La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Maîtrise des risques dans les projets René HANOUZ Maîtrise des risques dans les projets René HANOUZ RHANOUZ Cabinet d expertise en SSI En introduction.

Présentations similaires


Présentation au sujet: "Maîtrise des risques dans les projets René HANOUZ Maîtrise des risques dans les projets René HANOUZ RHANOUZ Cabinet d expertise en SSI En introduction."— Transcription de la présentation:

1 Maîtrise des risques dans les projets René HANOUZ Maîtrise des risques dans les projets René HANOUZ RHANOUZ Cabinet d expertise en SSI En introduction quelques mots sur le CLOUD COMPUTING

2 CLOUD COMPUTING ou HYPER CONNEXION IPAD, IPHONE, …sont des « tablettes « hyper connectées » par Wifi et par téléphonie 3G, elles fonctionnent grâce aux applications que lutilisateur télécharge. Cette connectivité sert aux applications accessibles en réseau qui résident dans des serveurs distants : cest le principe du CLOUD COMPUTING, cela devrait permettre à terme une consultation : ëà distance du DM du patient ëdes bases de données de référence pour affiner son diagnostic ëdes radios de son patient ëdes médicaments équivalents : génériques ëAvec un confrère spécialiste en vision conférence ….

3 VERS UN MONDE INTERCONNECTE … Dans une journée de travail nous perdons en moyenne une heure rien qua essayer de faire quelque chose. Exemples : larmée du salut a déployé une architecture sur internet couvrant 118 pays pour connecter ses bénévoles, optimiser les approvisionnements et coordonner les activités de secours (attentats, inondations, …) Lécole de médecine de Hanovre a mis en place une technologie sans fil qui permet de collecter et enregistrer en temps réel les données sur les affections des patients tout au long de leur séjour à lhôpital. Le système est même capable dannoncer : « le patient X attend le Dr Y en salle Z ».

4 VERS UN MONDE MEDICAL INTERCONNECTE En Espagne on a crée une plate-forme globale reliant quelques praticiens avec un système dagenda qui gère 9 millions de consultations par an. Chaque patient peut se rendre dans nimporte quel établissement de sa région en sachant que le praticien pourra consulter lintégralité de son dossier médical à jour. Le projet TRISTAN (US) associe des équipements médicaux, des communications par satellite et une technologie de télégestion des dossiers médicaux qui permettent à des spécialistes du monde entier de prêter main forte aux médecins des îles lointaines : établissement du diagnostic ou interventions durgence.

5 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 5 Accidents pertes de services essentiels (coupure dénergie, de réseau, incendie, dégâts des eaux, …) Erreurs erreurs de conception erreurs de développement erreurs dutilisation des SI Malveillances accès non autorisés au SI, utilisation détournée des règles attaques virales, … fraudes informatiques (le chiffre réel reste caché) … RETOUR SUR TERRE : CLASSIFICATION DES RISQUES

6 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 6 STATISTIQUES Européennes Pourcentage dévénements déclarés A.E.M.I (Influence dInternet)

7 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 7 UNE APPLICATION NON SÉCURISÉE Outre la non qualité, cela revient à laisser « la porte de son appartement ouverte » il en résulte des conséquences en termes : DE PERTES FINANCIÈRES (détournements de fonds, business, …) DE PERTES COMMERCIALES (image =départ de clients, …) DE PROBLÈMES JURIDIQUES ( implication du dirigeant, …), DE RÉSULTATS ALÉATOIRES (sabotage immatériel, …), DE DÉSTABILISATION DE LORGANISATION, DU SERVICE (mécontentement des utilisateurs, …).

8 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 8 LES REFERENTIELS du marché Basés principalement sur le référentiel INCAS Basés sur les référentiels MARION, MEHARI, ERSICAP… Système Futur Intégration de la Sécurité dans les projets et logiciels en construction Système Existant Évaluation de la vulnérabilité et des risques du système déjà construit Règle dor : Ne pas chercher à faire tout avec lun ou lautre des référentiels « le futur nest pas lexistant même si parfois il sen inspire » Objectif : SDSSIObjectif : Sécurité des projets et développements

9 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 9 Manque de sécurité : Risques liés au PROCESSUS = démarche de construction du projet Organisation de projet inadaptée Insuffisance de compétences Coûts des projets trop élevés, Délais trop longs, Non conformité aux besoins, Utilisateurs non satisfaits, Logiciel choisit difficile à maîtriser … Plateformes techniques non adaptées au développement du projet Base dessai constituée uniquement de données dexploitation réelle Non participation de lexploitation à temps dans le projet Absence de formation prévue pour les utilisateurs Productivité médiocre des équipes de développement ….

10 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 10 Manque de sécurité : Risques liés au PRODUIT = Application Fonctions de lapplication non conformes aux besoins réels ou manquantes. Intégration de fonctions malveillantes (préparation de détournements ou de fraudes ou de destruction de données). Nombreuses erreurs et incidents à la mise en service décourageant les utilisateurs et se traduisant par un manque de confiance dans le nouveau système. Altérations programmées et progressives des données utilisées par lapplication. Absences de fonctions de contrôles rendant permissif lapplication aux intrusions et malveillances (utilisations détournées de son objectif) Absences de contrôles programmés de type : validation ou corrélation sur les données sensibles. Mécanismes de sécurité insuffisants ou inadaptés à la mise en production (chiffrement, altération des temps de réponse en période de pointe, …) Absences de fonctions et procédures de continuité de service adaptées à un mode dégradé ou au travail à domicile Absences de fonctions et procédures de sauvegardes et archivages adaptées au niveau de criticité de lapplication …

11 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 11 POURQUOI UN PEU DE METHODE : MCP ABSENCE DE METHODE DE CONDUITE DE PROJET = CONDUITE EN ETAT DIVRESSE INDEPENDANT DE LA TAILLE ET LIMPORTANCE DU PROJET LA TRAME DOIT ETRE RESPECTEE HELAS BEAUCOUP DENTREPRISE lONT OUBLIE …CERTES IL NY A PAS DE CONTRAVENTION MAIS LES DOMMAGES SONT SOUVENT CONSIDERABLES ET CACHES

12 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 12 Intégrer la sécurité dans la Méthode de Conduite de Projet, cest un des moyens de garantir la prise en compte effective de la maîtrise des risque dans chaque phase du cycle de conception et de développement de lapplication future, et dêtre conforme à la réglementation et aux normes de qualité. - Les études préalables - Les phases de conception et de modélisation - Les phases de développement (phase de réalisation, tests, …) - Les phases dinstallation et généralisation - Les phases de maintenance Lintégration de la maîtrise des risques sécurité est un moyen de faire évoluer la culture, le contexte organisationnel et méthodologique des DSI POURQUOI UN PEU DE METHODE

13 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 13 Cycle de vie dun projet On peut esquisser une comparaison avec notre cycle de vie Naissance Mise en exploitation = naissance de lapplication EO EP E. Fonct Real/test Recette E. Tech Rodage Enfance Adolescence Embryonnaire Dev.Cérébral Dif.Organes Fécondation Bilans de contrôle Généralisation Maturité Maintenance Vieillesse Conception dun nouveau système Fin de vie Conception enfants Mise en exploitation

14 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 14 MAITRISE DES RISQUES et SECURITE DES PROJETS

15 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 15 OBJECTIFS RÉDUIRE LES ACCIDENTS MAJEURS : Mesures de Détection détecter les risques avant quils ne surviennent (alarme, contrôle programmés, …) Mesures de Prévention Evaluer la vulnérabilité : les failles du SI, détecter les cyber menaces, … réduire la potentialité des risques Mesures de Protection réduire limpact des risques établir la cartographie des impacts suivre les risques (tableaux de bords, plan d actions,…)

16 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 16 OBJECTIFS (suite) RÉDUIRE LES ERREURS de conception des projets (concertation insuffisante avec la maîtrise douvrage, …) de réalisation et tests des programmes et logiciels dexploitation (processus denchaînement, …) RENDRE COMPLEXE ET RISQUÉE TOUTE TENTATIVE DE MALVEILLANCE (cybercriminalité, …)

17 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 17 EXEMPLES PROJETS ET APPLICATIONS CONCEPTION Changement de direction générale dune filiale + concertation insuffisante avec les utilisateurs sur le choix dun progiciel de crédit, à amener à son abandon pertes 5 Millions dEuros + démotivation du personnel ayant participé au projet Tests de logiciels industriels insuffisants, accidents de personnes RÉALISATION La démultiplication des forces de développement pour rattraper le retard a eu leffet inverse et a porté nuisance à lexhaustivité des tests, ce qui a généré des erreurs et par la suite des pertes de gros clients (manque à gagner : 124,30 Millions dEuros) FONCTIONNEMENT en Exploitation Introduction de code malveillant dans une application comptable, avec complicité, modifications des montants de virements et détournement, pertes 6 Millions dEuros.

18 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 18 EXEMPLES CYBERCRIMINALITE Août 2003, trois spammeurs condamnés à payer un Milliard de dollars damende, un fournisseur de service avait vu ses serveurs noyés sous un flot de spam : 10 millions d s publicitaires par jour ! Juin 2009, plus dune centaine de code daccès au système de gestion des résultats du baccalauréat se sont retrouvés sur internet ! Avril 200,Atteinte au secret de fabrication vers la concurrence (entreprise Duracell) Janvier 2008, prise de contrôle du système de signalisation et daiguillage des tramways en Pologne ville de Lodz, deux trams sont entrés en collision et dautres ont déraillés. Il faut avoir conscience que même à jour les anti-virus ne détectent que les virus connus et ne sont daucune utilité pour les nouveaux

19 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 19 QUELQUES PISTES POUR RÉDUIRE LES DÉFAUTS DU DEVELOPPEMENT REVUES DES SPÉCIFICATIONS FONCTIONNELLES REVUES DE LA CONCEPTION DÉTAILLÉ TECHNIQUE TESTS UNITAIRES : jeux de tests programmes, REVUES DE FIN DE PROGRAMMATION : inspection de code, … TESTS DINTÉGRATION Contrôle de l enchaînement des modules, jeux dessais utilisateurs,… TESTS INTER-APPLICATION Fonctionnement des applications entres-elles, interfaces

20 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 20 QUELQUES PISTES POUR RÉDUIRE LES DÉFAUTS DU DEVELOPPEMENT TESTS DE NON RÉGRESSION Vérifier qu après une modification ce qui marchait avant marche toujours TESTS FONCTIONNELS Contrôle de validité par rapport aux spécifications, relecture, inspection par dautres analystes TESTS SUR SITE Satisfaction aux normes de lexploitation, Validation des dossiers dexploitation, fonctionnement à blanc, … TESTS DE PERFORMANCES Robustesse, sécurité, temps de réponse, plateforme dessai, … AUDIT DE PROJET

21 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 21 CHAMPS de la Sécurité Projet FLUX (échanges à travers les réseaux) PROCESSUS FONCTIONNELLES (règles de gestion, …) PROCEDURES (organisation métier : utilisateur) DONNÉES (le DICP des données) MATÉRIELS et RESEAUX (continuité de service) LOGICIELS (exhaustivité des fonctionnalités demandées)

22 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 22 PRINCIPE de la Maîtrise des risques IDENTIFIER et CLASSIFIER, les risques susceptibles de se produire (Accident, Erreur, Malveillance) et EVALUER leur gravité (Impact et potentialité) DÉFINIR LES MESURES de REDUCTION des risques (besoins, services et mécanismes) ëLES VALIDER robustesse et pérennité réduction de limpact du risque (Conséquences) réduction de la potentialité du risque (Efficacité des mesures ) ëLES JUSTIFIER Au cours des phases du projet

23 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 23 LES CRITERES danalyse du risque sécurité DisponibilitéDn IntégritéIn ConfidentialitéCn Preuve et contrôlePn Réglementation et JuridiqueRn

24 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 24 LA GRADUATION de la gravité des risques Stratégiquen = 4 (Politique) Critiquen = 3 (mise en cause de la continuité des activités) Sensiblen = 2 (perturbation significative) INACCEPTABLE Faible n = 0 ou 1 ACCEPTABLE

25 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 25 LES ACTEURS dans un projet Léquipe de projet Utilisateur (MOA) Léquipe de projet Informatique (MOE) Le qualiticien Le RSSI ponctuellement Les experts, selon les phases : Infrastructure et télécommunication Administrateur des données Gestionnaire des habilitations Spécialiste de la production... Le contrôle : bilan qualité et sécurité

26 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 26 ACTIONS SECURITE PAR PHASE PROJET Etude dopportunitéEbauche : Identification des risques avérés sur le système existant (MOA – MOE) Etude préalableAnalyse des risques du système futur Déclinaison des besoins sécurité du projet (MOE – MOA) Etude fonctionnelle et techniqueMise en place des mesures de réduction des risques sécurité (MOE) DéveloppementEncodage, tests et recette de la nouvelle application (MOE – MOA) Mise en production et généralisationBilan et revue sécurité de lapplication

27 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 27 La sécurité en Étude dOpportunité

28 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 28 ACTIONS DE SÉCURITÉ EN PHASE : ÉTUDE DOPPORTUNITÉ Maîtrise des risques : SECURITE IDENTIFIER LES ACTIVITÉS METIERS DU SYSTEME EXISTANT ET ANALYSER LES RISQUES AVERES DICP(r) ET LEUR GRAVITE on ne retiendra pour lanalyse en étude préalable que ceux classés critiques

29 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 29 RECENSER LES RISQUES AVERES SUR LEXISTANT OBJECTIFS : Recenser les risques survenus et ce à quoi on a échappé pour être en mesure de les éviter dans le futur système. Définir la cible de sécurité DICP® du système futur. MOYENS : Connaissance du système existant par les utilisateurs. Résultats daudit, rapports, questionnaire de vulnérabilité, etc.. RÉSULTATS : Liste des risques survenus et jugés inacceptables. Extrapolation « ce à quoi on a échappé ». D I C P existant cible

30 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 30 MODE DEMPLOI : IDENTIFICATION DES ACTIVITES CRITIQUES DU PROJET Question : QUE SEST-IL PASSE sur le SE (Système Existant) Indisponible prolongée pour les utilisateurs métiers? Fourniture de résultat erronés, incomplets ou altérés ? Intrusion dans le SE par un tiers non autorisé ? Absence de traçabilité ? Non respect de la réglementation et des lois ? Faire ressortir les activités jugées critiques

31 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 31 La sécurité en phase d Étude Préalable

32 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 32 RISQUES SUR LE DEVELOPPEMENT DU PROJET APPRÉCIER LES RISQUES LIÉS AU PROCESSUS PROJET. RISQUES SUR LE SF (Système Future) Analyse des RISQUES sur le projet FONCTIONNELS et TECHNIQUES PROGICIELS Détermination des Orientations et Mesures de réduction de la gravité des risques Synthèse sécurité : Expression des Besoins DICP de lapplication future ACTIONS DE SÉCURITÉ EN PHASE ÉTUDE PRÉALABLE

33 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 33 RISQUES LIÉS AU DEVELOPPEMENT DU PROJET AU DÉBUT DE CHAQUE PHASE DU PROJET, ANALYSE DES RISQUES DE DERAPAGE LIÉS : à la taille, au contexte organisationnel, à l environnement technologique et au savoir Outil : QUESTIONNAIRE ET UNE GRILLE DÉVALUATION

34 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 34 RISQUES LIÉS A LA TAILLE DU PROJET 1. MATRICE CHARGES / DÉLAIS : Exemple 2. NOMBRE DE DIRECTIONS CONCERNÉES (1, 2, 5 et plus)

35 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 35 CONTEXTE ORGANISATIONNEL IMPACT SUR LES PROCÉDURES EXISTANTES. IMPACT SUR LA STRUCTURE ET LORGANISATION EXISTANTE. MOTIVATION DE L UTILISATEUR. PARTICIPATION DES UTILISATEURS. EXISTENCE DUNE ÉQUIPE DE PROJET : UTILISATEURS - INFORMATICIENS.

36 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 36 ASPECTS MATÉRIELS ASPECTS LOGICIELS CONNAISSANCE INFORMATIQUE DES UTILISATEURS CONNAISSANCE DU METIER PAR LES UTILISATEURS CONNAISSANCE DU DOMAINE PAR LES INFORMATICIENS ENVIRONNEMENT TECHNOLOGIQUE ET SAVOIR

37 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 37 SYNTHESE DES RISQUES LIÉS AU PROCESSUS PROJET NOTE ET PONDÉRATION POUR CHAQUE QUESTION. LA NOTE GLOBALE EST POSITIONNÉE SUR UNE ÉCHELLE DE NOTATION DU RISQUE (de 57 à 250) PRÉCISANT LE NIVEAU DE RISQUE DU PROCESSUS PROJET

38 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 38 Échelle de notation du niveau de risque FaibleSensibleCritique Inacceptable Niveau de risque lié au développement du projet : faible sensible critique inacceptable EXEMPLE DOUTIL : MATRICE PONDEREE

39 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 39 ANALYSE DES RISQUES DU SYSTÈME FUTUR QUOI FAIRE ? Identifier pour les activités classées critiques : LES RISQUES liés aux FLUX, PROCESSUS, DONNÉES, et ARCHITECTURE TECHNIQUE en termes daccidents, erreurs, malveillances Définir les ORIENTATIONS et MESURES DE SÉCURITÉ PERMETTANT DE RÉDUIRE LA GRAVITÉ DE CES RISQUES. Établir UNE SYNTHÈSE ET UN BILAN DE JUSTIFICATION RISQUES/MESURES.

40 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 40 COMMENT FAIRE ? POUR CHAQUE RISQUE MAJEUR RETENU par la MOA et la MOE Décrire le risque probable compte tenu de lenvironnement, de lorganisation et de larchitecture technique prévue (Centrale, Distribuée, Internet, Cloud Computing, …). Décrire les conséquences de ce risque en terme dimpact et de potentialité,, et le type de préjudice subi, ANALYSE DES RISQUES DU SF

41 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 41 CLASSIFICATION DICP® pour le flux de données virements EXEMPLE : FORMALISME ON OBTIENT AINSI UNE CARTOGRAPHIE DETAILLEE DE LA GRAVITE DES RISQUES SUR LE SYSTEME FUTUR Gestion des crédits Entreprises et Particuliers Entreprises et Particuliers virements D 2 I 3 C 1 P 2 R1R1

42 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 42 EXEMPLE : ARCHITECTURE TECHNIQUE Serveurs orient Configuration IBM – site central Serveurs US INTERNET SERVEUR Bde B. Données ETHERNET UNIX WINDOWS D 3 D 2,I 3 C 2 IMP Hard copy Les composants pour lesquels les risques détectés sont classés critiques sont mis en évidence et la valeur des facteurs DICP est mentionnée. SGBD Intranet D1, I3, P3, C3 C3, P3 C2, P2 Firewall / chiffrement PW + carte

43 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 43 MESURES DE SÉCURITÉ POUR LE SYSTÈME FUTUR On les présente : Par typologie « D,I,C,P,R » le RISQUE en tenant compte des exigences de sécurité du SF : - Définir des ensembles de MESURES qui permettent de ramener les préjudices subis à un niveau jugé acceptable. - sassurer de la faisabilité de mise en place Pour quun risque diminue il est recommandé de prendre des mesures de sécurité permettant de réduire à la fois : La potentialité du risque (sa fréquence de survenance) Limpact du risque (les conséquences et les préjudices subis).

44 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 44 FAISABILITE ET SUIVI DE MISE EN PLACE DES MESURES POUR CHAQUE ENSEMBLE DE MESURES DE SÉCURITÉ : Indiquer dans quelle phase du projet les mesures doivent être prises en compte, Préciser la direction (ou le service) responsable de la mise en oeuvre des mesures, Estimer la cotation de la gravité résiduelle du risque, Valoriser (si possible) le coût des mesures, Indiquer les modalités de mise en place des mesures (organisationnelles, techniques, …).

45 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 45 EXEMPLE DE FORMALISME Description du risque : Accès illicite à des informations confidentielles, il en résulte une publication dinformation erronée dans la presse mettant en cause létablissement sur un plan juridique et dimage. Conséquences : Atteinte à limage de létablissement, perte de clientèle à gros capitaux qui ne peut accepter de traiter avec un établissement dont limage est entachée. Mise en cause possible du Directoire. Mesures recommandées : Stratégie : Contrôler que lapplication des règles de confidentialité de base sont applicables à la nouvelle application (contrôle daccès généralisé aux impressions et documents confidentiels, …). Organisation : Mettre en place la séparation des pouvoirs pour les accès aux fichiers et documents sensibles Technique : Mettre en place un contrôle daccès au système dinformation (authentification forte : réseaux, serveurs, postes de travail, …), plus un système de trace (preuve et contrôle)

46 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 46 ANALYSE DE LA SECURITE DES LOGICIELS OU PROGICIELS RETENUS POUR LE SF OBJECTIF : ëSassurer que le ou les progiciels, logiciels prennent en compte les aspects essentiels de la sécurité. MOYENS : ëDocumentation détaillée du progiciel analysé. ëConnaissance du domaine traité dans le projet. OUTIL : QUESTIONNAIRE SÉCURITÉ DES PROGICIELS.

47 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 47 QUESTIONNAIRE SÉCURITÉ DES PROGICIELS Dans la cadre dun choix de logiciel ou en complément, on déroulera UN QUESTIONNAIRE COUVRANT LES THÈMES : Adaptation du progiciel ou logiciel à lenvironnement applicatif et/ou matériel Les dispositifs de sécurité du progiciel lui-même. La sécurité de lapplication traitée par le progiciel

48 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 48 EXEMPLES QUESTIONNAIRE PROGICIELS : ADAPTATION A L ENVIRONNEMENT

49 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 49 QUESTIONNAIRE PROGICIELS : SÉCURITÉ DES PROGICIELS EXEMPLES :

50 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 50 QUESTIONNAIRE PROGICIELS : SÉCURITÉ DES APPLICATIONS TRAITÉES EXEMPLES :

51 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 51 EN FIN DE PHASE, ÉTABLIR UNE SYNTHÈSE PERMETTANT DE METTRE EN RELIEF LES RISQUES DETECTES : Risques de manque de maîtrise du processus projet Risques sur le processus produit du système futur Besoins de sécurité du futur projet bilan économique justification des besoins de sécurité SYNTHÈSE SÉCURITÉ DU SYSTÈME FUTUR EN PHASE DÉTUDE PRÉALABLE

52 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 52 La sécurité en Étude Détaillée Fonctionnelle et Technique

53 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 53 ACTIONS DE SÉCURITÉ EN PHASE ÉTUDE DÉTAILLÉE FONCTIONNELLE ET TECHNIQUE Fonctionnel et organisationnel IDENTIFICATION DES PROPRIÉTAIRES DINFORMATION ET DES GESTIONNAIRES DHABILITATION. DÉTERMINATION DES MOYENS FONCTIONNELS DE SÉCURITÉ A APPLIQUER : Habilitations SGBD, Sauvegardes, Plan de secours application DÉFINITION DES MOYENS ORGANISATIONNELS DE SECURITE : PROCEDURES DÉGRADÉES : procédures utilisateurs et dexploitation. Technique informatique DÉTERMINATION DES MOYENS DE SÉCURITÉ INFORMATIQUE A APPLIQUER EN DEVELOPPEMENT : constitution des jeux dessai, recette DÉTERMINATION DES MOYENS TECHNIQUES DE SÉCURITÉ A METTRE EN ŒUVRE : Habilitations SGBD, Sauvegardes, Plan de secours application IDENTIFICATION DES RISQUES TECHNIQUES : Internet, Intranet, réseau, architecture technique) SYNTHÈSE SÉCURITÉ : Dossier Sécurité Projet « DSP ».

54 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 54 Exemple de formalisme : INTÉGRITÉ ET CONFIDENTIALITÉ DES TRANSACTIONS (Flux réseaux)

55 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 55 Exemple de formalisme :INTÉGRITÉ ET CONFIDENTIALITÉ DU BATCH (Impressions, traitements par lots)

56 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 56 EN REPRENANT LES OBJETS RECENSÉS COMME CRITIQUES, EN TERME DE DISPONIBILITÉ, DÉCRIRE : lindisponibilité maximum admissible combien de temps peut-on rester sans moyens informatiques, sans que cela devienne insupportable ? combien de temps peut-on travailler avec les mesures dégradées, avant que cela devienne insupportable ? Quelle perte de données est-elle acceptable : 0,5j – 1j – 2j – ou plus ? les mesures et moyens de continuité à prévoir dans le cadre de lapplication future utilisateur : procédures organisationnelles, (travail en local sur micro, …) informatique : moyens techniques, (sauvegardes de recours, secours des matériels vitaux, …) DÉFINITION DES PROCÉDURES DÉGRADÉES

57 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 57 DÉFINITION DES PROCÉDURES DÉGRADÉES

58 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 58 SÉCURITÉ INFORMATIQUE DES JEUX D ESSAI RECENSER LES DONNÉES EXTRAITES DE FICHIERS DEXPLOITATION QUI SERVIRONT AUX JEUX DESSAI. CLASSER CES DONNÉES EN FONCTION DE LEUR NIVEAU DE CONFIDENTIALITÉ ESTIMÉ. DÉFINIR LES MESURES GARANTISSANT LEUR CONFIDENTIALITÉ masquage des données, visualisation restrictive, modification des données réelles afin de les rendre impersonnelles et non significatives pour un tiers. PRÉCISER LES MOYENS MIS EN OEUVRE POUR ASSURER LA PÉRENNITÉ ET LÉVOLUTION COHÉRENTE DES JEUX DESSAI.

59 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 59 IDENTIFICATION DES RISQUES TECHNIQUES IDENTIFIER LES RISQUES TECHNIQUES INDUITS PAR DES CHOIX CONCERNANT : Les connexions de lapplication avec lextérieur : Internet, Cloud computing, … Les langages de programmation : Java, Pascal, Cobol, … Les matériels et système dexploitation : micro portable, Windows 7, Androïde,… Lexploitation centralisée : procédures techniques, etc.

60 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 60 PRÉCISER, POUR LES FICHIERS CRITIQUES : LE TYPE DE SAUVEGARDE : Technique : en interne sur site : robot, médiathèque, …(niveau 1), A l extérieur : dans un lieu éloigné du centre informatique (niveau 2) Recours : destinées au plan de secours, stockée hors site en prévision dun back-up (niveau 3), Très Haute Sécurité (THS) : assure lintégrité des données et applications sauvegardées (niveau 4). LE NOMBRE DE GÉNÉRATIONS, LA PÉRIODICITÉ, ETC. SAUVEGARDE ET ARCHIVAGE INFORMATIQUE

61 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 61 EN FONCTION DES MESURES DE SÉCURITÉ RETENUES POUR LE PROJET, FAIRE : la mise à jour des actions du plan de secours existant, la création éventuelle dun plan de secours spécifiques à lapplication future en fonction de sa criticité pour lentreprise. MISE A JOUR DU PLAN DE SECOURS

62 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 62 DÉFINIR DES MOYENS SPÉCIFIQUES TELS QUE DES AUTORISATIONS PLUS FINES SUR UN CHAMP OU UN ENSEMBLE DE DONNÉES. ASSURER LA RÉPARTITION ET LA SÉPARATION DES DONNÉES SENSIBLES DE FAÇON À EMPÊCHER TOUT ACCÈS NON AUTORISÉ. ASSURER LA SÉCURITÉ SPECIFIQUE DE LACCÈS AU SGBD ET ÉVENTUELLEMENT À SA DOCUMENTATION. DÉFINITION DE LA SECURITE DES SGBD

63 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 63 RECENSEMENT DES MESURES TECHNIQUES DE SÉCURITÉ METTRE EN PLACE LES COMPLEMENTS DE MESURES TECHNIQUES : Exemple : Sécurité Internet liée à lapplication (paramétrage spécifique des firewalls, sondes, scanners,…) Langages de programmation (contrôle qualité de la programmation, …) Matériels et systèmes dexploitation (habilitations spécifiques, …) Gestion de lexploitation (automatisation, …) Sauvegarde et archivage, SGBD (granularité des habilitations, …) Plan de secours informatique (actualisation si nécessaire, …)

64 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 64 SYNTHÈSE SÉCURITÉ DU SYSTÈME FUTUR EN ÉTUDE DÉTAILLÉE EN FIN DE PHASE DETUDE DETAILLEE, METTRE A JOUR LA SYNTHESE DE FIN DETUDE PREALABLE

65 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 65 La sécurité dans les phases de construction : réalisation, tests, recette, mise en production, …

66 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 66 EXEMPLE du QUESTIONNAIRE : ÉVALUATION SECURITE DE LA PROGRAMMATION ET TESTS

67 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 67 EXEMPLE : DE QUALIFICATION SECURITE DU DEVELOPPEMENT INFORMATIQUE

68 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 68 EXEMPLE : ÉVALUATION DE LA SECURITE EN PHASE D INSTALLATION

69 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 69 EXEMPLE : ÉVALUATION DE LA SECURITE LORS DE LA MISE EN ŒUVRE EN PRODUCTION

70 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 70 SYNTHÈSE SÉCURITÉ DU SYSTÈME FUTUR EN FIN DE PROJET, FAIRE UNE REVUE DES POINTS CLES DE SÉCURITÉ MIS EN ŒUVRE

71 Fin Recette Mise en Service MOE Créé [PDL] Plan de Développement Logiciel Clos Validé 2 Validé 3 Dossier de Synthèse Dossier darchitecture Dossier de test V1 Dossier de test V2 Dossier de Spécifications Spécifications organiques Doc produit Cartographie Exigences implémentées Mesures proposées MOA CDC finaliséCahier des charges V1 Note dopportunité Note de cadrage Plan de recette Jeux dessai Plan de formation Liste des anomalies I RRF [PDP] Plan de projet Dossier exploitation et sécurité Dossier dinvestissement. info INITIALISATIONCONCEPTIONCONSTRUCTION MISE EN OEUVRE Livraison en recette Lancement du projet Fin du projet Comité Comité pilotage Comité Engagements réciproques Comité métier REC INT CADDEV SO SF EBF INSACC BI OPP Comité décisionnel Comité investissement Revue d Architecture Analyse de la criticité Métier, Image Infrastructure, … Gestion de la sécurité PV sécurité (bilan) PV sécurité (bilan) Si choix de progiciel sécurité progiciel à remplir par les fournisseurs Analyse des risques métier et informatique Liste des exigences Exemple : Cycle de vie projet sécurisé Si critique

72 Version Septembre 2004 Diffusion limitée Formation à la sécurité des projets informatiques Page 72 A BIENTÔT POUR LEEXAMEN DE CONTROLE


Télécharger ppt "Maîtrise des risques dans les projets René HANOUZ Maîtrise des risques dans les projets René HANOUZ RHANOUZ Cabinet d expertise en SSI En introduction."

Présentations similaires


Annonces Google