0-2 Transition avec la première partie Présentation personnelle (école/sujet) Présentation sujet Réseaux décloisonnés Interconnexion via des réseaux publics (Internet par exemple) Nécessité de surveiller les flux et non plus les seules ressources Nécessiter de globaliser cette surveillance Gouvernance de la Sécurité des Systèmes d’Information On reviendra sur ce qu’est la Gouvernance plus tard.
2-3 Un plan classique en 4 parties : À quoi ça sert ? Sur quoi je me suis basé ? Qu’est-ce que j’ai mis en place ? Qu’est-ce que ça donne ? Conclusion générale sur le sujet et sur le stage
3-4
4-8 Pour ceux qui veulent briller en société : Du grec kubernan (piloter, diriger) Du latin gubernare (tenir le gouvernail) Passé en anglais au XIVè siècle puis revenu en français dans les 90’s Attention à la manière dont le processus est mis en place. Exemple : Mise en place du socle (infra et standards), de la couche légale, des couches développement et économique, de la couche sociale (bancale) et enfin une surcouche de Gouvernance. Une politique de Gouvernance prend en compte l’ensemble des acteurs pendant toutes les phases de la vie de la société. C’est un processus cyclique qui met les objectifs DSI en adéquation avec les objectifs Business.
8-12 Objectif principal : il faut que ça rapporte de l’argent Auparavant : investissement en matière de sécurité contrainte, coût Maintenant : ça rapporte. Il faut cibler les dépenses prioritaires, celles qui permettront de créer de la valeur (les quickwin seront appréciés) Il faut mettre en place les outils d’aide à la décision (où investir ?) et du suivi de ces décisions pour pouvoir suivre le ROI Objectifs Business Pour les managers. Exemple : Je veux un taux de fidélisation de mes clients de 50% et un taux d’attractivité de nouveaux clients de 30% Objectifs DSI Pour les responsables SI, plus parlant Exemple : Outre la politique de princing attrayante, pour assurer les objectifs en fidélisation et attractivité, il faut assurer les objectifs de Disponibilité (>99.99…%), Confidentialité et Intégrité (Bonne image de l’entreprise)
12-13 Avantages : Structurer la gestion du SI, Aider le management, Aider les exploitants, … Inconvénients : Profonde modification des processus (Conduite du changement), … Avant de commencer un nouveau projet, considérons comment les voisins font chez eux. Plusieurs aspects : Bonnes pratiques : ITIL ( Opérationnel), COBIT, … Normes : ISO2700x (Plus high level, avec des références à ITIL) ITIL et ISO27001 sont complémentaires. Les normes traduisent la maturité d’une méthode. Deux intéressantes : 27001 et 27004
13-18 ISO27001 : La référence. Les exigences d’un SMSI (Système de Management de la Sécurité de l’Information) Roue de Deming Publiée en 2005. Aboutissement de la norme BS7799-2 Planifier-Déployer-Contrôler-Agir Ce cycle doit être effectué de manière constante, afin de permettre l’adéquation entre la politique globale de l’entreprise et la réalité du Système d’Information. Un cycle = 1 an ou 1 an et demi. Capitalisation pour éviter les retours en arrière. Plan : Définir le périmètre (domaine d’application du SMSI) et la politique (niveau de sécurité à appliquer à l’intérieur du périmètre) Evaluer les risques (Physiques, Humains, Matériels, Logiciels, Documents, Immatériel). Identifier les responsables, les vulnérabilités, les menaces, les impacts, la vraisemblance et enfin évaluer le niveau de risque Traiter les risques : Accepter (je suis d’accord pour que ça arrive), Éviter (faire en sorte que ça ne m’arrive pas), Transférer (transférer les impacts Assurance), Réduire (Diminuer les impacts) Sélectionner les mesures à mettre en place pour réduire le risque. 133 sont disponibles dans la norme Do : Définir l’ordre dans lequel doivent être appliquées les mesures Plan de traitement des risques : Pour chaque mesure, définir les actions à entreprendre, les moyens nécessaires et les responsabilités et priorités. Identifier les quickwin Déployer les mesures de sécurité Générer les indicateurs pour traduire le bon fonctionnement. Indicateurs de performance et de conformité Aucune indication sur ce qu’il faut faire. Former et sensibiliser le personnel Check : Vérifier le bon fonctionnement et l’impact des mesures Audits internes, planifiés Contrôles internes, inopinés Revues, plus globales Act : Corriger les écarts Mesures correctives : corriger l’écart et la source de l’écart Mesures préventives : éviter qu’un incident ne se produise Mesures d’amélioration : améliorer l’efficacité du SMSI. On ne corrige pas un écart et on n’effectue aucune action préventive
18-23 Publiée en décembre 2009. Elle formalise les indicateurs à implémenter dans la phase Do du SMSI (ISO27001) Isoler les processus inefficaces et ainsi prioriser les actions à effectuer. Processus métier à mesurer : au niveau opérationnel, i.e. les ressources (ex : les pare feu) Méthode de mesure : séquence logique d’opérations (par exemple une somme d’événements, un délai, …) permettant de quantifier un attribut dans le respect d’une échelle prédéfinie Mesure brute : la plus simple qui peut être obtenue. Obtenue en appliquant une méthode de mesure sur un attribut de la ressource à mesurer. Un ou plusieurs attributs. Un attribut pour une ou plusieurs mesures de base Fonction de retr aitement : fonction de calcul permettant la combinaison de mesures de bases pour créer une mesure dérivée Mesure dérivée : agrégation de deux ou plus mesures de base. L’échelle et l’unité de la mesure dérivée dépend des échelles et unités des mesures de base combinés par la fonction de retraitement Indicateur : mesure qui permet une évaluation ou une estimation à partir d’un modèle analytique en fonction des besoins d’information. Le modèle analytique est appliqué à une ou plusieurs mesures (de base ou dérivée). Un indicateur est fonction de l’échelle et de l’unité des mesures utilisées pour le construire Critère de décision : Seuil, cible ou modèle permettant de définir une action à effectuer ou de nouvelles mesures à effectuer. Ils permettent d’aider à l’interprétation de la mesure. Résultats de mesure : Interprétation de l’indicateur. Format et aide à l’interprétation adapté au client Critère d’efficacité : permettre d’améliorer le processus métier qui a été mesuré
23-24 État de l’Art On sait quoi faire et on sait comment le faire Réalisation en deux étapes : Mise en place d’un SIEM Mise en place d’un outil de Business Intelligence Mise en place des indicateurs et des tableaux de bord
24-28 Chaque indicateur a besoin d’un processus associé afin de permettre l’extraction des données, le calcul des notes et la mise à disposition des tableaux de bord. Ici, processus générique. Données opérationnelles : différents types (BDD, Fichiers de conf, Fichiers Excel, fichiers plats, données externes, …). Les indicateurs doivent accéder et agréger ces données pour les exploiter. Processus ETL : transformer et charger les données dans le Datawarehouse Extraire : Centraliser dans un même entrepôt l’ensemble des données à utiliser. Il s’agit d’une copie conforme des données de production, dans leur mise en forme actuelle Transformer : Purifier les données de production. Elles sont regroupées, triées, mises au bon format et comptées afin de permettre de calculer la note grâce à la formule définie. Charger : Les données sont copiées avec les notes dans la base de données de l’outil de BI. Lors de chaque exécution du processus, les données sont stockées afin de permettre d’éditer les tableaux de bord pour n’importe quelle période. Auditer : Le responsable de l’indicateur doit vérifier en fin de processus que les données ont bien été chargées et que les notes calculées sont cohérentes. C’est lors de cette phase d’audit que le responsable peut également commenter le résultat et ainsi prévenir sa chaîne hiérarchique que l’indicateur de la période est prêt. Données de Reporting : Une fois les données chargées, celles-ci peuvent être utilisées par l’outil de BI. Chaque indicateur prend la période en paramètre et le moteur graphique se charge d’incorporer les nouvelles données au template de présentation des rapports. Utilisateur final : il se connecte à l’outil de BI et en fonction de son profil utilisateur peut afficher certains tableaux de bord
28-32 Architecture technique globale (SIEM+BI) Utilisateurs connectés depuis un poste de travail et un navigateur. Le profil détermine les droits Servlet BI : couche présentation (après le DW) Serveur : Utilise la BDD du SIEM et le moteur de rapport pour Agréger/Mettre en forme/Personnaliser/Afficher les données. Extraire les données de la BDD du SIEM pour générer un rapport en utilisant le moteur de rapport selon les souhaits exprimés par l’utilisateur. Moteur graphique : Chargé de l’affichage. Il combine et met en forme à partir d’un template xml. Base de données : Contient les droits des utilisateurs ainsi que les liens entre les rapports. Permet la gestion des paramètres. Ressources : ensemble des équipements réseau et logiciels émettant des informations à remonter vers le SIEM. Agent potentiellement sur une autre machine du réseau (interconnexion stage Fédération) SIEM : Système de Collecte Collecteur : Intermédiaire entre les cibles et le serveur central. Regroupe l’ensemble des évènements générés par les ressources et effectue des prétraitements avant de les transmettre au serveur central ou ils seront agrégés et corrélés. Serveur : Intelligence du traitement. Il traite les événements remontés par le collecteur. Il centralise/agrége (plus de doublons)/Filtre/ corr èle(vague d’événements) et priorise. Base de données : Garantit la conservation et la persistance des évènements bruts en provenance du collecteur ainsi que les évènements traités par le serveur central.
32-33 Ceci est un slide fusible.
33-34 Ceci est un slide fusible.
34-36 Les indicateurs vont chercher leur source sur les mêmes équipements. En revanche, la mise en forme, la mise à disposition ou encore l’agrégation peuvent varier. Ici, les données sont à titre d’exemple. Ne pas faire attention à leur éventuel manque de cohérence. Vue Stratégique : Contient l’ensemble des tableaux de bord agrégés dans une vue globale afin de considérer en un seul rapport l’état du SI. Le manager peut alors naviguer dans les différents tableaux de bord et consulter les indicateurs comme peut le faire un utilisateur de la vue exploitant Vue Exploitant : Contient les différents indicateurs auxquels peut accéder l’utilisateur
36-40 Agrège l’ensemble des informations de tous les tableaux de bord disponibles. Pour le manager, elle permet en un seul coup d’œil de se rendre compte de l’état du SI. Différentes informations : - Intitulé : nom du tableau de bord ; - Note A-1 : note de ce même tableau de bord lors de la même période de l’année précédente ; - Note mois précédent : note de ce même tableau de bord sur la période précédente ; - Note mois en cours : note actuelle du tableau de bord ; - Variation : évolution de la note du tableau de bord par rapport à la période précédente ; - Statut : comparaison de la note du tableau de bord par rapport aux objectifs ; - Commentaire (variation) : commentaire du responsable du tableau de bord sur la note actuelle du tableau de bord ; - Prévision : tentative de prédiction de l’évolution de la note sur la période suivante ; - IC : indice de confiance sur l’évolution de la note ; Commentaire (prévision) : commentaire du responsable du tableau de bord sur la prévision pour la période suivante. Toutes les informations concernant l’état du SI doivent être immédiatement consultables.
40-41 Un tableau de bord est un ensemble d’indicateurs d’une même famille. Deux parties : Résumé : données qui résument l’état du TdB. Ces données sont reportées sur la vue globale Détail des indicateurs : le détail des indicateurs qui composent ce tableau de bord, présenté de la même manière que la vue globale Permet d’avoir en un seul coup d’œil le détail des TdB comme : Efficacité de l’Assistance Informatique Maîtrise des Identités et des Accès au SI Sensibilisation du personnel aux problématiques de la sécurité, …
41-42 Le plus bas niveau d’information. Deux parties également : Résumé, reporté sur la vue tableau de Bord correspondante Détail : détail du calcul de la note. Cela dépend de l’indicateur.
42-44 Historique important. Corrélations à faire : Mois précédent Même mois de l’année précédente On doit pouvoir retrouver les notes d’une période précédente. En plus : Détail spécifiques à un indicateur. Exemple : répartition des règles sur un FW (conformes ou non). Ce sont des informations nécessaires à la compréhension de l’indicateur
44-46 Décision en matière de sécurité : génération de profits ou de pertes. Calculer le ROSI : plusieurs méthodes Avant l’investissement : Aide à la Décision. Dans le cadre de la Gouvernance du SI, une décision « lucrative » en matière de sécurité est une décision qui aura un impact positif sur les composantes de Confidentialité, Intégrité, Disponibilité et Preuve des données. L’impact financier de mise en œuvre de la décision doit être inférieur. Impacts positifs et négatifs représentés. Exemple : Ainsi, sur ces schémas, sont représentés les impacts négatifs (les coûts) et les impacts positifs (les gains). Dans l’exemple, on peut lire qu’effectuer un audit des règles sur les pare feu va entraîner : 1- Des coûts liés aux prestataires extérieurs qui vont effectuer l’audit : 2- Des gains sur l’attractivité ou l’image de marque (l’entreprise a renforcé sa sécurité, c’est donc une plus-value par rapport à ses concurrents), à la fidélité (moins d’attaques donc moins d’interruptions de service donc une meilleure satisfaction client) et au chiffre d’affaire (qui augmente logiquement).
46-48 Une fois l’investissement lancé. Il faut suivre son évolution. Un manager doit pouvoir suivre les impacts d’une décision en temps réel (ou du moins à brève échéance) et pouvoir les comparer rapidement aux objectifs prévisionnels établis lors de la prise de décision. Exemple : Ainsi, sur ce schéma, sont également représentés les impacts négatifs (les coûts) et les impacts positifs (les gains). Dans l’exemple, on peut lire que le processus « harmonisation des règles sur les pare feu » : 1- N’a pas dépassé le budget initialement prévu, mais que celui-ci est atteint pour la catégorie Prestations ; 2- N’a pas atteint les objectifs initialement prévus en terme de Confidentialité et d’Intégrité, ou si on se place dans la vue métiers en terme de Chiffre d’Affaire et de Recherche. Dans ce cas, il est possible que le processus soit toujours en cours et que ces objectifs seront atteints dans un délai plus grand, ou que les objectifs de départ aient été ambitieux et que les objectifs ne soient pas tenus. Quantification : appréciation du responsable en fonction de ce qui est automatiquement calculé par les TdB
48-48 Beaucoup de blabla, passons aux faits.
48-58 Lien hypertexte sur l’image SpagoBI A montrer : Lien stage FedeID Bout en bout Indicateur 20 complet