Sécurité de l’information

Atelier

9/09/2010 – Alain RiIVET– Atelier QuaRES 1

 Les différentes étapes de mise en place du SMSI

9/09/2010 – Alain RiIVET– Atelier QuaRES 2

 Risque en sécurité de l’information

Risque :
Actif
Possibilité qu'une menace puisse exploiter une

Cible
vulnérabilité d'un actif et causer ainsi un Possède
préjudice à l'organisation
Exploite
Menace

Vulnérabilité
Mesuré par combinaison de :

Provoque
Permet la réalisation

• Probabilité d'occurrence ou potentialité de

l'évènement
• Impact, conséquence ou préjudice Impact
► Impact : plutôt "Sécurité de l'information"

Cause
► Conséquence : plutôt processus métier,
organisme
Conséquence
ou Préjudice

9/09/2010 – Alain RiIVET– Atelier QuaRES 3

 (4.2.1)
Phase PLAN du modèle PDCA

Périmètre du SMSI
Politique du SMSI
Plan de gestion des risques
• Méthodologie d'appréciation des risques
• Identification et évaluation des risques
• Traitement des risques
Objectifs de sécurité et mesures de sécurité
Déclaration d'applicabilité : DdA

9/09/2010 – Alain RiIVET– Atelier QuaRES 4

 Définir l'approche d'appréciation du risque (4.2.1 c)
• Définir une méthodologie d’appréciation du risque (Mehari,Ebios,
ISO 27005)

• Décrire les critères d’acceptation des risques

• Identifier les niveaux de risque acceptables

Démarche d'identification des risques (4.2.1 d)

• Identifier les actifs ou biens dans le cadre du SMSI
• Identifier leur propriétaire
• Identifier les menaces sur ces actifs
• Identifier les vulnérabilités qui pourraient être exploitées par une menac
• Identifier les impacts d’une perte de Confidentialité, Intégrité et
Disponibilité

9/09/2010 – Alain RiIVET– Atelier QuaRES 5

 Démarche d'analyse et d'évaluation des risques (4.2.1.e)
• Évaluer l'impact sur l'organisation et son métier des pertes sur les actifs
• Évaluer la probabilité d’occurrence des défaillances de sécurité
• Estimer les niveaux de risque
• Décider si le risque est acceptable
• Identifier le traitement du risque possible

Traitement du risque (4.2.1 f)

• Appliquer les mesures de sécurité appropriées
• Accepter le risque (prendre le risque)
• en toute connaissance de cause
• de façon objective
• Éviter ou refuser le risque
• Transférer le risque (Assureurs, Fournisseurs)

9/09/2010 – Alain RiIVET– Atelier QuaRES 6

 Sélectionner les objectifs de sécurité et les mesures de
sécurité (4.2.1 g)
• En fonction des résultats de l’appréciation des risques
• Utiliser l’Annexe A de l’ISO 27001 et l’ISO 27002
• Aucune des ces mesures n’est obligatoire
• Même si certaines sont, de fait, incontournables
• En puisant dans cette liste, sûr de ne rien oublier d’important
• Possible de choisir d’autres mesures de sécurité, si elles sont
absentes de l’annexe A

9/09/2010 – Alain RiIVET– Atelier QuaRES 7

 Préparer la Déclaration d’Applicabilité (4.2.1 j) (DdA)
qui contient :
• Objectifs de sécurité sélectionnés
• Mesures de sécurité retenues
• Raison de leur sélection
• Mesures de sécurité effectivement mises en place
• Mesures de sécurité non retenues
• Raison de leur mise à l’écart

DdA permet de vérifier que l’on n’a rien oublié (4.2.1.j NOTE)

9/09/2010 – Alain RiIVET– Atelier QuaRES 8

 Appréciation des risques sur un cas d’école :
Utilisation d’un portable par un chercheur

Projet de travail de groupe :

• Identifier les risques

• Effectuer une appréciation des risques

• Mettre en place un traitement du risque

9/09/2010 – Alain RiIVET– Atelier QuaRES 9

 Étude de cas :

Utilisation du portable par un chercheur lors de ses déplacements :

• Le disque dur contient des résultats de recherche et des informations

stratégiques (courriels échangés avec des partenaires industriels, rapport
de recherche, projet de brevet)

• Ce chercheur se déplace régulièrement à l’étranger et utilise son

ordinateur dans des endroits publics exposés : aéroports, gares, hôtels...

• La seule protection utilisée est un simple couple identifiant / mot de

passe à l'allumage de l'ordinateur

10

9/09/2010 – Alain RiIVET– Atelier QuaRES 10

 Définition des critères

Echelle de valorisation des actifs

0 (valeur négligeable) : les effets ne sont pas décelables

1 (valeur faible) : affecte essentiellement des éléments de confort
2 (valeur significative) : affaiblit la performance de l’unité
3 (valeur élevée) : affecte l’organisme
4 (valeur critique) : mets en danger les missions essentielles de l’organisme

9/09/2010 – Alain RiIVET– Atelier QuaRES 11

 Critères d'évaluation des risques

Probabilité d’occurrence Basse Moyenne Haute

Facilité d’exploitation Difficile Moyenne Facile Difficile Moyenne Facile Difficile Moyenne Facile

0 0 1 2 1 2 3 2 3 4
l’actif/niveau de

1 1 2 3 2 3 4 3 4 5
Valeur de
l’impact

2 2 4 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

4 4 5 6 5 6 7 6
7
8

Cinq niveaux dans les critères d’évaluation

du risque :
1.Risques nuls (vert : 0)
2.Risques négligeables (Jaune : 1-2)
3.Risques significatifs (Rose : 3-4)
4.Risques graves (Rouge : 5-6)
5.Risques vitaux (Bordeaux : 7-8)

9/09/2010 – Alain RiIVET– Atelier QuaRES 12

 Identification des risques
A partir d’exemples de scénario/conséquence

Scénario d'incident Impact/Conséquence

Au cours du passage à la douane le disque dur, qui

La perte de l’article et des résultats de recherche
comportait un article en cours de rédaction, est
empêche sa publication.
recopié.

Un brevet en voie de dépôt, des courriels échangés Un industriel concurrent dépose un brevet de barrage.
au sein de la collaboration de recherche et des Perte d’image du laboratoire
négociations entre des partenaires industriels ont Perte de confiance des partenaires industriels
été espionnés. Difficulté au sein de la collaboration de recherche

9/09/2010 – Alain RiIVET– Atelier QuaRES 13

 Identification des risques
Exemples de vulnérabilités liées aux actifs

Actifs Menaces Vulnérabilités

Pertes d’efficacité/ Faible sensibilisation des chercheurs : le processus de

Actifs primordiaux
Informations stockées
sur l’ordinateur portable
pertes de contrats publication est un actif dont la perte affecte la performance
(les résultats de recherche sont donc un actif critique)
Possibilité de transfert Stockage en clair des données du laboratoire
des informations (informations stratégiques) et de données à caractère
sensibles à des privé et des
organismes hostiles

Vol de l’ordinateur
Actifs de soutien
portable Caractère mobile de l'ordinateur portable
Ordinateur portable

14

9/09/2010 – Alain RiIVET– Atelier QuaRES 14

 Appréciation du risque (et traitements)

Niveau de risque
d’exploitation
d’occurrence
Actif

Probabilité

Facilité
Traitement du risque

Valorisati
Nom
on

Objectif: Maintenir l’intégrité et la disponibilité des informations et des moyens

de traitement de l’information.
A.10.5.1 - Sauvegarde des informations
Mesure : Des copies de sauvegarde des informations et logiciels doivent être

Données utilisateur
Moyenne
réalisées et soumises régulièrement à essai conformément à la
Haute
politique de sauvegarde convenue.
3 6
Objectif: Protéger la confidentialité, l’authenticité ou l’intégrité de l’information
par des moyens cryptographiques
A.12.3.1 - Politique d’utilisation des mesures cryptographiques
Mesure : Une politique d’utilisation des mesures cryptographiques en vue de
protéger l’information doit être élaborée et mise en oeuvre.

Objectif: Empêcher l’accès d’utilisateurs non habilités et la compromission ou

le vol d’informations et de moyens de traitement de l’information
A.11.3.2 - Matériel utilisateur laissé sans surveillance
Mesure : Les utilisateurs doivent s’assurer que tout matériel laissé sans
surveillance est doté d’une protection appropriée.
Moyenne

Moyenne

Ordinateur portable 2 4 Objectif: Garantir la sécurité de l’information lors de l’utilisation d’appareils

informatiques mobiles et d’équipements
de télétravail.
A 11.7.1 - Informatique mobile et télécommunications
Mesure : Une procédure formelle et des mesures de sécurité appropriées
doivent être mises en place pour assurer une protection contre le risque lié à
l’utilisation d’appareils informatiques et de communication mobiles.
15

9/09/2010 – Alain RiIVET– Atelier QuaRES 15

 Mesures de sécurité (annexes ISO 27001)

9/09/2010 – Alain RiIVET– Atelier QuaRES 16

 Déclaration d’applicabilité (DdA)

9/09/2010 – Alain RiIVET– Atelier QuaRES 17

 Conclusion sur la sécurité de l’information

• Exigences de sécurité

• Objectifs de sécurité

• Mesures de sécurité

• ISO 27001 est un guide pour la mise en place d’un SMSI

• ISO 27002 est la description détaillée des mesures de sécurité de

l’annexe A de l’ISO 27001

• ISO 27005 : Guide de mise en œuvre de la partie appréciation des

risques de la sécurité de l'information de l'ISO 27001

9/09/2010 – Alain RiIVET– Atelier QuaRES 18