4. 4
Les enjeux de la sécurité de l’information
« Les systèmes d’information font désormais partie intégrante du
fonctionnement des administrations publiques, de l’activité des entreprises,
et du mode de vie des citoyens. Les services qu’ils assurent nous sont tout
aussi indispensables que l’approvisionnement en eau ou en électricité.
Pour l’Etat il s’agit d’un enjeu de souveraineté nationale. Il a en effet la
responsabilité de garantir la sécurité de ses propres systèmes
d’information, la continuité de fonctionnement des institutions et des
infrastructures vitales pour les activités socioéconomiques du pays et la
protection des entreprises et des citoyens.
De leur côté, les entreprises doivent protéger de la concurrence et de la
malveillance leur système d’information qui irrigue l’ensemble de leur
patrimoine (propriété intellectuelle et savoir faire) et porte leur stratégie de
développement. »
5. 5
Les enjeux de la sécurité de l’information
Limiter les Risques
Conformité
Créer la valeur
Productivité
6. 6
•L’évolution des menaces est liée à la
transformation des systèmes
d’information (et des réglementations).
•Elle concerne essentiellement la
malveillance (menaces d’origine
humaine et intentionnelle).
•Quatre profils sont généralement
définis :
… et les menaces évoluent
Les enjeux de la sécurité de l’information
Ludique (sans profit)
Cupide (pouvoir, argent)
Terroriste (idéologique)
Stratégique
(économique, politique)
Les menaces existent …
Humaine
Intentionnelle Non intentionnelle
Externe Interne
• Personnel
insuffisamment
qualifié
• Erreur humaine
• Piratage
•Sabotage
• Vol
Matérielle
• Panne matériel
• Coupure électrique
• Incendie
• Dysfonctionnement
matériel ou logiciel
Naturelle
• Activité géologique
• Conditions météorologiques
7. 7
1990 2003
email propagation of malicious code
widespread attacks using NNTP to distribute
attack
widespread attacks on DNS
infrastructure
executable code attacks (against
browsers)
automated widespread attacks
GUI intruder tools
hijacking sessions
Internet social
engineering attacks
packet
spoofing
automated probes/scans
widespread
denial-of-service
attacks
techniques to analyze
code for vulnerabilities
without source code
DDoS attacks
increase in worms
sophisticated command
& control
anti-forensic techniques
home users targeted
distributed attack tools
increase in wide-scale
Trojan horse
distribution
Windows-based
remote controllable
Trojans (Back
Orifice)
Intruder
Knowledge
AttackSophistication
“stealth”/advanced scanning
techniques
Source: CERT Carnegie Mellon University
Les enjeux de la sécurité de l’information
• Sophistication des attaques et compétences des attaquants depuis 20 ans
9. 9
Gouvernance SI et problématique du « Risk
Management »
A la lumière de l’évolution, aux
cours de ces dernières années, de
l’environnement économique dans
lequel évolue les entreprises, la
gouvernance d’entreprise est
devenue un équilibre entre
performance et conformité.
Dès lors, la gouvernance de la sécurité de l’information, dans le sillage de la
gouvernance des système d’information, soutient à la fois la gouvernance
institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance
d’activité en créant de la valeur et améliorant la performance.
De la gouvernance d’entreprise à la gouvernance de la sécurité
de l’information:
10. 10
La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la
simple «fonction de spécialistes».
Il ne s’agit plus seulement de s’équiper de solutions de sécurité, mais de développer
une véritable stratégie de sécurité à même :
de supporter les enjeux métiers de l’entreprise, qui se traduisent
principalement par l’ouverture de son système d’information à l’ensemble de
ses partenaires et par les nouveaux modes de communication (mobilité),
de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité
financière, protection des données personnelles …),
de prendre en compte l’évolution de la complexité des menaces associée à
l’évolution des technologies supportant son système d’information,
et bien sûr de protéger son patrimoine informationnel et son infrastructure
technique, au meilleur coût et en respectant la culture de l’entreprise.
La gouvernance de la sécurité de l’information devient un processus de management
fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques.
Gouvernance SI et problématique du « Risk
Management »
11. 11
La gestion des risques doit
permettre d’identifier les
événements de sécurité
susceptibles de porter atteinte aux
objectifs métiers de l’entreprise.
• La gouvernance de la sécurité de l’information devient un
processus de management fondé sur la gestion des risques
Gouvernance SI et problématique du « Risk
Management »
12. 12
De la gouvernance aux opérations … de la responsabilité stratégique à la
responsabilité opérationnelle
Gouvernance
Architecture et standards
Politiques et Directives
Sensibilisation
Surveillance et conformité
Définition et
implémentation des
systèmes
Définition et
implémentation des
technologies
Opérations
Gestiondurisques
Périmètre OpérationnelPérimètre Stratégique
Gouvernance SI et problématique du « Risk
Management »
13. 13
Contrôler et
Superviser
Améliorer
Etablir le cadre
général et Identifier
les risques
Modéliser et
Implémenter
Check
Act
Plan Pilotage et Organisation
Analyse de risques
Etudes
Audit et contrôle
Etudes
Définition de
standards
techniques
Mise en œuvre
opérationnelle
Sensibilisation
Mise en œuvre
opérationnelle
• Les fondations du cadre de gestion de la sécurité
Gouvernance SI et problématique du « Risk
Management »
Do
17. 17
Référentiels
ITIL: Information Technology Infrastructure
Library
Protection
Authentication
AccessProvisioning
Compliance
Thèmes liés à la sécurité en fonction des processus ITIL :
Incident Management,
Service Desk,
Problem Management,
Configuration Management,
Change Management,
Continuity Management
Continuity Management,
SLA Management, Change
Management, Release
Management
Configuration
Management, SLA
Management,
Change
Management,
Service Desk,
Release
Management,
Financial Mgmt
Service Desk, SLA
Management,
Financial
Management
SLA Management,
Service Desk,
Availability
Management,
Financial
Management
18. 18
Méthodologies de réduction des risques
Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et
vulnérabilités auxquels les actifs informationnels sont exposés et la
probabilité de leur survenance. Déterminer les mesures de sécurité pouvant
être implantées pour réduire les risques et leur impact à un coût acceptable.
19. 19
Référentiels et méthodologies
EBIOS: Méthodologie d’identification des menaces et des vulnérabilités,
analyse de risques, spécification des exigences de la sécurité
MARION:
MEHARI: MEthode harmonisée d’Analyse des Risques
OCTAVE/USA :
ISO 13335 :
20. 20
Référentiel Sécurité du Ministère des Finances (CSSI :
Cadre Stratégique des Systèmes d’Information)
Audit DRPP en l’an 2000 (plan de continuité)
Audit dans le cadre du SDSIC
Projet audit sécurité globale TGR « SI, Biens et
Personnes »
Sécurité SI à la TGR
21. 21
Menaces
L’indisponibilité des services offerts
par la TGR
• Le paiement des commandes de l’Etat et des
collectivités locales ;
• La paie du personnel de l’Etat ;
• Le recouvrement des impôts
• La gestion des comptes de dépôt au Trésor
• Dette extérieure et intérieure
….disponibilité de l’information
Porter atteinte à l’intégrité des informations
de la TGR
L’intégrité des données gérées par la TGR :
- Virements entre comptables
- Centralisation comptables
L’intégrité des échanges avec les partenaires :
• Ministère des finances ( DB, DGI, ADII, DTFE..);
• Ordonnateurs et sous ordonnateurs ( Ministères,
collectivités locales)
• Institutionnels (Banque centrale,Poste du
Maroc,CDG…)
• Banques et établissements de crédit.
Divulgation des informations confidentielles.
Divulgation des données confidentielles :
•Rémunération du personnel de l’Etat;
•Impôts des redevables;
•Les dépôts de la clientèle.
Divulgation d’informations sensibles :
•Budget de certains départements ;
ADN..
Incapacité de réunir les éléments probants et
de disposer des preuves.
Audit et inspection
Contrôle interne
…..
…Traçabilité de l’information
….intégrité de l’information.
...Confidentialité de l’information
Sécurité SI à la TGR
Pourquoi sécuriser le SI?
22. 22
Norme: BS 7799
Recommandations:
1. Politique de sécurité
2. Sécurité de l’organisation
Comité de pilotage :
Responsable de la Sécurité du Système d’Information (RSSI) :
Correspondants sécurité :
3. Classification et contrôle des actifs
4. Sécurité du personnel
5. Sécurité physique et sécurité de l’environnement
6. Protection du réseau
7. Contrôle des accès
8. Développement et maintenance des applications
9. Gestion de la continuité des activités
10. Conformité
Sécurité SI à la TGR
CSI
23. 23
l'information est une
part essentielle du
patrimoine TGR
auquel on a
besoin de
répondre par
des mesures
de
prévention
et réaction
elle est exposée à des
menaces naturelles et
humaines
l'association de
ces éléments
constitue le risque
elle est supportée par un
système qui présente des
vulnérabilités
sa valeur, est plus
au moins sensible
L ’association
sensibilité/ risque
peut provoquer
sinistre ayant un
impact +/- fort
Sécurité SI à la TGR
24. 24
La rosace de sécurité:
Sécurité SI à la TGR
Audit dans le cadre du SDSIC
0
0,5
1
1,5
2
2,5
3
3,5
L'organisation générale
Les contrôles permanents
La réglementation
Les facteurs socio-économiques
L'environnement de base
Les contrôles d'accès
La pollution
Les consignes de sécurité
La sécurité incendie
La sécurité dégâts des eaux
La fiabilité de fonctionnement des matériels informatiques
Les systèmes et procédures de secours
Cohérence des systèmes
Formation du personnelLes plans informatique et de sécurité
La sécurité offerte par le matériel et le logiciel de base
La sécurité des télécommunications
La protection des données
L'archivage / désarchivage
Le transfert classique des données
La sauvegarde
La sûreté de l'exploitation
La maintenance
Les procédures de réception
Sécurité des développements applicatifs
Les contrôles programmés
La sécurité des progiciels
25. 25
Recommandations :
A très court terme
Nommer un responsable de la sécurité du système d’information de la Trésorerie
Générale
Sensibiliser l’ensemble du management de la Trésorerie Générale à la sécurité.
A court terme
Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les
propriétaires de toutes les applications.
Définir les critères de classification des informations.Former les propriétaires
d’applications à leurs missions.
Formaliser les procédures opérationnelles d’intégration et de contrôle des
spécifications de sécurité dans les applications des projets schéma directeur.
Lancer l’étude de la vitalité des applications de la Trésorerie Générale.Définir un plan
glissant sur 2 ans pour la mise en œuvre des recommandations.
Sécurité SI à la TGR
Audit dans le cadre du SDSIC
26. 26
Phase 1 : Audit de sécurité
Phase 4
Assistance à Maîtrise d’Ouvrage
Phase 2
Organisation
de la sécurité
Phase 3
Politique de
sécurité
Avril Mai Juin Juillet Août Septembre …
Prise de
connaissance Audit SI
Audit
Biens
Audit
Personnes Recommandations
et plan d’action
Sécurité SI à la TGR
Projet audit sécurité globale de la TGR: