L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Elhadji Niang (Nurun)
Nouveau cadre de gouvernance de la sécurité de l'information
Évolution des bonnes pratiques en sécurité de l’information
1. ÉVOLUTION DES BONNES PRATIQUES EN
SÉCURITÉ DE L’INFORMATION AVEC COBIT 5
CONFÉRENCIER: ELHADJI NIANG, CISA
6 FÉVRIER 2013
http://www.isaca-quebec.ca
2. OBJECTIFS – VOLET EXPLOITATION
Objectif
Présenter sous le volet de l’exploitation la mise en œuvre
des principes en sécurité de l’information de Cobit 5, au
niveau des applications et infrastructures TI de
l’organisation.
2
3. VOLET EXPLOITATION
Ordre du jour
Introduction;
Avancées majeures de Cobit 5 au
niveau de l’exploitation:
1. Prise en compte du BMIS;
2. Définition d’indicateurs de
performance pour l’exploitation
de l’infrastructure
Sécurité des applications et de
l’infrastructure;
Sécurité des équipements
mobiles;
Objectifs de contrôles TI dans
l’infonuagique;
Retour d’expérience mise en
œuvre processus Cobit.
3
4. INTRODUCTION
Dépendance accrue de l’organisation aux systèmes et applications
informatiques;
Importance de la sécurité et de la confidentialité de l’information ;
Dans un tel contexte, la prise en compte de la sécurité au niveau de
l’exploitation est un enjeu critique pour le succès des opérations.
4
6. MODÈLE D’AFFAIRES POUR LA SÉCURITÉ DE
L’INFORMATION (BMIS)
Le modèle d’affaires pour la sécurité de l’information,
un descriptif approfondi qui examine les aspects de
sécurité au sein de l’entreprise dans une perspective
systémique. Organisation
Processus
Personnes Technologies
6
7. MÉTRIQUES DE PERFORMANCE EN SÉCURITÉ
DE L’INFORMATION SELON COBIT 5
Cobit 5 pour la sécurité de l’information propose un ensemble de
métriques pour mesurer la performance des objectifs de contrôles mises
en œuvre au niveau de l’exploitation.
Capacités de services Objectif qualité Métriques
• Nombre d’entité ou de services qui
n’utilisent pas les services
Fournir des services d’authentification
Authentification complète et
d’authentification • Exhaustivité des facteurs
exacte de toute entité / service d'authentification qui répondent aux
exigences de sécurité
• Nombre de transactions
Service d’approvisionnement d’approvisionnement en sécurité
Fournir un service précis complet et à jour de tous incomplète
• Nombre de transactions
d’approvisionnement en les services et éléments de d’approvisionnement en sécurité
sécurité de l’information sécurité pour les entités ou inexacte
services •Moyenne des retards des services
d’approvisionnement en sécurité
7
9. ARCHITECTURE DE SÉCURITÉ DES SYSTÈMES
ET APPLICATIONS
Définir des principes architecturaux applicables à toute l’infrastructure
suivant une vision d’ensemble : Affaires, informations, applications et
infrastructure.
Définir des capacités de services supportés par des outils et bonnes
pratiques mesurés par des indicateurs de performance.
Vue Approche proactive pour prévenir les
affaires Gestion sécuritaire de la incidents consécutifs à des failles de
configuration, afin de réduire les coûts
configuration Via une configuration sécuritaire et
standardisée
Vue
informations Soutenue par:
CMDB;
Technologies et bonnes Outils scan vulnérabilités;
pratiques Outils de surveillance;
Vue Solutions audit
applications
Mesurées par:
Nbre erreurs de configuration;
Nbre de configurations
Vue Métriques de standardisés;
performance % de changmts autorisés Vs non
Infrastructure autorisés;
..........
9
10. SÉCURITÉ AU NIVEAU DU DÉVELOPPEMENT
Favoriser des pratiques de codages sécuritaires et adaptées à
tout type de langages et d’environnements;
Développer et maintenir des bibliothèques sécurisées.
La preuve par l’exemple (inspirée du SDLC de Microsoft):
Dynamique récurrente
Démarche proactive
Modéliser les menaces de sécurité
Nommer un coach responsable
de l’ensemble des ressources
de la sécurité du projet systèmes
Utiliser des outils d’analyses
Réaliser des tests de sécurité ciblés
statiques de codes
Réaliser des revues finales de Réaliser les mises à jour correctives
sécurité avant mise en production
10
11. ÉVALUER LE NIVEAU DE SÉCURITÉ DE
L’INFRASTRUCTURE
Réaliser une évaluation du niveau de
sécurité de l’infrastructure Infrastructure
technologique
technologique;
Utiliser des outils adaptés à l’envergure Outils d’analyses
techniques
et à la criticité de votre infrastructure
Suite à la corrélation des résultats de
Corrélation des
l’analyse, définir le niveau de risque résultats
d’analyse
acceptable ainsi que les mesures de
mitigation appropriées;
11
12. ALIGNER LA CONFIGURATION AVEC LES
BESOINS ET L’ARCHITECTURE DE SÉCURITÉ
S’assurer de la configuration dans une perspective d’ensemble
de tous les composants de l’infrastructure (systèmes, bases de
données, applications et équipements réseaux ).
Durcir la configuration des systèmes en conformité
. avec les exigences de l’architecture de sécurité et des
bonnes pratiques.
S’assurer de la sécurité des applications
(messages d’erreurs, limitation temps de
.
session…). Utilisez des outils spécialisés de type
Web application configuration analyzer
S’assurer de la configuration sécurisée de tous les
. équipements, désactiver tous les services, ports,
protocoles non utilisés.
12
13. GÉRER LES ACCÈS UTILISATEURS EN LIEN
AVEC LES BESOINS D’AFFAIRES
Mettre en œuvre un dispositif comportant les fonctionnalités
de sécurité nécessaires pour la création de compte
utilisateurs et la gestion des habilitations;
Gérer et maintenir à jour un service d’authentification aligné
sur la criticité des actifs;
S’assurer de l’efficacité et l’efficience des mécanismes de
retrait et d’annulation des droits d’accès et privilèges
utilisateurs.
13
14. MODÈLE GÉNÉRIQUE DE GESTION DES ACCÈS
BASÉ SUR LE BESOIN D’AFFAIRES
Embauche
Création d’une identité;
Création de compte; Départ:
Octroi des droits Suppression de
d’accès; l’identité;
Définition des Suppression des
autorisations. comptes, droits
d’accès et
autorisations associés.
Changement d’unité administrative
Modification des droits d’accès;
Révision des autorisations.
14
15. PROTECTION CONTRE LE CODE MALICIEUX ET
LES INTRUSIONS
Planifier, mettre en œuvre, et maintenir des mécanismes efficaces et
efficients pour contrer les menaces internes et externes;
Fournir des capacités et pratiques de gestion pour prévenir les atteintes
ou fuites de données de l’organisation.
Favoriser les technologies émergentes pour contrer les codes malicieux
ou les tentatives d’intrusions.
Solution DLP (prévenir la fuite d’information
Solution unifiée de gestion des menaces quelque soit le support)
UTM
15
16. PROCESSUS DE GESTION DES INCIDENTS DE
SÉCURITÉ
Processus visant à encadrer les activités de détection, de
réaction et de résolution des incidents de sécurité.
Doit prendre en compte les activités suivantes:
Prendre en charge et Communiquer avec les Prendre les mesures de
définir le niveau de parties prenantes, confinements et
sévérité de l’incident gérer la divulgation de d’éradication de
de sécurité; l’information l’incident
Produire suivant une Collecter les éléments Prévoir un scénario de
périodicité définie des de preuve lorsque retour en arrière,
rapports de suivi des requis, documenter remettre les services
incidents l’incident en marche
16
17. SURVEILLANCE ET SERVICES D’ALERTES DE
SÉCURITÉ
Mettre en œuvre une solution de
surveillance en temps réel de
l’infrastructure;
Corréler tous les événements de sécurité
à l’aide de tableau de bord avec des
indicateurs clairement définis;
Arrimer le processus de gestion des
incidents de sécurité avec les outils de
surveillance pour favoriser une meilleure
prise en charge des évènements de
sécurité.
17
19. LA SÉCURITÉ DES ÉQUIPEMENTS MOBILES AU
NIVEAU DE L’EXPLOITATION
Rechercher l’équilibre entre le durcissement des
équipements mobiles (OS, applications, connexions
réseaux) et les besoins d’affaires exprimés.
Valeur
ajoutée
Dossier
d’affaires
Risques de
sécurité
19
20. STRATÉGIE DE DÉFENSE EN PROFONDEUR
DES ÉQUIPEMENTS MOBILES
Définir et corréler plusieurs lignes de défense pour la
sécurité des équipements mobiles. e
3 ligne de défense:
Contrôle internes de
Une image vaut mille mots !!! sécurité;
Audits internes ;
1e Ligne de défense: Mesures préventives /
correctives
Analyse des risques;
Analyses des impacts ;
Mesures de mitigations
2e Ligne de
défense:
Politique de gestion;
Auto évaluation des
contrôles ;
Tests de sécurité
20
21. SÉCURITÉ DES OS DES ÉQUIPEMENTS
MOBILES
OS principalement conçus pour une multiplicité d’usages privés
et publics. Il existe un risque de perte des garanties avec
certaines modifications des OS;
La sécurité des OS des équipements mobiles peut prendre appui
sur certaines mesures de contrôles de type:
• Sécuriser le
noyau (mises à
jour firmware)
• Favoriser des OS
propriétaires
pour les env. à
hauts risques
• Désactiver
« back doors »
intégrés pour
accès distants
21
22. SÉCURITÉ DES APPLICATIONS DES
ÉQUIPEMENTS MOBILES
Niveau élevé de risques de sécurité compte tenu de la
diversité d’applications (commerciales ou non)
disponibles pour les équipements mobiles;
Nécessité de réaliser une évaluation des risques et si
pertinent, des tests d’intrusion sur les applications
approuvées;
Préciser la nature et le type d’applications dont
l’installation est autorisée sur les équipements mobiles
propriétés de l’organisation.
22
23. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
DES ÉQUIPEMENTS MOBILES
Des objectifs de contrôles adaptés aux applications
mobiles.
Implémenter des règles sur
le pare-feu pour bloquer les
S’assurer que les applications ne services non autorisés des
se connectent pas applications
automatiquement sur les
serveurs de l’éditeur
Contrôler les privilèges
associés aux applications
mobiles
Désinstaller les applications
commerciales livrées par défaut
Utiliser antivirus, anti
malware… adaptés aux
applications mobiles
23
24. SÉCURITÉ DES CONNEXIONS RÉSEAU DES
ÉQUIPEMENTS MOBILES
Diversité de connectivité avec les équipements mobiles
(réseaux privés, réseaux domestiques, réseaux
d’entreprise…);
Une typologie de connexions de plus en plus diversifiée
avec des capacités grandissantes en termes de bande
passante et de transfert de données:
Global System for Mobile Communication (GSM);
Global Packet Radio Service (GPRS);
Enhanced Data Rate for GSM Evolution (EDGE);
Universal Mobile Telecommunications System (UMTS);
…
24
25. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
DES CONNEXIONS RÉSEAUX
Adapter les contrôles de sécurité avec les types de connexions réseaux
GSM GPRS Bluetooth WIFI
• Restreindre le GSM au noyau du • Limiter autant que possible • Limiter l’utilisation du bluetooth • Limiter la fonctionnalité
téléphone; l’utilisation de l’équipement à titre au strict minimum; découverte et connexion
• Limiter autant que possible de concentrateur pour la connexion • Limiter l’utilisation du bluetooth automatique à un réseau wifi;
l’utilisation du GSM par les d’autres équipements; pour les échanges de données ou • Utiliser un chiffrement sécurisé
applications; • S’assurer de la correcte d’objets; pour les connexions wifi;
•Surveiller les transmissions de implémentation du GPRS / EDGE; • Définir et imposer des mots de • Masquer le SSID de l’appareil si
données anormales; • Limiter l’utilisation du modem de passes complexes pour l’usage du possible;
l’équipement mobile. bluetooth •Éviter des noms de SSID de type
« Guillaume L. SSID »
Sécurité des connexions réseaux – équipements mobiles
25
26. SÉCURITÉ DES CARTES SIM
Cartes SIM souvent conçus pour permettre un
interfaçage avec une multiplicité d’équipements;
Implémenter un maximum de contrôle sur la carte SIM
afin de définir un niveau d’autorisation granulaire en
fonction de l’utilisation de l’équipement;
Il existe des possibilités de personnaliser la carte SIM
auprès des fournisseurs. Toutefois, les gestionnaires
devront au préalable mesurer les potentiels impacts sur
la logique d’affaires qui sous-tend l’utilisation des
équipements mobiles au sein de l’organisation.
26
27. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
DES CARTES SIM
L’interfaçage des cartes SIM avec une multiplicité
d’équipements requiert la prise en compte des objectifs
de contrôles suivants:
Limiter les droits en
Identifier et activer
écriture et
les fonctions de
modification sur la
verrouillage
carte SIM
Activer les fonctions
Identifier et
de blocage de la
contrôler les
carte SIM avec les
fonctionnalités de la
services
carte SIM
fournisseurs.
27
28. SÉCURITÉ DES UNITÉS DE STOCKAGE DES
ÉQUIPEMENTS MOBILES
Des équipements mobiles dotés d’unités de stockage de
plus en plus importants;
Possibilité de connecter les équipements mobiles avec
des unités de stockage amovibles;
Les unités de stockage connectés sur les équipements
mobiles doivent faire l’objet d’une classification en
fonction de leur niveau d’exposition aux risques;
Inventorier et tenir à jour la liste des périphériques de
stockage externes connectés aux équipements mobiles,
mettre en œuvre des mesures de sécurité alignées sur
les besoins d’affaires et sur les exigences de la sécurité
opérationnelle.
28
29. OBJECTIFS DE CONTRÔLE POUR LA SÉCURITÉ
DES UNITÉS DE STOCKAGE
Prendre en compte les objectifs de contrôles suivants
afin de rehausser le niveau de sécurité des unités de
stockage
Partitionner
l’unité de
stockage pour
isoler les
données
sensibles
S’assurer de la
Chiffrer toutes
destruction
les données,
sécurisée lors
fichiers
de la mise au
sensibles
rebut
Gérer les accès
en fonction de Restreindre les
la GIA en accès au BIOS
vigueur
29
30. SÉCURITÉ DES FONCTIONNALITÉS À
DISTANCE (GÉO LOCALISATION…)
Des fonctionnalités à distance de type géo localisation
de plus en plus fournies ou intégrées dans les
applications mobiles;
Ces fonctionnalités peuvent être utiles dans le contexte
de certaines lignes d’affaires (services de livraison de
courriers, services de transports…) ou advenant un cas
de vol;
Nécessité de s’assurer de la conformité de ces
fonctionnalités avec les impératifs de protection de la vie
privée.
30
31. OBJECTIFS DE CONTRÔLE POUR LES
FONCTIONNALITÉS À DISTANCE
Compte tenu de l’utilité de certaines fonctionnalités à
distance, les objectifs de contrôles suivants doivent être
pris en considération:
– Mises à jour correctives;
– Fermeture et blocage du compte à distance;
– suppression à distance de contenu.
– Sensibiliser les utilisateurs;
– Limiter l’utilisation des applications de géo localisation à
ce qui est strictement nécessaire.
– Interdire les fonctionnalités de géo localisation dans les
réseaux sociaux;
– S’assurer de la conformité des fonctionnalités de géo
localisation en regard à la PRP.
31
32. AUDITS PÉRIODIQUES DES ÉQUIPEMENTS
MOBILES
Outre les normes d’audits d’ISACA (indépendance professionnelle,
importance relative; utilisation de logiciels d’audit….), la vérification des
équipements mobiles doit prendre en compte les principes ci-dessous:
• Réception de l’équipement mobile;
Sécuriser
l’équipement
• Isolation de l’équipement mobile.
• Copie miroir;
Sécuriser
l’information
• Chronologie évènements de sécurité.
• Procédures de tests;
Analyser
linformation
• Éléments de preuve.
• Approbation des gestionnaires;
Remise de
l’équipement
• Remise de l’équipement mobile.
32
34. DIFFÉRENTES FORMES D’UTILISATION DE
L’INFONUAGIQUE
Infrastructure as a service (IAAS) : Utilisation des capacités
de traitement du fournisseur de service, de ses espaces de
stockage ou de ses ressources réseau….
Plateform as a service (PAAS): Mise à disposition de la
plateforme d’exécution des applications du client (OS, SGBD,
connexion réseau….)
Software as a service (SAAS): modèle d'utilisation des
logiciels par abonnement avec le fournisseur de services.
34
35. RISQUES DE SÉCURITÉ ASSOCIÉS À
L’INFONUAGIQUE
Plusieurs risques de sécurité peuvent découler de l’utilisation
de l’infonuagique:
Disponibilité et performance
• Mutualisation des services offerts;
• Perte de contrôle physique sur l’infrastructure.
Intégrité et confidentialité
• Gestion des accès aux données;
• Persistance des données à l’issue du contrat.
Conformité légale
• Impératifs de protection de la vie privée;
• Problématique liée à la juridiction (Patriot act)
35
36. OBJECTIFS DE CONTRÔLE TI DANS LE CADRE
DE L’INFONUAGIQUE
S’assurer dans les contrats avec les fournisseurs de services
de la prise en compte des objectifs de contrôles suivants:
Haute disponibilité:
Définir des RTO et des RPO alignés sur les charges de travail avec des
solutions de contournement et des pénalités;
S’assurer que le fournisseur de service dispose d’une redondance, de
capacités de sauvegarde et un basculement automatique advenant une
perte de service.
Gérer les accès:
Définir les privilèges utilisateurs en fonction des rôles, groupes
sécuriser les interfaces d’accès à distance (authentification forte);
Sécuriser l’accès aux outils d’administration et de surveillance;
Séparation des tâches incompatibles.
36
37. OBJECTIFS DE CONTRÔLE TI DANS LE CADRE
DE L’INFONUAGIQUE
S’assurer dans les contrats avec les fournisseurs de services
de la prise en compte des objectifs de contrôles suivants:
Conformité légale:
Analyse juridique sur les risques de non conformité;
Encadrer par contrat les mécanismes de protection des
renseignements personnels;
Intégrité et confidentialité:
Chiffrement des données sensibles;
Clause pour la suppression effective des données à l’issue du contrat;
Sécurité applicative dans le contexte de Platform as a service ou
software as a service.
37
38. OBJECTIFS DE CONTRÔLE TI AU NIVEAU DE
L’EXPLOITATION
Administration des Surveillance réseau Gestion des Virtualisation de
serveurs et des applications mises à jour machines
Limiter les privilèges Cloisonnement des Contrôle de la
Tester les mises à
administrateurs; flux réseaux création de VM;
jour;
Administrer les Surveillance des Créer un snapshot du Recourir à la création
serveurs avec des applications & de Template
système
outils sécurisés niveaux de service normalisée;
Déployer les mises à
Limiter les logiciels et Surveillance Suivi du cycle de vie
jour
services pouvant préventive des des VM;
s’exécuter sur la Consolider les mises à
plateformes Éviter le clonage de
console jour (monitoring)
VM en production
38
40. DÉMARCHE DE RÉALISATION
Définir les étapes clés de la réalisation du mandat d’audit
suivant les normes d’audit d’ISACA
Approche de réalisation du mandat d’audit:
Réaliser Définir niveau de
Définir la Formaliser maturité avec Documenter
entrevues,
portée du grille d’audit l’outil « maturity rapport
compléter la assessment
mandat basée sur Cobit d’audit
grille d’audit tool »
40
41. DÉMARCHE DE RÉALISATION
Définir et compléter la grille d’audit suivant les objectifs
de contrôle de Cobit
Ébaucher niveau de
Description des
niveau de maturité avec
processus cibles
les gestionnaires
identifiés
(entrevue)
41
42. DÉMARCHE DE RÉALISATION
Calculer le niveau de maturité à l’aide de l’outil
développé par l’IT/GI
Compléter les énoncés
de la grille suivant le
degré de conformité de
l’organisation
Corréler le niveau de maturité
obtenu, avec celui ébauché lors
de l’entrevue avec les
gestionnaires en tant compte
de l’importance relative
42
44. CONCLUSION
Cobit 5 ainsi que les publications associées, offrent suivant
une dimension sécurité, des processus en mesure
d’encadrer les nouvelles formes d’évolution de
l’infrastructure ainsi que la mobilité en entreprise.
Le succès de la mise en œuvre des processus Cobit 5 pour
la sécurité de l’information repose sur la recherche de
l’équilibre entre l’envergure de l’infrastructure, les
processus d’affaires et la criticité des actifs.
44
45. MERCI POUR VOTRE ATTENTION !!!
Courriel: elhadji.niang@nurun.com
45