Thierry MANCIOT – SFRGT Sécurité CRIP

Gestion Opérationnelle Sécurité

Le GT Sécurité CRIP 124 membres inscrits

Démarrage au mois de Mars 2012

Une quinzaine de membres actifs– MACIF, Generali, Bouygues Telecom, Orange, SFR, Renault, Groupama, PSA, DISIC, Lafarge, CNP Assurances, Météo France, Matmut, DGAC

• Partage de retours d’expérience sur des thématiques sécurité ciblées

• Approche opérationnelle et pragmatique

• Publication d’une newsletter

GOS : De quoi parle-t-on ?

Veille sécurité opérationnelle

incluant la réputation Internet

Détection / Surveillance des

événements de sécuritéSurveillance / détectionAdministration

Administration des briques sécurité

Administration des outils de surveillance et

contrôle

Gestion d’éléments de sécurité (certificats,

secrets,…)

Gestion des vulnérabilités et correctifs de

sécurité

Gestion incidents

Traitement des incidents sécurité

Gestion crise sécurité

Analyses post mortem

Contrôle Audits / tests d’intrusion

Contrôle de conformité à la politique

sécurité

Organisation – pilotage transverse Processus sécurité opérationnels

Reportings / Tableaux de bord

GOS : quelles évolutions ?

Les domaines liés à la surveillance / détection et gestion des incidents prennent de l’ampleur

La GOS adresse de plus en plus les couches applicatives Les maillages fraude et sécurité se créentLes compétences évoluent vers plus d’expertise

notamment dans la détection

Contexte réglementairePaquet Telecom – transposition dans le droit français

– S’applique aux opérateurs de communication électronique

– Ordonnance relative aux communications électroniques adoptée le 24 aout 2011 et décret 2012-436 du 30 mars 2012 – Notification en cas de vol de données à caractère personnel

Obligation d’avertir sans délai la CNIL La CNIL peut mettre en demeure le fournisseur d’informer l’intéressé Obligation de tenir à jour un registre des violations de données personnelles

– Décret 2012-488 du 13 avril 2012 Obligation de notifier les failles de sécurité sans délai à l’autorité publique

Projet de règlement européen sur la protection des données personnelles– 25 janvier 2012: publication du projet de Règlement

– Règlement applicable à tout fournisseur qui traite les données d’un utilisateur UE

– Obligation pour toutes les entreprises > 250 employés d’avoir un CIL

– Notification des violations de données personnelles à l’autorité nationale

Projet de règlement européen NIS (Network and Information Security)– 07 Février 2013 : publication du projet de Règlement

– Obligation de notifier à l’autorité nationale les failles de sécurité touchant les infrastructures critiques

Principales problématiquesQuels sont les modèles de mise en œuvre des processus

opérationnels sécurité (ITIL vs spécifique) ?

Comment évaluer et communiquer sur les risques sécurité liés aux incidents ?

Comment mobiliser les équipes opérationnelles en réaction aux incidents de sécurité ?

Comment valoriser / mesurer l’efficacité des dispositifs opérationnels de sécurité ?

Comment étendre les canaux de détection et d’alerte ?

Incident sécurité et ambivalence

S’appuyer sur les dispositifs standards de gestion des incidents– Organisation, process ITIL, schéma d’escalades, outils de ticketing,…

Intégrer le détail des incidents dans un référentiel à accès restreint

Traiter de manière spécifique certains types d’incidents (fraude, RH, obligations légales,…)

Créer son propre réseau de confiance

Mettre en place les dispositifs de communication vis-à-vis des instances de réglementation

Anticiper les arrêts volontaires de services dans les plans de réaction

Gérer dans le temps la durée d’un incident / crise sécurité

Confidentialité Mobilisation

Une approche standard qui requiert certaines spécificités

Process incident sécuritéDétection Pré-qualification Alerte Qualification / Traitement de l’incident

Process incident production

Process incident sécurité

Si impact sécurité

Matrice IG

Fiche d’aide à la qualification

Matrice impact métiers

Equipes de production

Acteurs internesEquipes sécuritéServices clients

SOCDispositifs de surveillance et

contrôle

Métiers

Crise

Modèle d’aide à la qualification

Fiche d’aide à la qualification

Aide à qualifier l’événement observé en incident de sécurité

Aide à identifier les points de contacts

Indique les premiers réflexes

Diffusée sur l’intranet + campagne de sensibilisation

Matrice IG

Basée sur :‐ Catégories d’incidents‐ Sensibilité des actifs‐ Ampleur

Echelle d’IG sécurité équivalente à l’échelle IG de production :‐ Mobilisation des équipes de production ‐ Schémas d’escalades déjà en place

Evolution de l’IG dans le temps

Matrice impact métiers

Basée sur :‐ Catégories d’impacts métiers‐ Niveau d’impact métier

Permet de mieux communiquer

avec les entités métiers pendant

l’incident et post incident

Notion de « confiance » dans la qualification des incidents sécurité

Notion de « récurrence » des incidents

Démarche d’amélioration continue

• Systématiser les REX sur les incidents sécurité majeurs afin de :• Améliorer la détection et la qualification• Expliquer/Communiquer sur le niveau de gravité de l’incident• Définir les plans d’actions de prévention dans le cadre de la gestion des problèmes

sécurité

• Réaliser périodiquement des exercices de crise sur différents types de scénarios:

• Le plus probable

• Celui avec fort impact technique

• Le plus transverse (impactant le plus de directions techniques et métiers)

• Celui qui est couplé avec un exercice de PRA

Conclusion et perspectives

Industrialiser les dispositifs opérationnels de sécuritéRenforcer l’expertise sécurité dans les domaines de la surveillanceAccompagner le changement, communiquerNe pas négliger les phases de Build pour être efficace dans le Run

• Organisation et acteurs• Classification des besoins de sécurité par types de projets• Gestion de la donnée sensible dans le cycle projet• Contrôles et validations sécurité dans le projet

Perspectives 2013 du GT Sécurité CRIP : Sécurité dans les projets

Accompagner l’évolution de la Gestion Opérationnelle Sécurité

Merci de votre attention

Questions ?

Catégories d’incidents :

• Accès, modification, collecte non autorisés de données

• Divulgation d’information

• Intrusion / prise de contrôle

• Comportements anormaux (usages frauduleux, usages abusifs, comportements déviants,…)

• Présence de fichiers malveillants (malware)

• Dysfonctionnements (déni de service par ex, indisponibilité de service non expliquée)

• Vulnérabilités critiques

Actifs :

• Sensibilité du service / application

• Sensibilité de la donnée

Ampleur :

• Nombre d’actifs impactés par l’incident

• Niveau de contagion

Matrice IG sécurité

Catégories d’impacts :

• Perte financière

• Réputation / Image de marque

• Réglementation / Juridique

• Insatisfaction clients

• Disponibilité des services

Matrice impacts métier