--- tags: TCOM, Stephan, Cierpisz Marc title: Politique de sécurité --- **Professeur** : Marc Cierpisz # Retard 5 minutes maximum. TD/QCM: Pas de retard. # Rendus N'importe quelle forme. # Cours du 10/09/2020 ## Gouvernance de la sécurité Sommaire: - Politique de sécurité - Exemples d'applications - Audit de décurité, méthodes - Évaluation des risques - Plan de sécurité - Mise en oeuvre des projets - Plan de continuité d'activité ## Démarche générale ### Politique de sécurité ```mermaid graph TD; def[Définition de la politique de sécurité] sec[Élaboration du plan de sécurité] proj[Mise en œuvre des projets] audit[Audit] risques[Évaluation des risques] def-->sec; sec-->proj; audit-->risques; risques-->sec; proj-.->sec; proj-.->audit; ``` Définition de la politique de sécurité -> élaboration du plan sécurité -> mise en oeuvre des projets audit sécurité -> évaluation des risques -> élaboration du plan sécurité Politique du SMSI -> Politique de sécurité des systèmes d'informations -> Politiques de sécurité spécifique SMSI : Système de management du système d'informations ISO 27001 PSI: Politique du SMSI ou politique de sécurité de l'information PSSI: Politique de Sécurité des Systèmes d'Information RSSI: Politique particulière MOE: ... La politique de sécurité se traduit par: - Des documents - Politique générale de sécurité - Manuels d'utilisation - Manuels d'application - Une mise en application Exemple: Changement de mot de passe -> politique de changement de mot de passe. Réticence au changement de mot de passe. Problème, dans quasiment 100% du temps on retrouve le mot de passe très facilement lors d'un pentest. Mots de passe très répandus: - admin - 123456 La politique générale de sécurité (PSI) est une volonté de la direction. Elle répond à plusieurs questions. - Quelles sont les processus clef de l'entreprise - Quelles sont les données confidentielles? - Qui est habilité à réaliser telle opération - Quels sont les droits des partenaires, des clients, des business? Exemple de donnée a caractère personelle : - caractéristiques physiques - caractéristiques "matérielles" (@IP, @MAC) Données privées: Toute information sur le physique peut être considérée comme information personnelle car elle permet de retrouver l'identité ie: - Empreintes digitales - Cicatrices... On ne parlera jamais de technologie dans le document de politique de confidentialité, qui fera 10 pages au maximum. #### Caractéristiques ### Les manuels d'application: On peut avoir une sécurité très bien faite sur le système de sécu, mais si on peut entrer sans laisser de traces (accéder à un pc non vérouillé...) on peut faire des dégats. Ils existent pour les SI, le bâtiment, ainsi que les ressources humaines. Ils sont élaborés par les responsables techniques et concernent un sujet précis, sont remis à jour régulièrement et sont mis en application. Le social engineering est très important. Le bâtiment et les ressources humaines sont, dans **90%** des cas, le maillon faible. #### Exemple de hiérarchie documentaire: - Périmètre du SMSI - Politique du SMSI - Analyse des besoins - Appréciation des risques - Plan de traitement des risques - PSSO - Dda - Politiques spécifiques Signées dès l'arrivée en entreprise: - Charte de confidentialite - Charte informatique - Charte utilisateur Si une entreprise veut se protéger d'un risque info: - Assurances: Formulaire à remplir d'un certain nombre d'infos. Il y a un certain nombre d'exclusions. RGPD: Il parle de mesures à mettre en place pour pouvoir s'assurer de la confidentialité et de l'intégrité des données. On retrouve de plus en plus des documents sur les politiques de chiffrement. Cartographie du SI: Reprend l'ensemble des actifs de l'entreprise (actifs matériels, on se limite là aux serveurs, etc) Cartographie des risques : ... Avec ces deux documents de cartigraphie vous pouvez faire la liste de toutes les attaques informatique possible. L'obsolescence de mise à jour est l'un des vecteurs d'attaque **le plus important**. Audit de configuration sur un périmètre donné: Il faut que l'entreprise puisse donner sa politique de sécurité. Trois labels lancés par le gouvernement pour les audits de sécurité PASSI : prestataire d'audit des système d'informations PDIS : prestataires de détection d’incidents de sécurité PRIS : Prestataires de réponse aux incidents de sécurité L'ANSSI donne des directives de bonne marche à suivre. OIV: Organisme d'importance vitale OSE: Opérateur de service essentiel OIV: Secteur énergétique, télécom, Radio, Tv. Pour les OIV, ils doivent respecter les RGS et surtout l'article 22. Et être conforme à la loi de prog militaire 20-25. OSE: services annexes, fournisseurs des OIV (souvent des prestataires d'OIV). ### Charte Utilisateur ### Droit ### Devoir Ces deux mots sont importants: Dans 100% des cas, quand on reçoit une charte d'usage ou d'utilisateur du SI, on la signe sans la lire. Il faut faire attention car elle peut être retournée contre l'utilisateur. Si il y a une faute, exfiltration de données, on peut se retourner contre l'utilisateur avec ces données. Tout document produit pour l'entreprise lui appartient et entre alors dans le cadre des chartes. ### Guide de l'utilisateur D'un autre côté de la charte on retrouve le guide de l'utilisateur qui va informer sur les règles techniques nécéssaire à la bonne utilisation. Dans 90% des cas, les gens ne lisent pas la politique de sécurité des mots de passe. ### Droits d'accès Qui accède à quoi, et comment. Notions de gestion d'habilitation. IAM : Identity Access Management IAG : Identity Access Governance On peut imposer le login. Il n'y a plus l'identité dedans. Juste un matricule. On retrouve la modélisation des droits derrière, matrice d'utilisateur/ressources Voir tableau sur les slides si dispo. Un des soucis majeurs est que les droits d'administrateur sont trop souvent donnés à des utilisateurs qui n'en ont pas nécessairement besoin (ex. Secrétaire avec droit d'admin) ### Document d'organisation de la sécurité Désigne le RSSI (Respo Sécu SI) Il a un certain nombre de devoirs définis par ce document: - Elaboration de la politique de sécurité - Plan de sécurité, procédures de sécurité - Assure la cohérence entre les domaines - Rend compte aux organismes de contrôle (CNII, ANSI, associations d'éditeurs de logiciels, Police, ...) - Il faut réaliser des audits Bouygues: - Bâtiment - Immobilier - TCOM - TF1 - Colas (construction de routes) Tous à l'opposé les uns des autres. Il est difficile de faire une politique pour le groupe entier. L'entreprise va devoir monopoliser des ressources en plus de ?? Politique de sécurité: - Adaptée à l'activité de l'entreprise, sa taille, sa culture - Objet d'un consensus entre les responsables - Approuvée et appuyée par la direction générale Voir Politique de sécurité plus haut. Exemple: Fleury Michon Ransomware suite à une mauvaise transmission d'information à un partenaire. 72h d'interruption Tout le COMEX, DSI, etc jetés dehors. 1 an et demi plus tard, toujours pas de PSSI. La mise en application nécessite: - L'implication des responsables pour son élaboration - Une sensibilisation des utilisateurs sur les risques et enjeux - Des moyens de communication adaptés - De la formation - Une organisation adaptée (ambassadeurs, relais locaux, support) **Il faut éviter que la politique de sécurité ne soit qu'un classeur dans un placard.** **Exemple**: Bouygues, une semaine avant la sortie de l'IPhone X Réduction sur le prochain iPhone X via l'intranet de la boite. Sur 2500 personnes, 1800 connectés, 70% qui ont entré leur login et mot de passe. Les personnes prises la main dans le sac sont 'choquées' et comprennent *(@sensibilisation des utilisateurs sur les risques)* Les post-its sur les écrans ne sont pas des légendes. Il faut pouvoir faire toucher à l'utilisateur la sensibilité que les problèmes peuvent avoir. Généralement, les gens ne pensent pas à la sécu car il croient que l'entreprise les sécurise. ### Référentiels - Méthodologies d'analyse de risque - Risques métiers BAL2 : Référentiel pour les banques Il faut pouvoir faire le pendant entre les risques métiers et IT. Ces deux pendants permettent de le faire. ## Audit de sécurité Objectif de l'audit: - Evaluer la situation à un moment donné. La situation varie dans le temps Différents référentiels/méthodes d'audit: - Marion (CLUSIF) - Melisa (élaboré par la société CF6) - Mehari (société CFG synthèse de marion et melisa par le CLUSIF) - ISO 27002 (ISO/CEI) ### Méthodologie Marion Vision globale de la sécurité de l'entreprise. Permet de voir les points faibles de l'entreprise. Méthodologie vieille. Déjà utilisée dans les années 80. ### Méthodologies Maison Elles peuvent avoir du succès. Exemple: une méthodologie très pragmatique, un peu copiée de l'iso 27002. Toutes les entreprises essaient de produire leur propre méthode d'analyse de risques. On peut avoir des méthodologies très surprenantes de cette façon. ## TPE 4 entreprises sur 10 ont déjà subi une ou plusieurs attaques ou tentatives d'attaque. 30% des entreprises ne disposent due d'une triple protection (AV (antivirus), FW (Firewall), IDS) pour leur réseau. 17% des *entreprises* seulement sont assurées contre les attaques. 38% ... voir slides ## PME 76% pensent que la sécurité est un vrai sujet d'inquiétude. 21% des entreprises admettent avoir été attaquées 51k€ coût moyen d'une attaque pour 14% des entreprises attaquées Les PME sont conscientes de leur exposition, mais pas des moyens qui existent pour les réduire. ## ETI 80% des Entreprises de taille moyenne (ETI) sont vulnérables. 76% des patrons d'ETI déclarent qu'ils ont déjà subi au moins un **"incident cyber"**. 59% cyber attaques ont un impact sur le business. (Indisponibilité, arrêt de prod, ...) ### Attaques les plus courantes - 73% phishing - 50% Arnaque au président: on se fait passer pour une entreprise partenaire et on demande à changer de RIB, etc... - 44% Malware - 44% Ransomware - 40% Social engineering - 35% usurpation d'identité - 30% vol d'identifiant - 29% DoS/DDoS - 27% Fraude - 24% attaque ciblée On voit que le top 50 évolue toujours avec une dizaine de typologie d'attaques qui restent les mêmes. **Exemple**: groupe hosîtalier, virus. Antivirus pas màj. Mais le virus est entré par clef usb, à deux points, dont un poste d'analyse sanguine. L'attaque a changé les paramètres des tests qui a provoqué le rappel de 600 patients pour refaire les testes. On tend de plus en plus vers des attaques polymorphiques: Ransomware en avant qui masque une attaque très ciblée en fond par exemple. ### Evaluation des risques - Identifier les biens sensibles - Les biens sensibles ne sont pas que des biens logiciels, physiques. Il peut s'agir de code, etc... Il faut identifier les biens. - Identifier les menaces - Les différentes menaces auront des impacts différents. - On peut utiliser la grille d'acceptabilité de Méhari pour mesurer les menaces. - Evaluer l'impact sur le système d'information Voir slide synthèse méthode Risques résiduel: Il faut se décider si il est acceptable ou non. ### Risques Types de risques: - D: Disponibilité - I: Intégrité - C: Confidentialité - P: Preuve/Contrôle Probabilité: - 1: Très peu probable - 2: Peu probable - 3: Probable - 4: Très probable Impact: - 1: Léger - 2: Moyen - 3: Fort - 4: Critique Gravité: - 1: Tolérable - 2: Supportable - 3: Insupportable - 4: Inadmissible On construit un tableau **Probabilité/Impact**, qui permet de déterminer une **Gravité**. ### Plan de sécurité Il se déduit des étapes précédentes et traite les principales menaces identifiées. Il décrit les projets nécessaires pour se conformer à la politique de sécurité. ... ### Mesures adaptées aux risques et aux effets - Mesures dissuasives: - Mesures préventives - Sensibilisation de l'employé - Mesures de confinement: - Roles des utilisateurs, accès aux ressources, plans de continuité d'activité, télétravail. Ex: avec le Corona, les entreprises auraient dû déclencher leur PCA. - Mesures palliatives: Les entreprises avaient créé des plans pour le H1N1, qu'elles ont oublié lors de l'arrivée du Corona. ### Plan sécurité On classe les actions/projets par priorité. Voir slides. Quand un projet est en agile par exemple, en perpétuel mouvement, on peut facilement retrouver des failles et les exploiter. Elles reviennent continuellement. ## Mise en oeuvre des projets ### Plan de secours PCA: Plan de continuité d'activité PRA: Plan de reprise d'activité DRP: Disaster recovery plan Les gens testent les sauvegardes lors de leur mise en place, mais pas après. - Quels sont les besoins de l'entreprise en terme de continuité d'activité? - Quelle est, pour le client, la perte de données maximale admissible? PDMA ou RPO (Recovery Point Objective) - Quelle Durée Maximale d'Interruption d'Activité? DMIA ou RTO (Recovery Time Objective) - Quelles solutions de contournement? - Quelle organisation en cas de sinistre? (gestion de crise) - Quelle communication ? (employés, clients, fournisseurs) Les chaines de magasins, entre la logistique, le stockage, jusqu'aux caissiers: le PCA n'a jamais été testé. Ils vont tester la chaine logistique, puis la chaine de la caissière, mais jamais de bout en bout. Les banques pareil. - PCA - Solution à tolérance de panne. - Sites informatiques redondants. - PRA - Site informatique de secours. - Reprise sous un certain délai (24h à 1 semaine). - Nécessite des sauvegardes et la possibilité de disposer de serveurs et de locaux. - Moyens mutualisés d'un prestataire. Il y a des niveaux de services différents: 'Platinum', 'Gold', 'Silver', 'Bronze'. Faire attention à ce qu'ils proposent. Ils sont différents selon les boites... - Les moyens: - Infrastructure: serveurs, stockage, réseau - Systèmes, middleware, applications - Données - ... ## Les textes et méthodes voir slides ### Les normes ISO 270XX 35 sous normes. Qui couvrent toute la sécurité. 27001: Totu ce qui va faire qu'on va pouvoir travailler sur le systeme du management de la sécu. 27002: Les bonnes pratiques voir slides. #### ISO 27002 15 chapitres incontournables pour avoir une vision mature de la sécurité d'une entreprise. Le RSSI va s'appuyer sur la 27002 pour mesurer la maturité... ### Méhari 2010 (***Mé***thode ***Ha***rmonisée d'***A***nalyse de ***Ri***sques) Elaborée par le CLUSIF Analyse de risques Elaboration des mesures (parades) Résultat: - Plan stratégique de sécurité (niveau entreprise) - Plan Oprétionnel de Sécurité (niveau unité) - Plan Opérationnel d'Entreprise (Consolidation des plans des unités) ## Le support de cours est autorisé pour le TD