SlideShare une entreprise Scribd logo
Sécurité  &  Continuité Interactions complexes ? Bertrand Milot, RSSI TMX - Bourse de Montréal +1 (514) 871 2424 [email_address] Jeudi 22 janvier 2009 3e conférence annuelle de RÉCO-Québec sur la Continuité des Opérations
La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  La technologie répond-t-elle aux besoins de sécurité  à l’intérieur d’un PCO et d’un PRO ? La Continuité des Opérations et la Sécurité ont  un maillage tellement étroit  que les faire fonctionner ensemble et en cohérence devient  complexe et imprévisible  : on dit que « trop de sécurités, tue la sécurité », dans les faits « trop de sécurité peut annihiler la continuité ». Le but est  d’identifier les interactions viables  entre « bonnes pratiques », normes, protections et productivité. Permettre à l’entreprise de  survivre tout en prévenant menaces et vulnérabilités  pendant et après incident ressemble de moins en moins à un parcours linéaire. Méthodes et études de cas. Nous connaissons tous les contenu d'un PCO et d'une PSSI, mais avons-nous vraiment  évalué l'interaction pratique de leur périmètre . Comment vivent leurs cycles au sein d'une compagnie ? 05/07/10 Sécurité & Continuité : interactions complexes
Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
A 1 . Que disent les normes de sécurité ? La norme la plus reconnue en matière de sécurité est la  BS 7799  sur laquelle   s’est fondée  l’ISO 17799 devenue récemment l’ISO 27002. Schématiquement, la démarche classique de sécurisation du système d'information doit passer par  4 étapes de définition  : 1. périmètre à protéger (liste des biens/actifs sensibles),  2. nature des menaces,  3. impacts sur le système d'information,  4. mesures de protection à mettre en place.  La norme  ISO 17799  comporte 39 catégories de contrôle et 134 règles de vérification répartis en 11 domaines : 4 chapitres  sont dédiés au management de la sécurité des informations (les politiques de sécurité, l'organisation, la classification , le contrôle et la conformité). 2 chapitres  sur la sécurité du personnel (contrôle lors du recrutement, formation et sensibilisation) et sur la sécurité physique (équipements et périmètre de sécurité). 5 chapitres  sur le développement de l'exploitation des systèmes d'information (contrôles d'accès, développement et maintenance des systèmes,  gestion de la continuité ). Le  référentiel COBIT  couvre une bonne partie des domaines de l'ISO 27002. COBIT étant à vocation plus large, il gère l'information au travers un grand nombre de "critères" :  Efficacité, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité. En regard, l'ISO 27002 se limite à la Confidentialité, l'Intégrité la Disponibilité et la Conformité. 05/07/10 Sécurité & Continuité : interactions complexes
A 2 . Que disent les normes de sécurité ? 05/07/10 Sécurité & Continuité : interactions complexes Questionnaire d’audit ISO 27002 : 2005 Whether procedures were included within the organisations change management programme to ensure that  Business continuity matters are appropriately addressed .  Whether Business continuity plans were  maintained by regular reviews  and updates to ensure their continuing effectiveness.  Whether  Business continuity plans are tested regularly  to ensure that they are  up to date and effective. 11.1.5 Testing, maintaining and re-assessing business continuity plan Whether this identifies  conditions for activation  and individuals responsible for executing each component of the plan. Whether  this framework is maintained  to ensure that all plans are consistent and identify priorities for testing and maintenance.  Whether there is  a single framework  of Business continuity plan. 11.1.4 Business continuity planning framework Whether the  plan is regularly tested and updated . Whether plans were developed to  restore business operations within the required time frame  following an interruption or failure to business process.  11.1.3 Writing and implementing continuity plan Whether a  strategy plan was developed based on the risk assessment  results to determine an overall approach to business continuity. Whether a  risk assessment was conducted to determine impact  of such interruptions.  Whether events that could cause  interruptions  to business process were  identified  example: equipment failure, flood and fire.  11.1.2 Business continuity and impact analysis This might include Organisation wide  Business continuity plan, regular testing and updating of the plan , formulating and documenting a business continuity strategy etc.,  Whether there is  a managed process in place for developing and maintaining business continuity  throughout the organisation.  11.1.1 Business continuity management process
A 3 . Que disent les normes de sécurité ? 05/07/10 Sécurité & Continuité : interactions complexes L’ ISO 27007  en « draft » est inspirée de l’ISO 19011:2002 relative à l’audit de SME (environnement) et SMQ (qualité) Au 15 septembre 2007, l’ ISO 27031  était en « draft » et sera fondée probablement sur… une norme Singapourienne : BC/DR SS507  le British Standard : BS 25999
Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
B. Traduire les objectifs de sécurité Les objectifs fixés par la norme ISO 27002 en matière de gestion de la continuité des opérations imposent la mise en place de procédures visant à réduire les risques d'interruption de l'activité, à limiter les conséquences des perturbations et à assurer la reprise des opérations dans les meilleurs délais. Il faut donc… Plan d’urgence :  traiter efficacement les causes des incidents à l’origine de l’interruption de l’activité (gestion d’incidents) et tenir le personnel sensibilisé, Plan de secours  : utiliser au mieux les capacités de gestion des niveaux de service (rapports, KPI) et assurer la conformité avec les contrats de niveau de service pour remonter un service nominal et/ou dégradé (SLA indexés sur la criticité), Plan de reprise  : documenter et tester efficacement les procédures de reprise pour diminuer le plus possible le délai de récupération (redondance et relève). PLAN DE CONTINUITE DES OPERATIONS 05/07/10 Sécurité & Continuité : interactions complexes
Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
C 1 . Les « bonnes pratiques » qui  favorisent la continuité Une d es « bonnes pratiques » que l’on connaît du point de vue de la continuité s’exprime dans la création et la multiplication de services parallèles ou semi-complémentaires : site chaud   :  site de secours où l'ensemble des serveurs et autres systèmes sont allumés, à jour, interconnectés, paramétrés, alimentés à partir des données sauvegardées et prêt à fonctionner. Le site doit aussi fournir l'ensemble des infrastructures pour accueillir l'ensemble du personnel à tout moment et permet une reprise d'activité dans des délais relativement courts (quelques heures). Un tel site revient quasiment à doubler les capacités informatiques de l'entreprise (on parle de  redondance ) et présente donc un poids budgétaire non négligeable.   (définition de wikipedia)   site tiède  :  site de secours intermédiaire. En général on trouve des machines installées (mise à jour décalée par rapport au site de production) avec les données sur bande mais non importées dans les systèmes de données.  (définition de wikipedia) site froid   :  site de secours qui peut avoir une autre utilisation en temps normal. Les serveurs et autres systèmes sont stockés mais non installés, connectés, etc. Lors d'un sinistre, un important travail doit être effectué pour mettre en service le site ce qui conduit à des temps de reprise long (quelques jours). Mais son coût de fonctionnement, hors période d'activation, est faible voire nul.  (définition de wikipedia) Néanmoins est-ce  la bonne solution  ? On peut tout doubler et redonder : hommes, lignes électriques, téléphoniques et réseautiques , les machines, les bâtiments…etc. 05/07/10 Sécurité & Continuité : interactions complexes
Pendant le  service normal , des  solutions de sécurité  sont en place pour vérifier et limiter les vulnérabilités des activités : Surveillance de sécurité :  les IDS (Sonde de Détection d’Intrusion), les caméras de surveillance, les événements de sécurité des machines permettent l’analyse  de menaces numériques potentielles. Contrôles des accès :  les annuaires centraux d’utilisateurs, les badges d’identification, les certificats numériques sont analysé régulièrement pour éviter l’utilisation abusive de privilèges à travers le système d’information. Dispositifs de protection :  les pare-feu, l’encryptage, les anti-virus, les anti-spam, les mises à jour de sécurité des systèmes et les portes et sas à accès limité diminuent et ralentissent les tentatives d’intrusion. Sensibilisation des employés :  le rappel des procédures interne, la veille sécuritaire des menaces, la communication régulière et les sessions de formation permettent à tous de ne pas être à l’origine d’une brèche de sécurité. Interactions entre le PCO et la PSSI :   l'un dit que l'autre doit exister et vice versa… Certaines solutions concernant la disponibilité et l'intégrité surtout de la PSSI débordent sur des besoins du PCO (redondance, sauvegarde, restauration, tests de ces éléments). Revenons à notre schémas initiale : 05/07/10 Sécurité & Continuité : interactions complexes C 2 . Les « bonnes pratiques » qui  garantissent la continuité PLAN DE CONTINUITE DES OPERATIONS Sécurité Sécurité Sécurité ???
Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
Prenons  en exemple une compagnie fictive  « Alpha Finance », son activité e-business est critique. Elle a donc prévu pour ses applications web et ses biens sensibles : 2 sites miroirs actifs distants d’hébergement (architecture dite « Hot-Hot ») 2 immeubles de bureaux pour les employés où les équipes opérationnelles se partagent entre les 2 lieux par roulement chaque semaine. 1 site de stockage froid, indépendant des 2 sites de production, où les sauvegardes incrémentales faites chaque 48h sont envoyées. Le plan de continuité et de reprise est testé, la sensibilisation des employés est faite régulièrement et la documentation est à jour. Le cabinet Markess révèle, via un sondage fait en 2007, que  73%  entreprises et administrations interrogées pensent que  l'hébergement externe  de certaines de leurs infrastructures et/ou applications est déjà ou pourrait être une réponse à leurs enjeux de continuité, tout comme la  virtualisation  par ailleurs.  50% en sont même sûrs. 05/07/10 Sécurité & Continuité : interactions complexes D 1 . Étude de cas
D 2 . Étude de cas  Menace numérique expansive Un jeune étudiant s’essaye aux attaques DoS (Interruption de Service) massives, à l’exploitation de vers et de rootkits. Notre étudiant vient de comprendre la  stéganographie  : il camoufle quelques lignes de code dans une image humoristique et l’envoie par courriel. Ce script a pour but de télécharger un  rootkit  qui va se cacher dans une librairie système, écouter les entrées clavier utilisateur et être inactif en attendant de pouvoir se mettre à jour ou de télécharger d’autres composants, il communique uniquement via un port peu utilisé actuellement bloqué par les pare-feu  d’«Alpha Finance ». Notre compagnie « Alpha Finance » utilise des  pare-feu de type CISCO  assez robustes, mais  non mis à jour depuis leur acquisition  en janvier 2008. Septembre 2008 : De multiples vulnérabilités distantes affectant les Cisco ASA et Cisco PIX ont été détectées. L’exploitation de ces vulnérabilités peut conduire à des dénis de service ou à la divulgation d’informations confidentielles. Notre étudiant  exploite la faille  et fait tomber un premier pare-feu sur le SITE n°1, le deuxième pare-feu prend instantanément le relais. Pensant avoir raté son coups, il recommence. Le deuxième tombe à son tour. Le SITE n°2 prend cette fois le relais, il tombe lui aussi en quelques minutes plus tard. Nous sommes  en pleine journée ouvrée, il y a interruption de service . Les équipes s’affèrent à remonter les applications et branchent très temporairement les réseaux internes en direct, afin de ne pas bloquer des transactions critiques, en attendant la mise à jour et le redémarrage des pare-feu. Le rootkit pouvant communiquer vers l’extérieur s’active, télécharge de  nouveaux composants plus dangereux et se multiplie  en usurpant les droits « administrateur » qu’il a pu détecter pendant son « hibernation ». En quelques heures, il infecte les 2 sites. Prises de contrôle ou infection massive et multiples >> DDoS (Distributed denial-of-service) ROOTKITS :   Les rootkits ne sont pas dangereux par eux-mêmes mais ils sont utilisés dans un but malveillant par des virus, des backdoors ou des logiciels espions. Un virus combiné à un rootkit peut alors agir de façon complètement transparente sur un ordinateur, même équipé d’un antivirus avec analyse en temps réel et à jour. 05/07/10 Sécurité & Continuité : interactions complexes
D 3 . Étude de cas  Menace humaine externe 05/07/10 Sécurité & Continuité : interactions complexes Un vol de documents prémédité initié par un feu criminel. Stress  +  situation inhabituelle  =  moins de prudence de chacun  =  perte de contrôle de la situation Période d’ ingénierie sociale  pour connaître le prochain test de relève. Il se fera passer pour un auditeur d’une firme connue et posera des questions pour « soit disant » tester vos connaissances. Rendez-vous fictifs dans les bureaux pour  être vu et reconnu. Il portera le costume et la cravate parfaite pour sa démonstration. Feu intentionnel, alerte à la bombe, déclenchement du signal incendie  (diversion)  dans les parties communes pendant le test de relève Effraction dans les bureaux  pendant l’évacuation générale
D 4 . Étude de cas  Menace climatique lourde Une tempête de neige violente coupe l’apport d’électricité pendant plusieurs heures à partir de 7h, un lundi matin sur 50km². Les apports instables d’électricité ont généré plusieurs microcoupures et pics de tension successifs, les sites de productions sont classés TUI niveau 2 : les circuits gérant l’« inverter » et le « bypass » ont subi des dommages. Les génératrices ont du mal à partir à -30°c. Perte de confiance dans les infrastructures… Remonté complète d’application sur un site froid  à 80 km des sites de production car les clients d’ « Alpha Finances » sont partout dans le monde. Les  équipes et les sauvegardes   mettent du temps à arriver  jusqu’au site froid. Les machines mises à disposition sur place sont anciennes et non mises à jour.  L’installation des dernières versions des applications d’ « Alpha Finances »  sont difficiles . Les services en  mode dégradé fonctionnent mais sont plus vulnérables  aux tentatives d’intrusions et/ou attaques qui les ciblent. Les  erreurs humaines  dues au stress et à la fatigue augmentent : « Loi de Murphy » 05/07/10 Sécurité & Continuité : interactions complexes
Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
E. Quelle stratégie adopter ? Une solution miracle… Des choix faits dans l’urgence… Pas de gestion de la double panne Relève des services d’affaires critiques uniquement La sécurité est un luxe Quelle solution :  Plan de Sécurité dégradé Surveillance des systèmes  de relève non-automatisée, non-préventive, mais vérifiée en temps-réel Contrôle des accès  limité aux utilisateurs à forts privilèges et recertification des accès après retour à la normal Dispositifs de protection  inclus à la liste des actifs opérationnels critiques Sensibiliser le personnel  avant, pendant et après l’incident sur les risques et vulnérabilités du système d’information  pendant  l’exécution d’un plan de relève. 05/07/10 Sécurité & Continuité : interactions complexes PLAN DE CONTINUITE DES OPERATIONS Sécurité Sécurité Plan de Sécurité dégradé
Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ?  Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
F. Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? RECO Québec utilise «  O  » pour  opérations  et c’est là l’importance. La  sécurité doit faire partie des opérations normales à remonter  en cas d’incident. La continuité et la sécurité sont des domaines qui ont beaucoup muris depuis la dématérialisation.  L’évolution doit continuer . La sécurité est aussi  garante du bon déroulement  d’exercices aussi difficile qu’est celui  du plan de relève . Des mesures, comme un  plan de sécurité dédié , doivent être prévues en amont pour le cas échéant  ne pas être  aveugle et sourd  quand le terrain est le plus dangereux . La Continuité et la Sécurité n’interviennent pas en séquences mais en continu et en parallèle. Ils  sont indissociables  ! 05/07/10 Sécurité & Continuité : interactions complexes
Pour toutes vos questions sur cette conférence, n’hésitez pas à me joindre… Bertrand Milot, RSSI TMX - Bourse de Montréal +1 (514) 871 2424 [email_address] 05/07/10 Sécurité & Continuité : interactions complexes
Interview de Olivier BISIAUX de Global  Equities  dans le « GuideInformatique.com » Dossiers SMSI, ISO17799 et 27001 de ysosecure.com Article  «  ISO 27001:2005 + CBK  »  de Jean-Sébastien Pilon dans la documentation d’HEC.ca Article « Evolution des normes ISO 17799 et ISO27001 (BS7799-2) » de Marc Behar sur XMCO Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 de la Lettre d’Avril 2007 dans le « GuideInformatique.com » STEALTH-ISS LLC  -  Technology  Security  Encryption  Defense : ISO 17799 Wikipedia  (définitions des types de sites de continuité) Avis public  de sécurité du 05-09-2008 sur mag-securs.com Le Livre Blanc de l’ISO 27000 de Laurent Bellefin Dossiers sur les attaques numériques de securiteinfo.com Remerciements :  Michael Barbara, Yan Huard et Michel Cere. 05/07/10 Sécurité & Continuité : interactions complexes

Contenu connexe

Tendances

Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
Alain Huet
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
polenumerique33
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
Exaprobe
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
Shellmates
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilités
Alterest
 
Ssi
SsiSsi
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Sébastien Rabaud
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
Agathe Mercante
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
Vumetric
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
Shema Labidi
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
proximit
 

Tendances (20)

Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...Guide ANSSI :  40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilités
 
Ssi
SsiSsi
Ssi
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 

En vedette

Sugerencias para intentar acelerar la implantación plena de la autonomia depa...
Sugerencias para intentar acelerar la implantación plena de la autonomia depa...Sugerencias para intentar acelerar la implantación plena de la autonomia depa...
Sugerencias para intentar acelerar la implantación plena de la autonomia depa...
Gobernabilidad
 
Simfonia del nou món alumnes
Simfonia del nou món alumnesSimfonia del nou món alumnes
Simfonia del nou món alumnes
monturiol
 
Presentation ideal gourmet meetings & events
Presentation ideal gourmet meetings & eventsPresentation ideal gourmet meetings & events
Presentation ideal gourmet meetings & events
SELF MEETING TOOL
 
Apuntes de algunas reuniones para guiarme la elaboracion de la tesis
Apuntes de algunas reuniones para guiarme la elaboracion de la tesisApuntes de algunas reuniones para guiarme la elaboracion de la tesis
Apuntes de algunas reuniones para guiarme la elaboracion de la tesis
carlos achulli
 
Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...
Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...
Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...
Universidad Autónoma de Barcelona
 
Conférence web social et industries, #BeeNumerique 2014
Conférence web social et industries, #BeeNumerique 2014Conférence web social et industries, #BeeNumerique 2014
Conférence web social et industries, #BeeNumerique 2014
dupin laurent
 
Cuadernillo jornada catequesis
Cuadernillo jornada catequesisCuadernillo jornada catequesis
Cuadernillo jornada catequesis
Ximena Varas
 
Y tuve que aceptar
Y tuve que aceptarY tuve que aceptar
Y tuve que aceptar
Micaela Luque
 
Keynotes @ WAW - Relations publiques 2.0
Keynotes @ WAW - Relations publiques 2.0Keynotes @ WAW - Relations publiques 2.0
Keynotes @ WAW - Relations publiques 2.0
Wearethewords
 
Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...
Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...
Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...
Universidad Autónoma de Barcelona
 
A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)
Gerard Houdinet
 
La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...
La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...
La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...
Universidad Autónoma de Barcelona
 
Deployer PHP et MariaDB dans Azure - TechDays
Deployer PHP et MariaDB dans Azure - TechDaysDeployer PHP et MariaDB dans Azure - TechDays
Deployer PHP et MariaDB dans Azure - TechDays
Christophe Villeneuve
 
Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...
Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...
Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...
ABES
 
Choisir une solution PLM en mode SaaS - NOVILOIRE 2009
Choisir une solution PLM en mode SaaS - NOVILOIRE 2009Choisir une solution PLM en mode SaaS - NOVILOIRE 2009
Choisir une solution PLM en mode SaaS - NOVILOIRE 2009
Entreprises & Numérique
 
A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)
Gerard Houdinet
 

En vedette (20)

Sugerencias para intentar acelerar la implantación plena de la autonomia depa...
Sugerencias para intentar acelerar la implantación plena de la autonomia depa...Sugerencias para intentar acelerar la implantación plena de la autonomia depa...
Sugerencias para intentar acelerar la implantación plena de la autonomia depa...
 
Simfonia del nou món alumnes
Simfonia del nou món alumnesSimfonia del nou món alumnes
Simfonia del nou món alumnes
 
Presentation ideal gourmet meetings & events
Presentation ideal gourmet meetings & eventsPresentation ideal gourmet meetings & events
Presentation ideal gourmet meetings & events
 
Apuntes de algunas reuniones para guiarme la elaboracion de la tesis
Apuntes de algunas reuniones para guiarme la elaboracion de la tesisApuntes de algunas reuniones para guiarme la elaboracion de la tesis
Apuntes de algunas reuniones para guiarme la elaboracion de la tesis
 
Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...
Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...
Enmiendas del Partido Popular a la reforma laboral de 2010 que han sido incor...
 
Conférence web social et industries, #BeeNumerique 2014
Conférence web social et industries, #BeeNumerique 2014Conférence web social et industries, #BeeNumerique 2014
Conférence web social et industries, #BeeNumerique 2014
 
Cuadernillo jornada catequesis
Cuadernillo jornada catequesisCuadernillo jornada catequesis
Cuadernillo jornada catequesis
 
Y tuve que aceptar
Y tuve que aceptarY tuve que aceptar
Y tuve que aceptar
 
Y tuve que aceptar
Y tuve que aceptarY tuve que aceptar
Y tuve que aceptar
 
Keynotes @ WAW - Relations publiques 2.0
Keynotes @ WAW - Relations publiques 2.0Keynotes @ WAW - Relations publiques 2.0
Keynotes @ WAW - Relations publiques 2.0
 
Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...
Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...
Texto comparado de la Ley que regula el nuevo régimen jurídico de las mutuas ...
 
A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)
 
La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...
La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...
La reforma laboral del gobierno popular. Crónica (preferentemente jurídica) d...
 
Deployer PHP et MariaDB dans Azure - TechDays
Deployer PHP et MariaDB dans Azure - TechDaysDeployer PHP et MariaDB dans Azure - TechDays
Deployer PHP et MariaDB dans Azure - TechDays
 
Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...
Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...
Parcours Patrimoine - Un signalement éclaté ? Fonds spécialisés et patrimonia...
 
Choisir une solution PLM en mode SaaS - NOVILOIRE 2009
Choisir une solution PLM en mode SaaS - NOVILOIRE 2009Choisir une solution PLM en mode SaaS - NOVILOIRE 2009
Choisir une solution PLM en mode SaaS - NOVILOIRE 2009
 
Tuto Storex
Tuto StorexTuto Storex
Tuto Storex
 
Chap10
Chap10Chap10
Chap10
 
B a ba
B a baB a ba
B a ba
 
A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)A206.nature sans fusil_(guy)
A206.nature sans fusil_(guy)
 

Similaire à Sécurité & Continuité

Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
Avignon Delta Numérique
 
Iso27001
Iso27001 Iso27001
Iso27001
Arsene Allogo
 
Mise en place d’un Systéme d’Information (SI) en PME
Mise en place d’un Systéme d’Information (SI) en PMEMise en place d’un Systéme d’Information (SI) en PME
Mise en place d’un Systéme d’Information (SI) en PME
CYB@RDECHE
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
Thierry Pertus
 
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdfanssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
rodolphe gilbert-collet
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
Wavestone
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
Tech4nulls
 
E lm22 programme tutoriels
E lm22 programme tutorielsE lm22 programme tutoriels
E lm22 programme tutoriels
Chloé Philibert
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
Naully Nicolas
 
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
Hapsis
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
Thierry RAMARD
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
Mielabelo
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Synopsys Software Integrity Group
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
Résistante Risk Solutions
 

Similaire à Sécurité & Continuité (20)

Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
 
Iso27001
Iso27001 Iso27001
Iso27001
 
Mise en place d’un Systéme d’Information (SI) en PME
Mise en place d’un Systéme d’Information (SI) en PMEMise en place d’un Systéme d’Information (SI) en PME
Mise en place d’un Systéme d’Information (SI) en PME
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdfanssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
E lm22 programme tutoriels
E lm22 programme tutorielsE lm22 programme tutoriels
E lm22 programme tutoriels
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
WEBINAR : Comment amener RPSI et RPCA vers une situation coopérative ?
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001Cinq raisons de certifier son organisation ISO 27001
Cinq raisons de certifier son organisation ISO 27001
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Présentation résistante directeurs experts 20140527
Présentation résistante   directeurs experts 20140527Présentation résistante   directeurs experts 20140527
Présentation résistante directeurs experts 20140527
 

Sécurité & Continuité

  • 1. Sécurité & Continuité Interactions complexes ? Bertrand Milot, RSSI TMX - Bourse de Montréal +1 (514) 871 2424 [email_address] Jeudi 22 janvier 2009 3e conférence annuelle de RÉCO-Québec sur la Continuité des Opérations
  • 2. La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? La technologie répond-t-elle aux besoins de sécurité à l’intérieur d’un PCO et d’un PRO ? La Continuité des Opérations et la Sécurité ont un maillage tellement étroit que les faire fonctionner ensemble et en cohérence devient complexe et imprévisible  : on dit que « trop de sécurités, tue la sécurité », dans les faits « trop de sécurité peut annihiler la continuité ». Le but est d’identifier les interactions viables entre « bonnes pratiques », normes, protections et productivité. Permettre à l’entreprise de survivre tout en prévenant menaces et vulnérabilités pendant et après incident ressemble de moins en moins à un parcours linéaire. Méthodes et études de cas. Nous connaissons tous les contenu d'un PCO et d'une PSSI, mais avons-nous vraiment évalué l'interaction pratique de leur périmètre . Comment vivent leurs cycles au sein d'une compagnie ? 05/07/10 Sécurité & Continuité : interactions complexes
  • 3. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
  • 4. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
  • 5. A 1 . Que disent les normes de sécurité ? La norme la plus reconnue en matière de sécurité est la BS 7799 sur laquelle s’est fondée l’ISO 17799 devenue récemment l’ISO 27002. Schématiquement, la démarche classique de sécurisation du système d'information doit passer par 4 étapes de définition : 1. périmètre à protéger (liste des biens/actifs sensibles), 2. nature des menaces, 3. impacts sur le système d'information, 4. mesures de protection à mettre en place. La norme ISO 17799 comporte 39 catégories de contrôle et 134 règles de vérification répartis en 11 domaines : 4 chapitres sont dédiés au management de la sécurité des informations (les politiques de sécurité, l'organisation, la classification , le contrôle et la conformité). 2 chapitres sur la sécurité du personnel (contrôle lors du recrutement, formation et sensibilisation) et sur la sécurité physique (équipements et périmètre de sécurité). 5 chapitres sur le développement de l'exploitation des systèmes d'information (contrôles d'accès, développement et maintenance des systèmes, gestion de la continuité ). Le référentiel COBIT couvre une bonne partie des domaines de l'ISO 27002. COBIT étant à vocation plus large, il gère l'information au travers un grand nombre de "critères" : Efficacité, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité. En regard, l'ISO 27002 se limite à la Confidentialité, l'Intégrité la Disponibilité et la Conformité. 05/07/10 Sécurité & Continuité : interactions complexes
  • 6. A 2 . Que disent les normes de sécurité ? 05/07/10 Sécurité & Continuité : interactions complexes Questionnaire d’audit ISO 27002 : 2005 Whether procedures were included within the organisations change management programme to ensure that Business continuity matters are appropriately addressed . Whether Business continuity plans were maintained by regular reviews and updates to ensure their continuing effectiveness. Whether Business continuity plans are tested regularly to ensure that they are up to date and effective. 11.1.5 Testing, maintaining and re-assessing business continuity plan Whether this identifies conditions for activation and individuals responsible for executing each component of the plan. Whether this framework is maintained to ensure that all plans are consistent and identify priorities for testing and maintenance. Whether there is a single framework of Business continuity plan. 11.1.4 Business continuity planning framework Whether the plan is regularly tested and updated . Whether plans were developed to restore business operations within the required time frame following an interruption or failure to business process. 11.1.3 Writing and implementing continuity plan Whether a strategy plan was developed based on the risk assessment results to determine an overall approach to business continuity. Whether a risk assessment was conducted to determine impact of such interruptions. Whether events that could cause interruptions to business process were identified example: equipment failure, flood and fire. 11.1.2 Business continuity and impact analysis This might include Organisation wide Business continuity plan, regular testing and updating of the plan , formulating and documenting a business continuity strategy etc., Whether there is a managed process in place for developing and maintaining business continuity throughout the organisation. 11.1.1 Business continuity management process
  • 7. A 3 . Que disent les normes de sécurité ? 05/07/10 Sécurité & Continuité : interactions complexes L’ ISO 27007 en « draft » est inspirée de l’ISO 19011:2002 relative à l’audit de SME (environnement) et SMQ (qualité) Au 15 septembre 2007, l’ ISO 27031 était en « draft » et sera fondée probablement sur… une norme Singapourienne : BC/DR SS507 le British Standard : BS 25999
  • 8. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
  • 9. B. Traduire les objectifs de sécurité Les objectifs fixés par la norme ISO 27002 en matière de gestion de la continuité des opérations imposent la mise en place de procédures visant à réduire les risques d'interruption de l'activité, à limiter les conséquences des perturbations et à assurer la reprise des opérations dans les meilleurs délais. Il faut donc… Plan d’urgence : traiter efficacement les causes des incidents à l’origine de l’interruption de l’activité (gestion d’incidents) et tenir le personnel sensibilisé, Plan de secours : utiliser au mieux les capacités de gestion des niveaux de service (rapports, KPI) et assurer la conformité avec les contrats de niveau de service pour remonter un service nominal et/ou dégradé (SLA indexés sur la criticité), Plan de reprise : documenter et tester efficacement les procédures de reprise pour diminuer le plus possible le délai de récupération (redondance et relève). PLAN DE CONTINUITE DES OPERATIONS 05/07/10 Sécurité & Continuité : interactions complexes
  • 10. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui favorisent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
  • 11. C 1 . Les « bonnes pratiques » qui favorisent la continuité Une d es « bonnes pratiques » que l’on connaît du point de vue de la continuité s’exprime dans la création et la multiplication de services parallèles ou semi-complémentaires : site chaud  : site de secours où l'ensemble des serveurs et autres systèmes sont allumés, à jour, interconnectés, paramétrés, alimentés à partir des données sauvegardées et prêt à fonctionner. Le site doit aussi fournir l'ensemble des infrastructures pour accueillir l'ensemble du personnel à tout moment et permet une reprise d'activité dans des délais relativement courts (quelques heures). Un tel site revient quasiment à doubler les capacités informatiques de l'entreprise (on parle de redondance ) et présente donc un poids budgétaire non négligeable. (définition de wikipedia) site tiède  : site de secours intermédiaire. En général on trouve des machines installées (mise à jour décalée par rapport au site de production) avec les données sur bande mais non importées dans les systèmes de données. (définition de wikipedia) site froid  : site de secours qui peut avoir une autre utilisation en temps normal. Les serveurs et autres systèmes sont stockés mais non installés, connectés, etc. Lors d'un sinistre, un important travail doit être effectué pour mettre en service le site ce qui conduit à des temps de reprise long (quelques jours). Mais son coût de fonctionnement, hors période d'activation, est faible voire nul. (définition de wikipedia) Néanmoins est-ce la bonne solution ? On peut tout doubler et redonder : hommes, lignes électriques, téléphoniques et réseautiques , les machines, les bâtiments…etc. 05/07/10 Sécurité & Continuité : interactions complexes
  • 12. Pendant le service normal , des solutions de sécurité sont en place pour vérifier et limiter les vulnérabilités des activités : Surveillance de sécurité : les IDS (Sonde de Détection d’Intrusion), les caméras de surveillance, les événements de sécurité des machines permettent l’analyse de menaces numériques potentielles. Contrôles des accès : les annuaires centraux d’utilisateurs, les badges d’identification, les certificats numériques sont analysé régulièrement pour éviter l’utilisation abusive de privilèges à travers le système d’information. Dispositifs de protection : les pare-feu, l’encryptage, les anti-virus, les anti-spam, les mises à jour de sécurité des systèmes et les portes et sas à accès limité diminuent et ralentissent les tentatives d’intrusion. Sensibilisation des employés : le rappel des procédures interne, la veille sécuritaire des menaces, la communication régulière et les sessions de formation permettent à tous de ne pas être à l’origine d’une brèche de sécurité. Interactions entre le PCO et la PSSI : l'un dit que l'autre doit exister et vice versa… Certaines solutions concernant la disponibilité et l'intégrité surtout de la PSSI débordent sur des besoins du PCO (redondance, sauvegarde, restauration, tests de ces éléments). Revenons à notre schémas initiale : 05/07/10 Sécurité & Continuité : interactions complexes C 2 . Les « bonnes pratiques » qui garantissent la continuité PLAN DE CONTINUITE DES OPERATIONS Sécurité Sécurité Sécurité ???
  • 13. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
  • 14. Prenons en exemple une compagnie fictive « Alpha Finance », son activité e-business est critique. Elle a donc prévu pour ses applications web et ses biens sensibles : 2 sites miroirs actifs distants d’hébergement (architecture dite « Hot-Hot ») 2 immeubles de bureaux pour les employés où les équipes opérationnelles se partagent entre les 2 lieux par roulement chaque semaine. 1 site de stockage froid, indépendant des 2 sites de production, où les sauvegardes incrémentales faites chaque 48h sont envoyées. Le plan de continuité et de reprise est testé, la sensibilisation des employés est faite régulièrement et la documentation est à jour. Le cabinet Markess révèle, via un sondage fait en 2007, que 73% entreprises et administrations interrogées pensent que l'hébergement externe de certaines de leurs infrastructures et/ou applications est déjà ou pourrait être une réponse à leurs enjeux de continuité, tout comme la virtualisation par ailleurs. 50% en sont même sûrs. 05/07/10 Sécurité & Continuité : interactions complexes D 1 . Étude de cas
  • 15. D 2 . Étude de cas Menace numérique expansive Un jeune étudiant s’essaye aux attaques DoS (Interruption de Service) massives, à l’exploitation de vers et de rootkits. Notre étudiant vient de comprendre la stéganographie : il camoufle quelques lignes de code dans une image humoristique et l’envoie par courriel. Ce script a pour but de télécharger un rootkit qui va se cacher dans une librairie système, écouter les entrées clavier utilisateur et être inactif en attendant de pouvoir se mettre à jour ou de télécharger d’autres composants, il communique uniquement via un port peu utilisé actuellement bloqué par les pare-feu d’«Alpha Finance ». Notre compagnie « Alpha Finance » utilise des pare-feu de type CISCO assez robustes, mais non mis à jour depuis leur acquisition en janvier 2008. Septembre 2008 : De multiples vulnérabilités distantes affectant les Cisco ASA et Cisco PIX ont été détectées. L’exploitation de ces vulnérabilités peut conduire à des dénis de service ou à la divulgation d’informations confidentielles. Notre étudiant exploite la faille et fait tomber un premier pare-feu sur le SITE n°1, le deuxième pare-feu prend instantanément le relais. Pensant avoir raté son coups, il recommence. Le deuxième tombe à son tour. Le SITE n°2 prend cette fois le relais, il tombe lui aussi en quelques minutes plus tard. Nous sommes en pleine journée ouvrée, il y a interruption de service . Les équipes s’affèrent à remonter les applications et branchent très temporairement les réseaux internes en direct, afin de ne pas bloquer des transactions critiques, en attendant la mise à jour et le redémarrage des pare-feu. Le rootkit pouvant communiquer vers l’extérieur s’active, télécharge de nouveaux composants plus dangereux et se multiplie en usurpant les droits « administrateur » qu’il a pu détecter pendant son « hibernation ». En quelques heures, il infecte les 2 sites. Prises de contrôle ou infection massive et multiples >> DDoS (Distributed denial-of-service) ROOTKITS : Les rootkits ne sont pas dangereux par eux-mêmes mais ils sont utilisés dans un but malveillant par des virus, des backdoors ou des logiciels espions. Un virus combiné à un rootkit peut alors agir de façon complètement transparente sur un ordinateur, même équipé d’un antivirus avec analyse en temps réel et à jour. 05/07/10 Sécurité & Continuité : interactions complexes
  • 16. D 3 . Étude de cas Menace humaine externe 05/07/10 Sécurité & Continuité : interactions complexes Un vol de documents prémédité initié par un feu criminel. Stress + situation inhabituelle = moins de prudence de chacun = perte de contrôle de la situation Période d’ ingénierie sociale pour connaître le prochain test de relève. Il se fera passer pour un auditeur d’une firme connue et posera des questions pour « soit disant » tester vos connaissances. Rendez-vous fictifs dans les bureaux pour être vu et reconnu. Il portera le costume et la cravate parfaite pour sa démonstration. Feu intentionnel, alerte à la bombe, déclenchement du signal incendie (diversion) dans les parties communes pendant le test de relève Effraction dans les bureaux pendant l’évacuation générale
  • 17. D 4 . Étude de cas Menace climatique lourde Une tempête de neige violente coupe l’apport d’électricité pendant plusieurs heures à partir de 7h, un lundi matin sur 50km². Les apports instables d’électricité ont généré plusieurs microcoupures et pics de tension successifs, les sites de productions sont classés TUI niveau 2 : les circuits gérant l’« inverter » et le « bypass » ont subi des dommages. Les génératrices ont du mal à partir à -30°c. Perte de confiance dans les infrastructures… Remonté complète d’application sur un site froid à 80 km des sites de production car les clients d’ « Alpha Finances » sont partout dans le monde. Les équipes et les sauvegardes mettent du temps à arriver jusqu’au site froid. Les machines mises à disposition sur place sont anciennes et non mises à jour. L’installation des dernières versions des applications d’ « Alpha Finances » sont difficiles . Les services en mode dégradé fonctionnent mais sont plus vulnérables aux tentatives d’intrusions et/ou attaques qui les ciblent. Les erreurs humaines dues au stress et à la fatigue augmentent : « Loi de Murphy » 05/07/10 Sécurité & Continuité : interactions complexes
  • 18. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
  • 19. E. Quelle stratégie adopter ? Une solution miracle… Des choix faits dans l’urgence… Pas de gestion de la double panne Relève des services d’affaires critiques uniquement La sécurité est un luxe Quelle solution : Plan de Sécurité dégradé Surveillance des systèmes de relève non-automatisée, non-préventive, mais vérifiée en temps-réel Contrôle des accès limité aux utilisateurs à forts privilèges et recertification des accès après retour à la normal Dispositifs de protection inclus à la liste des actifs opérationnels critiques Sensibiliser le personnel avant, pendant et après l’incident sur les risques et vulnérabilités du système d’information pendant l’exécution d’un plan de relève. 05/07/10 Sécurité & Continuité : interactions complexes PLAN DE CONTINUITE DES OPERATIONS Sécurité Sécurité Plan de Sécurité dégradé
  • 20. Que disent les normes de sécurité ? Traduire les objectifs de sécurité Les « bonnes pratiques » qui garantissent la continuité Étude de cas Menace numérique expansive Menace humaine externe Menace climatique lourde Quelle stratégie adopter ? Une solution miracle… Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? Vos questions 05/07/10 Sécurité & Continuité : interactions complexes
  • 21. F. Répondre à la question… La Sécurité œuvre-t-elle pour la Continuité des Opérations ou est-ce le contraire ? RECO Québec utilise «  O  » pour opérations et c’est là l’importance. La sécurité doit faire partie des opérations normales à remonter en cas d’incident. La continuité et la sécurité sont des domaines qui ont beaucoup muris depuis la dématérialisation. L’évolution doit continuer . La sécurité est aussi garante du bon déroulement d’exercices aussi difficile qu’est celui du plan de relève . Des mesures, comme un plan de sécurité dédié , doivent être prévues en amont pour le cas échéant ne pas être aveugle et sourd quand le terrain est le plus dangereux . La Continuité et la Sécurité n’interviennent pas en séquences mais en continu et en parallèle. Ils sont indissociables ! 05/07/10 Sécurité & Continuité : interactions complexes
  • 22. Pour toutes vos questions sur cette conférence, n’hésitez pas à me joindre… Bertrand Milot, RSSI TMX - Bourse de Montréal +1 (514) 871 2424 [email_address] 05/07/10 Sécurité & Continuité : interactions complexes
  • 23. Interview de Olivier BISIAUX de Global Equities dans le « GuideInformatique.com » Dossiers SMSI, ISO17799 et 27001 de ysosecure.com Article «  ISO 27001:2005 + CBK  » de Jean-Sébastien Pilon dans la documentation d’HEC.ca Article « Evolution des normes ISO 17799 et ISO27001 (BS7799-2) » de Marc Behar sur XMCO Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 de la Lettre d’Avril 2007 dans le « GuideInformatique.com » STEALTH-ISS LLC - Technology  Security  Encryption  Defense : ISO 17799 Wikipedia (définitions des types de sites de continuité) Avis public  de sécurité du 05-09-2008 sur mag-securs.com Le Livre Blanc de l’ISO 27000 de Laurent Bellefin Dossiers sur les attaques numériques de securiteinfo.com Remerciements : Michael Barbara, Yan Huard et Michel Cere. 05/07/10 Sécurité & Continuité : interactions complexes