Post on 21-Aug-2015
Fadhel GHAJATILead Auditor 27001
Risk Manager ISO 27005
fadhel.ghajati@ansi.tn
Tunisian Computer Emergency Response Team
La protection de données: La classification un premier pas
25 Février 2015
2
Plan
• Problématique
• Données: définitions• Classification de données• Modèle Tunisien (Draft)
• Conclusion
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
3
Plan
• Problématique
• Données: définitions• Classification de données• Modèle Tunisien (Draft)
• Conclusion
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
4Tunisian Computer Emergency Response Team
Lancement d’une unité, spécialisée dans la sécurité des SI (Secrétariat d’état à l’informatique)
1999
Considération du rôle de la sécurité des SI comme pilier de la « Société d’Information : Mise en place d’une stratégie : priorités, volume des actions, logistique nécessaire
2002
Décision du conseil ministériel restreint (CMR): Créer une Agence Nationale : Obligation d’audit et création d’un corps d’auditeurs certifiés en sécurité des SI.
2003
Promulgation d’une Loi “originale” sur la sécurité des SI (Loi N° 5-2004, Fév. 2004 et ses 3 décrets associés)
2004
Lancement du CERT-TCC (Computer Emergency Response Team / Tunisian Coordination Center)
2005
Historique
5
L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés, elle est chargée des missions suivantes:
Missions
Tunisian Computer Emergency Response Team
Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux
Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine
Assurer la veille technologique dans le domaine de la sécurité informatique
Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication
Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence
Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique
Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux
Décret 1249 du 25 Mai 2004fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique.
Cadre réglementaire
Tunisian Computer Emergency Response Team
6
Loi n° 5 - 2004 du 3 février 2004relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux.
Décret 1250 du 25 Mai 2004fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et a sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.
Circulaire n° 19 - du 11 avril 2007relatif au renforcement des mesures de sécurité informatique dans les établissements publiques (Création d'une Cellule Technique de Sécurité, nomination d'un Responsable de la Sécurité des Systèmes d'Information RSSI ; et mise en place d'un Comité de pilotage).
Plan
• Problématique
• Données: définitions• Classification de données• Modèle Tunisien (Draft)
• Conclusion
7
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
8Tunisian Computer Emergency Response Team
Faux sentiment
de propriété
Méconnaissance des obligations nées du contrat de travail ou de prestation de
service
Contrôle de l’application des
règles d’utilisation du SI
Déficit de sensibilisation ou complexité de la
politique de protection et de classification de
l’information
« Vol de données »
par un UtilisateurQuelle est la portée et le contenu de
l’obligation de loyauté ? Quelles sont les clauses importantes des
contrats d’externalisation
? …
Comment la Charte peut-elle protéger
l’entreprise ? Quelles sont les dispositions à prévoir ? …
Quel périmètre pour la
politique de protection de données? …
Quel est le statut juridique de l’information ? Toutes les informations présentes sur le SI sont-elles protégées ? Quels sont les titulaires des droits qui s’appliquent ? …
9
Création
Gestion
Utilisation
Archivage
Sécu
rité
Classification de données
Plan
• Problématique
• Données: définitions• Classification de données• Modèle Tunisien (Draft)
• Conclusion
10
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
11
Données: définitions
Ce qui est connu ou admis comme tel, sur lequel on peut fonder un raisonnement, qui sert de point de départ pour une recherche,Représentation conventionnelle d'une information en vue de son traitement informatique.
Une Donnée au sens statistique est destinée à être étudiée dans le cadre de l'analyse des données.
Une Donnée au sens informatique est destinée à faire l'objet d'un traitement de données.
Une Donnée à caractère personnel pouvant bénéficier d'une certaine protection dans le cadre de la Protection de la vie privée ou du droit à l'image.
Dictionnaire
12
données personnelles : tenant à la personne
données privées : tenant au respect de la vie privée
données professionnelles : à finalité professionnelle
données publiques : définies par la loi
Données: définitions
Tunisian Computer Emergency Response Team
Plan
• Problématique
• Données: définitions
• Classification de données• Modèle Tunisien (Draft)
• Conclusion
13
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
14
SECURITE SantéIndustrie
La classification de données est une problématique répandue dans le monde scientifique, car elle est à l’origine de nombreuses applications.
Tunisian Computer Emergency Response Team
Gouvernement Finances
Classification (1/8)
15
Généralement, trois niveaux de sécurité existent : C’est au « classifieur » de décider le niveau de sécurité qui s’applique à chaque document ou n’importe quelle autre forme d’information qui existe dans la base de données.
interne secretconfidentiel
Tunisian Computer Emergency Response Team
Classification (2/8)
16Tunisian Computer Emergency Response Team
Pays\Classe Très secret Secret Confidentiel Restreint
Afrique du Sud
Top Secret Secret Confidential Restricted
USA Top Secret Secret Confidential
Belgique Très secret Secret Confidentiel Diffusion Restreinte
FranceTrès secret
DéfenseSecret
DéfenseConfidentiel
DéfenseDiffusion restreinte
ItalieSegretissim
o Segreto Riservatissimo Riservato
Suisse Secret Secret Confidentiel InterneSource: http://cryptome.info/appf.pdf
Classification (3/8)
17
Ordonnance concernant la protection des informations de la Confédération SuisseSecret Confidentiel Interne
Les informations dont la prise de connaissance par des personnes non autorisées peut porter un grave préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut:
a. compromettre gravement la liberté d’action de l’Assemblée fédérale ou du Conseil fédéral;
b. compromettre gravement la sécurité de la population;
c. compromettre gravement l’approvisionnement économique du pays ou la sécurité d’installations de conduite et d’infrastructures d’intérêt national;
d. compromettre gravement l’accomplissement de la mission de l’administration fédérale, de l’armée ou de parties essentielles de celle-ci;
e. compromettre gravement les intérêts en matière de politique extérieure ou les relations internationales de la Suisse;
f. compromettre gravement soit la protection des sources ou des personnes, soit le maintien du secret quant aux moyens et aux méthodes opératifs des services de renseignements.
les informations dont la prise de connaissance par des personnes non autorisées peut porter préjudice aux intérêts du pays. Il s’agit notamment d’informations dont la divulgation peut :
a. porter atteinte à la libre formation de l’opinion et de la volonté de l’Assemblée fédérale ou du Conseil fédéral;
b. porter atteinte à la mise en œuvre conforme de mesures concrètes décidées par une autorité;
c. porter atteinte à la sécurité de la population;
d. porter atteinte à l’approvisionnement économique du pays ou à la sécurité d’infrastructures importantes;
e. porter atteinte à l’accomplissement de la mission de parties de l’administration fédérale ou de l’armée;
f. porter atteinte aux intérêts de la Suisse en matière de politique de sécurité ou aux relations internationales de la Suisse;
g. porter atteinte aux relations entre la confédération et les cantons ou aux relations entre les cantons;
h. porter atteinte aux intérêts de la Suisse en matière économique, monétaire et de politique monétaire.
les informations:
a. dont la prise de connaissance par des personnes non autorisées peut porter atteinte aux intérêts du pays; et
b. qui ne doivent être classifiées ni «SECRET» ni «CONFIDENTIEL».
Classification (4/8)
18
le droit français ne protège pas tant contre l’appréhension de l’information (sous réserve des articles 323-1 et suivants du Code Pénal), la protège plus efficacement contre sa divulgation :Livraison d’informations à une puissance étrangère (art. 411-6 à 411-8 du Code pénal) : vise les « données informatisées ou fichiers »
Protection par le secret : secret de la défense nationale (art. 413-9 à 413-12 C.Pén. ; IGI n° 1300 et 900)secret professionnel (articles 226-13 et 226-14 du Code pénal)secrets de fabrique et espionnage industriel : cas Dassault Aviation (2002)
Protection des informations dans le cadre de procédures administratives ou judiciaires (type E-discovery) : loi n°68-678 du 26 juillet 1968
Tunisian Computer Emergency Response Team
Classification (5/8)
19Tunisian Computer Emergency Response Team
Classification (6/8)
En Tunisie la protection des données est régie par:
La loi organique - 63 du 27 Juillet 2004 portant sur la protection des données à caractère personnel
Décret n°2007-3004 du 27 novembre 2007 fixant les conditions et les procédures de déclaration et d'autorisation pour le traitement des données à caractère personnel
20
A.8.2.1
Classification des informations
Mesure
Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée.
A.8.2.2
Marquage des informations
Mesure
Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l’organisation.
ISO 27001 version 2013
1. la divulgation ne cause aucun dommage,
2. la divulgation provoque un dommage mineur,
3. la divulgation a un impact significatif à court terme sur les opérations ou les objectifs tactiques,
4. la divulgation a un grave impact sur les objectifs stratégiques à long terme ou met la survie de l'organisation à risque.
Exemple
Classification (7/8)
21
FIPS PUB 199Le format généralisé pour exprimer la catégorie de sécurité est :
SC Information = {(confidentialité, impact), (Intégrité, impact),
(Disponibilité, impact)},
Avec l’impact potentiel est : Faible, Modéré, Elevé, Non Applicable
L’impact potentiel est faible si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif limité pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
L’impact potentiel est modéré si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif sérieux pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
L’impact potentiel est élevé si : une affection de la confidentialité, l’intégrité ou la disponibilité pourrait avoir un effet négatif catastrophique pour les activités de l’entreprise, les actifs de l’entreprise ou pour les particuliers.
Tunisian Computer Emergency Response Team
Classification (8/8)
Plan
• Problématique
• Données: définitions
• Classification de données• Modèle Tunisien (Draft)• Conclusion
22
• Présentation de l’ANSI
Tunisian Computer Emergency Response Team
23
IMPACT POTENTIELObjectif de sécurité FAIBLE MOYEN ELEVE
Confidentialité
La divulgation non autorisée d'informations pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 1
La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus. IMPACT_C = 2
La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus.
IMPACT_C = 3
Intégrité
La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 1
La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_I = 2
La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_I = 3
Disponibilité
L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif limité sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 1
L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus. IMPACT_D = 3
L'interruption de l'accès ou de l'utilisation des données ou un système d'information pourrait avoir un effet négatif grave ou catastrophique sur les activités de l'organisation, les actifs de l'organisation ou des individus. IMPACT_D = 3
Modèle Tunisien (Draft)
24
Criticité des
données
Classe de données
1CA
2
3
CB4
6
8
CC9
12
18CD
27
Modèle Tunisien (Draft)
Tunisian Computer Emergency Response Team
Soient C,I,D tableaux C[i] : valeur de l’impact de
confidentialitéI[j] : valeur de l’impact de
l’intégritéD[k] : Valeur de l’impact de
disponibilitéSC : la valeur de la
corrélation {C,I,D}Classe_D : La classe de
donnée Pour i,j,k de 1 à 3 Calculer SC= C[i]*I[j]*D[k] Si SC = 1||2 alorsClasse_D = CA
Si SC = 3||4||6 alorsClasse_D = CB
Si SC=8||9||12 alorsClasse_D = CC
Si SC= 18 ||27 alorsClasse_D = CD
25
Criticité des
données
Classe de
données
Confidentialté Intégrité Disponibilité
Impact Exemple Impact Outil d'échangeTemps
d’arrêt par an
1
CA
La divulgation pourrait être parfois défavorable aux intérêts de l’organisation ou du groupe autorisé.
Guide utilisateur, certains numéros directs de téléphone, procédure de fonctionnement.
La modification ou la destruction non autorisée de renseignements pourraient parfois avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.
Pas de contraintes sur l’utilisation ou la transmission.
1 mois
2 3 semaines
3
CB
La divulgation pourrait être défavorable aux intérêts de l’organisation ou du groupe autorisé.
Documentation ou schéma de réseau interne, programme source.
La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif limité sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.
contraintes minimalessur l’utilisation ou la transmission.
18 jours
4 2 Semaines
6 1 semaine
8
CC
La divulgation non autorisée d'informations pourrait avoir un effet négatif important sur les opérations de l'organisation, les actifs de l'organisation ou des individus.
Secret bancaire, données à caractères personnelles sensibles (santé), incidents de sécurité.
La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif important sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.
Limitation des droits d’accès.
½ semaine
9 1 jour
12 ½ jour
18
CD
La divulgation non autorisée d'informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l'organisation, les actifs de l'organisation ou des individus.
Information classifiée par la loi, mot de passe
La modification ou la destruction non autorisée de renseignements pourraient avoir un effet négatif grave ou catastrophique sur les activités de l'organisation limitée, les actifs de l'organisation ou des individus.
Utilisation de la signature, coffre fort.
1 heure
27 30 min
Modèle Tunisien (Draft)
26
Criticité des donné
es
Classe de
données
Impact sur la population
Impact Economique
Impact de l'interdependance
Périmiètre affecté
1CA
Impact mineur (i.e <10)
Impact mineur (i.e <10 M)
Impact mineur Local2
3
CBImpact modéré
(i.e 10-100)
Impact modéré(i.e 10 M - 100
M)
Impact modéré (Perturbation)
périmètre étendu ou d'autres sécteurs
(partiellement affecté)
4
6
8
CCImpact significatif
(i.e 100-500)
Impact significatif
(i.e 100 M - 500 M)
impact signaficatif
périmètre national ou un
secteur (totalement
affecté)
9
12
18
CDImpact grave
(i.e >500)Impact grave (i.e > 500 M)
impact grave et affaiblissant
périmètre international ou plusieurs
secteurs (totalement
affecté)
27
Modèle Tunisien (Draft)
27Tunisian Computer Emergency Response Team
Modèle Tunisien (Draft) [Traitement de données]
L’accès aux données,
Le cycle de vie de données,
L’échange de données,
Le droit d’accès.
La sécurité des locaux,
La sécurité des serveurs (l’emplacement des données le cas
échéant),
La sécurité des workspaces,
L’identification et l’authentification des utilisateurs,
La sécurité d’accès aux données des utilisateurs,
La gestion des accès à distance.
L’accès aux données
Processus
28
Données
Backup
Logs
Uti
lisa
tion
Collaborateur
Introduction
Modification
Destruction
Sauve
gard
e
Support
Journalisation
Jour
nalis
atio
n
Le cycle de vie des donnéesTunisian Computer Emergency Response Team
La gestion de l’introduction
des données dans le
système,
La surveillance des
traitements sur les données
(journalisation),
Le chiffrement des données,
La sécurité des différents
supports de données,
La sauvegarde les données,
La destruction de manière
définitive les données,
La gestion de sous-traitance
de projets,
La gestion de la sécurité de
l’information et la protection
des données.
Modèle Tunisien (Draft) [Traitement de données]
29
Logs
Tiers
Journ
alisat
ion
Journ
ali
sati
on
Communication Transmission
Station de travail
Supports
L’échange de donnéesTunisian Computer Emergency Response Team
Chiffrer un message
à envoyer à un tiers
distant,
Signer un message à
envoyer à un tiers
distant,
La transmission des
supports mobiles de
manière sécurisée,
La trace des
différentes
communications.
Modèle Tunisien (Draft) [Traitement de données]
30Tunisian Computer Emergency Response Team
Criticité de donnéesClasse de données
Echange
1CA Protéger l’accès au document
2
3
CB
Protéger+ Chiffrer le document4
6
8CC
Protéger, chiffrer+ Journaliser le traitement9
12
18
CD
ProtégerChiffrer
JournaliserNuméroter27
Modèle Tunisien (Draft) [Traitement de données]
31
DonnéesDemande d’accès
Assurer que les
personnes concernées
puissent faire valoir
leur droit.
Assurer la
reproductibilité des
procédures
d’exécution du droit
d’accès.
Tunisian Computer Emergency Response Team
Le droit d’accès
Modèle Tunisien (Draft) [Traitement de données]
La classification de données
La protection de données
La politique de protection de l’information a besoin de tous pour s’appliquer ; il faut replacer le facteur humain au cœur des politiques de sécurité des Systèmes d’Information.
La confiance n’exclut pas le contrôle.
Tunisian Computer Emergency Response Team
32
Politique de classification et de gestion de l’information
facteur clé de succès
La mise en place d’un système de gestion de sécurité de l’information
Conclusion
33
Merci pour votre attention
Share your knowledge. It is a way to achieve immortality