Cartographie du système d’information à l’usage de la ... ?· système d'information s'intègre…

Download Cartographie du système d’information à l’usage de la ... ?· système d'information s'intègre…

Post on 10-Sep-2018

212 views

Category:

Documents

0 download

TRANSCRIPT

  • 1 / 36

    Cartographie du systme dinformation lusage de la scurit numrique

  • 2 / 36

  • 3 / 36

    Pourquoi une cartographie du systme d'information

    usage de la scurit numrique ?

    La scurit numrique constitue un enjeu majeur pour les systmes d'information. Les attaques

    informatiques sont de plus en plus nombreuses et complexes, dans un environnement en

    constante volution, notamment avec l'augmentation des changes d'information et des accs aux

    systmes d'information.

    La cartographie est un outil essentiel la maitrise du systme d'information. Elle permet d'avoir

    connaissance de l'ensemble des constituants du systme d'information et d'obtenir une meilleure

    lisibilit de celui-ci en le prsentant sous diffrentes vues. L'laboration d'une cartographie du

    systme d'information s'intgre dans une dmarche gnrale de gestion des risques et rpond

    quatre enjeux de scurit numrique :

    contribuer la maitrise du systme d'information : la cartographie permet de disposer

    d'une vision commune et partage du systme d'information au sein de l'organisme. Elle

    facilite galement la capitalisation d'exprience et la prise de dcision grce un langage

    simple et visuel, ce qui permet de manire gnrale d'amliorer le niveau de maturit de

    l'organisme en matire de scurit numrique ;

    contribuer la cyberprotection du systme d'information : la cartographie permet

    d'identifier les systmes les plus critiques et les plus exposs, d'anticiper les possibles

    chemins d'attaque de ces systmes et de mettre en place des mesures pour assurer leur

    protection ;

    contribuer la cyberdfense du systme d'information : la cartographie permet de ragir

    plus efficacement en cas d'incident ou d'attaque numrique, de qualifier les impacts et de

    prvoir les consquences des actions dfensives ralises ;

    contribuer la cyberrsilience du systme d'information : la cartographie permet

    d'identifier les activits cls de l'organisme et s'impose comme un outil indispensable la

    gestion de crise, qu'elle soit cyber ou non.

    Ce guide prsente une dmarche pour aider les organismes laborer des cartographies de leurs

    systmes d'information, en vue de rpondre aux besoins oprationnels de la scurit numrique.

    Il propose une approche simple, pratique et progressive du travail de cartographie. Il peut tre

    utilis par tout organisme quelle que soient sa nature, sa taille, la complexit de son systme

    d'information ou sa maturit en la matire. Il vise en premier lieu les Oprateurs d'Importance

    Vitale (OIV)1, mais il est galement adapt aux autres organismes du secteur public et priv.

    1 Tels que dfinis par larticle L. 1332-1 du code de la dfense. Les OIV pourront en particulier sappuyer

    sur le prsent guide pour se conformer la rgle cartographie (cf. annexe I des arrts sectoriels fixant les rgles de scurit et les modalits de dclaration des systmes dinformation dimportance vitale, pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la dfense).

  • 4 / 36

    Qu'est-ce qu'une cartographie ?

    De manire gnrale, le terme de cartographie dsigne une reprsentation schmatique d'un

    ensemble dinformations permettant de disposer d'une vision synthtique de celle-ci. Les

    informations reprsentes sont choisies de manire pertinente pour rpondre efficacement une

    ou des questions poses.

    Les cartographies comportent plusieurs dimensions. Par exemple, les cartes gographiques

    intgrent les infrastructures routires et les villes pour rpondre au besoin des usagers. Les

    informations reprsentes peuvent tre plus ou moins nombreuses selon les besoins. Par

    exemple, on peut choisir de reprsenter l'altitude, les stations essence ou encore les pages.

    Dans un contexte numrique, la cartographie permet de reprsenter le systme d'information

    d'un organisme ainsi que ses connexions internes et avec l'extrieur. Cette reprsentation peut

    tre plus ou moins dtaille en incluant par exemple les biens matriels, logiciels, les rseaux de

    connexion, mais aussi les informations, activits et processus qui reposent sur ces biens. Le

    niveau de granularit choisi dpend de la question pose. Par exemple : quel est le niveau de

    confiance global de lorganisme envers les membres de son cosystme ? Combien de systmes

    sont concerns en cas de publication d'une nouvelle vulnrabilit sur un logiciel du march ?

    Concrtement, la cartographie doit permettre :

    de raliser l'inventaire patrimonial du systme d'information : il contient la liste des

    composants du systme d'information et leur description dtaille ;

    de prsenter le systme dinformation sous forme de vues : elles constituent des

    reprsentations partielles du systme d'information, de ses liens et de son

    fonctionnement. Elles sont destines rendre lisibles et comprhensibles des aspects du

    systme d'information de nature tre exploits par exemple dans les oprations de

    scurit numrique.

    De manire gnrale, la cartographie est compose de 3 visions allant progressivement du

    mtier vers la technique, elles-mmes dclines en vues2 :

    Vision mtier :

    o vue mtier de l'cosystme, prsentant les diffrentes entits ou systmes avec

    lesquels le systme d'information interagit pour remplir sa fonction ;

    o vue mtier du systme d'information, qui le reprsente au travers de ses processus

    et de ses informations principales, qui sont les biens essentiels au sens de la

    mthode d'analyse de risques EBIOS3.

    2 Le dcoupage retenu ici est adapt dans le cadre de la construction d'une cartographie l'usage de la

    scurit. Il est cohrent avec les standards d'architecture ou d'urbanisation des systmes d'information. 3 Expression des Besoins et Identification des Objectifs de Scurit, en rfrence au guide mthodologique du 25 janvier 2010 publi par l'ANSSI.

  • 5 / 36

    Vision applicative :

    o vue des applications, dcrivant les composants logiciels du systme d'information,

    les services qu'ils offrent et les flux de donnes entre eux ;

    o vue administration, qui rpertorie les primtres et les niveaux de privilges des

    utilisateurs et des administrateurs.

    Vision infrastructure :

    o vue des infrastructures logiques qui illustre le cloisonnement logique des rseaux

    notamment par la dfinition des plages d'adresses IP, des VLAN et des fonctions

    de filtrage et routage ;

    o vue des infrastructures physiques, dcrivant les quipements physiques qui

    composent le systme d'information ou qui sont utiliss par celui-ci.

    Les vues sont composes de diffrents objets, dont des exemples sont proposs en annexe 1.

    Dans chaque vue, un objet pivot permet de faire le lien avec les vues adjacentes afin d'identifier

    les dpendances entre les objets du systme d'information.

  • 6 / 36

    Comment construire une cartographie du systme

    d'information usage de la scurit numrique ?

    Les principaux facteurs de succs dune dmarche de cartographie sont son caractre

    pragmatique, participatif et prenne. Il est ncessaire que chacune des parties prenantes s'inscrive

    dans une dmarche de cartographie incrmentale (enrichissement par de nouvelles vues) et

    itrative (affinement des vues dj constitues). Il s'agit donc, selon les objectifs et les besoins de

    l'organisme, de cartographier au fur et mesure les diffrentes vues, et d'enrichir les vues dj

    dcrites en ajoutant des objets, des caractristiques et des liens de dpendance. Certains dtails

    pourront tre temporairement incomplets et affins lors de litration suivante afin de respecter le

    calendrier du projet.

    Afin demporter ladhsion des acteurs, la dmarche de construction d'une cartographie doit

    s'intgrer aux processus de l'organisme et dans le cycle de vie du systme d'information. Elle se

    dcompose en 5 tapes, dont la mise en uvre est directement lie dune part la nature du

    systme dinformation cartographier, et dautre part aux objectifs viss par l'organisme selon

    son niveau de maturit et les enjeux de scurit numrique.

    Etape n1 : Comment initier la dmarche de cartographie ?

    Dfinir les enjeux de la cartographie, les acteurs mobiliser, le primtre du systme

    d'information reprsenter, le niveau de granularit de linventaire et les types de vues raliser,

    les diffrentes tapes d'itration et le calendrier associ.

    Etape n2 : Quel modle dois-je adopter ?

    Recenser toutes les informations disponibles en rassemblant les inventaires et schmas de

    reprsentation du systme d'information dj constitus. Dfinir le modle de reprsentation de

    l'inventaire et des diffrentes vues ainsi qu'une nomenclature pour les diffrents objets.

    Etape n3 : Quel outillage dois-je utiliser ?

    Identifier les outils utiliser pour la construction de la cartographie et son maintien jour.

    Etape n4 : Comment construire ma cartographie pas pas ?

    Construire l'inventaire en mettant jour, le cas chant, les informations recenses et en les

    compltant en suivant le modle dfini. Reprsenter les diffrentes vues de la cartographie selon

    le modle.

    Etape n5 : Comment prenniser ma cartographie ?

  • 7 / 36

    Diffuser et promouvoir la cartographie au sein de l'organisme. Mettre en place un processus de

    mise jour de la cartographie et la gouvernance4 associe.

    4 On entend ici par gouvernance, lidentification des rles et responsabilits de chacun sur la prennisation

    du projet de cartographie et la comitologie permettant de piloter et suivre sa mise jour.

  • 8 / 36

    Table des matires Pourquoi une cartographie du systme d'information usage de la scurit numrique ? .................. 3

    Qu'est-ce qu'une cartographie ? ............................................................................................................. 4

    Comment construire une cartographie du systme d'information usage de la scurit numrique ? 6

    Etape n1 : Comment initier la dmarche de cartographie ? .................................................................. 9

    1 / Identifier les enjeux et les parties prenantes de la construction de la cartographie .................. 10

    2 / Cadrer le primtre cartographier ............................................................................................ 10

    3 / Dfinir la cartographie cible et la trajectoire de construction ..................................................... 11

    Etape n2 : Quel modle dois-je adopter ? ........................................................................................... 12

    1 / Collecter et analyser les lments de cartographie existants ..................................................... 13

    2 / Dfinir le modle de cartographie ............................................................................................... 13

    Etape n3 : Quel outillage dois-je utiliser ? ........................................................................................... 15

    Etape n4 : Comment construire ma cartographie pas pas ? ............................................................. 18

    1 / Raliser l'inventaire du systme d'information ........................................................................... 19

    2 / Construire les vues de la cartographie ......................................................................................... 20

    Etape n5 : Comment prenniser ma cartographie ? ............................................................................ 21

    1 / Communiquer sur la cartographie ............................................................................................... 22

    2 / Tenir la cartographie jour .......................................................................................................... 22

    Facteurs cls de russite ....................................................................................................................... 24

    Annexes ................................................................................................................................................. 26

    Annexe 1 : Dfinition et contenu des diffrentes vues ......................................................................... 27

    1 / Vue mtier de l'cosystme ......................................................................................................... 27

    2 / Vue mtier du systme d'information ......................................................................................... 28

    3 / Vue des applications .................................................................................................................... 29

    4 / Vue administration....................................................................................................................... 30

    5 / Vue des infrastructures logiques ................................................................................................. 30

    6 / Vue des infrastructures physiques ............................................................................................... 32

    Annexe 2 : Proposition de cible et de trajectoire de construction de la cartographie ......................... 34

    Annexe 3 : Glossaire .............................................................................................................................. 36

  • 9 / 36

    Etape n1 : Comment initier la dmarche de cartographie ?

  • 10 / 36

    Dans la premire tape, vous allez dfinir avec l'ensemble des parties prenantes tous les lments ncessaires

    l'initialisation et au bon droulement du projet de cartographie.

    1 / Identifier les enjeux et les parties prenantes de la construction de la

    cartographie

    En premier lieu, il est ncessaire de dfinir clairement les objectifs et les enjeux du projet de

    cartographie, pour rpondre aux besoins de l'organisme. Les objectifs du projet de cartographie

    doivent tre valids au niveau dun sponsor et partags par toutes les parties prenantes. Le

    sponsor du projet est un membre de la direction de lorganisme et se positionne la tte de la

    gouvernance du projet de cartographie.

    Dans le cas o la dmarche de cartographie du systme d'information est uniquement ddie la

    scurit numrique, elle implique un nombre limit de parties prenantes. Le responsable de la

    scurit des systmes dinformation (RSSI) doit jouer le rle de coordinateur et se positionner en

    responsable de la mise en place et du suivi de la dmarche.

    Dans le cas o l'organisme a l'ambition d'engager une dmarche plus globale et complte de

    cartographie de son systme d'information, intgrant les besoins de scurit numrique, le

    directeur des systmes dinformation (DSI) peut tre responsable du projet et coordonner une

    quipe comprenant un plus grand nombre de parties prenantes (par exemple, architectes,

    urbanistes, RSSI, responsables sret, etc.), dont il est indispensable de dfinir clairement les rles

    et responsabilits. La mise en place de cette quipe projet doit tre accompagne et soutenue par

    les directions.

    Note : Il est primordial que les quipes SI et SSI travaillent en collaboration pour que le rsultat de la

    cartographie couvre les besoins des deux quipes, et ce, en particulier si...

Recommended

View more >