La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin.

Présentations similaires


Présentation au sujet: "Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin."— Transcription de la présentation:

1 Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin M.Sc CISSP-ISSMP CISA ift.a Officier de sécurité du CRIM Conseiller senior de lISIQ 18 octobre 2007

2 2 Tous droits réservés © 2006 ISIQ LP 2 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

3 3 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Actif informationnel 1..* Matériel Système Applications Données Personnes Processus Technologies Informations *..* Ressource informationnelle 1..* Processus daffaire Besoin daffaire 1..* La sécurité de linformation et lorganisation M / O 1..* Contexte Technologique 1..* Contexte daffaireContexte juridique 1..* Critique Contextes de gestion de la sécurité de linformation

4 4 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Actif informationnel 1..* Matériel Système Applications Données Personnes Processus Technologies Informations *..* Ressource informationnelle 1..* Processus daffaire Besoin daffaire 1..* La sécurité de linformation et lorganisation M / O 1..* Contexte Technologique 1..* Contexte daffaireContexte juridique 1..* Critique 1..* Plan de relève 1..1 Plan de continuité des affaires

5 5 Tous droits réservés © 2006 ISIQ LP 5 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

6 6 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Définitions Sécurité informationnelle : Protection des ressources informationnelles d'une organisation, face à des risques identifiés, qui résulte d'un ensemble de mesures de sécurité prises pour assurer la confidentialité, l'intégrité et la disponibilité de l'information traitée. Une ressource informationnelle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, à l'acquisition, au développement, à l'entretien, à l'exploitation, à l'accès, à l'utilisation, à la protection, à la conservation et à la destruction des éléments d'information. Une ressource peut donc être une personne, un fichier ou le système informatique lui-même. Actif informationnel : Inventaire présentant, à un moment déterminé, le portrait de l'ensemble des ressources informationnelles d'une entreprise ou d'une organisation, à l'exception des ressources humaines [OLFQ 2005]

7 7 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale La gestion de la SI, en quoi est-ce essentiel? La sécurité ça dérange, mais il faut se conformer au contexte daffaire, à la loi et à la technologie, et on peut être vérifié! Résistance des utilisateurs, ça complique leur travail! Les administrateurs ne comprennent pas toujours la portée dun projet en sécurité, et se sentent souvent dépassés lorsquils le comprennent! Solution : Programme de sensibilisation et de formation. Ça coûte cher, nous avons un budget très serré! Solution : Maximiser les investissements en sécurité en se limitant à la protection des ressources informationnelles critiques. Ça najoute aucune fonctionnalité, performance ou convivialité; Permet lajout dun niveau de confiance. Principe de la responsabilité des efforts. Environnement technologique de plus en plus complexe; Solution : Sensibilisation, formation, certification.

8 8 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Les trois piliers de la sécurité, par ordre dimportance, en vue de protéger les informations Les personnes Incluent les utilisateurs, les analystes, es techniciens, les gestionnaires, les administrateurs de systèmes… Tout le monde quoi! Appliquent les mesures de sécurité. Peuvent contourner la sécurité. Doivent être sensibilisées à leurs responsabilités et au pourquoi de la sécurité. Les processus La sécurité est principalement un ensemble de processus! Ex.: Politique de sécurité, analyse de risques, cadre de gestion de la sécurité, gestion des identités et des privilèges daccès, audits, contingence, etc. La technologie Offre un ensemble doutils pouvant être mis en place, pour compléter, vérifier ou automatiser certaines mesures de sécurité exigés par la Politique de sécurité. Procedimientos y métodos Personas con destrezas, capacitadas y motivadas Herramientas y equipos

9 9 Tous droits réservés © 2006 ISIQ LP 9 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

10 10 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Une vision globale des domaines de connaissance Gestion de la sécurité (Gouvernance) Vérification et contrôle (Conformité) Ressources Informationnelles critiques Systèmes (Développement et évolution) Technologie (Acquisition, maintenance et contingence)

11 11 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Selon leur profil, les personnes peuvent connaître plus dun domaine de connaissance, par exemple : Une vision globale des domaines de connaissance Il faut savoir évaluer les domaines de connaissance en sécurité de notre interlocuteur Il faut savoir utiliser les forces présentes dans lorganisation T 90 S 5 Jean, technologue RI Louise, vérificatrice G 40 T 5 V 90 RI T 5 S 90 Marie, développement RI G 80 T 20 S 20 V 20 Paul, gestionnaire RI

12 12 Tous droits réservés © 2006 ISIQ LP 12 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

13 13 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V T RI Gestion de la sécurité (Gouvernance) Lensemble des processus administratifs. Rôles et responsabilités, cadre de gestions, embauche, conformité légale, consultation, impartition, etc. Domaine de la sécurité : Couvert approximativement à 50% Quelques certifications professionnelles disponibles, dont : CISM, ISSMP, etc. Comprend : Directives, politiques, procédures, processus, etc. Plan de continuité, analyse de risques, gestion didentité, etc. G

14 14 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V T RI Gestion de la sécurité (Gouvernance) Plusieurs normes disponibles, dont : ISO/IEC ISO 13335Management of information and communications technology security ISO 27002Code of practice for information security management (ISO 17799) NIST/FIPS SP Risk Management Guide for Information Technology Systems, FIPS PUB 199Standards for Security Categorization of Federal Information and Information Systems. FIPS PUB 200Minimum Security Requirements for Federal Information and Information Systems. Etc… G

15 15 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V T RI Gestion de la sécurité (Gouvernance) Quelques solutions : Tableau de bords qui permet dassurer le suivi de conformité aux lois et règlements Limportance de la gestion du risque devient évident Plusieurs méthodologies danalyse de risques sont disponibles : Mehari, EBios, Octave, etc. La gestion des identités et de accès Les M/O veulent savoir qui accède quoi, mais ce nest pas si facile… G

16 16 Tous droits réservés © 2006 ISIQ LP 16 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

17 17 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V G RI T Technologie Infrastructure et télécommunication (Acquisition, maintenance et contingence) Lensemble des outils technologiques et les processus qui en permettent lacquisition, la configuration, lutilisation, la gestion et la maintenance. Pare-feu, système de détection dintrusion, copie de sauvegarde, RAID, antivirus, anti-espiogiciels, répertoires LDAP, etc. Domaine de la sécurité : Couvert approximativement à 90% Plusieurs certifications professionnelles disponibles dont : ITIL, SSCP, CISSP, ISSAP, ISSEP, GIAC Security Engineer, RSA Certified Systems Engineer, Cisco Firewall Specialist, SUSE Security Certifications, MCSE: Security on Microsoft Windows Server 2003, etc. Comprend : Gestion des configurations, gestion des incidents, plan de relève, configuration de règles de privilèges daccès, périmètre de sécurité, etc.

18 18 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V G RI T Technologie Infrastructure et télécommunication (Acquisition, maintenance et contingence) Plusieurs normes disponibles, dont : Microsoft, Novell, RSA… ITIL, SANS, Critères Communs… NIST/FIPS SP Contingency Planning Guide for Information Technology Systems, SP Guide to Selecting Information Technology Security Products Et encore plus!!!

19 19 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V G RI T Technologie Infrastructure et télécommunication (Acquisition, maintenance et contingence) By January 2007, anyone who banks online should be better protected against fraud and identity theft. A simple name and password combination will no longer be sufficient for most types of transactions. This increased security is mandated by the Federal Financial Institutions Examination Council (FFIEC) […] Any institution that is governed by one of those agencies is also covered by the new guidelines. And it also faces a potential fine or other penalty if it fails to comply. Source: Banks scramble to boost online security gci ,00.html?track=NL- 358&ad=566753&asrc=EM_NLN_671834&uid= gci ,00.html?track=NL- 358&ad=566753&asrc=EM_NLN_671834&uid= NAC or Network access control and endpoints management (PDA, portable,...) Etc.

20 20 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V G RI T Technologie Infrastructure et télécommunication (Acquisition, maintenance et contingence) Quelques solutions : Tableau de contrôle dalertes techniques intégrés Outils qui analysent les données provenant des routeurs, pare feu, antivirus, IDS, etc. Computer Associates, QA Labs, projects SourceForge Gestionaire didentité (Identity Manager) Outils permettant la gestion des identités et des accès Novell, Oracle et IBM Windows Vista : Enjeux de sécurité à considérer Source:

21 21 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale S V G RI T Technologie Infrastructure et télécommunication (Acquisition, maintenance et contingence) Outils de tests de vulnérabilités et de pénétration pour les PME et organisations qui inclus, sur un CD : Démarche méthodologique Meilleurs pratiques Gabarits et exemples Peut être utilisés pour réaliser des tests internes ou externes

22 22 Tous droits réservés © 2006 ISIQ LP 22 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

23 23 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale V T G RI Systèmes (Développement et évolution) Lensemble des processus et des outils technologiques qui permettent lidentification des besoins, lacquisition, le développement et la maintenance de systèmes. Systèmes de commerce électronique, de comptabilité, des comptes à recevoir, de communication, etc. Domaine de la sécurité : Couvert approximativement à 20% Certification professionnelle : Aucune aujourdhui, mais elles arrivent! Comporte : Cycle de vie dun système, méthodologie de développement sécuritaire, norme de développement sécuritaire, modèle de conception sécuritaire, etc. S

24 24 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale V T G RI Systèmes (Développement et évolution) S Plusieurs normes disponibles, dont : NIST/FIPS SP SeriesSecurity Considerations in the Information System Development Life Cycle SP Draft Special Publication , Guide for Developing Performance Metrics for Information Security FIPS PUB 132Guideline for Software Verification and Validation Plans (ANSI/IEEE ) SP Security Configuration Checklists Program for IT Products: Guidance for Checklists Users and Developers ISO JTC1-SC7 ISO/IEC 15026Information technology – System and software integrity levels ISO/IEC 15288Systems engineering – System life cycle processes ISO/IEC 16085Systems and software engineering – Life cycle processes: Risk management ISO/IEC 21827SSE-CMM (within CMMi) IEEE-CS IEEE Std 1540IEEE Standard for Software Life Cycle Processes: Risk Management Etc.

25 25 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Phases de réalisation et cycle de vie dun système Web Diachroniquement :un processus linéaire à lintérieur dun cycle récurrent Diachroniquement :un processus linéaire à lintérieur dun cycle récurrent Synchroniquement :un objet complexe Synchroniquement :un objet complexe V T G RI Systèmes (Développement et évolution) S ObjectifsPlanificationRéalisationOpérationÉvaluation NavigationGraphismes Structure ProgrammationHébergement Alimentation en contenu Points de décision

26 26 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale V T G RI Systèmes (Développement et évolution) Étape 1: Mettre en place le processus de sécurité des applications Web S

27 27 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale V T G RI Systèmes (Développement et évolution) S Identification et analyse des enjeux et des risques de sécurité Niveau de confiance (CC: Assurance Level) Préoccupations au niveau des processus Préoccupations au niveau du produit Méthodologies de développement Agile Environnements : Développement, tests, déploiement, production, archivage… Processus dapplication sécuritaire et vérification des mesures de sécurité requises (MSA) Processus et techniques de développement qui inclus des tests de sécurité Contrôle, audit et certification de lapplication

28 28 Tous droits réservés © 2006 ISIQ LP 28 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

29 29 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale T S G RI Vérification et contrôle (Conformité) Lensemble des processus de vérification et de contrôle sappliquant aux trois autres domaines dintervention de la sécurité informationnelle Domaine de la sécurité : Couvert approximativement à 40% Certification : CISA Comporte: Processus et mesures daudit, de vérification et de certification, comités de vérification, etc. V

30 30 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale T S G RI Vérification et contrôle (Conformité) Plusieurs normes disponibles, dont : ISACA CobiT Control Objectives for Information and Related Technology NIST/FIPS SP Guideline to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products SP Security Self-Assessment Guide for Information Technology Systems SP Guide for the Security Certification and Accreditation of Federal Information Systems SP Recommended Security Controls for Federal Information Systems, including: Baseline Security Controls for Low, Moderate, and High-Impact Information Systems V

31 31 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale T S G RI Vérification et contrôle (Conformité) V Évènement récent En 2005, des élections municipales ont eu lieu dans la province de Québec. Des problèmes concernant les systèmes de votation électronique (SVE) ont été publicisés. Les citoyens du Québec ont demandés des réponses concernant la légitimité des résultats de lélection. La gouvernement du Québec à décidé de réaliser un audit sur les différents SVE utilisés durant cet élection.

32 32 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale T S G RI Vérification et contrôle (Conformité) V Audit des systèmes de votation électronique au Québec (Rapports publics disponibles) Création dune norme québécoise de certification des SVE

33 33 Tous droits réservés © 2006 ISIQ LP 33 All rights reserved © 2007 CRIM PlanPlan – Luc Poulin La sécurité informationnelle, avoir une vision globale La sécurité informationnelle (SI) et lorganisation La gestion de la SI, en quoi est-ce essentiel? Une vision globale des domaines de connaissance en SI Gestion de la Sécurité – Gouvernance Technologie – Acquisition, maintenance et contingence Système – Développement et évolution Verification et Contrôle – Conformité Constats

34 34 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Constats Un spécialiste ou un expert en sécurité, ça nexiste pas! Comme il nexiste pas de spécialiste en médecine! Il existe des spécialistes du cœur, de lœil, du cerveau… Le domaine de la SI est trop vaste! Sachez le domaine de connaissance que vous désirez, pour un travail précis! Sachez reconnaître le domaine dexpertise des personnes qui sont devant vous! T S G V RI

35 35 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale Constats Les préoccupations de sécurité informationnelle peuvent être abordées dans toutes les sphères dune organisation, lorsque le retour sur linvestissement le justifie. Sensibiliser votre client sur le risque et limpact dun incident! Importance de sensibiliser, de former et de donner les bons outils à lensemble des intervenants concernés. Administrateurs, gestionnaires, utilisateurs, techniciens, analystes, développeurs, etc. T S G V RI

36 36 Tous droits réservés © 2006 ISIQ LP La sécurité informationnelle, une vision globale La SI – Avoir une vision globale Merci de votre attention. Des questions? Luc Poulin M.Sc CISSP-ISSMP CISA ift.a Conseiller senior de lISIQ Chef de la sécurité du CRIM Courriel : Cette présentation a été réalisée avec la participation de M. Bruno Guay, conseiller senior en sécurité des TI.


Télécharger ppt "Tous droits réservés © 2006 ISIQ ISIQ – Institut de la sécurité de linformation du Québec La sécurité informationnelle, avoir une vision globale… Luc Poulin."

Présentations similaires


Annonces Google