Gouvernance de la sécurité avec DCM-Manager club...
49
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014
Transcript of Gouvernance de la sécurité avec DCM-Manager club...
Gouvernance des mesures de sécurité
avec DCM-Manager
Présentation du 22 mai 2014
� Gérer les actifs logiciels et leur répartition
� Maîtriser le durcissement des configurations
� Suivre l’application des correctifs de sécurité
� Maîtriser le déploiement des composants de sécurité
� Gérer les statistiques antivirus etdétecter les comportements à risque
� Suivre les services réseaux autorisés
� Suivre les comptes locaux et à privilèges élevés
� Suivre les partages réseau et leurs droits d’accès
� Gérer la politique d’audit
� Gérer les mesures techniques de sécurité dans le respect des certifications
� Maîtriser la correction des écarts de conformité
� Synthétiser le niveau de sécurité du SI etpublier les tableaux de gouvernance de la sécurité
En outre DCM-Manager permet de :
� Savoir si la PSSI est efficiente en mesurant la conformité du SI / PSSI
� Gérer la conformité en relation avec les certifications
� Recenser la criticité des actifs métier
� Cartographier les risques / enjeu métier
� Prendre en compte les changements
Référentiel
de
sécurité
Référentiel
de
sécurité
ISO 27xx
PCI-DSS
RGS, SOA
ISO 27xx
PCI-DSS
RGS, SOA
Bonnes
pratiques
Bonnes
pratiques
Guide tech
sécurité
Guide tech
sécuritéPolitique
de
sécurité
Politique
de
sécurité
Contrat /
SLA
Contrat /
SLA
� Intégrant toutesles mesures techniques
� Exhaustifen termes d’exigences de sécurité
Disposer d’un référentiel :
� Gérer le référentiel des mesures techniques
� Détecter les écarts par mesure de sécurité
� Prendre en compte les changements
� Gérer la criticité des actifs / projet métier
� Contrôler l’efficience de la sécurité
� Publier les tableaux de bord de la sécurité
� Assurer la gouvernance de la sécurité
Chaîne d’audit du SI et de publication des tableaux de bord
� DCM-Manager est le lien entre
� Les mesures techniques de sécurité
� La gestion de parc
� Interfaçage avec l’outil de déploiement
� Audit disjoint de la gestion de parc
� Paramétrage automatisé des règles d’audit
� Publication du référentiel de la sécurité
� Audit continu du parc
� Workflow intégré de gestion
Référentiel de la sécurité
� Dédié à la sécurité et à la main du RSSI� Gère les mesures techniques de sécurité� Structure la base des actifs :
� Niveau de Confidentialité, Intégrité et Disponibilité (CIA)� Regroupement par zone réseau, plate-forme métier, parc, entité� Responsable, Administrateur, Contrôleur, Informé (RACI)
� Workflow : changements des mesures de sécurité� Trace les changements du référentiel� Publie les règles techniques de sécurité
Évolution temporelle du niveau de conformité antivirus
Conformité des plates-formes métier pour l’ensemble des composants
Conformité des partages réseau des plates-formes métier
Répartition des écarts au sein du parc « Juridique »
Conformité du SI pour l’ensemble des zones réseau
.
.
.
Patch + vulnérabilité / regroupement en ligne pour 2011
Vulnérabilités accessibles à distance / regroupement
.
Principes de l’analyse croisée des données
Couleur des points selon le taux de conformité antivirus
Taille des points inversement proportionnelle au taux de conformité des flux réseau
Sélection d’un regroupement (point) du graphe
Affichage pour l’année 2009
Abscisse : taux de conformité du patch management
Ordonnée :nb vulnérabilités accessibles localement
Analyse temporelle des données
Les autres regroupements sont en demi-teinte
Tracé du défilement des données
Défilement temporel entre 2007 et 2010
.
.
.
.
.
.
Adaptation de l’audit au rôle des actifs
� Audit de conformité personnalisable
� Réalisation de plusieurs centaines de contrôles élémentaires pour chaque rôle d’actif
� Détermination dynamique du rôle des actifs
� Déclinaison du rôle en fonction de l’OS
� Règles personnalisables de détection du rôle des actifs
L’audit d’un rôle repose sur
� Des listes de contrôles� Contrôles types : services, clés de registre, correctifs, version
d’applications, AC de confiance, GPO, partages, groupes locaux.
� Des contrôles spécifiques� Implémentation de règles personnalisées à partir de :
services, clés de registre, version d’application, processus, AC de confiance, GPO, variable d’environnement, correctif, répertoire, chaîne de caractères, droits, partage, etc.
� Des contrôles intégrés� Etat de santé de composants de sécurité : antivirus, firewall,
chiffrement, mise à jour automatique, HIPS, DHCP, scellement, mise en veille, etc.
Un contrôle est conforme si
� Chaque paramètre obligatoire est conforme� Aucun paramètre interdit n’est présent� Chaque paramètre optionnel
� Peut être absent� Est conforme s’il est présent
Les listes fermées de contrôles apportent
� Stabilité des configurations� Tout ce qui n’est pas décrit est interdit
Structuration du parc d’actifs
� Regroupement des actifs parZones réseau, plates-formes métier et découpage administratif
� Niveau de sensibilité des regroupements par Confidentialité, Intégration, Disponibilité
� Correspondants par regroupement� R : gestionnaire technique� A : propriétaire� C : contrôleur� I : utilisateur à informer
Inventaire des actifs sans impact sur le SI
� Concomitant à l’audit de conformité ou import de l’outil d’inventaire existant
� Sans déploiement d’agent
� Continu et récurrent :� Version, date d’installation, emplacement
� Consolidé en un seul point� Exhaustif par croisement avec les autres
référentiels (annuaire, AV, etc.)
Gestion des licences
� Import du parc de licences par éditeur� Import de la liste des licences au format XML� Edition en ligne du nombre de licences par éditeur et par logiciel
� Edition de l’état de conformité par éditeur� Edition de la liste des licences détenues par éditeur� Edition des états de conformité par éditeur� Liste des ressources et regroupements sur lesquels un logiciel
est déployé
Audit de vulnérabilité statique
� Basé sur l’inventaire en mode « boîte blanche »
� Par rapprochement avec les bases de vulnérabilité
� Détecte les vulnérabilités logicielles compte-tenu des correctifs appliqués
� Cartographie les vulnérabilités par regroupement et niveau de sensibilité de plates-formes métier
� Sans transmission d’information à l’extérieur
� Couplage possible avec un audit « boîte noire »
Audit de vulnérabilité sans impact sur le SI
� Concomitant à l’audit de conformité
� Sans déploiement d’agent et non perturbant
� Continu et récurrent :� Niveau CVSS, exploitabilité, accessibilité
� Consolidé en un seul point� Exhaustif sur l’ensemble du parc� Possible dans les zones réseau isolées
Par plate-forme métier� Cartographie par enjeu métier� Définition des objectifs de sécurité� Calcul de différents indicateurs par objectif
� Taux de conformité global, taux de conformité par composant, niveau de vulnérabilité, taux de déploiement des correctifs dans les délais, répartition des écarts par actif, comparatif par rapport à l’ensemble des plates-formes par niveau de sensibilité, 10 meilleures / plus mauvaises plates-formes.
� Suivi des indicateurs dans le temps� Analyse croisée des indicateurs
Par composant de sécurité
� Définition des objectifs de sécurité� Calcul de différents indicateurs par objectif
� Taux de couverture du parc, taux de conformité du composant, taux de conformité des paramètres, taux de déploiement dans les délais, performance de la DSI, répartition des écarts par rôle d’actif, zone réseau, plate-forme métier, regroupement administratif ou niveau de sensibilité.
� Suivi des indicateurs dans le temps� Analyse croisée des indicateurs � Workflow de gestion du changement
Par regroupement administratif (postes)
� Détection des comportements à risque� Définition des objectifs de sécurité� Calcul de différents indicateurs par objectif
� Taux de couverture du parc, taux de parc en ligne, taux de conformité global/ parc en ligne, taux de conformité par composant, répartition des écarts (par rôle, zone ou regroupement), comparatif par rapport à l’ensemble des groupements, 10 meilleurs / plus mauvais regroupements.
� Suivi des indicateurs dans le temps� Analyse croisée des indicateurs
Par zone réseau
� Répartition géographique des risques� Définition des objectifs de sécurité� Calcul de différents indicateurs par objectif
� Taux de conformité global, taux de conformité par type d’actif (réseau, poste, serveur), taux de conformité des équipements réseau, niveau de vulnérabilité, taux de déploiement des correctifs dans les délais, répartition des écarts par actif, comparatif par rapport à l’ensemble des zones par niveau de sensibilité.
� Suivi des indicateurs dans le temps� Analyse croisée des indicateurs
Publication sur un intranet
� Gestion des droits utilisateur par profil /rôle
� Limitation des données consultables au parc sous la responsabilité de chaque utilisateur
� Déclinaison des graphes par indicateur
� Analyse croisée par affichage simultané de 4 indicateurs avec leur suivi temporel
Implantation limitée à la pré-production
� Génération des règles d’audit technique
� Passage en pré-production automatique ou selon le même processus que les mises en production
� Déploiement des règles d’audit et remontée de leur résultat via l’outil de déploiement
� Intégration des résultats d’audit dans la base DCM-Manager
� Architecture indépendante de la taille du parc
Impact pour les projets existants
� Modification d’une seule étape du processus de mise en production
� Formalisation par les projets de toute évolution de l’audit de conformité de leurs composants
� Absence d’étape technique de validation
� Référentiel sous le contrôle du RSSI
� Validation du référentiel dès la pré-production
Bénéfices induits
� Mise en place d’un référentiel de la sécurité
� Workflow de gestion du changement du référentiel (règles d’audit technique)
� Chaque acteur reste dans son domaine de compétence
� Meilleure maîtrise des délais de déploiement
� Pas d’administrateur fonctionnel à temps plein
Pré production
DCM-Manager
Test du paramétrage
Passage en production
Exemple avec infrastructure SCCM
Publication des tableaux de bord de
gouvernancede la sécurité
Organisation des mises en production
� Modification d’une seule étape du processus de mise en production
� Le propriétaire de l’application planifie son déploiement et en décrit l’audit de conformité
� Le RSSI valide la durée du déploiement
� A l’issue de la durée prévue de déploiement, les équipements non migrés sont en écart
� Correction des écarts par des correspondants locaux ou reprise centralisée du déploiement
Composant de sécurité existant
� Version déployée (6.0) obligatoire
Mise en production d’une nouvelle version
� Nouvelle version (7.1) optionnelle à compter de la date de début de déploiement prévue
� Version (7.1) obligatoire à compter de la date de fin de déploiement prévue
� Au delà de la date de fin de déploiement, toute détection de la version 6.0 constitue un écart
Montée de version de DCM-Manager
� Processus habituel de qualification
� Pas d’impact sur le référentiel de sécurité
Évolution du référentiel d’audit
� Test des nouvelles règles en pré-production
� Marquage et archivage de la nouvelle version du référentiel associée aux règles d’audit
� Export en production des règles validées
ID NOUVELLES
104 BIS, RUE RENÉ COTY
91330 YERRES
Tél: +33 (0)1 69 49 56 53
HTTP://WWW.ID-NOUVELLES.FR
FRANCIS DELBOS [email protected]
Tél: +33 (0)6 84 76 57 35
