1. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
De vos applications à vos Firewall,
Unifiez votre stratégie de sécurité
Orchestrer ses politiques de sécurité réseau,
c'est simplifier l’exploitation et améliorer la maîtrise de son infrastructure
01.04.2019 1
Patrice ROGGEMAN
Senior Security Engineer
Christoph GRAF
Presales Engineer
2. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
AGENDA DE LA PRÉSENTATION
01.04.2019 2
12:00 - 12:30 **Place à l’entrée**
• EXIGENCES RÉGLEMENTAIRES
• Mondialisation économique, mais pas de réglementation commune
▪ Etats Unis : Cloud Act
▪ Union européenne : GDPR
▪ Suisse (Marchés financiers) FINMA
12:30 - 13:00 **Le Plat Principal**
• DOCUMENTATION DE L’INFRASTRUCTURE, OPTIMISATION DES RESSOURCES ET PROCESSUS
• Documenter son réseau automatiquement et en temps réel, c’est possible !!!
• La cartographie applicative facilite la gestion du cycle de vie des applications
• Formaliser et appliquer une politique de filtrage
• Automatiser les changements firewall
• Facilitation des démarches d’audit
3. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
AGENDA DE LA PRÉSENTATION
01.04.2019 3
13:00 – 13:30 **Un Moment sucré**
• RULE RECERTIFICATION WORKFLOW
• MANAGING CLOUD-NATIVE SECURITY POLICIES
4. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
EXIGENCES RÉGLEMENTAIRES
01.04.2019 4
5. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
US Cloud Act (Clarifying Lawful Overseas Use of Data)
• Toute entreprise édifiée sur le sol américain doit être en mesure de fournir les informations
personnelles qu’elle détient sur simple demande des autoritées américaines.
• Ce principe s’applique à TOUTES les données, y compris celles hébergées hors US.
Exception !!!
• Les principes suivants permettent aux Service Provider de refuser cette transmission d’information
:
• L’individu n’est ni citoyen, ni résidant américain
• ET cette démarche expose le Service Provider à des sanctions légales de la part des autorités locales
• Exemple : Microsoft Case
01.04.2019 5
6. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
EU GDPR (Global Data Privacy Regulation)
• Les personnes physiques doivent pouvoir “maîtriser” le contenu et l’utilisation de leurs
données personnelles hébergées chez les fournisseurs d’accès soumis au droit européen
quels que soient les lieux d’hébergement.
• Ce principe s’applique à TOUTES les données personnelles collectées par des entités
commerciales ou institutionnelles ayant pour “cible” de clientèle, des ressortissants
européens (y compris celles hébergées hors EU : sous-traitance, Cloud Services).
• Le langage proposé, ainsi que la devise de transaction, font partie des critères d’identification du
périmètre d’application.
Sanctions encourues !!!
• Un max de 4% du CA ou 20 M d’euros
01.04.2019 6
7. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
FINMA - Autorité suisse de régulation des marchés financiers
• Les circulaires détaillent la réglementation :
• Les points concernant l’IT sont de plus en plus précis,
• Il est important de démontrer une réelle maîtrise de son infrastructure.
• Les rapports annuels présentent les statistiques de l’année écoulée ainsi que certaines
enquêtes menées :
• À noter : est sanctionné le non respect de “l’état de l’art”
01.04.2019 7
8. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La circulaire FINMA 2008/21 (Risques opérationnels)
• 135.1 : Vue d’ensemble actualisée des principaux éléments de l’infrastructure de réseau et
inventaire de toutes les applications critiques, de l’infrastructure IT liée et des interfaces avec
des tiers.
• 135.2 : Définition claire des rôles, tâches et responsabilités en relation avec les applications
critiques.
• 135.3 : Processus systématique pour l’identification et l’évaluation des risques IT.
01.04.2019 8
9. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La circulaire FINMA 2018/3 (Outsourcing- Banques et assureurs)
• L’entreprise continue à assumer vis-à-vis de la FINMA la même responsabilité que celle qui serait
la sienne si elle exerçait elle-même la fonction externalisée. Elle doit garantir à tout moment la
conduite en bonne et due forme des affaires.
• L’entreprise, sa société d’audit et la FINMA doivent être en mesure de vérifier le respect des
dispositions prudentielles auprès du prestataire. Un droit de regard et d’examen intégral,
permanent et sans entraves sur la fonction externalisée doit leur être reconnu par contrat.
01.04.2019 9
10. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Extraits de rapports
• «La banque a soutenu dans le cadre de la présente procédure que certaines recommandations du
consultant externe allaient au-delà de ce qui était strictement nécessaire au regard de la loi et que
les faiblesses y relatives ne pouvaient lui être reprochées. Cet argument est infondé. La loi ne
détermine en effet pas elle-même les mesures de sécurité nécessaires mais impose aux
établissements bancaires de définir et de mettre en place les mesures d’organisation adaptées à la
couverture des risques de leur activité spécifique.»
• «Quoi qu’il en soit, (…), la considération de l’ensemble de ces faiblesses permet de constater que
l’organisation informatique de la banque ne correspondait pas à une organisation informatique
irréprochable selon les exigences légales et les règles de l’art (…). En effet, une organisation
irréprochable du secteur informatique exigeait, au vu de l’activité de la banque, une définition
uniforme et clairement documentée : des données confidentielles, de l’organisation des supports
informatiques sur lesquels elles étaient conservées, des personnes qui en étaient responsables, des
mesures de protection qui leur étaient applicables ainsi que des contrôles des processus de travail
en matière IT.»
01.04.2019 10
11. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
En résumé ….
• Chaque réglementation devrait faire l’objet d’une matrice de
compliance spécifique
• Etablir cette matrice nécessite une documentation précise.
• Monitorer le respect de ces réglementations nécessite des outils spécifiques
• La FINMA exige :
• Une documentation précise et actualisée
• Une clause d’auditabilité dans le cadre des prestations externalisée
01.04.2019 11
12. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
DOCUMENTATION DE L’INFRASTRUCTURE,
OPTIMISATION DES RESSOURCES ET PROCESSUS
01.04.2019 12
13. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
• Maintien en condition opérationnelle
• Agilité Business
• Respect des contraintes régulatoires
• La politique de sécurité
• Complexité du système d’information
• Hétérogénéité des composants
• Budgets
01.04.2019 13
Challenge de la gestion de la sécurité des infrastructures
LES ENJEUX LES COMPOSANTES
14. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Les piliers d’une politique de filtrage
• Protéger quoi, comment ?
• Identification et classification des données
• Identification des applications utilisant ces données
• Mapping Users / Applications / Infrastructures (RACI, Data at rest, Data in Transit)
• Définition de la matrice de filtrage
• L’infrastructure réseau
• Quels sont ses composants ?
• Lesquels participent au transport des données ?
• Les modifications de configuration ?
• Temps nécessaire à une modification ?
• Risque d’erreur
• Comment vérifier a posteriori, la pertinence d’une règle de filtrage ?
• Post-implémentation
• Dans le cadre d’une démarche d’audit
01.04.2019 14
15. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La documentation : Creation et mise à jour
• LA DOCUMENTATION APPLICATIVE
• Application Owner
• Les données
• Les serveurs
• Les clients
• Les exploitants
• Les flux
• Les contraintes réglementaires
• L’INFRASTRUCTURE RÉSEAU
• Les composants
• Les configurations en production
01.04.2019 15
16. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La documentation applicative
• PROCESSUS ET OUTILS DE CREATION DOCUMENTAIRE
• Rien, Word /Excel……Mieux ????
• PROCESSUS DE MAJ DOCUMENTAIRE ET DE DIFFUSION DES MAJ ?
• Réactivité de ces mises à jour ?
• Validation de ces mises à jour ?
• Prise en compte de ces mises à jour par les autres équipes opérationnelles (network / firewall
notamment) ?
• Traçabilité de ces mises à jour ?
01.04.2019 16
17. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La documentation applicative - suite
01.04.2019 17
18. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La documentation applicative - suite
01.04.2019 18
19. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La formalisation des politiques de filtrage
01.04.2019 19
20. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La documentation de l’infrastructure réseau
• PROCESSUS ET OUTILS DE CREATION DOCUMENTAIRE
• Rien, Visio……Mieux ????
• Règles de routage ?
• Règles de filtrage ?
• PROCESSUS DE MAJ DOCUMENTAIRE ET DE DIFFUSION DES MAJ ?
• Réactivité de ces mises à jour ?
• Prise en compte de ces mises à jour par les autres équipes opérationnelles (network / firewall
notamment) ?
• Traçabilité de ces mises à jour ?
01.04.2019 20
21. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La documentation de l’infrastructure réseau
01.04.2019 21
22. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La documentation de l’infrastructure réseau
01.04.2019 22
23. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La gestion du changement firewall
• PROCESSUS D’UPDATE FIREWALL un workflow formalisé ou non
• Comment soumettre et formaliser la demande de changement
• Validation de la demande
• Réalisation technique
• Vérification post-implémentation
01.04.2019 23
24. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
La gestion du changement firewall
01.04.2019 24
25. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Calcul des modification à apportées
01.04.2019 25
26. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Le monitoring et l’audit
• PROCESSUS D’AUDIT DES RÈGLES DE FILTRAGE
• Confronter la documentation à la réalité des configurations et des demandes de changement
• Quelle fréquence chez vous ?
• Quel coût (en temps homme) ?
01.04.2019 26
27. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Monitoring “temps réel”
01.04.2019 27
28. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Et si l’automatisation était possible ?
• Quand la MAJ documentaire permet la MAJ automatique des configurations
de production
• Server Decommissioning
• Application Flows Updates
• Rule recertification (cf C.Graf présentation)
• Cloud visibility (cf C.Graf présentation)
01.04.2019 28
29. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
En conclusion
• La documentation implique des côuts mais….
• Permet d’accroitre la réactivité (change, audit)
• Devient une obligation légale (risque d’amendes et/ou perte de license d’exploitation)
=> Documenter c’est investir
• Surtout si on capitalise sur la documentation afin d’améliorer les processus
d’exploitation
• Changement automatisé = diminution du risque d’erreur
• Reporting automatisé = Optimisation des contrôles internes
• Clarté et facilité d’accès à la documentation = Démonstration de maitrise de
l’infrastructure et confort pour vos auditeurs externes…..
01.04.2019 29