1

Sécurité des systèmes d’information

Présenté par : M Khalid Safir

Ministère des finances(Maroc)

21 Juin 2006

2

Plan

Enjeux de la sécurité

Gouvernance SI et problématique du « Risk Management »

Référentiels et Méthodologies

Sécurité du SI à la TGR

3

Les enjeux de la sécurité de l’information

4

Les enjeux de la sécurité de l’information

« Les  systèmes  d’information  font  désormais  partie  intégrante  du fonctionnement des administrations publiques, de l’activité des entreprises, et du mode de vie des citoyens. Les services qu’ils assurent nous sont tout aussi indispensables que l’approvisionnement en eau ou en électricité.

Pour  l’Etat  il  s’agit  d’un  enjeu  de  souveraineté  nationale.  Il  a  en  effet  la responsabilité  de  garantir  la  sécurité  de  ses  propres  systèmes d’information,  la  continuité  de  fonctionnement  des  institutions  et  des infrastructures  vitales  pour  les  activités  socioéconomiques  du  pays  et  la protection des entreprises et des citoyens.

De  leur  côté,  les  entreprises  doivent  protéger  de  la  concurrence  et  de  la malveillance  leur  système  d’information  qui  irrigue  l’ensemble  de  leur patrimoine (propriété  intellectuelle et savoir faire) et porte  leur stratégie de développement. »

5

Les enjeux de la sécurité de l’information

Limiter les Risques

Conformité

Créer la valeur

Productivité

6

•L’évolution des menaces est liée à la transformation des systèmes d’information (et des réglementations).

•Elle concerne essentiellement la malveillance (menaces d’origine humaine et intentionnelle).

•Quatre profils sont généralement définis :

… et les menaces évoluent

Les enjeux de la sécurité de l’information

Ludique (sans profit)

Cupide (pouvoir, argent)

Terroriste (idéologique)

Stratégique (économique, politique)

Les menaces existent …

Humaine

Intentionnelle Non intentionnelle

Externe Interne

• Personnel insuffisamment qualifié • Erreur humaine

• Piratage•Sabotage• Vol

Matérielle

• Panne matériel• Coupure électrique• Incendie • Dysfonctionnement matériel ou logiciel

Naturelle

• Activité géologique• Conditions météorologiques

7

1990 2003

email propagation of malicious code

widespread attacks using NNTP to distribute attack

widespread attacks on DNS infrastructure

executable code attacks (against browsers)

automated widespread attacks

GUI intruder tools

hijacking sessions

Internet social engineering attacks

packet spoofing

automated probes/scans

widespread denial-of-service

attackstechniques to analyze code for vulnerabilitieswithout source code

DDoS attacks

increase in worms

sophisticated command & control

anti-forensic techniques

home users targeted

distributed attack tools

increase in wide-scale Trojan horse distribution

Windows-based remote controllable

Trojans (Back Orifice)

Intruder Knowledge

Att

ack

So

ph

isti

cati

on

“stealth”/advanced scanning techniques

Source: CERT Carnegie Mellon University

Les enjeux de la sécurité de l’information

• Sophistication des attaques et compétences des attaquants depuis 20 ans

8

Gouvernance SI et problématique du  « Risk Management »

9

Gouvernance SI et problématique du  « Risk Management »

A la lumière de l’évolution, aux cours de ces dernières années, de l’environnement économique dans lequel évolue les entreprises, la gouvernance d’entreprise est devenue un équilibre entre performance et conformité.

Dès lors, la gouvernance de la sécurité de l’information, dans le sillage de la gouvernance des système d’information, soutient à la fois la gouvernance institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance d’activité en créant de la valeur et améliorant la performance.

De la gouvernance d’entreprise à la gouvernance de la sécurité de l’information:

10

La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la simple «fonction de spécialistes».

Il ne s’agit plus seulement de s’équiper de solutions de sécurité, mais de développer une véritable stratégie de sécurité à même :

de supporter les enjeux métiers de l’entreprise, qui se traduisent principalement par l’ouverture de son système d’information à l’ensemble de ses partenaires et par les nouveaux modes de communication (mobilité),

de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité financière, protection des données personnelles …),

de prendre en compte l’évolution de la complexité des menaces associée à l’évolution des technologies supportant son système d’information,

et bien sûr de protéger son patrimoine informationnel et son infrastructure technique, au meilleur coût et en respectant la culture de l’entreprise.

La gouvernance de la sécurité de l’information devient un processus de management fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques.

Gouvernance SI et problématique du  « Risk Management »

11

La gestion des risques doit permettre d’identifier les événements de sécurité susceptibles de porter atteinte aux objectifs métiers de l’entreprise.

• La gouvernance de la sécurité de l’information devient un processus de management fondé sur la gestion des risques

Gouvernance SI et problématique du  « Risk Management »

12

De la gouvernance aux opérations … de la responsabilité stratégique à la responsabilité opérationnelle

GouvernanceGouvernance

Architecture et standardsArchitecture et standards

Politiques et DirectivesPolitiques et Directives

Sen

sibilisatio

nS

ensib

ilisation

Surveillance et conformitéSurveillance et conformité

Définition et implémentation des

systèmes

Définition et implémentation des

systèmes

Définition et implémentation des

technologies

Définition et implémentation des

technologiesOpérationsOpérations

Gestion du risques

Gestion du risques

Périmètre OpérationnelPérimètre OpérationnelPérimètre StratégiquePérimètre Stratégique

Gouvernance SI et problématique du  « Risk Management »

13

Contrôler et Superviser

Améliorer

Etablir le cadre général et Identifier

les risques

Modéliser et Implémenter

Check

Act

Plan Pilotage et Organisation Analyse de risques Etudes

Audit et contrôle Veille

Etudes Définition de

standards techniques

Mise en œuvre opérationnelle

Sensibilisation

Mise en œuvre opérationnelle

• Les fondations du cadre de gestion de la sécurité

Gouvernance SI et problématique du  « Risk Management »

Do

14

Référentiels et méthodologies

Référentiels

La norme ISO La norme ISO 17799:200517799:2005

La norme ISO 27001

ITIL

COBIT

Méthodes analyse des risques

EBIOSEBIOS

MARION

MEHARI,

OCTAVE/USA

ISO 13335

15

Référentiels COBIT

IT P

roc

es

se

sIT

Pro

ce

ss

es

Business RequirementsBusiness Requirements

Pe

op

leP

eo

ple

Ap

pli

ca

tio

ns

Ap

pli

ca

tio

ns

Infr

as

tru

ctu

reIn

fra

str

uc

ture

Info

rma

tio

nIn

form

ati

on

DOMAINS

PROCESSES

ACTIVITIES

IT P

roc

es

se

sIT

Pro

ce

ss

es

Business RequirementsBusiness Requirements

Pe

op

leP

eo

ple

Ap

pli

ca

tio

ns

Ap

pli

ca

tio

ns

Infr

as

tru

ctu

reIn

fra

str

uc

ture

Info

rma

tio

nIn

form

ati

on

DOMAINS

PROCESSES

ACTIVITIES

En synthèse: COBIT sera utilisé dans le cadre de l’amélioration globale des processus IT (métrique)

COBIT et ISO 17799 peuvent être utilisés dans le cadre d’un audit afin de déterminer les vulnérabilités et le niveau de sécurité.

ITIL peut être utilisé pour améliorer les processus opérationnels IT ainsi que l’ISO 17799 / ISO 27001 dans une certaine mesure pour les processus « sécurité » et la sélection de contrôles.

16

Référentiels

• ISO 17799:2005

17

Référentiels ITIL: Information Technology Infrastructure

Library

ProtectionProtectionAuthenticationAuthentication

AccessAccessProvisioningProvisioningComplianceCompliance

Thèmes liés à la sécurité en fonction des processus ITIL :

Incident Management,

Service Desk,

Problem Management,

Configuration Management,

Change Management,

Continuity Management

Continuity Management, SLA Management, Change Management, Release Management

Configuration Management, SLA Management, Change Management,

Service Desk, Release Management, Financial Mgmt

Service Desk, SLA Management, Financial Management

SLA Management, Service Desk, Availability Management, Financial Management

18

Méthodologies de réduction des risques

Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs informationnels sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.

19

Référentiels et méthodologies

EBIOS: EBIOS: Méthodologie d’identification des menaces et des vulnérabilités, analyse de risques, spécification des exigences de la sécurité

MARION: MEHARI: MEthode harmonisée d’Analyse des Risques

OCTAVE/USA :

ISO 13335 :

20

Référentiel Sécurité du Ministère des Finances (CSSI : Cadre Stratégique des Systèmes d’Information)

Audit DRPP en l’an 2000 (plan de continuité)

Audit dans le cadre du SDSIC

Projet audit sécurité globale TGR « SI, Biens et Personnes »

Sécurité SI à la TGR

21

Menaces

L’indisponibilité des services offerts par la TGR

• Le paiement des commandes de l’Etat et des collectivités locales ;• La paie du personnel de l’Etat ;• Le recouvrement des impôts• La gestion des comptes de dépôt au Trésor• Dette extérieure et intérieure

….disponibilité de l’information

Porter atteinte à l’intégrité des informations de la TGR

L’intégrité des données gérées par la TGR :- Virements entre comptables- Centralisation comptables

L’intégrité des échanges avec les partenaires : • Ministère des finances ( DB, DGI, ADII, DTFE..);• Ordonnateurs  et sous ordonnateurs ( Ministères, collectivités locales)• Institutionnels (Banque centrale,Poste du Maroc,CDG…)• Banques et établissements de crédit.

Divulgation des informations confidentielles.

Divulgation des données confidentielles :•Rémunération du personnel de l’Etat;•Impôts des redevables;•Les dépôts de la clientèle.

Divulgation d’informations sensibles :•Budget de certains départements ; ADN..

Incapacité de réunir les éléments probants etde disposer des preuves.

Audit et inspectionContrôle interne…..

…Traçabilité de l’information

….intégrité de l’information.

...Confidentialité de l’information

Sécurité SI à la TGRPourquoi sécuriser le SI?

22

Norme: BS 7799

Recommandations:

1. Politique de sécurité

2. Sécurité de l’organisation Comité de pilotage : Responsable de la Sécurité du Système d’Information (RSSI) : Correspondants sécurité :

3. Classification et contrôle des actifs

4. Sécurité du personnel

5. Sécurité physique et sécurité de l’environnement

6. Protection du réseau

7. Contrôle des accès

8. Développement et maintenance des applications

9. Gestion de la continuité des activités

10. Conformité

Sécurité SI à la TGRCSI

23

l'information est une part essentielle du patrimoine TGR

auquel on a besoin de

répondre par des mesures

de prévention et réaction

elle est exposée à des menaces naturelles et

humaines

l'association de ces éléments constitue le

risque

elle est supportée par un système qui présente des vulnérabilités

sa valeur, est plus au moins sensible

L ’association sensibilité/ risque peut provoquer

sinistre ayant un impact +/- fort

Sécurité SI à la TGR

24

La rosace de sécurité:

Sécurité SI à la TGRAudit dans le cadre du SDSIC

0

0,5

1

1,5

2

2,5

3

3,5 L'organisation générale

Les contrôles permanents La réglementation

Les facteurs socio-économiques

L'environnement de base

Les contrôles d'accès

La pollution

Les consignes de sécurité

La sécurité incendie

La sécurité dégâts des eaux

La fiabilité de fonctionnement des matériels informatiques

Les systèmes et procédures de secours

Cohérence des systèmes Formation du personnel Les plans informatique et de sécurité

La sécurité offerte par le matériel et le logiciel de base

La sécurité des télécommunications

La protection des données

L'archivage / désarchivage

Le transfert classique des données

La sauvegarde

La sûreté de l'exploitation

La maintenance

Les procédures de réception

Sécurité des développements applicatifs

Les contrôles programmés

La sécurité des progiciels

25

Recommandations :

A très court terme Nommer un responsable de la sécurité du système d’information de la Trésorerie

Générale Sensibiliser l’ensemble du management de la Trésorerie Générale à la sécurité.

A court terme Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les

propriétaires de toutes les applications. Définir les critères de classification des informations.Former les propriétaires

d’applications à leurs missions. Formaliser les procédures opérationnelles d’intégration et de contrôle des

spécifications de sécurité dans les applications des projets schéma directeur. Lancer l’étude de la vitalité des applications de la Trésorerie Générale.Définir un plan

glissant sur 2 ans pour la mise en œuvre des recommandations.

Sécurité SI à la TGRAudit dans le cadre du SDSIC

26

Phase 1 : Audit de sécuritéPhase 1 : Audit de sécurité

Phase 4Assistance à Maîtrise d’Ouvrage

Phase 4Assistance à Maîtrise d’Ouvrage

Phase 2 Organisation de la sécurité

Phase 2 Organisation de la sécurité

Phase 3Politique de

sécurité

Phase 3Politique de

sécurité

Avril Mai Juin Juillet Août Septembre …

Prise de connaissance

Prise de connaissance Audit SIAudit SI

Audit BiensAudit Biens

Audit Personnes

Audit Personnes Recommandations

et plan d’actionRecommandations

et plan d’action

Sécurité SI à la TGRProjet audit sécurité globale de la TGR:

27

Référentiel: BS7799

Méthode d’analyse des risques: Ebios

Sécurité SI à la TGR Projet audit sécurité globale de la TGR:

28

Merci pour Votre attention