entreprise sont virtuelles ex : télémaintenance
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41

LES DIFFICULTÉS DE LA SÉCURITÉ
Centre de coût versus centre de profit
La justification des dépenses en matière de sécurité n’est pas évidente
Le retour sur investissement en sécurité est un exercice parfois difficile
La sécurité n’est pas une fin en soi mais résulte d’un compromis
entre :
- un besoin de protection ;
- le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…)
- les fonctionnalités toujours plus tentantes offertes par les technologies
(sans fil, VoIP…)
- un besoin de mobilité (technologies mobiles…)
- des ressources financières et des limitations techniques

LA SÉCURITÉ EST UN PROCESSUS CONTINU
La sécurité ne se met pas en œuvre en une seule fois
Elle fait partie intégrante du cycle de vie du système
Il s’agit d’un processus itératif qui n’est jamais fini et doit être
corrigé et testé régulièrement
La sécurité n’est pas une activité ponctuelle :
« La sécurité absolue est inatteignable, c’est un
voyage, pas une destination »

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Périmètre
axes
stratégiques
Système de
management de
la sécurité -
PDCA -27001
Difficultés et
freins de la
sécurité des
systèmes
d’information
Fonction RSSI :
Rôles et
missions -
positionnement
Enquête
CLUSIF 2014
SI : Systèmes d’Information

MODULE N°3 : GESTION DES RISQUES
MÉTHODOLOGIE - ANALYSE DE RISQUES
ÉTAT DES LIEUX – CLUSIF 2014
DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS
MÉTHODES D’ANALYSE DE RISQUES
PRÉSENTATION DE LA NORME ISO/IEC 27005

ANALYSE DE RISQUES
La première étape du management de la sécurité des systèmes
d'information doit rendre intelligible les risques qui visent une
organisation, l’analyse de risques
Objectifs recherchés
Inventaire des actifs sensibles (informations : données, applications)
Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de
prendre les décisions stratégiques adaptées
Enclencher les actions associées par ordre de priorité
L’analyse des risques répond à un besoin de gouvernance des
risques et représente un outil de pilotage / d’aide à la décision.
Minimiser les risques encourus par l’organisme du fait de
son système d’information. Faire que ces risques soient
acceptables

RAPPEL : MÉTHODOLOGIE
Liste des biens sensibles
Liste des menaces et modes
opératoires
Listes des impacts et probabilités
Liste des contre-mesures
1 : Quoi protéger et pourquoi ?
2 : De Quoi protéger ?
3 : Quels sont les risques ?
4 Comment protéger l’entreprise ?

INVENTAIRE DES DONNÉES
Inventaire des données:
Classifier les données. Par exemple : Publique, Interne, Confidentielle
permettra de définir les protections, le mode de stockage, d’accès et de
diffusion des données en fonction de leur classification.
Inventaire de l’infrastructure:
Les équipements Logiciels et Matériels
Réseaux
Inventaire des canaux d’échange et mode de communication
Mode, fonctionnement, Échanges chiffrés
Matrice des flux

ANALYSE DE RISQUES
Nouvelle activité de
l’entreprise
Nouvelle architecture
technique
Nouveau système
d’information
Identification des enjeux Analyse de la menace
Identification des risques majeurs
Caractérisation du S.I.
(ressources fonctionnelles et techniques)
Identification des vulnérabilités potentielles majeures
Quels moyens engager ?
SERVICES DE SECURITE
Système d’information
existant
Profils fonctionnels de sécurité
S.I.
Procédures
Mécanismes
techniques
Plans

ANALYSE DE RISQUES

ETAT DES
LIEUX –
SOURCE
CLUSIF 2014

ETAT DES LIEUX – SOURCE CLUSIF 2014

Vulnérabilités
Menaces
Impact
RISQUE
DÉFINITIONS : RISQUES

DÉFINITIONS : NIVEAU DE RISQUES

MÉTRIQUE GRAVITÉ (IMPACTS)
Niveau de Gravité (exemple dans le monde de la santé)
Niveau Valeur Description
1 Mineure
Inconfort patient, gène ponctuelle dans l’activité, perte financière négligeable, absence de plainte,
événement pas médiatisé ou sans impact sur l’image
2 Significative
Perte de chance patient mais limitée et réversible, surcharge de travail ou désorganisation modérée et
temporaire, impact financier modéré, contentieux, dégradation passagère d’image ou de confiance
3 Importante
Perte de chance pour les patients d’un service, avec mise en danger immédiate mais sans atteinte
irréversible, désorganisation importante et durable de l’activité, perte financière importante, atteinte à la
vie privée d’un patient/salarié ou condamnation pénale et/ou financière, perte d’image ou de confiance
avec mise en cause de l’établissement ou d’un organisme tiers
4 Critique
Mise en danger des patients ou menace du pronostic vital, arrêt prolongé d’une part importante de
l’activité, perte financière élevée pouvant mettre en cause la pérennité de l’établissement, atteinte à la
vie privée de plusieurs patients/salariés ou condamnation pénale et/ou financière avec risque
judiciaire, rejet définitif de la capacité de l’établissement à offrir le service attendu
La gravité est l’estimation de la hauteur des effets d’un événement redouté ou d’un risque. La
gravité (ou impact) représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et du
caractère préjudiciable des impacts potentiels.

MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ
Gravité (Impact)
Qualité de prise en
charge
Organisation Pertes Financières
Atteinte à l‘Image
Engagement de
Responsabilité
1 Mineure
Sans effet sur l’état du
patient
Sans effet sur les
processus de l’activité
Sans impact financier
Visible uniquement
en interne
Divulgation limitée
2 Significative
Impact sur la santé
augmentant la durée
d’hospitalisation ou de ré
hospitalisation
Fonctionnement
processus perturbé –
indisponibilité des
ressources
Pertes financières < 1%
du budget global
Réclamations ou plaintes de patients
signalant un dysfonctionnement
grave – visible par peu de patients
3 Importante
Aggravation de l’état de
santé - chance limitée
pour une victime
Arrêt temporaire de
l’activité, fermeture
partielle
Pertes financières <
5% du budget global
Réclamations ou plaintes de patients
liés au non respect des bonnes
pratiques de prise en charge -
débouchant sur une sanction
disciplinaire – visible au niveau local
4 Critique
Perte de chance pour un
patient, décès, effet
irréversible sur la santé
Arrêt prolongé de l’activité,
fermeture de
l’établissement
Pertes financières >
10% du budget global
Visible par un nombre important de
patients / niveau régional ou national
- Plainte de victimes débouchant sur
la condamnation civile ou pénale
d'un responsable

MÉTRIQUE VRAISEMBLANCE
Echelle de vraisemblance
1 Exceptionnel Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions
très difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années)
2 Peu probable Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions
difficiles ou malveillance présentant peu d’intérêt
3 Plausible Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de
probabilité très plausible pour un incident involontaire (au moins une fois par an)
4 Quasi certain Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en
cas de malveillance
La vraisemblance est l’estimation de la possibilité qu’une menace se produise
La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités
des supports face aux menaces et des capacités des sources de risques à les exploiter.

NIVEAU DE RISQUE
Echelle de niveaux de risque
1 Limité
les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter
malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur,
incompréhension, stress, affection physique mineure…).
2 Modéré
les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir
surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de
biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…).
3 Fort
les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles
pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler,
affection psychologique ou physique de longue durée, décès…).
Exceptionnel Peu probable Plausible Quasi-certain
Critique
Importante
Significative
Mineure
Vraisemblance1 2 3 4
1
2
3
4
Gravité

CRITERES DICP (DISPONIBILITE, INTEGRITE,
CONFIDENTIALITE, PREUVE)
Disponibilité (D) : La disponibilité des SI permet de garantir en
permanence la communication et l’échange des données
Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité des
données et des traitements. Les SI doivent garantir que les informations
sont identiques et inaltérables dans le temps et l’espace et certifier leur
exhaustivité, leur validité et leur cohérence.
Confidentialité (C) : La confidentialité permet de réserver l’accès aux
données aux seules personnes autorisées.

MÉTRIQUE DIC
Disponibilité
Valeur Description
1 Un arrêt max de 72 heures
Intégrité
Valeur Description
1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative
2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires,
délais) - Quelques erreurs sont tolérées.
3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un
client, ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées.
4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée.
Confidentialité
Valeur Description
1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique
2 Une perte de confidentialité des informations est dommageable – accès protégé
3 Une perte de confidentialité des informations est grave – accès restreint - info nominative
4 Une perte de confidentialité des informations est très grave - secret médical est renforcé

PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ

DÉFINITIONS
Menace: attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations)
entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise de
l'attaquant, ses ressources disponibles et sa motivation.
Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte
motivation si les flux financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise
nécessaire),...
Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de la
sécurité de l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique de
sécurité), humaine (ex: pas de formation des personnels), logicielles ou matérielles (ex: utilisation de
produits peu fiables ou non testés),...
Exemple: les fichiers sur les ordinateurs portables ne sont pas protégés en lecture.
Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé
financièrement, ou dans une échelle qui dépend du contexte
Impact financier ou pertes financières
Impact sur la production
Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités
Impact sur l’organisation de l’établissement (désorganisation …)

SCÉNARII GÉNÉRIQUES DE MENACES
Accident physique
Malveillance physique
Perte de servitudes essentielles
Perte de données
Indisponibilité d'origine logique
Divulgation d'informations en interne
Divulgation d'informations en externe
Abus ou usurpation de droits
Fraude
Reniement d'actions
Non-conformité à la législation
Erreurs de saisie ou d'utilisation
Erreurs d’exploitation, de conception
Perturbation sociale
Attaque logique du réseau
Accident
Erreur
Malveillance
Origines AEM

ILLUSTRATION
Les menaces pesant sur l’intégrité, la disponibilité ou la confidentialité des informations
sont souvent liées à des erreurs humaines (du fait de la négligence ou de l’ignorance).
Les erreurs d’implémentation des systèmes sont aussi à l’origine d’incidents
Exemple : Un défaut d’intégrité de la donnée de santé, comme l'altération accidentelle ou illégitime d'un
dossier de santé d’un patient ou du paramétrage d’un équipement biomédical, est susceptible
d'entraîner des erreurs médicales, voire un préjudice vital envers le patient.
Négligence du personnel dans la protection des données par méconnaissance des
risques.
Exemple : A cause de cette ignorance du risque, des données médicales se sont retrouvées indexées sur
les moteurs de recherche internet début 2013 dans un hôpital :
Le premier fait est le recours à un hébergeur externe non agréé, par méconnaissance des
risques du stockage des données médicales à l’extérieur de l’établissement ; il n’a pas été
tenu compte du cadre réglementaire, du « décret hébergeurs » (Décret n° 2006-6 du 4 janvier
2006 relatif à l’hébergement de données de santé à caractère personnel).
Le second fait est la négligence de l’hébergeur qui dans la conception de son système de
stockage a rendu possible que les dossiers médicaux soient visibles par les moteurs de
recherche.

ILLUSTRATION
Introduction d'un virus dans le système d’information. Une grande partie des incidents
de sécurité informatique impliquent la propagation de virus. Des moyens techniques
peuvent en limiter la propagation (anti-virus) mais le facteur humain ou la conception des
systèmes peuvent faciliter leur diffusion.
Exemple : En mars 2009, le virus « Conficker » a infecté plusieurs millions d’ordinateurs et on comptait,
parmi les cibles, un grand nombre d’établissements de santé en France.
Vols externes. Le vol de données par des personnes extérieures peut se faire par une
entrée physique dans l’hôpital par exemple mais également à distance via Internet. Des
failles de sécurité dans les applications ou le réseau peuvent permettre à un hacker
d’accéder aux données stockées sur les serveurs d’un établissement, de les subtiliser et,
dans certains cas, de perturber le fonctionnement du SI.
D’autres menaces existent : le vol interne, les dommages matériels intentionnels ou
non, la défaillance de connexion Internet ; il faut aussi indiquer le bug d’un logiciel, la
panne d’un matériel informatique ou du réseau, qui peuvent conduire à un arrêt complet
du système, si les mesures de sécurité sont inexistantes ou incomplètes
Exemples
http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/
http://archives.nicematin.com/nice/un-piratage-informatique-dejoue-au-chu-de-nice.1986813.html

DEFINITIONS
D, I, C
Les représentants métiers (maîtrise d’ouvrage)
• S’assure de la représentation exhaustive des actifs les plus sensibles du SI à ces critères
• Confirme/infirme leur perception sur les besoins en Disponibilité, Intégrité, Confidentialité de
ces actifs sensibles
Evènements redoutés
Les représentants métiers et SI de l’établissement indique quels évènements sont à redouter dans
la situation actuelle de leur SI
Exemple Données médecine du travail: Modification non désirée des données : le statut d’aptitude des
employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique
(licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...)
Source de menace
Les représentants métiers et SI de l’établissement choisissent un type de menace (il est possible
d’en ajouter)
Vraisemblance/Gravité
Les représentants métiers et SI de l’établissement évaluent selon des grilles définies
Niveau de risque
Il est calculé automatiquement selon une matrice (voir après)

DÉFINITIONS : NIVEAU DE RISQUES

TRAITEMENT DU RISQUE
Traitement du risque: processus de sélection et de mise en œuvre
visant à modifier le risque, ce qui signifie une réduction du risque, un
transfert du risque ou une prise de risque.
Réduction du risque: processus visant à minimiser les conséquences
négatives et les opportunités d’une menace.
Transfert de risque: partage avec une autre partie de la charge de la perte
d’un risque particulier (souscription d’assurance par exemple)
Evitement du risque : refus du risque
Acceptation du risque: décision d’accepter un risque traité selon les critères
de risques

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Gestion des
risques
État des lieux –
CLUSIF 2014
Norme
ISO/IEC
27005
Définitions,
métriques et
illustrations
Méthodes
d’analyse de
risques

MODULE N°4 : MÉTHODE D’ANALYSE DE
RISQUES EBIOS
PRÉSENTATION DE LA MÉTHODE D’ANALYSE DE RISQUES EBIOS
ILLUSTRATIONS

PRÉSENTATION D’EBIOS
Expression des besoins et identification des objectifs de sécurité
La méthode EBIOS
créée en 1995 par le SCSSI ;
acteur majeur de la gestion du risque en France ;
aboutit à la version 2.0 en 2004 ;
compatible avec la norme ISO/IEC 27002
Méthode d’appréciation et de traitement des risques
Peut être utilisée pour un système existant ou à concevoir
Fournit une terminologie et des concepts communs

FINALITÉS D’UNE ANALYSE DE RISQUES

PRÉSENTATION DE LA MÉTHODE EBIOS
1.Étude du contexte
2. Etude des
événements
redoutés
3. Étude des
scénarios de
menaces
4. Etude des
risques
5. Etude des
mesures de
sécurité

EBIOS MODULE 1 : ETUDE DU CONTEXTE
Définir le cadre
Cadrer l’étude des risques
Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ?
Quel est l’objectif de l’étude (son but et les livrables attendus) ?
Comment organiser le travail (actions, rôles, charges…) ?
Décrire le contexte général
Que sait-on du contexte (externe et interne) ?
Comment les risques sont-ils gérés actuellement ?
Délimiter le périmètre de l’étude
Quelles sont les limites du périmètre étudié ?
Qui doit participer à l’étude ?
Identifier les paramètres à prendre en
compte
Quels sont les référentiels applicables ?
Quelles sont les contraintes qui pourraient impacter l’étude ?
Identifier les sources de menaces
Contre quels types de sources décide-t-on de se protéger ?
Quels sont les exemples illustratifs ?

EBIOS : SOURCES DE MENACES

EBIOS MODULE 1 : MESURES EXISTANTES

Préparer les métriques
Définir les critères de sécurité et
élaborer les échelles de besoins
Quels critères de sécurité devront être étudiés (D, I, C…) ?
Quelle est la définition de chacun des critères retenus ?
Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ?
Élaborer une échelle de niveaux de
gravité
Quelle échelle utilisera-t-on pour la gravité ?
Élaborer une échelle de niveaux de
vraisemblance
Quelle échelle utilisera-t-on pour la vraisemblance ?
Définir les critères de gestion des
risques
Sur quelles règles s’accorde-t-on pour gérer les risques (manière
d’estimer, règles d’ordonnancement, critères d’évaluation…) ?

Critères
DIC
Vraisemblance
EBIOS MODULE 1 : MÉTRIQUES SUR LES BESOINS DE
SÉCURITÉ

EBIOS MODULE 1 : MÉTRIQUES SUR LES NIVEAUX
DE GRAVITÉ
ECHELLE DE NIVEAUX DE GRAVITÉ
1 Limité
les personnes concernées pourraient connaître des désagréments
significatifs, qu’elles pourront surmonter malgré quelques difficultés
(frais supplémentaires, refus d’accès à des prestations commerciales,
peur, incompréhension, stress, affection physique mineure…).
2 Modéré
les personnes concernées pourraient connaître des conséquences
significatives, qu’elles devraient pouvoir surmonter, mais avec de
sérieuses difficultés (détournements d’argent, interdiction bancaire,
dégradation de biens, perte d’emploi, assignation en justice, aggravation
de l’état de santé…).
3 Fort
les personnes concernées pourraient connaître des conséquences
significatives, voire irrémédiables, qu’elles pourraient ne pas
surmonter (péril financier tel que des dettes importantes ou une
impossibilité de travailler, affection psychologique ou physique de longue
durée, décès…).

EBIOS MODULE 1 : CRITÈRES DE GESTION DES
RISQUES

Identifier les biens
Identifier les biens essentiels, leurs
relations et leurs dépositaires
Quels sont les informations et processus essentiels aux métiers ?
Quels sont les liens (inclusions, dépendances…) entre ces biens ?
Quel est le responsable de chacun de ces biens essentiels ?
Identifier les biens supports, leurs
relations et leurs propriétaires
Sur quoi reposent les biens essentiels (systèmes informatiques et
de téléphonie, organisations, locaux) ?
Quels sont les liens (inclusions, dépendances…) entre ces biens ?
Quel est le responsable de chacun de ces biens supports ?
Déterminer le lien entre les biens
essentiels et les biens supports
Quel est le lien entre chaque bien essentiel et bien support ?
Identifier les mesures de sécurité
existantes
Quels sont les mesures de sécurité mises en œuvre ou prévues ?
Sur quels biens supports reposent-elles ?

EBIOS MODULE 1 : IDENTIFIER LES BIENS

EBIOS MODULE 1 : BIEN ESSENTIEL
Processus
métiers
Processus essentiels Informations essentiels concernées Dépositaires
Gestion des
études
Créer des plans et
calculer des structures
Dossier technique d'un projet Bureau
d'études
Paramètres techniques (pour les
calculs de structure)
Plan technique
Résultat de calcul de structure
Responsable du
Bureau des
études

EBIOS MODULE 1 : SCHÉMA GÉNÉRAL DU SYSTÈME

EBIOS MODULE 1 : BIEN SUPPORT

EBIOS MODULE 1 : SYNTHÈSE DU MODULE 1
Cadrer l’étude:
Décrire le contexte, définir le périmètre
Sélectionner les sources de menaces retenues
Préparer les métriques:
Définir les critères de sécurité (D, I, C, …)
Définir les échelles
Définir les critères de gestion des risques
Identifier les biens:
Identifier les biens essentiels (immatériels)
Identifier les biens supports (supportent les biens essentiels)
Relier les biens essentiels aux biens supports via un tableau de croisement
Identifier les mesures de sécurité existantes

EBIOS MODULE 2 : ETUDE DES ÉVÉNEMENTS
REDOUTÉS
Analyser tous les événements
redoutés
Quels sont les besoins de sécurité de chaque bien essentiel ?
Quelles sources de menaces peuvent les affecter ?
Quels seraient les impacts si l’événement se produisait ?
Quelle serait la gravité d’un tel événement ?
Évaluer chaque événement redouté Quelle est la hiérarchie des événements redoutés identifiés ?
Quelles sont les craintes ?

EBIOS MODULE 2 : EVÈNEMENTS REDOUTÉS
Evénement redouté : scénario avec un niveau de gravité donné, représentant une
situation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité,
assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s).
Exemple : un journaliste parvient à obtenir le budget prévisionnel de l’organisme, jugé confidentiel, et
publie l’information dans les media, portant atteinte à l’image de l’organisme et faisant chuter le cours en
bourse.
Exemple : Un employé peu sérieux ou un concurrent atteint la confidentialité des informations liées au
processus d’établissement des devis qui doit rester limitée aux personnels et partenaires. Cela
provoquerait la perte d’un marché, une action en justice ou une perte de crédibilité. Cet événement
redouté est jugé de gravité importante.

EBIOS MODULE 2 : APPRÉCIER LES ÉVÈNEMENTS
REDOUTÉS

EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE
MENACES
Analyser tous les scénarios de menaces
Quelles menaces peuvent s’exercer sur chaque bien support ?
Quelles sources de menaces peuvent en être à l’origine ?
Quelles sont les vulnérabilités potentiellement utilisables ?
Y a-t-il des prérequis pour que la menace se réalise ?
Quelle est la vraisemblance des scénarios ?
Évaluer chaque scénario de menace Quelle est la hiérarchie des scénarios de menaces identifiés ?
Comment cela peut-il arriver ?

EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE
MENACES
Cette activité sélectionne les méthodes d'attaque pertinentes pour le
système cible.
Une méthodes d'attaque
est caractérisée par les critères de sécurité qu'elle peut affecter ;
est associée à des éléments menaçants caractérisés par :
leur type (naturel, humain ou environnemental)
leurs causes possibles (accidentelle, délibérée) ;
a un potentiel d'attaque.

EBIOS MODULE 3 : SCÉNARIOS DE MENACES
Analyse des menaces
MAT : matériel, LOG : Logiciel, CAN : Canaux interpersonnels, PER : Personnes

Analyse des vulnérabilités

Scénario de menace : scénario, avec un niveau donné, décrivant des modes opératoires. Il
combine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en être
à l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent.

EBIOS MODULE 4 : ÉTUDE DE RISQUES
Apprécier les risques
Analyser les risques
Quels scénarios s’appliquent aux événements redoutés ?
Y a-t-il des mesures existantes pour traiter ces risques ?
Quelle est la gravité des risques ?
Quelle est la vraisemblance des risques ?
Évaluer les risques Quelle est la hiérarchie des risques identifiés ?

Risque : scénario, avec un niveau donné,
combinant un événement redouté et un ou plusieurs scénarios de menaces.

102
Risque
(module 4)
Événement redouté
(module 2)
Scénarios de menaces
(module 3)
Bien essentiel
(module 1)
Critère de sécurité
(module 1)
Biens supports
(module 1)
Tableau de croisement
(module 1)
Sources de menaces
(modules 1, 2 et 3)
Gravité
(module 2)
Vraisemblance
(module 3)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Éléments dimensionnant d’une étude de risques

Choisir les options de traitement de
chaque risque
Comment choisit-on de traiter chaque risque (réduire,
transférer, éviter, prendre) ?
Analyser les risques résiduels Quels risques resteraient si les objectifs étaient satisfaits ?
Identifier les objectifs de sécurité

Décisions
Evitement
Réduction
Prise
Transfert

EBIOS MODULE 5 : ÉTUDE DES MESURES
Formaliser les mesures de
sécurité à mettre en œuvre
Déterminer les mesures de sécurité
Quelles mesures doivent être mise en place ?
Servent-elles à la prévention, la protection, ou la récupération ?
Sur quels biens supports reposent-elles ?
Analyser les risques résiduels
Quelles sont les nouvelles valeurs de gravité et vraisemblance ?
Quels sont les scénarios toujours possibles ?
Établir une déclaration
d'applicabilité
Les paramètres à prendre en compte ont-ils bien été traités ?

EBIOS MODULE 5 : ÉTUDE DES MESURES
Mettre en œuvre les mesures de
sécurité
Élaborer le plan d'action et suivre la
réalisation des mesures de sécurité
Comment planifie-t-on la mise en place des mesures ?
Qui pilote chaque action ?
Où en est la mise en place des mesures de sécurité ?
Analyser les risques résiduels
Quelles sont les nouvelles valeurs de gravité et vraisemblance ?
Quels sont les scénarios toujours possibles ?
Prononcer l'homologation de
sécurité
La manière dont les risques ont été gérés est-elle satisfaisante ?
Les risques résiduels sont-ils acceptables ?

Bien essentiel
Information ou processus jugé comme important pour l'organisme. On appréciera ses
besoins de sécurité mais pas ses vulnérabilités.
Exemples : le dossier patient et les données médicales, les informations personnelles des
patients
Besoin de sécurité
Définition précise et non ambiguë du niveau d'exigences opérationnelles relatives à un bien
essentiel pour un critère de sécurité donné (disponibilité, confidentialité, intégrité…).
Exemples : les données médicales d’un patient ont un besoin de niveau de confidentialité
élevé.
Impact
Conséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme
et/ou sur son environnement. Exemple : la divulgation externe de données patient peut
nuire gravement à l’image de l’établissement.
Evénement redouté
Scénario générique présentant une situation crainte par un organisme. Il combine un bien
essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et
de source(s) de menace(s).
Exemple Données médecine du travail: Modiﬁca on non désirée des données : le statut
d’ap tude des employés pourrait être faussé avec toutes les conséquences possibles sur leur
carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire
invalidité́ ou décès...)
Gravité
Estimation de la hauteur des effets d’un événement redouté ou d’un risque. Elle représente
les conséquences.
Exemple : Négligeable : l’organisme surmontera les impacts sans difficultés.
Limitée : l’organisme surmontera les impacts malgré quelques difficultés.
Importante : l’organisme surmontera les impacts avec de sérieuses difficultés.
Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée.
Vraisemblance
Estimation de la possibilité qu’un scénario de menace ou un risque se
produise. Elle représente la force d’occurrence.
Exemple : Minime : cela ne devrait pas se (re)produire.
Significative : cela devrait se (re)produire un jour ou l’autre.
Forte : cela pourrait se reproduire.
Maximale : cela va certainement se reproduire.
Critère de sécurité
Caractéristique d'un bien essentiel permettant d'apprécier ses différents besoins de sécurité (disponibilité, confidentialité, intégrité…).
Source de menace
Chose ou personne à l'origine de menaces. Elle peut notamment être caractérisée par son type (humain ou environnemental), par sa cause (accidentelle ou délibérée) et selon le
cas par les ressources dont elle dispose - son expertise, sa motivation…
Bien support
Bien sur lequel reposent des biens essentiels. On distingue
notamment les systèmes informatiques, les organisations
et les locaux. On appréciera ses vulnérabilités mais pas ses
besoins de sécurité.
Menace
Moyen type utilisé par une source de menace.
Exemples : écoute passive d’un canal informatique ou de
téléphonie ; modification d’un logiciel.
Vulnérabilité
Caractéristique d'un bien support qui peut constituer une
faiblesse ou une faille au regard de la sécurité des systèmes
d'information.
Scénario de menace
Scénario, avec un niveau donné, décrivant des modes
opératoires. Il combine, un bien support, un critère de
sécurité, des sources de menaces susceptibles d’en être à
l’origine, assorti des menaces et des vulnérabilités
exploitables pour qu’elles se réalisent.
Exemple : vol de supports ou de documents du fait de la
facilité de pénétrer dans les locaux.
109

MODULE N°4 : POLITIQUES DE SÉCURITÉ
DÉFINITION D’UNE POLITIQUE CADRE ET DES POLITIQUES CIBLÉES DE
SÉCURITÉ
EXEMPLES DE POLITIQUES DE SÉCURITÉ
NORMES DE SÉCURITÉ
NORMES 27001, 27002

POLITIQUE DE SÉCURITÉ
Politique de sécurité
Définition formelle de la position d'une entreprise en matière de sécurité.
« Ensemble des règles formelles auxquelles doivent se conformer les personnes
autorisées à accéder à l’information et aux ressources d’une organisation »
(RFC 2196)
Finalité d’une politique de sécurité ?
« Réduire les risques »
« Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? »
« Définir les règles du jeu »
« Communiquer , faire accepter et faire respecter les règles du jeu »

Composantes d’une politique de sécurité
Ensemble des principes juridiques, humains, organisationnels et techniques qu’il
est recommandé de mettre en œuvre pour créer, gérer, protéger le système
d’information
Réussite de mise en œuvre d’une politique de sécurité
Implication forte de la direction
En accord avec les directions fonctionnelles et les équipes techniques
Analyse des risques pleinement étudiée

POLITIQUE DE SÉCURITÉ – CLUSIF 2014

Les politiques de sécurité sont de trois types :
– Communication
– Informatique
– Organisation
CLUSIF 2014

Les politiques de communication prennent les formes suivantes :
– Sensibilisation (ex : guide de l’utilisateur, Page Intranet)
– Responsabilisation (ex : élaboration de charte de sécurité)
– Formations ciblées par métier
CLUSIF 2014

Les politiques touchant aux infrastructures informatiques s'articulent
autour des thèmes suivants :
– Systèmes et réseaux sécurisés : organisation de la sécurité
opérationnelle, architectures de sécurité, études de solutions
techniques, mise en œuvre (intégration, administration, exploitation,
supervision)
– Intégration de la sécurité dans la conduite de projets : définition
méthode, actions menées sur tout le cycle conception – développement
- intégration, clauses contractuelles avec les fournisseurs

POLITIQUE DE SÉCURITÉ – CLUSIF 2014

Les politiques touchant à l'organisation de la sécurité portent sur les
aspects suivants :
– Structures, organigramme, comités de sécurité
– Responsabilités, fonctions, fiches de mission
– Management du changement
– Plan de continuité d'activités, Plan de secours, Gestion de crise

EXEMPLES DE POLITIQUES DE SÉCURITÉ CIBLÉES
Politique d’authentification (gestion des comptes)
Politique d’autorisation (gestion des habilitations)
Politique de gestion de la continuité des services informatique
Politique d’exploitation des applications et de gestion du réseau
Politique d’acquisition, développement et maintenance des applications
Politique d’intervention par des tiers externes pour le personnel informatique
Politique de sécurité des ressources humaines
Politique de respect de la réglementation interne et externe

EXEMPLE : POLITIQUE DE SÉCURITÉ GÉNÉRALE

NORMES DE SÉCURITÉ

NORMES ET CERTIFICATIONS DE SÉCURITÉ
Pourquoi s’inspirer des normes ou des recueils de meilleures pratiques
en matière de sécurité ?
Avoir une approche structurée face à la complexité de la tâche
s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche,
Avoir des éléments communs (vocabulaire, concepts, …) avec tous les intervenants
dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants,
fournisseurs, partenaires, etc.
Bénéficier de l’expérience des meilleures pratiques (succès et erreurs du
passé)
Se comparer aux meilleures pratiques du moment
Référentiel de comparaison par rapport aux autres entreprises

POLITIQUE DE SÉCURITÉ ET NORMES – CLUSIF 2014

• ISO-27001 : SMSI
– Cycle de gestion de la SI dit « PDCA » PLAN-DO,CHECK-ACT de la roue de Deming
– Référentiel pouvant être utilisé pour auditer et certifier le système de management de
la sécurité
• ISO-27002 : « Code de pratiques pour la gestion de la sécurité de
l'information »
– propose des recommandations pour assurer la sécurité de l'information, sous la forme
d'objectifs de contrôles ou de mesures de sécurité
– 114 mesures de sécurité réparties en 14 chapitres
Normes ISO 27001 et ISO 27002

NORMES ISO 27001 ET ISO 27002
« ISO-27001 explique comment appliquer ISO-27002 »

La norme ISO/IEC 27002:2013
constitue un code de bonnes
pratiques. Elle est composée de
114 mesures de sécurité réparties
en 14 chapitres couvrant les
domaines organisationnels et
techniques ci-contre.
C’est en adressant l’ensemble de
ces domaines que l’on peut avoir
une approche globale de la
sécurité des S.I.
d. Code de bonnes pratiques pour le management de la sécurité de l’information (27002)
Politique de sécurité de
l’information
Organisation de la sécurité de
l’information
Contrôle d'accès
Sécurité liée aux
ressources humaines
Sécurité
opérationnelle
Acquisition, dévpt. et maint.
des SI
Sécurité physique et environnementale
Gestion des actifs
Conformité
Organisationnel
Opérationnel
Gestion de incidents liés à la
sécurité de l’information
Gestion de la continuité de
l’activité
Cryptographie
Sécurité des
communications
Relations avec les
fournisseurs
NORME ISO 27002

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Définition
d’une
politique de
sécurité
3 types de
politique de
sécurité -
exemples
Normes
27001,
27002
Normes de
sécurité

MODULE N°6 : PLAN D’ACTION ET
CONTRÔLES
PLAN D’ACTION SÉCURITÉ ET BUDGET
AUDIT DE SÉCURITÉ FONCTIONNEL
AUDIT DE SÉCURITÉ TECHNIQUE
TABLEAU DE BORD SÉCURITÉ

Un plan d’actions peut découler :
d’une analyse de risques
d’un audit de sécurité organisationnel ou technique
Les objectifs de sécurité se déclinent en plan d’actions et projets :
Plan de continuité, protection des réseaux informatiques
SSO (Single Sign On), VPN (Virtual Private Network), Messagerie
sécurisée …

Politique,
procédures
Sécurité
physique
DMZ
Réseau
Interne
Machin
e
Applicat
ion
Donn
éeChiffrement, mots de passe, droit d’accès par fichier/répertoire
Contrôle des entrées, test d’intrusion,
communication (https, ssh…), traçabilité…
Antivirus, Correctifs de sécurité, HIDS, Authentification
Sous-réseau, NIDS, VLAN…
Pare-feu, VPN, Zone démilitarisée…
Gardiens, verrous, contrôle d’accès…
Politique de sécurité, procédure de secours,
sensibilisation…

EXEMPLES DE MESURES
Mesures techniques
Solution de secours informatique
Cloisonnement des réseaux et sécurisation de la télémaintenance
Développement sécurisé d’application
Contrôle d’accès logique des utilisateurs et des administrateurs systèmes
Intégration de produits de sécurité
Mesures organisationnelles
Intégration de la cyber sécurité dans le cycle de vie des projets industriels
Spécification, Conception, développement, recette
Plan de maintenance et opérations associées
Sécurité physique et contrôle des accès aux locaux
Plan de continuité (mode dégradé de fonctionnement)

BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014
RSSI :
Responsable
Sécurité

BUDGET SÉCURITÉ – SOURCE CLUSIF 2014

AUDIT DE SÉCURITÉ
Un audit de sécurité permet d’évaluer le niveau de sécurité d’une
entité à un moment donné.
L’audit de sécurité positionne rapidement le niveau de sécurité de
votre entreprise et identifie les chantiers prioritaires de sécurité du
système d'information à mettre en œuvre.
L’audit de sécurité se base sur des référentiels de sécurité telles
que les normes ISO-27001 et ISO-27002.

AUDIT DE SÉCURITÉ
Audit organisationnel et technique pour garantir la cohérence
Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE,
SERVICE JURIDIQUE…) et techniques du SI
Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques)
Audit du référentiel technique (existence de systèmes de sécurité, redondance,
sauvegarde, etc…)
Basé sur une approche normative ISO 27002 – ISO 27001
Avantage - Positionnement rapide du niveau de sécurité par rapport à un
référentiel

DIFFÉRENTS TYPES D’AUDIT TECHNIQUES

AUDIT TECHNIQUE : TESTS INTRUSIFS
Objectifs des tests d’intrusions
Stigmatiser les aspects techniques
Matérialiser les vulnérabilités identifiées lors de l’audit.
Référentiels : OWASP, OSSTMM
Accord entre un prestataire et une société sur :
Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications
concernées
Une période de temps : durée de l’autorisation des tests d’intrusion.
Une limite de tests : pas de perturbation de la production ni de corruption de données.
Focus sur les aspects juridiques
Objet du contrat d’audit : entre obligations et responsabilités
La licéité de l’exécution de la prestation d’audit
Les risques inhérents à l’audit
La confidentialité

Indicateurs stratégiques : Exposition aux risques (identifiés lors de l’analyse de
risque),
Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet :
de suivre l'application de la politique de sécurité,
d'établir des comparaisons avec d'autres organismes,
de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du
risque).
Indicateurs de pilotage : Respect de la politique de sécurité et de la charte
utilisateur,
Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet :
de contrôler la réalisation des objectifs par le niveau opérationnel,
d'améliorer la qualité de service.
Indicateurs opérationnels : Mesure du niveau « réel » de sécurité.
Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet :
de préciser les besoins opérationnels à mettre en œuvre,
de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production,
de motiver et dynamiser les équipes.

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Plan d’action
sécurité
Budget
Tests intrusifsAudits de
sécurité
Tableau de bord
Sécurité

POUR ALLER PLUS LOIN
Livres
Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti
(Auteur) édition DUNOD
Management de la sécurité de l'information. Implémentation ISO 27001 Broché
– 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)
La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions
Brochées – 9 février 2011 de Bernard Foray (Auteur)
La sécurité du système d'information des établissements de santé Broché – 31
mai 2012 de Cédric Cartau (Auteur)
Magazine
http://boutique.ed-diamond.com/ (revue MISC)
Web
www.ssi.gouv.fr – Sécurité des systèmes industriels
Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr
www.clusif.fr
147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés147 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

FIN DU VOLET
MERCI POUR VOTRE
ATTENTION

Gouvernance de la sécurite des Systèmes d'Information Volet-1

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (8)

Similaire à Gouvernance de la sécurite des Systèmes d'Information Volet-1

Similaire à Gouvernance de la sécurite des Systèmes d'Information Volet-1 (20)

Plus de PRONETIS

Plus de PRONETIS (16)

Dernier

Dernier (13)

Gouvernance de la sécurite des Systèmes d'Information Volet-1