Gestion des risques de la sécurité de l’information: de l'évaluation, à la gestion et à
la prise de décision. Gautier Dallons
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
Des faits inquiétants …
Des faits inquiétants …
L’or immatériel : l’information
• L’information a de la valeur• Information sur un nouveau produit pour une société
concurrente (Plusieurs millions d’euros)• Information personnelle (Quelques euros à plusieurs
milliers d’euros)• Information bancaire pour un pirate (Quelques milliers
d’euros ou plus)• …
• L’impact d’une fuite d’information peut être grand• Impacts financiers• Impacts juridiques• Impacts sociaux• Impacts en terme d’image• …
Nécessité de protéger l’information importante
Statistiques• +/- 40 %
d’origine interne• +/- 60 % hors
piraterie informatique
majoritairement un problème organisationnel
Source : CLUSSIF
Gestion du risque, pourquoi faire?
• Avoir connaissance des risques et de leur priorité pour l’entreprise
• Maîtriser les aléas de l’entreprise et de l’environnement
• Aider à prendre des décisions en connaissance de cause
Assurer la survie et la pérennité de l’entreprise par la maîtrise des risquesGérer le court termeGérer les risques
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
Quelques définitions
• Actif (Asset): élément du SI qui a de la valeur pour l’organisation (donnée papier/informatique, personnel, Infrastructure, …)
• Menace (Threat): évènement qui peut mettre en défaut la sécurité d’un actif
• Vulnérabilité (Vulnerability): faille du système permettant à une menace de se réaliser en impactant la sécurité d’un actif
• Risque (Risk): la probabilité qu’une menace exploite une vulnérabilité en mettant en défaut la sécurité d’un actif et provoque un impact pour l’entrepriseR = P x I Certaines variantes sont plus complexes
Sécurité des actifs
• La sécurité des actifs reposent sur quatre grandes propriétés :• La confidentialité• L’intégrité• La disponibilité• La force probante (irrévocable, traçable,
authentification)
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
Deux processus clés
• Gestion de la sécurité• Processus global de gestion• Basé sur la gestion du risque
• Gestion du risque• Processus spécifique• Fournit les éléments de décision• Intégré dans la gestion de la sécurité
Gestion de la sécurité
Pla
n
Do
CheckAct
Niveau
de
sécurité
Temps
• Basé sur la roue de Demming
Gestiondu risque
Gestion du risque
Objectifs de sécurité
Analysede risque
Évaluationdu risque
Traitement durisque
Monitoring
Objectifs de sécurité
• Objectifs de sécurité• Basé sur les objectifs du business• La sécurité n’est pas un but en soi
T
S
O
Objectifs business
Plan de réalisation
Réalisation
Entreprise
Objectifs de sécurité
Plan de sécurité
Mesures de sécurité
Stratégique, Tactique, Opérationnel
Analyse de risque
• Identifier les risques auxquels est sujet l’organisation Rendre explicite l’ensemble des aléas Partir des objectifs business et de sécurité Utiliser la connaissance du domaine Essayer d’être exhaustif Itération lors des cycles des mises à jour
• Décrire les risques Garder trace des risques Nécessaire à la gestion continue Itération lors des cycles des mises à jour
Évaluation du risque
• Estimation• De la probabilité• De l’impact
• Trois grands types d’évaluation
Haut
Moyen
Bas
Méthode simplifiée(une dimension)
PxI
Impact
PTrès faible
(1)
Faible
(2)
Modéré(3)
Important(4)
Majeur(5)
Très élevé(5)
Elevée(4)
Normal(3)
Faible(2)
Méthode semi quantitativeP et I évalués séparément
Quantitative(basée sur les courbes
de probabilité) P finement évalué
Traitement du risque
• Décision à prendre concernant le risque• Refus• Optimisation• Transfert• Prise de risque
• Des mesures à prendre dans le cas de l’optimisation• Prévention• Protection
• Les mesures doivent rentrer dans une stratégie globale de réduction du risque
Mesures
• Rappel distinction entre moyen et fin (résultat)• La sécurité est un état du système (une fin, un résultat)• Une mesure est un moyen pouvant contribué à résultat• Le moyen en lui-même ne garantit pas le résultat
• ISO 27002 (ISO 17799)• Catalogue de mesure (moyens)• Organisée selon 11 chapitres thématiques
• 5. Politique (règlement)• 6. Organisation de la sécurité de l'information• 7. Actifs• 8. Ressources humaines• 9. Sécurité physique• 10. Communications et exploitation• 11. Gestion d'accès• 12. Acquisition, développement et maintenance• 13. Incidents de sécurité• 14. Continuité• 15. Conformité
• Se place au niveau opérationnel
TS
O
ITImpliquée
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
Méthodes d’analyse de risque
• CRAMM• Méthode de l’OTAN• UK• Outillée
• EBIOS• Méthode française de la DCSSI• Outillée
• Octave• USA• Version spécifique pour les PMEs
• Mehari• Méthode très utilisée en Belgique
• QuickWin• Méthode du FEDICT
• …
Comparatif (ENISA)
Méthode QuickWin
• Avantages• Légère• Facilement compréhensible• Applicable en PMEs et comme première
approche en grandes entreprises• Méthode orientée résultat• Exploite le modèle ISMS de la norme 27001
• Inconvénients• Ne tient pas compte des probabilités• Pas outillée• Incomplète
Agenda
• Introduction• Définitions• Processus
• Gestion de la sécurité• Gestion du risque
• Méthodes d’analyse de risques• Cas pratique
Cas d’étude
• PME ICT• Produit de conception assistée de ponts par
ordinateur pour les ingénieurs• Produit nettement supérieur à la concurrence
(leader sur le marché)• Mal documenté• Pas de sécurité en place car jeune entreprise• Travaille dans un grand garage • 5 personnes toute hautement qualifiée• 1 serveur partagé
Analyse des risques
Rester leader sur le marché
Vendre le produit existant
Innover
Résultats de recherche corrompus /
volés / indisponibles
Infrastructure technique nécessaire
indisponible / corrompue
Perte des ressources humaines qualifiées
Problème de gestion
financière
Perte des ressources humaines qualifiées
Infrastructure technique nécessaire
indisponible / corrompue
Produits (code) corrompus /
indisponibles / volés
Problème de gestion
financière
Évaluation du risque
• Métrique• L’entreprise
détermine les aspects à prendre en compte pour l’évaluation des conséquences
• Pour chacun des aspects une échelle de gravité de 5 niveau est déterminée
Outil CAO
• Indisponibilitécritique pour le
business• Corruption
Risques humains si les calculs sont incorrects et risques en cascade
• Confidentialité Perte de leadership
• Preuve La paternité du
programme est capitale (vol, …)
Données financières
• Indisponibilité critique sur le long terme
pour la bonne marche de l’entreprise
• Corruption Le risque principal est
juridique (comptabilité incorrecte, …) et risques indirects
• Confidentialité Les informations
concernant les finances (paiement des clients) sont sensibles
• Preuve La comptabilité doit être
incontestable
Employés
• Indisponibilité critique pour le
business car le know-how leur appartient
• Corruption Risques humains si les
calculs sont incorrects et risques en cascade
• Confidentialité Perte de leadership
(vol, …)
Infrastructure
• Indisponibilitécritique pour le
business car le support, le développement et la R&D sont à l’arrêt
Recherches
• Indisponibilité long terme : perte de
leadership• Corruption
Risques humains si les calculs sont incorrects et risques en cascade
• Confidentialité Perte de leadership
• Preuve La paternité des
inventions est capitale (vol, …)
Synthèse des risques
Traitement du risque
• Réduire l’impact plutôt que combattre les attaques et « patcher » les vulnérabilité
• Protection en profondeur plutôt que protection de surface Réduire les coûts de la sécurité en maximisant celle-ci
Information
Protection directe
Protection de surface
Attaque
Analyse de la synthèse
Mesures (1/5)
Diminution de l’indisponibilité des actifs numériques et d’infrastructure
Mesures (2/5)
Diminution des risques de corruption des fichiers numériques
Mesures (3/5)
Diminution des risques de divulgation des fichiers numériques depuis « l’extérieur »
Mesures (4/5)
Diminution des risques d’enregistrements non probants pour l’outil et la recherche
Mesures (5/5)
Diminution des risques humains
Synthèse après réduction
Les risques résiduels sont devenus acceptables
Monitoring
• Mise en place de revue des risques• Consultation d’un CERT• …
• D’indicateurs de changement• Remontée des incidents• Contrôle des accès• …
Références
• Fedict (www.fedict.belgium.be/)
• ISO (http://www.iso.org/)
• ENISA (http://www.enisa.europa.eu/)
• Octave (http://www.cert.org/octave/)s
• MEHARI (http://www.clusif.asso.fr/)
• EBIOS (http://www.ssi.gouv.fr/fr/confiance/methodes.html )• Livres
• Information Security Risk Analysis (THOMAS R. PELTIER)
• Managing Information Security Risks: The OCTAVE Approach (Christopher Alberts, Audrey Dorofee)
Conclusions
• La gestion des risque• Permet une prise de décision en connaissance de cause• Permet la prioritisation et le choix des investissement• Objective la perception des risques• Permet le choix d’une stratégie par rapport à un
problème• Cependant
• Les méthodes ne sont pas toujours simple• L’évaluation de la probabilité n’est pas facile• Une culture du risque est nécessaire
Des questions, des idées …
?