Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à la prise de décision. Gautier Dallons
Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique
Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique
Des faits inquiétants …
Des faits inquiétants …
L’or immatériel : l’information L’information a de la valeur Information sur un nouveau produit pour une société concurrente (Plusieurs millions d’euros) Information personnelle (Quelques euros à plusieurs milliers d’euros) Information bancaire pour un pirate (Quelques milliers d’euros ou plus) … L’impact d’une fuite d’information peut être grand Impacts financiers Impacts juridiques Impacts sociaux Impacts en terme d’image Nécessité de protéger l’information importante
Statistiques +/- 40 % d’origine interne +/- 60 % hors piraterie informatique majoritairement un problème organisationnel Source : CLUSSIF
Gestion du risque, pourquoi faire? Avoir connaissance des risques et de leur priorité pour l’entreprise Maîtriser les aléas de l’entreprise et de l’environnement Aider à prendre des décisions en connaissance de cause Assurer la survie et la pérennité de l’entreprise par la maîtrise des risques Gérer le court terme Gérer les risques
Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique
Quelques définitions Actif (Asset): élément du SI qui a de la valeur pour l’organisation (donnée papier/informatique, personnel, Infrastructure, …) Menace (Threat): évènement qui peut mettre en défaut la sécurité d’un actif Vulnérabilité (Vulnerability): faille du système permettant à une menace de se réaliser en impactant la sécurité d’un actif Risque (Risk): la probabilité qu’une menace exploite une vulnérabilité en mettant en défaut la sécurité d’un actif et provoque un impact pour l’entreprise R = P x I Certaines variantes sont plus complexes
Sécurité des actifs La sécurité des actifs reposent sur quatre grandes propriétés : La confidentialité L’intégrité La disponibilité La force probante (irrévocable, traçable, authentification)
Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique
Deux processus clés Gestion de la sécurité Processus global de gestion Basé sur la gestion du risque Gestion du risque Processus spécifique Fournit les éléments de décision Intégré dans la gestion de la sécurité
Gestion de la sécurité Basé sur la roue de Demming Niveau de sécurité du risque Plan Do Check Act Temps
Gestion du risque Analyse Objectifs de risque de sécurité Évaluation Traitement du risque Monitoring
Objectifs de sécurité Objectifs de sécurité Basé sur les objectifs du business La sécurité n’est pas un but en soi Entreprise Objectifs de sécurité S Objectifs business T Plan de réalisation Plan de sécurité Réalisation Mesures de sécurité O Stratégique, Tactique, Opérationnel
Analyse de risque Identifier les risques auxquels est sujet l’organisation Rendre explicite l’ensemble des aléas Partir des objectifs business et de sécurité Utiliser la connaissance du domaine Essayer d’être exhaustif Itération lors des cycles des mises à jour Décrire les risques Garder trace des risques Nécessaire à la gestion continue
Évaluation du risque Estimation De la probabilité De l’impact Trois grands types d’évaluation Impact P Très faible (1) Faible (2) Modéré (3) Important (4) Majeur (5) Très élevé Elevée Normal Haut Moyen Bas Méthode simplifiée (une dimension) PxI Méthode semi quantitative P et I évalués séparément Quantitative (basée sur les courbes de probabilité) P finement évalué
Traitement du risque Décision à prendre concernant le risque Refus Optimisation Transfert Prise de risque Des mesures à prendre dans le cas de l’optimisation Prévention Protection Les mesures doivent rentrer dans une stratégie globale de réduction du risque
Mesures S T O Rappel distinction entre moyen et fin (résultat) La sécurité est un état du système (une fin, un résultat) Une mesure est un moyen pouvant contribué à résultat Le moyen en lui-même ne garantit pas le résultat ISO 27002 (ISO 17799) Catalogue de mesure (moyens) Organisée selon 11 chapitres thématiques 5. Politique (règlement) 6. Organisation de la sécurité de l'information 7. Actifs 8. Ressources humaines 9. Sécurité physique 10. Communications et exploitation 11. Gestion d'accès 12. Acquisition, développement et maintenance 13. Incidents de sécurité 14. Continuité 15. Conformité Se place au niveau opérationnel IT Impliquée S T O
Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique
Méthodes d’analyse de risque CRAMM Méthode de l’OTAN UK Outillée EBIOS Méthode française de la DCSSI Octave USA Version spécifique pour les PMEs Mehari Méthode très utilisée en Belgique QuickWin Méthode du FEDICT …
Comparatif (ENISA)
Méthode QuickWin Avantages Légère Facilement compréhensible Applicable en PMEs et comme première approche en grandes entreprises Méthode orientée résultat Exploite le modèle ISMS de la norme 27001 Inconvénients Ne tient pas compte des probabilités Pas outillée Incomplète
Agenda Introduction Définitions Processus Gestion de la sécurité Gestion du risque Méthodes d’analyse de risques Cas pratique
Cas d’étude PME ICT Produit de conception assistée de ponts par ordinateur pour les ingénieurs Produit nettement supérieur à la concurrence (leader sur le marché) Mal documenté Pas de sécurité en place car jeune entreprise Travaille dans un grand garage 5 personnes toute hautement qualifiée 1 serveur partagé
Analyse des risques Rester leader sur le marché Vendre le produit existant Innover Résultats de recherche corrompus / volés / indisponibles Perte des ressources humaines qualifiées Produits (code) corrompus / indisponibles / volés Problème de gestion financière Perte des ressources humaines qualifiées Infrastructure technique nécessaire indisponible / corrompue Problème de gestion financière Infrastructure technique nécessaire indisponible / corrompue
Évaluation du risque Métrique L’entreprise détermine les aspects à prendre en compte pour l’évaluation des conséquences Pour chacun des aspects une échelle de gravité de 5 niveau est déterminée
Outil CAO Indisponibilité critique pour le business Corruption Risques humains si les calculs sont incorrects et risques en cascade Confidentialité Perte de leadership Preuve La paternité du programme est capitale (vol, …)
Données financières Indisponibilité critique sur le long terme pour la bonne marche de l’entreprise Corruption Le risque principal est juridique (comptabilité incorrecte, …) et risques indirects Confidentialité Les informations concernant les finances (paiement des clients) sont sensibles Preuve La comptabilité doit être incontestable
Employés Indisponibilité critique pour le business car le know-how leur appartient Corruption Risques humains si les calculs sont incorrects et risques en cascade Confidentialité Perte de leadership (vol, …)
Infrastructure Indisponibilité critique pour le business car le support, le développement et la R&D sont à l’arrêt
Recherches Indisponibilité long terme : perte de leadership Corruption Risques humains si les calculs sont incorrects et risques en cascade Confidentialité Perte de leadership Preuve La paternité des inventions est capitale (vol, …)
Synthèse des risques
Traitement du risque Information Protection directe Protection de surface Attaque Réduire l’impact plutôt que combattre les attaques et « patcher » les vulnérabilité Protection en profondeur plutôt que protection de surface Réduire les coûts de la sécurité en maximisant celle-ci
Analyse de la synthèse
Mesures (1/5) Diminution de l’indisponibilité des actifs numériques et d’infrastructure
Mesures (2/5) Diminution des risques de corruption des fichiers numériques
Mesures (3/5) Diminution des risques de divulgation des fichiers numériques depuis « l’extérieur »
Mesures (4/5) Diminution des risques d’enregistrements non probants pour l’outil et la recherche
Mesures (5/5) Diminution des risques humains
Synthèse après réduction Les risques résiduels sont devenus acceptables
Monitoring Mise en place de revue des risques Consultation d’un CERT … D’indicateurs de changement Remontée des incidents Contrôle des accès
Références Fedict (www.fedict.belgium.be/) ISO (http://www.iso.org/) ENISA (http://www.enisa.europa.eu/) Octave (http://www.cert.org/octave/)s MEHARI (http://www.clusif.asso.fr/) EBIOS (http://www.ssi.gouv.fr/fr/confiance/methodes.html ) Livres Information Security Risk Analysis (THOMAS R. PELTIER) Managing Information Security Risks: The OCTAVE Approach (Christopher Alberts, Audrey Dorofee)
Conclusions La gestion des risque Permet une prise de décision en connaissance de cause Permet la prioritisation et le choix des investissement Objective la perception des risques Permet le choix d’une stratégie par rapport à un problème Cependant Les méthodes ne sont pas toujours simple L’évaluation de la probabilité n’est pas facile Une culture du risque est nécessaire
Des questions, des idées … ?