Professeur : Marc Cierpisz

Retard

5 minutes maximum.
TD/QCM: Pas de retard.

Rendus

N'importe quelle forme.

Cours du 10/09/2020

Gouvernance de la sécurité

Sommaire:

  • Politique de sécurité
  • Exemples d'applications
  • Audit de décurité, méthodes
  • Évaluation des risques
  • Plan de sécurité
  • Mise en oeuvre des projets
  • Plan de continuité d'activité

Démarche générale

Politique de sécurité

Définition de la politique de sécurité
Élaboration du plan de sécurité
Mise en œuvre des projets
Audit
Évaluation des risques

Définition de la politique de sécurité -> élaboration du plan sécurité -> mise en oeuvre des projets
audit sécurité -> évaluation des risques -> élaboration du plan sécurité

Politique du SMSI -> Politique de sécurité des systèmes d'informations -> Politiques de sécurité spécifique

SMSI : Système de management du système d'informations

ISO 27001

PSI: Politique du SMSI ou politique de sécurité de l'information
PSSI: Politique de Sécurité des Systèmes d'Information

RSSI: Politique particulière
MOE:

La politique de sécurité se traduit par:

  • Des documents
    • Politique générale de sécurité
    • Manuels d'utilisation
    • Manuels d'application
  • Une mise en application

Exemple: Changement de mot de passe -> politique de changement de mot de passe.

Réticence au changement de mot de passe. Problème, dans quasiment 100% du temps on retrouve le mot de passe très facilement lors d'un pentest.

Mots de passe très répandus:

  • admin
  • 123456

La politique générale de sécurité (PSI) est une volonté de la direction.

Elle répond à plusieurs questions.

  • Quelles sont les processus clef de l'entreprise
  • Quelles sont les données confidentielles?
  • Qui est habilité à réaliser telle opération
  • Quels sont les droits des partenaires, des clients, des business?

Exemple de donnée a caractère personelle :

  • caractéristiques physiques
  • caractéristiques "matérielles" (@IP, @MAC)

Données privées: Toute information sur le physique peut être considérée comme information personnelle car elle permet de retrouver l'identité ie:

  • Empreintes digitales
  • Cicatrices

On ne parlera jamais de technologie dans le document de politique de confidentialité, qui fera 10 pages au maximum.

Caractéristiques

Les manuels d'application:

On peut avoir une sécurité très bien faite sur le système de sécu, mais si on peut entrer sans laisser de traces (accéder à un pc non vérouillé) on peut faire des dégats.

Ils existent pour les SI, le bâtiment, ainsi que les ressources humaines.

Ils sont élaborés par les responsables techniques et concernent un sujet précis, sont remis à jour régulièrement et sont mis en application.

Le social engineering est très important.

Le bâtiment et les ressources humaines sont, dans 90% des cas, le maillon faible.

Exemple de hiérarchie documentaire:

  • Périmètre du SMSI
  • Politique du SMSI
  • Analyse des besoins
  • Appréciation des risques
  • Plan de traitement des risques
  • PSSO
  • Dda
  • Politiques spécifiques

Signées dès l'arrivée en entreprise:

  • Charte de confidentialite
  • Charte informatique
  • Charte utilisateur

Si une entreprise veut se protéger d'un risque info:

  • Assurances: Formulaire à remplir d'un certain nombre d'infos. Il y a un certain nombre d'exclusions.

RGPD: Il parle de mesures à mettre en place pour pouvoir s'assurer de la confidentialité et de l'intégrité des données.

On retrouve de plus en plus des documents sur les politiques de chiffrement.

Cartographie du SI: Reprend l'ensemble des actifs de l'entreprise (actifs matériels, on se limite là aux serveurs, etc)

Cartographie des risques :

Avec ces deux documents de cartigraphie vous pouvez faire la liste de toutes les attaques informatique possible.

L'obsolescence de mise à jour est l'un des vecteurs d'attaque le plus important.

Audit de configuration sur un périmètre donné:
Il faut que l'entreprise puisse donner sa politique de sécurité.

Trois labels lancés par le gouvernement pour les audits de sécurité
PASSI : prestataire d'audit des système d'informations
PDIS : prestataires de détection d’incidents de sécurité
PRIS : Prestataires de réponse aux incidents de sécurité

L'ANSSI donne des directives de bonne marche à suivre.

OIV: Organisme d'importance vitale
OSE: Opérateur de service essentiel

OIV: Secteur énergétique, télécom, Radio, Tv.

Pour les OIV, ils doivent respecter les RGS et surtout l'article 22. Et être conforme à la loi de prog militaire 20-25.

OSE: services annexes, fournisseurs des OIV (souvent des prestataires d'OIV).

Charte Utilisateur

Droit

Devoir

Ces deux mots sont importants: Dans 100% des cas, quand on reçoit une charte d'usage ou d'utilisateur du SI, on la signe sans la lire. Il faut faire attention car elle peut être retournée contre l'utilisateur.

Si il y a une faute, exfiltration de données, on peut se retourner contre l'utilisateur avec ces données.

Tout document produit pour l'entreprise lui appartient et entre alors dans le cadre des chartes.

Guide de l'utilisateur

D'un autre côté de la charte on retrouve le guide de l'utilisateur qui va informer sur les règles techniques nécéssaire à la bonne utilisation.

Dans 90% des cas, les gens ne lisent pas la politique de sécurité des mots de passe.

Droits d'accès

Qui accède à quoi, et comment.

Notions de gestion d'habilitation.
IAM : Identity Access Management
IAG : Identity Access Governance

On peut imposer le login. Il n'y a plus l'identité dedans. Juste un matricule.
On retrouve la modélisation des droits derrière, matrice d'utilisateur/ressources

Voir tableau sur les slides si dispo.

Un des soucis majeurs est que les droits d'administrateur sont trop souvent donnés à des utilisateurs qui n'en ont pas nécessairement besoin (ex. Secrétaire avec droit d'admin)

Document d'organisation de la sécurité

Désigne le RSSI (Respo Sécu SI)

Il a un certain nombre de devoirs définis par ce document:

  • Elaboration de la politique de sécurité
  • Plan de sécurité, procédures de sécurité
  • Assure la cohérence entre les domaines
  • Rend compte aux organismes de contrôle (CNII, ANSI, associations d'éditeurs de logiciels, Police, )
  • Il faut réaliser des audits

Bouygues:

  • Bâtiment
  • Immobilier
  • TCOM
  • TF1
  • Colas (construction de routes)

Tous à l'opposé les uns des autres. Il est difficile de faire une politique pour le groupe entier.

L'entreprise va devoir monopoliser des ressources en plus de ??

Politique de sécurité:

  • Adaptée à l'activité de l'entreprise, sa taille, sa culture
  • Objet d'un consensus entre les responsables
  • Approuvée et appuyée par la direction générale

Voir Politique de sécurité plus haut.

Exemple: Fleury Michon
Ransomware suite à une mauvaise transmission d'information à un partenaire.

72h d'interruption

Tout le COMEX, DSI, etc jetés dehors.

1 an et demi plus tard, toujours pas de PSSI.

La mise en application nécessite:

  • L'implication des responsables pour son élaboration
  • Une sensibilisation des utilisateurs sur les risques et enjeux
  • Des moyens de communication adaptés
  • De la formation
  • Une organisation adaptée (ambassadeurs, relais locaux, support)

Il faut éviter que la politique de sécurité ne soit qu'un classeur dans un placard.

Exemple: Bouygues, une semaine avant la sortie de l'IPhone X
Réduction sur le prochain iPhone X via l'intranet de la boite.
Sur 2500 personnes, 1800 connectés, 70% qui ont entré leur login et mot de passe.

Les personnes prises la main dans le sac sont 'choquées' et comprennent (@sensibilisation des utilisateurs sur les risques)

Les post-its sur les écrans ne sont pas des légendes.

Il faut pouvoir faire toucher à l'utilisateur la sensibilité que les problèmes peuvent avoir.

Généralement, les gens ne pensent pas à la sécu car il croient que l'entreprise les sécurise.

Référentiels

  • Méthodologies d'analyse de risque
  • Risques métiers

BAL2 : Référentiel pour les banques

Il faut pouvoir faire le pendant entre les risques métiers et IT. Ces deux pendants permettent de le faire.

Audit de sécurité

Objectif de l'audit:

  • Evaluer la situation à un moment donné.

La situation varie dans le temps

Différents référentiels/méthodes d'audit:

  • Marion (CLUSIF)
  • Melisa (élaboré par la société CF6)
  • Mehari (société CFG synthèse de marion et melisa par le CLUSIF)
  • ISO 27002 (ISO/CEI)

Méthodologie Marion

Vision globale de la sécurité de l'entreprise.
Permet de voir les points faibles de l'entreprise.
Méthodologie vieille. Déjà utilisée dans les années 80.

Méthodologies Maison

Elles peuvent avoir du succès.

Exemple: une méthodologie très pragmatique, un peu copiée de l'iso 27002.

Toutes les entreprises essaient de produire leur propre méthode d'analyse de risques.
On peut avoir des méthodologies très surprenantes de cette façon.

TPE

4 entreprises sur 10 ont déjà subi une ou plusieurs attaques ou tentatives d'attaque.

30% des entreprises ne disposent due d'une triple protection (AV (antivirus), FW (Firewall), IDS) pour leur réseau.

17% des entreprises seulement sont assurées contre les attaques.

38% voir slides

PME

76% pensent que la sécurité est un vrai sujet d'inquiétude.

21% des entreprises admettent avoir été attaquées

51k€ coût moyen d'une attaque pour 14% des entreprises attaquées

Les PME sont conscientes de leur exposition, mais pas des moyens qui existent pour les réduire.

ETI

80% des Entreprises de taille moyenne (ETI) sont vulnérables.

76% des patrons d'ETI déclarent qu'ils ont déjà subi au moins un "incident cyber".

59% cyber attaques ont un impact sur le business.
(Indisponibilité, arrêt de prod, )

Attaques les plus courantes

  • 73% phishing
  • 50% Arnaque au président: on se fait passer pour une entreprise partenaire et on demande à changer de RIB, etc
  • 44% Malware
  • 44% Ransomware
  • 40% Social engineering
  • 35% usurpation d'identité
  • 30% vol d'identifiant
  • 29% DoS/DDoS
  • 27% Fraude
  • 24% attaque ciblée

On voit que le top 50 évolue toujours avec une dizaine de typologie d'attaques qui restent les mêmes.

Exemple: groupe hosîtalier, virus.
Antivirus pas màj. Mais le virus est entré par clef usb, à deux points, dont un poste d'analyse sanguine. L'attaque a changé les paramètres des tests qui a provoqué le rappel de 600 patients pour refaire les testes.

On tend de plus en plus vers des attaques polymorphiques: Ransomware en avant qui masque une attaque très ciblée en fond par exemple.

Evaluation des risques

  • Identifier les biens sensibles
    • Les biens sensibles ne sont pas que des biens logiciels, physiques. Il peut s'agir de code, etc Il faut identifier les biens.
  • Identifier les menaces
    • Les différentes menaces auront des impacts différents.
    • On peut utiliser la grille d'acceptabilité de Méhari pour mesurer les menaces.
  • Evaluer l'impact sur le système d'information

Voir slide synthèse méthode

Risques résiduel: Il faut se décider si il est acceptable ou non.

Risques

Types de risques:

  • D: Disponibilité
  • I: Intégrité
  • C: Confidentialité
  • P: Preuve/Contrôle

Probabilité:

  • 1: Très peu probable
  • 2: Peu probable
  • 3: Probable
  • 4: Très probable

Impact:

  • 1: Léger
  • 2: Moyen
  • 3: Fort
  • 4: Critique

Gravité:

  • 1: Tolérable
  • 2: Supportable
  • 3: Insupportable
  • 4: Inadmissible

On construit un tableau Probabilité/Impact, qui permet de déterminer une Gravité.

Plan de sécurité

Il se déduit des étapes précédentes et traite les principales menaces identifiées.

Il décrit les projets nécessaires pour se conformer à la politique de sécurité.

Mesures adaptées aux risques et aux effets

  • Mesures dissuasives:

  • Mesures préventives

    • Sensibilisation de l'employé
  • Mesures de confinement:

    • Roles des utilisateurs, accès aux ressources, plans de continuité d'activité, télétravail. Ex: avec le Corona, les entreprises auraient dû déclencher leur PCA.
  • Mesures palliatives:

Les entreprises avaient créé des plans pour le H1N1, qu'elles ont oublié lors de l'arrivée du Corona.

Plan sécurité

On classe les actions/projets par priorité. Voir slides.

Quand un projet est en agile par exemple, en perpétuel mouvement, on peut facilement retrouver des failles et les exploiter. Elles reviennent continuellement.

Mise en oeuvre des projets

Plan de secours

PCA: Plan de continuité d'activité
PRA: Plan de reprise d'activité
DRP: Disaster recovery plan

Les gens testent les sauvegardes lors de leur mise en place, mais pas après.

  • Quels sont les besoins de l'entreprise en terme de continuité d'activité?

    • Quelle est, pour le client, la perte de données maximale admissible? PDMA ou RPO (Recovery Point Objective)

    • Quelle Durée Maximale d'Interruption d'Activité? DMIA ou RTO (Recovery Time Objective)

  • Quelles solutions de contournement?

  • Quelle organisation en cas de sinistre? (gestion de crise)

  • Quelle communication ? (employés, clients, fournisseurs)

Les chaines de magasins, entre la logistique, le stockage, jusqu'aux caissiers: le PCA n'a jamais été testé. Ils vont tester la chaine logistique, puis la chaine de la caissière, mais jamais de bout en bout.
Les banques pareil.

  • PCA
    • Solution à tolérance de panne.
    • Sites informatiques redondants.
  • PRA
    • Site informatique de secours.
    • Reprise sous un certain délai (24h à 1 semaine).
    • Nécessite des sauvegardes et la possibilité de disposer de serveurs et de locaux.
    • Moyens mutualisés d'un prestataire.

Il y a des niveaux de services différents: 'Platinum', 'Gold', 'Silver', 'Bronze'. Faire attention à ce qu'ils proposent. Ils sont différents selon les boites

  • Les moyens:
    • Infrastructure: serveurs, stockage, réseau
    • Systèmes, middleware, applications
    • Données

Les textes et méthodes

voir slides

Les normes ISO 270XX

35 sous normes. Qui couvrent toute la sécurité.

27001: Totu ce qui va faire qu'on va pouvoir travailler sur le systeme du management de la sécu.
27002: Les bonnes pratiques

voir slides.

ISO 27002

15 chapitres incontournables pour avoir une vision mature de la sécurité d'une entreprise.

Le RSSI va s'appuyer sur la 27002 pour mesurer la maturité

Méhari 2010 (thode Harmonisée d'Analyse de Risques)

Elaborée par le CLUSIF
Analyse de risques
Elaboration des mesures (parades)

Résultat:

  • Plan stratégique de sécurité (niveau entreprise)
  • Plan Oprétionnel de Sécurité (niveau unité)
  • Plan Opérationnel d'Entreprise (Consolidation des plans des unités)

Le support de cours est autorisé pour le TD