1 sécurité des systèmes dinformation présenté par : m khalid safir ministère des...
TRANSCRIPT
1
Sécurité des systèmes d’information
Présenté par : M Khalid Safir
Ministère des finances(Maroc)
21 Juin 2006
2
Plan
Enjeux de la sécurité
Gouvernance SI et problématique du « Risk Management »
Référentiels et Méthodologies
Sécurité du SI à la TGR
3
Les enjeux de la sécurité de l’information
4
Les enjeux de la sécurité de l’information
« Les systèmes d’information font désormais partie intégrante du fonctionnement des administrations publiques, de l’activité des entreprises, et du mode de vie des citoyens. Les services qu’ils assurent nous sont tout aussi indispensables que l’approvisionnement en eau ou en électricité.
Pour l’Etat il s’agit d’un enjeu de souveraineté nationale. Il a en effet la responsabilité de garantir la sécurité de ses propres systèmes d’information, la continuité de fonctionnement des institutions et des infrastructures vitales pour les activités socioéconomiques du pays et la protection des entreprises et des citoyens.
De leur côté, les entreprises doivent protéger de la concurrence et de la malveillance leur système d’information qui irrigue l’ensemble de leur patrimoine (propriété intellectuelle et savoir faire) et porte leur stratégie de développement. »
5
Les enjeux de la sécurité de l’information
Limiter les Risques
Conformité
Créer la valeur
Productivité
6
•L’évolution des menaces est liée à la transformation des systèmes d’information (et des réglementations).
•Elle concerne essentiellement la malveillance (menaces d’origine humaine et intentionnelle).
•Quatre profils sont généralement définis :
… et les menaces évoluent
Les enjeux de la sécurité de l’information
Ludique (sans profit)
Cupide (pouvoir, argent)
Terroriste (idéologique)
Stratégique (économique, politique)
Les menaces existent …
Humaine
Intentionnelle Non intentionnelle
Externe Interne
• Personnel insuffisamment qualifié • Erreur humaine
• Piratage•Sabotage• Vol
Matérielle
• Panne matériel• Coupure électrique• Incendie • Dysfonctionnement matériel ou logiciel
Naturelle
• Activité géologique• Conditions météorologiques
7
1990 2003
email propagation of malicious code
widespread attacks using NNTP to distribute attack
widespread attacks on DNS infrastructure
executable code attacks (against browsers)
automated widespread attacks
GUI intruder tools
hijacking sessions
Internet social engineering attacks
packet spoofing
automated probes/scans
widespread denial-of-service
attackstechniques to analyze code for vulnerabilitieswithout source code
DDoS attacks
increase in worms
sophisticated command & control
anti-forensic techniques
home users targeted
distributed attack tools
increase in wide-scale Trojan horse distribution
Windows-based remote controllable
Trojans (Back Orifice)
Intruder Knowledge
Att
ack
So
ph
isti
cati
on
“stealth”/advanced scanning techniques
Source: CERT Carnegie Mellon University
Les enjeux de la sécurité de l’information
• Sophistication des attaques et compétences des attaquants depuis 20 ans
8
Gouvernance SI et problématique du « Risk Management »
9
Gouvernance SI et problématique du « Risk Management »
A la lumière de l’évolution, aux cours de ces dernières années, de l’environnement économique dans lequel évolue les entreprises, la gouvernance d’entreprise est devenue un équilibre entre performance et conformité.
Dès lors, la gouvernance de la sécurité de l’information, dans le sillage de la gouvernance des système d’information, soutient à la fois la gouvernance institutionnelle en permettant de maîtriser et réduire les risques et la gouvernance d’activité en créant de la valeur et améliorant la performance.
De la gouvernance d’entreprise à la gouvernance de la sécurité de l’information:
10
La fonction sécurité se doit alors de prendre une nouvelle dimension, dépassant la simple «fonction de spécialistes».
Il ne s’agit plus seulement de s’équiper de solutions de sécurité, mais de développer une véritable stratégie de sécurité à même :
de supporter les enjeux métiers de l’entreprise, qui se traduisent principalement par l’ouverture de son système d’information à l’ensemble de ses partenaires et par les nouveaux modes de communication (mobilité),
de répondre aux contraintes légales et réglementaires (SOX, loi sur la sécurité financière, protection des données personnelles …),
de prendre en compte l’évolution de la complexité des menaces associée à l’évolution des technologies supportant son système d’information,
et bien sûr de protéger son patrimoine informationnel et son infrastructure technique, au meilleur coût et en respectant la culture de l’entreprise.
La gouvernance de la sécurité de l’information devient un processus de management fondée sur la gestion du risque et la mise en œuvre de bonnes pratiques.
Gouvernance SI et problématique du « Risk Management »
11
La gestion des risques doit permettre d’identifier les événements de sécurité susceptibles de porter atteinte aux objectifs métiers de l’entreprise.
• La gouvernance de la sécurité de l’information devient un processus de management fondé sur la gestion des risques
Gouvernance SI et problématique du « Risk Management »
12
De la gouvernance aux opérations … de la responsabilité stratégique à la responsabilité opérationnelle
GouvernanceGouvernance
Architecture et standardsArchitecture et standards
Politiques et DirectivesPolitiques et Directives
Sen
sibilisatio
nS
ensib
ilisation
Surveillance et conformitéSurveillance et conformité
Définition et implémentation des
systèmes
Définition et implémentation des
systèmes
Définition et implémentation des
technologies
Définition et implémentation des
technologiesOpérationsOpérations
Gestion du risques
Gestion du risques
Périmètre OpérationnelPérimètre OpérationnelPérimètre StratégiquePérimètre Stratégique
Gouvernance SI et problématique du « Risk Management »
13
Contrôler et Superviser
Améliorer
Etablir le cadre général et Identifier
les risques
Modéliser et Implémenter
Check
Act
Plan Pilotage et Organisation Analyse de risques Etudes
Audit et contrôle Veille
Etudes Définition de
standards techniques
Mise en œuvre opérationnelle
Sensibilisation
Mise en œuvre opérationnelle
• Les fondations du cadre de gestion de la sécurité
Gouvernance SI et problématique du « Risk Management »
Do
14
Référentiels et méthodologies
Référentiels
La norme ISO La norme ISO 17799:200517799:2005
La norme ISO 27001
ITIL
COBIT
Méthodes analyse des risques
EBIOSEBIOS
MARION
MEHARI,
OCTAVE/USA
ISO 13335
15
Référentiels COBIT
IT P
roc
es
se
sIT
Pro
ce
ss
es
Business RequirementsBusiness Requirements
Pe
op
leP
eo
ple
Ap
pli
ca
tio
ns
Ap
pli
ca
tio
ns
Infr
as
tru
ctu
reIn
fra
str
uc
ture
Info
rma
tio
nIn
form
ati
on
DOMAINS
PROCESSES
ACTIVITIES
IT P
roc
es
se
sIT
Pro
ce
ss
es
Business RequirementsBusiness Requirements
Pe
op
leP
eo
ple
Ap
pli
ca
tio
ns
Ap
pli
ca
tio
ns
Infr
as
tru
ctu
reIn
fra
str
uc
ture
Info
rma
tio
nIn
form
ati
on
DOMAINS
PROCESSES
ACTIVITIES
En synthèse: COBIT sera utilisé dans le cadre de l’amélioration globale des processus IT (métrique)
COBIT et ISO 17799 peuvent être utilisés dans le cadre d’un audit afin de déterminer les vulnérabilités et le niveau de sécurité.
ITIL peut être utilisé pour améliorer les processus opérationnels IT ainsi que l’ISO 17799 / ISO 27001 dans une certaine mesure pour les processus « sécurité » et la sélection de contrôles.
16
Référentiels
• ISO 17799:2005
17
Référentiels ITIL: Information Technology Infrastructure
Library
ProtectionProtectionAuthenticationAuthentication
AccessAccessProvisioningProvisioningComplianceCompliance
Thèmes liés à la sécurité en fonction des processus ITIL :
Incident Management,
Service Desk,
Problem Management,
Configuration Management,
Change Management,
Continuity Management
Continuity Management, SLA Management, Change Management, Release Management
Configuration Management, SLA Management, Change Management,
Service Desk, Release Management, Financial Mgmt
Service Desk, SLA Management, Financial Management
SLA Management, Service Desk, Availability Management, Financial Management
18
Méthodologies de réduction des risques
Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les actifs informationnels sont exposés et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable.
19
Référentiels et méthodologies
EBIOS: EBIOS: Méthodologie d’identification des menaces et des vulnérabilités, analyse de risques, spécification des exigences de la sécurité
MARION: MEHARI: MEthode harmonisée d’Analyse des Risques
OCTAVE/USA :
ISO 13335 :
20
Référentiel Sécurité du Ministère des Finances (CSSI : Cadre Stratégique des Systèmes d’Information)
Audit DRPP en l’an 2000 (plan de continuité)
Audit dans le cadre du SDSIC
Projet audit sécurité globale TGR « SI, Biens et Personnes »
Sécurité SI à la TGR
21
Menaces
L’indisponibilité des services offerts par la TGR
• Le paiement des commandes de l’Etat et des collectivités locales ;• La paie du personnel de l’Etat ;• Le recouvrement des impôts• La gestion des comptes de dépôt au Trésor• Dette extérieure et intérieure
….disponibilité de l’information
Porter atteinte à l’intégrité des informations de la TGR
L’intégrité des données gérées par la TGR :- Virements entre comptables- Centralisation comptables
L’intégrité des échanges avec les partenaires : • Ministère des finances ( DB, DGI, ADII, DTFE..);• Ordonnateurs et sous ordonnateurs ( Ministères, collectivités locales)• Institutionnels (Banque centrale,Poste du Maroc,CDG…)• Banques et établissements de crédit.
Divulgation des informations confidentielles.
Divulgation des données confidentielles :•Rémunération du personnel de l’Etat;•Impôts des redevables;•Les dépôts de la clientèle.
Divulgation d’informations sensibles :•Budget de certains départements ; ADN..
Incapacité de réunir les éléments probants etde disposer des preuves.
Audit et inspectionContrôle interne…..
…Traçabilité de l’information
….intégrité de l’information.
...Confidentialité de l’information
Sécurité SI à la TGRPourquoi sécuriser le SI?
22
Norme: BS 7799
Recommandations:
1. Politique de sécurité
2. Sécurité de l’organisation Comité de pilotage : Responsable de la Sécurité du Système d’Information (RSSI) : Correspondants sécurité :
3. Classification et contrôle des actifs
4. Sécurité du personnel
5. Sécurité physique et sécurité de l’environnement
6. Protection du réseau
7. Contrôle des accès
8. Développement et maintenance des applications
9. Gestion de la continuité des activités
10. Conformité
Sécurité SI à la TGRCSI
23
l'information est une part essentielle du patrimoine TGR
auquel on a besoin de
répondre par des mesures
de prévention et réaction
elle est exposée à des menaces naturelles et
humaines
l'association de ces éléments constitue le
risque
elle est supportée par un système qui présente des vulnérabilités
sa valeur, est plus au moins sensible
L ’association sensibilité/ risque peut provoquer
sinistre ayant un impact +/- fort
Sécurité SI à la TGR
24
La rosace de sécurité:
Sécurité SI à la TGRAudit dans le cadre du SDSIC
0
0,5
1
1,5
2
2,5
3
3,5 L'organisation générale
Les contrôles permanents La réglementation
Les facteurs socio-économiques
L'environnement de base
Les contrôles d'accès
La pollution
Les consignes de sécurité
La sécurité incendie
La sécurité dégâts des eaux
La fiabilité de fonctionnement des matériels informatiques
Les systèmes et procédures de secours
Cohérence des systèmes Formation du personnel Les plans informatique et de sécurité
La sécurité offerte par le matériel et le logiciel de base
La sécurité des télécommunications
La protection des données
L'archivage / désarchivage
Le transfert classique des données
La sauvegarde
La sûreté de l'exploitation
La maintenance
Les procédures de réception
Sécurité des développements applicatifs
Les contrôles programmés
La sécurité des progiciels
25
Recommandations :
A très court terme Nommer un responsable de la sécurité du système d’information de la Trésorerie
Générale Sensibiliser l’ensemble du management de la Trésorerie Générale à la sécurité.
A court terme Formaliser la mission (rôle et responsabilités) des propriétaires.Identifier les
propriétaires de toutes les applications. Définir les critères de classification des informations.Former les propriétaires
d’applications à leurs missions. Formaliser les procédures opérationnelles d’intégration et de contrôle des
spécifications de sécurité dans les applications des projets schéma directeur. Lancer l’étude de la vitalité des applications de la Trésorerie Générale.Définir un plan
glissant sur 2 ans pour la mise en œuvre des recommandations.
Sécurité SI à la TGRAudit dans le cadre du SDSIC
26
Phase 1 : Audit de sécuritéPhase 1 : Audit de sécurité
Phase 4Assistance à Maîtrise d’Ouvrage
Phase 4Assistance à Maîtrise d’Ouvrage
Phase 2 Organisation de la sécurité
Phase 2 Organisation de la sécurité
Phase 3Politique de
sécurité
Phase 3Politique de
sécurité
Avril Mai Juin Juillet Août Septembre …
Prise de connaissance
Prise de connaissance Audit SIAudit SI
Audit BiensAudit Biens
Audit Personnes
Audit Personnes Recommandations
et plan d’actionRecommandations
et plan d’action
Sécurité SI à la TGRProjet audit sécurité globale de la TGR:
27
Référentiel: BS7799
Méthode d’analyse des risques: Ebios
Sécurité SI à la TGR Projet audit sécurité globale de la TGR:
28
Merci pour Votre attention