LA GESTION DES RISQUES EN SÉCURITÉ DE
L’INFORMATION À L’UNIVERSITÉ LAVAL :
UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC.,...
OBJECTIF
Raconter les expériences vécues et l’évolution des
pratiques en gestion des risques en matière de
sécurité de l’i...
AGENDA
 Mise en contexte
 Période I : l’application (2000–2012)
 Période II : la contextualisation (2013–2015)
 Périod...
MISE EN CONTEXTE L’INSTITUTION
4
MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS
5
CU CA
Comité exécutif
Recteur
VREX
BSI DTI
...Facultés
...
VREX : Vice-rectora...
MISE EN CONTEXTE TERRAIN DE RÉALISATION
 Principalement la réalisation d’analyses de
risques et d’audits de sécurité
 Ac...
PÉRIODE I : L’APPLICATION (2000 – 2012)
7
2000 20122008… 20102009 2011
Analyse de risques
Audit de sécurité
Portée de l’ac...
PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) défis durant cette période :
8
 L’agrégation des résultats produits
 Le...
PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) trouvailles durant cette période :
9
 Le positionnement des autres domai...
PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015)
10
2013 2014 2015
Analyse de risques
Audit de sécurité
Évaluation de l’inf...
NOS BESOINS EN ANALYSE DE RISQUES
11
• Flexibilité
• Simplicité
• Adaptabilité
• Stabilité
• Traiter une majorité de risqu...
RÉFÉRENCES ET RÉFLEXIONS
12
• Octave Allegro de l’Université Carnegie Mellon
• NIST SP 800-30 rev.1
• Threat agent risk as...
APPROCHE PAR MENACES (TARA)
13Source : Intel Information Technology - Prioritizing Information Security Risks with
Threat ...
PRINCIPES GÉNÉRAUX DU PROCESSUS
14
Opérations
Gestion
Gouvernance Direction
Direction
d’un axe
d’affaires
Direction
d’un a...
PRINCIPES GÉNÉRAUX DU PROCESSUS
15
Évaluation des
menaces
Évaluation
des mesures
Évaluation
des risques
Traitement
des ris...
EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18)
16
 Événement déclencheur : demande d’un projet visant la
mise à jo...
ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE
DU RISQUE
• Qu’est-ce qu’on veut ?
• Établir les préoccupations de l’axe de gouve...
ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE
D’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?
• Définir ce qu’est...
ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE
L’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?
• Définir l’environnemen...
ÉTAPE 4 : IDENTIFIER LES MENACES ET LES
IMPACTS
• Qu’est-ce qu’on veut ?
• Identifier les menaces et les impacts pour chaq...
ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE
MENACES »
• Qu’est-ce qu’on veut ?
• Assembler les menaces avec les impacts et on défi...
ÉTAPE 6 : ÉVALUER LES MESURES DE
SÉCURITÉ
• Qu’est-ce qu’on veut ?
• Évaluer les mesures de sécurité pouvant mitiger les
s...
ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS
• Qu’est-ce qu’on veut ?
• Identifier les lacunes et vulnérabilités suite à l’évaluat...
ÉTAPE 8 : DÉFINIR LES RISQUES
• Qu’est-ce qu’on veut ?
• Associer les scénarios de menaces aux vulnérabilités
applicables ...
ÉTAPE 9 : COMMUNIQUER LES RISQUES
• Qu’est-ce qu’on veut ?
• Présenter à l’axe de gouvernance les risques jugés modérés
et...
OCTAVE-UL
26
EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES
27
Résultat : sept (7) recommandations concernant la mise en
place de correct...
PÉRIODE III : LA CONSOLIDATION (2016 +)
28
2016 …
L’analyse de risques en sécurité de l’information :
poursuivre son évolu...
DISCUSSIONS
29
Questions ou commentaires ?
VOS PRÉSENTATEURS
30
Patrick Marois, M. Sc., Doctorant Sc. Adm.
patrick.marois@dti.ulaval.ca
Guillaume Dubé, CISA CRISC
gu...
Prochain SlideShare
Chargement dans…5
×

Université laval présentation sur la gestion des risques 31-03-2015 vf2

916 vues

Publié le

LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
916
Sur SlideShare
0
Issues des intégrations
0
Intégrations
95
Actions
Partages
0
Téléchargements
26
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Université laval présentation sur la gestion des risques 31-03-2015 vf2

  1. 1. LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE! PATRICK MAROIS, M. SC., DOCTORANT SC. ADM. CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL GUILLAUME DUBÉ, CISA CRISC CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL 31 MARS 2015 http://www.isaca-quebec.ca
  2. 2. OBJECTIF Raconter les expériences vécues et l’évolution des pratiques en gestion des risques en matière de sécurité de l’information à l’Université Laval 2 Mise en garde  Il existe multiples solutions et façons de faire  Des choix en fonction de notre contexte  L’utilisation d’un vocabulaire « fonctionnel »
  3. 3. AGENDA  Mise en contexte  Période I : l’application (2000–2012)  Période II : la contextualisation (2013–2015)  Période III : la consolidation (2016+)  Discussions 3
  4. 4. MISE EN CONTEXTE L’INSTITUTION 4
  5. 5. MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS 5 CU CA Comité exécutif Recteur VREX BSI DTI ...Facultés ... VREX : Vice-rectorat exécutif et au développement BSI : Bureau de sécurité de l’information DTI : Direction des technologies de l’information Notre DPI/CIO Gestion des TI Gestion de la sécurité de l’information CU : Conseil universitaire CA : Conseil d’administration
  6. 6. MISE EN CONTEXTE TERRAIN DE RÉALISATION  Principalement la réalisation d’analyses de risques et d’audits de sécurité  Activités déclenchées par un projet ou une demande spécifique  Utilisation des structures de gestion et des processus déjà en place 6
  7. 7. PÉRIODE I : L’APPLICATION (2000 – 2012) 7 2000 20122008… 20102009 2011 Analyse de risques Audit de sécurité Portée de l’activité
  8. 8. PÉRIODE I : L’APPLICATION (2000 – 2012) Cinq (5) défis durant cette période : 8  L’agrégation des résultats produits  Le niveau de connaissance et de compréhension des concepts relatifs à la gestion des risques en sécurité de l’information  Le moment où est réalisé l’analyse de risques  L’ampleur de la portée et la quantité de recommandations  L’alignement avec le contexte de l’institution et de ses objectifs en ce qui concerne la sécurité de l’information
  9. 9. PÉRIODE I : L’APPLICATION (2000 – 2012) Cinq (5) trouvailles durant cette période : 9  Le positionnement des autres domaines d’activités (vérification de conformité, gestion des AI, gestion des incidents, …)  La sensibilisation produite par la réalisation des analyses de risques  La réceptivité et la contribution des intervenants impliqués  L’importance d’adapter les processus à notre contexte  La reconnaissance grandissante du besoin de réaliser des analyses de risques
  10. 10. PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015) 10 2013 2014 2015 Analyse de risques Audit de sécurité Évaluation de l’information Portée de l’activité
  11. 11. NOS BESOINS EN ANALYSE DE RISQUES 11 • Flexibilité • Simplicité • Adaptabilité • Stabilité • Traiter une majorité de risques sans tomber dans l’exception
  12. 12. RÉFÉRENCES ET RÉFLEXIONS 12 • Octave Allegro de l’Université Carnegie Mellon • NIST SP 800-30 rev.1 • Threat agent risk assessment (TARA) d’Intel • ISO 27005:2011 • ISO 27002:2013 • NIST SP 800-53 rev.4 (ITSG-33)
  13. 13. APPROCHE PAR MENACES (TARA) 13Source : Intel Information Technology - Prioritizing Information Security Risks with Threat Agent Risk Assessment
  14. 14. PRINCIPES GÉNÉRAUX DU PROCESSUS 14 Opérations Gestion Gouvernance Direction Direction d’un axe d’affaires Direction d’un axe d’affaires Direction d’un axe d’affaires Informatique Pilotes Affaires
  15. 15. PRINCIPES GÉNÉRAUX DU PROCESSUS 15 Évaluation des menaces Évaluation des mesures Évaluation des risques Traitement des risques
  16. 16. EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18) 16  Événement déclencheur : demande d’un projet visant la mise à jour majeure d’un système d’information  Budgets de réalisation : un premier pour l’analyse de risques et un second en prévision du plan d’action  Portée de l’activité : les améliorations prévues, mais également le système d’information dans son ensemble  Latitude de réalisation : la possibilité de rencontrer toutes les parties prenantes nécessaires
  17. 17. ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE DU RISQUE • Qu’est-ce qu’on veut ? • Établir les préoccupations de l’axe de gouvernance au niveau des impacts que pourrait générer une menace. • Comment l’obtient-on ? • Le formulaire 7 d’Octave Allegro qui permet à l’axe de gouvernance de définir les impacts non désirés (5 types d’impact). 17
  18. 18. ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE D’INFORMATION/SYSTÈME D’INFORMATION • Qu’est-ce qu’on veut ? • Définir ce qu’est la famille d’information ou le système d’information, qui en est le responsable et les besoins de sécurité. • Comment l’obtient-on ? • Le formulaire 8 d’Octave Allegro et des entrevues avec l’axe de gouvernance et les intervenants en gestion de la famille d’information ou le système d’information. 18
  19. 19. ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE L’INFORMATION/SYSTÈME D’INFORMATION • Qu’est-ce qu’on veut ? • Définir l’environnement technologique, physique et humain supportant chaque famille d’information ou chaque système d’information. • Comment l’obtient-on ? • Les formulaires 9a, 9b et 9c d’Octave Allegro et des entrevues avec les intervenants de la gestion et les opérations. 19
  20. 20. ÉTAPE 4 : IDENTIFIER LES MENACES ET LES IMPACTS • Qu’est-ce qu’on veut ? • Identifier les menaces et les impacts pour chaque famille d’information ou système d’information. • Comment l’obtient-on ? • Les questionnaires de scénarios de menaces 1, 2 et 3 d’Octave Allegro, le formulaire 10 d’Octave Allegro, des entrevues avec l’axe de gouvernance, la gestion et les opérations. 20
  21. 21. ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE MENACES » • Qu’est-ce qu’on veut ? • Assembler les menaces avec les impacts et on définit une valeur à chaque scénario. • Comment l’obtient-on ? • Le résultats des étapes précédentes et on utilise les tables du NIST SP 800-30 rev.1 (annexe E, G et H). • Validation avec l’axe de gouvernance. 21
  22. 22. ÉTAPE 6 : ÉVALUER LES MESURES DE SÉCURITÉ • Qu’est-ce qu’on veut ? • Évaluer les mesures de sécurité pouvant mitiger les scénarios de menaces identifiés. • Comment l’obtient-on ? • Entrevues et tests technologiques (lorsque qu’applicable). • Utilisation de l’ISO 27002:2013 et du NIST SP 800-53 rev.4. 22
  23. 23. ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS • Qu’est-ce qu’on veut ? • Identifier les lacunes et vulnérabilités suite à l’évaluation des mesures. • Comment l’obtient-on ? • Les résultats de l’étape précédente et on quantifie avec l’annexe F du NIST SP 800-30. 23
  24. 24. ÉTAPE 8 : DÉFINIR LES RISQUES • Qu’est-ce qu’on veut ? • Associer les scénarios de menaces aux vulnérabilités applicables et les quantifier. • Comment l’obtient-on ? • Les résultats de l’étape précédente et on quantifie avec l’annexe I du NIST SP 800-30 rev.1. 24
  25. 25. ÉTAPE 9 : COMMUNIQUER LES RISQUES • Qu’est-ce qu’on veut ? • Présenter à l’axe de gouvernance les risques jugés modérés et importants. • Comment l’obtient-on ? • Rencontre avec l’axe de gouvernance et la gestion de la famille d’information ou du système d’information ! 25
  26. 26. OCTAVE-UL 26
  27. 27. EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES 27 Résultat : sept (7) recommandations concernant la mise en place de correctifs visant les vulnérabilités identifiées  1 recommandation avec un budget déjà prévu  2 recommandations jugées importantes à prendre en charge immédiatement dans le projet  1 recommandation pouvant être incorporée dans un autre projet actuellement en préparation  3 recommandations à évaluer et à planifier
  28. 28. PÉRIODE III : LA CONSOLIDATION (2016 +) 28 2016 … L’analyse de risques en sécurité de l’information : poursuivre son évolution et son opérationnalisation La gestion des risques en sécurité de l’information : entreprendre des travaux d’adaptation pour favoriser la prise en compte plus spécifiquement de notre contexte
  29. 29. DISCUSSIONS 29 Questions ou commentaires ?
  30. 30. VOS PRÉSENTATEURS 30 Patrick Marois, M. Sc., Doctorant Sc. Adm. patrick.marois@dti.ulaval.ca Guillaume Dubé, CISA CRISC guillaume.dube@bsi.ulaval.ca

×