Le document explore les interactions complexes entre la sécurité et la continuité des opérations, mettant en évidence que la sécurité peut parfois compromettre la continuité si mal gérée. Il aborde les normes de sécurité, les bonnes pratiques et les études de cas sur diverses menaces pour illustrer comment élaborer des stratégies efficaces de continuité. L'accent est mis sur la nécessité d'une coopération entre ces deux domaines pour garantir la résilience organisationnelle.

1. Sécurité & Continuité Interactions complexes ? Bertrand Milot, RSSI TMX - Bourse de Montréal +1 (514) 871 2424 [email_address] Jeudi 22 janvier 2009 3e conférence annuelle de RÉCO-Québec sur la Continuité des Opérations

2. La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? La technologie répond-t-elle aux besoins de sécurité à l’intérieur d’un PCO et d’un PRO ? La Continuité des Opérations et la Sécurité ont un maillage tellement étroit que les faire fonctionner ensemble et en cohérence devient complexe et imprévisible : on dit que « trop de sécurités, tue la sécurité », dans les faits « trop de sécurité peut annihiler la continuité ». Le but est d’identifier les interactions viables entre « bonnes pratiques », normes, protections et productivité. Permettre à l’entreprise de survivre tout en prévenant menaces et vulnérabilités pendant et après incident ressemble de moins en moins à un parcours linéaire. Méthodes et études de cas. Nous connaissons tous les contenu d'un PCO et d'une PSSI, mais avons-nous vraiment évalué l'interaction pratique de leur périmètre . Comment vivent leurs cycles au sein d'une compagnie ? 05/07/10 Sécurité & Continuité : interactions complexes

3. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes

4. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes

5. A 1 . Que disent les normes de sécurité ? La norme la plus reconnue en matière de sécurité est la BS 7799 sur laquelle s’est fondée l’ISO 17799 devenue récemment l’ISO 27002. Schématiquement, la démarche classique de sécurisation du système d'information doit passer par 4 étapes de définition : 1. périmètre à protéger (liste des biens/actifs sensibles), 2. nature des menaces, 3. impacts sur le système d'information, 4. mesures de protection à mettre en place. La norme ISO 17799 comporte 39 catégories de contrôle et 134 règles de vérification répartis en 11 domaines : 4 chapitres sont dédiés au management de la sécurité des informations (les politiques de sécurité, l'organisation, la classification , le contrôle et la conformité). 2 chapitres sur la sécurité du personnel (contrôle lors du recrutement, formation et sensibilisation) et sur la sécurité physique (équipements et périmètre de sécurité). 5 chapitres sur le développement de l'exploitation des systèmes d'information (contrôles d'accès, développement et maintenance des systèmes, gestion de la continuité ). Le référentiel COBIT couvre une bonne partie des domaines de l'ISO 27002. COBIT étant à vocation plus large, il gère l'information au travers un grand nombre de "critères" : Efficacité, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité. En regard, l'ISO 27002 se limite à la Confidentialité, l'Intégrité la Disponibilité et la Conformité. 05/07/10 Sécurité & Continuité : interactions complexes

6. A 2 . Que disent les normes de sécurité ? 05/07/10 Sécurité & Continuité : interactions complexes Questionnaire d’audit ISO 27002 : 2005 Whether procedures were included within the organisations change management programme to ensure that Business continuity matters are appropriately addressed . Whether Business continuity plans were maintained by regular reviews and updates to ensure their continuing effectiveness. Whether Business continuity plans are tested regularly to ensure that they are up to date and effective. 11.1.5 Testing, maintaining and re-assessing business continuity plan Whether this identifies conditions for activation and individuals responsible for executing each component of the plan. Whether this framework is maintained to ensure that all plans are consistent and identify priorities for testing and maintenance. Whether there is a single framework of Business continuity plan. 11.1.4 Business continuity planning framework Whether the plan is regularly tested and updated . Whether plans were developed to restore business operations within the required time frame following an interruption or failure to business process. 11.1.3 Writing and implementing continuity plan Whether a strategy plan was developed based on the risk assessment results to determine an overall approach to business continuity. Whether a risk assessment was conducted to determine impact of such interruptions. Whether events that could cause interruptions to business process were identified example: equipment failure, flood and fire. 11.1.2 Business continuity and impact analysis This might include Organisation wide Business continuity plan, regular testing and updating of the plan , formulating and documenting a business continuity strategy etc., Whether there is a managed process in place for developing and maintaining business continuity throughout the organisation. 11.1.1 Business continuity management process

7. A 3 . Que disent les normes de sécurité ? 05/07/10 Sécurité & Continuité : interactions complexes L’ ISO 27007 en « draft » est inspirée de l’ISO 19011:2002 relative à l’audit de SME (environnement) et SMQ (qualité) Au 15 septembre 2007, l’ ISO 27031 était en « draft » et sera fondée probablement sur… une norme Singapourienne : BC/DR SS507 le British Standard : BS 25999

8. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes

9. B. Traduire les objectifs de sécurité Les objectifs fixés par la norme ISO 27002 en matière de gestion de la continuité des opérations imposent la mise en place de procédures visant à réduire les risques d'interruption de l'activité, à limiter les conséquences des perturbations et à assurer la reprise des opérations dans les meilleurs délais. Il faut donc… Plan d’urgence : traiter efficacement les causes des incidents à l’origine de l’interruption de l’activité (gestion d’incidents) et tenir le personnel sensibilisé, Plan de secours : utiliser au mieux les capacités de gestion des niveaux de service (rapports, KPI) et assurer la conformité avec les contrats de niveau de service pour remonter un service nominal et/ou dégradé (SLA indexés sur la criticité), Plan de reprise : documenter et tester efficacement les procédures de reprise pour diminuer le plus possible le délai de récupération (redondance et relève). PLAN DE CONTINUITE DES OPERATIONS 05/07/10 Sécurité & Continuité : interactions complexes

10. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes

11. C 1 . Les « bonnes pratiques » qui favorisent la continuité Une d es « bonnes pratiques » que l’on connaît du point de vue de la continuité s’exprime dans la création et la multiplication de services parallèles ou semi-complémentaires : site chaud : site de secours où l'ensemble des serveurs et autres systèmes sont allumés, à jour, interconnectés, paramétrés, alimentés à partir des données sauvegardées et prêt à fonctionner. Le site doit aussi fournir l'ensemble des infrastructures pour accueillir l'ensemble du personnel à tout moment et permet une reprise d'activité dans des délais relativement courts (quelques heures). Un tel site revient quasiment à doubler les capacités informatiques de l'entreprise (on parle de redondance ) et présente donc un poids budgétaire non négligeable. (définition de wikipedia) site tiède : site de secours intermédiaire. En général on trouve des machines installées (mise à jour décalée par rapport au site de production) avec les données sur bande mais non importées dans les systèmes de données. (définition de wikipedia) site froid : site de secours qui peut avoir une autre utilisation en temps normal. Les serveurs et autres systèmes sont stockés mais non installés, connectés, etc. Lors d'un sinistre, un important travail doit être effectué pour mettre en service le site ce qui conduit à des temps de reprise long (quelques jours). Mais son coût de fonctionnement, hors période d'activation, est faible voire nul. (définition de wikipedia) Néanmoins est-ce la bonne solution ? On peut tout doubler et redonder : hommes, lignes électriques, téléphoniques et réseautiques , les machines, les bâtiments…etc. 05/07/10 Sécurité & Continuité : interactions complexes

12. Pendant le service normal , des solutions de sécurité sont en place pour vérifier et limiter les vulnérabilités des activités : Surveillance de sécurité : les IDS (Sonde de Détection d’Intrusion), les caméras de surveillance, les événements de sécurité des machines permettent l’analyse de menaces numériques potentielles. Contrôles des accès : les annuaires centraux d’utilisateurs, les badges d’identification, les certificats numériques sont analysé régulièrement pour éviter l’utilisation abusive de privilèges à travers le système d’information. Dispositifs de protection : les pare-feu, l’encryptage, les anti-virus, les anti-spam, les mises à jour de sécurité des systèmes et les portes et sas à accès limité diminuent et ralentissent les tentatives d’intrusion. Sensibilisation des employés : le rappel des procédures interne, la veille sécuritaire des menaces, la communication régulière et les sessions de formation permettent à tous de ne pas être à l’origine d’une brèche de sécurité. Interactions entre le PCO et la PSSI : l'un dit que l'autre doit exister et vice versa… Certaines solutions concernant la disponibilité et l'intégrité surtout de la PSSI débordent sur des besoins du PCO (redondance, sauvegarde, restauration, tests de ces éléments). Revenons à notre schémas initiale : 05/07/10 Sécurité & Continuité : interactions complexes C 2 . Les « bonnes pratiques » qui garantissent la continuité PLAN DE CONTINUITE DES OPERATIONS Sécurité Sécurité Sécurité ???

13. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes

14. Prenons en exemple une compagnie fictive « Alpha Finance », son activité e-business est critique. Elle a donc prévu pour ses applications web et ses biens sensibles : 2 sites miroirs actifs distants d’hébergement (architecture dite « Hot-Hot ») 2 immeubles de bureaux pour les employés où les équipes opérationnelles se partagent entre les 2 lieux par roulement chaque semaine. 1 site de stockage froid, indépendant des 2 sites de production, où les sauvegardes incrémentales faites chaque 48h sont envoyées. Le plan de continuité et de reprise est testé, la sensibilisation des employés est faite régulièrement et la documentation est à jour. Le cabinet Markess révèle, via un sondage fait en 2007, que 73% entreprises et administrations interrogées pensent que l'hébergement externe de certaines de leurs infrastructures et/ou applications est déjà ou pourrait être une réponse à leurs enjeux de continuité, tout comme la virtualisation par ailleurs. 50% en sont même sûrs. 05/07/10 Sécurité & Continuité : interactions complexes D 1 . Étude de cas

15. D 2 . Étude de cas Menace numérique expansive Un jeune étudiant s’essaye aux attaques DoS (Interruption de Service) massives, à l’exploitation de vers et de rootkits. Notre étudiant vient de comprendre la stéganographie : il camoufle quelques lignes de code dans une image humoristique et l’envoie par courriel. Ce script a pour but de télécharger un rootkit qui va se cacher dans une librairie système, écouter les entrées clavier utilisateur et être inactif en attendant de pouvoir se mettre à jour ou de télécharger d’autres composants, il communique uniquement via un port peu utilisé actuellement bloqué par les pare-feu d’«Alpha Finance ». Notre compagnie « Alpha Finance » utilise des pare-feu de type CISCO assez robustes, mais non mis à jour depuis leur acquisition en janvier 2008. Septembre 2008 : De multiples vulnérabilités distantes affectant les Cisco ASA et Cisco PIX ont été détectées. L’exploitation de ces vulnérabilités peut conduire à des dénis de service ou à la divulgation d’informations confidentielles. Notre étudiant exploite la faille et fait tomber un premier pare-feu sur le SITE n°1, le deuxième pare-feu prend instantanément le relais. Pensant avoir raté son coups, il recommence. Le deuxième tombe à son tour. Le SITE n°2 prend cette fois le relais, il tombe lui aussi en quelques minutes plus tard. Nous sommes en pleine journée ouvrée, il y a interruption de service . Les équipes s’affèrent à remonter les applications et branchent très temporairement les réseaux internes en direct, afin de ne pas bloquer des transactions critiques, en attendant la mise à jour et le redémarrage des pare-feu. Le rootkit pouvant communiquer vers l’extérieur s’active, télécharge de nouveaux composants plus dangereux et se multiplie en usurpant les droits « administrateur » qu’il a pu détecter pendant son « hibernation ». En quelques heures, il infecte les 2 sites. Prises de contrôle ou infection massive et multiples >> DDoS (Distributed denial-of-service) ROOTKITS : Les rootkits ne sont pas dangereux par eux-mêmes mais ils sont utilisés dans un but malveillant par des virus, des backdoors ou des logiciels espions. Un virus combiné à un rootkit peut alors agir de façon complètement transparente sur un ordinateur, même équipé d’un antivirus avec analyse en temps réel et à jour. 05/07/10 Sécurité & Continuité : interactions complexes

16. D 3 . Étude de cas Menace humaine externe 05/07/10 Sécurité & Continuité : interactions complexes Un vol de documents prémédité initié par un feu criminel. Stress + situation inhabituelle = moins de prudence de chacun = perte de contrôle de la situation Période d’ ingénierie sociale pour connaître le prochain test de relève. Il se fera passer pour un auditeur d’une firme connue et posera des questions pour « soit disant » tester vos connaissances. Rendez-vous fictifs dans les bureaux pour être vu et reconnu. Il portera le costume et la cravate parfaite pour sa démonstration. Feu intentionnel, alerte à la bombe, déclenchement du signal incendie (diversion) dans les parties communes pendant le test de relève Effraction dans les bureaux pendant l’évacuation générale

17. D 4 . Étude de cas Menace climatique lourde Une tempête de neige violente coupe l’apport d’électricité pendant plusieurs heures à partir de 7h, un lundi matin sur 50km². Les apports instables d’électricité ont généré plusieurs microcoupures et pics de tension successifs, les sites de productions sont classés TUI niveau 2 : les circuits gérant l’« inverter » et le « bypass » ont subi des dommages. Les génératrices ont du mal à partir à -30°c. Perte de confiance dans les infrastructures… Remonté complète d’application sur un site froid à 80 km des sites de production car les clients d’ « Alpha Finances » sont partout dans le monde. Les équipes et les sauvegardes mettent du temps à arriver jusqu’au site froid. Les machines mises à disposition sur place sont anciennes et non mises à jour. L’installation des dernières versions des applications d’ « Alpha Finances » sont difficiles . Les services en mode dégradé fonctionnent mais sont plus vulnérables aux tentatives d’intrusions et/ou attaques qui les ciblent. Les erreurs humaines dues au stress et à la fatigue augmentent : « Loi de Murphy » 05/07/10 Sécurité & Continuité : interactions complexes

18. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes

19. E. Quelle stratégie adopter ? Une solution miracle… Des choix faits dans l’urgence… Pas de gestion de la double panne Relève des services d’affaires critiques uniquement La sécurité est un luxe Quelle solution : Plan de Sécurité dégradé Surveillance des systèmes de relève non-automatisée, non-préventive, mais vérifiée en temps-réel Contrôle des accès limité aux utilisateurs à forts privilèges et recertification des accès après retour à la normal Dispositifs de protection inclus à la liste des actifs opérationnels critiques Sensibiliser le personnel avant, pendant et après l’incident sur les risques et vulnérabilités du système d’information pendant l’exécution d’un plan de relève. 05/07/10 Sécurité & Continuité : interactions complexes PLAN DE CONTINUITE DES OPERATIONS Sécurité Sécurité Plan de Sécurité dégradé

20. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes

21. F. Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? RECO Québec utilise « O » pour opérations et c’est là l’importance. La sécurité doit faire partie des opérations normales à remonter en cas d’incident. La continuité et la sécurité sont des domaines qui ont beaucoup muris depuis la dématérialisation. L’évolution doit continuer . La sécurité est aussi garante du bon déroulement d’exercices aussi difficile qu’est celui du plan de relève . Des mesures, comme un plan de sécurité dédié , doivent être prévues en amont pour le cas échéant ne pas être aveugle et sourd quand le terrain est le plus dangereux . La Continuité et la Sécurité n’interviennent pas en séquences mais en continu et en parallèle. Ils sont indissociables ! 05/07/10 Sécurité & Continuité : interactions complexes

22. Pour toutes vos questions sur cette conférence, n’hésitez pas à me joindre… Bertrand Milot, RSSI TMX - Bourse de Montréal +1 (514) 871 2424 [email_address] 05/07/10 Sécurité & Continuité : interactions complexes

23. Interview de Olivier BISIAUX de Global Equities dans le « GuideInformatique.com » Dossiers SMSI, ISO17799 et 27001 de ysosecure.com Article « ISO 27001:2005 + CBK » de Jean-Sébastien Pilon dans la documentation d’HEC.ca Article « Evolution des normes ISO 17799 et ISO27001 (BS7799-2) » de Marc Behar sur XMCO Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 de la Lettre d’Avril 2007 dans le « GuideInformatique.com » STEALTH-ISS LLC - Technology Security Encryption Defense : ISO 17799 Wikipedia (définitions des types de sites de continuité) Avis public de sécurité du 05-09-2008 sur mag-securs.com Le Livre Blanc de l’ISO 27000 de Laurent Bellefin Dossiers sur les attaques numériques de securiteinfo.com Remerciements : Michael Barbara, Yan Huard et Michel Cere. 05/07/10 Sécurité & Continuité : interactions complexes