La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sébastien Léonnet SGC/DGA5/Unité Sécurité des SIC-Sensibles UNION EUROPEENNE ET SSI: LES DEFIS DE DEMAIN.

Présentations similaires


Présentation au sujet: "Sébastien Léonnet SGC/DGA5/Unité Sécurité des SIC-Sensibles UNION EUROPEENNE ET SSI: LES DEFIS DE DEMAIN."— Transcription de la présentation:

1 Sébastien Léonnet SGC/DGA5/Unité Sécurité des SIC-Sensibles UNION EUROPEENNE ET SSI: LES DEFIS DE DEMAIN

2 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ? Mise en place dune capacité en défense des réseaux au Secrétariat Général du Conseil de lUE. Vers une capacité globale aux Institutions ? Interopérabilité entre les Institutions, les Etats membres et les pays tiers. PLAN

3 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ? Mise en place dune capacité en défense des réseaux au Secrétariat Général du Conseil de lUE. Vers une capacité globale aux Institutions ? Interopérabilité entre les Institutions, les Etats membres et les pays tiers. PLAN

4 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil La décision du Conseil du 19 mars 2001 adoptant le règlement de sécurité du Conseil (2001/264/CE). Historique: adapté de celui lUEO lui-même adapté de celui lOTAN (80-90). Règlement suffisant pour une organisation débutante mais: très peu d'éléments relatifs au monde de la technologie de l'information (section XI, 9 pages sur 66 alors quaujourdhui 99% de linformation est sous forme électronique); des inconsistances (ex: delta gestion R-UE IT et papier, chiffrement des transmissions: « Pendant la transmission, la confidentialité des informations SECRET UE ou d'un niveau de classification supérieur doit être protégée par des méthodes ou des produits cryptographiques agréés par le Conseil sur recommandation du Comité de sécurité du Conseil. Pendant la transmission, la confidentialité des informations CONFIDENTIEL UE ou RESTREINT UE doit être protégée par des méthodes ou des produits cryptographiques agréés soit par le Secrétaire général/Haut représentant sur recommandation du Comité de sécurité du Conseil, soit par un État membre. »); Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

5 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Règlement suffisant pour une organisation débutante mais: des rigidités incompatibles avec la réalité opérationnelle (ex: pas dautres choix que les zones de protection de catégorie I et II); pas d'ouvertures à dérogations (problématiques systèmes en environnement de crise – aspects TEMPEST); si la notion de risque est pensée au travers de la rédaction des SSRS (analyse de risque), la notion de gestion du risque est quant à elle inexistante; Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

6 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Règlement suffisant pour une organisation débutante mais: des éléments organisationnels inexpérimentés comme inefficaces: –la structure INFOSEC n'a qu'un lointain rôle de conseiller et d'aide à la mise en œuvre; –l'autorité d'homologation a un rôle décisionnel mais elle prend ses décisions davantage sur la constitution d'un dossier dhomologation que sur le fond du dossier (SSRS, SecOPs); –la responsabilité du développement de la documentation de sécurité et du maintien en condition opérationnelle des systèmes revient à la partie opérationnelle utilisatrice (ITSOA): « Pour tous les SYSTÈMES qui traitent des informations CONFIDENTIEL UE ou d'une classification supérieure, un énoncé des impératifs de sécurité propres à un SYSTÈME (SSRS) doit être établi par l'autorité d'exploitation du système TI (ITSOA)… » « L'autorité INFOSEC délègue le plus rapidement possible à ITSOA la responsabilité de la mise en œuvre des contrôles et du fonctionnement des dispositifs de sécurité spéciaux du SYSTÈME. Cette responsabilité est exercée pendant tout le cycle de vie du SYSTÈME, de la conception du projet à sa liquidation finale. » ce qui fonctionne mal; Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

7 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Et finalement …un règlement très insuffisant au regard des enjeux du Conseil (45 systèmes et applications classifiées). Notre organisation initiale était calquée sur ce règlement mais en septembre 2005 elle a été radicalement refondue – entre autres – afin de tenir compte des problèmes organisationnels que posaient le règlement de sécurité. Pour rappel, elle est centralisée autour de 5 pivots: le coordinateur des SIC-Sensibles (celui qui décide la constitution des systèmes classifiés); Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

8 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Pour rappel, elle est centralisée autour de 5 pivots: lautorité dhomologation (celle qui prend la responsabilité de la mise en production opérationnelle des systèmes classifiés); le bureau INFOSEC (en charge des politiques INFOSEC régissant les grands principes à appliquer, conseils et liens avec les EMs); lUnité sécurité des SIC-Sensibles (INFOSEC opérationnel) en charge: –de la rédaction de lensemble de la documentation de sécurité « système » (SSRS, SecOPs, guides de paramétrage, etc.); –de la gestion/administration des aspects cryptographiques et TEMPEST, –de lopération de la NDC; –de laudit des systèmes avant homologation. le « Sensitive-CIS Manager » (autorité représentant les utilisateurs et garante de lapplication des SecOPs). Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

9 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Lorganisation en place donne satisfaction. Elle est figée dans le document « Organisational Framework for The Security of Sensitive-CIS ». Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

10 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le nouveau règlement de sécurité du Conseil: En cours de ratification; Historique: deux années de travail avec les EMs; Des changements en adéquation avec la très récente famille de standards 2700X (principalement 27005): révolutionnaire parce que « EU made », au moins dans le domaine « technologie de linformation »; révolutionnaire parce quil a fait lobjet dun rapide consensus des NSAs) révolutionnaire parce quil permet des dérogations « maîtrisées »: « Where warranted on specific operational grounds, the Council or the Secretary-General as appropriate may, upon recommendation by the Security Committee, waive the requirements under paragraphs 25 or 26 and grant an interim approval for a specific period… »; Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

11 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le nouveau règlement de sécurité du Conseil: révolutionnaire parce quil prend en compte les contraintes opérationnelles (ex : « EUCI may be transmitted using cryptographic products which have been approved for a lower classification level or without encryption with the consent of the competent authority if any delay would cause harm clearly outweighing the harm entailed by any disclosure of the classified material and if: (a) the sender and recipient do not have the required encryption facility or have no encryption facility; and (b) the classified material cannot be conveyed in time by other means.» ; révolutionnaire parce quil prend en compte la réalité des faits sur le plan organisationnel. Les autorités, comme leur rôles sont décrits dans les détails: –l « Information assurance authority »; –la « Security Accreditation Authority »; –l « Information Assurance Operational Authority »; –la « Crypto Approval Authority »; –la « Crypto Distribution Authority »; Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

12 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Mais malheureusement révolutionnaire aussi parce quil surestime les capacités actuelles UE sur le plan du développement de solutions « produits cryptographiques »: 25. Cryptographic products for protecting EUCI shall be evaluated and approved by a national CAA of a Member State.; 26. Prior to being recommended for approval by the Council or the Secretary-General in accordance with Article 10(6), such cryptographic products shall have undergone a successful second party evaluation by an Appropriately Qualified Authority (AQUA) of a Member State not involved in the design or manufacture of the equipment. The degree of detail required in a second party evaluation shall depend on the envisaged maximum classification level of EUCI to be protected by these products. The Council shall approve a security policy on the evaluation and approval of cryptographic products.; Mais lidée est belle car cest bien évidemment dans ce sens quil faut aller... Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

13 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le cas du SGC semble réglé, mais quen est-il des autres Institutions et agences: la Commission a son propre règlement de sécurité, dérivé lui aussi de celui lOTAN des années Il est donc aujourdhui très différent de celui du Conseil; le Parlement Européen na pas de règlement de sécurité; lAgence Spatiale Européenne a son propre règlement de sécurité, très différent de celui du Conseil et de la Commission; LAgence de Défense Européenne applique le règlement de sécurité du Conseil; FRONTEX: Applique le règlement de la Commission. Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

14 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Difficile dans ces conditions dimaginer des règles « Information Assurance » communes. Mais le problème est clairement posé avec la constitution de lEAS, composé des EMs, de la RELEX (Cion) et d'entités du Conseil (EUMS, CPCC, DGE, Unité politique, SITCEN). Quel règlement de sécurité choisir: le nouveau règlement du Conseil ? le vieux règlement de la Commission ? Créer un règlement ad-hoc ? Durant la période de transition (2014) le règlement de lEAS est le règlement du Conseil. Mais après cette date lEAS est souveraine. Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ?

15 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ? Mise en place dune capacité en défense des réseaux au Secrétariat Général du Conseil de lUE. Vers une capacité globale aux Institutions ? Interopérabilité entre les Institutions, les Etats membres et les pays tiers. PLAN

16 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Cyber-attaques, cyber-Défense, défense en profondeur… Des mots très à la mode depuis ces récentes dernières années, comme si on découvrait subitement la "cyber-nuisance"… Mais est-ce bien nouveau ? Ou plutôt, qu'est ce qui est nouveau ? Certes, le crime organisé (marché des Botnets, spam, etc.)… certes, le marché du renseignement… certes, la cyber-guerre (Estonie, Georgie)… Mais on aurait pu sen douter; ou… On ne voulait pas savoir… Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

17 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Ce qui est vraiment nouveau cest en revanche: la sophistication des attaques et leur caractère « ciblé »; la notion de « Advanced Persistence Threat »; lassociation « worldwide » de malfaiteurs; que les plus grandes organisations reconnaissent aujourdhui lampleur et limportance du problème; que les plus grandes organisations sont aujourdhui (presque) transparentes face à ces problèmes (Pentagone, OTAN, certains pays… SGC), au moins parce qu'elles peuvent être elles-mêmes vecteurs dinfection; Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

18 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Ce qui est vraiment nouveau cest: que les grandes organisations apprennent à vivre avec ces nouvelles attaques: –il ny a pas de solutions miracles contre les attaques en dénis de service; –on nest jamais certain de lorigine des s; –on ne pourra jamais empêché un utilisateur de cliquer sur un lien ou une pièce jointe (souvent légitime mais piégée); –par définition, les anti-malware ont toujours un « coup de retard »; –il est presque impossible dinterdire les clés USB; –il est illusoire de penser être totalement protégé (univers des vulnérabilités). Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

19 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Les grandes organisations ont aujourdhui atteint ce niveau de maturité INFOSEC tel quelles ne considèrent plus comme « honteux » ou « dégradant » dêtre lobjet de cyber-attaques. Elles ont aussi compris – à linstar des cyber- attaquants – que la coopération faisait la force. Le SGC a atteint ce niveau de maturité il y a deux ans, date à laquelle il a décidé dêtre transparent vis-à-vis des EMs et de mettre sur pied une NDC. Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

20 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Mais au fait… Cest quoi une NDC ? On sest longtemps interrogé et après plusieurs visites de NDC existantes on a retenu: quune NDC était un moyen de prédire des problèmes informatiques et réseaux; quune NDC était un moyen de lutter contre les problèmes informatiques et réseaux; quune NDC était un moyen de restaurer une configuration « de confiance »; quune NDC était un moyen de diffusion dalerte; quune NDC était un moyen de recueil dinformation; quune NDC était un moyen de génération dinformation; Bref, une NDC, cest un peu comme une PKI: 20 % de technique et 80 % dorganisationnel. Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

21 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Problèmes structurels: collecte des compétences: une NDC requiert différents corps de métier (réseau, monde Unix, monde Windows, applicatif, base de données, forensic, analyse software, etc.); intégration des compétences techniques: toutes les compétences ne doivent pas nécessairement être allouées à la NDC mais elles doivent toutes être disponibles pour la NDC; intégration de la NDC dans lorganisation: une NDC nest pas une entité indépendante et autonome; elle doit simbriquer dans les unités techniques, politiques, sécurité et renseignements. Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

22 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil La NDC du SGC est composé de trois niveaux: le niveau d'alerte; le niveau de gestion opérationnelle; le niveau stratégique; Le niveau d'alerte regroupe l'ensemble des entités propres à signaler un incident ou une présomption d'incident: les équipes de veille NDC, les administrateurs systèmes, les utilisateurs, les EMs, les outils techniques et de sécurité en place ou encore les équipes d'audit. Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

23 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le niveau de gestion opérationnelle (aussi appelé NDC-OC) regroupe: la mise en place, la gestion et la supervision d'outils d'analyses et d'alertes informatiques et réseaux (SIEM, analyseurs de logs, IPS, IDS, anti-malware, etc.); la définition des procédures de gestion des incidents de sécurité et la participation à la gestion de ces procédures en liaison avec les différents acteurs de sécurité ainsi que les parties extérieures concernées (EMs, Institutions UE, etc.); Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

24 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le niveau de gestion opérationnelle (aussi appelé NDC-OC) regroupe: la recherche de vulnérabilités, de comportements suspects, de portes dérobées ou dactivités type « reverse engineering » puis la mise en place de contre-mesures et de plans de désinfection; la participation à la diffusion de lalerte; la participation à des enquêtes au profit du Bureau de Sécurité; létablissement de contacts avec des CERTs; la diffusion de bulletins dalerte aux acteurs concernés (niveau stratégique). Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

25 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le niveau de gestion stratégique (aussi appelé NDC- CC) prend la forme: dun comité directeur composé des principaux acteurs de la sécurité ainsi que des organes décisionnels: Directeur général pour la sécurité, sûreté et systèmes dinformation et de communication, Coordinateur des SIC-Sensibles, Autorité IA, Autorité opérationnelle IA, Directeur du Bureau de Sécurité; dune cellule de coordination. Il a les responsabilités suivantes: il prend connaissance des menaces et évalue les risques; il décide des stratégies et postures à adopter face aux menaces; il opère le réseau de diffusion de lalerte « hors GSC »: il décide de diffuser lalerte aux EMs et autres Institutions au travers du réseau de diffusion de lalerte; Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

26 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Vers une capacité globale aux Institutions ? Dans le domaine, maturités très hétérogènes au sein des Institutions/agences; Institutions/agences trop indépendantes les unes vis-à-vis des autres; pas de réels besoins (pas de systèmes partagés et aucune interconnexion); En revanche besoin dun CERT au profit des Institutions/agences afin dalimenter les NDC. Des initiatives en vue de sa création sont en cours. Mise en place dune capacité en défense des réseaux au SGC Vers une capacité globale aux Institutions ?

27 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Le nouveau règlement de sécurité du Conseil de lUE: une avancée majeure. Vers un règlement de sécurité commun aux Institutions ? Mise en place dune capacité en défense des réseaux au Secrétariat Général du Conseil de lUE. Vers une capacité globale aux Institutions ? Interopérabilité entre les Institutions, les Etats membres et les pays tiers. PLAN

28 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil Problématique au travers dun exemple: lopération ATALANTA. Chaîne de responsabilité discontinue: –Bruxelles OHQ –OHQ – FHQ –FHQ – Navires nation cadre du FHQ tournante tous les 4 mois; FHQ embarqué; Forces non EU. Interopérabilité entre les Institutions, les Etats membres et les pays tiers

29 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil PSC – EUMC – EUMS Bruxelles OHQ Northwood FHQ Embarqué CTF 150 Bahrain OTAN SNMG2 FHQ –R Djibouti EU UK FHQ Interopérabilité entre les Institutions, les Etats membres et les pays tiers

30 DGA5 / Unité sécurité des SIC-Sensibles Sébastien Léonnet Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil ATALANTA Units ATALANTA FHQ CTF 150 CTF 151 CTF 508 International Units Interopérabilité entre les Institutions, les Etats membres et les pays tiers

31 Sébastien Léonnet SGC/DGA5/Unité Sécurité des SIC-Sensibles UNION EUROPEENNE ET SSI: LES DEFIS DE DEMAIN


Télécharger ppt "Sébastien Léonnet SGC/DGA5/Unité Sécurité des SIC-Sensibles UNION EUROPEENNE ET SSI: LES DEFIS DE DEMAIN."

Présentations similaires


Annonces Google