Ichec entrepr ah 2015

42
3/06/2015 1 Sécurité de l'information et gestion du risque Alain Huet [email protected] be.linkedin.com/in/AlainHuetConsulting © 2015 Alain Huet All rights reserved 2 Sommaire Concepts définitions Gestion de la sécurité de l'information Normes ISO 27001 : SGSI exigences ISO 27002 : code de pratique ISO 27005 : gestion du risque Gestion du risque : méthodes et outils classiques Gestion du risque : méthode simplifiée Gestion du risque : EBIOS Gestion du risque : présentation des résultats

Transcript of Ichec entrepr ah 2015

Page 1: Ichec entrepr ah 2015

3/06/2015

1

Sécurité de l'information

et gestion du risque

Alain Huet

[email protected]

be.linkedin.com/in/AlainHuetConsulting

© 2015 – Alain Huet – All rights reserved

2

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

Page 2: Ichec entrepr ah 2015

3/06/2015

2

3

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

4

Concepts – définitions (1)

Référence : ISO 27000 " Information technology

Security techniques

Information security management systems

Overview and vocabulary "

Concepts

• Actif

• Attributs de sécurité

Disponibilité

Intégrité

Confidentialité

...

• Menace

• Vulnérabilité

• Risque

Page 3: Ichec entrepr ah 2015

3/06/2015

3

5

Concepts – définitions (2)

Actif [asset]

• tout élément du système d'information, ayant de la valeur pour

l'organisation

• exemples :

locaux et installations techniques (électricité, airco, …)

matériel informatique

infrastructure télécom

logiciels

bases de données

documentation

personnel

6

Concepts – définitions (3)

Attributs de sécurité (1)

• Disponibilité [availability]

(actifs) utilisables et accessibles

• Intégrité [integrity]

(informations) transmises / traitées / conservées sans erreur

• Confidentialité [confidentiality]

(informations) accessibles seulement aux personnes autorisées

Page 4: Ichec entrepr ah 2015

3/06/2015

4

7

Concepts – définitions (4)

Attributs de sécurité (2)

• Authenticité [authenticity]

identification certaine de l'utilisateur

• Traçabilité (imputabilité) [accountability]

attribution d'une action à son auteur

• Irrévocabilité [non-repudiation]

attribution incontestable d'une action à son auteur

• Fiabilité [reliability]

(traitement) résultats logiques intentionnels

• Légalité (ISO 27000)

(traitement) conforme aux dispositions légales

Preuve (ISO 27000)

8

Concepts – définitions (5)

Menace [threat]

• cause pouvant affecter la sécurité d'un actif

• caractéristiques

– origine :

- naturelle : incendie, inondation, …

- humaine :

accidentelle : erreurs (saisie, bug …)

délibérée : fraude, virus, intrusion …

– impact sur le système d'information

sur l'organisation

probabilité

opportunité,

motivation,

faisabilité

Page 5: Ichec entrepr ah 2015

3/06/2015

5

9

Concepts – définitions (6)

Vulnérabilité [vulnerability]

• point faible permettant à une menace de porter atteinte à la

sécurité d'un actif

• exemples

détection / extinction d'incendie absente ou inefficace

test insuffisant des logiciels

personnel insuffisamment formé

antivirus non mis à jour

architecture du système trop fragile

copies de sauvegarde absentes ou non testées

plan "catastrophe" absent ou non testé

10

Concepts – définitions (7)

Risque [risk]

• probabilité qu'une menace exploite une vulnérabilité du système

d'information pour affecter un actif de l'organisation

• caractéristiques :

- impact

sur les actifs : disponibilité, intégrité, confidentialité, …

sur l'organisation : perte financière, image, …

- probabilité / fréquence / opportunité

Page 6: Ichec entrepr ah 2015

3/06/2015

6

11

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

12

Gestion de la sécurité de l'information (1)

Objectif fondamental

Gestion de la sécurité gestion du risque

Aspect de la gestion de l'organisation Elément de bonne gouvernance

Financiers

Image

Juridiques

Humains

Financier

Organisationnel

Inconfort

Dommages dus aux

incidents / sinistres

Coût des mesures de

sécurité

Page 7: Ichec entrepr ah 2015

3/06/2015

7

13

Gestion de la sécurité de l'information (2)

Evolution technologique continue

Menaces

gestion du risque : processus continu

organisation permanente

"Système de gestion de la sécurité de l'information" (SGSI)

[Information Security Management System = ISMS]

14

Gestion de la sécurité de l'information (3)

Processus continu

roue de Deming

PDCA

[Plan]

Identifier / évaluer

- risques

- actions adéquates

[Check]

Mesurer / évaluer

les résultats

[Act]

Rectifier

Améliorer

[Do]

Réaliser les actions

Informer / éduquer

Page 8: Ichec entrepr ah 2015

3/06/2015

8

15

Gestion de la sécurité de l'information (4)

Facteurs critiques de succès

• Support de la direction

• Stratégie : définition centrale

mise en œuvre : locale

" think globally, act locally "

• Impact des risques pour l'organisation

• Sensibilisation / formation (personnel, …)

• Méthodes standards

• Outils

16

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

Page 9: Ichec entrepr ah 2015

3/06/2015

9

17

Normes

ISO 27000 Vue d'ensemble et vocabulaire

ISO 27001 Systèmes de gestion de sécurité de

l'information (SGSI) : exigences ( BS7799-2)

ISO 27002 Code de pratique (= ISO17799 BS7799-1)

ISO 27003 Guide de mise en oeuvre

ISO 27004 SGSI : métriques

ISO 27005 Gestion du risque ( ISO 13335-3/4)

ISO 27006 Homologation

ISO 27007 Directives d'audit

18

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

Page 10: Ichec entrepr ah 2015

3/06/2015

10

19

ISO 27001 : "SGSI : exigences"

Définition du SGSI ( ISO 27000)

• " An ISMS consists of the policies, procedures, guidelines, and

associated resources and activities, collectively managed by an

organization, in the pursuit of protecting its information assets.

• An ISMS is a systematic approach for establishing, implementing,

operating, monitoring, reviewing, maintaining and improving an

organization’s information security to achieve business objectives.

• It is based upon a risk assessment and the organization’s risk

acceptance levels designed to effectively treat and manage risks. "

Compatible ISO 9001

Roue de Deming (implicite)

20

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

Page 11: Ichec entrepr ah 2015

3/06/2015

11

21

ISO 27002 : code de pratique

14 thèmes

5 Règlement de sécurité

6 Organisation de la sécurité de l'information

7 Ressources humaines

8 Gestion des actifs

9 Gestion d'accès

10 Cryptographie

11 Sécurité physique

12 Exploitation

13 Communications

14 Acquisition, développement et maintenance

15 Relations avec les fournisseurs

16 Incidents de sécurité

17 Continuité

18 Conformité

114 "contrôles" = enjeux de sécurité ()

22

ISO 27002 : exemple

11.1.3 Securing offices, rooms, and facilities

Control

Physical security for offices, rooms, and facilities should be designed

and applied.

Implementation guidance

The following guidelines should be considered to secure offices, rooms,

and facilities :

a) key facilities should be sited to avoid access by the public ;

b) where applicable, buildings should be unobtrusive and give

minimum indication of their purpose, with no obvious signs, outside

or inside the building identifying the presence of information

processing activities ;

c) facilities should be configured to prevent confidential information or

activities from being visible and audible from the outside ;

electromagnetic shielding should also be considered as appropriate ;

d) directories and internal telephone books identifying locations of

confidential information processing facilities should not be readily

accessible to anyone unauthorized.

Page 12: Ichec entrepr ah 2015

3/06/2015

12

23

ISO 27002 : 5. Règlement de sécurité

Règlement de sécurité de l'information

Règlement

approuvé par la direction

communiqué au personnel et aux tiers

tenant compte des objectifs de l'organisation

assignant des responsabilités à des rôles exercés

décliné en règlements spécifiques

Révision

périodique

en fonction des évolutions importantes

24

ISO 27002 : 6. Organisation de la sécurité de l'information

Organisation interne

Rôles et responsabilités

Séparation de fonctions

Relations avec les autorités

...

Portables et télétravail

Portables

enregistrement

mesures de protection

restrictions d'emploi

BYOD (bring your own device)

Télétravail

mesures de protection

restrictions d'emploi

Page 13: Ichec entrepr ah 2015

3/06/2015

13

25

ISO 27002 : 7. Ressources humaines

Avant l'engagement

Sélection

Conditions d'engagement

Durant le contrat

Responsabilités de la direction

Sensibilisation et formation à la sécurité

Procédures disciplinaires

A la fin du contrat

Responsabilités

26

ISO 27002 : 8. Gestion des actifs

Responsabilité liée aux actifs

Inventaire

Propriété

Usage licite

Restitution

Classification de l'information

Directives de classification

Marquage

Procédures de traitement des actifs classifiés

Traitement des supports

Gestion des supports amovibles

Elimination des supports

Transport physique

Page 14: Ichec entrepr ah 2015

3/06/2015

14

27

ISO 27002 : 9. Gestion d'accès (1)

Exigences fonctionnelles

Règlement général

Accès aux réseaux

Accès des utilisateurs

Enregistrement et radiation des utilisateurs

Gestion des droits d'accès

Gestion des crédentiels

Responsabilités des utilisateurs

Usage des crédentiels

28

ISO 27002 : 9. Gestion d'accès (2)

Accès aux systèmes / applications

Limitation d'accès

Procédures d'authentification

Mots de passe

Usage des utilitaires privilégiés

Accès aux sources de programmes

Page 15: Ichec entrepr ah 2015

3/06/2015

15

29

ISO 27002 : 10. Cryptographie

Cryptographie

Règlement d'usage

Gestion des clés

30

ISO 27002 : 11. Sécurité physique

Zones de sécurité

Périmètre de sécurité physique

Mesures de sécurité à l'entrée

Sécurité des bureaux, locaux, …

Incendie, inondation, séisme, ...

Matériel

Placement et protection

Alimentations (énergie, ventilation, …)

Câblage

Maintenance

Déplacement

Matériel plus / ré- utilisé

Page 16: Ichec entrepr ah 2015

3/06/2015

16

31

ISO 27002 : 12. Exploitation (1)

Procédures / responsabilités opérationnelles

Documentation des procédures

Gestion des changements

Gestion de la capacité

Séparation développement / test / production

Programmes malveillants, …

Sauvegarde

Journaux / suivi

Enregistrement des événements

Protection des journaux

Synchronisation des horloges

...

32

ISO 27002 : 12. Exploitation (2)

Logiciel opérationnel

Installation du logiciel

tests

gestion de changement

procédure de retour en arrière

...

Vulnérabilités techniques

Evaluation des vulnérabilités et choix de mesures de sécurité

Limites des installations permises aux utilisateurs finaux

Conditions d'audit

Page 17: Ichec entrepr ah 2015

3/06/2015

17

33

ISO 27002 : 13. Communications

Sécurité des réseaux

Mesures générales

Fourniture de services

Cloisonnement

Echanges d'information

Règlements et procédures

Accords avec les partenaires externes

Messagerie électronique

34

ISO 27002 : 14. Acquisition, développement et maintenance

Exigences de sécurité

Analyse et spécifications de sécurité

Services applicatifs sur réseaux publics

Sécurité des transactions

Développement / support

Changements

Progiciels

Ingéniérie système

Environnement de développement

Sous-traitance

Test

Données de test

Protection des données de test

Page 18: Ichec entrepr ah 2015

3/06/2015

18

35

ISO 27002 : 15. Relations avec les fournisseurs

Sécurité dans les relations avec les fournisseurs

Règles générales

Convention avec chaque fournisseur

...

Fourniture de service

Suivi des services fournis

Changements des services fournis

36

ISO 27002 : 16. Incidents de sécurité

Incidents et améliorations

Responsabilités et procédures

Signalement des incidents de sécurité

Signalement des points faibles

Evaluation

Réponse aux incidents

Enseignement retiré des incidents

Constitution de preuves

Page 19: Ichec entrepr ah 2015

3/06/2015

19

37

ISO 27002 : 17. Continuité

Continuité

Exigences

Mise en oeuvre

Vérification et évaluation

Redondances

Disponibilité des équipements

38

ISO 27002 : 18. Conformité

Analyses de sécurité

Indépendance des analyses de sécurité

Conformité aux règlements et normes de sécurité

Conformité technique

Contraintes légales

Identification des législations applicables

Droits intellectuels

Protection des informations

Vie privée

Cryptographie

Page 20: Ichec entrepr ah 2015

3/06/2015

20

39

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

40

ISO 27005 : Gestion du risque (1)

Rappels

[Plan]

Identifier / évaluer

- risques

- actions adéquates

[Check]

Mesurer / évaluer

les résultats

[Act]

Rectifier

Améliorer

[Do]

Réaliser les actions

Informer / éduquer

Page 21: Ichec entrepr ah 2015

3/06/2015

21

41

ISO 27005 : Gestion du risque (2)

Types de risque

• Risque stratégique

Système d’information inadapté aux objectifs de l’organisation

• Risque de changement

Echec de projet

Coût

Qualité

Facteurs humains

• Risque opérationnel

Dysfonctionnement portant atteinte à l’organisation

42

ISO 27005 : Gestion du risque (3)

Méthode Référentiel méthodologique

Source : ISO/IEC 27005:2011

Page 22: Ichec entrepr ah 2015

3/06/2015

22

43

ISO 27005 : Gestion du risque (4)

Schéma simplifié

44

ISO 27005 : Gestion du risque (5)

Etablissement du contexte

Objet

? toute l'organisation SGSI

? 1 système / service spécifications du système / service

Critères de base

évaluation des risques

impact

probabilité, opportunité

acceptation des risques

Page 23: Ichec entrepr ah 2015

3/06/2015

23

45

ISO 27005 : Gestion du risque (6)

Appréciation des risques

• Actifs ( valeur)

• Menaces

ISO 27005 (annexe C "informative")

• Vulnérabilités

ISO 27005 (annexe D "informative")

• Conséquences pour l'organisation

Liste des risques et de leur niveau

46

ISO 27005 : Gestion du risque (7)

Plan de traitement

• Mesures de sécurité : bonnes pratiques (ISO 27002) + …

prévention : probabilité

protection : impact

coût : initial / récurrent

• Décision

refus du risque STOP

transfert du risque assurance, exonération, …

réduction du risque mesures de sécurité

Risque résiduel : à accepter par la direction

Page 24: Ichec entrepr ah 2015

3/06/2015

24

47

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

48

Risque : méthodes et outils classiques (1)

ISO 27005 : orientations méthodologiques

méthode

Méthodes et outils Exemples

* Expertise nécessaire : base

standard

spécialiste

Source : ENISA

EN

EN DE

EN FR

DE ES

EN NL

Langue

USA Octave

D Grundschutz

F EBIOS

UK CRAMM

Outil Exper-

tise *

Traite-

ment

Evalu-

ation

Ana-

lyse

Origine

Page 25: Ichec entrepr ah 2015

3/06/2015

25

49

Risque : méthodes et outils classiques (2)

Mise en œuvre assez lourde

experts en sécurité

charge de travail

délai

? implication du propriétaire fonctionnel du système ?

[business owner]

50

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

Page 26: Ichec entrepr ah 2015

3/06/2015

26

51

Risque : méthode simplifiée (1)

Objectif

propriétaire du système [business owner]

acteur principal de la gestion de risque

Simplifications

• métrique d'impact (sur l'organisation)

• métrique de défauts de sécurité

• probabilités : rôle secondaire

• socle de bonnes pratiques de base : pour toute l'organisation

• + mesures de sécurité spécifiques : par système

52

Risque : méthode simplifiée (2)

Métrique d'impact (1)

Exemple : firme commerciale

Divulgation de

secret industriel

Condamnation

pénale

Inférieure à la

concurrence

Altération

sérieuse de

l'image

> 1.000 4

Divulgation de

secret

commercial

Condamnation

civile

Egale à la

concurrence

Clientèle

sérieusement

perturbée

100 – 1.000 3

Divulgation de

données

personnelles

Perte légère Nombreuses

plaintes 10 – 100 2

Quelques

plaintes 1 – 10 1

Secret

S

Juridique

Judiciaire

J

Compétitivité

C

Image

I

Perte

financière

(milliers €)

F

Nature des conséquences G

r

a

v

i

t

é

Page 27: Ichec entrepr ah 2015

3/06/2015

27

53

Risque : méthode simplifiée (3)

Métrique d'impact (2)

Exemple : service gouvernemental

Très secret

Perte de vie

humaine

Atteinte grave à la

réputation

Altération

définitive

Condamnation

internationale de

l’Autorité

Ordre public

gravement en

péril

> 100 4

Secret

Atteinte sérieuse à

l'intégrité ou à la

réputation

Critiques graves

dans les media

Condamnation de

l’Autorité

Difficulté à

maintenir l’ordre

public

10 – 100 3

Confidentiel

Divulgation de

données

personnelles

sensibles

Critiques

occasionnelles

dans les media

Actions en justice Menace pour

l’ordre public 1 – 10 2

Diffusion restreinte

Divulgation de

données

personnelles

Plaintes

occasionnelles Sanctions internes

Perturbation

locale et

momentanée

0,001 – 1 1

Classification

C

Social et humain

S

Image du

service public

I

Juridique

Judiciaire

J

Ordre public

O

Perte

financière

(millions

€)

F

Nature des conséquences G

r

a

v

i

t

é

54

Risque : méthode simplifiée (4)

Métrique d'impact (3)

• Exercices Choisir une métrique d'impact

Codifier l'impact des incidents décrits

P. ex. : F2 O1 J1 I3 S0 C0

• Exercice 1 Une négligence entraîne l'arrêt, pendant 24 heures, d'un site web

gouvernemental servant à collecter des données économiques.

Il en résulte une perte de temps d'un quart d'heure pour les

comptables de 10.000 entreprises. L'incident est relaté dans la

presse. Le fonctionnaire négligent est réprimandé.

Page 28: Ichec entrepr ah 2015

3/06/2015

28

55

Risque : méthode simplifiée (5)

Métrique d'impact (4)

• Exercice 2 Une société d'ingéniérie a établi pour un client les plans d'une

installation très innovante.

Quelques mois plus tard, un concurrent de ce client construit une

usine exploitant les mêmes idées.

Le client suspecte donc une fuite au sein de la société

d'ingéniérie et menace de réclamer en justice une indemnité de

2.000.000 €.

Une enquête interne révèle que les droits d'accès d'un

collaborateur licencié n'avaient pas été révoqués, ce qui constitue

peut-être la cause de la fuite. L'administrateur des droits d'accès

est licencié à son tour.

56

Risque : méthode simplifiée (6)

Métrique d'impact (5)

• Exercice 3 Grâce à une intrusion dans un système gouvernemental, des

écologistes extrémistes identifient des entreprises qui utilisent

des méthodes de production contraires à leurs principes, mais

légales.

Ils en menacent les dirigeants et réussissent même à entraver le

bon fonctionnement de ces sociétés, ce qui entraîne une perte

financière estimée à 1.500.000 €.

La sécurité informatique de l'administration fait l'objet d'une

question parlementaire relayée par les medias.

Page 29: Ichec entrepr ah 2015

3/06/2015

29

57

Risque : méthode simplifiée (7)

Métrique de défauts de sécurité

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Altération / destruction

Transactions perdues : 1

10

100

1.000

Confidentialité Divulgation

Preuve Enregistrements non probants

Légalité Transgression (loi, règlement, ...)

58

Risque : méthode simplifiée (8)

Appréciation des risques (1)

• Actifs Immobilier

Matériel

Informations

Traitements / processus / fonctions

Flux / liaisons

Regrouper / limiter

Max. 10 – 20 actifs

Page 30: Ichec entrepr ah 2015

3/06/2015

30

59

Risque : méthode simplifiée (9)

Appréciation des risques (2)

• Pour chaque actif

• Impact pour l'organisation

• Modèle documentaire

Valeur des actifs, indépendamment du risque

Conséquences

Actif : F I ... S Max

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Altération / destruction

Transactions perdues : 1

10

100

1.000

Confidentialité Divulgation

Preuve Enregistrements non probants

Légalité Transgression (loi, règlement, ...)

60

Risque : méthode simplifiée (10)

Appréciation des risques (3)

• Menaces / vulnérabilités

ISO 27005 - ann. C : menaces

ISO 27005 - ann. D : vulnérabilités

• "Menace / vulnérabilité" = "événement redouté"

• Modèle documentaire

Evénement redouté :

ER

#

Origine de la menace : Cause naturelle

Erreur humaine

Action délibérée

motivation :

Vulnérabilité : Matériel

Logiciel

Réseau

Personnel

Site

Organisation

Page 31: Ichec entrepr ah 2015

3/06/2015

31

61

Risque : méthode simplifiée (11)

Appréciation des risques (4)

• Pour chaque actif :

impact des événements redoutés

Actif : Max ER1 ER2 ...

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Altération / destruction

Transactions perdues : 1

10

100

1.000

Confidentialité Divulgation

Preuve Enregistrements non probants

Légalité Transgression

62

Risque : méthode simplifiée (12)

Appréciation des risques (5)

Exemple

Mesures de sécurité à élaborer

Actif : Max ER1 ER2 ...

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

1

2

3

4

X

X

X

X

Intégrité

Altération / destruction

Transactions perdues : 1

10

100

1.000

4

X

Confidentialité Divulgation 3 X

Preuve Enregistrements non probants

Légalité Transgression

Page 32: Ichec entrepr ah 2015

3/06/2015

32

63

Risque : méthode simplifiée (13)

Plan de traitement (1)

• Mesures de base

SGSI ( ISO 27001)

bonnes pratiques de base ( ISO 27002)

• Mesures spécifiques

au métier, à l'application, …

• Attributs des mesures

- Mode d'action PV : prévention (probabilité/opportunité )

PT : protection (impact )

- Localisation IT : ICT

US : end user

- Coût : initial / récurrent

- Attributs de sécurité améliorés : disponibilité, intégrité, …

- Evénements redoutés traités

64

Risque : méthode simplifiée (14)

Plan de traitement (2)

• Modèle documentaire

Mesure de sécurité : MS #

Mode d'action

Localisation

Coût initial

Coût récurrent

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

Attributs de

sécurité améliorés

Intégrité

Altération / destruction

Transactions perdues : 1

10

100

1.000

Evénements

redoutés traités

Confidentialité Divulgation ER1 ER2 ER3

Preuve Enregistrements non probants ER4 ER5 ER6

Légalité Transgression ER7 ER8 ER9

Page 33: Ichec entrepr ah 2015

3/06/2015

33

65

Risque : méthode simplifiée (15)

Plan de traitement (3)

• Pour chaque actif :

efficacité des mesures de sécurité sur les événements redoutés

Actif : ER1 ... MS1 ...

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Altération / destruction

Transactions perdues : 1

10

100

1.000

Confidentialité Divulgation

Preuve Enregistrements non probants

Légalité Transgression

66

Risque : méthode simplifiée (16)

Plan de traitement (4)

• Risque résiduel

après application des mesures de sécurité

Conséquences

Actif : F I ... S Max

Disponibilité

Indisponibilité : 5 minutes

1 heure

1 jour

1 semaine

> 1 semaine

Intégrité

Altération / destruction

Transactions perdues : 1

10

100

1.000

Confidentialité Divulgation

Preuve Enregistrements non probants

Légalité Transgression (loi, règlement, ...)

Page 34: Ichec entrepr ah 2015

3/06/2015

34

67

Risque : méthode simplifiée (17)

Résumé

68

Risque : méthode simplifiée - histoire (18)

1991 établissement bancaire

audit informatique

risque supporté par le département informatique

non supporté par les responsables fonctionnels

méthode : gestion de risque

check list méthodes d'audit

méthode simplifiée

1997 ISO 13335

2005 administration fédérale

2008 ISO 27005

Page 35: Ichec entrepr ah 2015

3/06/2015

35

69

Risque : méthode simplifiée - évaluation (19)

+ démarrage très court

implication des propriétaires fonctionnels

effort global : faible

documentation : claire et synthétique

expert en sécurité : intervention limitée

– (supposition : bonnes pratiques de base)

70

Risque : méthode simplifiée (20)

Exercice

La firme d'ingéniérie BelSmartChem réalise des projets d'usine chimique au

moyen d'un logiciel de conception assistée, développé par les fondateurs

associés, qui lui permet de produire ses plans et calculs plus vite que ses

concurrents.

Chiffre d'affaires : 7 millions €/an.

Elle utilise l'email dans ses relations commerciales.

Elle emploie 20 ingénieurs (800 €/j) et 5 employés administratifs

(400 €/j) chargés de la comptabilité et du suivi des projets.

Ses bureaux se trouvent dans un immeuble partagé avec un atelier de

mécanique.

Page 36: Ichec entrepr ah 2015

3/06/2015

36

71

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

72

Risque : EBIOS (1)

Origine

• FR : Agence Nationale de la Sécurité des Systèmes d'Information

www.ssi.gouv.fr/fr/anssi/

EBIOS = Expression des Besoins et Identification des Objectifs

de Sécurité

Méthode publique et gratuite

• Guide méthodologique

• Base de connaissances

• Exemple

• Outil documentaire

Page 37: Ichec entrepr ah 2015

3/06/2015

37

73

Risque : EBIOS (2)

Domaine d'emploi

• Organisations publiques et privées

• Organisations grandes et petites

• ISMS ( ISO 27001)

• Documents "common criteria" ( ISO 15408)

• ...

74

Risque : EBIOS (3)

Etapes

Page 38: Ichec entrepr ah 2015

3/06/2015

38

75

Risque : EBIOS (4)

Module 1 : Etude du contexte (1)

• Périmètre

• Sources de menace : retenues ou non

• Métriques

Echelle de besoin

disponibilité

intégrité

confidentialité

preuve

légalité

Niveaux de gravité (impact)

Niveaux de vraisemblance des scénarios de menace

Critères de gestion des risques (seuils de tolérance, ...)

76

Risque : EBIOS (5)

Module 1 : Etude du contexte (2)

• Biens

Biens essentiels : "patrimoine informationnel", "biens immatériels"

"dépositaire" !?

Biens supports : composants du système d'information

"propriétaire" !?

Tableau : biens essentiels / biens supports

Mesures de sécurité existantes ISO 27002 (p. ex.)

Tableau : mesures existantes / biens supports

Page 39: Ichec entrepr ah 2015

3/06/2015

39

77

Risque : EBIOS (6)

Module 2 : Evénements redoutés

• Sur les biens essentiels

sans considération pour le scénario technique

• Sources de menace

• Impacts

• Tableau : événement redouté / source menace / impact / gravité

78

Risque : EBIOS (7)

Module 3 : Scénarios de menaces

• Sur les biens supports

• Menaces

• Vulnérabilités

• Tableau :

biens supports / scénarios menace / sources menace / vraisemblance

Page 40: Ichec entrepr ah 2015

3/06/2015

40

79

Risque : EBIOS (8)

Module 4 : Etude des risques (1)

• Corrélation événements redoutés / scénarios de menace

module 2 module 3

• Analyse des risques

Par risque : gravité / vraisemblance

• Evaluation des risques

Classement des risques par gravité et vraisemblance

Risques Vraisemblance

+ ++ +++

Gravité

+++

++

+

80

Risque : EBIOS (9)

Module 4 : Etude des risques (2)

• Options de traitement

Eviter

Réduire

Accepter

Transférer

• Risques résiduels

Page 41: Ichec entrepr ah 2015

3/06/2015

41

81

Risque : EBIOS (10)

Module 5 : Mesures de sécurité

• Formalisation

Spécification

Risque résiduel

• Mise en oeuvre

82

Risque : EBIOS (11)

+ gratuité

marché de consultance

support d'une agence gouvernementale

outil informatique

documentation certification (ISO 15408)

base de connaissances

– formation à la méthode

lourdeur

Page 42: Ichec entrepr ah 2015

3/06/2015

42

83

Sommaire

Concepts – définitions

Gestion de la sécurité de l'information

Normes

ISO 27001 : SGSI – exigences

ISO 27002 : code de pratique

ISO 27005 : gestion du risque

Gestion du risque : méthodes et outils classiques

Gestion du risque : méthode simplifiée

Gestion du risque : EBIOS

Gestion du risque : présentation des résultats

84

Risque : présentation des résultats

A un comité de

pilotage technique

A un comité

stratégique

Actifs du système

d’information

Composants

techniques

Fonctions générales

Menaces

Vulnérabilités

Evénements

redoutés

Impact technique : disponibilité

intégrité

confidentialité

Impact final sur

l’organisation : financier

image

Mesures de sécurité Efficacité technique

Coût

Délai

Risque technique

résiduel

Coût

Délai

Risque résiduel sur

l’organisation