Transcript SMSI

5à7 MFQ
Cartographier,
protéger
et contrôler la valeur
de l’information
Le 3 juin 2013
Présentation co-animée par Stéphanie Buscayret (Latecoere) et Michel
Tudela (Cabinet StraTime)
•
Qualité et sécurité, même combat ?
•
Démystification des concepts clés
•
Contenu de la boite à outils (démarche, normes, méthodes, etc.)
•
Quels sont les acteurs transverses à fédérer pour protéger l’information ?
•
Le rôle clé de l’audit interne/externe
•
Et au quotidien … accompagner, accompagner, accompagner !
Ordre du jour du 5à7
•
160 disparitions par jour de matériel informatique en France
•
+ de 80% du trafic e-mail mondial est du spam
•
1/4 des entreprises françaises ont mis en place une politique de sécurité
•
Causes d'incidents de sécurité dans les entreprises:
 manque de robustesse IT : 69%
 failles de management : 63%
 confidentialité mal assurée : 60%
 qualité des données mal assurée : 49%
(sources : sources : Gartner, Radicati Group, APWG, Canalys, Clusif, PricewaterhouseCoopers)
Quelques chiffres …
•
Management de la qualité
Passif : Produits et/ou des
services sans processus qualité,
plaintes et pertes de clients,
mesures correctives au coup par
coup et coûteuses
 Proactif : Démarche de
management de la qualité pour
écouter et répondre aux
exigences des clients

•
Management de la sécurité de
l'information
Passif : Ne rien faire (anti-virus
par ci et firewall par là), croiser
les doigts et espérer qu'il n'y aura
pas de problèmes impactant les
activités
 Proactif : Démarche de
management de la sécurité de
l'information pour assurer le bon
niveau de sécurité sur les actifs,
et efficacement

Qualité et sécurité, même combat ?
•
Actifs = Tout ce qui a de la
valeur pour l'entreprise
(informations, données,
logiciels, etc.)
•
Menace = Cause
potentielle d'un incident de
sécurité pouvant entraîner
des dommages à un actif
•
Vulnérabilité = Faiblesse
d'un actif pouvant être
exploitée par une menace
•
Risque = Possibilité qu'une
menace exploite la
vulnérabilité d'un actif
•
SMSI = Système de
management de la sécurité
des systèmes
d’informations
Menaces
SMSI
Vulnérabilités
Actifs
Les concepts clés
•
Série IS0 27XXX
 ISO 27000 = Fondements et vocabulaire SMSI (2008)
 ISO 27002 = ISO17799 à partir de 2007
 ISO 27003 = Guide pour la mise en place d’un SMSI (2008)
 ISO 27004 = Mesures et métriques pour le MSI (2007)
 ISO 27005 = Gestion du risque de la sécurité de l’information (2007)
Contenu de la boite à outils : normes (1/5)
•
EBIOS = Expression des Besoins et Identification des Objectifs de
Sécurité
•
Principes de base
 Identification des actifs (fonctions, informations) reposant sur des entités
(matériels, logiciels, réseaux, personnels, sites, organisations)
 Les actifs ont des besoins de sécurité (disponibilité, confidentialité,
intégrité, éventuellement, non-répudiation, traçabilité,…) plus ou moins
forts (conséquences si le besoin n’est pas satisfait)
 Les entités ont des vulnérabilités et sont soumis à des menaces pouvant
avoir des impacts sur les actifs (risques)
 Identification des objectifs permettant de contrer ces risques et traduction
de ces objectifs en mesures de sécurité (exigences de sécurité)
Contenu de la boite à outils : EBIOS (2/5)
•
Planifier
 Définir les objectifs, la stratégie, la politique globale de sécurité
 Identifier les actifs d'informations
 Analyser les risques
•
Implémenter
 Mettre en œuvre les mesures de protection
 Assurer la sensibilisation et la formation des personnels
Contenu de la boite à outils : démarche (3/5)
Roue
de Deming
•
Contrôler
 Vérifier régulièrement la conformité des mesures de protection
 Revoir régulièrement les niveaux de risques résiduels et acceptés en
fonction des évolutions (activités, systèmes et technologies, nouvelles
menaces, etc.)
 Mettre en œuvre des procédures de gestion du changement et un schéma
de gestion des incidents de sécurité
•
Réagir
 Assurer l'administration et la maintenance (préventive / corrective) des
mesures de protection mises en œuvre
 Identifier et implémenter les évolutions requises sur le SMSI
Contenu de la boite à outils : démarche (4/5)
Roue
de Deming
Périmètre
Nom de
l’actif
Type d’actif
Responsable
de l’actif
Classification
de l’actif
Impact (1)
Fréquence
Gravité
Commercial
BDD clients
Actif
Informationnel
Resp.
Commercial
Confidentiel
3
1
3
Atelier 1
Logiciel
GPAO
Actif logiciel
Resp.
Production
Entreprise
4
2
4
Atelier 2
Serveur 1
Actif physique
Resp.
Production
Entreprise
3
1
3
Maintenance
Autocom
Actif de service
Resp.
Maintenance
Entreprise
4
2
4
(1) Impact « DICA »: disponibilité, intégrité, confidentialité et auditabilité
Contenu de la boite à outils : méthode (5/5)
La sécurité de l’information n’est pas (uniquement) l’affaire de la DSI:
Sine
Qua
None
 Evidemment, les collaborateurs de l’entreprise sont les
sécurité de leur information!


A
minima
1ers acteurs de la


Parce que la sécurité repose sur les comportements des salariés, la Direction des Ressources
Humaines est un partenaire naturel,
Parce qu’elle engage contractuellement des Tiers, la Direction des Affaires Juridiques est
forcément impliquée ,
Parce que les prestataires et partenaires sont acteurs de la sécurité de l’information de
l’entreprise, la Direction des Achats est concernée,
Parce que l’information doit aussi être protégée contre les risques « physiques », la Direction
des Services Généraux est un partenaire quotidien.
Acteurs transverses à fédérer pour protéger
l’information
Sécurité
information
•
L’audit interne permet de :
 Confronter formellement les processus aux exigences de la norme.
 Vérifier l’intégration des processus métiers (méthodologie associée dans la conduite
de projets, se poser les bonnes questions à chaque affaire, etc.).
 Conserver un historique formalisé de la prise en compte de la sécurité sur les
affaires/projets.
•
L’audit externe atteste :
 Du caractère indépendant de vos contrôles internes, des risques d’exploitation, de la
maîtrise des processus opérationnels, des exigences de continuité des activités.
 Souligner les points d’amélioration à envisager.
 Prouver aux clients que la sécurité de leurs informations est fondamentale.
 Attester de l'engagement de l'équipe dirigeante quant à la sécurité des informations.
Le rôle clé de l’audit interne/externe



Parce que nul n’est sensé
ignorer la loi (et les sanctions
encourues en cas de violation)
Communiquer sur les droits et
Parce que les risques ne sont
pas connus de tous…
Illustrer les situations à risques
Parce que l’adhésion de chacun
est indispensable à la sécurité
de tous
Positionner chaque acteur dans
devoirs issus de la Charte
informatique de l’entreprise
selon le contexte du métier
la chaîne de protection de
l’information
Et au quotidien … accompagner, accompagner,
accompagner !!
les “Y” sont parmi
nous …
Indépendant
+ Instantané
+ Mobile
+ Impatient
•
70% des jeunes employés admettent ne
pas respecter les politiques de sécurité
informatique (étude Cisco 2012)
•
Férus de BYOD (Bring Your OwnDevice)
•
Des utilisateurs avertis … impression de
maîtriser le SI …
Des utilisateurs qui ne respectent pas les règles s’ils ne les comprennent
pas
• La soif de connaissance des Y est une opportunité pour communiquer
encore et encore
Les utilisateurs 2.0 passent facilement d’un sujet à l’autre
• Faire simple et original (tweet, réseaux sociaux, serious games, etc.)
Des utilisateurs connectés
• Innover en évoluant sur leur terrain (apprendre en s’amusant pour les
toucher directement et de les intéresser à la sécurité)
Quelle tactique ?
Exemples
d’indicateurs
de sécurité de
l’information
Maîtrise du risque lié à
l’hébergement de l’information
Activité / Activity: Gestion des salles informatiques/ IT rooms’ management
KPI: Evaluation des risques liés à la localisation des ressources serveurs / Assessment of servers’ location risk level
Bilan du programme d’audit des environnements IT physiques
Résultats des audits des sites société
4
4
3
2
2
2
1
2
1
Conforme sans réserve
2
Conforme avec réserve
Soumis à correction d'anomalie
3
0
Non conforme
Résultats des audits de sites gérés par un Tiers
Personnel auditeur
Salles auditées
Audit planifiés
Environnements non audités
Conforme sans réserve
1
Conforme avec réserve
2
3
3
Soumis à correction d'anomalie
Non conforme
Formé
A former
Métriques fictives données à titre d’illustration
Example based on fictive data
Activité / Activity: Risques liés au SI, maîtrise des risques physiques et environnementaux
Objectif /Objective : Evaluer l’efficacité et la complétude des dispositifs de protection
KPI : Maîtrise du risque physique et environnemental par site géographique
Mesure d’exposition aux risques physiques et environnementaux
Exposure level to physical and environmental risks
Nombre de salles intégrées dans le périmètre:
Nombre total de salles sur le site:
Typologie des locaux exclus du périmètre : local brassage télécom non sécurisé
5
1
coeff
Périmètre des métriques: XX salles informatiques, site de [nom du site]
DETECTION INCENDIE
Indice Mars
base 100
66,50
Nb Salles
conformes
mars 2013
Métrique
mars 2013
Indice Avril
base 100
0,00
Nb Salles
conformes
avril 2013
Métrique
avril 2013
Indice Mai
base 100
0,00
Nb Salles
conformes
mai 2013
Métrique
mai 2013
70,00
0,00
0,00
70,00
0,00
0,00
20,00
0,00
0,00
70,00
0,00
0,00
69,00
0,00
0,00
100,00
0,00
0,00
Nb Salles
conformes
juin 2013
EXTINCTION INCENDIE
DETECTION DEGAT DES EAUX/ CONTRÔLE HYGROMETRIQUE
CLIMATISATION
SECOURS ELECTRIQUE
CONTRÔLE ACCES PHYSIQUE
Status

Autorité/ Accountable :
IT operations manager/
[Name]
Mise à jour / Updated :
[date] / [Nom] / [Name]
Métriques fictives données à titre d’illustration
Example based on fictive data
Analyse / analysis
• Les valeurs comprises entre 100 et 75 sont pleinement conformes aux exigences de sécurité
• Les valeurs comprises entre 75 et 60 indiquent les points d’amélioration prioritaires
• Les valeurs en deçà de 60 identifient les zones de risques intolérables devant faire l’objet de plan d’action à court terme.
NIV_SECURITE_DATACENTERS
2
Zoom…
Métriques fictives données à titre d’illustration
Example based on fictive data