SlideShare une entreprise Scribd logo
1  sur  148
Télécharger pour lire hors ligne
VOLET 1
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO - Dirigeant de PRONETIS
Consultant SSI – Lead Auditor 27001 / Risk Manager 27005
Membre du GREPSSI, OWASP
Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)
PRONETIS – www.pronetis.fr
Société indépendante spécialisée en SSI
Audit – Conseil – Formation – Lutte contre la fraude informatique
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET I
Module N°1 : Rappels
Quelques chiffres - Statistiques
Système d’information industriel – état des lieux
Problématiques spécifiques des SI industriels
Domaines d’exploitation – Impacts majeurs
Évolution de la sécurité
Module N°2 : Management de la sécurité
Périmètre de la sécurité et les axes stratégiques
Système de management de la sécurité Norme ISO 27001
Fonction RSSI : Rôles et missions – Positionnement
Difficultés de la sécurité des systèmes d’information
Module N°3 : Gestion des risques
Gestion des risques - État des lieux
Définitions, métriques et illustrations
Module N°4 : Méthode EBIOS - Exemple
Méthode EBIOS étape par étape
Illustration avec une étude de cas
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Module N°5 : Politique de sécurité
Définition d’une politique cadre et des politiques
ciblées de sécurité
Exemples de politiques de sécurité
Normes de sécurité - Normes 27001, 27002
Module N°6 : Plan d’action et contrôles
Plan d’action sécurité et budget
Audit de sécurité fonctionnel et technique
Tableau de bord sécurité
Pour aller plus loin
Livre
Magazine
Articles - Web
TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 1 Principes de sécurité : 1.1, 1.2, 1.3
Chapitre 2 Cybercriminalité : 2.5, 2.6
Chapitre 3 Gouvernance et Stratégie : 3.1 à 3,6
Chapitre 4 Politique de Sécurité : 4.1 à 4,4, 4.6, 4.7
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MODULE N°1 : RAPPELS
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
QUELQUES CHIFFRES – STATISTIQUES CLUSIF
DÉFINITION DU SYSTÈME D’INFORMATION INDUSTRIEL
CARACTÉRISTIQUES ET VULNÉRABILITÉS DES SI INDUSTRIELS
DOMAINES D’EXPLOITATION
ACTEURS DU SYSTÈME D’INFORMATION
IMPACTS MAJEURS
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTEXTE
CYBER-ATTAQUES INDUSTRIELLES
Piratage du système d’adduction d’eau de
Springfield
Attaque sur différents gazoducs aux états unis en
2012 - Attaque provenant d’un malware en pièce
jointe d’un mail
En 2012, Cyber attaque de la centrale nucléaire
Three Mile Island au niveau du système de
contrôle commande des pompes de
refroidissement
En 2013, cyber attaque d’un réseau ferroviaire
aux états unis occasionnant de nombreux retards.
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôle industriel
sont utilisés pour de multiples applications
Usine classique : chimie, agro, automobile, pharma, production d’énergie…
Sites plus vastes : traitement de l’eau, des réseaux de transport…
Gestion de bâtiment (aéroport, hôpitaux…)
Propulsion de navire
Santé : biomédicale, laboratoire d’analyse …
Les systèmes industriels contrôlent les infrastructures
critiques depuis les réseaux électriques au traitement de
l'eau, de l'industrie chimique aux transports. Ils sont
présents partout.
8 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS
Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) ,
disponibilité 24/7
Environnement physique : ateliers de production : poussière, température,
vibrations, électromagnétisme, produits nocifs à proximité, environnement extérieur, etc.
Durée de vie des équipements : plus de 10 ans (parfois 30 ou 40 ans)
Multiples technologies et fournisseurs : la grande durée de vie des installations
conduit à une « superposition » des vagues technologiques successives sur un même
site entrainant un phénomène d’obsolescence des matériels et logiciels.
Couvertures géographiques : dans des entrepôts, des usines, sur la voie
publique, dans la campagne (stations de pompage, sous-stations électriques, etc.), des
lieux isolés, en mer, dans l’air et dans l’espace Effets indésirables de la mise en œuvre
de la sécurité
Télémaintenance : accès à distance sur les automates
Culture sécurité : automaticiens, instrumentistes électrotechniciens, spécialistes en
génie du procédé
9 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La sécurisation des systèmes industriels passent par la
compréhension de leurs spécificités et de leurs contraintes
ARCHITECTURE TYPIQUE
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Combinaison du monde industriel
avec le monde informatique
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Vulnérabilités intrinsèques aux systèmes industriels
Peu de prise en compte de la sécurité lors des phases de conception,
d’installation, d’exploitation et de maintenance
Automates et composants industriels en production avec des
configurations par défauts et mots de passe par défaut
Informations accessibles – les manuels techniques sont disponibles
assez facilement- avec les mots de passe par défaut.
Une culture et une expérience des opérationnels différentes du
monde informatique : Connexion à l’Internet et ignorance de la
menace extérieure
Des opérateurs non formés à la sécurité informatique
11 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CE QUE L’ON OBSERVE SUR LE TERRAIN
12 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Personnel non sensibilité
Aux enjeux / risques
Virus – erreur de
donnéesMauvaise configuration
Pare-feu & intrusion
Console de programmation
Infectée – modification
application API
Virus – envoi aléatoire de requêtes Modbus
Mot de passe
Admin par défaut
OS API
Non à jour
Opérateurs
de maintenance
non formés
Pas de
cartographie
des flux API
Clé USB
infecté
STATISTIQUES
CLUSIF 2014
13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
STATISTIQUES
CLUSIF 2014
14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DOMAINES D’EXPLOITATION
Industrie Transports Energie Défense
15 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LE SYSTÈME D’INFORMATION (S.I.)
Le S.I. doit permettre et faciliter la mission de l’organisation
La sécurité du S.I. consiste donc à assurer la sécurité de
l’ensemble de ces biens.
Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs :
personnesite matériel réseau logiciel organisation
actifs primordiaux
actifs supports
processus métiers
et informations
ISO/IEC 27005:2008
VUE DE QUELQUES ACTEURS DU SYSTÈME D’INFORMATION
Entreprise
LAN / station de travail
Environnement
Informatique et télécom
Equipements
de sécurité
Fournisseur
d’accès
Fournisseurs de services
- Opérateurs Télécom
- Hébergeurs,
- Paiement sécurisé,
- Sites de sauvegarde et secours
Environnement
Général : EDF
Intervenants
en amont
dans la conception
et la réalisation
des environnements
Personnel
Serveurs
Prestataires
de services
infogérance
17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La sécurité a pour objectif de réduire les risques pesant sur le système
d’information, pour limiter leurs impacts
LA SÉCURITÉ INFORMATIQUE
Impacts financiers
Interruption de la production
Modification des paramètres
de fabrication
Impacts juridiques
et réglementaires
Impacts
organisationnels
Impacts sur l’image
et la réputation
Sécurité
des S.I.
Dommages matériels
et/ou corporels
Responsabilité civil ou
pénale
Impact
environnemental
Pollution du site de
production et de
l’environnement
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• Anti-virus
• Anti-Spyware,
• Anti-rootkids
• …
• Détecter les vulnérabilités
• Appliquer les Correctifs
• Sondes IDS
• Analyse des traces
•Supervision, Veille,
•Surveillance
• Firewall
• Compartimenter le
réseau et les systèmes
• Sécuriser et certifier
les échanges (VPN /
Mails chiffrés)
• Former et sensibiliser les
utilisateurs
• Consignes en cas
d’attaque ou de doutes
• Mise en œuvre de
procédures de sécurité
• Plan de continuité
•Sauvegarde et protection des supports
•Redondance des systèmes
• Classifier les données
• Analyse de risques
• Protéger des données
• Accès restrictifs
Gestion de la sécurité (non exhaustif)
Données
•Protéger et isoler
les réseaux sans fil
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES
D’INFORMATION
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Denis Virole Telindus et Jean-Louis Brunel
DÉCLINAISON DES BONNES PRATIQUES
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source : Jean-Louis Brunel
Détection d’intrusion
Centralisation des logs
Audit / Tests intrusifs
Cours 3A Cours 4A
APPROCHE SÉCURITÉ
Difficultés d’appliquer les standards de sécurité des
systèmes d’information de gestion
Une approche différente à construire pour les systèmes
d’information industriels « tout en adaptant les recettes
existantes de sécurité »
La gestion du risque, la maîtrise des techniques de
sécurisation deviennent des compétences
indispensables pour les entreprises dans les secteurs
industriels.
22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Chiffres
Statistiques
Caractéristiques
des SI
Industriels
Vulnérabilités
des SI
Industriels
Domaines
d’exploitation
Impacts majeurs
Évolution de la
sécurité des SI
SI : Systèmes d’Information
MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ - PDCA -27001
FONCTION RSSI : RÔLES ET MISSIONS - POSITIONNEMENT
DIFFICULTÉS DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Concevoir et manager un dispositif de sécurité adapté nécessite :
– Une bonne connaissance / évaluation des risques
– Une approche globale et transversale faisant interagir les fonctions
Direction Générale, Direction de la Sécurité des Systèmes
d'Information, Direction du Contrôle Interne et Direction de l'Audit
– Un modèle de conception dynamique qui intègre l’ évolution des
architectures et des menaces.
Une problématique complexe
PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le SMSI (Système de Management de la Sécurité de l’Information) doit être
cohérent avec les objectifs métiers de l’organisme et cohérent avec le
système de management de la qualité
La sécurité du SI doit être abordée d’une manière globale avec une
volonté affichée et un appui de la direction
Les seules réponses techniques à la problématique sécurité sont insuffisantes si
elles ne sont pas sous-tendues par une approche structurée intégrant les
composantes :
Stratégique
Économique
Organisationnelle
Humaine
27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
Les priorités portent désormais davantage sur les
aspects d’organisation et de management.
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION - SMSI
Norme ISO-27001
28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION - SMSI
Norme ISO-27001
29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION - SMSI
30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Phase PLAN - Fixer des objectifs et des plans d'actions
Identification des actifs ou des biens ;
Analyse de risques ;
Choisir le périmètre
Phase DO - Mise en œuvre et exploitation des mesures et de
la politique
Établir un plan de traitement des risques ;
Déployer les mesures de sécurité ;
Former et sensibiliser les personnels ;
Détecter les incidents en continu pour réagir rapidement.
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION : SMSI
31 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Phase CHECK - Mesurer les résultats issus des actions mises
en œuvre
Audits internes de conformité et d’efficacité du SMSI (ponctuels et planifiés) ;
Réexaminer l’adéquation de la politique SSI avec son environnement ;
Suivre l'efficacité des mesures et la conformité du système ;
Suivre les risques résiduels.
Phase ACT
Planifier et suivre les actions correctrices et préventives
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION : SMSI
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION : SMSI
33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTIERS EN CYBER SÉCURITÉ
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La cybersécurité est transverse à toute activité qui requiert de l’informatique et des
réseaux de télécommunications, de la TPE à la multinationale, dans le domaine privé
ou public.
Exploitants
Administrateurs
Techniciens supports
Direction systèmes d’information
et télécom
Responsable SSI - RSSI : gouvernance
et gestion de crise
Etudes et services d’ingénierie
MOA/MOE
Ingénieurs d’étude SSI : analyse de
risque, politique de sécurité, audit
Opérationnels SSI :
intégration,
configuration,
administration,
supervision et
réaction
Positionnement des métiers au sein des organisations
Fonctions
MÉTIERS EN CYBER SÉCURITÉ
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Gouvernance de la sécuritéGouvernance de la sécurité
Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression
de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la
gouvernance globale de l’organisation.
Exploitation / maintien de
condition de sécurité
Validation / audit
organisationnel / test intrusion
Expression de besoin /
maitrise d’ouvrage (MOA)
Conception d’architecture
/ maitrise d’œuvre (MOE)
Développement logiciel ou
composant matériel
veille des vulnérabilités
/ analyse forensics
Intégration de produit /
déploiement d’architecture
Cartographie des métiers et compétence en SSI
MÉTIERS EN CYBER SÉCURITÉ
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
b. Cartographie des métiers et compétence en SSI
Étude
Exploitation /
Maintenance
Gestion des
incidents, des crises
MétiersPhases
Implémentation,
déploiement
Conception
Auditeur organisationnel
Auditeur technique
RSSI, Technicien support
Investigateur numérique
Ingénieur de sécurité, architecte de
sécurité, développeur de sécurité,
Consultant
Analyste dans un SOC
LA FONCTION DE RSSI
Définition des principes ou règles
applicables
Coordination des actions
Animation du réseau de
correspondants
Evaluation régulière du niveau de
sécurité
Intégration de la sécurité dans les
projets
Evaluation des risques
Veille sécuritaire
Surveillance – gestion des incidents
Promotion de la politique de sécurité
Coordination des actions de
sensibilisation
Conseil en matière de sécurité
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORGANISATION DE LA SÉCURITÉ
38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉMUNÉRATION DU RSSI
(analyse effectuée 2009 - Assises de la sécurité)
Une répartition des
salaires qui varie peu
avec un salaire moyen
quasi stable à 73,8 k€
contre 73,4 k€ en 2008.
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SOURCE ZDNET 2011
68K€ pour un RSSI avec 5 à 8 ans d'expérience soit 4.533 € net par
mois. 85K€ de salaire moyen entre 10 et 15 ans d'expérience soit 5.666 € net
par mois … et plus de 100K€ au-delà de 15 ans d'expérience.
FREINS A LA SECURITE : CLUSIF 2014
40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le premier frein principal reste le manque de
moyens budgétaires
LES DIFFICULTÉS DE LA SÉCURITÉ
Les usagers ont des besoins spécifiques en sécurité informatique,
mais en général ils ont aucune expertise dans le domaine
L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de
comprendre ses besoins et de mettre en œuvre les moyens
adéquates
Performance et confort d’utilisation Versus Sécurité
Les mécanismes de sécurité consomment des ressources
additionnelles
La sécurité interfère avec les habitudes de travail des usagers
Ouverture vers le monde extérieur en constante progression
Les frontières de l’entreprise sont virtuelles ex : télémaintenance
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41
LES DIFFICULTÉS DE LA SÉCURITÉ
Centre de coût versus centre de profit
La justification des dépenses en matière de sécurité n’est pas évidente
Le retour sur investissement en sécurité est un exercice parfois difficile
La sécurité n’est pas une fin en soi mais résulte d’un compromis
entre :
- un besoin de protection ;
- le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…)
- les fonctionnalités toujours plus tentantes offertes par les technologies
(sans fil, VoIP…)
- un besoin de mobilité (technologies mobiles…)
- des ressources financières et des limitations techniques
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés42
LA SÉCURITÉ EST UN PROCESSUS CONTINU
La sécurité ne se met pas en œuvre en une seule fois
Elle fait partie intégrante du cycle de vie du système
Il s’agit d’un processus itératif qui n’est jamais fini et doit être
corrigé et testé régulièrement
La sécurité n’est pas une activité ponctuelle :
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés43
« La sécurité absolue est inatteignable, c’est un
voyage, pas une destination »
PAUSE-RÉFLEXION
Avez-vous des questions ?
44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Périmètre
axes
stratégiques
Système de
management de
la sécurité -
PDCA -27001
Difficultés et
freins de la
sécurité des
systèmes
d’information
Fonction RSSI :
Rôles et
missions -
positionnement
Enquête
CLUSIF 2014
SI : Systèmes d’Information
MODULE N°3 : GESTION DES RISQUES
46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTHODOLOGIE - ANALYSE DE RISQUES
ÉTAT DES LIEUX – CLUSIF 2014
DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS
MÉTHODES D’ANALYSE DE RISQUES
PRÉSENTATION DE LA NORME ISO/IEC 27005
ANALYSE DE RISQUES
La première étape du management de la sécurité des systèmes
d'information doit rendre intelligible les risques qui visent une
organisation, l’analyse de risques
Objectifs recherchés
Inventaire des actifs sensibles (informations : données, applications)
Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de
prendre les décisions stratégiques adaptées
Enclencher les actions associées par ordre de priorité
L’analyse des risques répond à un besoin de gouvernance des
risques et représente un outil de pilotage / d’aide à la décision.
47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Minimiser les risques encourus par l’organisme du fait de
son système d’information. Faire que ces risques soient
acceptables
RAPPEL : MÉTHODOLOGIE
48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Liste des biens sensibles
Liste des menaces et modes
opératoires
Listes des impacts et probabilités
Liste des contre-mesures
1 : Quoi protéger et pourquoi ?
2 : De Quoi protéger ?
3 : Quels sont les risques ?
4 Comment protéger l’entreprise ?
INVENTAIRE DES DONNÉES
Inventaire des données:
Classifier les données. Par exemple : Publique, Interne, Confidentielle
permettra de définir les protections, le mode de stockage, d’accès et de
diffusion des données en fonction de leur classification.
Inventaire de l’infrastructure:
Les équipements Logiciels et Matériels
Réseaux
Inventaire des canaux d’échange et mode de communication
Mode, fonctionnement, Échanges chiffrés
Matrice des flux
49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANALYSE DE RISQUES
Nouvelle activité de
l’entreprise
Nouvelle architecture
technique
Nouveau système
d’information
Identification des enjeux Analyse de la menace
Identification des risques majeurs
Caractérisation du S.I.
(ressources fonctionnelles et techniques)
Identification des vulnérabilités potentielles majeures
Quels moyens engager ?
SERVICES DE SECURITE
Système d’information
existant
Profils fonctionnels de sécurité
S.I.
Procédures
Mécanismes
techniques
Plans
50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANALYSE DE RISQUES
51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ETAT DES
LIEUX –
SOURCE
CLUSIF 2014
52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ETAT DES LIEUX – SOURCE CLUSIF 2014
53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Vulnérabilités
Menaces
Impact
RISQUE
DÉFINITIONS : RISQUES
54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITIONS : NIVEAU DE RISQUES
55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTRIQUE GRAVITÉ (IMPACTS)
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Niveau de Gravité (exemple dans le monde de la santé)
Niveau Valeur Description
1 Mineure
Inconfort patient, gène ponctuelle dans l’activité, perte financière négligeable, absence de plainte,
événement pas médiatisé ou sans impact sur l’image
2 Significative
Perte de chance patient mais limitée et réversible, surcharge de travail ou désorganisation modérée et
temporaire, impact financier modéré, contentieux, dégradation passagère d’image ou de confiance
3 Importante
Perte de chance pour les patients d’un service, avec mise en danger immédiate mais sans atteinte
irréversible, désorganisation importante et durable de l’activité, perte financière importante, atteinte à la
vie privée d’un patient/salarié ou condamnation pénale et/ou financière, perte d’image ou de confiance
avec mise en cause de l’établissement ou d’un organisme tiers
4 Critique
Mise en danger des patients ou menace du pronostic vital, arrêt prolongé d’une part importante de
l’activité, perte financière élevée pouvant mettre en cause la pérennité de l’établissement, atteinte à la
vie privée de plusieurs patients/salariés ou condamnation pénale et/ou financière avec risque
judiciaire, rejet définitif de la capacité de l’établissement à offrir le service attendu
La gravité est l’estimation de la hauteur des effets d’un événement redouté ou d’un risque. La
gravité (ou impact) représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et du
caractère préjudiciable des impacts potentiels.
MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ
57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Gravité (Impact)
Qualité de prise en
charge
Organisation Pertes Financières
Atteinte à l‘Image
Engagement de
Responsabilité
1 Mineure
Sans effet sur l’état du
patient
Sans effet sur les
processus de l’activité
Sans impact financier
Visible uniquement
en interne
Divulgation limitée
2 Significative
Impact sur la santé
augmentant la durée
d’hospitalisation ou de ré
hospitalisation
Fonctionnement
processus perturbé –
indisponibilité des
ressources
Pertes financières < 1%
du budget global
Réclamations ou plaintes de patients
signalant un dysfonctionnement
grave – visible par peu de patients
3 Importante
Aggravation de l’état de
santé - chance limitée
pour une victime
Arrêt temporaire de
l’activité, fermeture
partielle
Pertes financières <
5% du budget global
Réclamations ou plaintes de patients
liés au non respect des bonnes
pratiques de prise en charge -
débouchant sur une sanction
disciplinaire – visible au niveau local
4 Critique
Perte de chance pour un
patient, décès, effet
irréversible sur la santé
Arrêt prolongé de l’activité,
fermeture de
l’établissement
Pertes financières >
10% du budget global
Visible par un nombre important de
patients / niveau régional ou national
- Plainte de victimes débouchant sur
la condamnation civile ou pénale
d'un responsable
MÉTRIQUE VRAISEMBLANCE
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Echelle de vraisemblance
Niveau Valeur Description
1 Exceptionnel Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions
très difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années)
2 Peu probable Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions
difficiles ou malveillance présentant peu d’intérêt
3 Plausible Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de
probabilité très plausible pour un incident involontaire (au moins une fois par an)
4 Quasi certain Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en
cas de malveillance
La vraisemblance est l’estimation de la possibilité qu’une menace se produise
La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités
des supports face aux menaces et des capacités des sources de risques à les exploiter.
NIVEAU DE RISQUE
59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Echelle de niveaux de risque
Niveau Valeur Description
1 Limité
les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter
malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur,
incompréhension, stress, affection physique mineure…).
2 Modéré
les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir
surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de
biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…).
3 Fort
les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles
pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler,
affection psychologique ou physique de longue durée, décès…).
Exceptionnel Peu probable Plausible Quasi-certain
Critique
Importante
Significative
Mineure
Vraisemblance1 2 3 4
1
2
3
4
Gravité
60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CRITERES DICP (DISPONIBILITE, INTEGRITE,
CONFIDENTIALITE, PREUVE)
Disponibilité (D) : La disponibilité des SI permet de garantir en
permanence la communication et l’échange des données
Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité des
données et des traitements. Les SI doivent garantir que les informations
sont identiques et inaltérables dans le temps et l’espace et certifier leur
exhaustivité, leur validité et leur cohérence.
Confidentialité (C) : La confidentialité permet de réserver l’accès aux
données aux seules personnes autorisées.
61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTRIQUE DIC
62 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Disponibilité
Valeur Description
1 Un arrêt max de 72 heures
2 Un arrêt max de 24 heures
3 Un arrêt max de 12 heures
4 Un arrêt max de 4 heures
Intégrité
Valeur Description
1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative
2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires,
délais) - Quelques erreurs sont tolérées.
3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un
client, ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées.
4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée.
Confidentialité
Valeur Description
1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique
2 Une perte de confidentialité des informations est dommageable – accès protégé
3 Une perte de confidentialité des informations est grave – accès restreint - info nominative
4 Une perte de confidentialité des informations est très grave - secret médical est renforcé
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
63 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITIONS
64 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Menace: attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations)
entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise de
l'attaquant, ses ressources disponibles et sa motivation.
Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte
motivation si les flux financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise
nécessaire),...
Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de la
sécurité de l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique de
sécurité), humaine (ex: pas de formation des personnels), logicielles ou matérielles (ex: utilisation de
produits peu fiables ou non testés),...
Exemple: les fichiers sur les ordinateurs portables ne sont pas protégés en lecture.
Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé
financièrement, ou dans une échelle qui dépend du contexte
Impact financier ou pertes financières
Impact sur la production
Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités
Impact sur l’organisation de l’établissement (désorganisation …)
SCÉNARII GÉNÉRIQUES DE MENACES
Accident physique
Malveillance physique
Perte de servitudes essentielles
Perte de données
Indisponibilité d'origine logique
Divulgation d'informations en interne
Divulgation d'informations en externe
Abus ou usurpation de droits
Fraude
Reniement d'actions
Non-conformité à la législation
Erreurs de saisie ou d'utilisation
Erreurs d’exploitation, de conception
Perturbation sociale
Attaque logique du réseau
Accident
Erreur
Malveillance
Origines AEM
65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION
Les menaces pesant sur l’intégrité, la disponibilité ou la confidentialité des informations
sont souvent liées à des erreurs humaines (du fait de la négligence ou de l’ignorance).
Les erreurs d’implémentation des systèmes sont aussi à l’origine d’incidents
Exemple : Un défaut d’intégrité de la donnée de santé, comme l'altération accidentelle ou illégitime d'un
dossier de santé d’un patient ou du paramétrage d’un équipement biomédical, est susceptible
d'entraîner des erreurs médicales, voire un préjudice vital envers le patient.
Négligence du personnel dans la protection des données par méconnaissance des
risques.
Exemple : A cause de cette ignorance du risque, des données médicales se sont retrouvées indexées sur
les moteurs de recherche internet début 2013 dans un hôpital :
Le premier fait est le recours à un hébergeur externe non agréé, par méconnaissance des
risques du stockage des données médicales à l’extérieur de l’établissement ; il n’a pas été
tenu compte du cadre réglementaire, du « décret hébergeurs » (Décret n° 2006-6 du 4 janvier
2006 relatif à l’hébergement de données de santé à caractère personnel).
Le second fait est la négligence de l’hébergeur qui dans la conception de son système de
stockage a rendu possible que les dossiers médicaux soient visibles par les moteurs de
recherche.
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION
Introduction d'un virus dans le système d’information. Une grande partie des incidents
de sécurité informatique impliquent la propagation de virus. Des moyens techniques
peuvent en limiter la propagation (anti-virus) mais le facteur humain ou la conception des
systèmes peuvent faciliter leur diffusion.
Exemple : En mars 2009, le virus « Conficker » a infecté plusieurs millions d’ordinateurs et on comptait,
parmi les cibles, un grand nombre d’établissements de santé en France.
Vols externes. Le vol de données par des personnes extérieures peut se faire par une
entrée physique dans l’hôpital par exemple mais également à distance via Internet. Des
failles de sécurité dans les applications ou le réseau peuvent permettre à un hacker
d’accéder aux données stockées sur les serveurs d’un établissement, de les subtiliser et,
dans certains cas, de perturber le fonctionnement du SI.
D’autres menaces existent : le vol interne, les dommages matériels intentionnels ou
non, la défaillance de connexion Internet ; il faut aussi indiquer le bug d’un logiciel, la
panne d’un matériel informatique ou du réseau, qui peuvent conduire à un arrêt complet
du système, si les mesures de sécurité sont inexistantes ou incomplètes
Exemples
http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/
http://archives.nicematin.com/nice/un-piratage-informatique-dejoue-au-chu-de-nice.1986813.html
67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DEFINITIONS
D, I, C
Les représentants métiers (maîtrise d’ouvrage)
• S’assure de la représentation exhaustive des actifs les plus sensibles du SI à ces critères
• Confirme/infirme leur perception sur les besoins en Disponibilité, Intégrité, Confidentialité de
ces actifs sensibles
Evènements redoutés
Les représentants métiers et SI de l’établissement indique quels évènements sont à redouter dans
la situation actuelle de leur SI
Exemple Données médecine du travail: Modification non désirée des données : le statut d’aptitude des
employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique
(licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...)
Source de menace
Les représentants métiers et SI de l’établissement choisissent un type de menace (il est possible
d’en ajouter)
Vraisemblance/Gravité
Les représentants métiers et SI de l’établissement évaluent selon des grilles définies
Niveau de risque
Il est calculé automatiquement selon une matrice (voir après)
68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITIONS : NIVEAU DE RISQUES
69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TRAITEMENT DU RISQUE
Traitement du risque: processus de sélection et de mise en œuvre
visant à modifier le risque, ce qui signifie une réduction du risque, un
transfert du risque ou une prise de risque.
Réduction du risque: processus visant à minimiser les conséquences
négatives et les opportunités d’une menace.
Transfert de risque: partage avec une autre partie de la charge de la perte
d’un risque particulier (souscription d’assurance par exemple)
Evitement du risque : refus du risque
Acceptation du risque: décision d’accepter un risque traité selon les critères
de risques
70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Gestion des
risques
État des lieux –
CLUSIF 2014
Norme
ISO/IEC
27005
Définitions,
métriques et
illustrations
Méthodes
d’analyse de
risques
MODULE N°4 : MÉTHODE D’ANALYSE DE
RISQUES EBIOS
73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRÉSENTATION DE LA MÉTHODE D’ANALYSE DE RISQUES EBIOS
ILLUSTRATIONS
PRÉSENTATION D’EBIOS
Expression des besoins et identification des objectifs de sécurité
La méthode EBIOS
créée en 1995 par le SCSSI ;
acteur majeur de la gestion du risque en France ;
aboutit à la version 2.0 en 2004 ;
compatible avec la norme ISO/IEC 27002
Méthode d’appréciation et de traitement des risques
Peut être utilisée pour un système existant ou à concevoir
Fournit une terminologie et des concepts communs
74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FINALITÉS D’UNE ANALYSE DE RISQUES
75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRÉSENTATION DE LA MÉTHODE EBIOS
76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
1.Étude du contexte
2. Etude des
événements
redoutés
3. Étude des
scénarios de
menaces
4. Etude des
risques
5. Etude des
mesures de
sécurité
EBIOS MODULE 1 : ETUDE DU CONTEXTE
Définir le cadre
77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Cadrer l’étude des risques
Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ?
Quel est l’objectif de l’étude (son but et les livrables attendus) ?
Comment organiser le travail (actions, rôles, charges…) ?
Décrire le contexte général
Que sait-on du contexte (externe et interne) ?
Comment les risques sont-ils gérés actuellement ?
Délimiter le périmètre de l’étude
Quelles sont les limites du périmètre étudié ?
Qui doit participer à l’étude ?
Identifier les paramètres à prendre en
compte
Quels sont les référentiels applicables ?
Quelles sont les contraintes qui pourraient impacter l’étude ?
Identifier les sources de menaces
Contre quels types de sources décide-t-on de se protéger ?
Quels sont les exemples illustratifs ?
EBIOS : SOURCES DE MENACES
78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : MESURES EXISTANTES
79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : ETUDE DU CONTEXTE
Préparer les métriques
80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Définir les critères de sécurité et
élaborer les échelles de besoins
Quels critères de sécurité devront être étudiés (D, I, C…) ?
Quelle est la définition de chacun des critères retenus ?
Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ?
Élaborer une échelle de niveaux de
gravité
Quelle échelle utilisera-t-on pour la gravité ?
Élaborer une échelle de niveaux de
vraisemblance
Quelle échelle utilisera-t-on pour la vraisemblance ?
Définir les critères de gestion des
risques
Sur quelles règles s’accorde-t-on pour gérer les risques (manière
d’estimer, règles d’ordonnancement, critères d’évaluation…) ?
81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Critères
DIC
Vraisemblance
EBIOS MODULE 1 : MÉTRIQUES SUR LES BESOINS DE
SÉCURITÉ
EBIOS MODULE 1 : MÉTRIQUES SUR LES NIVEAUX
DE GRAVITÉ
82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ECHELLE DE NIVEAUX DE GRAVITÉ
Niveau Valeur Description
1 Limité
les personnes concernées pourraient connaître des désagréments
significatifs, qu’elles pourront surmonter malgré quelques difficultés
(frais supplémentaires, refus d’accès à des prestations commerciales,
peur, incompréhension, stress, affection physique mineure…).
2 Modéré
les personnes concernées pourraient connaître des conséquences
significatives, qu’elles devraient pouvoir surmonter, mais avec de
sérieuses difficultés (détournements d’argent, interdiction bancaire,
dégradation de biens, perte d’emploi, assignation en justice, aggravation
de l’état de santé…).
3 Fort
les personnes concernées pourraient connaître des conséquences
significatives, voire irrémédiables, qu’elles pourraient ne pas
surmonter (péril financier tel que des dettes importantes ou une
impossibilité de travailler, affection psychologique ou physique de longue
durée, décès…).
EBIOS MODULE 1 : CRITÈRES DE GESTION DES
RISQUES
83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : ETUDE DU CONTEXTE
Identifier les biens
84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Identifier les biens essentiels, leurs
relations et leurs dépositaires
Quels sont les informations et processus essentiels aux métiers ?
Quels sont les liens (inclusions, dépendances…) entre ces biens ?
Quel est le responsable de chacun de ces biens essentiels ?
Identifier les biens supports, leurs
relations et leurs propriétaires
Sur quoi reposent les biens essentiels (systèmes informatiques et
de téléphonie, organisations, locaux) ?
Quels sont les liens (inclusions, dépendances…) entre ces biens ?
Quel est le responsable de chacun de ces biens supports ?
Déterminer le lien entre les biens
essentiels et les biens supports
Quel est le lien entre chaque bien essentiel et bien support ?
Identifier les mesures de sécurité
existantes
Quels sont les mesures de sécurité mises en œuvre ou prévues ?
Sur quels biens supports reposent-elles ?
EBIOS MODULE 1 : IDENTIFIER LES BIENS
85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : BIEN ESSENTIEL
Processus
métiers
Processus essentiels Informations essentiels concernées Dépositaires
Gestion des
études
Créer des plans et
calculer des structures
Dossier technique d'un projet Bureau
d'études
Paramètres techniques (pour les
calculs de structure)
Plan technique
Résultat de calcul de structure
Responsable du
Bureau des
études
86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : SCHÉMA GÉNÉRAL DU SYSTÈME
87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : BIEN SUPPORT
88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 1 : SYNTHÈSE DU MODULE 1
Cadrer l’étude:
Décrire le contexte, définir le périmètre
Sélectionner les sources de menaces retenues
Préparer les métriques:
Définir les critères de sécurité (D, I, C, …)
Définir les échelles
Définir les critères de gestion des risques
Identifier les biens:
Identifier les biens essentiels (immatériels)
Identifier les biens supports (supportent les biens essentiels)
Relier les biens essentiels aux biens supports via un tableau de croisement
Identifier les mesures de sécurité existantes
89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 2 : ETUDE DES ÉVÉNEMENTS
REDOUTÉS
90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Analyser tous les événements
redoutés
Quels sont les besoins de sécurité de chaque bien essentiel ?
Quelles sources de menaces peuvent les affecter ?
Quels seraient les impacts si l’événement se produisait ?
Quelle serait la gravité d’un tel événement ?
Évaluer chaque événement redouté Quelle est la hiérarchie des événements redoutés identifiés ?
Quelles sont les craintes ?
EBIOS MODULE 2 : EVÈNEMENTS REDOUTÉS
91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Evénement redouté : scénario avec un niveau de gravité donné, représentant une
situation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité,
assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s).
Exemple : un journaliste parvient à obtenir le budget prévisionnel de l’organisme, jugé confidentiel, et
publie l’information dans les media, portant atteinte à l’image de l’organisme et faisant chuter le cours en
bourse.
Exemple : Un employé peu sérieux ou un concurrent atteint la confidentialité des informations liées au
processus d’établissement des devis qui doit rester limitée aux personnels et partenaires. Cela
provoquerait la perte d’un marché, une action en justice ou une perte de crédibilité. Cet événement
redouté est jugé de gravité importante.
EBIOS MODULE 2 : APPRÉCIER LES ÉVÈNEMENTS
REDOUTÉS
92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE
MENACES
93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Analyser tous les scénarios de menaces
Quelles menaces peuvent s’exercer sur chaque bien support ?
Quelles sources de menaces peuvent en être à l’origine ?
Quelles sont les vulnérabilités potentiellement utilisables ?
Y a-t-il des prérequis pour que la menace se réalise ?
Quelle est la vraisemblance des scénarios ?
Évaluer chaque scénario de menace Quelle est la hiérarchie des scénarios de menaces identifiés ?
Comment cela peut-il arriver ?
EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE
MENACES
Cette activité sélectionne les méthodes d'attaque pertinentes pour le
système cible.
Une méthodes d'attaque
est caractérisée par les critères de sécurité qu'elle peut affecter ;
est associée à des éléments menaçants caractérisés par :
leur type (naturel, humain ou environnemental)
leurs causes possibles (accidentelle, délibérée) ;
a un potentiel d'attaque.
94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 3 : SCÉNARIOS DE MENACES
Analyse des menaces
95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MAT : matériel, LOG : Logiciel, CAN : Canaux interpersonnels, PER : Personnes
EBIOS MODULE 3 : SCÉNARIOS DE MENACES
Analyse des vulnérabilités
96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 3 : SCÉNARIOS DE MENACES
97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Scénario de menace : scénario, avec un niveau donné, décrivant des modes opératoires. Il
combine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en être
à l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent.
EBIOS MODULE 4 : ÉTUDE DE RISQUES
Apprécier les risques
98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Analyser les risques
Quels scénarios s’appliquent aux événements redoutés ?
Y a-t-il des mesures existantes pour traiter ces risques ?
Quelle est la gravité des risques ?
Quelle est la vraisemblance des risques ?
Évaluer les risques Quelle est la hiérarchie des risques identifiés ?
EBIOS MODULE 4 : ÉTUDE DE RISQUES
99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Risque : scénario, avec un niveau donné,
combinant un événement redouté et un ou plusieurs scénarios de menaces.
EBIOS MODULE 4 : ÉTUDE DE RISQUES
101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Risque : scénario, avec un niveau donné,
combinant un événement redouté et un ou plusieurs scénarios de menaces.
EBIOS MODULE 4 : ÉTUDE DE RISQUES
102
Risque
(module 4)
Événement redouté
(module 2)
Scénarios de menaces
(module 3)
Bien essentiel
(module 1)
Critère de sécurité
(module 1)
Biens supports
(module 1)
Tableau de croisement
(module 1)
Sources de menaces
(modules 1, 2 et 3)
Risque : scénario, avec un niveau donné,
combinant un événement redouté et un ou plusieurs scénarios de menaces.
Gravité
(module 2)
Vraisemblance
(module 3)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
Éléments dimensionnant d’une étude de risques
103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Choisir les options de traitement de
chaque risque
Comment choisit-on de traiter chaque risque (réduire,
transférer, éviter, prendre) ?
Analyser les risques résiduels Quels risques resteraient si les objectifs étaient satisfaits ?
Identifier les objectifs de sécurité
EBIOS MODULE 4 : ÉTUDE DE RISQUES
Décisions
Evitement
Réduction
Prise
Transfert
105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 4 : ÉTUDE DE RISQUES
106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EBIOS MODULE 5 : ÉTUDE DES MESURES
107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Formaliser les mesures de
sécurité à mettre en œuvre
Déterminer les mesures de sécurité
Quelles mesures doivent être mise en place ?
Servent-elles à la prévention, la protection, ou la récupération ?
Sur quels biens supports reposent-elles ?
Analyser les risques résiduels
Quelles sont les nouvelles valeurs de gravité et vraisemblance ?
Quels sont les scénarios toujours possibles ?
Établir une déclaration
d'applicabilité
Les paramètres à prendre en compte ont-ils bien été traités ?
EBIOS MODULE 5 : ÉTUDE DES MESURES
108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mettre en œuvre les mesures de
sécurité
Élaborer le plan d'action et suivre la
réalisation des mesures de sécurité
Comment planifie-t-on la mise en place des mesures ?
Qui pilote chaque action ?
Où en est la mise en place des mesures de sécurité ?
Analyser les risques résiduels
Quelles sont les nouvelles valeurs de gravité et vraisemblance ?
Quels sont les scénarios toujours possibles ?
Prononcer l'homologation de
sécurité
La manière dont les risques ont été gérés est-elle satisfaisante ?
Les risques résiduels sont-ils acceptables ?
Bien essentiel
Information ou processus jugé comme important pour l'organisme. On appréciera ses
besoins de sécurité mais pas ses vulnérabilités.
Exemples : le dossier patient et les données médicales, les informations personnelles des
patients
Besoin de sécurité
Définition précise et non ambiguë du niveau d'exigences opérationnelles relatives à un bien
essentiel pour un critère de sécurité donné (disponibilité, confidentialité, intégrité…).
Exemples : les données médicales d’un patient ont un besoin de niveau de confidentialité
élevé.
Impact
Conséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme
et/ou sur son environnement. Exemple : la divulgation externe de données patient peut
nuire gravement à l’image de l’établissement.
Evénement redouté
Scénario générique présentant une situation crainte par un organisme. Il combine un bien
essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et
de source(s) de menace(s).
Exemple Données médecine du travail: Modifica on non désirée des données : le statut
d’ap tude des employés pourrait être faussé avec toutes les conséquences possibles sur leur
carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire
invalidité́ ou décès...)
Risque : scénario, avec un niveau donné,
combinant un événement redouté et un ou plusieurs scénarios de menaces.
Gravité
Estimation de la hauteur des effets d’un événement redouté ou d’un risque. Elle représente
les conséquences.
Exemple : Négligeable : l’organisme surmontera les impacts sans difficultés.
Limitée : l’organisme surmontera les impacts malgré quelques difficultés.
Importante : l’organisme surmontera les impacts avec de sérieuses difficultés.
Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée.
Vraisemblance
Estimation de la possibilité qu’un scénario de menace ou un risque se
produise. Elle représente la force d’occurrence.
Exemple : Minime : cela ne devrait pas se (re)produire.
Significative : cela devrait se (re)produire un jour ou l’autre.
Forte : cela pourrait se reproduire.
Maximale : cela va certainement se reproduire.
Critère de sécurité
Caractéristique d'un bien essentiel permettant d'apprécier ses différents besoins de sécurité (disponibilité, confidentialité, intégrité…).
Source de menace
Chose ou personne à l'origine de menaces. Elle peut notamment être caractérisée par son type (humain ou environnemental), par sa cause (accidentelle ou délibérée) et selon le
cas par les ressources dont elle dispose - son expertise, sa motivation…
Bien support
Bien sur lequel reposent des biens essentiels. On distingue
notamment les systèmes informatiques, les organisations
et les locaux. On appréciera ses vulnérabilités mais pas ses
besoins de sécurité.
Menace
Moyen type utilisé par une source de menace.
Exemples : écoute passive d’un canal informatique ou de
téléphonie ; modification d’un logiciel.
Vulnérabilité
Caractéristique d'un bien support qui peut constituer une
faiblesse ou une faille au regard de la sécurité des systèmes
d'information.
Scénario de menace
Scénario, avec un niveau donné, décrivant des modes
opératoires. Il combine, un bien support, un critère de
sécurité, des sources de menaces susceptibles d’en être à
l’origine, assorti des menaces et des vulnérabilités
exploitables pour qu’elles se réalisent.
Exemple : vol de supports ou de documents du fait de la
facilité de pénétrer dans les locaux.
109
MODULE N°4 : POLITIQUES DE SÉCURITÉ
110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉFINITION D’UNE POLITIQUE CADRE ET DES POLITIQUES CIBLÉES DE
SÉCURITÉ
EXEMPLES DE POLITIQUES DE SÉCURITÉ
NORMES DE SÉCURITÉ
NORMES 27001, 27002
POLITIQUE DE SÉCURITÉ
Politique de sécurité
Définition formelle de la position d'une entreprise en matière de sécurité.
« Ensemble des règles formelles auxquelles doivent se conformer les personnes
autorisées à accéder à l’information et aux ressources d’une organisation »
(RFC 2196)
Finalité d’une politique de sécurité ?
« Réduire les risques »
« Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? »
« Définir les règles du jeu »
« Communiquer , faire accepter et faire respecter les règles du jeu »
111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ
Composantes d’une politique de sécurité
Ensemble des principes juridiques, humains, organisationnels et techniques qu’il
est recommandé de mettre en œuvre pour créer, gérer, protéger le système
d’information
Réussite de mise en œuvre d’une politique de sécurité
Implication forte de la direction
En accord avec les directions fonctionnelles et les équipes techniques
Analyse des risques pleinement étudiée
112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ – CLUSIF 2014
113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les politiques de sécurité sont de trois types :
– Communication
– Informatique
– Organisation
POLITIQUE DE SÉCURITÉ
114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CLUSIF 2014
Les politiques de communication prennent les formes suivantes :
– Sensibilisation (ex : guide de l’utilisateur, Page Intranet)
– Responsabilisation (ex : élaboration de charte de sécurité)
– Formations ciblées par métier
POLITIQUE DE SÉCURITÉ
115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CLUSIF 2014
Les politiques touchant aux infrastructures informatiques s'articulent
autour des thèmes suivants :
– Systèmes et réseaux sécurisés : organisation de la sécurité
opérationnelle, architectures de sécurité, études de solutions
techniques, mise en œuvre (intégration, administration, exploitation,
supervision)
– Intégration de la sécurité dans la conduite de projets : définition
méthode, actions menées sur tout le cycle conception – développement
- intégration, clauses contractuelles avec les fournisseurs
POLITIQUE DE SÉCURITÉ
116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ – CLUSIF 2014
117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les politiques touchant à l'organisation de la sécurité portent sur les
aspects suivants :
– Structures, organigramme, comités de sécurité
– Responsabilités, fonctions, fiches de mission
– Management du changement
– Plan de continuité d'activités, Plan de secours, Gestion de crise
POLITIQUE DE SÉCURITÉ
118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EXEMPLES DE POLITIQUES DE SÉCURITÉ CIBLÉES
Politique d’authentification (gestion des comptes)
Politique d’autorisation (gestion des habilitations)
Politique de gestion de la continuité des services informatique
Politique d’exploitation des applications et de gestion du réseau
Politique d’acquisition, développement et maintenance des applications
Politique d’intervention par des tiers externes pour le personnel informatique
Politique de sécurité des ressources humaines
Politique de respect de la réglementation interne et externe
119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EXEMPLE : POLITIQUE DE SÉCURITÉ GÉNÉRALE
120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NORMES DE SÉCURITÉ
121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NORMES ET CERTIFICATIONS DE SÉCURITÉ
Pourquoi s’inspirer des normes ou des recueils de meilleures pratiques
en matière de sécurité ?
Avoir une approche structurée face à la complexité de la tâche
s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche,
Avoir des éléments communs (vocabulaire, concepts, …) avec tous les intervenants
dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants,
fournisseurs, partenaires, etc.
Bénéficier de l’expérience des meilleures pratiques (succès et erreurs du
passé)
Se comparer aux meilleures pratiques du moment
Référentiel de comparaison par rapport aux autres entreprises
122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
POLITIQUE DE SÉCURITÉ ET NORMES – CLUSIF 2014
123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
• ISO-27001 : SMSI
– Cycle de gestion de la SI dit « PDCA » PLAN-DO,CHECK-ACT de la roue de Deming
– Référentiel pouvant être utilisé pour auditer et certifier le système de management de
la sécurité
• ISO-27002 : « Code de pratiques pour la gestion de la sécurité de
l'information »
– propose des recommandations pour assurer la sécurité de l'information, sous la forme
d'objectifs de contrôles ou de mesures de sécurité
– 114 mesures de sécurité réparties en 14 chapitres
Normes ISO 27001 et ISO 27002
124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NORMES ISO 27001 ET ISO 27002
« ISO-27001 explique comment appliquer ISO-27002 »
125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La norme ISO/IEC 27002:2013
constitue un code de bonnes
pratiques. Elle est composée de
114 mesures de sécurité réparties
en 14 chapitres couvrant les
domaines organisationnels et
techniques ci-contre.
C’est en adressant l’ensemble de
ces domaines que l’on peut avoir
une approche globale de la
sécurité des S.I.
d. Code de bonnes pratiques pour le management de la sécurité de l’information (27002)
Politique de sécurité de
l’information
Organisation de la sécurité de
l’information
Contrôle d'accès
Sécurité liée aux
ressources humaines
Sécurité
opérationnelle
Acquisition, dévpt. et maint.
des SI
Sécurité physique et environnementale
Gestion des actifs
Conformité
Organisationnel
Opérationnel
Gestion de incidents liés à la
sécurité de l’information
Gestion de la continuité de
l’activité
Cryptographie
Sécurité des
communications
Relations avec les
fournisseurs
NORME ISO 27002
PAUSE-RÉFLEXION
Avez-vous des questions ?
127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Définition
d’une
politique de
sécurité
3 types de
politique de
sécurité -
exemples
Normes
27001,
27002
Normes de
sécurité
MODULE N°6 : PLAN D’ACTION ET
CONTRÔLES
129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PLAN D’ACTION SÉCURITÉ ET BUDGET
AUDIT DE SÉCURITÉ FONCTIONNEL
AUDIT DE SÉCURITÉ TECHNIQUE
TABLEAU DE BORD SÉCURITÉ
PLAN D’ACTION SÉCURITÉ ET BUDGET
Un plan d’actions peut découler :
d’une analyse de risques
d’un audit de sécurité organisationnel ou technique
Les objectifs de sécurité se déclinent en plan d’actions et projets :
Plan de continuité, protection des réseaux informatiques
SSO (Single Sign On), VPN (Virtual Private Network), Messagerie
sécurisée …
130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PLAN D’ACTION SÉCURITÉ ET BUDGET
131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Politique,
procédures
Sécurité
physique
DMZ
Réseau
Interne
Machin
e
Applicat
ion
Donn
éeChiffrement, mots de passe, droit d’accès par fichier/répertoire
Contrôle des entrées, test d’intrusion,
communication (https, ssh…), traçabilité…
Antivirus, Correctifs de sécurité, HIDS, Authentification
Sous-réseau, NIDS, VLAN…
Pare-feu, VPN, Zone démilitarisée…
Gardiens, verrous, contrôle d’accès…
Politique de sécurité, procédure de secours,
sensibilisation…
EXEMPLES DE MESURES
Mesures techniques
Solution de secours informatique
Cloisonnement des réseaux et sécurisation de la télémaintenance
Développement sécurisé d’application
Contrôle d’accès logique des utilisateurs et des administrateurs systèmes
Intégration de produits de sécurité
Mesures organisationnelles
Intégration de la cyber sécurité dans le cycle de vie des projets industriels
Spécification, Conception, développement, recette
Plan de maintenance et opérations associées
Sécurité physique et contrôle des accès aux locaux
Plan de continuité (mode dégradé de fonctionnement)
132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014
133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RSSI :
Responsable
Sécurité
BUDGET SÉCURITÉ – SOURCE CLUSIF 2014
134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT DE SÉCURITÉ
Un audit de sécurité permet d’évaluer le niveau de sécurité d’une
entité à un moment donné.
L’audit de sécurité positionne rapidement le niveau de sécurité de
votre entreprise et identifie les chantiers prioritaires de sécurité du
système d'information à mettre en œuvre.
L’audit de sécurité se base sur des référentiels de sécurité telles
que les normes ISO-27001 et ISO-27002.
135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT DE SÉCURITÉ
Audit organisationnel et technique pour garantir la cohérence
Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE,
SERVICE JURIDIQUE…) et techniques du SI
Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques)
Audit du référentiel technique (existence de systèmes de sécurité, redondance,
sauvegarde, etc…)
Basé sur une approche normative ISO 27002 – ISO 27001
Avantage - Positionnement rapide du niveau de sécurité par rapport à un
référentiel
136 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIFFÉRENTS TYPES D’AUDIT TECHNIQUES
AUDIT TECHNIQUE : TESTS INTRUSIFS
Objectifs des tests d’intrusions
Stigmatiser les aspects techniques
Matérialiser les vulnérabilités identifiées lors de l’audit.
Référentiels : OWASP, OSSTMM
Accord entre un prestataire et une société sur :
Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications
concernées
Une période de temps : durée de l’autorisation des tests d’intrusion.
Une limite de tests : pas de perturbation de la production ni de corruption de données.
Focus sur les aspects juridiques
Objet du contrat d’audit : entre obligations et responsabilités
La licéité de l’exécution de la prestation d’audit
Les risques inhérents à l’audit
La confidentialité
138 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
Indicateurs stratégiques : Exposition aux risques (identifiés lors de l’analyse de
risque),
Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet :
de suivre l'application de la politique de sécurité,
d'établir des comparaisons avec d'autres organismes,
de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du
risque).
Indicateurs de pilotage : Respect de la politique de sécurité et de la charte
utilisateur,
Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet :
de contrôler la réalisation des objectifs par le niveau opérationnel,
d'améliorer la qualité de service.
Indicateurs opérationnels : Mesure du niveau « réel » de sécurité.
Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet :
de préciser les besoins opérationnels à mettre en œuvre,
de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production,
de motiver et dynamiser les équipes.
139 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
140 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
141 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TABLEAU DE BORD SÉCURITÉ
144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Plan d’action
sécurité
Budget
Tests intrusifsAudits de
sécurité
Tableau de bord
Sécurité
POUR ALLER PLUS LOIN
Livres
Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti
(Auteur) édition DUNOD
Management de la sécurité de l'information. Implémentation ISO 27001 Broché
– 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)
La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions
Brochées – 9 février 2011 de Bernard Foray (Auteur)
La sécurité du système d'information des établissements de santé Broché – 31
mai 2012 de Cédric Cartau (Auteur)
Magazine
http://boutique.ed-diamond.com/ (revue MISC)
Web
www.ssi.gouv.fr – Sécurité des systèmes industriels
Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr
www.clusif.fr
147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés147 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN DU VOLET
MERCI POUR VOTRE
ATTENTION
148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Contenu connexe

Tendances

Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2PRONETIS
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Audit
AuditAudit
Auditzan
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 

Tendances (20)

Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
La Gouvernance IT
La Gouvernance ITLa Gouvernance IT
La Gouvernance IT
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
EBIOS
EBIOSEBIOS
EBIOS
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Audit
AuditAudit
Audit
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 

En vedette

Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de codePRONETIS
 
Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...OPcyberland
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?Oxalide
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
Café technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entrepriseCafé technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entrepriseInfoteam Informatique Technique SA
 
Intelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécuritéIntelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécuritéOPcyberland
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsPRONETIS
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalEY
 

En vedette (11)

Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de code
 
Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...Lorsque l'intelligence artificielle uberise la cybersécurité...
Lorsque l'intelligence artificielle uberise la cybersécurité...
 
ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?ISO 27001 est-il soluble dans l'agilité ?
ISO 27001 est-il soluble dans l'agilité ?
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
Café technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entrepriseCafé technologique Sécurité et Gestion des mobiles pour l'entreprise
Café technologique Sécurité et Gestion des mobiles pour l'entreprise
 
Intelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécuritéIntelligence Artificielle et cybersécurité
Intelligence Artificielle et cybersécurité
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 

Similaire à Gouvernance de la sécurite des Systèmes d'Information Volet-1

Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecuritesidomanel
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile GovFinancialVideo
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiSamy Ntumba Tshunza
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatiqueNRC
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competiticCOMPETITIC
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets siASIP Santé
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019African Cyber Security Summit
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2PRONETIS
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Keynote corona prez_episode_2
Keynote corona prez_episode_2Keynote corona prez_episode_2
Keynote corona prez_episode_2Simon Colas
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Jean-Antoine Moreau
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 
Etude Apec - Référentiel des métiers des systèmes d'information
Etude Apec - Référentiel des métiers des systèmes d'informationEtude Apec - Référentiel des métiers des systèmes d'information
Etude Apec - Référentiel des métiers des systèmes d'informationApec
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 

Similaire à Gouvernance de la sécurite des Systèmes d'Information Volet-1 (20)

Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
Introduction Mobile Gov
Introduction Mobile GovIntroduction Mobile Gov
Introduction Mobile Gov
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019Conférence - Le métier du RSSI en pleine évolution -  #ACSS2019
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Keynote corona prez_episode_2
Keynote corona prez_episode_2Keynote corona prez_episode_2
Keynote corona prez_episode_2
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...Plan de Secours Informatique dans une entreprise industrielle ou de service C...
Plan de Secours Informatique dans une entreprise industrielle ou de service C...
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 
Etude Apec - Référentiel des métiers des systèmes d'information
Etude Apec - Référentiel des métiers des systèmes d'informationEtude Apec - Référentiel des métiers des systèmes d'information
Etude Apec - Référentiel des métiers des systèmes d'information
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 

Plus de PRONETIS

Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3PRONETIS
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativePRONETIS
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transportPRONETIS
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routagePRONETIS
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natPRONETIS
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauPRONETIS
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiPRONETIS
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsPRONETIS
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsPRONETIS
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014PRONETIS
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013PRONETIS
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadePRONETIS
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bPRONETIS
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2PRONETIS
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...PRONETIS
 

Plus de PRONETIS (16)

Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transport
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
 

Dernier

Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Gabriel Gay-Para
 
Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024Gilles Le Page
 
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdfSKennel
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx      Film   françaisPas de vagues.  pptx      Film   français
Pas de vagues. pptx Film françaisTxaruka
 
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfVulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfSylvianeBachy
 
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxPrésentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxJCAC
 
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxDIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxMartin M Flynn
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationpapediallo3
 
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...NaimDoumissi
 
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdfSKennel
 
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdfSKennel
 
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 37
 
Apprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursApprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursStagiaireLearningmat
 
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdfSciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdfSKennel
 
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 37
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx   Film     françaisPas de vagues.  pptx   Film     français
Pas de vagues. pptx Film françaisTxaruka
 
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx   Peintre françaisBernard Réquichot.pptx   Peintre français
Bernard Réquichot.pptx Peintre françaisTxaruka
 
Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024Alain Marois
 
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfPIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfRiDaHAziz
 

Dernier (20)

Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)Faut-il avoir peur de la technique ? (G. Gay-Para)
Faut-il avoir peur de la technique ? (G. Gay-Para)
 
Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024Presentation de la plateforme Moodle - avril 2024
Presentation de la plateforme Moodle - avril 2024
 
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_FormationRecherche.pdf
 
DO PALÁCIO À ASSEMBLEIA .
DO PALÁCIO À ASSEMBLEIA                 .DO PALÁCIO À ASSEMBLEIA                 .
DO PALÁCIO À ASSEMBLEIA .
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx      Film   françaisPas de vagues.  pptx      Film   français
Pas de vagues. pptx Film français
 
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdfVulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
Vulnérabilité numérique d’usage : un enjeu pour l’aide à la réussitepdf
 
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptxPrésentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
Présentation - Initiatives - CECOSDA - OIF - Fact Checking.pptx
 
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptxDIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
DIGNITAS INFINITA - DIGNITÉ HUMAINE; déclaration du dicastère .pptx
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
Potentiel du Maroc en Produits du Terroir et Stratégie Adoptée pour le dévelo...
 
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_IA.pdf
 
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_EtudiantActeur.pdf
 
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdfBibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
Bibdoc 2024 - Les maillons de la chaine du livre face aux enjeux écologiques.pdf
 
Apprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceursApprendre avec des top et nano influenceurs
Apprendre avec des top et nano influenceurs
 
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdfSciencesPo_Aix_InnovationPédagogique_Bilan.pdf
SciencesPo_Aix_InnovationPédagogique_Bilan.pdf
 
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
Bibdoc 2024 - L’Éducation aux Médias et à l’Information face à l’intelligence...
 
Pas de vagues. pptx Film français
Pas de vagues.  pptx   Film     françaisPas de vagues.  pptx   Film     français
Pas de vagues. pptx Film français
 
Bernard Réquichot.pptx Peintre français
Bernard Réquichot.pptx   Peintre françaisBernard Réquichot.pptx   Peintre français
Bernard Réquichot.pptx Peintre français
 
Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024Zotero avancé - support de formation doctorants SHS 2024
Zotero avancé - support de formation doctorants SHS 2024
 
PIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdfPIE-A2-P 5- Supports stagiaires.pptx.pdf
PIE-A2-P 5- Supports stagiaires.pptx.pdf
 

Gouvernance de la sécurite des Systèmes d'Information Volet-1

  • 1. VOLET 1 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 2. SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Philippe PRESTIGIACOMO - Dirigeant de PRONETIS Consultant SSI – Lead Auditor 27001 / Risk Manager 27005 Membre du GREPSSI, OWASP Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy) PRONETIS – www.pronetis.fr Société indépendante spécialisée en SSI Audit – Conseil – Formation – Lutte contre la fraude informatique 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 3. AGENDA VOLET I Module N°1 : Rappels Quelques chiffres - Statistiques Système d’information industriel – état des lieux Problématiques spécifiques des SI industriels Domaines d’exploitation – Impacts majeurs Évolution de la sécurité Module N°2 : Management de la sécurité Périmètre de la sécurité et les axes stratégiques Système de management de la sécurité Norme ISO 27001 Fonction RSSI : Rôles et missions – Positionnement Difficultés de la sécurité des systèmes d’information Module N°3 : Gestion des risques Gestion des risques - État des lieux Définitions, métriques et illustrations Module N°4 : Méthode EBIOS - Exemple Méthode EBIOS étape par étape Illustration avec une étude de cas 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Module N°5 : Politique de sécurité Définition d’une politique cadre et des politiques ciblées de sécurité Exemples de politiques de sécurité Normes de sécurité - Normes 27001, 27002 Module N°6 : Plan d’action et contrôles Plan d’action sécurité et budget Audit de sécurité fonctionnel et technique Tableau de bord sécurité Pour aller plus loin Livre Magazine Articles - Web
  • 4. TRAVAIL PERSONNEL Sécurité informatique et réseaux - 4eme édition Ghernaouti Lecture des chapitres suivants Chapitre 1 Principes de sécurité : 1.1, 1.2, 1.3 Chapitre 2 Cybercriminalité : 2.5, 2.6 Chapitre 3 Gouvernance et Stratégie : 3.1 à 3,6 Chapitre 4 Politique de Sécurité : 4.1 à 4,4, 4.6, 4.7 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 5. MODULE N°1 : RAPPELS 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés QUELQUES CHIFFRES – STATISTIQUES CLUSIF DÉFINITION DU SYSTÈME D’INFORMATION INDUSTRIEL CARACTÉRISTIQUES ET VULNÉRABILITÉS DES SI INDUSTRIELS DOMAINES D’EXPLOITATION ACTEURS DU SYSTÈME D’INFORMATION IMPACTS MAJEURS VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 6. 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CONTEXTE
  • 7. CYBER-ATTAQUES INDUSTRIELLES Piratage du système d’adduction d’eau de Springfield Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards. 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
  • 8. SYSTÈME D’INFORMATION INDUSTRIEL Les systèmes d’automatisme ou systèmes de contrôle industriel sont utilisés pour de multiples applications Usine classique : chimie, agro, automobile, pharma, production d’énergie… Sites plus vastes : traitement de l’eau, des réseaux de transport… Gestion de bâtiment (aéroport, hôpitaux…) Propulsion de navire Santé : biomédicale, laboratoire d’analyse … Les systèmes industriels contrôlent les infrastructures critiques depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout. 8 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 9. CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) , disponibilité 24/7 Environnement physique : ateliers de production : poussière, température, vibrations, électromagnétisme, produits nocifs à proximité, environnement extérieur, etc. Durée de vie des équipements : plus de 10 ans (parfois 30 ou 40 ans) Multiples technologies et fournisseurs : la grande durée de vie des installations conduit à une « superposition » des vagues technologiques successives sur un même site entrainant un phénomène d’obsolescence des matériels et logiciels. Couvertures géographiques : dans des entrepôts, des usines, sur la voie publique, dans la campagne (stations de pompage, sous-stations électriques, etc.), des lieux isolés, en mer, dans l’air et dans l’espace Effets indésirables de la mise en œuvre de la sécurité Télémaintenance : accès à distance sur les automates Culture sécurité : automaticiens, instrumentistes électrotechniciens, spécialistes en génie du procédé 9 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La sécurisation des systèmes industriels passent par la compréhension de leurs spécificités et de leurs contraintes
  • 10. ARCHITECTURE TYPIQUE 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Combinaison du monde industriel avec le monde informatique
  • 11. VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS Vulnérabilités intrinsèques aux systèmes industriels Peu de prise en compte de la sécurité lors des phases de conception, d’installation, d’exploitation et de maintenance Automates et composants industriels en production avec des configurations par défauts et mots de passe par défaut Informations accessibles – les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut. Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l’Internet et ignorance de la menace extérieure Des opérateurs non formés à la sécurité informatique 11 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 12. CE QUE L’ON OBSERVE SUR LE TERRAIN 12 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Personnel non sensibilité Aux enjeux / risques Virus – erreur de donnéesMauvaise configuration Pare-feu & intrusion Console de programmation Infectée – modification application API Virus – envoi aléatoire de requêtes Modbus Mot de passe Admin par défaut OS API Non à jour Opérateurs de maintenance non formés Pas de cartographie des flux API Clé USB infecté
  • 13. STATISTIQUES CLUSIF 2014 13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 14. STATISTIQUES CLUSIF 2014 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 15. DOMAINES D’EXPLOITATION Industrie Transports Energie Défense 15 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 16. 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés LE SYSTÈME D’INFORMATION (S.I.) Le S.I. doit permettre et faciliter la mission de l’organisation La sécurité du S.I. consiste donc à assurer la sécurité de l’ensemble de ces biens. Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs : personnesite matériel réseau logiciel organisation actifs primordiaux actifs supports processus métiers et informations ISO/IEC 27005:2008
  • 17. VUE DE QUELQUES ACTEURS DU SYSTÈME D’INFORMATION Entreprise LAN / station de travail Environnement Informatique et télécom Equipements de sécurité Fournisseur d’accès Fournisseurs de services - Opérateurs Télécom - Hébergeurs, - Paiement sécurisé, - Sites de sauvegarde et secours Environnement Général : EDF Intervenants en amont dans la conception et la réalisation des environnements Personnel Serveurs Prestataires de services infogérance 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 18. 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La sécurité a pour objectif de réduire les risques pesant sur le système d’information, pour limiter leurs impacts LA SÉCURITÉ INFORMATIQUE Impacts financiers Interruption de la production Modification des paramètres de fabrication Impacts juridiques et réglementaires Impacts organisationnels Impacts sur l’image et la réputation Sécurité des S.I. Dommages matériels et/ou corporels Responsabilité civil ou pénale Impact environnemental Pollution du site de production et de l’environnement
  • 19. VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ 19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Anti-virus • Anti-Spyware, • Anti-rootkids • … • Détecter les vulnérabilités • Appliquer les Correctifs • Sondes IDS • Analyse des traces •Supervision, Veille, •Surveillance • Firewall • Compartimenter le réseau et les systèmes • Sécuriser et certifier les échanges (VPN / Mails chiffrés) • Former et sensibiliser les utilisateurs • Consignes en cas d’attaque ou de doutes • Mise en œuvre de procédures de sécurité • Plan de continuité •Sauvegarde et protection des supports •Redondance des systèmes • Classifier les données • Analyse de risques • Protéger des données • Accès restrictifs Gestion de la sécurité (non exhaustif) Données •Protéger et isoler les réseaux sans fil
  • 20. ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION 20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Denis Virole Telindus et Jean-Louis Brunel
  • 21. DÉCLINAISON DES BONNES PRATIQUES 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Jean-Louis Brunel Détection d’intrusion Centralisation des logs Audit / Tests intrusifs Cours 3A Cours 4A
  • 22. APPROCHE SÉCURITÉ Difficultés d’appliquer les standards de sécurité des systèmes d’information de gestion Une approche différente à construire pour les systèmes d’information industriels « tout en adaptant les recettes existantes de sécurité » La gestion du risque, la maîtrise des techniques de sécurisation deviennent des compétences indispensables pour les entreprises dans les secteurs industriels. 22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 23. PAUSE-RÉFLEXION Avez-vous des questions ? 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 24. RÉSUMÉ DU MODULE 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Chiffres Statistiques Caractéristiques des SI Industriels Vulnérabilités des SI Industriels Domaines d’exploitation Impacts majeurs Évolution de la sécurité des SI SI : Systèmes d’Information
  • 25. MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ - PDCA -27001 FONCTION RSSI : RÔLES ET MISSIONS - POSITIONNEMENT DIFFICULTÉS DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
  • 26. Concevoir et manager un dispositif de sécurité adapté nécessite : – Une bonne connaissance / évaluation des risques – Une approche globale et transversale faisant interagir les fonctions Direction Générale, Direction de la Sécurité des Systèmes d'Information, Direction du Contrôle Interne et Direction de l'Audit – Un modèle de conception dynamique qui intègre l’ évolution des architectures et des menaces. Une problématique complexe PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ 26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le SMSI (Système de Management de la Sécurité de l’Information) doit être cohérent avec les objectifs métiers de l’organisme et cohérent avec le système de management de la qualité
  • 27. La sécurité du SI doit être abordée d’une manière globale avec une volonté affichée et un appui de la direction Les seules réponses techniques à la problématique sécurité sont insuffisantes si elles ne sont pas sous-tendues par une approche structurée intégrant les composantes : Stratégique Économique Organisationnelle Humaine 27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ Les priorités portent désormais davantage sur les aspects d’organisation et de management.
  • 28. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI Norme ISO-27001 28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 29. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI Norme ISO-27001 29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 30. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION - SMSI 30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 31. Phase PLAN - Fixer des objectifs et des plans d'actions Identification des actifs ou des biens ; Analyse de risques ; Choisir le périmètre Phase DO - Mise en œuvre et exploitation des mesures et de la politique Établir un plan de traitement des risques ; Déployer les mesures de sécurité ; Former et sensibiliser les personnels ; Détecter les incidents en continu pour réagir rapidement. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI 31 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 32. Phase CHECK - Mesurer les résultats issus des actions mises en œuvre Audits internes de conformité et d’efficacité du SMSI (ponctuels et planifiés) ; Réexaminer l’adéquation de la politique SSI avec son environnement ; Suivre l'efficacité des mesures et la conformité du système ; Suivre les risques résiduels. Phase ACT Planifier et suivre les actions correctrices et préventives SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI 32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 33. SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L'INFORMATION : SMSI 33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 34. MÉTIERS EN CYBER SÉCURITÉ 34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La cybersécurité est transverse à toute activité qui requiert de l’informatique et des réseaux de télécommunications, de la TPE à la multinationale, dans le domaine privé ou public. Exploitants Administrateurs Techniciens supports Direction systèmes d’information et télécom Responsable SSI - RSSI : gouvernance et gestion de crise Etudes et services d’ingénierie MOA/MOE Ingénieurs d’étude SSI : analyse de risque, politique de sécurité, audit Opérationnels SSI : intégration, configuration, administration, supervision et réaction Positionnement des métiers au sein des organisations Fonctions
  • 35. MÉTIERS EN CYBER SÉCURITÉ 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Gouvernance de la sécuritéGouvernance de la sécurité Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la gouvernance globale de l’organisation. Exploitation / maintien de condition de sécurité Validation / audit organisationnel / test intrusion Expression de besoin / maitrise d’ouvrage (MOA) Conception d’architecture / maitrise d’œuvre (MOE) Développement logiciel ou composant matériel veille des vulnérabilités / analyse forensics Intégration de produit / déploiement d’architecture Cartographie des métiers et compétence en SSI
  • 36. MÉTIERS EN CYBER SÉCURITÉ 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés b. Cartographie des métiers et compétence en SSI Étude Exploitation / Maintenance Gestion des incidents, des crises MétiersPhases Implémentation, déploiement Conception Auditeur organisationnel Auditeur technique RSSI, Technicien support Investigateur numérique Ingénieur de sécurité, architecte de sécurité, développeur de sécurité, Consultant Analyste dans un SOC
  • 37. LA FONCTION DE RSSI Définition des principes ou règles applicables Coordination des actions Animation du réseau de correspondants Evaluation régulière du niveau de sécurité Intégration de la sécurité dans les projets Evaluation des risques Veille sécuritaire Surveillance – gestion des incidents Promotion de la politique de sécurité Coordination des actions de sensibilisation Conseil en matière de sécurité 37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 38. ORGANISATION DE LA SÉCURITÉ 38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 39. RÉMUNÉRATION DU RSSI (analyse effectuée 2009 - Assises de la sécurité) Une répartition des salaires qui varie peu avec un salaire moyen quasi stable à 73,8 k€ contre 73,4 k€ en 2008. 39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés SOURCE ZDNET 2011 68K€ pour un RSSI avec 5 à 8 ans d'expérience soit 4.533 € net par mois. 85K€ de salaire moyen entre 10 et 15 ans d'expérience soit 5.666 € net par mois … et plus de 100K€ au-delà de 15 ans d'expérience.
  • 40. FREINS A LA SECURITE : CLUSIF 2014 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le premier frein principal reste le manque de moyens budgétaires
  • 41. LES DIFFICULTÉS DE LA SÉCURITÉ Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de comprendre ses besoins et de mettre en œuvre les moyens adéquates Performance et confort d’utilisation Versus Sécurité Les mécanismes de sécurité consomment des ressources additionnelles La sécurité interfère avec les habitudes de travail des usagers Ouverture vers le monde extérieur en constante progression Les frontières de l’entreprise sont virtuelles ex : télémaintenance PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés41
  • 42. LES DIFFICULTÉS DE LA SÉCURITÉ Centre de coût versus centre de profit La justification des dépenses en matière de sécurité n’est pas évidente Le retour sur investissement en sécurité est un exercice parfois difficile La sécurité n’est pas une fin en soi mais résulte d’un compromis entre : - un besoin de protection ; - le besoin opérationnel qui prime sur la sécurité (coopérations, interconnexions…) - les fonctionnalités toujours plus tentantes offertes par les technologies (sans fil, VoIP…) - un besoin de mobilité (technologies mobiles…) - des ressources financières et des limitations techniques PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés42
  • 43. LA SÉCURITÉ EST UN PROCESSUS CONTINU La sécurité ne se met pas en œuvre en une seule fois Elle fait partie intégrante du cycle de vie du système Il s’agit d’un processus itératif qui n’est jamais fini et doit être corrigé et testé régulièrement La sécurité n’est pas une activité ponctuelle : PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés43 « La sécurité absolue est inatteignable, c’est un voyage, pas une destination »
  • 44. PAUSE-RÉFLEXION Avez-vous des questions ? 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 45. RÉSUMÉ DU MODULE 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Périmètre axes stratégiques Système de management de la sécurité - PDCA -27001 Difficultés et freins de la sécurité des systèmes d’information Fonction RSSI : Rôles et missions - positionnement Enquête CLUSIF 2014 SI : Systèmes d’Information
  • 46. MODULE N°3 : GESTION DES RISQUES 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés MÉTHODOLOGIE - ANALYSE DE RISQUES ÉTAT DES LIEUX – CLUSIF 2014 DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS MÉTHODES D’ANALYSE DE RISQUES PRÉSENTATION DE LA NORME ISO/IEC 27005
  • 47. ANALYSE DE RISQUES La première étape du management de la sécurité des systèmes d'information doit rendre intelligible les risques qui visent une organisation, l’analyse de risques Objectifs recherchés Inventaire des actifs sensibles (informations : données, applications) Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de prendre les décisions stratégiques adaptées Enclencher les actions associées par ordre de priorité L’analyse des risques répond à un besoin de gouvernance des risques et représente un outil de pilotage / d’aide à la décision. 47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Minimiser les risques encourus par l’organisme du fait de son système d’information. Faire que ces risques soient acceptables
  • 48. RAPPEL : MÉTHODOLOGIE 48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Liste des biens sensibles Liste des menaces et modes opératoires Listes des impacts et probabilités Liste des contre-mesures 1 : Quoi protéger et pourquoi ? 2 : De Quoi protéger ? 3 : Quels sont les risques ? 4 Comment protéger l’entreprise ?
  • 49. INVENTAIRE DES DONNÉES Inventaire des données: Classifier les données. Par exemple : Publique, Interne, Confidentielle permettra de définir les protections, le mode de stockage, d’accès et de diffusion des données en fonction de leur classification. Inventaire de l’infrastructure: Les équipements Logiciels et Matériels Réseaux Inventaire des canaux d’échange et mode de communication Mode, fonctionnement, Échanges chiffrés Matrice des flux 49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 50. ANALYSE DE RISQUES Nouvelle activité de l’entreprise Nouvelle architecture technique Nouveau système d’information Identification des enjeux Analyse de la menace Identification des risques majeurs Caractérisation du S.I. (ressources fonctionnelles et techniques) Identification des vulnérabilités potentielles majeures Quels moyens engager ? SERVICES DE SECURITE Système d’information existant Profils fonctionnels de sécurité S.I. Procédures Mécanismes techniques Plans 50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 51. ANALYSE DE RISQUES 51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 52. ETAT DES LIEUX – SOURCE CLUSIF 2014 52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 53. ETAT DES LIEUX – SOURCE CLUSIF 2014 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 54. Vulnérabilités Menaces Impact RISQUE DÉFINITIONS : RISQUES 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 55. DÉFINITIONS : NIVEAU DE RISQUES 55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 56. MÉTRIQUE GRAVITÉ (IMPACTS) 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Niveau de Gravité (exemple dans le monde de la santé) Niveau Valeur Description 1 Mineure Inconfort patient, gène ponctuelle dans l’activité, perte financière négligeable, absence de plainte, événement pas médiatisé ou sans impact sur l’image 2 Significative Perte de chance patient mais limitée et réversible, surcharge de travail ou désorganisation modérée et temporaire, impact financier modéré, contentieux, dégradation passagère d’image ou de confiance 3 Importante Perte de chance pour les patients d’un service, avec mise en danger immédiate mais sans atteinte irréversible, désorganisation importante et durable de l’activité, perte financière importante, atteinte à la vie privée d’un patient/salarié ou condamnation pénale et/ou financière, perte d’image ou de confiance avec mise en cause de l’établissement ou d’un organisme tiers 4 Critique Mise en danger des patients ou menace du pronostic vital, arrêt prolongé d’une part importante de l’activité, perte financière élevée pouvant mettre en cause la pérennité de l’établissement, atteinte à la vie privée de plusieurs patients/salariés ou condamnation pénale et/ou financière avec risque judiciaire, rejet définitif de la capacité de l’établissement à offrir le service attendu La gravité est l’estimation de la hauteur des effets d’un événement redouté ou d’un risque. La gravité (ou impact) représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et du caractère préjudiciable des impacts potentiels.
  • 57. MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ 57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Gravité (Impact) Qualité de prise en charge Organisation Pertes Financières Atteinte à l‘Image Engagement de Responsabilité 1 Mineure Sans effet sur l’état du patient Sans effet sur les processus de l’activité Sans impact financier Visible uniquement en interne Divulgation limitée 2 Significative Impact sur la santé augmentant la durée d’hospitalisation ou de ré hospitalisation Fonctionnement processus perturbé – indisponibilité des ressources Pertes financières < 1% du budget global Réclamations ou plaintes de patients signalant un dysfonctionnement grave – visible par peu de patients 3 Importante Aggravation de l’état de santé - chance limitée pour une victime Arrêt temporaire de l’activité, fermeture partielle Pertes financières < 5% du budget global Réclamations ou plaintes de patients liés au non respect des bonnes pratiques de prise en charge - débouchant sur une sanction disciplinaire – visible au niveau local 4 Critique Perte de chance pour un patient, décès, effet irréversible sur la santé Arrêt prolongé de l’activité, fermeture de l’établissement Pertes financières > 10% du budget global Visible par un nombre important de patients / niveau régional ou national - Plainte de victimes débouchant sur la condamnation civile ou pénale d'un responsable
  • 58. MÉTRIQUE VRAISEMBLANCE 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Echelle de vraisemblance Niveau Valeur Description 1 Exceptionnel Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions très difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années) 2 Peu probable Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions difficiles ou malveillance présentant peu d’intérêt 3 Plausible Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de probabilité très plausible pour un incident involontaire (au moins une fois par an) 4 Quasi certain Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en cas de malveillance La vraisemblance est l’estimation de la possibilité qu’une menace se produise La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités des supports face aux menaces et des capacités des sources de risques à les exploiter.
  • 59. NIVEAU DE RISQUE 59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Echelle de niveaux de risque Niveau Valeur Description 1 Limité les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur, incompréhension, stress, affection physique mineure…). 2 Modéré les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…). 3 Fort les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler, affection psychologique ou physique de longue durée, décès…). Exceptionnel Peu probable Plausible Quasi-certain Critique Importante Significative Mineure Vraisemblance1 2 3 4 1 2 3 4 Gravité
  • 60. 60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 61. CRITERES DICP (DISPONIBILITE, INTEGRITE, CONFIDENTIALITE, PREUVE) Disponibilité (D) : La disponibilité des SI permet de garantir en permanence la communication et l’échange des données Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité des données et des traitements. Les SI doivent garantir que les informations sont identiques et inaltérables dans le temps et l’espace et certifier leur exhaustivité, leur validité et leur cohérence. Confidentialité (C) : La confidentialité permet de réserver l’accès aux données aux seules personnes autorisées. 61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 62. MÉTRIQUE DIC 62 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Disponibilité Valeur Description 1 Un arrêt max de 72 heures 2 Un arrêt max de 24 heures 3 Un arrêt max de 12 heures 4 Un arrêt max de 4 heures Intégrité Valeur Description 1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative 2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires, délais) - Quelques erreurs sont tolérées. 3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un client, ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées. 4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée. Confidentialité Valeur Description 1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique 2 Une perte de confidentialité des informations est dommageable – accès protégé 3 Une perte de confidentialité des informations est grave – accès restreint - info nominative 4 Une perte de confidentialité des informations est très grave - secret médical est renforcé
  • 63. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 63 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 64. DÉFINITIONS 64 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Menace: attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations) entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise de l'attaquant, ses ressources disponibles et sa motivation. Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte motivation si les flux financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise nécessaire),... Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de la sécurité de l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique de sécurité), humaine (ex: pas de formation des personnels), logicielles ou matérielles (ex: utilisation de produits peu fiables ou non testés),... Exemple: les fichiers sur les ordinateurs portables ne sont pas protégés en lecture. Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé financièrement, ou dans une échelle qui dépend du contexte Impact financier ou pertes financières Impact sur la production Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités Impact sur l’organisation de l’établissement (désorganisation …)
  • 65. SCÉNARII GÉNÉRIQUES DE MENACES Accident physique Malveillance physique Perte de servitudes essentielles Perte de données Indisponibilité d'origine logique Divulgation d'informations en interne Divulgation d'informations en externe Abus ou usurpation de droits Fraude Reniement d'actions Non-conformité à la législation Erreurs de saisie ou d'utilisation Erreurs d’exploitation, de conception Perturbation sociale Attaque logique du réseau Accident Erreur Malveillance Origines AEM 65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 66. ILLUSTRATION Les menaces pesant sur l’intégrité, la disponibilité ou la confidentialité des informations sont souvent liées à des erreurs humaines (du fait de la négligence ou de l’ignorance). Les erreurs d’implémentation des systèmes sont aussi à l’origine d’incidents Exemple : Un défaut d’intégrité de la donnée de santé, comme l'altération accidentelle ou illégitime d'un dossier de santé d’un patient ou du paramétrage d’un équipement biomédical, est susceptible d'entraîner des erreurs médicales, voire un préjudice vital envers le patient. Négligence du personnel dans la protection des données par méconnaissance des risques. Exemple : A cause de cette ignorance du risque, des données médicales se sont retrouvées indexées sur les moteurs de recherche internet début 2013 dans un hôpital : Le premier fait est le recours à un hébergeur externe non agréé, par méconnaissance des risques du stockage des données médicales à l’extérieur de l’établissement ; il n’a pas été tenu compte du cadre réglementaire, du « décret hébergeurs » (Décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel). Le second fait est la négligence de l’hébergeur qui dans la conception de son système de stockage a rendu possible que les dossiers médicaux soient visibles par les moteurs de recherche. 66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 67. ILLUSTRATION Introduction d'un virus dans le système d’information. Une grande partie des incidents de sécurité informatique impliquent la propagation de virus. Des moyens techniques peuvent en limiter la propagation (anti-virus) mais le facteur humain ou la conception des systèmes peuvent faciliter leur diffusion. Exemple : En mars 2009, le virus « Conficker » a infecté plusieurs millions d’ordinateurs et on comptait, parmi les cibles, un grand nombre d’établissements de santé en France. Vols externes. Le vol de données par des personnes extérieures peut se faire par une entrée physique dans l’hôpital par exemple mais également à distance via Internet. Des failles de sécurité dans les applications ou le réseau peuvent permettre à un hacker d’accéder aux données stockées sur les serveurs d’un établissement, de les subtiliser et, dans certains cas, de perturber le fonctionnement du SI. D’autres menaces existent : le vol interne, les dommages matériels intentionnels ou non, la défaillance de connexion Internet ; il faut aussi indiquer le bug d’un logiciel, la panne d’un matériel informatique ou du réseau, qui peuvent conduire à un arrêt complet du système, si les mesures de sécurité sont inexistantes ou incomplètes Exemples http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/ http://archives.nicematin.com/nice/un-piratage-informatique-dejoue-au-chu-de-nice.1986813.html 67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 68. DEFINITIONS D, I, C Les représentants métiers (maîtrise d’ouvrage) • S’assure de la représentation exhaustive des actifs les plus sensibles du SI à ces critères • Confirme/infirme leur perception sur les besoins en Disponibilité, Intégrité, Confidentialité de ces actifs sensibles Evènements redoutés Les représentants métiers et SI de l’établissement indique quels évènements sont à redouter dans la situation actuelle de leur SI Exemple Données médecine du travail: Modification non désirée des données : le statut d’aptitude des employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...) Source de menace Les représentants métiers et SI de l’établissement choisissent un type de menace (il est possible d’en ajouter) Vraisemblance/Gravité Les représentants métiers et SI de l’établissement évaluent selon des grilles définies Niveau de risque Il est calculé automatiquement selon une matrice (voir après) 68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 69. DÉFINITIONS : NIVEAU DE RISQUES 69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 70. TRAITEMENT DU RISQUE Traitement du risque: processus de sélection et de mise en œuvre visant à modifier le risque, ce qui signifie une réduction du risque, un transfert du risque ou une prise de risque. Réduction du risque: processus visant à minimiser les conséquences négatives et les opportunités d’une menace. Transfert de risque: partage avec une autre partie de la charge de la perte d’un risque particulier (souscription d’assurance par exemple) Evitement du risque : refus du risque Acceptation du risque: décision d’accepter un risque traité selon les critères de risques 70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 71. PAUSE-RÉFLEXION Avez-vous des questions ? 71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 72. RÉSUMÉ DU MODULE 72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Gestion des risques État des lieux – CLUSIF 2014 Norme ISO/IEC 27005 Définitions, métriques et illustrations Méthodes d’analyse de risques
  • 73. MODULE N°4 : MÉTHODE D’ANALYSE DE RISQUES EBIOS 73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PRÉSENTATION DE LA MÉTHODE D’ANALYSE DE RISQUES EBIOS ILLUSTRATIONS
  • 74. PRÉSENTATION D’EBIOS Expression des besoins et identification des objectifs de sécurité La méthode EBIOS créée en 1995 par le SCSSI ; acteur majeur de la gestion du risque en France ; aboutit à la version 2.0 en 2004 ; compatible avec la norme ISO/IEC 27002 Méthode d’appréciation et de traitement des risques Peut être utilisée pour un système existant ou à concevoir Fournit une terminologie et des concepts communs 74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 75. FINALITÉS D’UNE ANALYSE DE RISQUES 75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 76. PRÉSENTATION DE LA MÉTHODE EBIOS 76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 1.Étude du contexte 2. Etude des événements redoutés 3. Étude des scénarios de menaces 4. Etude des risques 5. Etude des mesures de sécurité
  • 77. EBIOS MODULE 1 : ETUDE DU CONTEXTE Définir le cadre 77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Cadrer l’étude des risques Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ? Quel est l’objectif de l’étude (son but et les livrables attendus) ? Comment organiser le travail (actions, rôles, charges…) ? Décrire le contexte général Que sait-on du contexte (externe et interne) ? Comment les risques sont-ils gérés actuellement ? Délimiter le périmètre de l’étude Quelles sont les limites du périmètre étudié ? Qui doit participer à l’étude ? Identifier les paramètres à prendre en compte Quels sont les référentiels applicables ? Quelles sont les contraintes qui pourraient impacter l’étude ? Identifier les sources de menaces Contre quels types de sources décide-t-on de se protéger ? Quels sont les exemples illustratifs ?
  • 78. EBIOS : SOURCES DE MENACES 78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 79. EBIOS MODULE 1 : MESURES EXISTANTES 79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 80. EBIOS MODULE 1 : ETUDE DU CONTEXTE Préparer les métriques 80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Définir les critères de sécurité et élaborer les échelles de besoins Quels critères de sécurité devront être étudiés (D, I, C…) ? Quelle est la définition de chacun des critères retenus ? Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ? Élaborer une échelle de niveaux de gravité Quelle échelle utilisera-t-on pour la gravité ? Élaborer une échelle de niveaux de vraisemblance Quelle échelle utilisera-t-on pour la vraisemblance ? Définir les critères de gestion des risques Sur quelles règles s’accorde-t-on pour gérer les risques (manière d’estimer, règles d’ordonnancement, critères d’évaluation…) ?
  • 81. 81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Critères DIC Vraisemblance EBIOS MODULE 1 : MÉTRIQUES SUR LES BESOINS DE SÉCURITÉ
  • 82. EBIOS MODULE 1 : MÉTRIQUES SUR LES NIVEAUX DE GRAVITÉ 82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ECHELLE DE NIVEAUX DE GRAVITÉ Niveau Valeur Description 1 Limité les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur, incompréhension, stress, affection physique mineure…). 2 Modéré les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…). 3 Fort les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler, affection psychologique ou physique de longue durée, décès…).
  • 83. EBIOS MODULE 1 : CRITÈRES DE GESTION DES RISQUES 83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 84. EBIOS MODULE 1 : ETUDE DU CONTEXTE Identifier les biens 84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Identifier les biens essentiels, leurs relations et leurs dépositaires Quels sont les informations et processus essentiels aux métiers ? Quels sont les liens (inclusions, dépendances…) entre ces biens ? Quel est le responsable de chacun de ces biens essentiels ? Identifier les biens supports, leurs relations et leurs propriétaires Sur quoi reposent les biens essentiels (systèmes informatiques et de téléphonie, organisations, locaux) ? Quels sont les liens (inclusions, dépendances…) entre ces biens ? Quel est le responsable de chacun de ces biens supports ? Déterminer le lien entre les biens essentiels et les biens supports Quel est le lien entre chaque bien essentiel et bien support ? Identifier les mesures de sécurité existantes Quels sont les mesures de sécurité mises en œuvre ou prévues ? Sur quels biens supports reposent-elles ?
  • 85. EBIOS MODULE 1 : IDENTIFIER LES BIENS 85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 86. EBIOS MODULE 1 : BIEN ESSENTIEL Processus métiers Processus essentiels Informations essentiels concernées Dépositaires Gestion des études Créer des plans et calculer des structures Dossier technique d'un projet Bureau d'études Paramètres techniques (pour les calculs de structure) Plan technique Résultat de calcul de structure Responsable du Bureau des études 86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 87. EBIOS MODULE 1 : SCHÉMA GÉNÉRAL DU SYSTÈME 87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 88. EBIOS MODULE 1 : BIEN SUPPORT 88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 89. EBIOS MODULE 1 : SYNTHÈSE DU MODULE 1 Cadrer l’étude: Décrire le contexte, définir le périmètre Sélectionner les sources de menaces retenues Préparer les métriques: Définir les critères de sécurité (D, I, C, …) Définir les échelles Définir les critères de gestion des risques Identifier les biens: Identifier les biens essentiels (immatériels) Identifier les biens supports (supportent les biens essentiels) Relier les biens essentiels aux biens supports via un tableau de croisement Identifier les mesures de sécurité existantes 89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 90. EBIOS MODULE 2 : ETUDE DES ÉVÉNEMENTS REDOUTÉS 90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Analyser tous les événements redoutés Quels sont les besoins de sécurité de chaque bien essentiel ? Quelles sources de menaces peuvent les affecter ? Quels seraient les impacts si l’événement se produisait ? Quelle serait la gravité d’un tel événement ? Évaluer chaque événement redouté Quelle est la hiérarchie des événements redoutés identifiés ? Quelles sont les craintes ?
  • 91. EBIOS MODULE 2 : EVÈNEMENTS REDOUTÉS 91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Evénement redouté : scénario avec un niveau de gravité donné, représentant une situation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s). Exemple : un journaliste parvient à obtenir le budget prévisionnel de l’organisme, jugé confidentiel, et publie l’information dans les media, portant atteinte à l’image de l’organisme et faisant chuter le cours en bourse. Exemple : Un employé peu sérieux ou un concurrent atteint la confidentialité des informations liées au processus d’établissement des devis qui doit rester limitée aux personnels et partenaires. Cela provoquerait la perte d’un marché, une action en justice ou une perte de crédibilité. Cet événement redouté est jugé de gravité importante.
  • 92. EBIOS MODULE 2 : APPRÉCIER LES ÉVÈNEMENTS REDOUTÉS 92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 93. EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES 93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Analyser tous les scénarios de menaces Quelles menaces peuvent s’exercer sur chaque bien support ? Quelles sources de menaces peuvent en être à l’origine ? Quelles sont les vulnérabilités potentiellement utilisables ? Y a-t-il des prérequis pour que la menace se réalise ? Quelle est la vraisemblance des scénarios ? Évaluer chaque scénario de menace Quelle est la hiérarchie des scénarios de menaces identifiés ? Comment cela peut-il arriver ?
  • 94. EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE MENACES Cette activité sélectionne les méthodes d'attaque pertinentes pour le système cible. Une méthodes d'attaque est caractérisée par les critères de sécurité qu'elle peut affecter ; est associée à des éléments menaçants caractérisés par : leur type (naturel, humain ou environnemental) leurs causes possibles (accidentelle, délibérée) ; a un potentiel d'attaque. 94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 95. EBIOS MODULE 3 : SCÉNARIOS DE MENACES Analyse des menaces 95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés MAT : matériel, LOG : Logiciel, CAN : Canaux interpersonnels, PER : Personnes
  • 96. EBIOS MODULE 3 : SCÉNARIOS DE MENACES Analyse des vulnérabilités 96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 97. EBIOS MODULE 3 : SCÉNARIOS DE MENACES 97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Scénario de menace : scénario, avec un niveau donné, décrivant des modes opératoires. Il combine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en être à l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent.
  • 98. EBIOS MODULE 4 : ÉTUDE DE RISQUES Apprécier les risques 98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Analyser les risques Quels scénarios s’appliquent aux événements redoutés ? Y a-t-il des mesures existantes pour traiter ces risques ? Quelle est la gravité des risques ? Quelle est la vraisemblance des risques ? Évaluer les risques Quelle est la hiérarchie des risques identifiés ?
  • 99. EBIOS MODULE 4 : ÉTUDE DE RISQUES 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 100. EBIOS MODULE 4 : ÉTUDE DE RISQUES 100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.
  • 101. EBIOS MODULE 4 : ÉTUDE DE RISQUES 101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces.
  • 102. EBIOS MODULE 4 : ÉTUDE DE RISQUES 102 Risque (module 4) Événement redouté (module 2) Scénarios de menaces (module 3) Bien essentiel (module 1) Critère de sécurité (module 1) Biens supports (module 1) Tableau de croisement (module 1) Sources de menaces (modules 1, 2 et 3) Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces. Gravité (module 2) Vraisemblance (module 3) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 103. EBIOS MODULE 4 : ÉTUDE DE RISQUES Éléments dimensionnant d’une étude de risques 103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 104. EBIOS MODULE 4 : ÉTUDE DE RISQUES 104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Choisir les options de traitement de chaque risque Comment choisit-on de traiter chaque risque (réduire, transférer, éviter, prendre) ? Analyser les risques résiduels Quels risques resteraient si les objectifs étaient satisfaits ? Identifier les objectifs de sécurité
  • 105. EBIOS MODULE 4 : ÉTUDE DE RISQUES Décisions Evitement Réduction Prise Transfert 105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 106. EBIOS MODULE 4 : ÉTUDE DE RISQUES 106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 107. EBIOS MODULE 5 : ÉTUDE DES MESURES 107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Formaliser les mesures de sécurité à mettre en œuvre Déterminer les mesures de sécurité Quelles mesures doivent être mise en place ? Servent-elles à la prévention, la protection, ou la récupération ? Sur quels biens supports reposent-elles ? Analyser les risques résiduels Quelles sont les nouvelles valeurs de gravité et vraisemblance ? Quels sont les scénarios toujours possibles ? Établir une déclaration d'applicabilité Les paramètres à prendre en compte ont-ils bien été traités ?
  • 108. EBIOS MODULE 5 : ÉTUDE DES MESURES 108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mettre en œuvre les mesures de sécurité Élaborer le plan d'action et suivre la réalisation des mesures de sécurité Comment planifie-t-on la mise en place des mesures ? Qui pilote chaque action ? Où en est la mise en place des mesures de sécurité ? Analyser les risques résiduels Quelles sont les nouvelles valeurs de gravité et vraisemblance ? Quels sont les scénarios toujours possibles ? Prononcer l'homologation de sécurité La manière dont les risques ont été gérés est-elle satisfaisante ? Les risques résiduels sont-ils acceptables ?
  • 109. Bien essentiel Information ou processus jugé comme important pour l'organisme. On appréciera ses besoins de sécurité mais pas ses vulnérabilités. Exemples : le dossier patient et les données médicales, les informations personnelles des patients Besoin de sécurité Définition précise et non ambiguë du niveau d'exigences opérationnelles relatives à un bien essentiel pour un critère de sécurité donné (disponibilité, confidentialité, intégrité…). Exemples : les données médicales d’un patient ont un besoin de niveau de confidentialité élevé. Impact Conséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme et/ou sur son environnement. Exemple : la divulgation externe de données patient peut nuire gravement à l’image de l’établissement. Evénement redouté Scénario générique présentant une situation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s). Exemple Données médecine du travail: Modifica on non désirée des données : le statut d’ap tude des employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...) Risque : scénario, avec un niveau donné, combinant un événement redouté et un ou plusieurs scénarios de menaces. Gravité Estimation de la hauteur des effets d’un événement redouté ou d’un risque. Elle représente les conséquences. Exemple : Négligeable : l’organisme surmontera les impacts sans difficultés. Limitée : l’organisme surmontera les impacts malgré quelques difficultés. Importante : l’organisme surmontera les impacts avec de sérieuses difficultés. Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée. Vraisemblance Estimation de la possibilité qu’un scénario de menace ou un risque se produise. Elle représente la force d’occurrence. Exemple : Minime : cela ne devrait pas se (re)produire. Significative : cela devrait se (re)produire un jour ou l’autre. Forte : cela pourrait se reproduire. Maximale : cela va certainement se reproduire. Critère de sécurité Caractéristique d'un bien essentiel permettant d'apprécier ses différents besoins de sécurité (disponibilité, confidentialité, intégrité…). Source de menace Chose ou personne à l'origine de menaces. Elle peut notamment être caractérisée par son type (humain ou environnemental), par sa cause (accidentelle ou délibérée) et selon le cas par les ressources dont elle dispose - son expertise, sa motivation… Bien support Bien sur lequel reposent des biens essentiels. On distingue notamment les systèmes informatiques, les organisations et les locaux. On appréciera ses vulnérabilités mais pas ses besoins de sécurité. Menace Moyen type utilisé par une source de menace. Exemples : écoute passive d’un canal informatique ou de téléphonie ; modification d’un logiciel. Vulnérabilité Caractéristique d'un bien support qui peut constituer une faiblesse ou une faille au regard de la sécurité des systèmes d'information. Scénario de menace Scénario, avec un niveau donné, décrivant des modes opératoires. Il combine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en être à l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent. Exemple : vol de supports ou de documents du fait de la facilité de pénétrer dans les locaux. 109
  • 110. MODULE N°4 : POLITIQUES DE SÉCURITÉ 110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DÉFINITION D’UNE POLITIQUE CADRE ET DES POLITIQUES CIBLÉES DE SÉCURITÉ EXEMPLES DE POLITIQUES DE SÉCURITÉ NORMES DE SÉCURITÉ NORMES 27001, 27002
  • 111. POLITIQUE DE SÉCURITÉ Politique de sécurité Définition formelle de la position d'une entreprise en matière de sécurité. « Ensemble des règles formelles auxquelles doivent se conformer les personnes autorisées à accéder à l’information et aux ressources d’une organisation » (RFC 2196) Finalité d’une politique de sécurité ? « Réduire les risques » « Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? » « Définir les règles du jeu » « Communiquer , faire accepter et faire respecter les règles du jeu » 111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 112. POLITIQUE DE SÉCURITÉ Composantes d’une politique de sécurité Ensemble des principes juridiques, humains, organisationnels et techniques qu’il est recommandé de mettre en œuvre pour créer, gérer, protéger le système d’information Réussite de mise en œuvre d’une politique de sécurité Implication forte de la direction En accord avec les directions fonctionnelles et les équipes techniques Analyse des risques pleinement étudiée 112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 113. POLITIQUE DE SÉCURITÉ – CLUSIF 2014 113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 114. Les politiques de sécurité sont de trois types : – Communication – Informatique – Organisation POLITIQUE DE SÉCURITÉ 114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CLUSIF 2014
  • 115. Les politiques de communication prennent les formes suivantes : – Sensibilisation (ex : guide de l’utilisateur, Page Intranet) – Responsabilisation (ex : élaboration de charte de sécurité) – Formations ciblées par métier POLITIQUE DE SÉCURITÉ 115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CLUSIF 2014
  • 116. Les politiques touchant aux infrastructures informatiques s'articulent autour des thèmes suivants : – Systèmes et réseaux sécurisés : organisation de la sécurité opérationnelle, architectures de sécurité, études de solutions techniques, mise en œuvre (intégration, administration, exploitation, supervision) – Intégration de la sécurité dans la conduite de projets : définition méthode, actions menées sur tout le cycle conception – développement - intégration, clauses contractuelles avec les fournisseurs POLITIQUE DE SÉCURITÉ 116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 117. POLITIQUE DE SÉCURITÉ – CLUSIF 2014 117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 118. Les politiques touchant à l'organisation de la sécurité portent sur les aspects suivants : – Structures, organigramme, comités de sécurité – Responsabilités, fonctions, fiches de mission – Management du changement – Plan de continuité d'activités, Plan de secours, Gestion de crise POLITIQUE DE SÉCURITÉ 118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 119. EXEMPLES DE POLITIQUES DE SÉCURITÉ CIBLÉES Politique d’authentification (gestion des comptes) Politique d’autorisation (gestion des habilitations) Politique de gestion de la continuité des services informatique Politique d’exploitation des applications et de gestion du réseau Politique d’acquisition, développement et maintenance des applications Politique d’intervention par des tiers externes pour le personnel informatique Politique de sécurité des ressources humaines Politique de respect de la réglementation interne et externe 119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 120. EXEMPLE : POLITIQUE DE SÉCURITÉ GÉNÉRALE 120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 121. NORMES DE SÉCURITÉ 121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 122. NORMES ET CERTIFICATIONS DE SÉCURITÉ Pourquoi s’inspirer des normes ou des recueils de meilleures pratiques en matière de sécurité ? Avoir une approche structurée face à la complexité de la tâche s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche, Avoir des éléments communs (vocabulaire, concepts, …) avec tous les intervenants dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants, fournisseurs, partenaires, etc. Bénéficier de l’expérience des meilleures pratiques (succès et erreurs du passé) Se comparer aux meilleures pratiques du moment Référentiel de comparaison par rapport aux autres entreprises 122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 123. POLITIQUE DE SÉCURITÉ ET NORMES – CLUSIF 2014 123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 124. • ISO-27001 : SMSI – Cycle de gestion de la SI dit « PDCA » PLAN-DO,CHECK-ACT de la roue de Deming – Référentiel pouvant être utilisé pour auditer et certifier le système de management de la sécurité • ISO-27002 : « Code de pratiques pour la gestion de la sécurité de l'information » – propose des recommandations pour assurer la sécurité de l'information, sous la forme d'objectifs de contrôles ou de mesures de sécurité – 114 mesures de sécurité réparties en 14 chapitres Normes ISO 27001 et ISO 27002 124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 125. NORMES ISO 27001 ET ISO 27002 « ISO-27001 explique comment appliquer ISO-27002 » 125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 126. 126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La norme ISO/IEC 27002:2013 constitue un code de bonnes pratiques. Elle est composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les domaines organisationnels et techniques ci-contre. C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des S.I. d. Code de bonnes pratiques pour le management de la sécurité de l’information (27002) Politique de sécurité de l’information Organisation de la sécurité de l’information Contrôle d'accès Sécurité liée aux ressources humaines Sécurité opérationnelle Acquisition, dévpt. et maint. des SI Sécurité physique et environnementale Gestion des actifs Conformité Organisationnel Opérationnel Gestion de incidents liés à la sécurité de l’information Gestion de la continuité de l’activité Cryptographie Sécurité des communications Relations avec les fournisseurs NORME ISO 27002
  • 127. PAUSE-RÉFLEXION Avez-vous des questions ? 127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 128. RÉSUMÉ DU MODULE 128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Définition d’une politique de sécurité 3 types de politique de sécurité - exemples Normes 27001, 27002 Normes de sécurité
  • 129. MODULE N°6 : PLAN D’ACTION ET CONTRÔLES 129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PLAN D’ACTION SÉCURITÉ ET BUDGET AUDIT DE SÉCURITÉ FONCTIONNEL AUDIT DE SÉCURITÉ TECHNIQUE TABLEAU DE BORD SÉCURITÉ
  • 130. PLAN D’ACTION SÉCURITÉ ET BUDGET Un plan d’actions peut découler : d’une analyse de risques d’un audit de sécurité organisationnel ou technique Les objectifs de sécurité se déclinent en plan d’actions et projets : Plan de continuité, protection des réseaux informatiques SSO (Single Sign On), VPN (Virtual Private Network), Messagerie sécurisée … 130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 131. PLAN D’ACTION SÉCURITÉ ET BUDGET 131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Politique, procédures Sécurité physique DMZ Réseau Interne Machin e Applicat ion Donn éeChiffrement, mots de passe, droit d’accès par fichier/répertoire Contrôle des entrées, test d’intrusion, communication (https, ssh…), traçabilité… Antivirus, Correctifs de sécurité, HIDS, Authentification Sous-réseau, NIDS, VLAN… Pare-feu, VPN, Zone démilitarisée… Gardiens, verrous, contrôle d’accès… Politique de sécurité, procédure de secours, sensibilisation…
  • 132. EXEMPLES DE MESURES Mesures techniques Solution de secours informatique Cloisonnement des réseaux et sécurisation de la télémaintenance Développement sécurisé d’application Contrôle d’accès logique des utilisateurs et des administrateurs systèmes Intégration de produits de sécurité Mesures organisationnelles Intégration de la cyber sécurité dans le cycle de vie des projets industriels Spécification, Conception, développement, recette Plan de maintenance et opérations associées Sécurité physique et contrôle des accès aux locaux Plan de continuité (mode dégradé de fonctionnement) 132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 133. BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014 133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés RSSI : Responsable Sécurité
  • 134. BUDGET SÉCURITÉ – SOURCE CLUSIF 2014 134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 135. AUDIT DE SÉCURITÉ Un audit de sécurité permet d’évaluer le niveau de sécurité d’une entité à un moment donné. L’audit de sécurité positionne rapidement le niveau de sécurité de votre entreprise et identifie les chantiers prioritaires de sécurité du système d'information à mettre en œuvre. L’audit de sécurité se base sur des référentiels de sécurité telles que les normes ISO-27001 et ISO-27002. 135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 136. AUDIT DE SÉCURITÉ Audit organisationnel et technique pour garantir la cohérence Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE, SERVICE JURIDIQUE…) et techniques du SI Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques) Audit du référentiel technique (existence de systèmes de sécurité, redondance, sauvegarde, etc…) Basé sur une approche normative ISO 27002 – ISO 27001 Avantage - Positionnement rapide du niveau de sécurité par rapport à un référentiel 136 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 137. 137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DIFFÉRENTS TYPES D’AUDIT TECHNIQUES
  • 138. AUDIT TECHNIQUE : TESTS INTRUSIFS Objectifs des tests d’intrusions Stigmatiser les aspects techniques Matérialiser les vulnérabilités identifiées lors de l’audit. Référentiels : OWASP, OSSTMM Accord entre un prestataire et une société sur : Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications concernées Une période de temps : durée de l’autorisation des tests d’intrusion. Une limite de tests : pas de perturbation de la production ni de corruption de données. Focus sur les aspects juridiques Objet du contrat d’audit : entre obligations et responsabilités La licéité de l’exécution de la prestation d’audit Les risques inhérents à l’audit La confidentialité 138 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 139. TABLEAU DE BORD SÉCURITÉ Indicateurs stratégiques : Exposition aux risques (identifiés lors de l’analyse de risque), Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet : de suivre l'application de la politique de sécurité, d'établir des comparaisons avec d'autres organismes, de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du risque). Indicateurs de pilotage : Respect de la politique de sécurité et de la charte utilisateur, Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet : de contrôler la réalisation des objectifs par le niveau opérationnel, d'améliorer la qualité de service. Indicateurs opérationnels : Mesure du niveau « réel » de sécurité. Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet : de préciser les besoins opérationnels à mettre en œuvre, de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production, de motiver et dynamiser les équipes. 139 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 140. TABLEAU DE BORD SÉCURITÉ 140 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 141. TABLEAU DE BORD SÉCURITÉ 141 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 142. TABLEAU DE BORD SÉCURITÉ 142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 143. TABLEAU DE BORD SÉCURITÉ 143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 144. TABLEAU DE BORD SÉCURITÉ 144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 145. PAUSE-RÉFLEXION Avez-vous des questions ? 145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 146. RÉSUMÉ DU MODULE 146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Plan d’action sécurité Budget Tests intrusifsAudits de sécurité Tableau de bord Sécurité
  • 147. POUR ALLER PLUS LOIN Livres Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD Management de la sécurité de l'information. Implémentation ISO 27001 Broché – 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface) La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions Brochées – 9 février 2011 de Bernard Foray (Auteur) La sécurité du système d'information des établissements de santé Broché – 31 mai 2012 de Cédric Cartau (Auteur) Magazine http://boutique.ed-diamond.com/ (revue MISC) Web www.ssi.gouv.fr – Sécurité des systèmes industriels Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr www.clusif.fr 147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés147 PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 148. FIN DU VOLET MERCI POUR VOTRE ATTENTION 148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés