Transcript tableauxDeBordSecurite

Tableaux de bord sécurité
1
Tableaux de bord
• Objectifs des tableaux de bord
• Démarche
• Exemple de résultats
Modèle général de gestion des risques du SI
Stratégie générale d’entreprise
Mesure et analyse
des enjeux
« métiers »
2
1
3
Définition de la
politique de
sécurité du SI
4
5
Approche
« Top-down »
Mesure et analyse
des risques
résiduels
Définition & mise
en œuvre d’un plan
d’actions sécurité
pluriannuel
Approche
« Bottom-up »
Actions
techniques
Analyses
financières
Actions
fonctionnelles
Définition & mise
en œuvre d’un
tableau de bord
sécurité
Copyright Ageris Consulting
3
Objectifs
• Permettre un suivi ……
– de l’efficacité des composants techniques
– des directives et des plans d’actions décidés
– du respect de la stratégie sécurité de l’entreprise
• Prendre des décisions en cas de dérives
constatées
4
Le problème
• Les tableaux de bord actuels :
– Le contenu ne répond pas aux besoins
– Il manque des indicateurs
– Les indicateurs sont trop techniques et pas assez
synthétiques
• Les besoins ne sont pas clairement exprimés :
– Des besoins à tous les niveaux hiérarchiques
– Des besoins importants de pilotage
– Des besoins de maîtrise de la situation actuelle
5
Le contexte de l’entreprise
• Les composants de l’architecture technique peuvent générer des fichiers
d’événements qui peuvent être utilisés
• Des outils de suivi et de gestion sont généralement utilisés et collectent
souvent des indicateurs  une formalisation est possible
• Les compétences techniques sont acquises
Mais …
– Il n’existe pas de plateforme centralisée de traitement, ni d’automatisme de
consolidation  Traitement manuel à prévoir
– Divers logiciels ne sont pas à jour, ou nécessitent des modules
complémentaires  Coûts / investissements importants
6
Méthodologie de démarrage d’un projet
PHASE 1 : Analyse des besoins
de la faisabilité
Destinataires des tableaux de bord SSI
Objectifs des tableaux de bord SSI
Périodicité des tableaux de bord SSI
Domaines à traiter dans les tableaux de bord SSI
Interviews
Domaines de sécurité à prendre en compte
Format des tableaux de bord SSI
Indicateurs de sécurité
Analyse de l’existant
Analyse de la faisabilité technique
PHASE 2 : Définition et analyse
des indicateurs des tableaux de
bord
Classification des indicateurs
Analyse des outils disponibles
Logiciels vs indicateurs
Présentation graphique (piste de réflexion)
Ecart par rapport aux besoins
Recommandations pour la suite du projet
L’approche générale
Approche Top down : permet ……
De juger sur l’efficacité des contrôles, d’identifier les décalages par rapport à la
politique de sécurité ou aux objectifs de sécurité
De suivre la situation de l’entreprise face aux directives sectorielles (ex : Bâle II et
Sox 404 (Niveau stratégique))
De fournir des tendances permettant de réagir et d’anticiper (Niveau stratégique et
tactique)
De suivre les niveaux de risques encourus et les vulnérabilités résiduelles (Niveau
stratégique et tactique)
De mesurer le niveau de maîtrise de la sécurité (Niveau stratégique et tactique)
Coupler les 2 approches
Approche Bottom up : permet …..
De fournir une vue globale de la situation (Niveau stratégique, tactique et
opérationnel)
De permettre la définition d’objectif de progression et d’évolution (Niveau tactique et
opérationnel)
De fournir des statistiques sur les contrôles appliqués pour permettre de réajuster
ces contrôles (Niveau opérationnel)
8
EXEMPLE
DE RÉSULTATS
Niveaux d'indicateurs & périodicités
Selon le positionnement hiérarchique
1. Indicateurs de niveau stratégique
Semestriel
2. Indicateurs de niveau tactique
Trimestriel
3. Indicateurs de niveau opérationnel
Mensuel
Pour être intelligibles et exploitables, les indicateurs doivent être
regroupés en sous-ensemble cohérents et significatifs
10
Classification d'indicateurs
Selon la faisabilité
C1 : Indicateur immédiatement disponible
C2 : Indicateur facile à mettre en œuvre
C3 : Indicateurs difficile à mettre en œuvre
C4 : Indicateurs impossible à mettre en œuvre
11
Pré-sélection d’indicateurs
• Etape 1 : Partir d’une liste d’indicateurs issues d’une
base de connaissance (230 filtrés à xxx),
puis proposer une série d’indicateurs afin de fournir un
tableau de bord de sécurité (TdB SSI)
• Etape 2 : Les choix d’indicateurs doivent être exprimés
par différents interlocuteurs dans l’entreprise.
Ils sont aussi liés à un juste équilibre (priorité, capacité à
mesurer de manière fiable, coût-charge humain-logiciel,
outils mis en place, etc...)
12
Indicateurs relatifs à la gestion des droits
d’accès
Classification
d’indicateur
Indicateurs sur les droits d’accès et l’utilisation des ressources informatiques
immédiatement
disponible
- Nombre de violation par ressources
- Nombre d’accès à des ressources critiques
- Nombre d’accès à la « Station de Travail Intégrée » par des développeurs
- Nombre d’utilisation des « users fonctionnels d’intervention en Production » par des développeurs
- Les nouveaux utilisateurs externes arrivés dans le mois (sélection possible par département)
facile à mettre en
œuvre
- Nombre de refus d'accès aux systèmes / Nombre total d'accès (aux systèmes) pour une période donnée
- Nombre de traces révélant une attaque réussie / Nombre de traces de refus
- Nombre d'accès constatés par profil en dehors des plages horaires pour une période donnée
- Nombre de demande d'interventions auprès du help-desk pour une période donnée sur une application
choisie
- Nombre d'appels help-desk pour oubli de mot de passe / Nombre année antérieure
- Nombre de mots de passe ne respectant pas la directive de sécurité
- Nombre de tentative d'accès non autorisés / Nombre accès
difficile à mettre en
œuvre
- Nombre des interventions de télémaintenance / Nombre total d'interventions
- Nombre de fichiers infectés / Nombre de fichiers modifiés sur une période donnée
- Nombre d'incidents graves / Nombre d'incidents enregistrés au niveau système
- Nombre de refus d'accès aux applications critiques et/ou sensibles / Nombre total d'accès (aux applications
critiques et/ou sensibles) pour une période donnée
- Nombre d'applications chiffrées / Nombre d'applications sensibles et/ou critiques
- Nombre d’incidents de connexion / Nombre d'utilisateurs
impossible à mettre
en œuvre
Supprimer de la liste initiale
13
Indicateurs relatifs à la gestion des
directives de sécurité
Classification
d’indicateur
Indicateur sur les directives de sécurité
immédiatement
disponible
- Les pertes de résultat issues de fraudes internes
facile à mettre en
œuvre
Différentiel entre politique SSO et situation
Suivi des actions d’audits
Suivi des risques résiduels
Suivi des baselines (conformité) / conformité des systèmes et des serveurs /conformité projet
difficile à mettre en
œuvre
Traitement manuel ou ne pouvant être exploitable actuellement
impossible à mettre
en œuvre
Supprimer de la liste initiale
- Les pertes de résultat issues de fraudes externes
- Les pertes de résultat issues d’actes non-conformes à la législation sur la santé et la sécurité du travail
- Les pertes de résultat issues du non respect d’obligation professionnelle
- Les pertes de résultat issues de dégâts matériels
- Les pertes de résultat issues d’interruption de l’activité et de pannes informatiques
- Les pertes de résultat issues d’erreurs dans le traitement des transactions
14
Indicateurs relatifs à la gestion des
attaques logiques
Classification
d’indicateur
Indicateur sur les attaques logiques et incident technique
immédiatement
disponible
- Type d’incidents sécurité ouvert
- Nombre d’incidents par priorité
facile à mettre en œuvre
- Nombre de réclamations (pour des problèmes d'accès) auprès du helpdesk pour une période donnée
- Nombre de virus détectés pour une période donnée
- Nombre de requêtes rejetées par le firewall
- Nombre d'attaque virale d'origine interne et externe
- Nombre de postes avec une installation d'antivirus défectueux / Nombre de postes
- Nombre de scans de port détectés par mois
- Nombre d'emails ne respectant pas la PSI du groupe (mailing list, données confidentielles, …)
- Nombre de blocage d'emails sur contenu abusif, offensant, ...
- Nombre de postes non à jour d'une version récente / Nombre de postes
- Nombre d'utilisateurs accédant, ou envoyant des fichiers chiffrés
difficile
œuvre
- Nombre d’incidents par type de virus (ver, vbs, troyen …)
- Nombre de postes nomades avec des antivirus défectueux/ Nombre de postes nomades
- Nombre d'emails requérant un contrôle particulier par l'administrateur
- Nombre de tentatives de violation sur les environnements distants / Nombre d'environnements distants
- Nombre de multi connexions pour un même utilisateur sur une période donnée
- Nombre d'attaques ciblées manuelles par mois
- Nombre d'anomalies détectées par le logiciel antivirus (désactivation, dysfonctionnement,…)
- Nombre postes ayant une activité en dehors des heures ouvrables
à
mettre
impossible à mettre en
œuvre
en
Supprimer de la liste initiale
15
Indicateurs relatifs à la gestion des
failles de sécurité
Classification
d’indicateur
Indicateur sur les failles de sécurité
immédiatement disponible
- La saturation CPU des serveurs
- La valeur de pointe en terme de surcharge
- Les types d’incidents de surcharge (espace disque, charge I/O, mémoire, réseau)
facile à mettre en œuvre
- Nombre d'incident dont le déclaration a dépassé un nombre de jour / Nombre d'incidents
- Nombre d'incidents de même nature ayant survenus plus d'une fois dans l'année (occurrence)
- Nombre d'incidents relevés
- Nombre d'incidents résolus lors de la détection, de l'enregistrement, à l'appel de l’utilisateur
- Nombre d'incidents résolus dans un délai < 48 heures
- Nombre d'incidents non résolus après un délai de 5 jours
- Nombre d'incidents ayant la même origine au cours des 6 derniers mois.
- Taux d'incidents résolus référencés dans la base d'incidents du support Infoline
- Taux d'utilisation par ressource au cours de la période
- Nombre de systèmes ne respectant pas la directive sécurité sur la gestion des mots de passe
difficile à mettre en œuvre
- Nombre de failles de sécurité signalées / Nombre de failles de l'année antérieure
- Nombre d'incidents graves dus aux applications et déclarés dans la base incident (et/ou dans la base du help
desk) / Nombre année antérieure
- Nombre de connexion extérieure identifiée / Nombre de connexion année antérieure
- Nombre de liaison de télémaintenance / Nombre de liaison télémaintenance année antérieure
- Nombre de contrôles effectués au cours de la période / nombre d'incidents relevés
- Nombre d'investigations sur incidents ou anomalies non terminées au cours de la période
- Nombre d'activation de la télémaintenance au cours de la période
- Nombre et gravité d'incidents liés aux procédures d'exploitation.
- Nombre incidents type "incident de sécurité" relevé dans la "base incidents" / Nombre incidents type "incident
de sécurité" de l'année antérieure
impossible à mettre en
œuvre
Supprimer de la liste initiale
16
Formalisation des tableaux de bord
Demande d’accès
Incidents sécurité
Suivi des antivirus
Risques bancaires
Suivi des incidents
Montée en charge serveur
Niveau stratégique :
• 1 page
• 2/3 graphes par domaines
Niveau tactique :
• 4 pages (1 / domaine)
• 5 graphes par domaine
17
Indicateurs relatifs à la gestion des droits
d’accès
Consignes et procédures
Proposition graphique sur la
gestion des droits d’accès au
SI
Protection des accès
physiques
Protection logique du réseau
Protection des serveurs
Protection des postes de
travail
Firewalls
Salle informatique
0
10
20
30
40
50
60
Traitement des demandes d'accès - janvier 05
3%
Simulation de données
réelles sur les demandes
d’accès, le traitement et les
demandes non valides
50%
47%
attente
traitées
non valide
18
Indicateurs relatifs à la gestion des
directives de sécurité
CARTOGRAPHIE DES RISQUES
Possibilité de
représentation graphique
sur la gestion de la PSI
1
25
2
1,0
24
3
0,8
23
4
0,6
22
5
0,4
21
6
0,2
20
7
0,0
19
8
18
9
17
10
16
11
15
12
14
13
Risques réels
Vision ENJEUX
Suggestion de graphe pour la
représentation de la fraude interne /
externe
19
Indicateurs relatifs à la gestion
des attaques logiques
Détection d'intrusion
552000
Représentation de l’information
concernant les attaques logiques
(simulation données réelles)
8000
Nb de scans de port
détectés par mois
Nb d'attaques ciblées
manuelle par mois
Nombre de messages mis en quarantaine
Virus
Outil de reporting d’un éditeur
antivirus pouvant être installé
Script
Contenu
PJ
Spam
nov
déc
jan
fev
mars
20
Indicateurs relatifs à la gestion des failles
de sécurité
Contrôle, détection et traitement des incidents
15%
Graphe représentant
les incidents par
ressources
30%
Matériel
Logiciel
10%
Réseau
45%
Mot de passe
Failles de sécurité par OS
60
50
Veille technologique sur les
failles de sécurité des
systèmes d’exploitation
40
30
20
10
0
Unix
NT
MVS
OS
21
Plan projet
• Schéma de mise en place prévisionnel
Piloter le projet
Définir la
démarche
tableau de
bord
1
Priorités et
stratégie de
pilotage
sécurité
2
Proposition
d’indicateurs
mesurables 3
Validation et
conception
détaillée des
outils de
mesure
Tableaux de
bord simplifié
4
Mise en place
des outils et
procédures
Tableaux de
bord amélioré
5
Consolidation
des résultats analyse –
adaptation
permanente
6
22
Groupes de travail / Tâches
• Un projet peut permettre la mise au point
complète et la finalisation des TdBs …
• Avec des groupes des travail ou des tâches
clairement identifié(e)s :
•
•
•
•
GT / Tâche « UTILISATION »
GT / Tâche « TECHNIQUE »
GT / Tâche « PILOTAGE »
GT / Tâche « EXPLOITATION »
23
Quelques recommandations
• Une approche progressive et pragmatique est souhaitable
(ex. : en démarrant par des tableaux de bord simplifiés et réalisés
manuellement pour acquérir l’expérience)
• Il est important de désigner un « chef de projet » pour piloter
le projet
• Des outils sont aisément utilisables pour la formalisation des
TdB stratégiques et tactiques
24