Post on 13-Apr-2017
Le « Security by Design » et ses multiples facettes Thierry PERTUS
Janvier 2015
Le « Security by Design » et ses multiples facettes
Janvier 2015 p 2
►Avant-propos
En matière de management de la sécurité des systèmes d’information, il est admis que les besoins de sécurité doivent être pris en compte très en amont et tout au long du cycle projet. Si cette démarche méthodologique vertueuse et responsable s’appuie idéalement sur une analyse de risques s’inscrivant dans un processus standardisé et reproductible, l’exercice peut s’avérer particulièrement délicat lorsque le périmètre d’étude comporte des interactions ou adhérences fortes avec un écosystème complexe, hétérogène et pas toujours maîtrisé, ainsi que des actifs informationnels devenant inquantifiables, volatiles et polymorphes *.
Par où commencer pour relever ce défi d’aujourd’hui et de demain ? Quelles sont les pistes d’action pour obtenir une assurance sécurité intégrée, dite « built-in », alignée durablement sur les objectifs stratégiques et opérationnels de la DSI, du Métier et de la gouvernance d’entreprise ? Autant de questions ésotériques qui nous amènent à nous intéresser à l’univers très codifié de l’architecture d’entreprise et de l’urbanisation des SI.
►Teaser (Security by Design and its many facets)
In terms of security management of information systems, it is recognized that security needs must be taken into account very early on and throughout the project cycle. This commendable and responsible methodological approach is justly based on risk analysis as part of a standardized, repeatable process. But the exercise can prove especially difficult when the field of concern has strong interactions or connections with a complex, heterogeneous ecosystem, which may not always be under control, and with information assets that have become unquantifiable, volatile and polymorphic.
Where does one start to address this current and upcoming challenge? What are the courses of action for integrated security assurance, known as "built-in", aligned with the long-term strategic and operational objectives of the CIO, Business Processes and Corporate governance? What may appear to be rather arcane questioning leads us directly to issues regarding the highly codified world of enterprise architecture and urbanization of IS.
Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 30 (Trimestriel Janvier-Mars 2015)
* 3V (Volume, Vitesse, Variété) caractérisant le Big Data
Le « Security by Design » et ses multiples facettes
p 3
Un cadre d’architecture pour manager la SSI : une question de « point de vue »
Janvier 2015
Le « Security by Design » et ses multiples facettes
p 4 Janvier 2015
►Des enjeux multiples
s’appuyer sur des composants réputés et avérés fiables, interopérables et maintenus en conditions de sécurité (MCS)
disposer d’un SI efficient et résilient, mais aussi évolutif et réactif (agilité et time-to-market obligent), de façon à soutenir la stratégie d’entreprise et les objectifs opérationnels du Métier ;
apprécier et de contenir les risques cyber pour garantir une certaine « confiance numérique » aux différentes parties prenantes ;
rationaliser les coûts d’investissement et de possession (TCO) et optimiser les délais d’implémentation ou de délivrance des services en support.
Pour relever un tel challenge, l’architecture d’entreprise s’avère être LA discipline incontournable, permettant de se doter d’une vision systémique de l’organisation, à partir d’une approche holistique, structurée et partagée, mais également d’un support commun à la réflexion et à la communication, lui conférant la vocation de véritable « clé de voûte » du changement.
►L’architecture d’entreprise (EA) et ses modèles multi-niveaux
EA Enterprise Architecture TCO Total Cost of Ownership TIC Technologies de l’Information et de la Communication
Le « Security by Design » et ses multiples facettes
Stratégie d’entreprise
(gouvernance)
Pilotage des processus Métier
(fonctionnel orienté objets Métier)
Urbanisation du SI (fonctionnel orienté
applications & données)
Architecture technique - TIC
(socle technique d’infrastructure)
Sécurité des socles systèmes
Sécurité des données
Sécurité des opérations de traitement
Sécurité des socles middleware
Sécurité des réseaux et stockages
Sécurité des applications
Classification de l’information,
Gestion des habilitations
Gestion de crise COMEX
CODIR
MOA
(Métier)
AMOA
(CdP SI)
MOE
Pilo
tage
de
la s
écur
ité o
péra
tionn
elle
Prévention Détection Réaction
Vei
lle, C
onfo
rmité
, Con
trôl
e in
tern
e, S
ensi
bilis
atio
n
Gou
vern
ance
de
la s
écur
ité
Gestion des risques d’entreprise
Ser
vice
s fé
déra
teur
s de
con
fianc
e, C
ontin
uité
d’a
ctiv
ité
Exp
loita
tion,
Mai
ntie
n en
con
ditio
n de
séc
urité
,
Sur
veill
ance
, G
estio
n de
s in
cide
nts
de s
écur
ité
Séc
urité
pro
jets
, Ing
énie
rie, C
ondu
ite d
u ch
ange
men
t
(fournisseur,
intégrateur, mainteneur)
p 5 Janvier 2015
►Correspondance entre domaines d’architecture d’entreprise et domaines de sécurité
Le « Security by Design » et ses multiples facettes
Facteurs externes
de conformité Référentiels
internes
Démarche méthodologique « top-down »
de conduite des projets de transformation
• Gouvernance de la sécurité du SI
• Appréciation des risques cyber en lien avec les enjeux stratégiques
Stratégie d’entreprise
• Spécifications des besoins de sécurité pour les actifs informationnels en lien avec les objectifs opérationnels et les impacts potentiels (ex : niveau de sensibilité DICP)
Pilotage des processus Métier
• Analyse de risques liés à la sécurité du SI
• Spécifications des exigences de sécurité et des niveaux de service requis
• Plan d’audit / recette / homologation sécurité
Urbanisation du SI
• Spécifications des fonctions de sécurité et des capacités appropriées
• Sélection des services, produits et mécanismes de sécurité appropriés
Architecture technique - TIC
Exigences
de sécurité
Composants
de sécurité
Fonctions
de sécurité
Principes
de sécurité
(PSSI)
Critères
de sécurité
/ Classification
des données
Obligations
légales,
réglementaires
et contractuelles
Référentiels
méthodologiques
et techniques
(normes,
standards, guides)
Catalogues (artefacts)
à élaborer et faire évoluer Rebouclage « bottom-up »
par cycles itératifs (alignement / ajustement)
Gestion des risques techniques
Gestion des risques fonctionnels
Gestion des risques opérationnels
p 6 Janvier 2015
►« Vue » sur les activités de sécurité dans les projets
Le « Security by Design » et ses multiples facettes
p 7
La modélisation par blocs fonctionnels
Janvier 2015
Le « Security by Design » et ses multiples facettes
Fondations
(générique)
Systèmes communs
(transverse)
Domaine d’activité
(sectoriel)
Entreprise
(contextuel)
Solution
Building Block (SBB)
/ Design pattern
Architecture
Building Block (ABB)
/ Architecture pattern
Produits
et services
du marché
Produits
et services
d’un domaine
considéré
Ex. : Sécurité
Produits
et services
éligibles
Produits
et services
du secteur
de l’entreprise
Technical Référence Model (TRM) &
Standards Information Base (SIB)
Recherche de Building Blocks
(Etat de l’art, prospective et veille technologique)
Réutilisation / adaptation de Building Blocks pour l’entreprise
(ex : sécurisation dans le contexte)
p 8 Janvier 2015
►Continuum d’architecture et Building Blocks associés (TOGAF)
Le « Security by Design » et ses multiples facettes
p 9 Janvier 2015
►Catalogues de sécurité (artefacts)
Le « Security by Design » et ses multiples facettes
Sphère privée
(dédié, SI fermé) Sphère communautaire
(sectoriel partagé, SI étendu) ex : GIE
Sphère publique
(partagé, SI ouvert)
Souveraineté / autonomie
(stratégie de maîtrise opérationnelle)
Mutualisation / agilité
(stratégie d’optimisation économique)
Cloud communautaire Cloud privé Cloud public
Cloud hybride
Virtualisation
système
Middleware
& Runtime
Plateforme
serveur
Applications
Réseau
& Stockage
OS
PaaS (on-demand solution stack /
dev environment)
IaaS (on-demand VM,
VDC, VDI)
SaaS (web/mobile apps :
ERP, xRM, SCM, BI, e-sourcing,
office suite, cloud drive, …)
BaaS / mBaaS (CMS, UI tools,, MEAP,
WS-*, e-payment, Shibboleth, …
Infr
astr
uctu
re a
s a
Ser
vice
Pla
tform
as
a S
ervi
ce
Sof
twar
e as
a S
ervi
ce /
[mob
ile]
Bac
kend
as
a S
ervi
ce
Opérations
Bus
ines
s P
roce
ss a
s a
Ser
vice
BPaaS (BPO, offshoring)
Données DaaS
(Marked-metadata databank)
Dat
a as
a S
ervi
ce
Infrastucture
Datacenter
Dat
aCen
ter
as a
Ser
vice
DCaaS (hosting,
housing)
CAPEX
OPEX
Bus
ines
s se
rvic
es
IT s
ervi
ces
Niv
eau
de
con
trô
le d
e l’e
ntr
epri
se
Low
High
IDE,
API, EDI
On-Premise On-Premise On-Premise
p 10 Janvier 2015
► Cas d’usage : Les différents modèles de cloud computing abordés sous l’angle sécuritaire
Le « Security by Design » et ses multiples facettes
p 11 Janvier 2015
►Cas d’usage : Un security pattern générique applicable aux systèmes de contrôle industriels (SCI)
Source : Industrial Control Systems Security Pattern [SP-023] - OSA (http://www.opensecurityarchitecture.org)
Le « Security by Design » et ses multiples facettes
p 12
Des référentiels applicables et un programme d’action
Janvier 2015
Le « Security by Design » et ses multiples facettes
• TOGAF, EAM, ArchiMate, DoDAF, MoDAF, FEA, Zachman, SABSA, Urba-EA [FR], Praxeme [FR], …
Architecture d’entreprise (EA)
• BSC, Matrice BCG (DAS), Porter 5F / value chain, PESTEL, 5 Ws / QQOQCCP [FR], SWOT, ROI, …
Stratégie d’entreprise
• COSO, ISO 31000, ISO 31010,, ISO/IEC 27005, EBIOS [FR] ,… ; ISO 22301 (SMCA), BP Z74-700 [FR], …
Management des risques d’entreprise / conformité (ERM / GRC) ; Continuité d’activité (BCP)
• BA-BOK, BPA, BPI, BPM, MOF, XMI, UML, SADT, Merise [FR], BPMN, Six Sigma, SIPOC, 5S, business / use case, supply chain / ISO 28000 (SMSCA), B2B, A2A, B2C, C2C, M2M, …
Modélisation / optimisation opérationnelle (processus Métier)
• ISO 9001 (SMQ),, Roue de Deming (PDCA),, BPMM, TQM, Lean Six Sigma, Kaizen, EFQM, ISO 9004, CMMI, ISO/IEC 21827, eSCM, …
Qualité / Maturité des processus
• CobiT, ISO/IEC 38500, ISO/IEC 24762 (DR), ISO/IEC 27001 (SMSI), ISA-99/IEC 62443-2-1 (SMCS), ISO/IEC 29100 (Privacy), …
Gouvernance du SI (processus IT) ; Classification de l’information / Données personnelles
• PM-BOK, PMP, Prince 2, cycle en V, méthodes de développement agiles / itératives (Scrum, XP, …), …
Conduite de projet
• DM-BOK, SysML, SoaML, …
Urbanisation du SI
• ITIL, ISO/IEC 20000 (ITSM), ISO/IEC 27002, ISO/IEC 15408-2 / CC, ISA-99/IEC 62443-3-3, RGS [FR], OSA, …
Architecture fonctionnelle de centre de services IT (services IT, fonctions / mesures de sécurité)
• Mainframe, ERP, xRM, SCM, BI, SOA / WOA (n-tiers, J2EE/.NET, EAI/ESB, WS (UDDI, SOAP, WSDL, BPEL), DBMS (SQL/NoSQL), PKI, BI), …
Architecture applicative / Architecture de données
• Cloud computing (IaaS / Paas / SaaS), Virtualisation systèmes (Machines, Apps, Desktops), Virtualisation réseaux (VLAN, VRF), Datacenter (SAN, NAS, Switch Fabric), Backbone MAN / WAN (Metro Ethernet, MPLS, VPN IPsec), Accès local (Ethernet, WiFi), Accès distant (xDSL / FO, HTTPS / VPN TLS / IPsec), Internet Mobile (Wi-Fi hotspot, xG), …
Architecture technique infrastructure (virtualisation / systèmes / réseau / stockage)
Domaine SSI (IS)
Domaine SCI (ICS)
p 13 Janvier 2015
►Panorama des principaux référentiels et outils méthodologiques applicables au pilotage des projets de transformation
Le « Security by Design » et ses multiples facettes
Cartographie des processus et activités critiques
(cf. BPM, BPA)
Cartographie des données sensibles
(cf. classification des données structurées/non structurées)
Cartographie des applications critiques / sensibles
(cf. SLAs, PAS, …)
Cartographie de l’infrastructure et des composants techniques en support
(architecture réseau/stockage et télécoms L1/L2/L3, systèmes physiques/virtuels, middleware/SGBD, …)
Identification des vulnérabilités potentielles sur les composants critiques / exposés
(scan de vulnérabilités, tests d’intrusion, audit de conf, analyse de code, détection des SPOF, …)
Identification des scénarios de risques majeurs et cartographie des risques nets
(analyse de risques, BIA, use case, …)
Plan d’action (application des correctifs/upgrade, mise en conformité des configurations et procédures, …)
(gap analysis, PCA/PCI, quickwins, plan de remédiation, contre-audits ,plan de contrôle ,…)
1
2
3
4
5
6
7
p 14 Janvier 2015
►7 steps QuickStart Program pour aligner le niveau de sécurité du SI sur les enjeux Métier
Le « Security by Design » et ses multiples facettes
p 15
►Bibliographie
Les référentiels du système d'information - Données de référence et architectures d'entreprise (DUNOD)
Architecture d’entreprise dans un contexte d’entreprise numérique - 2014 (Club URBA-EA)
Architecture et transformation de l’entreprise et du SI - La méthode TOGAF en pratique (EYROLLES)
TOGAF en pratique - Modèles d’architecture d’entreprise (DUNOD)
TOGAF v9.1 - 2011 (The Open Group)
Security Principles for Cloud and SOA - 2011 (The Open Group)
Impact du Cloud Computing sur l’Architecture d’Entreprise (CEISAR)
La sécurité dans le cloud – Techniques pour une informatique en nuage sécurisée (PEARSON)
Security by Design with CMMI for Development, v1.3 - 2013 (CMMI Institute)
Cadre Commun d’Urbanisation du Système d’Information de l’Etat, v1.0 - 2012 (DISIC)
Janvier 2015
Le « Security by Design » et ses multiples facettes
p 16
Source* : Star Wars, Episode VI : Le retour du Jedi (Lucasfilm Ltd.) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Janvier 2015
Vous me confirmez qu’une fois sa construction achevée, cette étoile noire
ne souffrira pas des mêmes failles que la précédente ?
Affirmatif, Amiral.
Par contre, pour des raisons de budget, on a dû réutiliser des bluiding blocks
trouvés sur le darknet pour la conception de son bouclier de protection.
Eh bien j’ose espérer que nous
n’aurons pas à le regretter …
Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM
Cybersécurité
Powered by
securite@conix.fr
www.conix.fr
Keep control.