Aller au contenu

Management de la cyber

Prof

Pascal Antonini

Notions⚓︎

Cybersécurité

Englobe l'ensemble des autres définitions.

Sécurité des SI

Ancienne notion qui se focalise sur l'infrastructure de l'entreprise.

Sécurité informatique

Sécurité opérationnelle (patchs, procédures)

Risques SI

No comprendo

Risques cyber

Notion générale de tous les risques.

Contrôle interne

Mesures mises en place pour assurer la fiabilité des opérations (pas forcément informatiques).

Confidentialité

L'information n'est disponible qu'aux personnes autorisées.

Intérité

L'exactitude et l'exhaustivité de l'information (elle est bonne et correcte).

Disponibilité

L'information est disponible quand nécessaire.

Types de données⚓︎

  • Finance
  • RH
  • Opérations
  • Propriété intellectuelle

Sécurité vs privacy⚓︎

Confidentialité, Intégrité, Disponibilité de toutes les données sensibles et critiques.

Respect de la vie privée, données à caractère personnel (RGPD).

Sécurité des Systèmes d'Information⚓︎

La SSI ou cybersécurité consiste à protéger l'information et les systèmes d'information contre les actions non-autorisées suivantes:

  • accès
  • utilisation
  • divulgation d'informations
  • modification
  • consultation
  • enregistrement
  • destruction

Cybersécurité⚓︎

La cyber n'adresse pas seulement la technique.

Elle concerne la confidentialité, l'intégrité et la disponibilité de l'information et des systèmes d'information.

Elle touche les informations qui circulent sur les réseaux, les systèmes d'exploitation, les applications, les bases de données et les personnes qui utilisent ces actifs technologiques en mettant en œuvre les processus organisationnels de l'entreprise.

Les fondamentaux de la sécurité concernent la protection de ses actifs.

Sécu de l'info et sécu info⚓︎

La sécurité de l'information nécessite une approche globale qui addresse différents domaines des technologies de l'information et de la communication (TIC) et hors des TIC

Le programme de sécurité de l'information va au-delà de la définition de dispositifs de contrôle s'appliquant aux données informatisées. Certaines informations peuvent n'être stockées sur des systèmes informatiques durant leur cycle de vie

La protection de l'information doit aller au-delà des technologies de l'information / l'informatique et adresser les aspects globaux pour l'ensemble de l'entreprise de la protection de l'information (la culture, le comportement, la robustesse du processus).

Un programme de sécurité de l'information doit toucher chaque étape du cycle de vie de l'information (la création, l'utilisation, le traitement, la transmission, le stockage, la suppression et l'archivage)

Tous ses éléments s'organisent selon le tryptique: Humains, Processus et Technologies

Caractéristiques d'un programme de sécurité de l'information⚓︎

L'accès aux informations est réalisé de manière dynamique et reflète les processus organisationnels de l'entreprise, sa structure et sa culture.

Les risques et les besoins de sécurité changent en permanence.

Les ressources nécessaires pour assurer la protection des informations dans le but de permettre à l'entreprise d'exercer son activité peuvent être limitées:

  • Le budget, les équipes et les technologies de sécurité peuvent être limitées
  • Une compréhension des risques et des menaces est fondamentale pour permettre la prise de décisions managériales
  • La sécurité peut être coûteuse. De combien avons-nous besoin et où devons-nous projeter nos ressources pour protéger notre activité?

Principes de sécurité⚓︎

Au-delà des grands objectifs de sécurité que nous avons introduits: confidentialité, intégrité et disponibilité, les grands principes suivants sont également à considérer.

Séparation des tâches⚓︎

Séparer les responsabilités en termes de traitement ou d'information afin qu'aucun individu agissant seul ne puisse compromettre la sécurité.

Moindre privilège⚓︎

Chaque personne n'a accès qu'aux traitements ou données qui lui sont strictement nécessaires dans l'exercice de sa fonction. L'application de ce principe permet de limiter les dommages qui pourraient résulter d'un accident, d'une erreur ou d'une utilisation non autorisée d'un système d'information.

Besoin d'en connaître⚓︎

Le besoin légitime d'une personne ou d'une organisation de connaître, accéder ou posséder une information spécifique qui est critique pour permettre la réalisation d'une mission qui lui est confiée.

Définitions⚓︎

Respect de la vie privée⚓︎

Le respect de la vie privée / protection des données à caractère personnel est d"fini comme les droits et obligations des individus et des organisations qui s'appliquent à la collecte, l'utilisation, la rétention et la divulgation de données à caractère personnel (AICPA Generally Accepted Privacy Principles)

Confidentialité⚓︎

RIP il a changé de slide

Authenticité⚓︎

Les données, transactions, communications et documents sont authentiques

Non-répudiation⚓︎

Assurer qu'une partie d'une transaction ne peut nier avoir reçu une transaction et que la contrepartie ne peut nier l'avoir émise.

Menaces des SI⚓︎

  • Erreurs et omissions
  • Fraudes et vols
  • Attaquants malveillants, compétiteurs, activistes, hackers

Définir les contrôles pour protéger les actifs⚓︎

Risque

Probabilité d'une menace exploitant une vulnérabilité et son impact métier correspondant.

Le risque est compris comme la probabilité d'une menace exploitant une vulnérabilité, ciblant des actifs et l'impact de sa réalisation sur l'activité

Les contrôles sont tous les processus de sécurité, comme le MFA par exemple.

DLP - Data Leakage Protection⚓︎

J'ai daydream

Menace Avancée Persistante (APT)⚓︎

Avancées

Les attaquants qui utilisent toute la gamme des capacités d'intrusion informatique, depuis les simples attaques accessibles au grand public jusqu'à la mise au point d'outils personnalisés, adaptés au niveau de sécurité de leur cible.

Persistant

Ils sont officiellement chargés d'accomplir une mission et s'en acquittent jusqu'à ce qu'elle soit couronnée de succès. Ils maintiennent le niveau d'accès et de contrôle nécessaire à l'accomplissement de leur mission.

Menace

Contrairement aux botnets, aux enregistreurs de frappe ou aux vers, l'APT est un adversaire humain - des personnes qui ont pour mission d'obtenir des informations spécifiques ou d'accéder aux systèmes et aux données du réseau de leur cible.

Sécurité de l'information⚓︎

La sécurité de l'information désigne les moyens de protéger les informations et les systèmes d'information contre l'accès, l'utilisation, la divulgation, la distribution, la modification, la consultation, l'inspection, l'enregistrement ou la destruction non autorisés.

Mesures de contrôle d'ordre administratif, technique et physique fonctionnant ensemble pour protéger les actifs d'information de l'entreprise et l'infrastructure du support.

Composants fonctionnels de la SI⚓︎

  • Sécurité physique
  • contrôles environnementaux
  • contrôles d'accès, évacuations
  • surveillance
  • sécurité du personnel
  • Contrôles des actifs
  • gestion des actifs
  • gestion des matériels
  • gestion des logiciels
  • achats
  • classification de l'information
  • Sécurité opérationnelle
  • Protection des données
  • réponse à incident
  • gestion des vulnérabilités
  • sécurité des infrastructures
  • gestion des identités et des accès
  • Management de la sécurité de l'information
  • organisation de la sécurité
  • formation et sensibilisation
  • politiques et standards
  • suivi des métriques et reporting
  • management des risques et conformité
  • plan de continuité

Composants de la sécurité de l'information⚓︎

  • Management de la sécurité de l'information
  • L'équipe de gouvernance sécurité d'une organisation établit la stratégie et les besoins de la sécurité de l'information au travers du développement des politiques, standards et cadres de la sécurité d'information
  • Exploitation de la sécurité (Secops)
  • Les pratiques quotidiennes et les contrôles mis en oeuvre sur le personnel et les systèmes qui garantissent l'exécution

Composants de la sécu⚓︎

  • Gestion des actifs
  • Ensemble de pratiques qui soutiennent la gestion du cycle de vie de l'information: quelle information, ou, de la création à la suppression
  • Sécurité physique
  • Ensemble de pratiques et de mesures opérationnelles visant à prévenir et à décourager l'accès non autorisé aux installations et aux infrastructures critiques de l'entreprise
  • ingenierie securite
  • Domaine de l'ingénierie qui se concentre sur les caractéristiques de conception de la sécurité dans les systèmes afin qu'ils puissent gerer de maniere adequate les éventuelles perturbations dues a des problèmes techniques, à des catastrophes naturelles ou à des activités malveillantes

Organisation de la sécurité⚓︎

Aligner la sécurité de l'information sur la stratégie de l'entreprise pour atteindre les objectifs de l'organisation

Gérer et atténuer les risques et les impacts potentiels sur les ressources d'information à un niveau acceptable

Informer et éduquer l'organisation sur les menaces qui pèsent sur la sécurité de l'information et promouvoir un comportement conscient des risques

Mesurer, contrôler et communiquer des mesures et des indicateurs de performance significatifs en matière de sécurité de l'information

optimiser les investissements en matière de sécurité de l'information pour soutenir les objectifs de l'organisation

Gestion des risques et conformité⚓︎

  • Risques: identification, analyse et traitement des risques liés à la sécurité de l'information susceptibles de nuire à l'organisation en tenant compte de l'impact prévu et de la probabilité d'occurrence
  • gestion des menaces et des vulnérabilités
  • surveillance des reseaux et systemes
  • tests des applications
  • reprise après sinistre
  • gestion des risques liés aux fournisseurs
  • Conformité: moyens de se conformer aux exigences internes ainsi qu'aux lois et règlements et aux normes sectorielles
  • Mise en oeuvre de contrôles à l'appui de la politique et des normes
  • Audit
  • réponse aux incidents
  • evaluation des risques

Formation et sensibilisation⚓︎

La sécurité de l'information est au niveau du maillon le plus faible du processus.

La formation permet d'approfondir les connaissances sur un sujet ou un ensemble de sujets.

Elle se concentre sur les personnes, la culture et le comportement.

Les activités de sensibilisation sont conçues pour promouvoir les connaissances en matière de sécurité de l'information auprès de tous les membres du personnel.

Il manque un bout parce que je suis parti à l'administration

Sécurité opérationnelle⚓︎

Les tâches quotidiennes de la gestion des risques liés à la sécurité de l'information au travers:

  • la mise en place de contrôles nécessaires définis dans les politiques et les standards (centres d'opérations de sécurité ou SOC)
  • Vérification de l'efficacité permanente des contrôles par des tests, la surveillance et les audits
  • Réalisation d'évaluations permanentes en tenant compte des objectifs de l'entreprise et du profil de risque de l'organisation
  • Le suivi d'indicateurs de risques et de performances

Principales fonctions⚓︎

  • Protection de l'information
  • Réponse à incident
  • Gestion des vulnérabilités
  • Sécurité de l'infrastructure
  • Gestion des identités et des acces

Mise en place d'un SMSI⚓︎

  • Définition d'un périmètre
  • Définition de la politique de sécurité
  • Obtention de l'engagement du management
  • Gestion des risques

Compréhention de l'organisation et de son contexte⚓︎

La compréhention géénrale de l'entreprise/organisme vise à identifier les enjeux de cybersécurité qui la concerne (secteur d'activité, localisations, structure organisationnelle, concurrence etc):

  • Raison d'être: le SMSI doit petre alligné avec la raison d'être de l'entreprise en assurant la protection de ses actifs
  • Objectifs stratégiques: la gestion des risques SI doit être alignée avec les objectifs de l'entreprise
  • Culture: la culture de l'entreprise et les valeurs vont influencer les dispositifs de gestion des risques cyber à mettre en place
  • Stratégie: l'exécution de la stratégie influence directement les dispositifs de cybersécurité à mettre en place

Compréhension des besoins et des attentes des parties intéressées:

  • Employés, DG, actionnaires, conseil d'administration
  • Clients
  • Régulateurs, législateurs, syndicats
  • Fournisseurs, partenaires, banques

Obligations:

  • Contrats passés avec les parties intéressées
  • Lois et règlementations
  • RGPD
  • Cybercriminalité
  • Signature électronique
  • Paiement électronique
  • Record management
  • Politiques internes, déontologie
  • Bonnes pratiques et normes mises en oeuvre de manière volontaire

Détermination du domaine d'application du SMSI⚓︎

Amélioration de la cybersécurité -> meilleure couverture des risques -> différentiation sur le marché

Analyse du système existant:

  • Onservation / questionnaire: comprendre le fonctionnement de l'organisme
  • Entretiens: Rencontrer des personnes de différentes identités
  • Documentation: Analyser la documentation des politiques, procédures, rapports etc
  • Revues techniques: utiliser des outils de type scanner de vulnérabilités techniques impactant l'actiivté de l'organisme

Analyse du système existant⚓︎

Comprendre le système existant -> Identification des besoins d'amélioration -> Actions à intégrer dans le projet SMSI

CCMI:

  • Inexistant
  • Initial
  • Géré
  • Défini
  • Géré quantitativement
  • Optimisé

Engagement du management⚓︎

  • Faisabilité:
  • Cadrage du projet
  • Bénéfices
  • Principales étapes du calendrier
  • Outil de communication
  • Equipe projet et ressources
  • Sponsor (personne avec un pouvoir de décision important au sein de l'organisation)
  • Comité de pilotage
  • Chef de projet
  • Equipe de projet
  • Parties intéressées
  • Estimation des budgets
  • Plan projet
  • Charte projet
  • Gestion de projet
  • Contenu, livrables
  • Répartition des travaux
  • Etapes
  • Risques potentiels
  • Validation du management
  • Approbation de l'étude
  • Approbation du plan de projet

Pérmiètre du SMSI⚓︎

  • Périmètre organisationnel
  • Processus
  • Entité organisationnelle (département, service, direction)
  • Organisme
  • Ecosystème
  • Limites de sécurité
  • Processus
  • Données
  • Applications
  • Infrastructures (réseaux, systèmes)
  • Limites physiques
  • Siège
  • Usines
  • Locaux décentralisés
  • Périmètre du SMSI
  • Organisme
  • Processus organisationnels
  • Rôles et responsabilités
  • Actifs et SI
  • Sites

Politique de sécurité⚓︎

  • Rédaction de la politique générale de sécurité
  • Définition du contenu
  • Rédaction
  • Validation par la direction
  • Engagement de la direction
  • Approbation formelle
  • Publication de la politique
  • Sessions de communication
  • Intranet
  • kit d'acceuil des nouveaux employés
  • Sensibilisation
  • Plan de formation
  • Sessions de sensabilisation
  • Test des connaissances
  • Contrôle de l'application et révision
  • Contrôler l'application de la politique
  • Réviser la politique en cas de besoin

Gestion des risques⚓︎

  • Identification des risques
  • Actifs
  • Processus métier
  • Menaces
  • Mesures de sécurité
  • Vulnérabilités
  • Impacts
  • Analyse des risques
  • Choix d'une méthode
  • Analyse des conséquences
  • Matrice d'application des risques
  • Estimation du niveau des risques
  • Evaluation des risques
  • Evaluation des risques en comparaison des critères de risques
  • Priorisation des risques
  • Traitement des risques
  • Identifier les possibilités de traitement du risque
  • Déterminer si le risque résiduel est acceptable
  • transfert du risque
  • Acceptation des risques
  • Approbation des risques par les propriétaires
  • Gestion du risque résiduel
  • Suivi et revue
  • S'rassurer que la mise à jour des risques est bien intégrée dans les processus de l'entreprise

Concption et implémentation des mesures de sécurité⚓︎

  • Définition des mesures et des processus
  • Objectifs
  • Activités
  • Rôles
  • Ressources
  • Diagrammes, narratifs
  • Qui, quoi, quand, où, comment
  • Rédaction des politiques et procédures
  • Exemples: télétravail, appareils mobiles, gestion des tiers, développement sécurisé

Evaluation de la performance du SMSI⚓︎

Audit interne⚓︎

Objectif: s'assurer de l'adéquation du SMSI, de sa pertinence et de l'efficacité des dispositifs mis en place.

Déterminer ce qui doit être mesure: se focaliser sur les activités essentielles qui composent le SMSI et se fixer des indicateurs en appliquant la rêgle SMART.

  • Spécifique: indicateur ciblé et clairement identifié
  • Mesurable: doit être quantifiable et comparable dans le temps
  • Acceptable: le niveau fixé doit être réalisable
  • Réaliste: envisageable et suffisament motivant
  • Temporellement défini: défini et déterminé dans le temps

Déterminer la méthode et la périodicité de la mesure.

Exemples:

  • % de machines patchées
  • % de machines scannées
  • % de non conformités corrigées

Tableaux de bord:

  • Opérationnels
  • Tactiques
  • Stratégiques

Audit interne pour mesurer la performance (l'équipe qui le réalise est indépendante au SMSI)

  • Définir un programme d'audot
  • Identifier une personne chargée de la réalisation
  • S'assurer de l'indépendance de cette fonction
  • Planifier les audits
  • Documenter les procédures d'audit
  • Réaliser les audits

En cas d'inconformités, il faut assurer leur suivi pour la résolution

Revue de direction⚓︎

Analyse régulière du SMSI par la direction afin de s'assurer de son caractère approprié, adapt et efficace.

  • Etat d'avancement des actions décidées lors des revues de direction précédentes
  • Modification des enjeux du SMSI
  • Modification des besoins et attentes des parties intéressées
  • Retours sur les performances de sécurité
  • Retours des parties intéressées
  • Résultats de l'appréciation des risques
  • Opportunités d'amélioration

Résultat: décisions relatives aux opportunités d'amélioration continue et aux éventuels changements à apporter. Effectuer un suivi de ses revues de direction.

Amélioration continue de l'SMSI⚓︎

  • Changements à suivre (organisationnels, SI, externes, modification du SMSI)
  • Maintenance et amélioration du SMSI
  • Mise à jour de la documentation
  • Formaliser toute améliortion apportée (gestion des changements)

Actions correctives:

  • Définir un processus de résolution des non-conformités
  • Identifier les actions correctives
  • Organiser des actions préventives
  • Planifier les actions