French acreditation process homologation 2010-01-19

Homologation SSI

Agence nationale de la Sécurité des Systèmes d’InformationBureau Assistance et Conseil

conseil.anssi[at]ssi.gouv.fr

Plan de la présentation

Introduction

1. L’adoption d’une démarche globale� Seule solution pour sécuriser les informations face aux menaces hétérogènes

2. La gestion des risques est au cœur de toute réflexion de SSI� Des normes et des outils : Guide ISO/CEI 73, ISO/CEI 31000, EBIOS…

3. Le concept de maturité permet d’adapter la SSI aux enjeux réels

Bureau Conseil de la DCSSI - 2009 - http://www.ssi.gouv.fr 2

� Quelques références : Guide Maturité SSI, ISO/CEI 21827…4. Vers une amélioration continue : le système de management de la SSI

� L’ISO/CEI 27001 en décrit les activités5. La SSI devait être intégrée tout le long du cycle de vie des systèmes

� Le guide GISSIP présente différentes manières d’y parvenir selon les enjeux SSI6. L’homologation, un engagement systématique

� Démarche, livrables7. Les labels SSI améliorent la confiance

� Produits, systèmes de management, systèmes d’information et personnes

Conclusion

Introduction


Le contexte mondial : l’incertitude stratégique

� La mondialisation est une situation nouvelle dans laquelle la diffusion de l’informationet de la connaissance, la transformation des échanges économiques et lamodification des rapports de forces internationaux ont, d’emblée, un impact mondial.Elle crée une interaction et une interdépendance généralisées et non maîtrisées entretous les États. Elle permet à une multitude nouvelle d’acteurs non étatiques etd’individus de tirer le parti maximum des possibilités de circulation internationaleaccélérée des hommes comme des données et des biens, matériels et immatériels.[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deux


[…] La mondialisation ne crée un monde ni meilleur ni plus dangereux qu’il y a deuxdécennies. Elle dessine en revanche les contours d’un système internationalnettement plus instable, moins contrôlé, et donc plus inquiétant, qui appelle desréponses à la fois globales et très spécifiques.[Livre blanc « Défense et sécurité nationale »]

� Quelques effets néfastes de la conjoncture actuelle� Diffusion rapide de toutes les formes de crises� Accélération foudroyante de la circulation de l’information� Des régions entières demeurent à l’écart des bénéfices de la croissance mondiale� Évolution des formes de violence (terrorisme, guerre…)

Quelques nouvelles d’Internet…une journée parmi d’autres

� MAURITANIE - La dictature militairemauritanienne a utilisé des techniques de"cyber-guerre" pour rendre indisponible deuxsites Internet de l'opposition. Les autorités ontloué les services de plusieurs réseaux demachines zombies pour lancer ces attaques endéni de service distribué à l'encontre de cessites. Cet événement rappelle qu'au Myanmar,en Russie et en Chine, le pouvoir politique a usédes mêmes tactiques.

� FRANCE - Une enquête de police a permis desaisir plus de 2 000 fichiers vidéo à caractèrepédopornographique sur le réseau informatiqued'Air France. L'enquête a débuté en janvier 2007à la suite d'une plainte déposée par uneassociation qui avait découvert des fichierspédophiles en circulation via une sociétéfrançaise. Une perquisition effectuée au domiciled'un employé de la compagnie aérienne nationaleavait alors permis la saisie de 100 000 images de


des mêmes tactiques.[source Internet : Strategy Page]

� ÉTATS-UNIS - Un ordinateur portable contenantles informations personnelles (noms, adresseset numéros de sécurité sociale) de 97 000salariés de la société Starbucks a été dérobé le29 octobre dernier. La société aurait affiché surson site Internet cette information enrecommandant à ses employés de prendre desmesures appropriées en cas de retrait suspect.Starsbucks offre à ses employés une assistancegratuite permettant d'être immédiatement avertide toute opération financière sur leurs comptesbancaires.[source Internet : Seattle Post-Intelligencer]

avait alors permis la saisie de 100 000 images demineurs d'une capacité totale de 90 Go.[source Internet : Bakchich.info]

� RÉPUBLIQUE DU CONGO - Parution du premierlivre sur la sécurité informatique du pays : l'auteursouligne que des réseaux de cyber-attaquants deplus en plus structurés sont virtuellement ouphysiquement situés sur le continent africain. Ilrévèle aussi que par le biais de réseaux sociauxet autres moyens de communications Internetd'énormes capitaux transitent vers des paradisfiscaux.[source Internet : Categorynet]

L’évolution du contexte…

� Les systèmes informatiques évoluent…« Avant, on tentait d’empêcher les missiles de détruire les salles enfermant les machines ; on essaie maintenant d’empêcher les machines d’utiliser les missiles. »� Les systèmes informatiques changent dynamiquement, se complexifient,

s’interconnectent et changent la valeur de l’information� Les technologies évoluent (programmation orientée objet, agents intelligents…)

� La menace évolue…


� La menace évolue…� On doit considérer les menaces d’origine accidentelle et celles d’origine intentionnelle� Vulgarisation des outils d’attaques (disponibles sur Internet, manipulation simple)� Automatisation des attaques (recherche de machines, casseurs automatisés de mots

de passe, intrusion dans les systèmes…)� Une faible qualité des logiciels et produits disponibles (augmentation du nombre

d’alertes)

� Les impacts évoluent…� Sur les missions, les personnes, l’image, les tiers, la sécurité de l’État, l’environnement,

financiers, juridiques…

… a fait évoluerla sécurité de l’information

� La protection de l’information ne se limite pas à l’informatique� Biens techniques : matériels, logiciels, réseaux, supports d’informations� Biens non techniques : organisations, sites, locaux, personnels� L’information est omniprésente, extrêmement répartie et en circulation permanente

� Les problématiques sectorielles convergent (qualité, sécurité des personnes,environnement, risques opérationnels…)


� Il n’est donc plus possible de tout protéger efficacement contre tout

� C’est pourquoi il convient d’adopter des démarches et outils méthodologiques� Prendre des décisions rationnelles� Partager un vocabulaire commun� Gérer la complexité

� La gestion des risques est le seul moyen rationnel pour prendre des décisions� La mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001)

repose sur la gestion des risques� L’ISO/CEI 31000 (gestion des risques au sens large) et l’ISO/CEI 27005 (application à la sécurité de

l’information) en décrivent la démarche générale� La méthode EBIOS permet de mettre en œuvre l‘ISO/CEI 27005

1. Adopter une démarche globale


globale

Sécurité des système d’information (SSI) : de quoi parle-t-on ?

� Un système d’information (SI) est :� un système (combinaison d’éléments en interaction organisés pour

atteindre un ou plusieurs buts définis [ISO/IEC 15288]),� qui assure l’élaboration, le traitement, la transmission et le stockage

d’informations (renseignements ou éléments de connaissance).


� Les informations, ainsi que les processus informationnels, constituentles biens essentiels au cœur des éléments d’un SI.

� La sécurité des systèmes d’information (SSI) a pour objectif deprotéger ces biens essentiels.

� Les biens essentiels reposent sur des biens supports (réseaux,matériels, logiciels, organisations, personnes, sites).

� C’est par le biais des biens supports que la sécurité des biensessentiels peut être atteinte.

La SSI doit être considérée globalement

� L’objectif est la cohérence d’ensemble de la démarche de sécurisation dessystèmes d’information. Il convient en effet de n’oublier aucun élément pertinent,pour éviter le maillon faible qui réduirait la sécurité apportée par tous les autresmaillons, de faire prendre chacune des décisions au juste niveau.

� Il faut pour cela :� considérer tous les aspects qui peuvent avoir une influence sur la sécurité des


� considérer tous les aspects qui peuvent avoir une influence sur la sécurité dessystèmes d’information, techniques (matériels, logiciels, réseaux, etc.) et nontechniques (organisations, sites, personnes…),

� considérer toutes les origines de risques (origines humaines et naturelles, causesaccidentelles et délibérées),

� prendre en compte la SSI au plus haut niveau hiérarchique, car comme tous les autresdomaines de la sécurité, la SSI repose sur une vision stratégique, nécessite des choixd’autorité (les enjeux, les moyens humains et financiers, les risques résiduelsacceptés) et un contrôle des actions et de leur légitimité,

� responsabiliser tous les acteurs (décideurs, maîtrises d'ouvrage, maîtrises d'œuvre,utilisateurs…),

� intégrer la SSI tout le long du cycle de vie des systèmes d'information (depuis l’étuded’opportunité jusqu'à la fin de vie du système).

2. Fonder la SSI sur la gestion des risques


gestion des risques

Pourquoi gérer les risques SSI ?

� Lignes directrices de l’OCDE� Principe d’évaluation des risques� Principe de gestion de la sécurité� Principe de réévaluation

� Maîtriser les coûts� Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’en


� Objectivité dans les choix (balance entre ce qu’on peut perdre et le coût pour s’enprémunir)

� Maîtriser la sécurité de ses systèmes d’information� Visibilité, cohérence et prévention

� Réglementation pour le classifié de défense� L’instruction générale interministérielle N°1300 rend la réalisation d’une analyse des

risques obligatoire pour tout système traitant des informations classifiées de défense.

Qu’est-ce qu’un risque SSI ?

Ex. 1 – USA Ex. 2 – Nouvelle-Zélande Ex. 3 – Fictif

Événements redoutés

Sources de menace

« Attaquants » « Attaquants »Un pirate expérimenté

engagé par un concurrent

Biens essentielsDonnées sur le

système de diagnostic d’un avion de chasse

Processus d’enregistrement de noms

de domaines

Informations et fonctions présentes sur le réseau

Besoins de sécurité

Confidentialité Intégrité Intégrité

Atteinte de l’image de l’ État, possibilité

Redirection de sites web Perturbation du


Risques

ImpactsÉtat, possibilité

ultérieure d’actions contre les systèmes

des avions

Redirection de sites web vers un autre, atteinte de l’image des organismes

concernés

Perturbation du fonctionnement, perte

d’avantage concurrentiel

Niveau d’impact Modéré à élevé Modéré Élevé

Scénarios de menaces

Menaces Intrusion et collecte Accès frauduleuxPiégeage du logiciel

(introduction d’un ver)

Biens supportsRéseaux des sous-

traitants

Fonctionnalités d’administration du site du bureau d’enregistrement

Réseau WiFi

VulnérabilitésPerméabilité des

réseaux des sous-traitants

Injection SQLPossibilité d’administrer

le réseau à distance

Niveau de vraisemblance

Quasiment certain (traces d‘intrusion)

Quasiment certain (vulnérabilités connues)

Important

Un cadre pour toutes les méthodes de gestion des risques SSI : l’ISO/CEI 27005

RISK ESTIMATION

ESTABLISH CONTEXT

RISK IDENTIFICATION

CA

TIO

N

AN

D R

EV

IEW

RISK ASSESSMENT

RISK ANALYSIS


RISK TREATMENT

RISK EVALUATION

RIS

K C

OM

MU

NIC

RIS

K M

ON

ITO

RIN

G A

RISK DECISION POINT 1Assessment satisfactory

END OF FIRST OR SUBSEQUENT ITERATIONS

RISK DECISION POINT 2Accept risks

Yes

No

No

Yes

RISK ACCEPTANCE

EBIOS, la méthode française permettant de mettre en œuvre l’ISO/CEI 27005

� Étude du contexte� Quel est le sujet de l’étude ?� Fixer le cadre, préparer les métriques, identifier

les biens

� Étude des besoins� Quels sont les événements redoutés ?� Identifier la valeur des biens essentiels et les

impacts en cas d’atteinte

� Étude des menaces� Comment les événements redoutés peuvent-ils

Module 1Étude ducontexte

Module 2Étude desbesoins

Module 3Étude desmenaces


� Comment les événements redoutés peuvent-ils se réaliser ?

� Identifier les menaces et les vulnérabilités des biens supports

� Étude des risques� Quels sont les scénarios qui peuvent réellement

arriver ? De quelle manière veut-on les traiter ?� Identifier les risques et les objectifs de sécurité

� Étude des mesures de sécurité� Quelles sont les solutions à mettre en œuvre

pour traiter les risques ?� Déterminer les mesures (éventuellement sur la

base de l’ISO/CEI 27002) et suivre leur application

Module 4Étude des

risques

Module 5Étude des

mesures desécurité

L’objectif : sécuriser les systèmes d’informations

� Protéger les biens essentiels� Informations : données numériques ou non, savoir ou savoir-faire particulier� Processus informationnels : fonctions, processus métiers…

� Maîtriser les biens supports� Réseaux : réseaux informatiques, relais et supports de communication,


� Réseaux : réseaux informatiques, relais et supports de communication,protocoles

� Matériels : ordinateurs fixes et mobiles, périphériques, supportsélectroniques et papiers

� Logiciels : applications, systèmes de gestion de base de données,middleware, systèmes d’exploitation, firmware

� Organisations : organisations internes, relations avec des tiers� Personnes : personnes morales, personnes physiques� Sites : locaux, installations électriques, installations de traitement de fluides

Prendre en compte les références applicables

� La loi et la réglementation doivent être prises en compte� Codes d’éthique des métiers des technologies de l’information� Atteintes aux personnes (vie privée, protection des données nominatives, secret

professionnel, secret de la correspondance)� Atteintes aux biens (vol, escroquerie, détournements, destructions, dégradations et

détériorations, atteintes aux systèmes d’information)� Atteintes aux intérêts fondamentaux de la Nation, terrorisme et atteintes à la confiance

publique


publique� Atteintes à la propriété intellectuelle (protection du droit d’auteur, protection des bases

de données)� Dispositions relatives à la cryptologie� Dispositions relatives à la signature électronique� Autres texte nationaux et internationaux (Union européenne, Union africaine, ONU…)

� Il convient également de tenir compte des réglementations sectorielles et desrègles internes aux organismes

Respecter les besoins de sécurité

� La sécurité de l'information a pour but de protéger le patrimoineinformationnel de l'organisme. Celui-ci permet son bon fonctionnementet l'atteinte de ses objectifs.

� La valeur de ce patrimoine, dit informationnel, peut en effet êtreappréciée au regard :


� des opportunités qu'il offre quand on l'utilise correctement,� des conséquences négatives dans le cas contraire.

� Les besoins de sécurité représentent les conditions dans lesquelles lesmétiers s’exercent de manière acceptable. Ils sont généralementexprimés en termes de :� disponibilité : propriété d'accessibilité au moment voulu des biens essentiels

par les personnes autorisées� intégrité : propriété d'exactitude et de complétude des biens essentiels� confidentialité : propriété des biens essentiels de n'être accessibles qu'aux

utilisateurs autorisés

Gérer les impacts internes et externes

� Impacts sur les missions� Incapacité à fournir un service, perte de savoir-faire, changement de stratégie…

� Impacts sur la sécurité des personnes� Accident du travail, maladie professionnelle, perte de vies humaines, mise en danger…

� Impacts financiers� Perte de chiffre d'affaire, dépenses imprévues, chute de valeur en bourse, baisse de

revenus…


revenus…

� Impacts juridiques� Procès, amende, condamnation d'un dirigeant, dépôt de bilan, avenant…

� Impacts sur l’image� Publication d'un article satyrique dans la presse, perte de crédibilité vis-à-vis de clients,

mécontentement des actionnaires, perte d'avance concurrentielle, perte de notoriété…

� Impacts sur l’environnement� Pollution (chimique, bactériologique, radiologique, sonore, visuelle…) générée par

l'organisme et touchant son périmètre, son voisinage ou une zone…

� Impacts sur les tiers� Impossibilité d'assurer un service, amendements de contrats, pénalités, conséquences

sur la production ou la distribution de biens ou de services considérés comme vitaux…

Faire face à toutes les sources de menaces

� Sources humaines� Employé en fin de contrat, employé voulant se venger de son

employeur ou de ses collègues, fraudeur, employé maladroit ou inconscient…

� Militant agissant de manière idéologique ou politique, espion, terroristes, pirate passionné, casseur ou fraudeur, concurrent avec une motivation stratégique, visiteur, prestataire, personnel


une motivation stratégique, visiteur, prestataire, personnel d'entretien cupide, personnel d'entretien maladroit, personne réalisant des travaux dans le voisinage, manifestants, stagiaire agissant de manière ludique…

� Sources non humaines� Matières dangereuses, matières inflammables, eau…� Virus informatique ou autre code malveillant, nature environnante

(rivière, forêt…), météo, éléments du voisinage, temps qui s'écoule, contingence (malchance)…

Lutter contre les menaces

� Détournements d'usages� Défiguration, cybersquatting, altération de données, exploitation distante d'un réseau

sans fil, occupation de site, interception de signaux parasites (compromettants, wifi…),écoute passive, hameçonnage, divulgation involontaire, ingénierie sociale …

� Dépassements de limites de fonctionnement� Déni de service, surcharge de variables, défaillance logicielle, défaillance matérielle,

dysfonctionnement provoqué (rayonnements électromagnétiques, thermiques…),dépassement de capacités réseaux, surmenage, défaillance de la climatisation…

Val

eur

des

bien

s

Besoin de sécurité

SCAN

SOCIAL

ENGINEERING

SCRIPT

KIDDIES

Compétence

Disponibilitédes outils

DENI SERVICE

USURPATION

ATTAQUE

CRYPTO


dépassement de capacités réseaux, surmenage, défaillance de la climatisation…

� Détériorations� Bombe logique, impulsion électromagnétique, panne matérielle, assassinat, maladie,

infection, accident, décès, dégradation physique, vandalisme, catastrophe naturelle,sinistre majeur…

� Modifications� Altération d'un logiciel par modification ou ajout de code, contagion par un code

malveillant, piégeage d’un matériel, falsification d'un support papier, intégration demachines non maîtrisés, manipulation psychologique, travaux…

� Pertes de propriété� Non renouvellement de licence, perte de codes sources, disparition d'un matériel, vol

de support de données ou de document, récupération de matériels recyclés ou mis aurebut, licenciement, enlèvement, rachat de tout ou partie de l'organisme…

Réduire les vulnérabilités

� Réseaux� Possibilité de pose d'éléments additionnels, complexité du routage entre sous-réseaux,

ouverture des réseaux, liaison de télémaintenance activée en permanence…

� Matériels� Mauvaises conditions d'utilisation, fragilité des matériels, matériel facilement

démontable, matériel attractif, supports accessibles par tous, matériel transportable…

� Logiciels

FournisseurEntreprise

Nomade

Réseau Public

L.S.

Web

DNS

Filiale

Mail

Partenaire

Client

ClientServeurspublics

INTERNET

INTRANET

EXTRANET


� Logiciels� Mots de passe simples à observer (forme sur un clavier, mot de passe court), logiciels

obsolètes, possibilité d'utiliser une porte dérobée dans le système d'exploitation…

� Organisations� Organisation instable ou inadaptée, contrats peu clairs, clauses contractuelles

incomplètes, règles de sécurité inapplicables, consignes non respectées…

� Personnes� Instabilité financière, actionnariat instable, personnel manipulable, prééminence d’une

catégorie de personnel, manque de formation, manque de motivation…

� Sites� Proximité d’activités industrielles à risque, mauvais dimensionnement des ressources,

facilité de pénétrer dans les locaux, agencement des locaux inapproprié…

Faire émerger les risques réels

� Si l’ordinateur portable d’un employé est volé alors qu’il ne contient aucuneinformation confidentielle, alors il n’y a pas de risque.

� En revanche, s’il contient des informations confidentielles et que leurcompromission pourrait faire perdre des clients ou nuire gravement à l’image deson organisme, alors le risque existe et son niveau d’impact est important.

� Par ailleurs, si on estime que des concurrents ou des opposants à l’organismesont prêts à employer ce genre de méthode et s’en donneront les moyens, et


sont prêts à employer ce genre de méthode et s’en donneront les moyens, etqu’en plus les employés font preuve d’inattention, alors le niveau devraisemblance est important.

� Il est illusoire et coûteux de se protéger contre tous les risques imaginables.� Mais il est dangereux de ne pas identifier les risques auxquels on est confronté.� C’est pourquoi il convient de faire émerger les risques et d’estimer leur niveau.� Cela permettra de les hiérarchiser et de faire des choix objectivement.

Choisir les options de traitement

� Réduire les risques� Action sur les vulnérabilités (prévention) et/ou les impacts

(récupération, compensation) et/ou les sources de menaces(dissuasion) et/ou les menaces (protection, détection)

� Transférer les risques


� Transférer les risques� Partage des pertes avec autrui (assurance, certification…)

� Éviter les risques� Changement de situation pour que le risque n’existe plus (choix

techniques, réduction du périmètre…)

� Prendre les risques� Acceptation des pertes dans le cas où des sinistres arrivent

Déterminer les mesures de sécurité

� Les mesures de sécurité, destinées à traiter les risques, peuvent être :� créées de toute pièce,� créées à partir de meilleures pratiques adaptées,� choisies directement parmi les meilleures pratiques.

� Un exemple de catalogues de meilleures pratiques : l’ISO/CEI 27002[…]5. Politique de sécurité


5. Politique de sécurité6. Organisation de la sécurité de l’information7. Gestion des biens8. Sécurité des ressources humaines9. Sécurité physique et environnementale10. Gestion des communications et opérations11. Contrôle d’accès12. Acquisition, développement et maintenance des systèmes d’information13. Gestion des incidents de sécurité de l’information14. Gestion de la continuité d’activités15. Conformité

� Les mesures de sécurité sont également destinées à prendre en compte les références applicables

Accepter les risques résiduels

� Les risques résiduels sont issus :� de risques insuffisamment réduits,� de menaces écartées,� de mesures de sécurité induisant de nouveaux risques…

� Il convient de mettre en évidence les risques résiduels afin de vérifier


� Il convient de mettre en évidence les risques résiduels afin de vérifierque le niveau des risques est acceptable.

� Dans le cas contraire, il convient de revoir le traitement de ces risquesen tentant de les réduire, de les transférer ou de les éviter davantage.

� Cette acceptation des risques prendre généralement la forme d’unehomologation de sécurité :� déclaration, par une autorité dite d’homologation, que le sujet considéré est

apte à traiter des biens au niveau des besoins de sécurité exprimé,conformément aux objectifs de sécurité visés, et qu’elle accepte les risquesrésiduels induits.

Globalité

La défense doit être globale, ce qui signifie qu’el le englobe toutes les dimensions du système d’information :a) aspects organisationnels ;

b) aspects techniques ;

c) aspects mise en œuvre.

Coordination

La défense doit être coordonnée, ce qui signifie qu e les moyens mis en place agissent :a) grâce à une capacité d’alerte et de diffusion ;

b) à la suite d’une corrélation des incidents.

La défense doit être dynamique, ce qui signifie que le SI dispose d’une politique de sécurité identifi ant : a) une capacité de réaction ;

Appliquer des principesde défense en profondeur


Dynamismea) une capacité de réaction ;

b) une planification des actions ;

c) une échelle de gravité.

Suffisance

La défense doit être suffisante, ce qui signifie qu e chaque moyen de protection (organisationnel ou technique) doit bénéficier :a) d’une protection propre ;

b) d’un moyen de détection ;

c) de procédures de réaction.

Complétude

La défense doit être complète, ce qui signifie que :a) les biens à protéger sont protégés en fonction de leur criticité ;

b) que chaque est protégé par au minimum trois lignes de défense ;

c) le retour d’expérience est formalisé.

Démonstration

La défense doit être démontrée, ce qui signifie que :a) la défense est qualifiée ;

b) il existe une stratégie d’homologation ;

c) l’homologation adhère au cycle de vie du système d’information.

Résultats d’une analyse de risques

EBIOS


Cahier des chargesFEROS PP Cible

Négociation & arbitrage Responsabiliser les acteurs

TDBSSISDSSI

Plan d’action

Note de stratégiePSSI

Exemples de niveaux de détails selon la finalité

Analyse de risques PP/Cible FEROS PSSISchéma directeur

Étude du contexte Détaillé Détaillé Moyen Détaillé

Expression des besoins Détaillé Détaillé Moyen Faible


Expression des besoins de sécurité

Détaillé Détaillé Moyen Faible

Étude des menacesDétaillé Détaillé

Moyen à détaillé

Faible

Identification des objectifs de sécurité

Détaillé Détaillé Faible Faible

Détermination des exigences de sécurité

Détaillé Aucun Faible Optionnel

3. Adapter la SSI selon les enjeux


enjeux

L’ISO/IEC 21827définit 5 niveaux de maturité SSI cumulatifs

1. Pratique informelle : pratiques de base mises en œuvre de manière informelle et réactive à l'initiative de ceux quiestiment en avoir besoin.� Des actions sont réalisées en employant des pratiques de base.

2. Pratique répétable et suivie : pratiques de base mises en œuvre de façon planifiée et suivie, avec un supportrelatif de l'organisme.� Les actions sont planifiées.� Les actions sont réalisées par une personne qui possède des compétences en SSI.� Certaines pratiques sont formalisées, ce qui permet la duplication et la réutilisation (éventuellement par une autre personne).� Des mesures qualitatives sont réalisées (indicateurs simples sur les résultats).� Les autorités compétentes sont tenues informées des mesures effectuées.


� Les autorités compétentes sont tenues informées des mesures effectuées.

3. Processus défini : mise en œuvre d'un processus décrit, adapté à l'organisme, généralisé et bien compris.� Les actions sont réalisées conformément à un processus défini, standardisé et formalisé.� Les personnes réalisant les actions possèdent les compétences appropriées au processus.� L’organisme soutien le processus et accorde les ressources, les moyens et la formation nécessaires à son fonctionnement. Le processus est

bien compris autant par le management que par les exécutants.

4. Processus contrôlé : le processus est coordonné et contrôlé (indicateurs) pour corriger les défauts constatés.� Le processus est coordonné dans tout le périmètre choisi et pour chaque exécution.� Des mesures quantitatives sont régulièrement effectuées (en termes de performance).� Les mesures effectuées (indicateurs qualitatifs et quantitatifs) sont analysées.� Des améliorations sont apportées au processus à partir de l'analyse des mesures effectuées.

5. Processus continuellement optimisé : l'amélioration des processus est dynamique, institutionnalisée et tientcompte de l'évolution du contexte.� Le processus est adapté de façon dynamique à la situation.� L'analyse des mesures effectuées est définie, standardisée et formalisée.� L'analyse des mesures effectuées est définie, standardisée et formalisée.� L'amélioration du processus est définie, standardisée et formalisée.� Les évolutions du processus sont journalisées.

� La SSI doit être gérée en adéquation par rapport aux véritables enjeuxSSI du(des) SMSI. En effet, des enjeux faibles ne requièrent pas degérer la SSI de manière aussi rigoureuse que lorsqu'ils sont élevés.

� La démarche consiste à :� déterminer le niveau adéquat du SMSI

Maturité du SMSI


� déterminer le niveau adéquat du SMSI� déterminer le niveau effectif des processus� améliorer les processus

Première itération de la progression de la maturité

0 1 2 3 4 5

Définir la stratégie SSI

Gérer les risques SSI

Gérer les règles SSI

Superviser la SSI

Concevoir les mesures SSI

Réaliser les mesures SSI

Exploiter les mesures SSI

Niveau adéquat

Géré en dehors du périmètre considéré

Seconde itération de la progression de la maturité

0 1 2 3 4 5




Superviser la SSI




Niveau adéquat


Troisième itération de la progression de la maturit é

0 1 2 3 4 5




Superviser la SSI




Niveau adéquat


4. Viser une amélioration continue par la mise en place d’un SMSI


par la mise en place d’un SMSI

Qu’est-ce qu’un système de management ?

� Selon l’ISO/CEI 9000, un système de management est :

� un ensemble d'éléments corrélés ou interactifs

� permettant d'établir une politique et des objectifs


� permettant d'établir une politique et des objectifs

� et d'atteindre ces objectifs.

Différents systèmes de management

� Le système de management d'un organisme peut inclure différents systèmes demanagement.

� Les différentes normes de systèmes de management sont très similaires :� elles sont basées sur les mêmes principes,� elles sont structurées quasiment à l'identique,� elles utilisent une terminologie relativement commune,

elles reposent sur les lignes directrices pour la justification et l'élaboration de normes de


� elles reposent sur les lignes directrices pour la justification et l'élaboration de normes desystèmes de management (Guide ISO/CEI 72).

� Elles se distinguent et se complètent par leur objet et leur objectif :

Domaine Norme Objet Objectif

Qualité ISO/CEI 9001 Produit Satisfaction des clients

Environnement ISO/CEI 14001Communauté environnante

Protection de l'environnement

Sécurité des personnesOHSAS 18001ILO-OSH 2001

IndividuProtection en matière

d'hygiène, santé et sécurité

Sécurité de l’information ISO/CEI 27001Informations et processus

informationnelsProtection du patrimoine

informationnel

Qu’est-ce qu’un système de management de la sécurité de l’information (SMSI) ?

� Le système de management de la sécurité de l'information (SMSI) est :� un ensemble d'éléments corrélés ou interactifs� permettant d'établir une politique et des objectifs en matière de sécurité de

l'information� et d'atteindre ces objectifs.


� Les éléments de ce système sont :� ses ressources (humaines, financières, temporelles),� ses moyens (ensemble des types de biens supports de l'information :

réseaux, matériels, logiciels, organisations, sites, personnels).

� Le SMSI apporte un cadre pour la gestion de la sécurité del'information.

� Il constitue un moyen de gérer la sécurité de l'information de manièreglobale, systématique, systémique, complète et cohérente.

Le SMSI est un moyen de gouvernance

� La gouvernance de la sécurité de l’information est la manière dont lesystème de management de la sécurité de l'information (SMSI) estdirigé et contrôlé

� La gouvernance de la sécurité de l'information apportecoordination et cohérence aux activités du SMSI. Ainsi, ellestructure et hiérarchise ses activités :


structure et hiérarchise ses activités :� elle active tous les processus de sécurité de l'information,� elle alimente et s’aligne sur les processus de pilotage de l'organisme pour

s'assurer de la cohérence et de la coordination nécessaires entre le SMSIet le reste des activités de l'organisme,

� elle prend appui sur les processus de support de l'organisme afin de fournir,de manière efficace et efficiente, tous les moyens et ressources dont lasécurité de l'information a besoin au moment approprié.

L’ISO/CEI 27001 décrit un SMSI

� Mise en œuvre de la démarche ISO/CEI 27001� L’ISO/CEI 27001 spécifie un SMSI / Information Security Management

System (ISMS), structuré en 4 étapes :

1. Planifier : définir le cadre du SMSI, apprécier et spécifier le traitementdes risques SSI

2. Mettre en œuvre : implémenter et maintenir les mesures


2. Mettre en œuvre : implémenter et maintenir les mesures

3. Vérifier : vérifier que les mesures fonctionnent conformément à l’étapePlanifier et identifier les améliorations possibles du SMSI

4. Améliorer : mettre en œuvre les améliorations identifiées pour le SMSI

� Positionnement par rapport aux mesures de l’ISO/CEI 27002� Catalogue de meilleures pratiques regroupant 39 objectifs de sécurité (buts

à atteindre), décomposés en 133 mesures de sécurité (explications sur lesactivités permettant d’y parvenir) et relatifs à 11 domaines

Les tâches à réaliser selon l’ISO/CEI 27001

Planifier� Définir le périmètre� Définir l'approche d'appréciation des risques SSI� Identifier les risques SSI� Analyser et évaluer les risques SSI� Identifier et évaluer les options pour traiter les risques SSI� Sélectionner les objectifs et mesures de sécurité pour traiter

les risques SSI� Obtenir la validation des risques résiduels� Obtenir l'autorisation de mettre en œuvre et d'exploiter le

SGSSI

Améliorer� Mettre en œuvre les améliorations identifiées

pour le SGSSI� Prendre les mesures correctives et préventives

appropriées� Communiquer les résultats et actions, consulter

les parties prenantes� S'assurer que les révisions réalisent leurs

objectifs prévus

Vérifier


� Définir la politique de sécurité� Préparer une déclaration d’applicabilité

Mettre en œuvre� Formuler un plan de traitement des risques SSI� Mettre en œuvre le plan de traitement des risques SSI� Mettre en œuvre les mesures de sécurité� Définir comment mesurer l'efficacité des mesures de sécurité� Mettre en œuvre les programmes de sensibilisation et de

formation� Gérer les opérations� Gérer les ressources� Mettre en œuvre les procédures et autres mesures pour

détecter et réagir face aux incidents de sécurité

Vérifier� Exécuter les procédures de vérification et autres

mesures� Vérifier régulièrement la performance du SGSSI� Mesurer l'efficacité des mesures de sécurité� Vérifier régulièrement l'appréciation des risques,

ainsi que le niveau du risque résiduel et durisque acceptable

� Mener des audits internes réguliers du SGSSI� Vérifier régulièrement le management du SGSSI� Mettre à jour les plans de sécurité pour prendre

en compte les résultats des actions précédentes� Enregistrer les actions et événements pouvant

impacter la performance du SGSSI

Vers une intégrationdes systèmes de management ?

� Les systèmes de management peuvent être :� totalement séparés,� partiellement intégrés,� totalement intégrés.

� L’intégration des systèmes de management permet :


� L’intégration des systèmes de management permet :� une simplification (documentation, audits),� une économie (non répétition des procédures),� une exhaustivité (pas d’oubli de procédures),� une cohérence (une même logique).

� Les difficultés rencontrées :� un investissement conséquent,� nécessite de « remettre à plat les différents systèmes ».

6. Intégrer la SSI dans le cycle de vie des systèmes


des systèmes

La méthode GISSIP

� GISSIP permet une intégration de la SSI structurée, complète etadaptée aux enjeux de sécurité de chaque SI.

� La méthode aide à déterminer les actions SSI à entreprendre etles documents à produire tout au long du cycle de vie des SI, etce, en fonction du niveau de maturité SSI adéquat.


ce, en fonction du niveau de maturité SSI adéquat.

� L’approche est à considérer avec souplesse afin de l’appliqueren cohérence avec les pratiques et outils de chaque organisme.

� Il convient de réévaluer régulièrement les enjeux de sécurité, etdonc le niveau de maturité SSI adéquat pour vérifier que lesactions entreprises apportent bien le niveau de confiance le plusapproprié.

Actions SSI par étape et par niveau de maturité


Livrables par étape et par niveau de maturité


7. Une démarche d’homologation systématique


systématique

Qu’est ce qu’une homologation de sécurité?

� Il s’agit de déclarer, au vu du dossier d’homologation, que lesystème d’information considéré est apte à traiter des informationsd’un niveau de sensibilité ou de classification donné. (IGIn°1300/SGDN/PSE/SSD du 25 août 2003)

� Cette déclaration est faite par l’autorité d’homologation qui peut


� Cette déclaration est faite par l’autorité d’homologation qui peuts’appuyer sur une commission d’homologation.(IGI n°1300)

� La DCSSI participe à la commission d’homologation pour les SItraitant des informations classifiées de défense. (Rapport sur la doctrine SSI)

Pourquoi homologuer ?

� Pour garantir la protection des informations conformément à la réglementation.« Tout système d’information traitant des informations classifiées doit faire l’objet d’unedécision d’emploi formelle. Cette décision s’appuie sur l’homologation de sécurité » (IGIn°1300)

� Tout système d’information doit faire l’objet d’une homologation de sécurité par uneautorité d’homologation désignée par l’autorité administrative (RGS)

� Pour être en mesure d’apporter la preuve que l’on a respecté la loi :� pour la protection des informations classifiées de défense


� pour la protection des informations classifiées de défense� pour la protection des informations nominatives

� Pour attester de son niveau de sécurité vis-à-vis de ses partenaires(Organismes tiers, clients, OTAN, UE…).

� Pour mettre en place un SMSI, obtenir une vision cohérente en termes� de place de la SSI dans le système d’information,� de coûts et de priorités,� des responsabilités.

Quand homologuer ?

Homologation

PSSIRéférentiel de règles et meilleures pratiques


Valeurs stratégiques

Objectifs de sécurité

Enjeux de sécurité

Besoins utilisateurs

Fil conducteur de la confiance

RÉALISATION

ÉTUDE D’OPPORTUNITÉÉTUDE D’OPPORTUNITÉ EXPLOITATION

EXPLOITATION

V V


RÉALISATIONRÉALISATION

CONCEPTION DÉTAILLÉECONCEPTION DÉTAILLÉECONCEPTION GÉNÉRALE

CONCEPTION GÉNÉRALE

ÉTUDE DE FAISABILITÉÉTUDE DE FAISABILITÉ

Suivi du cycle

Validation

IncrémentationLot1 à Lot n

Version successivesV1 à Vn

V

V

V

Sur quelle base homologuer ?

FEROSQuelles sont mes intentions ?

PSSIComment les appliquer ?


PSSIComment les appliquer ?

AUDITSComment vérifier mes choix ?

Quels sont les risques résiduels ? Cible

Le dossier de Sécurité

� Élément de décision pour l’autorité d’homologation� Le contenu dépend du niveau de maturité du système !

� Contenu type d’un dossier de sécurité pour un système d’un haut niveau de maturité� Stratégie d’homologation, note de stratégie SSI� Fiche d’expression rationnelle d’objectif de sécurité (FEROS)


� Fiche d’expression rationnelle d’objectif de sécurité (FEROS)� Cible de sécurité du système� Politique de sécurité du système (PSSI)

� Procédures d’exploitation de sécurité (PES)

� Certificat d’évaluation des produits de sécurité intégrés� Rapport technique d’évaluation� Cible de sécurité produit

� Résultats d’audit� Liste des risques résiduels

Stratégie d’homologation – Encadrement de la démarche

� Présentation du système� Identification du périmètre d’homologation

�Encadrement de la démarche SSI du projet� Présentation du processus d’homologation� Identification des acteurs et des responsabilités� Rappel des différents étapes et jalons de validation


� Rappel des différents étapes et jalons de validation� Description des différents livrables attendus� Référencement des textes applicables

� Expression des enjeux, des besoins SSI et du mode d’exploitation de sécurité

� Implication au plus tôt des acteurs SSI permettant� une Intégration de la SSI dans le projet / SMSI� de prendre en compte les contraintes opérationnelles� d’éviter les retards, écueils

FEROS - Expression de la maîtrise d’ouvrage

� Cahier des charges SSI de la maîtrise d’ouvrage� Besoins de sécurité du système� Contraintes auxquelles il est soumis� Menaces contre lesquelles il doit se prémunir� Objectifs de sécurité de haut niveau� Risques résiduels


� Document approuvé par l'autorité responsable

� Obligatoire pour les systèmes traitant des informations classifiées

Cible de sécurité - La réponse de la maîtrise d’œuvre

� Identifie sans ambiguïté le périmètre sur lequel porte l’homologation

� Réponse de la MOE aux objectifs de sécurité identifiés dans la FEROS� Lien entre les objectifs de la maîtrise d’ouvrage et les exigences de sécurité de

la maîtrise d’œuvre


� Liste les exigences de sécurité organisationnelles et techniques

� Justifie le niveau de couverture des objectifs de sécurité par les exigences de sécurité� Identifie les risques résiduels� Garantie une traçabilité

� Permet de suivre l’homologation tout au long du cycle de vie du SI

PSSI – Traduction de la stratégie de sécurité de l’organisme

� Document de référence SSI applicable à l'ensemble des acteurs de l’organisme

� Différentes formes en fonctions des interlocuteurs� Directives� Procédures� Codes de conduite� Règles organisationnelles et techniques


� Règles organisationnelles et techniques

� La PSSI inclut� les éléments stratégiques

� périmètre du SI, les enjeux liés et orientations stratégiques, aspects légaux réglementaires

� les principes de sécurité par domaine : organisationnel, mise en œuvre, technique

� Complétée par un(s) politique(s) d’application comme les procédures d’exploitationde la sécurité

� Processus similaire à la démarche nationale

� Dossier de sécurité semblable• énoncé des impératifs de sécurité (SRS)

• applicables à un ensemble d'interconnexions (CSRS)

Dossier de sécurité – OTAN / UE / coalitions


• applicables à un ensemble d'interconnexions (CSRS)• propres à un système (SSRS)• applicables à une interconnexion de systèmes (SISRS)• énoncé des impératifs de sécurité électronique (SEISRS)

• procédures d'exploitation de sécurité (SecOPS)• rapport d’audit

� SGDN, ANS pour les systèmes traitant des informations classifiées non nationales

Les étapes de l’homologation

� Identifier l’autorité d’homologation

� Obtenir une validation opérationelle des utilisateurs

� Monter une commission d’homologation


� Bâtir le référentiel d’homologation et le valider

� Auditer le système en fonction du référentiel

� Mettre en avant les risques résiduels

� Homologuer le système au regard des risques résiduels

Les conditions du succès - Avant l’étude

� Impliquer l’organisme� La démarche doit être portée par la direction

� Motivation de l’ensemble acteurs de l’organisme� Sensibiliser l’organisme aux intérêts de la démarche� Définir un chef de projet

� Mise en place d’une stratégie d’homologation� Application cohérente avec le niveau de maturité SSI de l’organisme

� Identifier le niveau de sécurité de l’organisme


� Identifier le niveau de sécurité de l’organisme� Identifier le niveau de sensibilité nécessaire� Réponse adéquate

� Identifier l’autorité d’homologation� Création d’une commission d’homologation� Création d’un comité de pilotage

� groupe de suivi et de pilotage� Nommer une équipe d’audit� Constituer un dossier de sécurité

� Définir les livrables� Définir le périmètre de l’étude

� Sensibiliser les acteurs sur la démarche, les concepts, le vocabulaire…

Les conditions du succès – Pendant l’étude (1/2)

� A chaque activité� Constituer un groupe de travail

� Identifier les bons acteurs� Nommer un leader

• Arriver à un consensus ou trancher

� Sensibiliser les acteurs� Rappeler l’objectif de l’activité� Présenter les concepts, le vocabulaire� S’assurer que l’ensemble des acteurs est une vision commune de la problématique


� S’assurer que l’ensemble des acteurs est une vision commune de la problématique� Demande une justification

• Facilite l’argumentation• Permet de garder une traçabilité

� Collecter les informations� Réalisation d’interviews� Documents existants sur l’organisme, le projet� Documentation EBIOS

• Base de connaissances• Guide / Meilleures pratiques

� Être force de proposition� Présenter des exemples pour lancer les discussions� Synthétiser les informations récoltées pour validation au groupe de travail

� Suivi et validation par le comité de pilotage

Les conditions du succès – Pendant l’étude (2/2)

� Distinguer l’analyse de risques et les livrables

� Adapter les livrables aux destinataires� Sous la forme d’un tableau ou texte� Exhaustif ou sous la forme d’une synthèse� Favoriser les schémas (UML, MERISE…)� Intégrer les documents existants


� Intégrer les documents existants� S’adapter au vocabulaire de l’organisme� Nomenclature explicite

� Libellé court et description

� Validation de chaque étape par la commission d’homologation� Éviter les retours en arrière� Impliquer la direction tout au long de la réalisation du dossier de sécurité� Facilite l’homologation

7. Utiliser des labels SSI


Les produits de sécuritépeuvent être labellisés

� Les produits de sécurité peuvent faire l'objet d'une évaluation de sécuritédébouchant sur une attestation de sécurité établie par la DCSSI :� une certification en vertu du décret n°2002-535 du 18 avril 2 002 (selon

l’ISO/CEI 15408) ;� une certification de sécurité de premier niveau (CSPN) ;� une qualification (au niveau standard, renforcé ou élevé) ;


� une qualification (au niveau standard, renforcé ou élevé) ;� un agrément ou caution (jugeant de l’aptitude à assurer la protection

d'informations classifiées de défense ou d'informations sensibles nonclassifiées de défense).

� Catalogues :� Certificats : http://www.ssi.gouv.fr/fr/confiance/certificats.html� CSPN : http://www.ssi.gouv.fr/fr/confiance/certif-cspn.html� Qualifications : http://www.ssi.gouv.fr/fr/politique_produit/catalogue/index.html

Les SMSI peuvent être certifiés

� La certification selon l’ISO/CEI 27001 atteste de la mise enplace effective du système de management de la sécurité del’information au sein d’un organisme, d’un site ou d’unprocessus (prise en compte de la SSI et amélioration continue)


� Elle est attribuée par un tiers certificateur sur la base du rapportd’un auditeur (certifié ISO 27001 Lead Auditor)

� La certification de SMSI est en croissance (1000 certificats en2004, 2000 certificats en 2006), mais elle n’est beaucouputilisée que dans certains pays (notamment au Japon, maiségalement au Royaume-Uni, en Inde…)

Que signifie une certification ISO/CEI 27001 ?

� La certification ISO/CEI 27001 porte sur un ISMS, qui peut correspondre à :� un organisme entier,� une sous-partie de l’organisme (un service, un ou plusieurs processus…).

� Elle assure, par une démonstration indépendante, que le SMSI est :� conforme aux exigences spécifiées,� capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés,� mis en œuvre de manière efficace.


� mis en œuvre de manière efficace.

� Elle peut être préparée (mise en œuvre du SMSI) en interne ou avec l’aide deprestataires (ex. : ISO/CEI 27001 Lead Implementor).

� Un audit est réalisé (selon l’ISO/CEI 19011) par un auditeur certifié (ISO/CEI27001 Lead Auditor).

� Un organisme de certification, accrédité par une autorité d’accréditation (selonl’ISO/CEI 17021 et l’ISO/CEI 27006), évalue les résultats d’audit pour délivrer uncertificat reconnu dans les pays liés à l’IAF (International Accreditation Forum).

� Des audits de surveillance ou de contrôle ont lieu au maximum une fois par an.� Un audit de renouvellement de certification a lieu tous les trois ans.

Motivations des organismes pour la certification d’un système de management

� Améliorer l’efficacité globale de l’entreprise� Améliorer l’image de l’entreprise� Répondre à une obligation client� Prévenir ou remédier à certains dysfonctionnements� Aller eu devant des exigences réglementaires


� Aller eu devant des exigences réglementaires� Se différencier des concurrents� Répondre à une volonté du groupe� Faire un bilan de ce qui se faisait dans l’entreprise� Acquérir des méthodes de travail qui n’existaient pas� Parer aux contestations sociales et économiques

[Rapport d’étude AFAQ / AFNOR de mai 2005sur les certifications qualité, sécurité des personnes et environnement]

Les systèmes peuvent être homologués

� L’homologation de sécurité d’un SI est la déclaration parl’autorité d’homologation, conformément à une noted'orientations SSI et au vu du dossier de sécurité, que le SIconsidéré est apte à traiter des informations au niveau debesoins de sécurité exprimé conformément aux objectifs desécurité, et que les risques de sécurité résiduels sont acceptés


sécurité, et que les risques de sécurité résiduels sont acceptéset maîtrisés

� Cette décision se fait dans le cadre de la commissiond'homologation

� Elle peut être provisoire, définitive ou bien un refus� L’homologation de sécurité reste valide tant que le SI opère

dans les conditions approuvées par l’autorité d’homologation.� Elle traduit donc l’acceptation par l’autorité d’homologation d’un

niveau de risque résiduel qualifié et quantifié en termes deconfidentialité, d’intégrité, de disponibilité…

Les personnes peuvent être certifiées

� Exemples de certifications orientées « management / conseil / audit »� CISM (Certified Information Security Manager, ISACA / AFAI)� CISA (Certified Information System Auditor , ISACA / AFAI)� CISSP (Certified Information System Security Professional, ISC2)� ISO/CEI 27001 Lead Auditor (BSI anglais, LSTI…)� ProCSSI (Professionnel Certifié de la Sécurité des Systèmes d’Information, INSECA)� EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)


� EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, en cours)� …

� Exemples de certifications orientées « technique »� CEH (Certified Ethical Hacker , EC-Council)� CHFI (Computer Hacking Forensics Investigator, EC-Council)� SCNP (Security Certified Network Professional, Ascendant Learning)� SCNA (Security Certified Network Architect, Ascendant Learning)� OPSA (OSSTMM Professional Security Analyst, ISECOM)� OPST (OSSTMM Professional Security Tester, ISECOM)� OPSE (OSSTMM Professional Security Expert, ISECOM)� Certifications GIAC (Global Information Assurance Certifications, SANS)� …

Conclusion


CONCLUSION

� Les grands principes peuvent se résumer ainsi :� Adopter une démarche globale� Viser une amélioration continue� Adapter la SSI selon les enjeux� Formaliser une politique SSI� Fonder la SSI sur la gestion des risques


� Fonder la SSI sur la gestion des risques� Intégrer la SSI dans le cycle de vie des systèmes� Utiliser des labels SSI� Mener une homologation systématique

� L’outillage pour mettre en œuvre ces principes est disponiblesur le site de la DCSSI (http://www.ssi.gouv.fr) dans la partieméthodologie

French acreditation process homologation 2010-01-19

Engineering

Transcript of French acreditation process homologation 2010-01-19