Modélisation et Optimisation de la Gestion Opérationnelle du Trafic Ferroviaire en cas d’Aléas.
Gestion Opérationnelle Sécurité
description
Transcript of Gestion Opérationnelle Sécurité
Thierry MANCIOT – SFRGT Sécurité CRIP
Gestion Opérationnelle Sécurité
Le GT Sécurité CRIP 124 membres inscrits
Démarrage au mois de Mars 2012
Une quinzaine de membres actifs– MACIF, Generali, Bouygues Telecom, Orange, SFR, Renault, Groupama, PSA, DISIC, Lafarge, CNP Assurances, Météo France, Matmut, DGAC
• Partage de retours d’expérience sur des thématiques sécurité ciblées
• Approche opérationnelle et pragmatique
• Publication d’une newsletter
GOS : De quoi parle-t-on ?
Veille sécurité opérationnelle
incluant la réputation Internet
Détection / Surveillance des
événements de sécuritéSurveillance / détectionAdministration
Administration des briques sécurité
Administration des outils de surveillance et
contrôle
Gestion d’éléments de sécurité (certificats,
secrets,…)
Gestion des vulnérabilités et correctifs de
sécurité
Gestion incidents
Traitement des incidents sécurité
Gestion crise sécurité
Analyses post mortem
Contrôle Audits / tests d’intrusion
Contrôle de conformité à la politique
sécurité
Organisation – pilotage transverse Processus sécurité opérationnels
Reportings / Tableaux de bord
GOS : quelles évolutions ?
Les domaines liés à la surveillance / détection et gestion des incidents prennent de l’ampleur
La GOS adresse de plus en plus les couches applicatives Les maillages fraude et sécurité se créentLes compétences évoluent vers plus d’expertise
notamment dans la détection
Contexte réglementairePaquet Telecom – transposition dans le droit français
– S’applique aux opérateurs de communication électronique
– Ordonnance relative aux communications électroniques adoptée le 24 aout 2011 et décret 2012-436 du 30 mars 2012 – Notification en cas de vol de données à caractère personnel
Obligation d’avertir sans délai la CNIL La CNIL peut mettre en demeure le fournisseur d’informer l’intéressé Obligation de tenir à jour un registre des violations de données personnelles
– Décret 2012-488 du 13 avril 2012 Obligation de notifier les failles de sécurité sans délai à l’autorité publique
Projet de règlement européen sur la protection des données personnelles– 25 janvier 2012: publication du projet de Règlement
– Règlement applicable à tout fournisseur qui traite les données d’un utilisateur UE
– Obligation pour toutes les entreprises > 250 employés d’avoir un CIL
– Notification des violations de données personnelles à l’autorité nationale
Projet de règlement européen NIS (Network and Information Security)– 07 Février 2013 : publication du projet de Règlement
– Obligation de notifier à l’autorité nationale les failles de sécurité touchant les infrastructures critiques
Principales problématiquesQuels sont les modèles de mise en œuvre des processus
opérationnels sécurité (ITIL vs spécifique) ?
Comment évaluer et communiquer sur les risques sécurité liés aux incidents ?
Comment mobiliser les équipes opérationnelles en réaction aux incidents de sécurité ?
Comment valoriser / mesurer l’efficacité des dispositifs opérationnels de sécurité ?
Comment étendre les canaux de détection et d’alerte ?
Incident sécurité et ambivalence
S’appuyer sur les dispositifs standards de gestion des incidents– Organisation, process ITIL, schéma d’escalades, outils de ticketing,…
Intégrer le détail des incidents dans un référentiel à accès restreint
Traiter de manière spécifique certains types d’incidents (fraude, RH, obligations légales,…)
Créer son propre réseau de confiance
Mettre en place les dispositifs de communication vis-à-vis des instances de réglementation
Anticiper les arrêts volontaires de services dans les plans de réaction
Gérer dans le temps la durée d’un incident / crise sécurité
Confidentialité Mobilisation
Une approche standard qui requiert certaines spécificités
Process incident sécuritéDétection Pré-qualification Alerte Qualification / Traitement de l’incident
Process incident production
Process incident sécurité
Si impact sécurité
Matrice IG
Fiche d’aide à la qualification
Matrice impact métiers
Equipes de production
Acteurs internesEquipes sécuritéServices clients
SOCDispositifs de surveillance et
contrôle
Métiers
Crise
Modèle d’aide à la qualification
Fiche d’aide à la qualification
Aide à qualifier l’événement observé en incident de sécurité
Aide à identifier les points de contacts
Indique les premiers réflexes
Diffusée sur l’intranet + campagne de sensibilisation
Matrice IG
Basée sur :‐ Catégories d’incidents‐ Sensibilité des actifs‐ Ampleur
Echelle d’IG sécurité équivalente à l’échelle IG de production :‐ Mobilisation des équipes de production ‐ Schémas d’escalades déjà en place
Evolution de l’IG dans le temps
Matrice impact métiers
Basée sur :‐ Catégories d’impacts métiers‐ Niveau d’impact métier
Permet de mieux communiquer
avec les entités métiers pendant
l’incident et post incident
Notion de « confiance » dans la qualification des incidents sécurité
Notion de « récurrence » des incidents
Démarche d’amélioration continue
• Systématiser les REX sur les incidents sécurité majeurs afin de :• Améliorer la détection et la qualification• Expliquer/Communiquer sur le niveau de gravité de l’incident• Définir les plans d’actions de prévention dans le cadre de la gestion des problèmes
sécurité
• Réaliser périodiquement des exercices de crise sur différents types de scénarios:
• Le plus probable
• Celui avec fort impact technique
• Le plus transverse (impactant le plus de directions techniques et métiers)
• Celui qui est couplé avec un exercice de PRA
Conclusion et perspectives
Industrialiser les dispositifs opérationnels de sécuritéRenforcer l’expertise sécurité dans les domaines de la surveillanceAccompagner le changement, communiquerNe pas négliger les phases de Build pour être efficace dans le Run
• Organisation et acteurs• Classification des besoins de sécurité par types de projets• Gestion de la donnée sensible dans le cycle projet• Contrôles et validations sécurité dans le projet
Perspectives 2013 du GT Sécurité CRIP : Sécurité dans les projets
Accompagner l’évolution de la Gestion Opérationnelle Sécurité
Merci de votre attention
Questions ?
Catégories d’incidents :
• Accès, modification, collecte non autorisés de données
• Divulgation d’information
• Intrusion / prise de contrôle
• Comportements anormaux (usages frauduleux, usages abusifs, comportements déviants,…)
• Présence de fichiers malveillants (malware)
• Dysfonctionnements (déni de service par ex, indisponibilité de service non expliquée)
• Vulnérabilités critiques
Actifs :
• Sensibilité du service / application
• Sensibilité de la donnée
Ampleur :
• Nombre d’actifs impactés par l’incident
• Niveau de contagion
Matrice IG sécurité
Catégories d’impacts :
• Perte financière
• Réputation / Image de marque
• Réglementation / Juridique
• Insatisfaction clients
• Disponibilité des services
Matrice impacts métier