View
213
Download
0
Category
Preview:
Citation preview
PASSIUn label d’exigence et de confiance ?
INTRINSEC
Site Intrinsecwww.intrinsec.com
Blog Intrinsec sécuritéSecurite.intrinsec.com
Twitter Intrinsec @Intrinsec_Secu
Intrinsec – 2015 – Reproduction interdite sans autorisation
INTRINSEC
Identité
Fondée en 1995, Intrinsec est un acteur historique de la sécurité des systèmes d’information. Structure française, d’environ 250 collaborateurs, dont 50 spécialisés en SSI :
• Evaluation : Test d’intrusion et audit de sécurité
• Conseil : Etudes, Accompagnement RSSI, RSSI Temps partagé
• Sécurité opérationnelle : SOC as a service et CERT-Intrinsec
• Innovation : anticipation, projet d’étude amont
Intrinsec est qualifié PASSI par LSTI depuis juillet 2014 sur les activités suivantes • Audit organisationnel et physique
• Audit de configuration
• Audit d’architecture
• Audit de code source
• Test d’intrusion
Guillaume Lopes / Consultant Sécurité depuis plus de 6 ans• Manager adjoint de l’activité d’Evaluation
• Responsable de la qualification PASSI d’Intrinsec
2Intrinsec – 2015 – Reproduction interdite sans autorisation
RGS
Présentation
RGS : Référentiel Général de Sécurité Référentiel destiné à sécuriser les échanges électroniques de la sphère publique
Un recueil de règles et de bonnes pratiques en matière de sécurité des Systèmes d’Informations (SSI)
Elaboré par L’ANSSI – Agence Nationale de la Sécurité des Systèmes d’Information
La DGME – Direction Générale de la Modernisation de l’Etat
Objectifs Développer la confiance des usagers et des administrations dans leurs échanges
numériques
Favoriser l’adoption de bonnes pratiques en matière de SSI
Adapter les solutions techniques aux besoins SSI identifiés
Favoriser le respect de la loi Informatique & Libertés
3Intrinsec – 2015 – Reproduction interdite sans autorisation
RGS
Présentation
Le RGS concerne les Autorités Administratives (AA) Administrations de l'État
Collectivités territoriales
Etablissements publics à caractère administratif
Organismes gérant des régimes de protection sociale
Organismes chargés de la gestion d'un service public administratif
Et implique, donc, aussi les prestataires des AA
Qu’est ce qu’une autorité administrative ? (selon l’ordonnance n°2005-1516 du 8 décembre 2005)
« Sont considérés comme autorités administratives au sens de la présente ordonnance les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargés de la gestion d’un service public administratif »
4Intrinsec – 2015 – Reproduction interdite sans autorisation
RGS
Présentation
RGSv.1.0 a été rendu officiel en date du 6 mai 2010 Pas de notion de PASSI
Mais PSCE et PSHE
RGSv2.0 publié en juin 2014 et applicable au 1er juillet 2014 Annexe C : PASSI
Liste des documents constitutifs du RGS http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-
securite/liste-des-documents-constitutifs-du-rgs-v-2-0.html
5Intrinsec – 2015 – Reproduction interdite sans autorisation
RGS
Prestataire de confiance
Qu’est-ce qu’un prestataire de confiance ? Atteste de sa conformité à un niveau de sécurité du RGS
Habilité par un organisme de qualification
Types de prestataires de confiance actuellement en place PSCE : Prestataires de services de certification électronique
PSHE : Prestataires de services d’horodatage électronique
PASSI : Prestataires d’audit de la sécurité des systèmes d’information
Ceux qui vont bientôt arriver PDIS : Prestataires de détection des incidents de sécurité
PRIS : Prestataire de réponse aux incidents de sécurité
PSSIN : Prestataire de services sécurisés d’informatique en nuage
…
6Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Présentation
Une phase expérimentale a eu lieu de janvier 2012 à juin 2013 avec trois sociétés
HSC, Sogeti et AMOSSYS
A la date de cette présentation 4 sociétés sont qualifiées PASSI
AMOSSYS / INTRINSEC / SOGETI ESEC / SOLUCOM
12 sociétés sont en cours de qualification
CGI Business Consulting / CS Systèmes d’information / DELOITTE CONSEIL /
I-TRACING / OPPIDA / BULL / ADVENS / CONIX Technologies et Services /
ORANGE CONSULTING / LEXSI / THALES Communications & Security SAS / HSC
7Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Présentation
Un prestataire ne peut être qualifié PASSI que sur des activités d’audit visées par le référentiel
Une activité d’audit est appelée portée de qualification
Audit d’architecture Conformité des pratiques de sécurité relatives au choix, au positionnement et
à la mise en œuvre des dispositifs matériels et logiciels déployés dans un SI
L’audit peut être étendu aux interconnexions et Internet
Audit de configuration Vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art et
aux exigences de l’audité en matière de configuration du matériel et du logiciel
Audit de code source Analyse de l’ensemble ou d’une partie du code source ou des conditions de
compilation d’une application
Revue manuelle ou automatique du code
L’outil utilisé doit être mentionné dans le rapport !
8Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Présentation
Tests d’intrusion Conditions réelles d’une attaque sur le SI
Un test d’intrusion seul n’a pas vocation à être exhaustif En complément d’autres activités
Les tests de vulnérabilités, notamment automatisés, ne représentent pas à eux seuls une activité d’audit au sens du Référentiel
Les vulnérabilités (logicielles) non publiques découvertes lors de l’audit doivent être communiquées à l’ANSSI
Audit organisationnel et physique Revue des politiques et procédures de sécurité de l’audité
Conformité vis-à-vis de l’état de l’art ou des normes en vigueur
Les mesures techniques appliquées sont correctes et efficaces
Les aspects physiques de la sécurité du SI sont couverts
Il est à noter qu’un prestataire ne peut pas être qualifié uniquement sur le test d’intrusion ou l’audit organisationnel et physique
Ces activités menées seules sont jugées insuffisantes
9Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Qualification
Modalités de la qualification des prestataires d’audit LSTI est accrédité par le COFRAC et habilité par l’ANSSI
LSTI qualifie le prestataire de sécurité
Le prestataire de sécurité audite le client (audité)
La qualification nécessite que LSTI Audite le siège du prestataire d’audit
Evalue les auditeurs du prestataire d’audit (examens écrits et oraux)
Observe le prestataire d’audit mener un ou plusieurs audits
Actuellement, LSTI est le seul organisme habilité à qualifier les prestataires
La qualification est attribuée pour une durée maximale de 3 ans Un audit de surveillance est prévu au bout de 18 mois après la décision de
qualification
10Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Exigences
Exigences relatives aux prestataires d’audit Entité ou partie d’une entité dotée de la personnalité morale
La prestation est réalisée selon une convention d’audit approuvée par le commanditaire
Le prestataire d’audit assume la responsabilité de l’audit
Souscription d’une assurance pour la réalisation des audits
Sous-traitance acceptée (le commanditaire doit accepter)
Respect de la loi française
Description de son organisation d’audit
Pas d’informations trompeuses ou fausses fournies au commanditaire
Impartialité des audits
Livrables en langue française
Respect de l’audité, du personnel et des infrastructures
11Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Exigences
Exigences relatives aux prestataires d’audit (suite) Une charte éthique doit être formalisée et signée par tous les auditeurs
Auditeurs en nombre suffisant et compétents
Protection des informations récoltées lors de l’audit
Exigences relatives aux auditeurs Qualités personnelles (ISO 19011 7.2)
Réglementation applicable aux audits
Qualités rédactionnelles et de synthèse, bonne expression orale
Expérience suffisante de l’auditeur
Au moins 1 an dans la SSI
Aptitudes et connaissances spécifiques
Contrat de travail avec le prestataire d’audit
12Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Exigences
Exigences relatives au déroulement de l’audit La démarche est identique à l’ISO 19011
Le prestataire doit s’assurer avant le démarrage de l’audit que
Le commanditaire fournit un espace de travail adéquat
Le commanditaire a identifié correctement le périmètre de l’audit
L’audit est adapté au contexte et aux objectifs souhaités
A défaut, le prestataire doit prévenir le commanditaire
Déroulement de l’audit (version RGS) Etablissement de la convention d’audit
Préparation et déclenchement de l’audit
Exécution de l’audit
Elaboration du rapport d’audit
Conclusion de l’audit
Le déroulement de l’audit doit respecter la norme ISO 19011
13Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Exigences
Audit du siège du prestataire Locaux et notamment la sécurité physique
Documents utilisés dans le cadre des activités d’audit
Politiques, procédures, livrables, etc.
Protection des informations au niveau Diffusion Restreinte
Rédaction des livrables et tests réalisés sur des machines distinctes
La machine de rédaction ne doit pas être connectée à Internet
Les livrables sont transmis au client uniquement de manière chiffrée
Le système d’information est homologué D.R.
Organisation des audits
Formation du personnel et maintien en compétences
Echantillonnage pour les contrôles techniques
14Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Exigences
Suivi d’un audit témoin Observer le prestataire d’audit en conditions réelles
Focus sur le déroulement de l’audit et les compétences de l’auditeur
L’observation est effectuée uniquement aux moments clés d’un audit Réunion d’ouverture de l’audit
Une journée d’audit complète afin d’observer la démarche de l’auditeur
Réunion de clôture
15Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Exigences
Evaluation des compétences des auditeurs Un examen écrit
Un examen oral
Une étude du CV de l’auditeur
Examen écrit Test commun sur l’ISO 19011 et le RGS
L’obtention de ce test est nécessaire pour valider les portées de qualification
Un test pour chaque activité d’audit souhaitée
Les tests comportent des QCM et des questions libres
Examen oral Uniquement sur les portées obtenues à l’écrit
Les résultats de l’écrit sont utilisés
En général, 3 personnes dans le jury Une personne de LSTI
Un enseignant chercheur (ex: SUPELEC)
Un auditeur
16Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Exigences
Une attestation de compétence est fournie par LSTI au prestataire indiquant les portées obtenues par l’auditeur
Cette attestation est valable 3 ans, ensuite repassage de l’examen
L’attestation de compétence est liée à l’entreprise
Si le consultant quitte la société, il doit repasser les examens
L’attestation peut être communiquée aux clients du prestataire qui en font la demande
Un registre des auditeurs qualifiés est maintenu par LSTI mais ne sera pas divulgué publiquement
L’auditeur ne peut pas faire de publicité publiquement à titre individuel sur le fait qu’il soit PASSI
17Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
En pratique
L’obtention de la qualification PASSI prend du temps !!! Gros effort sur les moyens techniques et la documentation
Mise en place d’une infrastructure Diffusion Restreinte Infrastructure isolée du réseau classique de l’entreprise
Contrôle d’accès physique renforcé
Postes de travail supplémentaires pour la rédaction
Temps de formation et d’examen des auditeurs Une demi-journée pour l’examen écrit
Une demi-journée pour l’examen oral
Temps de préparation (revue de l’ISO 19011 et du RGS)
Audit témoin Temps de recherche pour trouver un client acceptant que LSTI soit observateur de
l’audit
18Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Avantages
Le PASSI permet d’utiliser un vocabulaire commun Un test d’intrusion est bien différencié d’un scan de vulnérabilités
Une définition pour chaque type de prestation est fournie
Et les tests attendus sont précisés
Le PASSI apporte de la confiance aux parties prenantes Le processus de qualification rassure les commanditaires et audités
L’ANSSI est porteur de ce règlement
Le PASSI permet d’avoir une démarche commune Réunion d’ouverture et de clôture
Prévenir le client en cas de vulnérabilités
…
Et surtout la démarche se base sur la norme ISO 19011
19Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Limites
L’appel à des prestataires qualifiés n’est pas obligatoire ! Nombre d’appel d’offres publics n’intègre pas cette dimension et/ou accorde une
importance relativement faible dans l’évaluation
La nécessité de recourir à des produits de sécurité ou à des prestataires de services de confiance a été régulièrement rappelée par le Premier ministre, ainsi il est recommandé […] de prendre en considération, pour le choix des prestataires, en plus de leur qualification, leur éventuelle certification selon la norme ISO 27001 ou d’ autres normes équivalentes (RGSv2 7.9)
Les autorités administratives doivent, autant que possible, faire appel à des prestataires ayant obtenu une qualification (RGv2 7.11)
Si une AA ne fait pas appel à un prestataire qualifié elle doit pouvoir démontrer que le prestataire choisi respecte les exigences du RGS
Il reste encore un travail d’évangélisation auprès des AA
20Intrinsec – 2015 – Reproduction interdite sans autorisation
PASSI
Limites
Est-ce que les commanditaires vont respecter les règles ? Demander un audit uniquement avec des consultants ayant été qualifiés PASSI
mais sans respect de la démarche
Demander un audit en respectant toutes les conditions du PASSI mais sans souhait que l’audit soit une prestation qualifiée
Est-ce que toutes les sociétés pourront se permettre d’être labellisées ? Est-ce un intérêt ?
Si tous les cabinets d’audit sont labellisés, est-ce que le PASSI demeure un élément différenciant ?
L’augmentation du nombre de labels ne va-t-elle pas apporter de la confusion auprès des commanditaires ?
21Intrinsec – 2015 – Reproduction interdite sans autorisation
INTRINSEC
Questions
Guillaume LOPESConsultant Sécurité
Guillaume.Lopes@intrinsec.com
Site Web Intrinsecwww.intrinsec.com
Blog Sécurité Intrinsecsecurite.intrinsec.com
Intrinsec01 41 91 77 77
contact@intrinsec.com
Twitter@Intrinsec_Secu
22Intrinsec – 2015 – Reproduction interdite sans autorisation
Recommended