l'analyse de risque dans le cadre du système...
TRANSCRIPT
2 et 3 décembre 2015, Biarritz6ème rencontre du Réseau Qualité en Recherche
L'Analyse de risque dans le cadredu système d’information
1
Alain Rivet
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Analyse de risque dans le cadredu système d’information
Objectifs de la présentation:
• Appréhender les enjeux de la sécurité des systèmes d’information dans notre contexte
• Découvrir la logique de la norme qui y est associée
La théorie …..et la pratique
• Une présentation
• Une mise en pratique
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Analyse de risque dans le cadredu système d’information
La problématique
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Le laboratoire : un patrimoine scientifique
convoité
la réputation du laboratoire
La valorisation de la recherche
le portefeuille de contrats de recherche (organismes publics,
entreprises privées…)
les données informationnelles
les compétences (savoir, savoir faire)
le potentiel technique (infrastructures,
installations, matériels…)
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
l’espionnage visant des secrets de
défense à des fins de prolifération ou de
terrorisme
l’espionnage scientifique et
industriel
l’altération de données
l ’atteinte à la disponibilité ,
intégrité, confidentialité de
l’information
l ’utilisation frauduleuse de
moyens informatiques
l ’atteinte à des personnes ou des
biens
mais aussi les risques juridiques (civils,
pénaux)….
…soumis à des menaces !
Joseph Illand – FSD du CNRS – présentation réunion des CRSSI 2007
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Disponibilité de l ’outil de travail
Intégrité des systèmes et des
personnes
Protection de données sensibles • données du patrimoine
scientifique
• données de gestion• données individuelles
Protection juridique • Risques administratifs
• Risques pénaux
• Protection de l’image de marque
Les enjeux de la Sécurité des SI
Finalité « protection du patrimoine scientifique »
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Cadre institutionnel de la sécurité des Systèmes d’Information au CNRS
Direction des Systèmes d’Information (DSI)
Direction du CNRS
Secrétariat Général Fonctionnaire de Sécurité Défense
Sécurité
Coordinateurs sécurité
Unités de recherche
Service des Systèmes d’Information
Architecture et applications
Délégation régionale
National
Régional
CRSSI
CSSILocal
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Analyse de risque dans le cadredu système d’information
Les référentiels
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Appréhender la sécurité de l’information sous l’angle du management permet de dépasser le stade purement technique de la SSI.
La sécurité…
L’intérêt de l’approche par la norme
La technologie
L’individu
La procédure
Suivre une politique permet :
• de piloter
• de sensibiliser et fédérer
les utilisateurs
• de discuter avec les
partenaires
• de maîtriser la SSI
La sécurité…La technologie
L’individu
La procédure
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
L’hiver est là
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Système de management
• Organisationnelles
• Techniques
• Humaines
Ensemble de mesures
• D’atteindre un objectif
• Une fois atteint, d’y rester dans la duréePermettant
Mesurestechniques
Mesuresorganisationnelles
PolitiqueSituation actuelle
Situation visée
Objectifs
L’intérêt de l’approche par la norme
D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Norme ISO 2700x : SMSI
SMSI : Système de management de la sécuritéde l'information
• Intègre la gestion des risques liés aux systèmes d'information (SI)
• Norme organisationnelle structurante relative à la sécurité des SI et les bonnes pratiques associées
• Différentes normes :
• ISO 27001 : Exigences
• ISO 27002 : Code de bonnes pratiques
• ISO 27004 : Mesurage
• ISO 27005 : Gestion du risque
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Les différentes étapes de mise en place du SMSI
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Phase PLAN du modèle PDCA
Périmètre du SMSI
Politique du SMSI
Plan de gestion des risques
Appréciation des risques
Traitement des risques
Objectifs de sécurité et mesures de sécurité
Déclaration d'applicabilité : DdA
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Analyse de risque dans le cadredu système d’information
La gestion des risques
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Risque en sécurité de l’information
Risque de sécurité de l'information :
Possibilité qu'une menace puisse exploiter une vulnérabilité d'un actif et causer ainsi un préjudice à l'organisation
Mesuré par combinaison de :
• Probabilité d'occurrence ou vraisemblance ou potentialité de l'évènement
• Impact ou conséquence ou préjudice
• Impact : Sécurité de l'information
• Conséquence : processus métier
MenaceVuln
éra
bilité
Actif
Impact
Conséquenceou Préjudice
Exploite
Cib
lePossède
Ca
us
e
Permet la réalisation
Pro
vo
qu
e
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
La gestion du risque
La gestion du risque analyse les
évènements susceptibles de se produire
et leurs possibles conséquences avant de
décider :
ce qui pourrait être fait,
dans quels délais
à quel moment,
pour réduire les risques à un niveau
acceptable.
Com
mu
nic
atio
n d
u ris
qu
e
Su
rve
illance
et ré
exa
me
n d
u ris
qu
e
Établissement du contexte
Acceptation du risque
Évaluation du risque
Estimation du risque
Identification du risque
Traitement du risque
oui
non
non
oui
Appréciation du risque
Appréciation satisfaisante ?
Traitement satisfaisant ?
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Définir l'approche d'appréciation du risque
• Définir une méthodologie d’appréciation du risque (Mehari, Ebios, ISO 27005)
• Décrire les critères d’acceptation des risques
Démarche d'identification des risques
• Identifier les actifs ou biens (et leur propriétaire)
• Identifier les menaces sur ces actifs
• Identifier les vulnérabilités qui pourraient être exploitées par une menace
• Identifier les impacts d’une perte de Confidentialité, Intégrité et Disponibilité
Appréciation du risque
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Démarche d'analyse et d'évaluation des risques
• Évaluer l'impact sur l'organisation et son métier des pertes sur les actifs
• Évaluer la probabilité d’occurrence des défaillances de sécurité
• Estimer les niveaux de risque
• Décider si le risque est acceptable
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Types de traitement
• Accepter le risque (prendre le risque)
• en toute connaissance de cause
• de façon objective
• Éviter ou refuser le risque
• Transférer le risque (Assureurs, Fournisseurs)
• Appliquer les mesures de sécurité appropriées
Traitement du risque
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Sélectionner les objectifs de sécurité et les mesures de sécurité
• En fonction des résultats de l’appréciation des risques
• Utiliser l’Annexe A de l’ISO 27001 et l’ISO 27002
• Pas de mesure obligatoire (même si certaines sont, de fait,
incontournables)
• En puisant dans cette liste, sûr de ne rien oublier d’important
• Possible de choisir d’autres mesures de sécurité (si absentes de
l’annexe A)
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Préparer la Déclaration d’Applicabilité (DdA) :
• Objectifs de sécurité sélectionnés
• Mesures de sécurité retenues (raison de leur sélection)
• Mesures de sécurité effectivement mises en place
• Mesures de sécurité non retenues (raison de leur mise à
l’écart)
DdA permet de vérifier que l’on n’a rien oublié
PSSI
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Le SMSI
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Analyse de risque dans le cadredu système d’information
Atelier
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Étude de cas :Utilisation d’un portable par un chercheur
Utilisation du portable lors de ses déplacements :
• Le disque dur contient des résultats de recherche et des informations stratégiques (courriels échangés avec des partenaires
industriels, rapport de recherche, projet de brevet)
• Ce chercheur se déplace régulièrement à l’étranger et utilise son ordinateur dans des endroits publics exposés (aéroports,
gares, hôtels...)
• La seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Projet
• Définir les actifs
• Identifier les risques
• Evaluer les risques
• Traiter les risques
Travail individuel ou en groupes
Restitution
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Définition des critères
Echelle de valorisation des actifs
0 (valeur négligeable) : les effets ne sont pas décelables
1 (valeur faible) : affecte essentiellement des éléments de confort
2 (valeur significative) : affaiblit la performance de l’unité
3 (valeur élevée) : affecte l’organisme
4 (valeur critique) : mets en danger les missions essentielles de l’organisme
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Critères d'évaluation des risques
Probabilité d’occurrence
Basse Moyenne Haute
Facilité d’exploitation
Difficile Moyenne Facile Difficile Moyenne Facile Difficile Moyenne Facile
Valeur de l’actif/niveau de
l’im
pact
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 67
8
Cinq niveaux dans les critères d’évaluation du risque :1.Risques nuls (vert : 0)2.Risques négligeables (Jaune : 1-2)3.Risques significatifs (Rose : 3-4)4.Risques graves (Rouge : 5-6)5.Risques vitaux (Bordeaux : 7-8)
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Identification des risquesExemple de scénario/conséquence
Scénarios d'incident Impacts/Conséquences
Un service d’investigation veut obtenir des
transferts sur les recherches que mène un
laboratoire. Il fait proposer par une université
une invitation de six mois à un directeur de
recherche de cette unité.
Perte de compétitivité de recherche du laboratoire.
Au cours du passage à la douane le disque dur,
qui comportait un article en cours de rédaction,
est recopié.
La perte de l’article et des résultats de recherche
empêche sa publication.
Un brevet en voie de dépôt, des courriels
échangés au sein de la collaboration de
recherche et des négociations entre des
partenaires industriels ont été espionnés.
Un industriel concurrent dépose un brevet de
barrage.
Perte d’image du laboratoire
Perte de confiance des partenaires industriels
Difficulté au sein de la collaboration de recherche
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Actifs Menaces Vulnérabilités
Actifs primordiaux
Informations stockées
sur l’ordinateur
portable
Pertes d’efficacité/
pertes de contrats
Possibilité de transfert
des informations
sensibles à des
organismes hostiles
Faible sensibilisation des chercheurs : le
processus de publication est un actif dont la perte
affecte la performance (les résultats de recherche
sont donc un actif critique)
Stockage en clair des données du laboratoire
(informations stratégiques) et de données à
caractère privé
Actifs de soutien
Ordinateur portable
Vol de l’ordinateur
portable Caractère mobile de l'ordinateur portable
Identification des risquesExemple de vulnérabilités liées aux actifs
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Actif
Pro
bab
ili
té
d’o
ccu
rr
en
ce
Fac
ilité
d’e
xp
loit
atio
n
Niv
eau
de
risq
ue
Traitement du risqueNom
Valorisa
tion
Données
utilisateur3
Hau
te
Mo
ye
nn
e
6
Objectif: Maintenir l’intégrité et la disponibilité des
informations et des moyens de traitement de l’information.
A.10.5.1 - Sauvegarde des informations
Mesure : Des copies de sauvegarde des informations et
logiciels doivent être
réalisées et soumises régulièrement à essai conformément à
la
politique de sauvegarde convenue.
Objectif: Protéger la confidentialité, l’authenticité ou
l’intégrité de l’information par des moyens cryptographiques
A.12.3.1 - Politique d’utilisation des mesures
cryptographiques
Mesure : Une politique d’utilisation des mesures
cryptographiques en vue de protéger l’information doit être
élaborée et mise en oeuvre.
Ordinateur
portable2
Mo
ye
nn
e
Mo
ye
nn
e
4
Objectif: Empêcher l’accès d’utilisateurs non habilités et la
compromission ou le vol d’informations et de moyens de
traitement de l’information
A.11.3.2 - Matériel utilisateur laissé sans surveillance
Mesure : Les utilisateurs doivent s’assurer que tout matériel
laissé sans
surveillance est doté d’une protection appropriée.
Objectif: Garantir la sécurité de l’information lors de
l’utilisation d’appareils informatiques mobiles et
d’équipements
de télétravail.
A 11.7.1 - Informatique mobile et télécommunications
Mesure : Une procédure formelle et des mesures de sécurité
appropriées doivent être mises en place pour assurer une
protection contre le risque lié à l’utilisation d’appareils
Appréciation du risque (et traitements)
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
ISO 27001 (annexes)
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Déclaration d’applicabilité
6ème rencontre du réseau Qualité en Recherche, Biarritz 2 et 3 décembre 2015
Conclusion sur la sécurité de l’information
•Exigences de sécurité
•Objectifs de sécurité
•Mesures de sécurité
• ISO 27001 est une norme certifiante pour la mise en place d’un SMSI
• ISO 27002 est la description détaillée des mesures de sécurité de l’annexe A de l’ISO 27001
• ISO 27005 : Guide de mise en œuvre de la partie appréciation des risques de la sécurité de l'information de l'ISO 27001