Homologation SSI
Agence nationale de la Sécurité des Systèmes d’Information
Bureau Assistance et Conseil
conseil.anssi[at]...
Plan de la présentation
Introduction
1. L’adoption d’une démarche globale
Seule solution pour sécuriser les informations f...
Introduction
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 3
Le contexte mondial : l’incertitude stratégique
La mondialisation est une situation nouvelle dans laquelle la diffusion de...
Quelques nouvelles d’Internet…
une journée parmi d’autres
MAURITANIE - La dictature militaire
mauritanienne a utilisé des ...
L’évolution du contexte…
Les systèmes informatiques évoluent…
« Avant, on tentait d’empêcher les missiles de détruire les ...
… a fait évoluer
la sécurité de l’information
La protection de l’information ne se limite pas à l’informatique
Biens techn...
1. Adopter une démarche
globale
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 8
globale
Sécurité des système d’information (SSI) :
de quoi parle-t-on ?
Un système d’information (SI) est :
un système (combinaiso...
La SSI doit être considérée globalement
L’objectif est la cohérence d’ensemble de la démarche de sécurisation des
systèmes...
2. Fonder la SSI sur la
gestion des risques
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 11
gestion des risq...
Pourquoi gérer les risques SSI ?
Lignes directrices de l’OCDE
Principe d’évaluation des risques
Principe de gestion de la ...
Qu’est-ce qu’un risque SSI ?
Ex. 1 – USA Ex. 2 – Nouvelle-Zélande Ex. 3 – Fictif
Événements
redoutés
Sources de
menace
« A...
Un cadre pour toutes les méthodes de
gestion des risques SSI : l’ISO/CEI 27005
RISK ESTIMATION
ESTABLISH CONTEXT
RISK IDEN...
EBIOS, la méthode française permettant
de mettre en œuvre l’ISO/CEI 27005
Étude du contexte
Quel est le sujet de l’étude ?...
L’objectif : sécuriser les systèmes d’informations
Protéger les biens essentiels
Informations : données numériques ou non,...
Prendre en compte les références applicables
La loi et la réglementation doivent être prises en compte
Codes d’éthique des...
Respecter les besoins de sécurité
La sécurité de l'information a pour but de protéger le patrimoine
informationnel de l'or...
Gérer les impacts internes et externes
Impacts sur les missions
Incapacité à fournir un service, perte de savoir-faire, ch...
Faire face à toutes les sources de menaces
Sources humaines
Employé en fin de contrat, employé voulant se venger de son
em...
Lutter contre les menaces
Détournements d'usages
Défiguration, cybersquatting, altération de données, exploitation distant...
Réduire les vulnérabilités
Réseaux
Possibilité de pose d'éléments additionnels, complexité du routage entre sous-réseaux,
...
Faire émerger les risques réels
Si l’ordinateur portable d’un employé est volé alors qu’il ne contient aucune
information ...
Choisir les options de traitement
Réduire les risques
Action sur les vulnérabilités (prévention) et/ou les impacts
(récupé...
Déterminer les mesures de sécurité
Les mesures de sécurité, destinées à traiter les risques, peuvent être :
créées de tout...
Accepter les risques résiduels
Les risques résiduels sont issus :
de risques insuffisamment réduits,
de menaces écartées,
...
Globalité
La défense doit être globale, ce qui signifie qu’elle englobe toutes les dimensions du système
d’information :
a...
Résultats d’une analyse de risques
EBIOS
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 28
Cahier des chargesF...
Exemples de niveaux de détails selon la finalité
Analyse de risques PP/Cible FEROS PSSI
Schéma
directeur
Étude du contexte...
3. Adapter la SSI selon les
enjeux
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 30
enjeux
L’ISO/IEC 21827
définit 5 niveaux de maturité SSI cumulatifs
1. Pratique informelle : pratiques de base mises en œuvre de ...
La SSI doit être gérée en adéquation par rapport aux véritables enjeux
SSI du(des) SMSI. En effet, des enjeux faibles ne r...
4. Viser une amélioration continue
par la mise en place d’un SMSI
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv....
Qu’est-ce qu’un système de management ?
Selon l’ISO/CEI 9000, un système de management est :
un ensemble d'éléments corrél...
Différents systèmes de management
Le système de management d'un organisme peut inclure différents systèmes de
management.
...
Qu’est-ce qu’un système de management
de la sécurité de l’information (SMSI) ?
Le système de management de la sécurité de ...
Le SMSI est un moyen de gouvernance
La gouvernance de la sécurité de l’information est la manière dont le
système de manag...
L’ISO/CEI 27001 décrit un SMSI
Mise en œuvre de la démarche ISO/CEI 27001
L’ISO/CEI 27001 spécifie un SMSI / Information S...
Les tâches à réaliser selon l’ISO/CEI 27001
Planifier
Définir le périmètre
Définir l'approche d'appréciation des risques S...
Vers une intégration
des systèmes de management ?
Les systèmes de management peuvent être :
totalement séparés,
partiellem...
6. Intégrer la SSI dans le cycle de vie
des systèmes
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 41
des sys...
La méthode GISSIP
GISSIP permet une intégration de la SSI structurée, complète et
adaptée aux enjeux de sécurité de chaque...
Actions SSI par étape et par niveau de maturité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 43
Livrables par étape et par niveau de maturité
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 44
7. Une démarche d’homologation
systématique
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 45
systématique
Qu’est ce qu’une homologation de sécurité?
Il s’agit de déclarer, au vu du dossier d’homologation, que le
système d’inform...
Pourquoi homologuer ?
Pour garantir la protection des informations conformément à la réglementation.
« Tout système d’info...
Quand homologuer ?
Homologation
PSSI
Référentiel de règles et
meilleures pratiques
Bureau Conseil de la DCSSI - 2009 - htt...
Fil conducteur de la confiance
RÉALISATION
ÉTUDE D’OPPORTUNITÉ
ÉTUDE D’OPPORTUNITÉ EXPLOITATION
EXPLOITATION
V V
Bureau Co...
Sur quelle base homologuer ?
FEROSQuelles sont mes intentions ?
PSSIComment les appliquer ?
Bureau Conseil de la DCSSI - 2...
Le dossier de Sécurité
Élément de décision pour l’autorité d’homologation
Le contenu dépend du niveau de maturité du systè...
Stratégie d’homologation – Encadrement de la démarche
Présentation du système
Identification du périmètre d’homologation
E...
FEROS - Expression de la maîtrise d’ouvrage
Cahier des charges SSI de la maîtrise d’ouvrage
Besoins de sécurité du système...
Cible de sécurité - La réponse de la maîtrise d’œuvre
Identifie sans ambiguïté le périmètre sur lequel porte l’homologatio...
PSSI – Traduction de la stratégie de sécurité de l’organisme
Document de référence SSI applicable à l'ensemble des acteurs...
Processus similaire à la démarche nationale
Dossier de sécurité semblable
• énoncé des impératifs de sécurité (SRS)
• appl...
Les étapes de l’homologation
Identifier l’autorité d’homologation
Obtenir une validation opérationelle des utilisateurs
Mo...
Les conditions du succès - Avant l’étude
Impliquer l’organisme
La démarche doit être portée par la direction
Motivation de...
Les conditions du succès – Pendant l’étude (1/2)
A chaque activité
Constituer un groupe de travail
Identifier les bons act...
Les conditions du succès – Pendant l’étude (2/2)
Distinguer l’analyse de risques et les livrables
Adapter les livrables au...
7. Utiliser des labels SSI
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 61
Les produits de sécurité
peuvent être labellisés
Les produits de sécurité peuvent faire l'objet d'une évaluation de sécuri...
Les SMSI peuvent être certifiés
La certification selon l’ISO/CEI 27001 atteste de la mise en
place effective du système de...
Que signifie une certification ISO/CEI 27001 ?
La certification ISO/CEI 27001 porte sur un ISMS, qui peut correspondre à :...
Motivations des organismes pour la
certification d’un système de management
Améliorer l’efficacité globale de l’entreprise...
Les systèmes peuvent être homologués
L’homologation de sécurité d’un SI est la déclaration par
l’autorité d’homologation, ...
Les personnes peuvent être certifiées
Exemples de certifications orientées « management / conseil / audit »
CISM (Certifie...
Conclusion
Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 68
CONCLUSION
Les grands principes peuvent se résumer ainsi :
Adopter une démarche globale
Viser une amélioration continue
Ad...
Prochain SlideShare
Chargement dans…5
×

French acreditation process homologation 2010-01-19

1 244 vues

Publié le

Process to get a certification from french NSA

Publié dans : Ingénierie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 244
Sur SlideShare
0
Issues des intégrations
0
Intégrations
15
Actions
Partages
0
Téléchargements
34
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

French acreditation process homologation 2010-01-19

  1. 1. Homologation SSI Agence nationale de la Sécurité des Systèmes d’Information Bureau Assistance et Conseil conseil.anssi[at]ssi.gouv.fr
  2. 2. Plan de la présentation Introduction 1. L’adoption d’une démarche globale Seule solution pour sécuriser les informations face aux menaces hétérogènes 2. La gestion des risques est au cœur de toute réflexion de SSI Des normes et des outils : Guide ISO/CEI 73, ISO/CEI 31000, EBIOS… 3. Le concept de maturité permet d’adapter la SSI aux enjeux réels Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 2 Quelques références : Guide Maturité SSI, ISO/CEI 21827… 4. Vers une amélioration continue : le système de management de la SSI L’ISO/CEI 27001 en décrit les activités 5. La SSI devait être intégrée tout le long du cycle de vie des systèmes Le guide GISSIP présente différentes manières d’y parvenir selon les enjeux SSI 6. L’homologation, un engagement systématique Démarche, livrables 7. Les labels SSI améliorent la confiance Produits, systèmes de management, systèmes d’information et personnes Conclusion
  3. 3. Introduction Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 3
  4. 4. Le contexte mondial : l’incertitude stratégique La mondialisation est une situation nouvelle dans laquelle la diffusion de l’information et de la connaissance, la transformation des échanges économiques et la modification des rapports de forces internationaux ont, d’emblée, un impact mondial. Elle crée une interaction et une interdépendance généralisées et non maîtrisées entre tous les États. Elle permet à une multitude nouvelle d’acteurs non étatiques et d’individus de tirer le parti maximum des possibilités de circulation internationale accélérée des hommes comme des données et des biens, matériels et immatériels. […] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 4 […] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux décennies. Elle dessine en revanche les contours d’un système international nettement plus instable, moins contrôlé, et donc plus inquiétant, qui appelle des réponses à la fois globales et très spécifiques. [Livre blanc « Défense et sécurité nationale »] Quelques effets néfastes de la conjoncture actuelle Diffusion rapide de toutes les formes de crises Accélération foudroyante de la circulation de l’information Des régions entières demeurent à l’écart des bénéfices de la croissance mondiale Évolution des formes de violence (terrorisme, guerre…)
  5. 5. Quelques nouvelles d’Internet… une journée parmi d’autres MAURITANIE - La dictature militaire mauritanienne a utilisé des techniques de "cyber-guerre" pour rendre indisponible deux sites Internet de l'opposition. Les autorités ont loué les services de plusieurs réseaux de machines zombies pour lancer ces attaques en déni de service distribué à l'encontre de ces sites. Cet événement rappelle qu'au Myanmar, en Russie et en Chine, le pouvoir politique a usé des mêmes tactiques. FRANCE - Une enquête de police a permis de saisir plus de 2 000 fichiers vidéo à caractère pédopornographique sur le réseau informatique d'Air France. L'enquête a débuté en janvier 2007 à la suite d'une plainte déposée par une association qui avait découvert des fichiers pédophiles en circulation via une société française. Une perquisition effectuée au domicile d'un employé de la compagnie aérienne nationale avait alors permis la saisie de 100 000 images de Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 5 des mêmes tactiques. [source Internet : Strategy Page] ÉTATS-UNIS - Un ordinateur portable contenant les informations personnelles (noms, adresses et numéros de sécurité sociale) de 97 000 salariés de la société Starbucks a été dérobé le 29 octobre dernier. La société aurait affiché sur son site Internet cette information en recommandant à ses employés de prendre des mesures appropriées en cas de retrait suspect. Starsbucks offre à ses employés une assistance gratuite permettant d'être immédiatement averti de toute opération financière sur leurs comptes bancaires. [source Internet : Seattle Post-Intelligencer] avait alors permis la saisie de 100 000 images de mineurs d'une capacité totale de 90 Go. [source Internet : Bakchich.info] RÉPUBLIQUE DU CONGO - Parution du premier livre sur la sécurité informatique du pays : l'auteur souligne que des réseaux de cyber-attaquants de plus en plus structurés sont virtuellement ou physiquement situés sur le continent africain. Il révèle aussi que par le biais de réseaux sociaux et autres moyens de communications Internet d'énormes capitaux transitent vers des paradis fiscaux. [source Internet : Categorynet]
  6. 6. L’évolution du contexte… Les systèmes informatiques évoluent… « Avant, on tentait d’empêcher les missiles de détruire les salles enfermant les machines ; on essaie maintenant d’empêcher les machines d’utiliser les missiles. » Les systèmes informatiques changent dynamiquement, se complexifient, s’interconnectent et changent la valeur de l’information Les technologies évoluent (programmation orientée objet, agents intelligents…) La menace évolue… Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 6 La menace évolue… On doit considérer les menaces d’origine accidentelle et celles d’origine intentionnelle Vulgarisation des outils d’attaques (disponibles sur Internet, manipulation simple) Automatisation des attaques (recherche de machines, casseurs automatisés de mots de passe, intrusion dans les systèmes…) Une faible qualité des logiciels et produits disponibles (augmentation du nombre d’alertes) Les impacts évoluent… Sur les missions, les personnes, l’image, les tiers, la sécurité de l’État, l’environnement, financiers, juridiques…
  7. 7. … a fait évoluer la sécurité de l’information La protection de l’information ne se limite pas à l’informatique Biens techniques : matériels, logiciels, réseaux, supports d’informations Biens non techniques : organisations, sites, locaux, personnels L’information est omniprésente, extrêmement répartie et en circulation permanente Les problématiques sectorielles convergent (qualité, sécurité des personnes, environnement, risques opérationnels…) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 7 Il n’est donc plus possible de tout protéger efficacement contre tout C’est pourquoi il convient d’adopter des démarches et outils méthodologiques Prendre des décisions rationnelles Partager un vocabulaire commun Gérer la complexité La gestion des risques est le seul moyen rationnel pour prendre des décisions La mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001) repose sur la gestion des risques L’ISO/CEI 31000 (gestion des risques au sens large) et l’ISO/CEI 27005 (application à la sécurité de l’information) en décrivent la démarche générale La méthode EBIOS permet de mettre en œuvre l‘ISO/CEI 27005
  8. 8. 1. Adopter une démarche globale Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 8 globale
  9. 9. Sécurité des système d’information (SSI) : de quoi parle-t-on ? Un système d’information (SI) est : un système (combinaison d’éléments en interaction organisés pour atteindre un ou plusieurs buts définis [ISO/IEC 15288]), qui assure l’élaboration, le traitement, la transmission et le stockage d’informations (renseignements ou éléments de connaissance). Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 9 Les informations, ainsi que les processus informationnels, constituent les biens essentiels au cœur des éléments d’un SI. La sécurité des systèmes d’information (SSI) a pour objectif de protéger ces biens essentiels. Les biens essentiels reposent sur des biens supports (réseaux, matériels, logiciels, organisations, personnes, sites). C’est par le biais des biens supports que la sécurité des biens essentiels peut être atteinte.
  10. 10. La SSI doit être considérée globalement L’objectif est la cohérence d’ensemble de la démarche de sécurisation des systèmes d’information. Il convient en effet de n’oublier aucun élément pertinent, pour éviter le maillon faible qui réduirait la sécurité apportée par tous les autres maillons, de faire prendre chacune des décisions au juste niveau. Il faut pour cela : considérer tous les aspects qui peuvent avoir une influence sur la sécurité des Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 10 considérer tous les aspects qui peuvent avoir une influence sur la sécurité des systèmes d’information, techniques (matériels, logiciels, réseaux, etc.) et non techniques (organisations, sites, personnes…), considérer toutes les origines de risques (origines humaines et naturelles, causes accidentelles et délibérées), prendre en compte la SSI au plus haut niveau hiérarchique, car comme tous les autres domaines de la sécurité, la SSI repose sur une vision stratégique, nécessite des choix d’autorité (les enjeux, les moyens humains et financiers, les risques résiduels acceptés) et un contrôle des actions et de leur légitimité, responsabiliser tous les acteurs (décideurs, maîtrises d'ouvrage, maîtrises d'œuvre, utilisateurs…), intégrer la SSI tout le long du cycle de vie des systèmes d'information (depuis l’étude d’opportunité jusqu'à la fin de vie du système).
  11. 11. 2. Fonder la SSI sur la gestion des risques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 11 gestion des risques
  12. 12. Pourquoi gérer les risques SSI ? Lignes directrices de l’OCDE Principe d’évaluation des risques Principe de gestion de la sécurité Principe de réévaluation Maîtriser les coûts Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 12 Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en prémunir) Maîtriser la sécurité de ses systèmes d’information Visibilité, cohérence et prévention Réglementation pour le classifié de défense L’instruction générale interministérielle N°1300 rend la réalisation d’une analyse des risques obligatoire pour tout système traitant des informations classifiées de défense.
  13. 13. Qu’est-ce qu’un risque SSI ? Ex. 1 – USA Ex. 2 – Nouvelle-Zélande Ex. 3 – Fictif Événements redoutés Sources de menace « Attaquants » « Attaquants » Un pirate expérimenté engagé par un concurrent Biens essentiels Données sur le système de diagnostic d’un avion de chasse Processus d’enregistrement de noms de domaines Informations et fonctions présentes sur le réseau Besoins de sécurité Confidentialité Intégrité Intégrité Atteinte de l’image de l’ État, possibilité Redirection de sites web Perturbation du Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 13 Risques Impacts État, possibilité ultérieure d’actions contre les systèmes des avions Redirection de sites web vers un autre, atteinte de l’image des organismes concernés Perturbation du fonctionnement, perte d’avantage concurrentiel Niveau d’impact Modéré à élevé Modéré Élevé Scénarios de menaces Menaces Intrusion et collecte Accès frauduleux Piégeage du logiciel (introduction d’un ver) Biens supports Réseaux des sous- traitants Fonctionnalités d’administration du site du bureau d’enregistrement Réseau WiFi Vulnérabilités Perméabilité des réseaux des sous- traitants Injection SQL Possibilité d’administrer le réseau à distance Niveau de vraisemblance Quasiment certain (traces d‘intrusion) Quasiment certain (vulnérabilités connues) Important
  14. 14. Un cadre pour toutes les méthodes de gestion des risques SSI : l’ISO/CEI 27005 RISK ESTIMATION ESTABLISH CONTEXT RISK IDENTIFICATION CATION ANDREVIEW RISK ASSESSMENT RISK ANALYSIS Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 14 RISK TREATMENT RISK EVALUATION RISKCOMMUNIC RISKMONITORINGA RISK DECISION POINT 1 Assessment satisfactory END OF FIRST OR SUBSEQUENT ITERATIONS RISK DECISION POINT 2 Accept risks Yes No No Yes RISK ACCEPTANCE
  15. 15. EBIOS, la méthode française permettant de mettre en œuvre l’ISO/CEI 27005 Étude du contexte Quel est le sujet de l’étude ? Fixer le cadre, préparer les métriques, identifier les biens Étude des besoins Quels sont les événements redoutés ? Identifier la valeur des biens essentiels et les impacts en cas d’atteinte Étude des menaces Comment les événements redoutés peuvent-ils Module 1 Étude du contexte Module 2 Étude des besoins Module 3 Étude des menaces Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 15 Comment les événements redoutés peuvent-ils se réaliser ? Identifier les menaces et les vulnérabilités des biens supports Étude des risques Quels sont les scénarios qui peuvent réellement arriver ? De quelle manière veut-on les traiter ? Identifier les risques et les objectifs de sécurité Étude des mesures de sécurité Quelles sont les solutions à mettre en œuvre pour traiter les risques ? Déterminer les mesures (éventuellement sur la base de l’ISO/CEI 27002) et suivre leur application Module 4 Étude des risques Module 5 Étude des mesures de sécurité
  16. 16. L’objectif : sécuriser les systèmes d’informations Protéger les biens essentiels Informations : données numériques ou non, savoir ou savoir-faire particulier Processus informationnels : fonctions, processus métiers… Maîtriser les biens supports Réseaux : réseaux informatiques, relais et supports de communication, Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 16 Réseaux : réseaux informatiques, relais et supports de communication, protocoles Matériels : ordinateurs fixes et mobiles, périphériques, supports électroniques et papiers Logiciels : applications, systèmes de gestion de base de données, middleware, systèmes d’exploitation, firmware Organisations : organisations internes, relations avec des tiers Personnes : personnes morales, personnes physiques Sites : locaux, installations électriques, installations de traitement de fluides
  17. 17. Prendre en compte les références applicables La loi et la réglementation doivent être prises en compte Codes d’éthique des métiers des technologies de l’information Atteintes aux personnes (vie privée, protection des données nominatives, secret professionnel, secret de la correspondance) Atteintes aux biens (vol, escroquerie, détournements, destructions, dégradations et détériorations, atteintes aux systèmes d’information) Atteintes aux intérêts fondamentaux de la Nation, terrorisme et atteintes à la confiance publique Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 17 publique Atteintes à la propriété intellectuelle (protection du droit d’auteur, protection des bases de données) Dispositions relatives à la cryptologie Dispositions relatives à la signature électronique Autres texte nationaux et internationaux (Union européenne, Union africaine, ONU…) Il convient également de tenir compte des réglementations sectorielles et des règles internes aux organismes
  18. 18. Respecter les besoins de sécurité La sécurité de l'information a pour but de protéger le patrimoine informationnel de l'organisme. Celui-ci permet son bon fonctionnement et l'atteinte de ses objectifs. La valeur de ce patrimoine, dit informationnel, peut en effet être appréciée au regard : Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 18 des opportunités qu'il offre quand on l'utilise correctement, des conséquences négatives dans le cas contraire. Les besoins de sécurité représentent les conditions dans lesquelles les métiers s’exercent de manière acceptable. Ils sont généralement exprimés en termes de : disponibilité : propriété d'accessibilité au moment voulu des biens essentiels par les personnes autorisées intégrité : propriété d'exactitude et de complétude des biens essentiels confidentialité : propriété des biens essentiels de n'être accessibles qu'aux utilisateurs autorisés
  19. 19. Gérer les impacts internes et externes Impacts sur les missions Incapacité à fournir un service, perte de savoir-faire, changement de stratégie… Impacts sur la sécurité des personnes Accident du travail, maladie professionnelle, perte de vies humaines, mise en danger… Impacts financiers Perte de chiffre d'affaire, dépenses imprévues, chute de valeur en bourse, baisse de revenus… Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 19 revenus… Impacts juridiques Procès, amende, condamnation d'un dirigeant, dépôt de bilan, avenant… Impacts sur l’image Publication d'un article satyrique dans la presse, perte de crédibilité vis-à-vis de clients, mécontentement des actionnaires, perte d'avance concurrentielle, perte de notoriété… Impacts sur l’environnement Pollution (chimique, bactériologique, radiologique, sonore, visuelle…) générée par l'organisme et touchant son périmètre, son voisinage ou une zone… Impacts sur les tiers Impossibilité d'assurer un service, amendements de contrats, pénalités, conséquences sur la production ou la distribution de biens ou de services considérés comme vitaux…
  20. 20. Faire face à toutes les sources de menaces Sources humaines Employé en fin de contrat, employé voulant se venger de son employeur ou de ses collègues, fraudeur, employé maladroit ou inconscient… Militant agissant de manière idéologique ou politique, espion, terroristes, pirate passionné, casseur ou fraudeur, concurrent avec une motivation stratégique, visiteur, prestataire, personnel Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 20 une motivation stratégique, visiteur, prestataire, personnel d'entretien cupide, personnel d'entretien maladroit, personne réalisant des travaux dans le voisinage, manifestants, stagiaire agissant de manière ludique… Sources non humaines Matières dangereuses, matières inflammables, eau… Virus informatique ou autre code malveillant, nature environnante (rivière, forêt…), météo, éléments du voisinage, temps qui s'écoule, contingence (malchance)…
  21. 21. Lutter contre les menaces Détournements d'usages Défiguration, cybersquatting, altération de données, exploitation distante d'un réseau sans fil, occupation de site, interception de signaux parasites (compromettants, wifi…), écoute passive, hameçonnage, divulgation involontaire, ingénierie sociale … Dépassements de limites de fonctionnement Déni de service, surcharge de variables, défaillance logicielle, défaillance matérielle, dysfonctionnement provoqué (rayonnements électromagnétiques, thermiques…), dépassement de capacités réseaux, surmenage, défaillance de la climatisation… Valeurdesbiens Besoin de sécurité SCAN SOCIAL ENGINEERING SCRIPT KIDDIES Compétence Disponibilité des outils DENI SERVICE USURPATION ATTAQUE CRYPTO Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 21 dépassement de capacités réseaux, surmenage, défaillance de la climatisation… Détériorations Bombe logique, impulsion électromagnétique, panne matérielle, assassinat, maladie, infection, accident, décès, dégradation physique, vandalisme, catastrophe naturelle, sinistre majeur… Modifications Altération d'un logiciel par modification ou ajout de code, contagion par un code malveillant, piégeage d’un matériel, falsification d'un support papier, intégration de machines non maîtrisés, manipulation psychologique, travaux… Pertes de propriété Non renouvellement de licence, perte de codes sources, disparition d'un matériel, vol de support de données ou de document, récupération de matériels recyclés ou mis au rebut, licenciement, enlèvement, rachat de tout ou partie de l'organisme…
  22. 22. Réduire les vulnérabilités Réseaux Possibilité de pose d'éléments additionnels, complexité du routage entre sous-réseaux, ouverture des réseaux, liaison de télémaintenance activée en permanence… Matériels Mauvaises conditions d'utilisation, fragilité des matériels, matériel facilement démontable, matériel attractif, supports accessibles par tous, matériel transportable… Logiciels Fournisseur Entreprise Nomade Réseau Public L.S. Web DNS Filiale Mail Partenaire Client Client Serveurs publics INTERNET INTRANET EXTRANET Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 22 Logiciels Mots de passe simples à observer (forme sur un clavier, mot de passe court), logiciels obsolètes, possibilité d'utiliser une porte dérobée dans le système d'exploitation… Organisations Organisation instable ou inadaptée, contrats peu clairs, clauses contractuelles incomplètes, règles de sécurité inapplicables, consignes non respectées… Personnes Instabilité financière, actionnariat instable, personnel manipulable, prééminence d’une catégorie de personnel, manque de formation, manque de motivation… Sites Proximité d’activités industrielles à risque, mauvais dimensionnement des ressources, facilité de pénétrer dans les locaux, agencement des locaux inapproprié…
  23. 23. Faire émerger les risques réels Si l’ordinateur portable d’un employé est volé alors qu’il ne contient aucune information confidentielle, alors il n’y a pas de risque. En revanche, s’il contient des informations confidentielles et que leur compromission pourrait faire perdre des clients ou nuire gravement à l’image de son organisme, alors le risque existe et son niveau d’impact est important. Par ailleurs, si on estime que des concurrents ou des opposants à l’organisme sont prêts à employer ce genre de méthode et s’en donneront les moyens, et Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 23 sont prêts à employer ce genre de méthode et s’en donneront les moyens, et qu’en plus les employés font preuve d’inattention, alors le niveau de vraisemblance est important. Il est illusoire et coûteux de se protéger contre tous les risques imaginables. Mais il est dangereux de ne pas identifier les risques auxquels on est confronté. C’est pourquoi il convient de faire émerger les risques et d’estimer leur niveau. Cela permettra de les hiérarchiser et de faire des choix objectivement.
  24. 24. Choisir les options de traitement Réduire les risques Action sur les vulnérabilités (prévention) et/ou les impacts (récupération, compensation) et/ou les sources de menaces (dissuasion) et/ou les menaces (protection, détection) Transférer les risques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 24 Transférer les risques Partage des pertes avec autrui (assurance, certification…) Éviter les risques Changement de situation pour que le risque n’existe plus (choix techniques, réduction du périmètre…) Prendre les risques Acceptation des pertes dans le cas où des sinistres arrivent
  25. 25. Déterminer les mesures de sécurité Les mesures de sécurité, destinées à traiter les risques, peuvent être : créées de toute pièce, créées à partir de meilleures pratiques adaptées, choisies directement parmi les meilleures pratiques. Un exemple de catalogues de meilleures pratiques : l’ISO/CEI 27002 […] 5. Politique de sécurité Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 25 5. Politique de sécurité 6. Organisation de la sécurité de l’information 7. Gestion des biens 8. Sécurité des ressources humaines 9. Sécurité physique et environnementale 10. Gestion des communications et opérations 11. Contrôle d’accès 12. Acquisition, développement et maintenance des systèmes d’information 13. Gestion des incidents de sécurité de l’information 14. Gestion de la continuité d’activités 15. Conformité Les mesures de sécurité sont également destinées à prendre en compte les références applicables
  26. 26. Accepter les risques résiduels Les risques résiduels sont issus : de risques insuffisamment réduits, de menaces écartées, de mesures de sécurité induisant de nouveaux risques… Il convient de mettre en évidence les risques résiduels afin de vérifier Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 26 Il convient de mettre en évidence les risques résiduels afin de vérifier que le niveau des risques est acceptable. Dans le cas contraire, il convient de revoir le traitement de ces risques en tentant de les réduire, de les transférer ou de les éviter davantage. Cette acceptation des risques prendre généralement la forme d’une homologation de sécurité : déclaration, par une autorité dite d’homologation, que le sujet considéré est apte à traiter des biens au niveau des besoins de sécurité exprimé, conformément aux objectifs de sécurité visés, et qu’elle accepte les risques résiduels induits.
  27. 27. Globalité La défense doit être globale, ce qui signifie qu’elle englobe toutes les dimensions du système d’information : a) aspects organisationnels ; b) aspects techniques ; c) aspects mise en œuvre. Coordination La défense doit être coordonnée, ce qui signifie que les moyens mis en place agissent : a) grâce à une capacité d’alerte et de diffusion ; b) à la suite d’une corrélation des incidents. La défense doit être dynamique, ce qui signifie que le SI dispose d’une politique de sécurité identifiant : a) une capacité de réaction ; Appliquer des principes de défense en profondeur Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 27 Dynamisme a) une capacité de réaction ; b) une planification des actions ; c) une échelle de gravité. Suffisance La défense doit être suffisante, ce qui signifie que chaque moyen de protection (organisationnel ou technique) doit bénéficier : a) d’une protection propre ; b) d’un moyen de détection ; c) de procédures de réaction. Complétude La défense doit être complète, ce qui signifie que : a) les biens à protéger sont protégés en fonction de leur criticité ; b) que chaque est protégé par au minimum trois lignes de défense ; c) le retour d’expérience est formalisé. Démonstration La défense doit être démontrée, ce qui signifie que : a) la défense est qualifiée ; b) il existe une stratégie d’homologation ; c) l’homologation adhère au cycle de vie du système d’information.
  28. 28. Résultats d’une analyse de risques EBIOS Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 28 Cahier des chargesFEROS PP Cible Négociation & arbitrage Responsabiliser les acteurs TDBSSISDSSI Plan d’action Note de stratégiePSSI
  29. 29. Exemples de niveaux de détails selon la finalité Analyse de risques PP/Cible FEROS PSSI Schéma directeur Étude du contexte Détaillé Détaillé Moyen Détaillé Expression des besoins Détaillé Détaillé Moyen Faible Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 29 Expression des besoins de sécurité Détaillé Détaillé Moyen Faible Étude des menaces Détaillé Détaillé Moyen à détaillé Faible Identification des objectifs de sécurité Détaillé Détaillé Faible Faible Détermination des exigences de sécurité Détaillé Aucun Faible Optionnel
  30. 30. 3. Adapter la SSI selon les enjeux Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 30 enjeux
  31. 31. L’ISO/IEC 21827 définit 5 niveaux de maturité SSI cumulatifs 1. Pratique informelle : pratiques de base mises en œuvre de manière informelle et réactive à l'initiative de ceux qui estiment en avoir besoin. Des actions sont réalisées en employant des pratiques de base. 2. Pratique répétable et suivie : pratiques de base mises en œuvre de façon planifiée et suivie, avec un support relatif de l'organisme. Les actions sont planifiées. Les actions sont réalisées par une personne qui possède des compétences en SSI. Certaines pratiques sont formalisées, ce qui permet la duplication et la réutilisation (éventuellement par une autre personne). Des mesures qualitatives sont réalisées (indicateurs simples sur les résultats). Les autorités compétentes sont tenues informées des mesures effectuées. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 31 Les autorités compétentes sont tenues informées des mesures effectuées. 3. Processus défini : mise en œuvre d'un processus décrit, adapté à l'organisme, généralisé et bien compris. Les actions sont réalisées conformément à un processus défini, standardisé et formalisé. Les personnes réalisant les actions possèdent les compétences appropriées au processus. L’organisme soutien le processus et accorde les ressources, les moyens et la formation nécessaires à son fonctionnement. Le processus est bien compris autant par le management que par les exécutants. 4. Processus contrôlé : le processus est coordonné et contrôlé (indicateurs) pour corriger les défauts constatés. Le processus est coordonné dans tout le périmètre choisi et pour chaque exécution. Des mesures quantitatives sont régulièrement effectuées (en termes de performance). Les mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées. Des améliorations sont apportées au processus à partir de l'analyse des mesures effectuées. 5. Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tient compte de l'évolution du contexte. Le processus est adapté de façon dynamique à la situation. L'analyse des mesures effectuées est définie, standardisée et formalisée. L'analyse des mesures effectuées est définie, standardisée et formalisée. L'amélioration du processus est définie, standardisée et formalisée. Les évolutions du processus sont journalisées.
  32. 32. La SSI doit être gérée en adéquation par rapport aux véritables enjeux SSI du(des) SMSI. En effet, des enjeux faibles ne requièrent pas de gérer la SSI de manière aussi rigoureuse que lorsqu'ils sont élevés. La démarche consiste à : déterminer le niveau adéquat du SMSI Maturité du SMSI Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 32 déterminer le niveau adéquat du SMSI déterminer le niveau effectif des processus améliorer les processus Première itération de la progression de la maturité 0 1 2 3 4 5 Définir la stratégie SSI Gérer les risques SSI Gérer les règles SSI Superviser la SSI Concevoir les mesures SSI Réaliser les mesures SSI Exploiter les mesures SSI Niveau adéquat Géré en dehors du périmètre considéré Seconde itération de la progression de la maturité 0 1 2 3 4 5 Définir la stratégie SSI Gérer les risques SSI Gérer les règles SSI Superviser la SSI Concevoir les mesures SSI Réaliser les mesures SSI Exploiter les mesures SSI Niveau adéquat Géré en dehors du périmètre considéré Troisième itération de la progression de la maturité 0 1 2 3 4 5 Définir la stratégie SSI Gérer les risques SSI Gérer les règles SSI Superviser la SSI Concevoir les mesures SSI Réaliser les mesures SSI Exploiter les mesures SSI Niveau adéquat Géré en dehors du périmètre considéré
  33. 33. 4. Viser une amélioration continue par la mise en place d’un SMSI Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 33 par la mise en place d’un SMSI
  34. 34. Qu’est-ce qu’un système de management ? Selon l’ISO/CEI 9000, un système de management est : un ensemble d'éléments corrélés ou interactifs permettant d'établir une politique et des objectifs Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 34 permettant d'établir une politique et des objectifs et d'atteindre ces objectifs.
  35. 35. Différents systèmes de management Le système de management d'un organisme peut inclure différents systèmes de management. Les différentes normes de systèmes de management sont très similaires : elles sont basées sur les mêmes principes, elles sont structurées quasiment à l'identique, elles utilisent une terminologie relativement commune, elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 35 elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de systèmes de management (Guide ISO/CEI 72). Elles se distinguent et se complètent par leur objet et leur objectif : Domaine Norme Objet Objectif Qualité ISO/CEI 9001 Produit Satisfaction des clients Environnement ISO/CEI 14001 Communauté environnante Protection de l'environnement Sécurité des personnes OHSAS 18001 ILO-OSH 2001 Individu Protection en matière d'hygiène, santé et sécurité Sécurité de l’information ISO/CEI 27001 Informations et processus informationnels Protection du patrimoine informationnel
  36. 36. Qu’est-ce qu’un système de management de la sécurité de l’information (SMSI) ? Le système de management de la sécurité de l'information (SMSI) est : un ensemble d'éléments corrélés ou interactifs permettant d'établir une politique et des objectifs en matière de sécurité de l'information et d'atteindre ces objectifs. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 36 Les éléments de ce système sont : ses ressources (humaines, financières, temporelles), ses moyens (ensemble des types de biens supports de l'information : réseaux, matériels, logiciels, organisations, sites, personnels). Le SMSI apporte un cadre pour la gestion de la sécurité de l'information. Il constitue un moyen de gérer la sécurité de l'information de manière globale, systématique, systémique, complète et cohérente.
  37. 37. Le SMSI est un moyen de gouvernance La gouvernance de la sécurité de l’information est la manière dont le système de management de la sécurité de l'information (SMSI) est dirigé et contrôlé La gouvernance de la sécurité de l'information apporte coordination et cohérence aux activités du SMSI. Ainsi, elle structure et hiérarchise ses activités : Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 37 structure et hiérarchise ses activités : elle active tous les processus de sécurité de l'information, elle alimente et s’aligne sur les processus de pilotage de l'organisme pour s'assurer de la cohérence et de la coordination nécessaires entre le SMSI et le reste des activités de l'organisme, elle prend appui sur les processus de support de l'organisme afin de fournir, de manière efficace et efficiente, tous les moyens et ressources dont la sécurité de l'information a besoin au moment approprié.
  38. 38. L’ISO/CEI 27001 décrit un SMSI Mise en œuvre de la démarche ISO/CEI 27001 L’ISO/CEI 27001 spécifie un SMSI / Information Security Management System (ISMS), structuré en 4 étapes : 1. Planifier : définir le cadre du SMSI, apprécier et spécifier le traitement des risques SSI 2. Mettre en œuvre : implémenter et maintenir les mesures Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 38 2. Mettre en œuvre : implémenter et maintenir les mesures 3. Vérifier : vérifier que les mesures fonctionnent conformément à l’étape Planifier et identifier les améliorations possibles du SMSI 4. Améliorer : mettre en œuvre les améliorations identifiées pour le SMSI Positionnement par rapport aux mesures de l’ISO/CEI 27002 Catalogue de meilleures pratiques regroupant 39 objectifs de sécurité (buts à atteindre), décomposés en 133 mesures de sécurité (explications sur les activités permettant d’y parvenir) et relatifs à 11 domaines
  39. 39. Les tâches à réaliser selon l’ISO/CEI 27001 Planifier Définir le périmètre Définir l'approche d'appréciation des risques SSI Identifier les risques SSI Analyser et évaluer les risques SSI Identifier et évaluer les options pour traiter les risques SSI Sélectionner les objectifs et mesures de sécurité pour traiter les risques SSI Obtenir la validation des risques résiduels Obtenir l'autorisation de mettre en œuvre et d'exploiter le SGSSI Améliorer Mettre en œuvre les améliorations identifiées pour le SGSSI Prendre les mesures correctives et préventives appropriées Communiquer les résultats et actions, consulter les parties prenantes S'assurer que les révisions réalisent leurs objectifs prévus Vérifier Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 39 Définir la politique de sécurité Préparer une déclaration d’applicabilité Mettre en œuvre Formuler un plan de traitement des risques SSI Mettre en œuvre le plan de traitement des risques SSI Mettre en œuvre les mesures de sécurité Définir comment mesurer l'efficacité des mesures de sécurité Mettre en œuvre les programmes de sensibilisation et de formation Gérer les opérations Gérer les ressources Mettre en œuvre les procédures et autres mesures pour détecter et réagir face aux incidents de sécurité Vérifier Exécuter les procédures de vérification et autres mesures Vérifier régulièrement la performance du SGSSI Mesurer l'efficacité des mesures de sécurité Vérifier régulièrement l'appréciation des risques, ainsi que le niveau du risque résiduel et du risque acceptable Mener des audits internes réguliers du SGSSI Vérifier régulièrement le management du SGSSI Mettre à jour les plans de sécurité pour prendre en compte les résultats des actions précédentes Enregistrer les actions et événements pouvant impacter la performance du SGSSI
  40. 40. Vers une intégration des systèmes de management ? Les systèmes de management peuvent être : totalement séparés, partiellement intégrés, totalement intégrés. L’intégration des systèmes de management permet : Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 40 L’intégration des systèmes de management permet : une simplification (documentation, audits), une économie (non répétition des procédures), une exhaustivité (pas d’oubli de procédures), une cohérence (une même logique). Les difficultés rencontrées : un investissement conséquent, nécessite de « remettre à plat les différents systèmes ».
  41. 41. 6. Intégrer la SSI dans le cycle de vie des systèmes Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 41 des systèmes
  42. 42. La méthode GISSIP GISSIP permet une intégration de la SSI structurée, complète et adaptée aux enjeux de sécurité de chaque SI. La méthode aide à déterminer les actions SSI à entreprendre et les documents à produire tout au long du cycle de vie des SI, et ce, en fonction du niveau de maturité SSI adéquat. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 42 ce, en fonction du niveau de maturité SSI adéquat. L’approche est à considérer avec souplesse afin de l’appliquer en cohérence avec les pratiques et outils de chaque organisme. Il convient de réévaluer régulièrement les enjeux de sécurité, et donc le niveau de maturité SSI adéquat pour vérifier que les actions entreprises apportent bien le niveau de confiance le plus approprié.
  43. 43. Actions SSI par étape et par niveau de maturité Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 43
  44. 44. Livrables par étape et par niveau de maturité Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 44
  45. 45. 7. Une démarche d’homologation systématique Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 45 systématique
  46. 46. Qu’est ce qu’une homologation de sécurité? Il s’agit de déclarer, au vu du dossier d’homologation, que le système d’information considéré est apte à traiter des informations d’un niveau de sensibilité ou de classification donné. (IGI n°1300/SGDN/PSE/SSD du 25 août 2003) Cette déclaration est faite par l’autorité d’homologation qui peut Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 46 Cette déclaration est faite par l’autorité d’homologation qui peut s’appuyer sur une commission d’homologation.(IGI n°1300) La DCSSI participe à la commission d’homologation pour les SI traitant des informations classifiées de défense. (Rapport sur la doctrine SSI)
  47. 47. Pourquoi homologuer ? Pour garantir la protection des informations conformément à la réglementation. « Tout système d’information traitant des informations classifiées doit faire l’objet d’une décision d’emploi formelle. Cette décision s’appuie sur l’homologation de sécurité » (IGI n°1300) Tout système d’information doit faire l’objet d’une homologation de sécurité par une autorité d’homologation désignée par l’autorité administrative (RGS) Pour être en mesure d’apporter la preuve que l’on a respecté la loi : pour la protection des informations classifiées de défense Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 47 pour la protection des informations classifiées de défense pour la protection des informations nominatives Pour attester de son niveau de sécurité vis-à-vis de ses partenaires (Organismes tiers, clients, OTAN, UE…). Pour mettre en place un SMSI, obtenir une vision cohérente en termes de place de la SSI dans le système d’information, de coûts et de priorités, des responsabilités.
  48. 48. Quand homologuer ? Homologation PSSI Référentiel de règles et meilleures pratiques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 48 Valeurs stratégiques Objectifs de sécurité Enjeux de sécurité Besoins utilisateurs
  49. 49. Fil conducteur de la confiance RÉALISATION ÉTUDE D’OPPORTUNITÉ ÉTUDE D’OPPORTUNITÉ EXPLOITATION EXPLOITATION V V Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 49 RÉALISATION RÉALISATION CONCEPTION DÉTAILLÉE CONCEPTION DÉTAILLÉE CONCEPTION GÉNÉRALE CONCEPTION GÉNÉRALE ÉTUDE DE FAISABILITÉ ÉTUDE DE FAISABILITÉ Suivi du cycle Validation Incrémentation Lot1 à Lot n Version successives V1 à Vn V V V
  50. 50. Sur quelle base homologuer ? FEROSQuelles sont mes intentions ? PSSIComment les appliquer ? Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 50 PSSIComment les appliquer ? AUDITSComment vérifier mes choix ? Quels sont les risques résiduels ? Cible
  51. 51. Le dossier de Sécurité Élément de décision pour l’autorité d’homologation Le contenu dépend du niveau de maturité du système ! Contenu type d’un dossier de sécurité pour un système d’un haut niveau de maturité Stratégie d’homologation, note de stratégie SSI Fiche d’expression rationnelle d’objectif de sécurité (FEROS) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 51 Fiche d’expression rationnelle d’objectif de sécurité (FEROS) Cible de sécurité du système Politique de sécurité du système (PSSI) Procédures d’exploitation de sécurité (PES) Certificat d’évaluation des produits de sécurité intégrés Rapport technique d’évaluation Cible de sécurité produit Résultats d’audit Liste des risques résiduels
  52. 52. Stratégie d’homologation – Encadrement de la démarche Présentation du système Identification du périmètre d’homologation Encadrement de la démarche SSI du projet Présentation du processus d’homologation Identification des acteurs et des responsabilités Rappel des différents étapes et jalons de validation Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 52 Rappel des différents étapes et jalons de validation Description des différents livrables attendus Référencement des textes applicables Expression des enjeux, des besoins SSI et du mode d’exploitation de sécurité Implication au plus tôt des acteurs SSI permettant une Intégration de la SSI dans le projet / SMSI de prendre en compte les contraintes opérationnelles d’éviter les retards, écueils
  53. 53. FEROS - Expression de la maîtrise d’ouvrage Cahier des charges SSI de la maîtrise d’ouvrage Besoins de sécurité du système Contraintes auxquelles il est soumis Menaces contre lesquelles il doit se prémunir Objectifs de sécurité de haut niveau Risques résiduels Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 53 Document approuvé par l'autorité responsable Obligatoire pour les systèmes traitant des informations classifiées
  54. 54. Cible de sécurité - La réponse de la maîtrise d’œuvre Identifie sans ambiguïté le périmètre sur lequel porte l’homologation Réponse de la MOE aux objectifs de sécurité identifiés dans la FEROS Lien entre les objectifs de la maîtrise d’ouvrage et les exigences de sécurité de la maîtrise d’œuvre Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 54 Liste les exigences de sécurité organisationnelles et techniques Justifie le niveau de couverture des objectifs de sécurité par les exigences de sécurité Identifie les risques résiduels Garantie une traçabilité Permet de suivre l’homologation tout au long du cycle de vie du SI
  55. 55. PSSI – Traduction de la stratégie de sécurité de l’organisme Document de référence SSI applicable à l'ensemble des acteurs de l’organisme Différentes formes en fonctions des interlocuteurs Directives Procédures Codes de conduite Règles organisationnelles et techniques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 55 Règles organisationnelles et techniques La PSSI inclut les éléments stratégiques périmètre du SI, les enjeux liés et orientations stratégiques, aspects légaux réglementaires les principes de sécurité par domaine : organisationnel, mise en œuvre, technique Complétée par un(s) politique(s) d’application comme les procédures d’exploitation de la sécurité
  56. 56. Processus similaire à la démarche nationale Dossier de sécurité semblable • énoncé des impératifs de sécurité (SRS) • applicables à un ensemble d'interconnexions (CSRS) Dossier de sécurité – OTAN / UE / coalitions Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 56 • applicables à un ensemble d'interconnexions (CSRS) • propres à un système (SSRS) • applicables à une interconnexion de systèmes (SISRS) • énoncé des impératifs de sécurité électronique (SEISRS) • procédures d'exploitation de sécurité (SecOPS) • rapport d’audit SGDN, ANS pour les systèmes traitant des informations classifiées non nationales
  57. 57. Les étapes de l’homologation Identifier l’autorité d’homologation Obtenir une validation opérationelle des utilisateurs Monter une commission d’homologation Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 57 Bâtir le référentiel d’homologation et le valider Auditer le système en fonction du référentiel Mettre en avant les risques résiduels Homologuer le système au regard des risques résiduels
  58. 58. Les conditions du succès - Avant l’étude Impliquer l’organisme La démarche doit être portée par la direction Motivation de l’ensemble acteurs de l’organisme Sensibiliser l’organisme aux intérêts de la démarche Définir un chef de projet Mise en place d’une stratégie d’homologation Application cohérente avec le niveau de maturité SSI de l’organisme Identifier le niveau de sécurité de l’organisme Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 58 Identifier le niveau de sécurité de l’organisme Identifier le niveau de sensibilité nécessaire Réponse adéquate Identifier l’autorité d’homologation Création d’une commission d’homologation Création d’un comité de pilotage groupe de suivi et de pilotage Nommer une équipe d’audit Constituer un dossier de sécurité Définir les livrables Définir le périmètre de l’étude Sensibiliser les acteurs sur la démarche, les concepts, le vocabulaire…
  59. 59. Les conditions du succès – Pendant l’étude (1/2) A chaque activité Constituer un groupe de travail Identifier les bons acteurs Nommer un leader • Arriver à un consensus ou trancher Sensibiliser les acteurs Rappeler l’objectif de l’activité Présenter les concepts, le vocabulaire S’assurer que l’ensemble des acteurs est une vision commune de la problématique Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 59 S’assurer que l’ensemble des acteurs est une vision commune de la problématique Demande une justification • Facilite l’argumentation • Permet de garder une traçabilité Collecter les informations Réalisation d’interviews Documents existants sur l’organisme, le projet Documentation EBIOS • Base de connaissances • Guide / Meilleures pratiques Être force de proposition Présenter des exemples pour lancer les discussions Synthétiser les informations récoltées pour validation au groupe de travail Suivi et validation par le comité de pilotage
  60. 60. Les conditions du succès – Pendant l’étude (2/2) Distinguer l’analyse de risques et les livrables Adapter les livrables aux destinataires Sous la forme d’un tableau ou texte Exhaustif ou sous la forme d’une synthèse Favoriser les schémas (UML, MERISE…) Intégrer les documents existants Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 60 Intégrer les documents existants S’adapter au vocabulaire de l’organisme Nomenclature explicite Libellé court et description Validation de chaque étape par la commission d’homologation Éviter les retours en arrière Impliquer la direction tout au long de la réalisation du dossier de sécurité Facilite l’homologation
  61. 61. 7. Utiliser des labels SSI Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 61
  62. 62. Les produits de sécurité peuvent être labellisés Les produits de sécurité peuvent faire l'objet d'une évaluation de sécurité débouchant sur une attestation de sécurité établie par la DCSSI : une certification en vertu du décret n°2002-535 du 18 avril 2 002 (selon l’ISO/CEI 15408) ; une certification de sécurité de premier niveau (CSPN) ; une qualification (au niveau standard, renforcé ou élevé) ; Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 62 une qualification (au niveau standard, renforcé ou élevé) ; un agrément ou caution (jugeant de l’aptitude à assurer la protection d'informations classifiées de défense ou d'informations sensibles non classifiées de défense). Catalogues : Certificats : http://www.ssi.gouv.fr/fr/confiance/certificats.html CSPN : http://www.ssi.gouv.fr/fr/confiance/certif-cspn.html Qualifications : http://www.ssi.gouv.fr/fr/politique_produit/catalogue/index.html
  63. 63. Les SMSI peuvent être certifiés La certification selon l’ISO/CEI 27001 atteste de la mise en place effective du système de management de la sécurité de l’information au sein d’un organisme, d’un site ou d’un processus (prise en compte de la SSI et amélioration continue) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 63 Elle est attribuée par un tiers certificateur sur la base du rapport d’un auditeur (certifié ISO 27001 Lead Auditor) La certification de SMSI est en croissance (1000 certificats en 2004, 2000 certificats en 2006), mais elle n’est beaucoup utilisée que dans certains pays (notamment au Japon, mais également au Royaume-Uni, en Inde…)
  64. 64. Que signifie une certification ISO/CEI 27001 ? La certification ISO/CEI 27001 porte sur un ISMS, qui peut correspondre à : un organisme entier, une sous-partie de l’organisme (un service, un ou plusieurs processus…). Elle assure, par une démonstration indépendante, que le SMSI est : conforme aux exigences spécifiées, capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés, mis en œuvre de manière efficace. Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 64 mis en œuvre de manière efficace. Elle peut être préparée (mise en œuvre du SMSI) en interne ou avec l’aide de prestataires (ex. : ISO/CEI 27001 Lead Implementor). Un audit est réalisé (selon l’ISO/CEI 19011) par un auditeur certifié (ISO/CEI 27001 Lead Auditor). Un organisme de certification, accrédité par une autorité d’accréditation (selon l’ISO/CEI 17021 et l’ISO/CEI 27006), évalue les résultats d’audit pour délivrer un certificat reconnu dans les pays liés à l’IAF (International Accreditation Forum). Des audits de surveillance ou de contrôle ont lieu au maximum une fois par an. Un audit de renouvellement de certification a lieu tous les trois ans.
  65. 65. Motivations des organismes pour la certification d’un système de management Améliorer l’efficacité globale de l’entreprise Améliorer l’image de l’entreprise Répondre à une obligation client Prévenir ou remédier à certains dysfonctionnements Aller eu devant des exigences réglementaires Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 65 Aller eu devant des exigences réglementaires Se différencier des concurrents Répondre à une volonté du groupe Faire un bilan de ce qui se faisait dans l’entreprise Acquérir des méthodes de travail qui n’existaient pas Parer aux contestations sociales et économiques [Rapport d’étude AFAQ / AFNOR de mai 2005 sur les certifications qualité, sécurité des personnes et environnement]
  66. 66. Les systèmes peuvent être homologués L’homologation de sécurité d’un SI est la déclaration par l’autorité d’homologation, conformément à une note d'orientations SSI et au vu du dossier de sécurité, que le SI considéré est apte à traiter des informations au niveau de besoins de sécurité exprimé conformément aux objectifs de sécurité, et que les risques de sécurité résiduels sont acceptés Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 66 sécurité, et que les risques de sécurité résiduels sont acceptés et maîtrisés Cette décision se fait dans le cadre de la commission d'homologation Elle peut être provisoire, définitive ou bien un refus L’homologation de sécurité reste valide tant que le SI opère dans les conditions approuvées par l’autorité d’homologation. Elle traduit donc l’acceptation par l’autorité d’homologation d’un niveau de risque résiduel qualifié et quantifié en termes de confidentialité, d’intégrité, de disponibilité…
  67. 67. Les personnes peuvent être certifiées Exemples de certifications orientées « management / conseil / audit » CISM (Certified Information Security Manager, ISACA / AFAI) CISA (Certified Information System Auditor , ISACA / AFAI) CISSP (Certified Information System Security Professional, ISC2) ISO/CEI 27001 Lead Auditor (BSI anglais, LSTI…) ProCSSI (Professionnel Certifié de la Sécurité des Systèmes d’Information, INSECA) EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours) Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 67 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours) … Exemples de certifications orientées « technique » CEH (Certified Ethical Hacker , EC-Council) CHFI (Computer Hacking Forensics Investigator, EC-Council) SCNP (Security Certified Network Professional, Ascendant Learning) SCNA (Security Certified Network Architect, Ascendant Learning) OPSA (OSSTMM Professional Security Analyst, ISECOM) OPST (OSSTMM Professional Security Tester, ISECOM) OPSE (OSSTMM Professional Security Expert, ISECOM) Certifications GIAC (Global Information Assurance Certifications, SANS) …
  68. 68. Conclusion Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 68
  69. 69. CONCLUSION Les grands principes peuvent se résumer ainsi : Adopter une démarche globale Viser une amélioration continue Adapter la SSI selon les enjeux Formaliser une politique SSI Fonder la SSI sur la gestion des risques Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 69 Fonder la SSI sur la gestion des risques Intégrer la SSI dans le cycle de vie des systèmes Utiliser des labels SSI Mener une homologation systématique L’outillage pour mettre en œuvre ces principes est disponible sur le site de la DCSSI (http://www.ssi.gouv.fr) dans la partie méthodologie

×