Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 9/09/2010 – Alain RiIVET– Atelier QuaRES Sécurité de l’information Atelier 2

1 9/09/2010 – Alain RiIVET– Atelier QuaRES Sécurité de l’information Atelier 2 9/09/2010 – Alain RiIVET– Atelier QuaRES Les différentes étapes de mise en place du SMSI 2 3 9/09/2010 – Alain RiIVET– Atelier QuaRES Risque en sécurité de l’information Risque : Possibilité qu'une menace puisse exploiter une vulnérabilité d'un actif et causer ainsi un préjudice à l'organisation Mesuré par combinaison de : • Probabilité d'occurrence ou potentialité de l'évènement • Impact, conséquence ou préjudice ►Impact : plutôt "Sécurité de l'information" ►Conséquence : plutôt processus métier, organisme Menace Vulnérabilité Actif Impact Conséquence ou Préjudice Exploite Cible Possède Cause Permet la réalisation Provoque 3 4 9/09/2010 – Alain RiIVET– Atelier QuaRES Phase PLAN du modèle PDCA (4.2.1) Périmètre du SMSI Politique du SMSI Plan de gestion des risques • Méthodologie d'appréciation des risques • Identification et évaluation des risques • Traitement des risques Objectifs de sécurité et mesures de sécurité Déclaration d'applicabilité : DdA 4 5 9/09/2010 – Alain RiIVET– Atelier QuaRES Définir l'approche d'appréciation du risque (4.2.1 c) • Définir une méthodologie d’appréciation du risque (Mehari,Ebios, ISO 27005) • Décrire les critères d’acceptation des risques • Identifier les niveaux de risque acceptables 5 Démarche d'identification des risques (4.2.1 d) • Identifier les actifs ou biens dans le cadre du SMSI • Identifier leur propriétaire • Identifier les menaces sur ces actifs • Identifier les vulnérabilités qui pourraient être exploitées par une menac • Identifier les impacts d’une perte de Confidentialité, Intégrité et Disponibilité 6 9/09/2010 – Alain RiIVET– Atelier QuaRES Démarche d'analyse et d'évaluation des risques (4.2.1.e) • Évaluer l'impact sur l'organisation et son métier des pertes sur les actifs • Évaluer la probabilité d’occurrence des défaillances de sécurité • Estimer les niveaux de risque • Décider si le risque est acceptable • Identifier le traitement du risque possible 6 Traitement du risque (4.2.1 f) • Appliquer les mesures de sécurité appropriées • Accepter le risque (prendre le risque) • en toute connaissance de cause • de façon objective • Éviter ou refuser le risque • Transférer le risque (Assureurs, Fournisseurs) 7 9/09/2010 – Alain RiIVET– Atelier QuaRES Sélectionner les objectifs de sécurité et les mesures de sécurité (4.2.1 g) • En fonction des résultats de l’appréciation des risques • Utiliser l’Annexe A de l’ISO 27001 et l’ISO 27002 • Aucune des ces mesures n’est obligatoire • Même si certaines sont, de fait, incontournables • En puisant dans cette liste, sûr de ne rien oublier d’important • Possible de choisir d’autres mesures de sécurité, si elles sont absentes de l’annexe A 7 8 9/09/2010 – Alain RiIVET– Atelier QuaRES Préparer la Déclaration d’Applicabilité (4.2.1 j) (DdA) qui contient : • Objectifs de sécurité sélectionnés • Mesures de sécurité retenues • Raison de leur sélection • Mesures de sécurité effectivement mises en place • Mesures de sécurité non retenues • Raison de leur mise à l’écart DdA permet de vérifier que l’on n’a rien oublié (4.2.1.j NOTE) 8 9 9/09/2010 – Alain RiIVET– Atelier QuaRES Appréciation des risques sur un cas d’école : Projet de travail de groupe : • Identifier les risques • Effectuer une appréciation des risques • Mettre en place un traitement du risque Utilisation d’un portable par un chercheur 10 9/09/2010 – Alain RiIVET– Atelier QuaRES Étude de cas : 10 Utilisation du portable par un chercheur lors de ses déplacements : • Le disque dur contient des résultats de recherche et des informations stratégiques (courriels échangés avec des partenaires industriels, rapport de recherche, projet de brevet) • Ce chercheur se déplace régulièrement à l’étranger et utilise son ordinateur dans des endroits publics exposés : aéroports, gares, hôtels... • La seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur 11 9/09/2010 – Alain RiIVET– Atelier QuaRES Définition des critères Echelle de valorisation des actifs 0 (valeur négligeable) : les effets ne sont pas décelables 1 (valeur faible) : affecte essentiellement des éléments de confort 2 (valeur significative) : affaiblit la performance de l’unité 3 (valeur élevée) : affecte l’organisme 4 (valeur critique) : mets en danger les missions essentielles de l’organisme 12 9/09/2010 – Alain RiIVET– Atelier QuaRES Critères d'évaluation des risques Probabilité d’occurrence Basse Moyenne Haute Facilité d’exploitation Difficile Moyenne Facile Difficile Moyenne Facile Difficile Moyenne Facile Valeur de l’actif/niveau de l’impact 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 4 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 Cinq niveaux dans les critères d’évaluation du risque : 1.Risques nuls (vert : 0) 2.Risques négligeables (Jaune : 1-2) 3.Risques significatifs (Rose : 3-4) 4.Risques graves (Rouge : 5-6) 5.Risques vitaux (Bordeaux : 7-8) 13 9/09/2010 – Alain RiIVET– Atelier QuaRES Identification des risques A partir d’exemples de scénario/conséquence Scénario d'incident Impact/Conséquence Au cours du passage à la douane le disque dur, qui comportait un article en cours de rédaction, est recopié. La perte de l’article et des résultats de recherche empêche sa publication. Un brevet en voie de dépôt, des courriels échangés au sein de la collaboration de recherche et des négociations entre des partenaires industriels ont été espionnés. Un industriel concurrent dépose un brevet de barrage. Perte d’image du laboratoire Perte de confiance des partenaires industriels Difficulté au sein de la collaboration de recherche 14 9/09/2010 – Alain RiIVET– Atelier QuaRES Actifs Menaces Vulnérabilités Actifs primordiaux Informations stockées sur l’ordinateur portable Pertes d’efficacité/ pertes de contrats Possibilité de transfert des informations sensibles à des organismes hostiles Faible sensibilisation des chercheurs : le processus de publication est un actif dont la perte affecte la performance (les résultats de recherche sont donc un actif critique) Stockage en clair des données du laboratoire (informations stratégiques) et de données à caractère privé et des Actifs de soutien Ordinateur portable Vol de l’ordinateur portable Caractère mobile de l'ordinateur portable Identification des risques Exemples de vulnérabilités liées aux actifs 14 15 9/09/2010 – Alain RiIVET– Atelier QuaRES Actif Probabilité d’occurrence Facilité d’exploitation Niveau de risque Traitement du risque Nom Valorisati on Données utilisateur 3 Haute Moyenne 6 Objectif: Maintenir l’intégrité et la disponibilité des informations et des moyens de traitement de l’information. A.10.5.1 - Sauvegarde des informations Mesure : Des copies de sauvegarde des informations et logiciels doivent être réalisées et soumises régulièrement à essai conformément à la politique de sauvegarde convenue. Objectif: Protéger la confidentialité, l’authenticité ou l’intégrité de l’information par des moyens cryptographiques A.12.3.1 - Politique d’utilisation des mesures cryptographiques Mesure : Une politique d’utilisation des mesures cryptographiques en vue de protéger l’information doit être élaborée et mise en oeuvre. Ordinateur portable 2 Moyenne Moyenne 4 Objectif: Empêcher l’accès d’utilisateurs non habilités et la compromission ou le vol d’informations et de moyens de traitement de l’information A.11.3.2 - Matériel utilisateur laissé sans surveillance Mesure : Les utilisateurs doivent s’assurer que tout matériel laissé sans surveillance est doté d’une protection appropriée. Objectif: Garantir la sécurité de l’information lors de l’utilisation d’appareils informatiques mobiles et d’équipements de télétravail. A 11.7.1 - Informatique mobile et télécommunications Mesure : Une procédure formelle et des mesures de sécurité appropriées doivent être mises en place pour assurer une protection contre le risque lié à l’utilisation d’appareils informatiques et de communication mobiles. 15 Appréciation du risque (et traitements) 16 9/09/2010 – Alain RiIVET– Atelier QuaRES Mesures de sécurité (annexes ISO 27001) 17 9/09/2010 – Alain RiIVET– Atelier QuaRES Déclaration d’applicabilité (DdA) 18 9/09/2010 – Alain RiIVET– Atelier QuaRES Conclusion sur la sécurité de l’information • Exigences de sécurité • Objectifs de sécurité • Mesures de sécurité • ISO 27001 est un guide pour la mise en place d’un SMSI • ISO 27002 est la description détaillée des mesures de sécurité de l’annexe A de l’ISO 27001 • ISO 27005 : Guide de mise en œuvre de la partie appréciation des risques de la sécurité de l'information de l'ISO 27001 uploads/s3/ atelier-4-j4-alainrivet-smsi-pdf.pdf