• Save
Sécurité vs Continuité -rev2-
Upcoming SlideShare
Loading in...5
×
 

Sécurité vs Continuité -rev2-

on

  • 733 views

 

Statistics

Views

Total Views
733
Views on SlideShare
721
Embed Views
12

Actions

Likes
0
Downloads
0
Comments
0

2 Embeds 12

https://www.linkedin.com 7
http://www.linkedin.com 5

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Définition de «  détails  » : oublis entre les lignes concepts entre 2 chaises dénis délibérés manque de discernement et d’imagination
  • Sondage dans la salle Qui travaille en sécurité ? Qui travaille en continuité ? Qui a déjà rédigé au complet une politique de sécurité ? Qui a déjà rédigé au complet une politique de continuité ?
  • … ne sont pas vues comme génératrices de revenus (batailles budgétaire) … font partie du processus global de gestion des risques. … ne créent et acquièrent de la valeur qu’en cas d’incident. … sont souvent 2 unités d’affaires différentes et séparées (batailles politiques) … sont souvent cantonnées aux services TIC. … sont les responsabilités intrinsèques de chaque salarié. (objectifs des fiches de postes et non uniquement dans les codes à signer) … sont 2 processus critiques et transverses de l’entreprise. … ont des concepts communs et complémentaires. … DEVRAIENT FONCTIONNER DE CONCERT !
  • PUBLIEES ISO 27000 vocabulaire et définitions (terminologie pour l'ensemble des standards). Statut : Publiée. ISO 27001 décrit les exigences d'un système de pilotage de la sécurité des informations, basé sur la BS7799. Statut : Publiée. ISO 27002 décrit un ensemble cohérent d'objectifs de contrôles de la sécurité fondé sur 11 Chapitres principaux Statut : Publiée. ISO 27003 contient un guide de mise en œuvre pour l'implémentation du SMSI . Statut : Publiée. ISO 27004 propose une base de métriques de sécurité permettant de mesurer l'efficacité de la mise en œuvre de la PSSI. Statut : Publiée. ISO 27005 propose une méthode de gestion des risques . Statut : Publiée. ISO 27006 contient un cadre pour les exercices liés à l'audit et à la certification des SMSI . Statut : Publiée. ISO 27799 Décinaison de l'ISO 27002 pour le secteur de la santé. Statut : Publiée . DRAFTS ISO 27007 proposera des instructions pour les audits accrédités en cas d'audit ISO 27001 d'un SMSI . Status : Draft ISO 27008 proposera des instructions pour les auditeurs accrédités concernant les Contrôles ISO 27002 . Status : Draft ISO 27011 proposera un guide pour le secteur des télécommunications . Statut : Draft. ISO 27012 proposera un guide pour le secteur financier . Statut : Proposée. ISO 27013 proposera un guide pour le secteur de l' Industrie lourde . Statut : Proposée. ISO 27015 proposera un guide pour l' accréditation . Statut : Proposée. ISO 27016 proposera des méthodes pour les audits et revues . Statut : Proposée. ISO 27032 proposera un guide lié à la cybersécurité (Internet) . Statut : Draft. ISO 27033-x proposera un guide pour la sécurité des réseaux . Statut : Draft. ISO 27034-1 proposera un guide pour la sécurité applicative . Statut : Draft. ISO 27035 proposera un guide de gestion des incidents de sécurité . Statut : Draft. CONTINUITE EN DRAFT ISO 27031 proposera un cadre pour la continuité d'activité . Statut : Publié en 2011
  • provision of disaster recovery services (ISO/IEC 24762), network security (ISO/IEC 18028), intrusion detection systems (ISO/IEC 18043), information security incident management (ISO/IEC TR 18044). ICT readiness for business continuity (ISO/IEC 27031). ISO/IEC 27031 supports clause 14 (Business Continuity Management control objectives) of ISO/IEC 27002 in the management of information security, its scope extends well beyond the information security management domain and intends to elaborate how to plan and maintain an organization's ICT readiness in support of its business continuity management effort. Contrôles de sécurité en amont du BCP Incidents de Sécurité qui mènent au BCP
  • Comme la ISO 17799 est issue de la BS 7799, la ISO 22301 est issue directement du cadre de la BS 25999. – BS25111 –Human Aspects of BC – BS25666 –Exercising – BS25777 –ICT BCM (Information and Communication Technology Business Continuity Manage – BS25888 –Recovery (in development) – PAS 200 –Crisis management – ISO 22301 -International Business Continuity Standard (specification) – ISO 22399 –Code of practice supporting ISO 22301 – ISO 27031 -ICT Readiness for Business Continuity J’ai cherché le jalon « sécurité » de la norme sur internet, je n’ai rien trouvé de très important. J’ai été directement lire l’ISO et voilà la cible de ce chapitre :
  • Chaque actif est associé à un propriétaire , le propriétaire détermine sa valeur intrinsèque pour l’organisation et définit un responsable de l'actif (owner et custodian) Une menace vise un actif Un actif présente une vulnérabilité Une menace exploite une vulnérabilité s’attaquant directement à la valeur de l’actif, c’est l’impact La probabilité de cette occurrence assimilé à son impact sur l’organisation définit le risque lié à l’actif PROBLEME : LES ACTIFS IMBRIQUES, ACTIFS IMPACTANT DIRECTEMENT D’AUTRES ACTIFS En amont, analyse de risques et d’impact En aval, sensibilisation, implantation, tests et vérifications En substance, éléments de recommandation stratégique et tactiques Depuis le 15 juin 2011, la norme ISAE 3402 a pris le relais de SAS 70, lui apportant une dimension plus internationale.
  • La vraie problématique de la continuité c’est sa praticité : le problème du « lance moi le binder !» et la question existentielle « les emails sont-ils un actif critique ?» Gros investissements en amont pour écrire une PCA/PRA Suivi des stratégies de haut niveau proposée par l’ISO ne permettent pas de descendre facilement au niveau tactique réel Les investissements au niveau des tests sont plus important et intéressant dans la découverte des activités métier
  • Nouveau concept du jour = « High », « Medium », « Low », « Critical » pour les téméraires et pour les créatifs « irritant » Le faux-incident = le voisin a pris feu tout le monde croit que c’est moi L’incident partiel à impact significatif modéré = sérieux mais pas trop Intégration dans les BIAs = NON trop couteux !
  • La sécurité obstacle à la continuité L’excès de sécurité crée l’incident « gris » Les contrôles préventifs de sécurité sont appliqués aux hommes et aux machines, mais très peu au processus La continuité obstacle à la sécurité La « pré-action » crée souvent la faille sécurité L’urgence régit le décisionnel et l’opérationnel > CMMI 3 à 1 par incompréhension du processus Les prises de risques se font « ad-hoc » et rarement par leurs propriétaires L’organisation ne fonctionne plus via ses contrôles habituels L’organisation risque d’être menée par ses leaders psychologiques « anti-champions » et non des learders métiers
  • D’autres exemples : L’alerte à la bombe avec prise en main par les forces de l’ordre. La manifestation devant une tour, le site de BCP froid plein de gens sauf les concernés.
  • L’analyse de conformité du plan de continuité à la politique de sécurité d’un point de vue opérationnel et de l’interopérabilité des actifs de relève tiers.
  • Liste des contrôle de sécurité dégradés Tableau comparatif des contrôles de sécurité applicables en temps normal, en processus d’urgence et de reprise. Processus d’autocontrôle Les post-mortem de chaque tests de continuité doivent être fait au niveau opérationnel par l’équipe de gestion des risques pour les propriétaires d’actifs eux-mêmes pour lister les actions menées en urgence et « sans-filet ».

Sécurité vs Continuité -rev2- Sécurité vs Continuité -rev2- Presentation Transcript

  • SÉCURITÉ VS. CONTINUITÉ «  THE DEVIL IS IN THE DETAILS  ». soit en français «  LE DIABLE SE CACHE DANS LES DÉTAILS  ».
  • SOMMAIRE
    • Introduction
    • Normes ISO
      • Ecosystèmes
      • Champs d’action
      • Statistiques
    • Interactions
      • … conceptuelles
      • … opérationnelles
          • Problématiques
          • Solutions
    • Conclusion
    • Expériences & Questions
  • INTRODUCTION
    • Sécurité & Continuité…
      • non-génératrices de revenus
      • différentes et séparées
      • gestion des risques
      • valeur qu’en cas d’incident
      • trop limitées aux services TIC
      • responsabilités des personnes
      • critiques et transverses
      • communs et complémentaires
    • … donc ?
  • NORMES ISO : 2700X
    • Ecosystème
    • ISO 27031:2011 propose un cadre pour la continuité d'activité.
  • NORMES ISO : 27001 & 27002
    • Champ d’action
  • LES CHIFFRES
  • NORMES ISO : 27002 & 27031
    • Champ d’action de 27002, chapitre 14
      • « Le Chapitre 14 décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés. »
      • Wikipédia
    • Champ d’action de 27031
      • « ISO/CEI 27031:2011 couvre tous les événements et incidents (y compris ceux liés à la sécurité) qui peuvent porter atteinte à l’infrastructure et aux systèmes TIC. Elle regroupe, en les complétant, les pratiques de gestion des incidents liés à la sécurité de l’information, et les pratiques de gestion de la planification de mise en état des TIC et des services TIC. »
      • ISO
  • NORMES ISO : 22301
    • Champ d’action
  • LES CHIFFRES
  • INTERACTIONS CONCEPTUELLES
    • Gestion de risque commune ?
      • Actif [ Propriétaire, Valeur, Responsable ]
      • Menace -> Actif
      • Actif { Vulnérabilité }
      • (Menace x Vulnérabilité) x Valeur = Impact
      • Probabilité x Impact = Risque
    • Cindynique, science du danger
    • Que trouve-t-on dans les politiques et plans ?
      • Analyse
      • Recommandations
      • Implantation
  • LES CHIFFRES
  • LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE
  • LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE
    • Constat de double, triple, quadruple,… panne.
      • Les croyances
      • Les probabilités simplistes
      • Les probabilités réelles in situ
    • L’incident « gris » ou « irritant »
      • Nouveau concept du jour hors du H-M-L
      • Le faux-incident
      • L’incident partiel à impact significatif modéré
      • Intégration dans les BIAs
  • INTERACTIONS OPÉRATIONNELLES
    • La sécurité obstacle à la continuité
      • Excès de sécurité
      • Déséquilibre de sécurité
      • Processus de sécurité tiers
    • La continuité obstacle à la sécurité
      • Le principe de « pré-action »
      • L’urgence
      • L’ « anti-champion »
  • INTERACTIONS OPÉRATIONNELLES
    • Etude de cas n°1 : la continuité menace la sécurité
      • Menace logique in situ via une vulnérabilité physique.
    • Etude de cas n°2 : la sécurité menace la continuité
      • Menace logique via intimidation publique et auto-sabotage.
  • SOLUTIONS OPÉRATIONNELLES POSSIBLES
    • Conformité du plan de continuité à la politique de sécurité.
    • Sensibilisation des « champions »
      • Equipe de DR incluant une dimension d’autocontrôle
      • Tests de vulnérabilité intégrés aux tests de DR
    • Extériorisation des services de sécurité
      • Inclusion par SLA des Tiers de sécurité au processus de continuité
      • Surveillance de sécurité logique et physique décentralisée
      • Elévation de droits automatisée (ex. PowerBroker)
  • A INSÉRER DANS NOS POLITIQUES…
    • Sécurité
      • Recommandations standards (CMMI 3)
      • « En service normal, l’accès aux ressources doit être contrôlé (identification utilisateurs, double-authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur). »
      • Recommandations d’urgence (CMMI 1)
      • « Dans le cas d’une urgence, l’accès aux ressources peut être facilité par des contrôles exceptionnels (identification par machine, authentification unifiée) et adapté au obligations de moyens de l’utilisateur (droits et privilèges exceptionnels documentés, profil administrateur). »
  • A INSÉRER DANS NOS POLITIQUES…
    • Continuité
      • Liste des contrôle de sécurité dégradés
      • Processus d’autocontrôle
      • CADILLAC !
      • Une analyse des risques résiduels cumulés sur la base des « SPoF »
  • RETOURS D’EXPÉRIENCES ?
  • BIBLIOGRAPHY
    • M53 – Étude de cas, suite ISO 2700x
    • http://fr.wikipedia.org/wiki/ISO/CEI_27001
    • http://fr.wikipedia.org/wiki/ISO/CEI_27002
    • http://www.duquesnegroup.com/ISO-22301-la-future-norme-de-Continuite-d-activite_a187.html
    • http://www.bcifiles.com/22301Transition_BSI20110321.pdf
    • http://www.icm.co.uk/newsroom/events/downloads/sp4launch/Raising_the_Standard_John_Sharp.pdf
    • http://www.itsc.org.sg/pdf/synthesis09/Four_ICT.pdf
    • http://fr.wikipedia.org/wiki/Cindynique
    • http://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2005.pdf
    • http://download.pwc.com/ie/pubs/pwc_goodbye_sas_70_isae_3402.pdf