View
214
Download
0
Category
Preview:
Citation preview
15-18 octobre 2013, Autrans
Journées Qualité en Chimie II
Atelier gestion des risques
Prévention & Sécurité (S. Boullanger)
Sécurité de l’information (A. Rivet)
Le laboratoire : un patrimoine scientifique
convoité
la réputation du laboratoire
La valorisation de la recherche
le portefeuille de contrats de recherche (organismes publics,
entreprises privées…)
les données informationnelles
les compétences (savoir, savoir faire)
le potentiel technique (infrastructures,
installations, matériels…)
D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS
l’espionnage visant des secrets de
défense à des fins de prolifération ou de
terrorisme
l’espionnage scientifique et
industriel
l’altération de données
l ’atteinte à la disponibilité ,
intégrité, confidentialité de
l’information
l ’utilisation frauduleuse de
moyens informatiques
l ’atteinte à des personnes ou des
biens
mais aussi les risques juridiques
(civils, pénaux) ….
…soumis à des menaces !
D’après une présentation de Robert LONGEON – Chargé de Mission SSI du CNRS
Disponibilité de l ’outil de travail
Intégrité des systèmes et des
personnes
Protection de données sensibles • données du patrimoine
scientifique
• données de gestion • données individuelles
Protection juridique • Risques administratifs
• Risques pénaux
• Protection de l’image de marque
Les enjeux de la Sécurité des SI Finalité « protection du patrimoine scientifique »
Appréhender la
sécurité de
l’information sous
l’angle du
management permet
de dépasser le stade
purement technique
de la SSI.
La norme ISO 27001
La technologie
L’individu
La procédure
Risque en sécurité de l’information
Risque : Possibilité qu'une menace puisse exploiter
une vulnérabilité d'un actif et causer ainsi un préjudice à l'organisation
Mesuré par combinaison de : • Probabilité d'occurrence ou potentialité de
l'évènement
• Impact, conséquence ou préjudice
► Impact : plutôt "Sécurité de l'information"
► Conséquence : plutôt processus métier, organisme
Menace Vuln
éra
bilité
Actif
Impact
Conséquence
ou Préjudice
Exploite
Cib
le
Possède
Cau
se
Permet la réalisation
Pro
vo
qu
e
Appréciation des risques sur un cas d’école
Projet de travail de groupe :
• Identifier les risques
• Effectuer une appréciation des risques
• Mettre en place un traitement du risque
Utilisation d’un portable par un chercheur
Étude de cas :
Utilisation du portable par un chercheur lors de ses déplacements :
• Le disque dur contient des résultats de recherche et des informations
stratégiques (courriels échangés avec des partenaires industriels, rapport
de recherche, projet de brevet)
• Ce chercheur se déplace régulièrement à l’étranger et utilise son
ordinateur dans des endroits publics exposés : aéroports, gares, hôtels...
• La seule protection utilisée est un simple couple identifiant / mot de passe à l'allumage de l'ordinateur
Définition des critères
Echelle de valorisation des actifs
0 (valeur négligeable) : les effets ne sont pas décelables
1 (valeur faible) : affecte essentiellement des éléments de confort
2 (valeur significative) : affaiblit la performance de l’unité
3 (valeur élevée) : affecte l’organisme
4 (valeur critique) : mets en danger les missions essentielles de
l’organisme
Critères d'évaluation des risques
Probabilité d’occurrence
Basse Moyenne Haute
Facilité d’exploitation
Difficile Moyenne Facile Difficile Moyenne Facile Difficile Moyenne Facile
Valeur de l’actif/niveau de
l’im
pact
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7
8
Cinq niveaux dans les critères d’évaluation
du risque :
1.Risques nuls (vert : 0)
2.Risques négligeables (Jaune : 1-2)
3.Risques significatifs (Rose : 3-4)
4.Risques graves (Rouge : 5-6)
5.Risques vitaux (Bordeaux : 7-8)
Tableau d’analyse de risques
Facteur
de risque
Modalité
d’exposition
Moyens
de prévention
en place
Carences
Dysfonction
nement
cotation Proposition
d’amelioration
Nouvelle
cotation
observations
Sachant qu’une dizaine de personnes travaillent quotidiennement dans ce
laboratoire
Identification des risques
A partir d’exemples de scénario/conséquence
Scénario d'incident Impact/Conséquence
Au cours du passage à la douane le disque dur,
qui comportait un article en cours de rédaction, est
recopié.
La perte de l’article et des résultats de recherche
empêche sa publication.
Un brevet en voie de dépôt, des courriels
échangés au sein de la collaboration de recherche
et des négociations entre des partenaires
industriels ont été espionnés.
Un industriel concurrent dépose un brevet de barrage.
Perte d’image du laboratoire
Perte de confiance des partenaires industriels
Difficulté au sein de la collaboration de recherche
Actifs Menaces Vulnérabilités
Actifs primordiaux
Informations stockées
sur l’ordinateur
portable
Pertes d’efficacité/
pertes de contrats
Possibilité de transfert
des informations
sensibles à des
organismes hostiles
Faible sensibilisation des chercheurs : le processus de
publication est un actif dont la perte affecte la
performance (les résultats de recherche sont donc un
actif critique)
Stockage en clair des données du laboratoire
(informations stratégiques) et de données à caractère
privé et des
Actifs de soutien
Ordinateur portable
Vol de l’ordinateur
portable
Caractère mobile de l'ordinateur portable
Identification des risques Exemples de vulnérabilités liées aux actifs
Actif
Pro
bab
ilité
d’o
ccu
rren
ce
Fac
ilité
d’e
xp
loita
tion
Niv
eau
de
risq
ue
Traitement du risque
Nom Valorisati
on
Données utilisateur 3
Ha
ute
Mo
ye
nn
e
6
Objectif: Maintenir l’intégrité et la disponibilité des informations et des moyens
de traitement de l’information.
A.10.5.1 - Sauvegarde des informations
Mesure : Des copies de sauvegarde des informations et logiciels doivent être
réalisées et soumises régulièrement à essai conformément à la
politique de sauvegarde convenue.
Objectif: Protéger la confidentialité, l’authenticité ou l’intégrité de l’information
par des moyens cryptographiques
A.12.3.1 - Politique d’utilisation des mesures cryptographiques
Mesure : Une politique d’utilisation des mesures cryptographiques en vue de
protéger l’information doit être élaborée et mise en oeuvre.
Ordinateur portable 2
Mo
ye
nn
e
Mo
ye
nn
e
4
Objectif: Empêcher l’accès d’utilisateurs non habilités et la compromission ou
le vol d’informations et de moyens de traitement de l’information
A.11.3.2 - Matériel utilisateur laissé sans surveillance
Mesure : Les utilisateurs doivent s’assurer que tout matériel laissé sans
surveillance est doté d’une protection appropriée.
Objectif: Garantir la sécurité de l’information lors de l’utilisation d’appareils
informatiques mobiles et d’équipements
de télétravail.
A 11.7.1 - Informatique mobile et télécommunications
Mesure : Une procédure formelle et des mesures de sécurité appropriées
doivent être mises en place pour assurer une protection contre le risque lié à
l’utilisation d’appareils informatiques et de communication mobiles.
Appréciation du risque (et traitements)
Conclusion sur la sécurité de l’information
• Exigences de sécurité
• Objectifs de sécurité
• Mesures de sécurité
• ISO 27001 est un guide pour la mise en place d’un SMSI
• ISO 27002 est la description détaillée des mesures de sécurité de
l’annexe A de l’ISO 27001
• ISO 27005 : Guide de mise en œuvre de la partie appréciation des
risques de la sécurité de l'information de l'ISO 27001
Recommended