Le « Security by Design »
et ses multiples facettes
Thierry PERTUS
Janvier 2015
Le « Security by Design » et ses multiples facettes
Janvier 2015 p 2
►Avant-propos
En matière de management de la sécurité...
Le « Security by Design » et ses multiples facettes
p 3
Un cadre d’architecture pour manager la SSI :
une question de « po...
Le « Security by Design » et ses multiples facettes
p 4Janvier 2015
►Des enjeux multiples
 s’appuyer sur des composants r...
Le « Security by Design » et ses multiples facettes
Stratégie
d’entreprise
(gouvernance)
Pilotage des
processus Métier
(fo...
Le « Security by Design » et ses multiples facettes
Facteurs externes
de conformité
Référentiels
internes
Démarche méthodo...
Le « Security by Design » et ses multiples facettes
p 7
La modélisation par blocs fonctionnels
Janvier 2015
Le « Security by Design » et ses multiples facettes
Fondations
(générique)
Systèmes
communs
(transverse)
Domaine
d’activit...
Le « Security by Design » et ses multiples facettes
p 9Janvier 2015
►Catalogues de sécurité (artefacts)
Le « Security by Design » et ses multiples facettes
Sphère privée
(dédié, SI fermé)
Sphère communautaire
(sectoriel partag...
Le « Security by Design » et ses multiples facettes
p 11Janvier 2015
►Cas d’usage : Un security pattern générique applicab...
Le « Security by Design » et ses multiples facettes
p 12
Des référentiels applicables et un programme d’action
Janvier 2015
Le « Security by Design » et ses multiples facettes
• TOGAF, EAM, ArchiMate, DoDAF, MoDAF, FEA, Zachman, SABSA, Urba-EA [F...
Le « Security by Design » et ses multiples facettes
Cartographie des processus et activités critiques
(cf. BPM, BPA)
Carto...
Le « Security by Design » et ses multiples facettes
p 15
►Bibliographie
Les référentiels du système d'information - Donnée...
Le « Security by Design » et ses multiples facettes
p 16
Source* : Star Wars, Episode VI : Le retour du Jedi (Lucasfilm Lt...
Thierry PERTUS
Consultant senior
CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM
Cybersécurité
Powered by
securite@coni...
Prochain SlideShare
Chargement dans…5
×

Le « Security by Design » et ses multiples facettes

697 vues

Publié le

Le « Security by Design » et ses multiples facettes - Thierry PERTUS - Conix

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
697
Sur SlideShare
0
Issues des intégrations
0
Intégrations
10
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Le « Security by Design » et ses multiples facettes

  1. 1. Le « Security by Design » et ses multiples facettes Thierry PERTUS Janvier 2015
  2. 2. Le « Security by Design » et ses multiples facettes Janvier 2015 p 2 ►Avant-propos En matière de management de la sécurité des systèmes d’information, il est admis que les besoins de sécurité doivent être pris en compte très en amont et tout au long du cycle projet. Si cette démarche méthodologique vertueuse et responsable s’appuie idéalement sur une analyse de risques s’inscrivant dans un processus standardisé et reproductible, l’exercice peut s’avérer particulièrement délicat lorsque le périmètre d’étude comporte des interactions ou adhérences fortes avec un écosystème complexe, hétérogène et pas toujours maîtrisé, ainsi que des actifs informationnels devenant inquantifiables, volatiles et polymorphes *. Par où commencer pour relever ce défi d’aujourd’hui et de demain ? Quelles sont les pistes d’action pour obtenir une assurance sécurité intégrée, dite « built-in », alignée durablement sur les objectifs stratégiques et opérationnels de la DSI, du Métier et de la gouvernance d’entreprise ? Autant de questions ésotériques qui nous amènent à nous intéresser à l’univers très codifié de l’architecture d’entreprise et de l’urbanisation des SI. ►Teaser (Security by Design and its many facets) In terms of security management of information systems, it is recognized that security needs must be taken into account very early on and throughout the project cycle. This commendable and responsible methodological approach is justly based on risk analysis as part of a standardized, repeatable process. But the exercise can prove especially difficult when the field of concern has strong interactions or connections with a complex, heterogeneous ecosystem, which may not always be under control, and with information assets that have become unquantifiable, volatile and polymorphic. Where does one start to address this current and upcoming challenge? What are the courses of action for integrated security assurance, known as "built-in", aligned with the long-term strategic and operational objectives of the CIO, Business Processes and Corporate governance? What may appear to be rather arcane questioning leads us directly to issues regarding the highly codified world of enterprise architecture and urbanization of IS. Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 30 (Trimestriel Janvier-Mars 2015) * 3V (Volume, Vitesse, Variété) caractérisant le Big Data
  3. 3. Le « Security by Design » et ses multiples facettes p 3 Un cadre d’architecture pour manager la SSI : une question de « point de vue » Janvier 2015
  4. 4. Le « Security by Design » et ses multiples facettes p 4Janvier 2015 ►Des enjeux multiples  s’appuyer sur des composants réputés et avérés fiables, interopérables et maintenus en conditions de sécurité (MCS)  disposer d’un SI efficient et résilient, mais aussi évolutif et réactif (agilité et time-to-market obligent), de façon à soutenir la stratégie d’entreprise et les objectifs opérationnels du Métier ;  apprécier et de contenir les risques cyber pour garantir une certaine « confiance numérique » aux différentes parties prenantes ;  rationaliser les coûts d’investissement et de possession (TCO) et optimiser les délais d’implémentation ou de délivrance des services en support. Pour relever un tel challenge, l’architecture d’entreprise s’avère être LA discipline incontournable, permettant de se doter d’une vision systémique de l’organisation, à partir d’une approche holistique, structurée et partagée, mais également d’un support commun à la réflexion et à la communication, lui conférant la vocation de véritable « clé de voûte » du changement. ►L’architecture d’entreprise (EA) et ses modèles multi-niveaux EA Enterprise Architecture TCO Total Cost of Ownership TIC Technologies de l’Information et de la Communication
  5. 5. Le « Security by Design » et ses multiples facettes Stratégie d’entreprise (gouvernance) Pilotage des processus Métier (fonctionnel orienté objets Métier) Urbanisation du SI (fonctionnel orienté applications & données) Architecture technique - TIC (socle technique d’infrastructure) Sécurité des socles systèmes Sécurité des données Sécurité des opérations de traitement Sécurité des socles middleware Sécurité des réseaux et stockages Sécurité des applications Classification de l’information, Gestion des habilitations Gestion de crise COMEX CODIR MOA (Métier) AMOA (CdP SI) MOE Pilotagedelasécuritéopérationnelle Prévention Détection Réaction Veille,Conformité,Contrôleinterne,Sensibilisation Gouvernancedelasécurité Gestion des risques d’entreprise Servicesfédérateursdeconfiance,Continuitéd’activité Exploitation,Maintienenconditiondesécurité, Surveillance,Gestiondesincidentsdesécurité Sécuritéprojets,Ingénierie,Conduiteduchangement (fournisseur, intégrateur, mainteneur) p 5Janvier 2015 ►Correspondance entre domaines d’architecture d’entreprise et domaines de sécurité
  6. 6. Le « Security by Design » et ses multiples facettes Facteurs externes de conformité Référentiels internes Démarche méthodologique « top-down » de conduite des projets de transformation •Gouvernance de la sécurité du SI •Appréciation des risques cyber en lien avec les enjeux stratégiques Stratégie d’entreprise •Spécifications des besoins de sécurité pour les actifs informationnels en lien avec les objectifs opérationnels et les impacts potentiels (ex : niveau de sensibilité DICP) Pilotage des processus Métier •Analyse de risques liés à la sécurité du SI •Spécifications des exigences de sécurité et des niveaux de service requis •Plan d’audit / recette / homologation sécurité Urbanisation du SI •Spécifications des fonctions de sécurité et des capacités appropriées •Sélection des services, produits et mécanismes de sécurité appropriés Architecture technique - TIC Exigences de sécurité Composants de sécurité Fonctions de sécurité Principes de sécurité (PSSI) Critères de sécurité / Classification des données Obligations légales, réglementaires et contractuelles Référentiels méthodologiques et techniques (normes, standards, guides) Catalogues (artefacts) à élaborer et faire évoluer Rebouclage « bottom-up » par cycles itératifs (alignement / ajustement) Gestion des risques techniques Gestion des risques fonctionnels Gestion des risques opérationnels p 6Janvier 2015 ►« Vue » sur les activités de sécurité dans les projets
  7. 7. Le « Security by Design » et ses multiples facettes p 7 La modélisation par blocs fonctionnels Janvier 2015
  8. 8. Le « Security by Design » et ses multiples facettes Fondations (générique) Systèmes communs (transverse) Domaine d’activité (sectoriel) Entreprise (contextuel) Solution Building Block (SBB) / Design pattern Architecture Building Block (ABB) / Architecture pattern Produits et services du marché Produits et services d’un domaine considéré Ex. : Sécurité Produits et services éligibles Produits et services du secteur de l’entreprise Technical Référence Model (TRM) & Standards Information Base (SIB) Recherche de Building Blocks (Etat de l’art, prospective et veille technologique) Réutilisation / adaptation de Building Blocks pour l’entreprise (ex : sécurisation dans le contexte) p 8Janvier 2015 ►Continuum d’architecture et Building Blocks associés (TOGAF)
  9. 9. Le « Security by Design » et ses multiples facettes p 9Janvier 2015 ►Catalogues de sécurité (artefacts)
  10. 10. Le « Security by Design » et ses multiples facettes Sphère privée (dédié, SI fermé) Sphère communautaire (sectoriel partagé, SI étendu) ex : GIE Sphère publique (partagé, SI ouvert) Souveraineté / autonomie (stratégie de maîtrise opérationnelle) Mutualisation / agilité (stratégie d’optimisation économique) Cloud communautaire Cloud privéCloud public Cloud hybride Virtualisation système Middleware & Runtime Plateforme serveur Applications Réseau & Stockage OS PaaS (on-demand solution stack / dev environment) IaaS (on-demand VM, VDC, VDI) SaaS (web/mobile apps : ERP, xRM, SCM, BI, e-sourcing, office suite, cloud drive, …) BaaS / mBaaS (CMS, UI tools,, MEAP, WS-*, e-payment, Shibboleth, … InfrastructureasaService PlatformasaService SoftwareasaService/[mobile]BackendasaService Opérations BusinessProcessasaService BPaaS (BPO, offshoring) Données DaaS (Marked-metadata databank) DataasaService Infrastucture Datacenter DataCenter asaService DCaaS (hosting, housing) CAPEX OPEX BusinessservicesITservices Niveaudecontrôledel’entreprise Low High IDE, API, EDI On-PremiseOn-PremiseOn-Premise p 10Janvier 2015 ► Cas d’usage : Les différents modèles de cloud computing abordés sous l’angle sécuritaire
  11. 11. Le « Security by Design » et ses multiples facettes p 11Janvier 2015 ►Cas d’usage : Un security pattern générique applicable aux systèmes de contrôle industriels (SCI) Source : Industrial Control Systems Security Pattern [SP-023] - OSA (http://www.opensecurityarchitecture.org)
  12. 12. Le « Security by Design » et ses multiples facettes p 12 Des référentiels applicables et un programme d’action Janvier 2015
  13. 13. Le « Security by Design » et ses multiples facettes • TOGAF, EAM, ArchiMate, DoDAF, MoDAF, FEA, Zachman, SABSA, Urba-EA [FR], Praxeme [FR], … Architecture d’entreprise (EA) • BSC, Matrice BCG (DAS), Porter 5F / value chain, PESTEL, 5 Ws / QQOQCCP [FR], SWOT, ROI, … Stratégie d’entreprise • COSO, ISO 31000, ISO 31010,, ISO/IEC 27005, EBIOS [FR] ,… ; ISO 22301 (SMCA), BP Z74-700 [FR], … Management des risques d’entreprise / conformité (ERM / GRC) ; Continuité d’activité (BCP) • BA-BOK, BPA, BPI, BPM, MOF, XMI, UML, SADT, Merise [FR], BPMN, Six Sigma, SIPOC, 5S, business / use case, supply chain / ISO 28000 (SMSCA), B2B, A2A, B2C, C2C, M2M, … Modélisation / optimisation opérationnelle (processus Métier) • ISO 9001 (SMQ),, Roue de Deming (PDCA),, BPMM, TQM, Lean Six Sigma, Kaizen, EFQM, ISO 9004, CMMI, ISO/IEC 21827, eSCM, … Qualité / Maturité des processus • CobiT, ISO/IEC 38500, ISO/IEC 24762 (DR), ISO/IEC 27001 (SMSI), ISA-99/IEC 62443-2-1 (SMCS), ISO/IEC 29100 (Privacy), … Gouvernance du SI (processus IT) ; Classification de l’information / Données personnelles • PM-BOK, PMP, Prince 2, cycle en V, méthodes de développement agiles / itératives (Scrum, XP, …), … Conduite de projet • DM-BOK, SysML, SoaML, … Urbanisation du SI • ITIL, ISO/IEC 20000 (ITSM), ISO/IEC 27002, ISO/IEC 15408-2 / CC, ISA-99/IEC 62443-3-3, RGS [FR], OSA, … Architecture fonctionnelle de centre de services IT (services IT, fonctions / mesures de sécurité) • Mainframe, ERP, xRM, SCM, BI, SOA / WOA (n-tiers, J2EE/.NET, EAI/ESB, WS (UDDI, SOAP, WSDL, BPEL), DBMS (SQL/NoSQL), PKI, BI), … Architecture applicative / Architecture de données • Cloud computing (IaaS / Paas / SaaS), Virtualisation systèmes (Machines, Apps, Desktops), Virtualisation réseaux (VLAN, VRF), Datacenter (SAN, NAS, Switch Fabric), Backbone MAN / WAN (Metro Ethernet, MPLS, VPN IPsec), Accès local (Ethernet, WiFi), Accès distant (xDSL / FO, HTTPS / VPN TLS / IPsec), Internet Mobile (Wi-Fi hotspot, xG), … Architecture technique infrastructure (virtualisation / systèmes / réseau / stockage) Domaine SSI (IS) Domaine SCI (ICS) p 13Janvier 2015 ►Panorama des principaux référentiels et outils méthodologiques applicables au pilotage des projets de transformation
  14. 14. Le « Security by Design » et ses multiples facettes Cartographie des processus et activités critiques (cf. BPM, BPA) Cartographie des données sensibles (cf. classification des données structurées/non structurées) Cartographie des applications critiques / sensibles (cf. SLAs, PAS, …) Cartographie de l’infrastructure et des composants techniques en support (architecture réseau/stockage et télécoms L1/L2/L3, systèmes physiques/virtuels, middleware/SGBD, …) Identification des vulnérabilités potentielles sur les composants critiques / exposés (scan de vulnérabilités, tests d’intrusion, audit de conf, analyse de code, détection des SPOF, …) Identification des scénarios de risques majeurs et cartographie des risques nets (analyse de risques, BIA, use case, …) Plan d’action (application des correctifs/upgrade, mise en conformité des configurations et procédures, …) (gap analysis, PCA/PCI, quickwins, plan de remédiation, contre-audits ,plan de contrôle ,…) 1 2 3 4 5 6 7 p 14Janvier 2015 ►7 steps QuickStart Program pour aligner le niveau de sécurité du SI sur les enjeux Métier
  15. 15. Le « Security by Design » et ses multiples facettes p 15 ►Bibliographie Les référentiels du système d'information - Données de référence et architectures d'entreprise (DUNOD) Architecture d’entreprise dans un contexte d’entreprise numérique - 2014 (Club URBA-EA) Architecture et transformation de l’entreprise et du SI - La méthode TOGAF en pratique (EYROLLES) TOGAF en pratique - Modèles d’architecture d’entreprise (DUNOD) TOGAF v9.1 - 2011 (The Open Group) Security Principles for Cloud and SOA - 2011 (The Open Group) Impact du Cloud Computing sur l’Architecture d’Entreprise (CEISAR) La sécurité dans le cloud – Techniques pour une informatique en nuage sécurisée (PEARSON) Security by Design with CMMI for Development, v1.3 - 2013 (CMMI Institute) Cadre Commun d’Urbanisation du Système d’Information de l’Etat, v1.0 - 2012 (DISIC) Janvier 2015
  16. 16. Le « Security by Design » et ses multiples facettes p 16 Source* : Star Wars, Episode VI : Le retour du Jedi (Lucasfilm Ltd.) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle) Janvier 2015 Vous me confirmez qu’une fois sa construction achevée, cette étoile noire ne souffrira pas des mêmes failles que la précédente ? Affirmatif, Amiral. Par contre, pour des raisons de budget, on a dû réutiliser des bluiding blocks trouvés sur le darknet pour la conception de son bouclier de protection. Eh bien j’ose espérer que nous n’aurons pas à le regretter …
  17. 17. Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.

×