Par : Sylvain ViauLuc Boudrias
La sLa séécuritcuritéé des TI : des TI : Comment accroComment accroîître votre niveau de tre votre niveau de
maturitmaturitéé en sen séécuritcuritééAtelier 315Atelier 315
© Société GRICS
Plan de la prPlan de la préésentationsentation
• Qui sommes-nous ?• Pourquoi la sécurité de vos TI est-elle importante ?• Comment définir le bon niveau de sécurité requis ?• Résultats d’un sondage réalisé dans le réseau • Les constats• Les bonnes pratiques (la norme ISO 27001)• Que faire ?• Une proposition (un projet de partenariat)• Conclusion• Vos questions
© Société GRICS
Qui sommesQui sommes--nous ?nous ?• Sylvain Viau
Certifications CISA, pm, TP, BSI 27 ans d’expérience en sécurité militaire et civileEx président de l’Association de la sécurité informatique du Montréal Métropolitain (2005-06) et du CQSI (2004-2005)Spécialisé dans l’évaluation en sécurité pour les banques, les organismes publics, les entreprises manufacturières et de service
• Luc BoudriasCA, CA-TI, consultant en démarche stratégique TI tels plan directeur, plan de sécurité, plan de continuité, modèle de gouvernance23 ans d'expérience dont 15 ans comme gestionnaire dans le réseau de l'éducationConnaissance des normes ISO 17799, 27001, des pratiques selon ITIL, COBIT et des méthodologies comme Mehari et Ebios
© Société GRICS
Pourquoi la sPourquoi la séécuritcuritéé de vos TI estde vos TI est--elle elle importante ?importante ?
Vos obligations (légales,contractuelles et morales)
Votre crédibilitéLa protection des informations Le bon fonctionnement de vos opérationsLa relève de vos activités stratégiquesLa formation de votre clientèle (sensibilisation,
responsabilisation)
© Société GRICS
Les menacesLes menaces
• Divulgation non autorisée d’information• Poursuite en responsabilité• Perte de données• Modification d’information sans
autorisation• Utilisation non autorisée de votre
infrastructure• Perte $$
© Société GRICS
Comment dComment dééfinir le bon niveau finir le bon niveau de sde séécuritcuritéé requis ?requis ?
© Société GRICS
Introduction avec la mIntroduction avec la mééthode EBIOSthode EBIOS
La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité ) propose une grille d’évaluation permettant d’établir le niveau de maturité, en se référant àcertains paramètres de la norme ISO/IEC 21827,17799.
Elle propose ensuite une évaluation de 16 volets reliés à la sécurité des TI.
© Société GRICS
Les niveaux de maturitLes niveaux de maturitéé selon EBIOSselon EBIOS
5- En amélioration constante (processus d’amélioration continue)
4- Contrôlé qualitativement (établissement de buts mesurables, gestion objective de la performance)
3- Standardisé (formalisé, utilisation et mise en œuvre de processus définis, coordination des pratiques)
2- Formalisé avec certaines règles définies (pas publié, pas d’approche globale)
1- Informel (mise en œuvre de pratiques de base)
0- Non réalisé (pas de mise en œuvre)
© Société GRICS
Comment Comment éévaluer le niveau de maturitvaluer le niveau de maturitéé
Le niveau de menace, comportant :
Le niveau d’attractivité• environnement opérationnel• secteur d’activités
Le niveau de vulnérabilité• interconnexion • homogénéité• sous-traitance
Selon deux axes
Le niveau d’adhérence
• importance des TI• effet de la perte des systèmes• effet de la modification des
données• effet de la divulgation
© Société GRICS
Grille dGrille d’é’évaluationvaluationdu niveau de maturitdu niveau de maturitéé
1
2
3
0 1 2 3
0 0 1 2 31 1 2 3 42 2 3 4 53 3 4 5 5
Niveau de maturitéSSI adéquat
Niveau de menace
Niveaud'adhérence
© Société GRICS
16 volets reli16 volets reliéés s àà la sla séécuritcuritéé des TI des TI ààéévaluervaluer
• la politique de sécurité• l’organisation de la sécurité• la gestion des risques • la sécurité et le cycle de vie• l’assurance, la certification• les aspects humains• la continuité des activités• la gestion des incidents
• la sensibilisation, la formation• l’exploitation• les aspects physiques et
l’environnement• l’identification, l’authentification• le contrôle d'accès logique• la journalisation• les infrastructures de gestion de
clés cryptographiques • les signaux compromettants
© Société GRICS
RRéésultats dsultats d’’un sondage un sondage rrééalisaliséé dans le rdans le rééseauseau
Message importantLe sondage a été réalisé auprès de quelques
commissions scolaires entre les mois de janvier et octobre 2006 dans un contexte de sensibilisation. Les résultats doivent être interprétés avec prudence et
réserve.
© Société GRICS
RRéésultats du sondagesultats du sondage-- niveau de maturitniveau de maturitéé
Le niveau de maturité requis se situe entre 3 et 5
Attractivité et vulnérabilité – faible à important
Niveau d’adhérence-important
Attractivité et vulnérabilité – faible à important
Niveau d’adhérence-très important
0 1 2 30 0 1 2 31 1 2 3 42 2 3 4 53 3 4 5 5
Niveau d'adhérence
Niveau de maturitéSSI adéquat
Niveau de menace
0 1 2 30 0 1 2 31 1 2 3 42 2 3 4 53 3 4 5 5
Niveau de maturitéSSI adéquat
Niveau de menace
Niveau d'adhérence
© Société GRICS
RRéésultats du sondage sultats du sondage -- 16 volets 16 volets concernant la sconcernant la séécuritcuritéé
0
1
2
3
4
5Politique de sécurité
Organisation de la sécurité
Gestion des risques, sécurité dessystèmes d'information
Sécurité et cycle de vie
Assurance et certification
Aspects humains
Planification de la continuité desactivités
Gestion des incidents Sensibilisation et formation
Exploitation
Aspects physiques etenvironnement
Identification / authentification
Contrôle d'accès logique
Journalisation
Infrastructures de gestion de cléscryptographiques
Signaux compromettants
Résultats actuelscible
Le sondage a été réalisé auprès de quelques commissions scolaires entre les mois de janvier et octobre 2006 dans un contexte de sensibilisation. Les résultats doivent être interprétés avec prudence et réserve.© Société GRICS
ISO 27001ISO 27001
La norme internationale ISO 27001 est structurée en quatre étapes récurrentes (planifier, mettre en œuvre, vérifier, améliorer) afin de respecter le principe de la roue de Deming, issue du monde de la qualité.
© Société GRICS
La norme ISO 27001 La norme ISO 27001 -- approche diagnostiqueapproche diagnostique
Situer l’organisme dans les 11 différents domaines de sécurité en considérant :– Intégrité– Confidentialité– Disponibilité
39 objectifs de sécurité, 133 mesures.Norme internationale avec possibilité
de vous qualifier au standard.© Société GRICS
Les domaines de sLes domaines de séécuritcuritéé selonselonISO 27001ISO 27001
• Politique de sécurité• Organisation de la sécurité• Classification et contrôle des actifs• Sécurité des ressources humaines• Sécurité physique et sécurité de l’environnement• Gestion des communications et des opérations• Contrôle des accès• Acquisition, développement et maintenance des
systèmes• Gestion des incidents en sécurité de l’information• Gestion de la continuité des activités de l’organisme• Conformité
© Société GRICS
Graphique illustrant les rGraphique illustrant les réésultats et sultats et ll’’ordonnancement des travaux ordonnancement des travaux àà rrééaliser selon aliser selon
la norme ISO 27001la norme ISO 27001
0
1
2
3
4
5Politique de sécurité
Organisation de la sécurité del'information
Gestion des actifs
Sécurité des ressources humaines
Sécurité des bâtiments et deséquipements
Gestion des communications et desopérationsContrôle des accès
Acquisition, développement et entretiendes systèmes
Gestion des incidents en sécurité del'information
Gestion de la continuité des activités
Conformité
Situation actuelle Cible à atteindre
Exemple pour un diagnostic réalisé dans le réseau
© Société GRICS
Les commentaires *Les commentaires *
• Les utilisateurs sont moins vigilants et alertes parce qu’ils présument que les contrôles en place sont suffisants et bien gérés par l’organisation.
• Une meilleure communication des risques change la perception des utilisateurs.
• Selon une étude rapportée par OCDE (2003), une bonne proportion des entreprises n’ont pas fait de la sécurité un objectif stratégique.
* Tiré d’une présentation effectuée par Jacques Bergeron, professeur HEC
© Société GRICS
Les commentaires *Les commentaires *
Vous êtes confrontés quotidiennement à des éléments de risques, ce qui a pour effet d’atténuer votre niveau de tolérance.
Vous considérez que le risque est plus important au niveau des événements visibles (virus, pourriels), parce que quantifiables et contrôlables.
Vous accordez beaucoup moins d’importance aux événements rares (sinistre , feu…), parce qu’ils sont difficilement quantifiables et peu probables.
* Tiré d’une présentation effectuée par Jacques Bergeron, professeur HEC
© Société GRICS
Les constatsLes constats• Beaucoup d’importance à la protection physique et à l’entretien
des systèmes• Préoccupation relative aux ressources humaines
________________
• Peu de politiques ou de règles de gestion pour la sécurité• Pas de structure organisationnelle pour la sécurité• Pas d’inventaire des actifs avec catégorisation• Peu de documentations• Gestion insuffisante des incidents • Plan de continuité à formaliser• Pas assez d’argent ($) consacré à la sécurité de l’information
© Société GRICS
Plan dPlan d’’actionsactions• État de situation (indicateurs, point de départ )
• Préparation d’une politique ou d’une règle de gestion
• Définition d’une structure organisationnelle avec identification formelle de certaines responsabilités
• Inventaire de vos actifs informationnels avec catégorisation
• Instauration d’un processus pour l’annotation des incidents en sécurité
Sensibilisation,
comm
unication
© Société GRICS
ÉÉtat de situationtat de situation
• Identifier votre niveau actuel en comparaison avec certains indicateurs
• Identifier les cibles à atteindre• Préciser les moyens et les objectifs
visés
© Société GRICS
Politique Politique -- quelques considquelques considéérants rants relatifs au contenurelatifs au contenu
Objectif(s)PortéeResponsabilité(s)Mise à jourApplicationPrincipes directeursVérification, conformitéSanctions, conséquences
© Société GRICS
Structure organisationnelle Structure organisationnelle --quelques actionsquelques actions
Au niveau stratégique• Confirmer les orientations• Préciser les rôles et responsabilités• Obtenir l’engagement des détenteurs d’enjeux
Au niveau tactique• Voir à la formation d’un comité de sécurité
Au niveau opérationnel• Voir à la nomination d’un responsable de la sécurité
© Société GRICS
Inventaire des actifs informationnels avec Inventaire des actifs informationnels avec catcatéégorisationgorisation
Faire en sorte d’identifier pour chacun des actifs :• L’importance des données véhiculées • Le caractère stratégique • L'importance quant à l'intégrité• Le niveau de confidentialité requis • La nécessité de mettre en place :
– Des mécanismes d'authentification – Des mécanismes d'irrévocabilité
• L’importance de la disponibilité des données véhiculées
© Société GRICS
Gestion des incidentsGestion des incidents
• Mettre en place un processus de gestion des incidents de sécurité permettant:
– D’annoter et de catégoriser les incidents – D’instaurer une grille de priorités et de
cibles de résolution– D’extraire, pour fin d’analyse, certaines
données
© Société GRICS
Sensibilisation et communicationSensibilisation et communication• Il faut démontrer à la haute direction les
bénéfices et avantages associés à un programme de gestion de la sécurité.
Comment ?– Faire le lien entre la valeur de l’information
(inventaire des actifs et classification) et les objectifs d’affaires de votre organisation
– Identifier le niveau actuel de maturité des utilisateurs concernant la sécurité et préparer un programme de sensibilisation
* Tiré d’une présentation effectuée par Jacques Bergeron, professeur HEC
© Société GRICS
Sensibilisation et communicationSensibilisation et communicationPréparer un programme de sensibilisation
• Identifier les risques et les facteurs humains concernés
• Identifier les types de clients et leurs caractéristiques
• Concevoir des messages et des activités • Réaliser des activités de sensibilisation• Évaluer les résultats • Faire un suivi
© Société GRICS
ConclusionConclusion
Cette démarche permet de confirmer l’Importance d’accroître votre niveau de
maturité en sécurité des TI en posant les actions appropriées.
© Société GRICS
PropositionProposition
Accompagner un groupe de commissions scolaires dans la mise en place d’un programme d’amélioration de la gestion de la sécurité.
© Société GRICS
PropositionPropositionRéaliser un diagnostic de votre situation en utilisant une méthode reconnue et normalisée
Proposer un plan d’action en concertation avec les autres partenaires
Accompagner le groupe dans la réalisation des travaux :– Fournir expertise, modèle de référence et aide – Assurer la gestion du projet– Coacher et aider à la mise en oeuvre – Assurer le transfert des connaissances
Instaurer un processus d’amélioration continue
© Société GRICS
Pour plus d’informationPour plus dPour plus d’’informationinformation
Téléphone : (514) 266-4665Courriel : [email protected]
TTééllééphone : (514) 266phone : (514) 266--46654665Courriel : Courriel : luc.boudriasluc.boudrias@@grics.qc.cagrics.qc.ca
© Société GRICS