Tableaux de bord sécurité

Tableaux de bord Objectifs des tableaux de bord Démarche Exemple de résultats

Stratégie générale d’entreprise Copyright Ageris Consulting Modèle général de gestion des risques du SI Stratégie générale d’entreprise Mesure et analyse des enjeux « métiers » 1 2 3 Approche « Top-down » Définition de la politique de sécurité du SI Mesure et analyse des risques résiduels Approche « Bottom-up » Actions techniques Définition & mise en œuvre d’un plan d’actions sécurité pluriannuel 4 Analyses financières Actions fonctionnelles Définition & mise en œuvre d’un tableau de bord sécurité 5 Copyright Ageris Consulting

Objectifs Permettre un suivi …… de l’efficacité des composants techniques des directives et des plans d’actions décidés du respect de la stratégie sécurité de l’entreprise Prendre des décisions en cas de dérives constatées

Le problème Les tableaux de bord actuels : Le contenu ne répond pas aux besoins Il manque des indicateurs Les indicateurs sont trop techniques et pas assez synthétiques Les besoins ne sont pas clairement exprimés : Des besoins à tous les niveaux hiérarchiques Des besoins importants de pilotage Des besoins de maîtrise de la situation actuelle

Le contexte de l’entreprise Les composants de l’architecture technique peuvent générer des fichiers d’événements qui peuvent être utilisés Des outils de suivi et de gestion sont généralement utilisés et collectent souvent des indicateurs  une formalisation est possible Les compétences techniques sont acquises Mais … Il n’existe pas de plateforme centralisée de traitement, ni d’automatisme de consolidation  Traitement manuel à prévoir Divers logiciels ne sont pas à jour, ou nécessitent des modules complémentaires  Coûts / investissements importants

Méthodologie de démarrage d’un projet Destinataires des tableaux de bord SSI Objectifs des tableaux de bord SSI Périodicité des tableaux de bord SSI Domaines à traiter dans les tableaux de bord SSI Domaines de sécurité à prendre en compte Format des tableaux de bord SSI Indicateurs de sécurité Analyse de l’existant Analyse de la faisabilité technique PHASE 1 : Analyse des besoins de la faisabilité Interviews PHASE 2 : Définition et analyse des indicateurs des tableaux de bord Classification des indicateurs Analyse des outils disponibles Présentation graphique (piste de réflexion) Ecart par rapport aux besoins Recommandations pour la suite du projet Logiciels vs indicateurs

L’approche générale Approche Top down : permet …… De juger sur l’efficacité des contrôles, d’identifier les décalages par rapport à la politique de sécurité ou aux objectifs de sécurité De suivre la situation de l’entreprise face aux directives sectorielles (ex : Bâle II et Sox 404 (Niveau stratégique)) De fournir des tendances permettant de réagir et d’anticiper (Niveau stratégique et tactique) De suivre les niveaux de risques encourus et les vulnérabilités résiduelles (Niveau stratégique et tactique) De mesurer le niveau de maîtrise de la sécurité (Niveau stratégique et tactique) De fournir une vue globale de la situation (Niveau stratégique, tactique et opérationnel) De permettre la définition d’objectif de progression et d’évolution (Niveau tactique et opérationnel) De fournir des statistiques sur les contrôles appliqués pour permettre de réajuster ces contrôles (Niveau opérationnel) Coupler les 2 approches Approche Bottom up : permet …..

EXEMPLE DE RÉSULTATS

Niveaux d'indicateurs & périodicités Selon le positionnement hiérarchique Indicateurs de niveau stratégique Semestriel Indicateurs de niveau tactique Trimestriel Indicateurs de niveau opérationnel Mensuel Pour être intelligibles et exploitables, les indicateurs doivent être regroupés en sous-ensemble cohérents et significatifs

Classification d'indicateurs Selon la faisabilité C1 : Indicateur immédiatement disponible C2 : Indicateur facile à mettre en œuvre C3 : Indicateurs difficile à mettre en œuvre C4 : Indicateurs impossible à mettre en œuvre domaines

Pré-sélection d’indicateurs Etape 1 : Partir d’une liste d’indicateurs issues d’une base de connaissance (230 filtrés à xxx), puis proposer une série d’indicateurs afin de fournir un tableau de bord de sécurité (TdB SSI) Etape 2 : Les choix d’indicateurs doivent être exprimés par différents interlocuteurs dans l’entreprise. Ils sont aussi liés à un juste équilibre (priorité, capacité à mesurer de manière fiable, coût-charge humain-logiciel, outils mis en place, etc...)

Indicateurs relatifs à la gestion des droits d’accès Classification d’indicateur Indicateurs sur les droits d’accès et l’utilisation des ressources informatiques immédiatement disponible Nombre de violation par ressources Nombre d’accès à des ressources critiques Nombre d’accès à la « Station de Travail Intégrée » par des développeurs Nombre d’utilisation des « users fonctionnels d’intervention en Production » par des développeurs Les nouveaux utilisateurs externes arrivés dans le mois (sélection possible par département) facile à mettre en œuvre Nombre de refus d'accès aux systèmes / Nombre total d'accès (aux systèmes) pour une période donnée Nombre de traces révélant une attaque réussie / Nombre de traces de refus Nombre d'accès constatés par profil en dehors des plages horaires pour une période donnée Nombre de demande d'interventions auprès du help-desk pour une période donnée sur une application choisie Nombre d'appels help-desk pour oubli de mot de passe / Nombre année antérieure Nombre de mots de passe ne respectant pas la directive de sécurité Nombre de tentative d'accès non autorisés / Nombre accès difficile à mettre en œuvre Nombre des interventions de télémaintenance / Nombre total d'interventions Nombre de fichiers infectés / Nombre de fichiers modifiés sur une période donnée Nombre d'incidents graves / Nombre d'incidents enregistrés au niveau système Nombre de refus d'accès aux applications critiques et/ou sensibles / Nombre total d'accès (aux applications critiques et/ou sensibles) pour une période donnée Nombre d'applications chiffrées / Nombre d'applications sensibles et/ou critiques Nombre d’incidents de connexion / Nombre d'utilisateurs impossible à mettre en œuvre Supprimer de la liste initiale

Indicateurs relatifs à la gestion des directives de sécurité Classification d’indicateur Indicateur sur les directives de sécurité immédiatement disponible Les pertes de résultat issues de fraudes internes Les pertes de résultat issues de fraudes externes Les pertes de résultat issues d’actes non-conformes à la législation sur la santé et la sécurité du travail Les pertes de résultat issues du non respect d’obligation professionnelle Les pertes de résultat issues de dégâts matériels Les pertes de résultat issues d’interruption de l’activité et de pannes informatiques Les pertes de résultat issues d’erreurs dans le traitement des transactions facile à mettre en œuvre Différentiel entre politique SSO et situation Suivi des actions d’audits Suivi des risques résiduels Suivi des baselines (conformité) / conformité des systèmes et des serveurs /conformité projet difficile à mettre en œuvre Traitement manuel ou ne pouvant être exploitable actuellement impossible à mettre en œuvre Supprimer de la liste initiale

Indicateurs relatifs à la gestion des attaques logiques Classification d’indicateur Indicateur sur les attaques logiques et incident technique immédiatement disponible Type d’incidents sécurité ouvert Nombre d’incidents par priorité facile à mettre en œuvre Nombre de réclamations (pour des problèmes d'accès) auprès du helpdesk pour une période donnée Nombre de virus détectés pour une période donnée Nombre de requêtes rejetées par le firewall Nombre d'attaque virale d'origine interne et externe Nombre de postes avec une installation d'antivirus défectueux / Nombre de postes Nombre de scans de port détectés par mois Nombre d'emails ne respectant pas la PSI du groupe (mailing list, données confidentielles, …) Nombre de blocage d'emails sur contenu abusif, offensant, ... Nombre de postes non à jour d'une version récente / Nombre de postes Nombre d'utilisateurs accédant, ou envoyant des fichiers chiffrés difficile à mettre en œuvre Nombre d’incidents par type de virus (ver, vbs, troyen …) Nombre de postes nomades avec des antivirus défectueux/ Nombre de postes nomades Nombre d'emails requérant un contrôle particulier par l'administrateur Nombre de tentatives de violation sur les environnements distants / Nombre d'environnements distants Nombre de multi connexions pour un même utilisateur sur une période donnée Nombre d'attaques ciblées manuelles par mois Nombre d'anomalies détectées par le logiciel antivirus (désactivation, dysfonctionnement,…) Nombre postes ayant une activité en dehors des heures ouvrables impossible à mettre en œuvre Supprimer de la liste initiale

Indicateurs relatifs à la gestion des failles de sécurité Classification d’indicateur Indicateur sur les failles de sécurité immédiatement disponible La saturation CPU des serveurs La valeur de pointe en terme de surcharge Les types d’incidents de surcharge (espace disque, charge I/O, mémoire, réseau) facile à mettre en œuvre Nombre d'incident dont le déclaration a dépassé un nombre de jour / Nombre d'incidents Nombre d'incidents de même nature ayant survenus plus d'une fois dans l'année (occurrence) Nombre d'incidents relevés Nombre d'incidents résolus lors de la détection, de l'enregistrement, à l'appel de l’utilisateur Nombre d'incidents résolus dans un délai < 48 heures Nombre d'incidents non résolus après un délai de 5 jours Nombre d'incidents ayant la même origine au cours des 6 derniers mois. Taux d'incidents résolus référencés dans la base d'incidents du support Infoline Taux d'utilisation par ressource au cours de la période Nombre de systèmes ne respectant pas la directive sécurité sur la gestion des mots de passe difficile à mettre en œuvre Nombre de failles de sécurité signalées / Nombre de failles de l'année antérieure Nombre d'incidents graves dus aux applications et déclarés dans la base incident (et/ou dans la base du help desk) / Nombre année antérieure Nombre de connexion extérieure identifiée / Nombre de connexion année antérieure Nombre de liaison de télémaintenance / Nombre de liaison télémaintenance année antérieure Nombre de contrôles effectués au cours de la période / nombre d'incidents relevés Nombre d'investigations sur incidents ou anomalies non terminées au cours de la période Nombre d'activation de la télémaintenance au cours de la période Nombre et gravité d'incidents liés aux procédures d'exploitation. Nombre incidents type "incident de sécurité" relevé dans la "base incidents" / Nombre incidents type "incident de sécurité" de l'année antérieure impossible à mettre en œuvre Supprimer de la liste initiale

Formalisation des tableaux de bord Demande d’accès Suivi des incidents Incidents sécurité Niveau stratégique : 1 page 2/3 graphes par domaines SPECIMEN Montée en charge serveur Suivi des antivirus Risques bancaires SPECIMEN Niveau tactique : 4 pages (1 / domaine) 5 graphes par domaine

Indicateurs relatifs à la gestion des droits d’accès Proposition graphique sur la gestion des droits d’accès au SI Simulation de données réelles sur les demandes d’accès, le traitement et les demandes non valides

Indicateurs relatifs à la gestion des directives de sécurité Possibilité de représentation graphique sur la gestion de la PSI Suggestion de graphe pour la représentation de la fraude interne / externe

Indicateurs relatifs à la gestion des attaques logiques Représentation de l’information concernant les attaques logiques (simulation données réelles) Outil de reporting d’un éditeur antivirus pouvant être installé

Indicateurs relatifs à la gestion des failles de sécurité Graphe représentant les incidents par ressources Veille technologique sur les failles de sécurité des systèmes d’exploitation

Plan projet Schéma de mise en place prévisionnel 1 2 3 4 5 6 1T 2005 : Piloter le projet Validation et conception détaillée des outils de mesure Tableaux de bord simplifié Mise en place des outils et procédures Tableaux de bord amélioré Définir la démarche tableau de bord Priorités et stratégie de pilotage sécurité Proposition d’indicateurs mesurables Consolidation des résultats - analyse – adaptation permanente 1 2 3 4 5 6 1T 2005 : validation des indicateurs évaluation moyens à mettre en oeuvre budget du projet tableau de bord, lotissement 2T 2005 Lot 1 – tableau simplifié situation 2004 : mise en œuvre via collecte d’informations disponibles (reporting Excel par remontées manuelles) 3T 2005 Lot 2 – élaboration tableau amélioré situation 1T 2005 : indicateurs complémentaires via outils techniques dédiés à la mesure du niveau de sécurité 2005-2006 Lot 3 – tableau automatisé

Groupes de travail / Tâches Un projet peut permettre la mise au point complète et la finalisation des TdBs … Avec des groupes des travail ou des tâches clairement identifié(e)s : GT / Tâche « UTILISATION » GT / Tâche « TECHNIQUE » GT / Tâche « PILOTAGE » GT / Tâche « EXPLOITATION »

Quelques recommandations Une approche progressive et pragmatique est souhaitable (ex. : en démarrant par des tableaux de bord simplifiés et réalisés manuellement pour acquérir l’expérience) Il est important de désigner un « chef de projet » pour piloter le projet Des outils sont aisément utilisables pour la formalisation des TdB stratégiques et tactiques