Université laval présentation sur la gestion des risques 31-03-2015 vf2

985 vues

Publié le

LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Université laval présentation sur la gestion des risques 31-03-2015 vf2

  1. 1. LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE! PATRICK MAROIS, M. SC., DOCTORANT SC. ADM. CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL GUILLAUME DUBÉ, CISA CRISC CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL 31 MARS 2015 http://www.isaca-quebec.ca
  2. 2. OBJECTIF Raconter les expériences vécues et l’évolution des pratiques en gestion des risques en matière de sécurité de l’information à l’Université Laval 2 Mise en garde  Il existe multiples solutions et façons de faire  Des choix en fonction de notre contexte  L’utilisation d’un vocabulaire « fonctionnel »
  3. 3. AGENDA  Mise en contexte  Période I : l’application (2000–2012)  Période II : la contextualisation (2013–2015)  Période III : la consolidation (2016+)  Discussions 3
  4. 4. MISE EN CONTEXTE L’INSTITUTION 4
  5. 5. MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS 5 CU CA Comité exécutif Recteur VREX BSI DTI ...Facultés ... VREX : Vice-rectorat exécutif et au développement BSI : Bureau de sécurité de l’information DTI : Direction des technologies de l’information Notre DPI/CIO Gestion des TI Gestion de la sécurité de l’information CU : Conseil universitaire CA : Conseil d’administration
  6. 6. MISE EN CONTEXTE TERRAIN DE RÉALISATION  Principalement la réalisation d’analyses de risques et d’audits de sécurité  Activités déclenchées par un projet ou une demande spécifique  Utilisation des structures de gestion et des processus déjà en place 6
  7. 7. PÉRIODE I : L’APPLICATION (2000 – 2012) 7 2000 20122008… 20102009 2011 Analyse de risques Audit de sécurité Portée de l’activité
  8. 8. PÉRIODE I : L’APPLICATION (2000 – 2012) Cinq (5) défis durant cette période : 8  L’agrégation des résultats produits  Le niveau de connaissance et de compréhension des concepts relatifs à la gestion des risques en sécurité de l’information  Le moment où est réalisé l’analyse de risques  L’ampleur de la portée et la quantité de recommandations  L’alignement avec le contexte de l’institution et de ses objectifs en ce qui concerne la sécurité de l’information
  9. 9. PÉRIODE I : L’APPLICATION (2000 – 2012) Cinq (5) trouvailles durant cette période : 9  Le positionnement des autres domaines d’activités (vérification de conformité, gestion des AI, gestion des incidents, …)  La sensibilisation produite par la réalisation des analyses de risques  La réceptivité et la contribution des intervenants impliqués  L’importance d’adapter les processus à notre contexte  La reconnaissance grandissante du besoin de réaliser des analyses de risques
  10. 10. PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015) 10 2013 2014 2015 Analyse de risques Audit de sécurité Évaluation de l’information Portée de l’activité
  11. 11. NOS BESOINS EN ANALYSE DE RISQUES 11 • Flexibilité • Simplicité • Adaptabilité • Stabilité • Traiter une majorité de risques sans tomber dans l’exception
  12. 12. RÉFÉRENCES ET RÉFLEXIONS 12 • Octave Allegro de l’Université Carnegie Mellon • NIST SP 800-30 rev.1 • Threat agent risk assessment (TARA) d’Intel • ISO 27005:2011 • ISO 27002:2013 • NIST SP 800-53 rev.4 (ITSG-33)
  13. 13. APPROCHE PAR MENACES (TARA) 13Source : Intel Information Technology - Prioritizing Information Security Risks with Threat Agent Risk Assessment
  14. 14. PRINCIPES GÉNÉRAUX DU PROCESSUS 14 Opérations Gestion Gouvernance Direction Direction d’un axe d’affaires Direction d’un axe d’affaires Direction d’un axe d’affaires Informatique Pilotes Affaires
  15. 15. PRINCIPES GÉNÉRAUX DU PROCESSUS 15 Évaluation des menaces Évaluation des mesures Évaluation des risques Traitement des risques
  16. 16. EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18) 16  Événement déclencheur : demande d’un projet visant la mise à jour majeure d’un système d’information  Budgets de réalisation : un premier pour l’analyse de risques et un second en prévision du plan d’action  Portée de l’activité : les améliorations prévues, mais également le système d’information dans son ensemble  Latitude de réalisation : la possibilité de rencontrer toutes les parties prenantes nécessaires
  17. 17. ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE DU RISQUE • Qu’est-ce qu’on veut ? • Établir les préoccupations de l’axe de gouvernance au niveau des impacts que pourrait générer une menace. • Comment l’obtient-on ? • Le formulaire 7 d’Octave Allegro qui permet à l’axe de gouvernance de définir les impacts non désirés (5 types d’impact). 17
  18. 18. ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE D’INFORMATION/SYSTÈME D’INFORMATION • Qu’est-ce qu’on veut ? • Définir ce qu’est la famille d’information ou le système d’information, qui en est le responsable et les besoins de sécurité. • Comment l’obtient-on ? • Le formulaire 8 d’Octave Allegro et des entrevues avec l’axe de gouvernance et les intervenants en gestion de la famille d’information ou le système d’information. 18
  19. 19. ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE L’INFORMATION/SYSTÈME D’INFORMATION • Qu’est-ce qu’on veut ? • Définir l’environnement technologique, physique et humain supportant chaque famille d’information ou chaque système d’information. • Comment l’obtient-on ? • Les formulaires 9a, 9b et 9c d’Octave Allegro et des entrevues avec les intervenants de la gestion et les opérations. 19
  20. 20. ÉTAPE 4 : IDENTIFIER LES MENACES ET LES IMPACTS • Qu’est-ce qu’on veut ? • Identifier les menaces et les impacts pour chaque famille d’information ou système d’information. • Comment l’obtient-on ? • Les questionnaires de scénarios de menaces 1, 2 et 3 d’Octave Allegro, le formulaire 10 d’Octave Allegro, des entrevues avec l’axe de gouvernance, la gestion et les opérations. 20
  21. 21. ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE MENACES » • Qu’est-ce qu’on veut ? • Assembler les menaces avec les impacts et on définit une valeur à chaque scénario. • Comment l’obtient-on ? • Le résultats des étapes précédentes et on utilise les tables du NIST SP 800-30 rev.1 (annexe E, G et H). • Validation avec l’axe de gouvernance. 21
  22. 22. ÉTAPE 6 : ÉVALUER LES MESURES DE SÉCURITÉ • Qu’est-ce qu’on veut ? • Évaluer les mesures de sécurité pouvant mitiger les scénarios de menaces identifiés. • Comment l’obtient-on ? • Entrevues et tests technologiques (lorsque qu’applicable). • Utilisation de l’ISO 27002:2013 et du NIST SP 800-53 rev.4. 22
  23. 23. ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS • Qu’est-ce qu’on veut ? • Identifier les lacunes et vulnérabilités suite à l’évaluation des mesures. • Comment l’obtient-on ? • Les résultats de l’étape précédente et on quantifie avec l’annexe F du NIST SP 800-30. 23
  24. 24. ÉTAPE 8 : DÉFINIR LES RISQUES • Qu’est-ce qu’on veut ? • Associer les scénarios de menaces aux vulnérabilités applicables et les quantifier. • Comment l’obtient-on ? • Les résultats de l’étape précédente et on quantifie avec l’annexe I du NIST SP 800-30 rev.1. 24
  25. 25. ÉTAPE 9 : COMMUNIQUER LES RISQUES • Qu’est-ce qu’on veut ? • Présenter à l’axe de gouvernance les risques jugés modérés et importants. • Comment l’obtient-on ? • Rencontre avec l’axe de gouvernance et la gestion de la famille d’information ou du système d’information ! 25
  26. 26. OCTAVE-UL 26
  27. 27. EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES 27 Résultat : sept (7) recommandations concernant la mise en place de correctifs visant les vulnérabilités identifiées  1 recommandation avec un budget déjà prévu  2 recommandations jugées importantes à prendre en charge immédiatement dans le projet  1 recommandation pouvant être incorporée dans un autre projet actuellement en préparation  3 recommandations à évaluer et à planifier
  28. 28. PÉRIODE III : LA CONSOLIDATION (2016 +) 28 2016 … L’analyse de risques en sécurité de l’information : poursuivre son évolution et son opérationnalisation La gestion des risques en sécurité de l’information : entreprendre des travaux d’adaptation pour favoriser la prise en compte plus spécifiquement de notre contexte
  29. 29. DISCUSSIONS 29 Questions ou commentaires ?
  30. 30. VOS PRÉSENTATEURS 30 Patrick Marois, M. Sc., Doctorant Sc. Adm. patrick.marois@dti.ulaval.ca Guillaume Dubé, CISA CRISC guillaume.dube@bsi.ulaval.ca

×