politique et gestion de la sécurité du système d’information · 2018-08-21 · Continuité...
19
politique et gestion de la sécurité du système d’information les cahiers de la sécurité - les cahiers de la sécurité - les cahiers de la sécurité
Transcript of politique et gestion de la sécurité du système d’information · 2018-08-21 · Continuité...
politique et gestion de la sécurité du système d’information
les cahiers de la sécurité - les cahiers de la sécurité - les cahiers de la sécurité
2 3
sommaire
4 introduction
6 quelles solutions face à l’évolution des risques ?■ Politique de Sécurité■ protection globale du Système d’Information■ maîtriser la sécurité du Système d’Information
10 qu’est-ce-que la Gestion de la Sécurité ?■ fonctions de la Gestion de la Sécurité ■ contrôle de la sécurité ■ pilotage de la sécurité■ modèle d’organisation
18 comment construire la Gestion de la Sécurité ?■ démarche de mise en œuvre de la Gestion de la Sécurité■ élaboration d’un centre de pilotage■ procédures et outils de Gestion de la Sécurité ■ procédures et référentiels documentaires ■ outils de Gestion de la Sécurité ■ externaliser la Gestion de la Sécurité
26 organisation de la Gestion de Sécurité du Système d’Information au sein du groupe France Télécom
30 conclusion
32 bibliographie
4 5
introduction
Dans chaque entreprise, le Système d’Information constitue un patrimoine possédant une valeur financière propre. Tout atteinte au Système d’Information génère une perte financière et porte atteinte à l’image de l’entreprise1. Les dégâts dépendent naturellement des actes commis mais plus encore des moyens mis en oeuvre pour y remédier. C’est pourquoi la sécurité du Système d’Information a pris une importance considérable depuis :
■ la disparition des opérations manuelles remplacées par des processus informatiques
■ l’usage du réseau pour fournir de l’information à l’intérieur comme à l’extérieur de l’entreprise
Confrontées à des risques croissants et à une réglementation de plus en plus stricte (Lois Informatique et Liberté, Loi sur la Sécurité Financière, Sarbane-Oxley, Bâle 2), les entreprises doivent désormais prendre en compte la dimension sécurité des SI dans leurs organisations et leurs moyens. La multiplication des solutions sécurité conduit les entreprises à s’interroger sur la nature des investissements sécurité à privilégier.
L’élaboration d’une Politique de Sécurité du SI - et plus encore du système de Gestion de la Sécurité du SI - devient partie intégrante d’une bonne gouvernance. Elle est ainsi amenée à occuper un rôle central dans la stratégie des entreprises.
Ce Cahier Technique cherche à mettre en exergue les problématiques relatives à la Gestion de Sécurité des Systèmes d’Information : ■ comment protéger de manière efficace le patrimoine informationnel ? ■ les mesures de sécurisation mises en œuvre sont-elles cohérentes ?■ quelles sont les étapes suivantes de la sécurisation ? ■ comment construire une organisation de pilotage ?■ etc.
1. Entreprise ou organisation à but non lucratif
6 7
quelles solutions face à l’évolution des risques ?
Politique de SécuritéLa Politique de Sécurité exprime la stratégie de l’entreprise en matière de sécurité de l’information. Elle constitue la référence en matière de protection de ses Systèmes d’Information et traduit les exigences de sécurité en règles pragmatiques. Il n’existe pas de règles déclinables à tous, chaque entreprise présentant des particularités. Cela nécessite une étude ad hoc devant aboutir à des préconisations personnalisées. Celles-ci permettront de choisir les dispositifs de protection adaptés. Quatre principes constituant le fondement de toute Politique de Sécurité sont toutefois récurrents :
■ adopter une politique de gestion de risques et de sécurité
■ créer une structure en charge d’organiser et de piloter la Gestion de la Sécurité des SI
■ installer un cadre organisationnel et juridique nécessaire à la responsabilisation collective et individuelle des utilisateurs du SI
■ inventorier et classifier les ressources. Cette démarche doit permettre d’optimiser les processus de sécurisation en insistant sur ses composants les plus critiques
la Politique de Sécurité des Systèmes d’Informations reflète la vision de l’entreprise en matière de sécurité du SI
Figure 1 : interactions entre les quatre principes fondateurs de toute Politique de Sécurité
8 9
protection globale du Système d’InformationGrâce à la médiatisation des attaques informatiques, les Directions Générales ont pris conscience de l’importance de la sécurité du SI et des moyens à y consacrer. Le rôle des Responsables du Système d’Information (ou RSI) inclut dorénavant une dimension de protection du Système d’Information, en agissant à tous les niveaux de l’entreprise.
En premier lieu, les risques métiers doivent être identifiés et analysés. Puis les informations doivent être classifiées afin d’adapter les mesures de sécurité aux enjeux métiers dans le respect des dispositions légales. Directions Métiers, Direction Générale et Direction Juridique deviennent les donneurs d’ordre en ma-tière de sécurité et doivent également se soumettre à cette démarche.
En second lieu, l’entreprise doit se doter d’une organisation et d’une Politique de Sécurité du Système d’Information.Cette politique doit ensuite se décliner en un plan d’actions à plusieurs volets : mesures organisationnelles, mesures techniques, mesures sociales liées aux ressources humaines, aspects juridiques.
L’organisation quotidienne de la sécurité doit poursuivre les efforts réalisés en amont en dotant l’entreprise d’outils de mesure et de pilotage des actions de sécurité.
la Gestion de la Sécurité constitue la clé de voûte de la protection du SI
Figure 2 : démarche globale de protection du SI.
La Gestion de la Sécurité au quotidien permet de pérenniser les bénéfices des phases amont.
maîtriser la sécurité du Système d’InformationPour maîtriser la sécurité de façon permanente, plusieurs objectifs doivent être remplis : prévention : anticiper pour faire face aux nouvelles menaces Il s’agit de prévoir les mesures capables de limiter la probabilité qu’un incident de sécurité ne se
produise. Une veille sur les points de vulnérabilité devient indispensable pour identifier, analyser les
nouvelles menaces puis décider des actions correctrices à effectuer.
détection : surveiller l’état de santé du SILa détection d’une attaque est une information cruciale. En effet, ignorer une attaque interdit tout
déclenchement rapide des mesures de défense destinées à limiter les dégâts. La sophistication
des techniques d’attaques, exige de disposer de moyens permettant de signaler rapidement toute
anomalie du Système d’Information et de stopper ainsi toute tentative d’intrusion.
défense : définir un plan de secoursCet objectif consiste à définir les actions à suivre lorsqu’un incident survient, afin de
minimiser son impact. L’élaboration d’un PCA – Plan de Continuité d’Activité – permet
de garantir la survie du SI. Ses caractéristiques premières sont rapidité et cohérence
des actions. La rapidité est essentielle pour limiter les impacts et répondre face à la vitesse de
propagation d’une attaque . La cohérence permet d’intervenir de manière complète et homogène
sur l’ensemble du périmètre du Système d’Information.
Il convient cependant de rappeler que le niveau de sécurité du Système d’Information demeure
toujours équivalent à celui du maillon le plus faible. Le PCA doit donc garantir une coordination
générale des actions telle que la mobilisation de la structure de gestion de crise ou l’activation
des procédures d’escalade pour répondre efficacement aux incidents.
contrôle : adapter en permanence les processus et les moyens de sécuritéAu cours du temps, risques et besoins évoluent. Il convient donc de contrôler régulièrement la
pertinence de la Politique de Sécurité et de surveiller en permanence les processus et les systèmes
de sécurité. Une démarche de pilotage des actions de sécurisation, contrôlée par des indicateurs
quantitatifs, permet sa mise en oeuvre.
Ces indicateurs permettent de fournir à la Direction Générale une mesure sur le niveau de sécurité
global du Système d’Information. Leur incrémentation dans des tableaux de bord aide à apprécier
l’efficacité des processus de sécurité et à discerner des vecteurs d’ajustement. Ils doivent refléter
l’activité liée aux enjeux Business.
La Gestion de la Sécurité constitue une solution efficace pour atteindre ces objectifs. Cette organisation est nécessaire, et on perçoit aisément les limites d’une démarche «artisanale» dans le domaine. Chaque entreprise doit s’organiser et se doter progres-sivement d’un centre de pilotage pérenne. Ce travail d’organisation doit permettre de maîtriser les coûts générés par la Gestion de la Sécurité, en optimisant les ressources et les procédures de gestion de risques.
l’organisation de la Gestion de la Sécurité est un facteur de maîtrise des coûts
10 11
qu’est-ce-que la Gestion de la Sécurité ?
La Gestion de la Sécurité s’intègre généralement dans un dispositif de gouvernance de la sécurité piloté par le Responsable du Système d’Information (RSI). Ce facteur rend obligatoire une pluridisciplinarité des RSI : ■ formalisation et suivi de la mise en application de la Politique de Sécurité■ relations avec les acteurs métiers, analyse de leurs risques et assistance sécurité
pour leurs projets de SI■ gestion des PCA ou «Plans de Continuité d’Activité»■ opérations de sensibilisation et de communication■ pilotages stratégique et budgétaire des plans d’actions sécurité■ mise en conformité avec les exigences légales
Mettre en place une organisation de Gestion de la Sécurité permet de structurer une démarche méthodologique de maintien du niveau de sécurité souvent laissée jusqu’alors à l’état d’ébauche.
fonctions de la Gestion de la SécuritéLa Gestion de la Sécurité s’organise autour de quatre missions majeures:
études et standards de sécurité Leur objectif principal consiste à rédiger la Politique de Sécurité ou le Plan de Continuité d’Activité, puis à les décliner dans les processus projets et exploitation. Cela permet de transformer les concepts et les directives en réalisations concrètes sur le Système d’Information. Cette fonction couvre à la fois les impératifs de «prévention» et «défense».
contrôle de la sécuritéElle regroupe l’ensemble des actions permettant de mesurer le niveau de sécurité de tout ou partie du Système d’Information : identifications objective et exhaustive des menaces, évaluation de l’efficacité des mesures de protection, suivi des procé-dures correctrices (mise en conformité). Elle répond ainsi à l’objectif «contrôle». administration de la sécuritéCette fonction englobe des actions qui visent la mise en œuvre, la surveillance et l’application des règles de sécurité aux Systèmes d’Information. Elle couvre les aspects techniques des objectifs «prévention», «défense» et «détection». Ainsi les actions de configuration permettent de maintenir les composants du Système d’Information à un niveau optimal de sécurité. Les actions de supervision permettent quant à elles de détecter tout événement anormal identifié et d’initier les actions correctrices.
12 13
pilotage de la sécurité Cette fonction couvre tous les objectifs de sécurité et joue un rôle central dans le dispositif de Gestion de la Sécurité. Elle représente la «tour de contrôle» en termes de coordination et d’homogénéité des actions de sécurité au quotidien, de manière proactive et réactive (veille de sécurité, solutions réactives). Elle permet de suivre le niveau de sécurité interne et externe (reporting, tableaux de bords) et d’apporter des réponses efficaces aux nouvelles menaces (gestion de crises).
Ces différentes fonctions s’exercent sur l’ensemble des composants du Système d’Information : des postes de travail aux applications métiers en passant par les composants d’infrastructure et de sécurité. Ces fonctions interagissent très fortement entre elles. Analysons de plus près deux fonctions essentielles de la Gestion de la Sécurité : le contrôle de la sécurité et le pilotage de la sécurité.
Figure 3 : vue d’ensemble des fonctions de la Gestion de la Sécurité
contrôle de la sécurité
Les actions de contrôle de sécurité peuvent prendre différentes formes :
■ les actions d’autocontrôle, réalisées de manière autonome par les exploitants du Système d’Information permettent :
- d’adresser à moindre coût un large périmètre, en s’appuyant sur les processus locaux de contrôle
- d’impliquer et responsabiliser les acteurs opérationnels en charge de la maintenance du niveau de sécurité des composants de leur périmètre
- de tirer profit de l’expertise et de la connaissance des contraintes et des enjeux locaux
■ les analyses techniques indépendantes et ponctuelles permettent de réaliser des mesures ciblées selon des critères précis. Elles complètent ainsi les actions d’autocontrôle. On peut alors mesurer le niveau de déploiement d’un correctif avec un scanner de vulnérabilité
■ des contrôles complets peuvent également être conduits par la réalisation d’audits lorsque les enjeux le justifient. Ces contrôles permettent un état des lieux exhaustif des mesures techniques et organisationnelles d’une partie sensible du Système d’Information (application critique ou zone d’infrastructure sensible…)
■ des contrôles de conformité permettent de vérifier le respect des normes (comme l’ISO 27001), mais aussi les réglementations afin de se conformer aux dispositions légales
Les actions de contrôle constituent la pierre angulaire du dispositif de Gestion de Sécurité. Elles doivent être structurées, ce qui implique généralement la constitution et la déclinaison d’un plan de contrôle. Elles doivent aboutir à la définition et la mise en application de plans d’actions de mises en conformité afin de contribuer au maintien du niveau de sécurité dans le temps.
les contrôles réalisés dans le cadre de la Gestion de la Sécurité permettent un suivi opérationnel du niveau de sécurité du SI.
Ils peuvent être intégrés dans une démarche plus large de contrôle et d’audit : évaluation de la conformité à la Politique
de Sécurité, certification (ISO 27001)les résultats de ces contrôles constituent les données utiles à la consolidation d’indicateurs dans les tableaux de bord sécurité
14 15
pilotage de la sécurité
La fonction pilotage de la sécurité constitue un point de concentration de l’ensemble des événements de sécurité survenant sur le Système d’Information. Ces événements comprennent : ■ le recensement des menaces externes, grâce à une veille de sécurité active■ la détection des événements et incidents dans le cadre des actions de supervision■ la compilation des résultats des différentes actions de contrôle
Chaque événement remonté à la fonction de pilotage doit faire l’objet d’une évaluation, via une analyse de risques. Selon le rique encouru un niveau de priorité sera affecté au traitement de chaque événement. Une telle analyse nécessite une connaissance précise de la criticité et du niveau de vulnérabilité de chaque composant du Système d’Information.
Les actions à mener pour limiter les menaces ou pour traiter l’incident sont ensuite identifiées : ■ de manière proactive : mise à jour des logiciels antivirus, surveillance de l’activité
réseau, déploiement des correctifs ■ en cas d’incident : déconnexion des ressources critiques, fermeture des ports de
réseau, isolation des réseaux locaux
La fonction de pilotage assure le suivi de la réalisation de ces actions afin de maîtriser les risques.
La constitution d’une cellule de gestion de crise peut être décidée pour traiter les incidents les plus critiques. Elle s’appuie généralement sur les structures et les processus existants (déclenchement et pilotage de plan de reprise d’activité, mobilisation de la cellule de communication au sein de l’entreprise…).
La fonction de pilotage permet de capitaliser sur l’expérience acquise à chaque incident grâce à la définition et la mise en œuvre de différents plans d’actions : ■ organisationnel (mise à jour de processus d’exploitation, habilitations…)■ technique (reconfiguration de composants du Système d’Information…)■ humain (sensibilisation et formation des acteurs…)
le pilotage de la sécurité inscrit la Gestion de la Sécurité dans une boucle d’amélioration continue
Reporting et tableaux de bord sont au cœur de la boucle d’amélioration continue grâce aux indicateurs (fonctionnels, stratégiques, et opérationnels) qui alimentent le système de pilotage. Leur analyse permet de maîtriser les risques dans le temps, et en fonction des objectifs définis. Les tableaux de bord constituent ainsi l’instrument de mesure de la qualité du dispositif de Gestion de la Sécurité. Ils sont aussi des outils de sensibilisation et de communication puissants.La communication entre la fonction de pilotage de la sécurité et les acteurs qu’elle doit mobiliser est un élément essentiel pour garantir la réactivité et l’homogénéité des actions entreprises.
Figure 4 : boucle d’amélioration continue
16 17
modèle d’organisationConstruire la Gestion de la Sécurité d’une entreprise s’apparente à la réalisation d’un chantier d’organisation sur trois points essentiels :
■ la maîtrise des coûts induits par le système (matériels et logiciels au niveau technique, efforts humains au niveau organisationnel)
■ la prise en compte des risques qu’ils soient juridiques ou autres. Ainsi, toute mesure de la cybersurveillance doit être en conformité avec les lois sur le respect de l’intimité de la vie d’autrui (Article 226-1 du code Pénal)
■ la pertinence de la gestion de crises
Quelques mesures doivent être prises afin d’en assurer la réussite : ■ l’organisation cible doit couvrir l’ensemble des missions de la Gestion de la Sécurité
(Figure 3 : vue d’ensemble des fonctions de la Gestion de la Sécurité)
■ l’organisation cible doit offrir une vision d’ensemble du Système d’Information et de
son niveau de sécurité
■ les différents acteurs de la Gestion de la Sécurité doivent se connaître et agir de
manière coordonnée
■ le dispositif de Gestion de la Sécurité doit s’appuyer sur des moyens techniques
spécifiques et des compétences pointues. Le niveau d’expertise requis et la
complexité des outils impliquent généralement la mutualisation des ressources
Pour atteindre ces objectifs, il faut créer une cellule centrale assurant le pilotage de la Gestion de la Sécurité. On parle alors de Comité de Sécurité du Système d’Information. Il est piloté par un RSI.
Le Comité de Sécurité s’insère dans le réseau d’acteurs couvrant l’ensemble du périmètre de la Gestion de la Sécurité du Système d’Information et pilote l’ensemble de la sécurité. Il assure aussi l’animation et la coordination de ce réseau, en centralisant les initiatives et en mutualisant les ressources essentielles. Le Comité de Sécurité collabore avec la Direction de l’Audit pour le contrôle de la sécurité et avec les architectes du SI pour l’étude et l’implémentation des standards de sécurité. L’administration de la sécurité reste généralement placée sous la responsabilité des équipes de production ou d’exploitation.
Dans certaines entreprises l’organisation complexe ou l’existence de sites distants nécessitent la création de «Comités de Sécurité de proximité» travaillant en étroite relation avec le Comité Central. Ce dernier jouera un rôle essentiel d’animation et contribuera ainsi à définir et mettre en œuvre uniformément les paramètres et politiques de sécurité dans l’entreprise.
l’organisation de la Gestion de la Sécurité s’appuie sur une cellule centrale de pilotage adaptée à chaque contexte
18 19
comment construire la Gestion de la Sécurité ?
Figure 5 : démarche de construction de la Gestion de la Sécurité
démarche de mise en œuvre de la Gestion de la SécuritéLa définition d’un système de Gestion de la Sécurité suppose la mise en oeuvre de chantiers structurants suivant une démarche rigoureuse et prenant en compte : ■ les contraintes organisationnelles (découpage des fonctions par métier, par secteur
géographique ou par degré d’autonomie, gestion des habilitations…) ■ les contraintes techniques (architecture réseau, outillage existant…) ■ les contraintes légales (réglementations relatives à la cryptologie, respect de la vie
privée, droits de surveillance des utilisateurs…)■ les structures actuelles : processus, outils en place…
La démarche repose donc sur une forte implication des divers acteurs, de la Direction Générale au personnel de l’entreprise.La figure ci-dessous présente le cheminement nécessaire pour mettre en place la Gestion de la Sécurité.
20 21
élaboration d’un centre de pilotage La réussite d’une démarche de construction de la Gestion de la Sécurité repose sur la création d’un Comité de Sécurité. Certains facteurs contribuent à la réussite de cette création :
1. disposer d’un appui du management Son soutien légitime le rôle du Comité de Sécurité et contribue à la réelle satisfaction des objectifs de sécurité de l’entreprise. La valorisation de la Gestion de la Sécurité tant au niveau du SI que de la maîtrise des coûts ou du retour sur investissements favorise cet appui.
2. sélectionner avec soin les ressources humaines de la fonction de pilotageLes membres du Comité de Sécurité doivent allier compétences techniques et connaissance des activités et des enjeux métiers (experts en sécurité, administrateurs des systèmes d’information, responsables métier). Facultés d’écoute, de communication et de coordination leur sont indispensables lors de la résolution d’incidents et de la gestion de crises.
3. éviter «l’effet tunnel» de la phase de constructionLa constitution du Comité de Sécurité (définition des procédures, sélection des outils, sensibilisation des acteurs…) peut s’étaler sur plusieurs mois. Afin d’éviter «l’effet tunnel», le Comité de Sécurité doit être rapidement opérationnel, même si son champ d’intervention ne s’applique, dans un premier temps, qu’à un périmètre restreint. Sa montée en charge progressive lui permet d’être visible et de légitimer son existence par des premières actions concrètes.
4. assurer une montée en charge progressive du Comité de SécuritéL’extension progressive des activités du Comité de Sécurité peut s’effectuer selon deux axes : ■le périmètre des menaces couvertes : la menace virale est souvent traitée en
priorité car elle représente la majorité des incidents visibles. Un Comité de Sécurité nouvellement opérationnel peut jouer un rôle catalyseur dans les actions de déploiement des correctifs. Dans un second temps il étendra son périmètre à la détection d’intrusion, la mise en conformité…
■le périmètre adressé par le Comité de Sécurité : le champ d’action du Comité de Sécurité doit couvrir en priorité les composants les plus vulnérables, les plus critiques ou les plus exposés du SI. Le périmètre doit ensuite s’étendre progressivement à l’ensemble des composants du Système d’Information
5. initier rapidement le cycle continu de progrèsDes actions de contrôle et de suivi doivent être rapidement initiées par le Comité de Sécurité, et des indicateurs de qualité sur le fonctionnement des processus mis en place. Ces actions revêtent un double intérêt : ■renforcer la légitimité et la notoriété du Comité de Sécurité au travers de tableaux
de bord opérationnels formalisant les résultats concrets des actions entreprises■améliorer et optimiser le dispositif de la Gestion de la Sécurité
procédures et outils de Gestion de la SécuritéLe fonctionnement d’un Comité de Sécurité, et plus largement de celui de la Gestion de la Sécurité nécessite un outillage adapté. Chaque action réalisée par le Comité de Sécurité doit être formalisée dans un rapport et suivre des procédures spécifiques reconnues de tous les acteurs impliqués.
procédures et référentiels documentairesProcédures et documents nécessaires au fonctionnement du Comité de Sécurité sont présentés dans la figure ci-dessous :
Figure 6 : principaux documents utiles au fonctionnement d’un Comité de Sécurité
22 23
outils de Gestion de la SécuritéLe dispositif de Gestion de la Sécurité doit s’appuyer sur un outillage technique lui permettant de mener à bien ses missions.
Les entreprises disposent d’outils de protection, de surveillance et de gestion de leur infrastructure qui contribuent à maintenir le niveau global de la sécurité du Système d’Information : ■les outils d’inventaire et de gestion de parc■les outils de supervision des systèmes et des réseaux■les outils de traitement des demandes et des incidents
Cependant la Gestion de la Sécurité doit être complétée par des outils spécifiques, proches du cœur de métier de la Gestion de la Sécurité. Le Comité de Sécurité met en œuvre les outils ci-dessous pour améliorer l’efficacité de la Gestion de Sécurité :
les platesformes de gestion de la protection antivirale :Elles donnent une vision de l’ensemble du parc de gestion antivirus (niveau de signature, résultats des analyses planifiées…), garantissent la mise à jour rapide et complète de ce parc et permettent de traiter rapidement tout incident viral (identification des foyers, des canaux de propagation…)
les outils de déploiement des correctifs :Essentiels dans la lutte antivirale, ils permettent d’automatiser et de suivre le déploiement des mises à jour de sécurité des composants vulnérables du SI. Ils réduisent ainsi la charge d’exploitation induite. Qualifier et valider les mises à jour avant tout déploiement massif s’avère une opération d’autant plus complexe que l’environnement technique est hétérogène.
les outils de contrôle de configuration et de vulnérabilité : Ils permettent de contrôler le niveau de sécurité des composants du SI (détection des écarts par rapport à la politique et aux référentiels de sécurité) et de suivre la mise en œuvre des actions correctives requises par le Comité de Sécurité.
les outils de configuration et de supervision de l’infrastructure de sécurité : Il s’agit le plus souvent de consoles d’administration propriétaires utilisées pour chaque brique d’infrastructure de sécurité.
les outils de configuration et de corrélation des journaux (SIM – Security Information Management) :Leur objectif principal réside dans le contrôle en temps réel du niveau de sécurité des composants du SI. Ces outils proposent les fonctions suivantes : ■centralisation des journaux de sécurité issus de différents composants comme
les firewalls, sondes de détection/prévention d’intrusion, antivirus, routeurs, serveurs, postes de travail
■corrélation des journaux afin de fournir une vision unitaire d’un événement de sécurité : chaque trace est interprétée et mise en relation avec les alertes issues des autres composants
■conservation de traces, tant pour leur valeur légale de preuve que pour leur conformité aux réglementations
La valeur ajoutée apportée par ces outils en termes de Gestion de la Sécurité se tra-duit directement par une réduction du nombre des alertes et une optimisation de leur traitement et diagnostic.
les platesformes centrales de Gestion de la Sécurité (ESM – Entreprise Security Management) Les platesformes centrales de Gestion de la Sécurité doivent centraliser dans un même outil l’ensemble des fonctions unitaires de sécurité présentées dans les chapitres précédents. Ces platesformes complètes de Gestion de la Sécurité agissent tant au niveau des actions proactives que lors de la gestion des incidents : ■reconnaissance du périmètre : inventaire des composants, définition de la
configuration type, gestion de parc...■détection des vulnérabilités■correction des vulnérabilités : modification de configuration, déploiement
des correctifs■vérification de la bonne application des actions correctrices■reportingCette plateforme fournit ainsi une vision d’ensemble sur les actions et les événements intervenant sur le Système d’Information.
24 25
infogérance en sécuritéDevant le besoin croissant d’outillage et de ressources nécessaires pour gérer la sécurité du Système d’Information, de nouveaux acteurs sont apparus depuis quelques années. Ce sont les fournisseurs de services d’infogérance en sécurité (MSSP – Managed Security Service Providers).
L’intérêt des entreprises pour l’infogérance en sécurité s’explique par le double avantage proposé : maîtrise des coûts relatifs aux effectifs internes et possibilité de bénéficier d’expertises mutualisées (ex : veille de sécurité, supervision 24h/24 et 7j/7). Les MSSP proposent donc des services de Gestion de la Sécurité, qui peuvent compléter ou se substituer aux outils et ressources internes. Toutefois ils doivent appliquer la Politique de Sécurité préalablement établie et déployée par l’entreprise.
L’opportunité d’externaliser une partie de la fonction de Gestion de la Sécurité peut être étudiée dès la phase d’organisation et de dimensionnement du Comité de Sécurité. Le marché des MSSP est très fragmenté et composé d’acteurs divers, allant des opérateurs aux intégrateurs, en passant par les éditeurs, les SSII, les sociétés de conseil et les sociétés spécialisées dans ce type de services.Les services proposés par les MSSP sont variés, tant en termes de couverture fonctionnelle que de périmètre technique : ■la couverture fonctionnelle permet d’externaliser totalement ou partiellement
différentes fonctions : veille sécurité, contrôle de certains niveaux de sécurité (audit, certification), surveillance de configuration des composants du SI
■le périmètre technique des produits et de la technologie tend à s’accroître, les principales solutions du marché peuvent être prises en compte nativement par la plupart des offres MSSP
Cependant l’externalisation de la fonction de sécurité à un MSSP est un processus structurant qui nécessite une réelle vigilance. Voici quelques principes directeurs pour réussir une telle opération :
bien choisir son prestataire La sélection d’un infogérant en sécurité est une étape très importante. Elle nécessite une expression claire des besoins et un processus d’évaluation rigoureux car le Système d’Information s’expose alors aux risques liés à ce mode d’exploitation. Il est crucial de bien déterminer le périmètre, les engagements, les coûts, les évolutivités des services…
être prudent, externaliser par étapes L’externalisation massive de l’ensemble des fonctions de sécurité sur un large périmètre peut s’avérer dangereuse car incontrôlable. C’est pourquoi il convient de tester les services du MSSP sur un périmètre restreint, parfois en redondance avec un service interne, avant d’étendre progressivement leur périmètre.
ne pas trop écarter les offres standardsPréférer un service sur mesure proposé par un infogérant en sécurité, comporte des risques d’insatisfaction qui peuvent se traduire tant en termes de coût que de qualité du service offert (temps de réponse insatisfaisant, diagnostics erronés…). Une offre standard éprouvée vaut souvent mieux qu’un service sur mesure expérimental.
soigner le contrat de service avec l’infogérantLe contrat entre l’entreprise et l’infogérant en sécurité constitue un levier dans le pilotage de la production du service. Les frontières des responsabilités organisationnelles et techniques doivent y être clairement établies et les niveaux de services attendus formalisés avec précision. Le contrat permet aussi à l’entreprise de se protéger contre les atteintes à la confidentialité, éléments sensibles lorsqu’on parle d’externalisation de services de sécurité. L’entreprise peut faire procéder à un audit pour vérifier que le niveau de sécurité assuré par l’infogérant est conforme aux exigences contractuelles. conserver un organe de décision et de coordination interneQuel que soit le périmètre technique et fonctionnel confié à un infogérant en sécurité, ce dernier ne dispose que d’une connaissance partielle de l’organisation interne et des enjeux métiers. Il n’a donc pas la capacité de prendre des décisions et de coordonner les acteurs internes de l’entreprise. La réussite de l’externalisation de la Gestion de Sécurité exige des réunions de suivi et des mises à jour de procédures. Seul un acteur interne à l’entreprise, point d’entrée privilégié de l’infogérant en sécurité, peut jouer ce rôle et relayer les préconisations et alertes internes. Le Comité de Sécurité interne chargé de piloter la sécurité, est idéalement bien placé pour accomplir ce rôle.Une collaboration étroite entre l’infogérant en sécurité, le Comité de Sécurité et les acteurs internes doit s’installer, afin d’assurer une réaction rapide et coordonnée en cas d’incident. L’infogérant en sécurité fera donc partie intégrante du réseau d’acteurs de la Gestion de la Sécurité.
l’externalisation de la sécurité n’est pas une solution alternative mais une nouvelle attribution dévolue au Comité de Sécurité
26 27
organisationde la Gestion de Sécurité du Système d’Information au sein du groupe France Télécom
La sécurité du Système d’Information est un enjeu majeur pour le Groupe France Télécom : protection du patrimoine informationnel, maîtrise des technologies avancées, confiance de nos clients… C’est pourquoi l’organisation de la Gestion de la Sécurité du SI s’imbrique totalement dans la Politique de Sécurité du Système d’Information, qui elle-même découle de la Politique de Sécurité du Groupe.
Les entités responsables des Réseaux et du Système d’Information définissent l’urbanisme et l’infrastructure du SI et des réseaux. Cette définition fait l’objet d’un processus de validation spécifique.Les entités doivent s’assurer sur leurs domaines respectifs :■que les moyens déployés sont cohérents avec les objectifs sécurité du groupe■que l’organisation de la sécurité du SI couvre l’ensemble des paramètres qu’ils
soient humains, matériels, logiciels ou informationnels■que les processus de formation intègrent les notions de sécurité et que l’ensemble
du personnel est sensibilisé à la sécurité ■qu’elles sont dotées d’une veille sécurité. Celle-ci devra permettre la mise en œuvre
de plans d’actions destinés à maintenir, à améliorer et à faire évoluer la sécurité du Réseau et du Système d’Information, en intégrant les évolutions réglementaires et comportementales. En cela elles doivent se conformer aux exigences des entités de contrôle et d’audit
Les entités responsables des Réseaux et du Système d’Information assurent aussi : ■le pilotage et le contrôle de la sécurité du Réseau et du Système d’Information afin
de fournir les informations en temps réel comme en temps différé. A cette fin elles sont dotées d’une cartographie des ressources, de tableaux de bord et d’outils techniques qui permettent de contrôler l’application des règles et d’évaluer la gravité des événements. L’outillage utilisé doit évoluer en fonction de l’état de l’art
■la remontée des informations nécessaires à l’évolution de la Politique de Sécurité et à son respect
■la traçabilité des décisions majeures concernant la sécurité■le reporting stratégique de la sécurité du Réseau et du Système d’Information
auprès de la Direction du Groupe France Télécom
28 29
La sécurité de tous les médias supportant des informations est étudiée pour être maî-trisée. L’accès de tous les collaborateurs aux ressources fait l’objet d’une habilitation.Les entités du Groupe définissent leurs besoins de sécurité grâce à une analyse de risques. Chaque entité est responsable de l’efficacité des mesures mises en œuvre sur son périmètre. Une délégation de service peut être faite entre entités au moyen d’un contrat interne.Toute externalisation d’une partie du Système d’Information fait l’objet d’un contrat intégrant les impératifs en matière de sécurité.Tout accès au Système d’Information ou toute connexion aux réseaux du Groupe fait l’objet d’une analyse de risque préalable pour déterminer les exigences de sécurité, les mesures à mettre en œuvre et les contrôles requis.
L’architecture des Réseaux et du Système d’Information, prend en compte les éléments susceptibles d’interrompre le service. Des mécanismes de protection sont mis en œuvre pour garantir la disponibilité. La continuité d’activité est étudiée pour chaque service.Une supervision des actifs est instaurée afin de garantir la qualité du service. Un processus d’amélioration continue est mis en œuvre afin de capitaliser sur les incidents et leur gestion.
30 31
conclusion
La Gestion de la Sécurité permet d’instaurer une sécurité durable et alignée sur les objectifs métiers d’une entreprise. Elle contribue ainsi à garantir la pérennité des entreprises. En outre, elle représente un véritable indicateur de la qualité de la gouvernance des Systèmes d’Information, un baromètre du bon fonctionnement de l’entreprise.
De plus en plus d’entreprises adoptent une démarche structurée pour organiser la Gestion de Sécurité faisant appel aux divers acteurs (décideurs, personnels métiers, experts en sécurité des systèmes d’information…). La Gestion de Sécurité étant un processus d’amélioration continue, l’entreprise doit ainsi disposer d’une entité spécifique, nommée Comité de Sécurité, qui pilote ce processus, anime, coordonne et contrôle les actions de sécurité dans une démarche transverse et cohérente.
La mise en place de la Gestion de la Sécurité peut se baser sur des référentiels recon-nus comme la norme ISO 27001. L’application des bonnes pratiques définies dans cette norme (on parlera de démarche de conformité) leur permet ainsi : ■de maîtriser les coûts liés à la sécurité de l’information grâce à l’identification des
mesures inefficaces, à la rationalisation des processus existants et leur alignement sur les objectifs métiers
■de faciliter les démarches liées à la sécurité de l’information (comme la mise en conformité avec le Sarbane Oxley Act)
L’entreprise pourra alors s’engager dans une démarche de certification en regard de cette norme afin de :■répondre aux exigences clients■renforcer l’image de marque de la société dans le domaine de la sécurité
32 33
bibliographie
■Best Practices for Building a Security Operations Center - White Paper - April 2005.
■Démarche de Conception d’un Tableau de Bord Qualité Appliqué à la Sécurité - CLUSIF - Commission Méthodes – Juin 1997
■Fiche 2 –Connaître la législation en vigueur et la jurisprudence - Guide SSI - MEDEF (Mouvement des Entreprises de France) – Mai 2005
■Fiche 10 - Externaliser la mise en œuvre et la maintenance des politiques de sécurité - Guide SSI - MEDEF (Mouvement des Entreprises de France) - Mai 2005
■ISO 2700x : une famille de normes pour la gouvernance sécurité - MISC n° 30.
■Livre ouvert sur la sécurité - ETNA (European Telecom & Networks Association) - 2004 (http://www.etnafrance.org/ressources/securiteip/booklet-etna.pdf.).
■Organiser la supervision de la sécurité informatique - MISC n° 22.
■Plan de Continuité d’Activité - Stratégie et solutions de secours du SI - CLUSIF - Commission Techniques de Sécurité Logique - Septembre 2003
■Politique de Sécurité Groupe - France Télécom - Secrétariat Général - Direction de la Sécurité de l’information - Mars 2004.
■Reporting et procédure de réaction - MISC n° 22.
■Sécurité de l’information : élaboration et gestion de la politique de l’entreprise suivant l’ISO 17799 / D.Linlaud. - Paris, FR : Afnor, 2003.
■Sécurité des réseaux et systèmes répartis / sous la direction de Y.Deswarte et L.Mé. - Paris, FR : Hermès, Lavoisier, 2002.
34 35
notes
Fran
ce T
éléc
om -
6 p
lace
d’A
llera
y 75
505
Par
is C
edex
15
- S
A a
u ca
pita
l de
10 4
26 6
92 5
20 e
uros
- 3
80 1
29 8
66 R
CS
Par
is -
doc
umen
t no
n co
ntra
ctue
l - C
ode
EA
N 3
6996
9000
5195
- n
ovem
bre
200
7
