Maturite Des Pratiques Securitaires

Rencontres Recherche Industrie IRIT - 26 Septembre 2007- Michel Kamel 1

Le processus de gestion de scuritde linformation dans les Organisations Virtuelles

Michel KAMEL


Problmatique

Pratiques sPratiques scuritairescuritaires

Normes de sNormes de scuritcurit

Politique de sPolitique de scuritcurit

SystSystme de gestionme de gestionEnvironnementEnvironnement collaboratifcollaboratif

CompComptencestencesRessourcesRessources

OrganisationsOrganisations

SystSystmesmes ddInformationInformationDomainesDomaines de de sscuritcurit

UtilisateursUtilisateursFFddration dration didentitidentit

Ouverture des Systmes dInformation des organisations membres. Confiance en les organisations partenaires; sont-elles capables de bien grer le

contrle daccs dans leurs domaines de scurit? Peut-on compter sur eux?

Objectif: tablir la chane de confiance entre les organisations partenaires dans une OV. Ces organisations ont-elles une culture et des stratgies pour la dfinition de

politiques de scurit. Les administrateurs ont-ils une exprience dans la gestion de la scurit et le

dploiement des services de scurit?


Meilleures pratiques (scuritaires) Scuriser un Systme dInformation ce nest pas seulement utiliser et implmenter les technologies avances qui existent sur le march.

Scuriser un Systme dInformation cest contrler les processus de scurit et savoir comment utiliser et grer ces technologies avances pour en tirer profit maximal.

On doit valuer les pratiques scuritaires (comment est gre la scurit, quels sont les processus de scurit dfinis, lexprience des administrateurs en la gestion de la scurit, etc.).

Y a t-il des meilleures pratiques pour la scurit de linformation?

Y a t-il des normes qui traitent cette valuation et standardisent les meilleures pratiques pour la scurit de linformation?


Gestion de la scurit de linformation- ISO/IEC 17799 -

ISO/IEC 17799 est un code de bonnes pratiques pour la gestion de la scurit de linformation; il permet la dfinition dun Systme de Gestion de Scurit de lInformation (SGSI) dans une organisation.

Un SGSI permet une organisation dtablir sa politique de scurit de linformation, et sassurer quelle rpond bien aux objectifs dfinis.

ISO/IEC 17799 classe les meilleures pratiques en onze thmes (chapitres) de scurit(Politique de scurit, Organisation de la scurit de linformation, Contrle daccs, Conformit aux rglements, etc.).

ISO/IEC 17799 est trop gnral et trop complexe pour les PMEs (39 objectifs de contrles, 133 contrles de scurit). En plus, il liste les meilleures pratiques sans dire comment les utiliser et il nest pas adapt aux OVs.


Gestion de la scurit de linformation- ISO/IEC 27001 -

ISO/IEC 27001 instruit le responsable de scurit dans lorganisation comment appliquer ISO/IEC 17799 et comment btir, oprer, maintenir et amliorer un SGSI.

ISO/IEC 27001 adopte une approche damlioration continue qui est le modle Plan-Do-Check-Act (PDCA).

ISO/IEC 27001 nest pas adapt aux OVs.


Le niveau de maturit Nous sommes intresss par lvaluation des pratiques scuritaires contre les meilleures pratiques dfinies par ISO/IEC 17799.

Nous avons adopt le concept de maturit. La maturit des pratiques scuritaires identifie quel point les questions de scurit sont traites dans une organisation et value lexprience et lexpertise quont les administrateurs de ces organisations.

Le modle de rfrence Capability Maturity Model Integration (CMMI)traite la maturit; il adopte une approche oriente processus. Mais, comme nous nous intressons valuer lefficacit dune organisation dans lassurance dun certain niveau de scurit et non pas la bonne mise en place de processus (telle la gestion des configurations ou de production), lapproche adopte par CMMI nest pas adapte nos besoins.


Lapproche adopte

1. Adapter le cadre de l ISO/IEC 17799 aux organisations virtuelles. Nous avons identifi, partir des onze chapitres de la norme ISO/IEC

17799, les objectifs et les contrles valuer dans les Systmes dInformation des PMEs dsirant faire partie dune OV.

2. Dfinir un outil taill pour lvaluation du niveau de maturit des pratiques scuritaires.

Loutil intgre les concepts de meilleures pratiques et le niveau de maturit.

3. Adapter le cadre de lISO/IEC 27001 aux organisations virtuelles. Nous avons adapt le modle PDCA aux processus de SGSI dans un

environnement distribu.


Loutil dvaluation du niveau de maturit

Loutil est sous la forme dun questionnaire bas sur les meilleures pratiques qui sont fournies par ISO/IEC 17799 que nous avons adapt aux OVs.

Loutil identifie 158 questions : - 6 thmes de scurit- 11 objectifs de scurit- 29 contrles de scurit

Chaque question permet didentifier, jusqu quel point, un contrle de scuritest implment dans le SI de lorganisation.

Loutil propose cinq niveaux de maturit : initial, minimal, acceptable, gr et optimal. Nous affectons un niveau de maturit chaque question et cela selon la criticit et le problme de scurit quelle exprime.


Objectifs de laudit et choix des questions

Chaque question cherche dterminer ou identifier la prsence (ou non) dune pratique scuritaire dans le SGSI dune organisation. Les recommandations de lISO/IEC 17799 permettent dtablir un canevas pour constituer laudit.

Le contenu des questions permet de corrler les pratiques scuritaires avec un niveau de maturit.

Les questions ne sont pas lies des technologies spcifiques : elles sont bien cibles pour quelles prennent en considration les contraintes de scurit des diffrentes organisations et leurs caractristiques distinctives.


Niveau de maturit- rpondre aux questions -

1) Ladministrateur dune organisation rpond aux questions par 1 pratique implmente , 0 pratique non implmente ou bien 0.5 pratique partiellement implmente .


Niveau de maturit par contrle de scurit

2) Dans une premire tape, loutil calcule le niveau de maturit par contrle de scurit.chapter section subsection objective level (1 to 5) equivalent objective level (1 to 15) eval

5 1 1 3 6 65 1 2 3 6 66 1 1 3 6 36 1 2 3 6 36 1 3 3 6 36 1 5 3 6 36 1 8 3 6 36 2 1 3 6 36 2 3 3 6 310 6 1 3 6 610 6 2 3 6 610 8 2 3 6 610 10 1 3 6 610 10 4 3 6 610 10 5 3 6 611 1 1 3 6 7,8911 2 1 3 6 611 2 2 3 6 611 4 1 3 6 611 4 2 3 6 7,1411 4 5 3 6 612 3 1 3 6 312 3 2 3 6 315 1 1 3 6 315 1 4 3 6 315 1 6 3 6 3


Niveau de maturit par thme de scurit

3) Dans une deuxime tape, loutil calcule le niveau de maturit par thme de scurit.


Niveau de maturit- valuation graphique -

4) Finalement, loutil calcule la valeur moyenne de maturit des pratiques scuritaires implmentes dans le SI de lorganisation et le compare une valeur objectif identifi par les partenaires. Le rsultat est affich sur un graphique Kiviat.


Conclusion

La scurisation et le dploiement de rseaux incluant dynamiquement des organisations collaborant dans un but commun et formant une Organisation Virtuelle ncessitent que ces organisations ouvrent leurs Systmes dInformation aux autres.

Ouvrir son SI aux autres et leur dlguer la tche dauthentifier et daccrditer leurspropres utilisateurs voulant accder aux ressources partages ncessitent ltablissement de la chane de confiance entre ces organisations.

Nous ne fournissons pas une nouvelle technologie ni une solution technique: notre approche et notre outil dvaluation de maturit des pratiques scuritaires offrent aux organisations le moyen de quantifier la confiance et tablir la chane de confiance entre elles. Notre outil est un systme d aide la dcision permettant aux organisations de choisir la meilleur solution pour interconnecter leurs SI et former lOV.


Merci

Maturite Des Pratiques Securitaires

Documents

Transcript of Maturite Des Pratiques Securitaires