Pronetis Managementdelasecuritedessi Volet 1 161108111540

VOLET 1
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO - Dirigeant de PRONETIS

Consultant SSI – Lead Auditor 27001 / Risk Manager 27005
Membre du GREPSSI, OWASP
Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)
PRONETIS – www.pronetis.fr
Société indépendante spécialisée en SSI
Audit – Conseil – Formation – Lutte contre la fraude informatique

AGENDA VOLET I
Module N°1 : Rappels Module N°2 : Management de la sécurité

Quelques chiffres - Statistiques Périmètre de la sécurité et les axes stratégiques
Système d’information industriel – état des lieux Système de management de la sécurité Norme ISO 27001
Problématiques spécifiques des SI industriels Fonction RSSI : Rôles et missions – Positionnement
Domaines d’exploitation – Impacts majeurs Difficultés de la sécurité des systèmes d’information
Évolution de la sécurité
Module N°4 : Méthode EBIOS - Exemple
Module N°3 : Gestion des risques Méthode EBIOS étape par étape
Illustration avec une étude de cas
Gestion des risques - État des lieux
Définitions, métriques et illustrations
Module N°6 : Plan d’action et contrôles
Plan d’action sécurité et budget
Audit de sécurité fonctionnel et technique
Module N°5 : Politique de sécurité Tableau de bord sécurité
Définition d’une politique cadre et des politiques
ciblées de sécurité
Pour aller plus loin
Exemples de politiques de sécurité
Livre
Normes de sécurité - Normes 27001, 27002
Magazine
Articles - Web

TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti

Lecture des chapitres suivants
Chapitre 1 Principes de sécurité : 1.1, 1.2, 1.3
Chapitre 2 Cybercriminalité : 2.5, 2.6
Chapitre 3 Gouvernance et Stratégie : 3.1 à 3,6
Chapitre 4 Politique de Sécurité : 4.1 à 4,4, 4.6, 4.7

MODULE N°1 : RAPPELS
QUELQUES CHIFFRES – STATISTIQUES CLUSIF

DÉFINITION DU SYSTÈME D’INFORMATION INDUSTRIEL
CARACTÉRISTIQUES ET VULNÉRABILITÉS DES SI INDUSTRIELS
DOMAINES D’EXPLOITATION
ACTEURS DU SYSTÈME D’INFORMATION
IMPACTS MAJEURS
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

CONTEXTE

CYBER-ATTAQUES INDUSTRIELLES
Piratage du système d’adduction d’eau de
Springfield
Attaque sur différents gazoducs aux états unis en

2012 - Attaque provenant d’un malware en pièce
jointe d’un mail
En 2012, Cyber attaque de la centrale nucléaire

Three Mile Island au niveau du système de
contrôle commande des pompes de
refroidissement
En 2013, cyber attaque d’un réseau ferroviaire

aux états unis occasionnant de nombreux retards.
http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html

SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôle industriel

sont utilisés pour de multiples applications
Usine classique : chimie, agro, automobile, pharma, production d’énergie…
Sites plus vastes : traitement de l’eau, des réseaux de transport…
Gestion de bâtiment (aéroport, hôpitaux…)
Propulsion de navire
Santé : biomédicale, laboratoire d’analyse …
Les systèmes industriels contrôlent les infrastructures

critiques depuis les réseaux électriques au traitement de
l'eau, de l'industrie chimique aux transports. Ils sont
présents partout.
8 PRONETIS©2014
PRONETIS©2016
- Philippe
- Philippe
Prestigiacomo
Prestigiacomo
- Droits- d'utilisation
Droits d'utilisation
ou de reproduction
ou de reproduction
réservés
réservés
CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS
Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) ,

disponibilité 24/7
Environnement physique : ateliers de production : poussière, température,
vibrations, électromagnétisme, produits nocifs à proximité, environnement extérieur, etc.
Durée de vie des équipements : plus de 10 ans (parfois 30 ou 40 ans)
Multiples technologies et fournisseurs : la grande durée de vie des installations
conduit à une « superposition » des vagues technologiques successives sur un même
site entrainant un phénomène d’obsolescence des matériels et logiciels.
Couvertures géographiques : dans des entrepôts, des usines, sur la voie
publique, dans la campagne (stations de pompage, sous-stations électriques, etc.), des
lieux isolés, en mer, dans l’air et dans l’espace Effets indésirables de la mise en œuvre
de la sécurité
Télémaintenance : accès à distance sur les automates
Culture sécurité : automaticiens, instrumentistes électrotechniciens, spécialistes en
génie du procédé
La sécurisation des systèmes industriels passent par la

9 compréhension de - leurs
PRONETIS©2014
PRONETIS©2016
Philippe spécificités
- Philippe
Prestigiacomo
Prestigiacomo et d'utilisation
deouleurs
Droits contraintes
de reproduction
ou de reproduction
réservés
réservés
ARCHITECTURE TYPIQUE
Combinaison du monde industriel

avec le monde informatique

VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Vulnérabilités intrinsèques aux systèmes industriels

Peu de prise en compte de la sécurité lors des phases de conception,
d’installation, d’exploitation et de maintenance
Automates et composants industriels en production avec des
configurations par défauts et mots de passe par défaut
Informations accessibles – les manuels techniques sont disponibles
assez facilement- avec les mots de passe par défaut.
Une culture et une expérience des opérationnels différentes du
monde informatique : Connexion à l’Internet et ignorance de la
menace extérieure
Des opérateurs non formés à la sécurité informatique
11 PRONETIS©2014
PRONETIS©2016
- Philippe
- Philippe
Prestigiacomo
Prestigiacomo
ou de reproduction
ou de reproduction
réservés
réservés
CE QUE L’ON OBSERVE SUR LE TERRAIN
Personnel non sensibilité

Aux enjeux / risques
Virus – erreur de
Mauvaise configuration données
Pare-feu & intrusion
Clé USB
infecté
Virus – envoi aléatoire de requêtes Modbus
Console de programmation
Infectée – modification Pas de
application API Mot de passe cartographie
Admin par défaut des flux API
OS API
Non à jour
Opérateurs
de maintenance
non formés
12 PRONETIS©2014
PRONETIS©2016
- Philippe
- Philippe
Prestigiacomo
Prestigiacomo
ou de reproduction
ou de reproduction
réservés
réservés
STATISTIQUES
CLUSIF 2014

STATISTIQUES
CLUSIF 2014

DOMAINES D’EXPLOITATION
Industrie Transports Energie Défense
15 PRONETIS©2014
PRONETIS©2016
- Philippe
- Philippe
Prestigiacomo
Prestigiacomo
ou de reproduction
ou de reproduction
réservés
réservés
LE SYSTÈME D’INFORMATION (S.I.)
Le système d’information (S.I.) d’une organisation contient un ensemble d’actifs :
actifs primordiaux
processus métiers
et informations
actifs supports
site personne matériel réseau logiciel organisation
ISO/IEC 27005:2008
Le S.I. doit permettre et faciliter la mission de l’organisation

La sécurité du S.I. consiste donc à assurer la sécurité de
l’ensemble de ces biens.

VUE DE QUELQUES ACTEURS DU SYSTÈME D’INFORMATION
Entreprise
Fournisseurs de services
LAN / station de travail
- Opérateurs Télécom
- Hébergeurs,
Intervenants
- Paiement sécurisé,
en amont
- Sites de sauvegarde et secours
dans la conception
et la réalisation
des environnements
Equipements
de sécurité
Personnel
Prestataires Fournisseur
de services d’accès
Serveurs
Environnement Environnement
infogérance Général : EDF Informatique et télécom

LA SÉCURITÉ INFORMATIQUE
La sécurité a pour objectif de réduire les risques pesant sur le système

d’information, pour limiter leurs impacts
Impacts sur l’image

Impacts financiers
et la réputation
Interruption de la production
Modification des paramètres
de fabrication
Sécurité
des S.I. Impact
environnemental
Impacts Pollution du site de
Dommages matériels
Impacts juridiques organisationnels production et de
et/ou corporels
et réglementaires l’environnement
Responsabilité civil ou
pénale

VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
• Détecter les vulnérabilités
• Appliquer les Correctifs
• Former et sensibiliser les
utilisateurs
Données • Consignes en cas
d’attaque ou de doutes
• Firewall
• Compartimenter le • Anti-virus
réseau et les systèmes • Anti-Spyware,
• Anti-rootkids
• Classifier les données
•…
• Analyse de risques
• Protéger des données
• Accès restrictifs • Mise en œuvre de
procédures de sécurité
• Plan de continuité
• Sondes IDS
• Analyse des traces
• Sécuriser et certifier •Supervision, Veille,

les échanges (VPN / •Surveillance
Mails chiffrés)
•Protéger et isoler •Sauvegarde et protection des supports
les réseaux sans fil •Redondance des systèmes
Gestion de la sécurité (non exhaustif)

ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES
D’INFORMATION
Source : Denis Virole Telindus et Jean-Louis Brunel

DÉCLINAISON DES BONNES PRATIQUES
Détection d’intrusion
Centralisation des logs
Audit / Tests intrusifs
Cours 3A Cours 4A
Source : Jean-Louis Brunel

APPROCHE SÉCURITÉ
Difficultés d’appliquer les standards de sécurité des

systèmes d’information de gestion
Une approche différente à construire pour les systèmes

d’information industriels « tout en adaptant les recettes
existantes de sécurité »
La gestion du risque, la maîtrise des techniques de

sécurisation deviennent des compétences
indispensables pour les entreprises dans les secteurs
industriels.

PAUSE-RÉFLEXION
Avez-vous des questions ?

RÉSUMÉ DU MODULE
Chiffres Caractéristiques
des SI
Statistiques Industriels
Domaines Vulnérabilités
d’exploitation des SI
Impacts majeurs Industriels
Évolution de la
sécurité des SI
SI : Systèmes d’Information

MODULE N°2 : MANAGEMENT DE LA SÉCURITÉ
PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES

SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ - PDCA -27001
FONCTION RSSI : RÔLES ET MISSIONS - POSITIONNEMENT
DIFFICULTÉS DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
Une problématique complexe

Concevoir et manager un dispositif de sécurité adapté nécessite :
– Une bonne connaissance / évaluation des risques
– Une approche globale et transversale faisant interagir les fonctions
Direction Générale, Direction de la Sécurité des Systèmes
d'Information, Direction du Contrôle Interne et Direction de l'Audit
– Un modèle de conception dynamique qui intègre l’ évolution des
architectures et des menaces.
Le SMSI (Système de Management de la Sécurité de l’Information) doit être

cohérent avec les objectifs métiers de l’organisme et cohérent avec le
système de management de la qualité

PÉRIMÈTRE ET AXES STRATÉGIQUES DE LA SÉCURITÉ
La sécurité du SI doit être abordée d’une manière globale avec une

volonté affichée et un appui de la direction
Les seules réponses techniques à la problématique sécurité sont insuffisantes si

elles ne sont pas sous-tendues par une approche structurée intégrant les
composantes :
Stratégique
Économique
Organisationnelle
Humaine
Les priorités portent désormais davantage sur les

aspects d’organisation et de management.
SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE
L'INFORMATION - SMSI
Norme ISO-27001

Norme ISO-27001


L'INFORMATION : SMSI
Phase PLAN - Fixer des objectifs et des plans d'actions

Identification des actifs ou des biens ;
Analyse de risques ;
Choisir le périmètre
Phase DO - Mise en œuvre et exploitation des mesures et de

la politique
Établir un plan de traitement des risques ;
Déployer les mesures de sécurité ;
Former et sensibiliser les personnels ;
Détecter les incidents en continu pour réagir rapidement.

Phase CHECK - Mesurer les résultats issus des actions mises
en œuvre
Audits internes de conformité et d’efficacité du SMSI (ponctuels et planifiés) ;
Réexaminer l’adéquation de la politique SSI avec son environnement ;
Suivre l'efficacité des mesures et la conformité du système ;
Suivre les risques résiduels.
Phase ACT
Planifier et suivre les actions correctrices et préventives


MÉTIERS EN CYBER SÉCURITÉ
Positionnement des métiers au sein des organisations
La cybersécurité est transverse à toute activité qui requiert de l’informatique et des
réseaux de télécommunications, de la TPE à la multinationale, dans le domaine privé
ou public.
Direction systèmes d’information Responsable SSI - RSSI : gouvernance

et télécom et gestion de crise
Etudes et services d’ingénierie Ingénieurs d’étude SSI : analyse de

Fonctions
MOA/MOE risque, politique de sécurité, audit
Opérationnels SSI :
Exploitants intégration,
configuration,
Administrateurs
administration,
Techniciens supports supervision et
réaction

Cartographie des métiers et compétence en SSI
Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression
de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la
gouvernance globale de l’organisation.
Exploitation / maintien de
condition de sécurité
Expression de besoin /
maitrise d’ouvrage (MOA) veille des vulnérabilités
/ analyse forensics
Conception d’architecture
Validation / audit
/ maitrise d’œuvre (MOE)
organisationnel / test intrusion
Développement logiciel ou Intégration de produit /

composant matériel déploiement d’architecture
Gouvernance de la sécurité

b. Cartographie des métiers et compétence en SSI

Phases
Implémentation, Exploitation / Gestion des

Étude Conception
déploiement Maintenance incidents, des crises
Ingénieur de sécurité, architecte de

sécurité, développeur de sécurité,
Investigateur numérique
Métiers
Auditeur organisationnel
Auditeur technique
RSSI, Technicien support
Consultant
Analyste dans un SOC

LA FONCTION DE RSSI
Définition des principes ou règles
applicables
Coordination des actions

Animation du réseau de
correspondants
Evaluation régulière du niveau de

sécurité
Intégration de la sécurité dans les
projets
Evaluation des risques
Veille sécuritaire
Surveillance – gestion des incidents
Promotion de la politique de sécurité

Coordination des actions de
sensibilisation
Conseil en matière de sécurité
ORGANISATION DE LA SÉCURITÉ

RÉMUNÉRATION DU RSSI
SOURCE ZDNET 2011

68K€ pour un RSSI avec 5 à 8 ans d'expérience soit 4.533 € net par
mois. 85K€ de salaire moyen entre 10 et 15 ans d'expérience soit 5.666 € net
par mois … et plus de 100K€ au-delà de 15 ans d'expérience.
Une répartition des

salaires qui varie peu
avec un salaire moyen
quasi stable à 73,8 k€
contre 73,4 k€ en 2008.
(analyse effectuée 2009 - Assises de la sécurité)

FREINS A LA SECURITE : CLUSIF 2014
Le premier frein principal reste le manque de

moyens budgétaires

LES DIFFICULTÉS DE LA SÉCURITÉ
Les usagers ont des besoins spécifiques en sécurité informatique,

mais en général ils ont aucune expertise dans le domaine
L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de
comprendre ses besoins et de mettre en œuvre les moyens
adéquates
Performance et confort d’utilisation Versus Sécurité

Les mécanismes de sécurité consomment des ressources
additionnelles
La sécurité interfère avec les habitudes de travail des usagers
Ouverture vers le monde extérieur en constante progression

Les frontières de l’entreprise sont virtuelles ex : télémaintenance

LES DIFFICULTÉS DE LA SÉCURITÉ
Centre de coût versus centre de profit

La justification des dépenses en matière de sécurité n’est pas évidente
Le retour sur investissement en sécurité est un exercice parfois difficile
La sécurité n’est pas une fin en soi mais résulte d’un compromis
entre :
- un besoin de protection ;
- le besoin opérationnel qui prime sur la sécurité (coopérations,
interconnexions…)
- les fonctionnalités toujours plus tentantes offertes par les technologies
(sans fil, VoIP…)
- un besoin de mobilité (technologies mobiles…)
- des ressources financières et des limitations techniques

LA SÉCURITÉ EST UN PROCESSUS CONTINU
La sécurité n’est pas une activité ponctuelle :

La sécurité ne se met pas en œuvre en une seule fois
Elle fait partie intégrante du cycle de vie du système
Il s’agit d’un processus itératif qui n’est jamais fini et doit être
corrigé et testé régulièrement
« La sécurité absolue est inatteignable, c’est un

voyage, pas une destination »

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Système de
Périmètre
management de
axes
la sécurité -
stratégiques
PDCA -27001
Difficultés et
Fonction RSSI : freins de la
Rôles et sécurité des
missions - systèmes
positionnement d’information
Enquête
CLUSIF 2014
SI : Systèmes d’Information

MODULE N°3 : GESTION DES RISQUES
MÉTHODOLOGIE - ANALYSE DE RISQUES

ÉTAT DES LIEUX – CLUSIF 2014
DÉMARCHE – DÉFINITIONS - ILLUSTRATIONS
MÉTHODES D’ANALYSE DE RISQUES
PRÉSENTATION DE LA NORME ISO/IEC 27005

ANALYSE DE RISQUES
La première étape du management de la sécurité des systèmes

d'information doit rendre intelligible les risques qui visent une
organisation, l’analyse de risques
Objectifs recherchés
Inventaire des actifs sensibles (informations : données, applications)
Cartographier l’ensemble des risques qui pèsent sur l’entreprise afin de
prendre les décisions stratégiques adaptées
Enclencher les actions associées par ordre de priorité
L’analyse des risques répond à un besoin de gouvernance des

risques et représente un outil de pilotage / d’aide à la décision.
Minimiser les risques encourus par l’organisme du fait de

son système d’information. Faire que ces risques soient
acceptables
RAPPEL : MÉTHODOLOGIE
1 : Quoi protéger et pourquoi ? Liste des biens sensibles
Liste des menaces et modes

2 : De Quoi protéger ? opératoires
3 : Quels sont les risques ? Listes des impacts et probabilités
Liste des contre-mesures

4 Comment protéger l’entreprise ?

INVENTAIRE DES DONNÉES
Inventaire des données:

Classifier les données. Par exemple : Publique, Interne, Confidentielle
permettra de définir les protections, le mode de stockage, d’accès et de
diffusion des données en fonction de leur classification.
Inventaire de l’infrastructure:
Les équipements Logiciels et Matériels
Réseaux
Inventaire des canaux d’échange et mode de communication

Mode, fonctionnement, Échanges chiffrés
Matrice des flux

ANALYSE DE RISQUES
Système d’information Nouveau système
existant S.I. d’information
Nouvelle architecture Nouvelle activité de
technique l’entreprise
Caractérisation du S.I.
(ressources fonctionnelles et techniques)
Identification des enjeux Analyse de la menace
Identification des vulnérabilités potentielles majeures
Identification des risques majeurs
Quels moyens engager ?

SERVICES DE SECURITE
Profils fonctionnels de sécurité
Mécanismes
Procédures Plans
techniques

ANALYSE DE RISQUES

ETAT DES
LIEUX –
SOURCE
CLUSIF 2014

ETAT DES LIEUX – SOURCE CLUSIF 2014

DÉFINITIONS : RISQUES
Impact
Vulnérabilités
RISQUE
Menaces

DÉFINITIONS : NIVEAU DE RISQUES

MÉTRIQUE GRAVITÉ (IMPACTS)
La gravité est l’estimation de la hauteur des effets d’un événement redouté ou d’un risque. La
gravité (ou impact) représente l’ampleur d’un risque. Elle dépend essentiellement des DICP et du
caractère préjudiciable des impacts potentiels.
Niveau de Gravité (exemple dans le monde de la santé)
Niveau Valeur Description
Inconfort patient, gène ponctuelle dans l’activité, perte financière négligeable, absence de plainte,
1 Mineure
événement pas médiatisé ou sans impact sur l’image
Perte de chance patient mais limitée et réversible, surcharge de travail ou désorganisation modérée et
2 Significative
temporaire, impact financier modéré, contentieux, dégradation passagère d’image ou de confiance
Perte de chance pour les patients d’un service, avec mise en danger immédiate mais sans atteinte
irréversible, désorganisation importante et durable de l’activité, perte financière importante, atteinte à la
3 Importante
vie privée d’un patient/salarié ou condamnation pénale et/ou financière, perte d’image ou de confiance
avec mise en cause de l’établissement ou d’un organisme tiers
Mise en danger des patients ou menace du pronostic vital, arrêt prolongé d’une part importante de
l’activité, perte financière élevée pouvant mettre en cause la pérennité de l’établissement, atteinte à la
4 Critique
vie privée de plusieurs patients/salariés ou condamnation pénale et/ou financière avec risque
judiciaire, rejet définitif de la capacité de l’établissement à offrir le service attendu

MÉTRIQUE GRAVITÉ (IMPACTS) – ILLUSTRATION SANTÉ
Atteinte à l‘Image
Qualité de prise en
Gravité (Impact) Organisation Pertes Financières Engagement de
charge
Responsabilité
Visible uniquement
Sans effet sur l’état du Sans effet sur les
1 Mineure
patient processus de l’activité
Sans impact financier en interne
Divulgation limitée
Impact sur la santé Fonctionnement

Réclamations ou plaintes de patients
augmentant la durée processus perturbé – Pertes financières < 1%
2 Significative
d’hospitalisation ou de ré indisponibilité des du budget global
signalant un dysfonctionnement
grave – visible par peu de patients
hospitalisation ressources
Réclamations ou plaintes de patients

Aggravation de l’état de Arrêt temporaire de liés au non respect des bonnes
Pertes financières <
3 Importante santé - chance limitée l’activité, fermeture
5% du budget global
pratiques de prise en charge -
pour une victime partielle débouchant sur une sanction
disciplinaire – visible au niveau local
Visible par un nombre important de

Perte de chance pour un Arrêt prolongé de l’activité, patients / niveau régional ou national
Pertes financières >
4 Critique patient, décès, effet fermeture de
10% du budget global
- Plainte de victimes débouchant sur
irréversible sur la santé l’établissement la condamnation civile ou pénale
d'un responsable

MÉTRIQUE VRAISEMBLANCE
La vraisemblance est l’estimation de la possibilité qu’une menace se produise
La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités
des supports face aux menaces et des capacités des sources de risques à les exploiter.
Echelle de vraisemblance
1 Exceptionnel Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions
très difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années)
2 Peu probable Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions
difficiles ou malveillance présentant peu d’intérêt
3 Plausible Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de
probabilité très plausible pour un incident involontaire (au moins une fois par an)
4 Quasi certain Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en
cas de malveillance

NIVEAU DE RISQUE
Gravité
4
Critique
Importante 3
Significative
2
Mineure
1
1 2 3 4 Vraisemblance
Exceptionnel Peu probable Plausible Quasi-certain
Echelle de niveaux de risque

les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourront surmonter
1 Limité malgré quelques difficultés (frais supplémentaires, refus d’accès à des prestations commerciales, peur,
incompréhension, stress, affection physique mineure…).
les personnes concernées pourraient connaître des conséquences significatives, qu’elles devraient pouvoir
2 Modéré surmonter, mais avec de sérieuses difficultés (détournements d’argent, interdiction bancaire, dégradation de
biens, perte d’emploi, assignation en justice, aggravation de l’état de santé…).
les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles
3 Fort pourraient ne pas surmonter (péril financier tel que des dettes importantes ou une impossibilité de travailler,
59 PRONETIS©2016
affection - PhilippedePrestigiacomo
psychologique ou physique - Droits d'utilisation ou de reproduction réservés
longue durée, décès…).
CRITERES DICP (DISPONIBILITE, INTEGRITE,
CONFIDENTIALITE, PREUVE)
Disponibilité (D) : La disponibilité des SI permet de garantir en
permanence la communication et l’échange des données
Intégrité (I) : L’intégrité est l’objectif d’exactitude et de fiabilité des

données et des traitements. Les SI doivent garantir que les informations
sont identiques et inaltérables dans le temps et l’espace et certifier leur
exhaustivité, leur validité et leur cohérence.
Confidentialité (C) : La confidentialité permet de réserver l’accès aux

données aux seules personnes autorisées.

MÉTRIQUE DIC
Disponibilité
Valeur Description
1 Un arrêt max de 72 heures
Intégrité
Valeur Description
1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative
2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires,
délais) - Quelques erreurs sont tolérées.
3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un
client, ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées.
4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée.
Confidentialité
Valeur Description
1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique
2 Une perte de confidentialité des informations est dommageable – accès protégé
3 Une perte de confidentialité des informations est grave – accès restreint - info nominative
4 Une perte de confidentialité des informations est très grave - secret médical est renforcé

PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ

DÉFINITIONS
Menace: attaque possible d'un individu ou d'un élément naturel sur des biens (ici, des informations)
entraînant des conséquences potentielles négatives. Elle est souvent caractérisée par une expertise de
l'attaquant, ses ressources disponibles et sa motivation.
Exemple: un développeur modifie le code source en vue de détournement de fonds (grande expertise et forte
motivation si les flux financiers sont importants), vol d'un ordinateur portable lors d'un déplacement (peu d'expertise
nécessaire),...
Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de la
sécurité de l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique de
sécurité), humaine (ex: pas de formation des personnels), logicielles ou matérielles (ex: utilisation de
produits peu fiables ou non testés),...
Exemple: les fichiers sur les ordinateurs portables ne sont pas protégés en lecture.
Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé
financièrement, ou dans une échelle qui dépend du contexte
Impact financier ou pertes financières
Impact sur la production
Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités
Impact sur l’organisation de l’établissement (désorganisation …)

SCÉNARII GÉNÉRIQUES DE MENACES
Accident physique
Malveillance physique
Perte de servitudes essentielles
Perte de données
Origines AEM Indisponibilité d'origine logique
Divulgation d'informations en interne
Accident
Erreur Divulgation d'informations en externe
Malveillance
Abus ou usurpation de droits
Fraude
Reniement d'actions
Non-conformité à la législation
Erreurs de saisie ou d'utilisation
Erreurs d’exploitation, de conception
Perturbation sociale
Attaque logique du réseau

ILLUSTRATION
Les menaces pesant sur l’intégrité, la disponibilité ou la confidentialité des informations
sont souvent liées à des erreurs humaines (du fait de la négligence ou de l’ignorance).
Les erreurs d’implémentation des systèmes sont aussi à l’origine d’incidents

Exemple : Un défaut d’intégrité de la donnée de santé, comme l'altération accidentelle ou illégitime d'un
dossier de santé d’un patient ou du paramétrage d’un équipement biomédical, est susceptible
d'entraîner des erreurs médicales, voire un préjudice vital envers le patient.
Négligence du personnel dans la protection des données par méconnaissance des

risques.
Exemple : A cause de cette ignorance du risque, des données médicales se sont retrouvées indexées sur
les moteurs de recherche internet début 2013 dans un hôpital :
Le premier fait est le recours à un hébergeur externe non agréé, par méconnaissance des
risques du stockage des données médicales à l’extérieur de l’établissement ; il n’a pas été
tenu compte du cadre réglementaire, du « décret hébergeurs » (Décret n° 2006-6 du 4 janvier
2006 relatif à l’hébergement de données de santé à caractère personnel).
Le second fait est la négligence de l’hébergeur qui dans la conception de son système de
stockage a rendu possible que les dossiers médicaux soient visibles par les moteurs de
recherche.

ILLUSTRATION
Introduction d'un virus dans le système d’information. Une grande partie des incidents
de sécurité informatique impliquent la propagation de virus. Des moyens techniques
peuvent en limiter la propagation (anti-virus) mais le facteur humain ou la conception des
systèmes peuvent faciliter leur diffusion.
Exemple : En mars 2009, le virus « Conficker » a infecté plusieurs millions d’ordinateurs et on comptait,
parmi les cibles, un grand nombre d’établissements de santé en France.
Vols externes. Le vol de données par des personnes extérieures peut se faire par une
entrée physique dans l’hôpital par exemple mais également à distance via Internet. Des
failles de sécurité dans les applications ou le réseau peuvent permettre à un hacker
d’accéder aux données stockées sur les serveurs d’un établissement, de les subtiliser et,
dans certains cas, de perturber le fonctionnement du SI.
D’autres menaces existent : le vol interne, les dommages matériels intentionnels ou

non, la défaillance de connexion Internet ; il faut aussi indiquer le bug d’un logiciel, la
panne d’un matériel informatique ou du réseau, qui peuvent conduire à un arrêt complet
du système, si les mesures de sécurité sont inexistantes ou incomplètes
Exemples
http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/
http://archives.nicematin.com/nice/un-piratage-informatique-dejoue-au-chu-de-nice.1986813.html
DEFINITIONS
D, I, C
Les représentants métiers (maîtrise d’ouvrage)
• S’assure de la représentation exhaustive des actifs les plus sensibles du SI à ces critères
• Confirme/infirme leur perception sur les besoins en Disponibilité, Intégrité, Confidentialité de
ces actifs sensibles
Evènements redoutés
Les représentants métiers et SI de l’établissement indique quels évènements sont à redouter dans
la situation actuelle de leur SI
Exemple Données médecine du travail: Modification non désirée des données : le statut d’aptitude des
employés pourrait être faussé avec toutes les conséquences possibles sur leur carrière et leur intégrité́ physique
(licenciement, mauvais suivi des risques de santé, voire invalidité́ ou décès...)
Source de menace
Les représentants métiers et SI de l’établissement choisissent un type de menace (il est possible
d’en ajouter)
Vraisemblance/Gravité
Les représentants métiers et SI de l’établissement évaluent selon des grilles définies
Niveau de risque
Il est calculé automatiquement selon une matrice (voir après)

DÉFINITIONS : NIVEAU DE RISQUES

TRAITEMENT DU RISQUE
Traitement du risque: processus de sélection et de mise en œuvre

visant à modifier le risque, ce qui signifie une réduction du risque, un
transfert du risque ou une prise de risque.
Réduction du risque: processus visant à minimiser les conséquences

négatives et les opportunités d’une menace.
Transfert de risque: partage avec une autre partie de la charge de la perte

d’un risque particulier (souscription d’assurance par exemple)
Evitement du risque : refus du risque
Acceptation du risque: décision d’accepter un risque traité selon les critères

de risques

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Gestion des État des lieux –

risques CLUSIF 2014
Définitions, Norme
métriques et ISO/IEC
illustrations 27005
Méthodes
d’analyse de
risques

MODULE N°4 : MÉTHODE D’ANALYSE DE
RISQUES EBIOS
PRÉSENTATION DE LA MÉTHODE D’ANALYSE DE RISQUES EBIOS

ILLUSTRATIONS

PRÉSENTATION D’EBIOS
Expression des besoins et identification des objectifs de sécurité

La méthode EBIOS
créée en 1995 par le SCSSI ;
acteur majeur de la gestion du risque en France ;
aboutit à la version 2.0 en 2004 ;
compatible avec la norme ISO/IEC 27002
Méthode d’appréciation et de traitement des risques
Peut être utilisée pour un système existant ou à concevoir
Fournit une terminologie et des concepts communs

FINALITÉS D’UNE ANALYSE DE RISQUES

PRÉSENTATION DE LA MÉTHODE EBIOS
1.Étude du contexte
2. Etude des 3. Étude des

événements scénarios de
redoutés menaces
4. Etude des
risques
5. Etude des
mesures de
sécurité

EBIOS MODULE 1 : ETUDE DU CONTEXTE
Définir le cadre
Qu’est-ce qui est à l’origine de l’étude (motif, événement…) ?
Cadrer l’étude des risques Quel est l’objectif de l’étude (son but et les livrables attendus) ?
Comment organiser le travail (actions, rôles, charges…) ?
Que sait-on du contexte (externe et interne) ?

Décrire le contexte général
Comment les risques sont-ils gérés actuellement ?
Quelles sont les limites du périmètre étudié ?

Délimiter le périmètre de l’étude
Qui doit participer à l’étude ?
Identifier les paramètres à prendre en Quels sont les référentiels applicables ?

compte Quelles sont les contraintes qui pourraient impacter l’étude ?
Contre quels types de sources décide-t-on de se protéger ?

Identifier les sources de menaces
Quels sont les exemples illustratifs ?

EBIOS : SOURCES DE MENACES

EBIOS MODULE 1 : MESURES EXISTANTES

Préparer les métriques
Quels critères de sécurité devront être étudiés (D, I, C…) ?

Définir les critères de sécurité et
Quelle est la définition de chacun des critères retenus ?
élaborer les échelles de besoins
Quelles échelles utilisera-t-on (ensemble des niveaux possibles) ?
Élaborer une échelle de niveaux de

Quelle échelle utilisera-t-on pour la gravité ?
gravité
Élaborer une échelle de niveaux de

Quelle échelle utilisera-t-on pour la vraisemblance ?
vraisemblance
Définir les critères de gestion des Sur quelles règles s’accorde-t-on pour gérer les risques (manière
risques d’estimer, règles d’ordonnancement, critères d’évaluation…) ?

EBIOS MODULE 1 : MÉTRIQUES SUR LES BESOINS DE
SÉCURITÉ
Critères
DIC
Vraisemblance

EBIOS MODULE 1 : MÉTRIQUES SUR LES NIVEAUX
DE GRAVITÉ
ECHELLE DE NIVEAUX DE GRAVITÉ

les personnes concernées pourraient connaître des désagréments
significatifs, qu’elles pourront surmonter malgré quelques difficultés
1 Limité
(frais supplémentaires, refus d’accès à des prestations commerciales,
peur, incompréhension, stress, affection physique mineure…).
les personnes concernées pourraient connaître des conséquences
significatives, qu’elles devraient pouvoir surmonter, mais avec de
2 Modéré sérieuses difficultés (détournements d’argent, interdiction bancaire,
dégradation de biens, perte d’emploi, assignation en justice, aggravation
de l’état de santé…).
les personnes concernées pourraient connaître des conséquences
significatives, voire irrémédiables, qu’elles pourraient ne pas
3 Fort surmonter (péril financier tel que des dettes importantes ou une
impossibilité de travailler, affection psychologique ou physique de longue
durée, décès…).

EBIOS MODULE 1 : CRITÈRES DE GESTION DES
RISQUES

Identifier les biens
Quels sont les informations et processus essentiels aux métiers ?

Identifier les biens essentiels, leurs
Quels sont les liens (inclusions, dépendances…) entre ces biens ?
relations et leurs dépositaires
Quel est le responsable de chacun de ces biens essentiels ?
Sur quoi reposent les biens essentiels (systèmes informatiques et

Identifier les biens supports, leurs de téléphonie, organisations, locaux) ?
relations et leurs propriétaires Quels sont les liens (inclusions, dépendances…) entre ces biens ?
Quel est le responsable de chacun de ces biens supports ?
Déterminer le lien entre les biens

Quel est le lien entre chaque bien essentiel et bien support ?
essentiels et les biens supports
Identifier les mesures de sécurité Quels sont les mesures de sécurité mises en œuvre ou prévues ?
existantes Sur quels biens supports reposent-elles ?

EBIOS MODULE 1 : IDENTIFIER LES BIENS

EBIOS MODULE 1 : BIEN ESSENTIEL
Processus Processus essentiels Informations essentiels concernées Dépositaires

métiers
Gestion des Créer des plans et Dossier technique d'un projet Bureau Responsable du
études calculer des structures d'études Bureau des
Paramètres techniques (pour les études
calculs de structure)
Plan technique
Résultat de calcul de structure

EBIOS MODULE 1 : SCHÉMA GÉNÉRAL DU SYSTÈME

EBIOS MODULE 1 : BIEN SUPPORT

EBIOS MODULE 1 : SYNTHÈSE DU MODULE 1
Cadrer l’étude:
Décrire le contexte, définir le périmètre
Sélectionner les sources de menaces retenues
Préparer les métriques:

Définir les critères de sécurité (D, I, C, …)
Définir les échelles
Définir les critères de gestion des risques
Identifier les biens:

Identifier les biens essentiels (immatériels)
Identifier les biens supports (supportent les biens essentiels)
Relier les biens essentiels aux biens supports via un tableau de croisement
Identifier les mesures de sécurité existantes

EBIOS MODULE 2 : ETUDE DES ÉVÉNEMENTS
REDOUTÉS
Quelles sont les craintes ?
Quels sont les besoins de sécurité de chaque bien essentiel ?

Analyser tous les événements Quelles sources de menaces peuvent les affecter ?
redoutés Quels seraient les impacts si l’événement se produisait ?
Quelle serait la gravité d’un tel événement ?
Évaluer chaque événement redouté Quelle est la hiérarchie des événements redoutés identifiés ?

EBIOS MODULE 2 : EVÈNEMENTS REDOUTÉS
Evénement redouté : scénario avec un niveau de gravité donné, représentant une
situation crainte par un organisme. Il combine un bien essentiel et un critère de sécurité,
assorti d’impact(s) potentiel(s), du besoin de sécurité et de source(s) de menace(s).
Exemple : un journaliste parvient à obtenir le budget prévisionnel de l’organisme, jugé confidentiel, et

publie l’information dans les media, portant atteinte à l’image de l’organisme et faisant chuter le cours en
bourse.
Exemple : Un employé peu sérieux ou un concurrent atteint la confidentialité des informations liées au
processus d’établissement des devis qui doit rester limitée aux personnels et partenaires. Cela
provoquerait la perte d’un marché, une action en justice ou une perte de crédibilité. Cet événement
redouté est jugé de gravité importante.

EBIOS MODULE 2 : APPRÉCIER LES ÉVÈNEMENTS
REDOUTÉS

EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE
MENACES
Comment cela peut-il arriver ?
Quelles menaces peuvent s’exercer sur chaque bien support ?

Quelles sources de menaces peuvent en être à l’origine ?
Analyser tous les scénarios de menaces Quelles sont les vulnérabilités potentiellement utilisables ?
Y a-t-il des prérequis pour que la menace se réalise ?
Quelle est la vraisemblance des scénarios ?
Évaluer chaque scénario de menace Quelle est la hiérarchie des scénarios de menaces identifiés ?

EBIOS MODULE 3 : ÉTUDE DES SCÉNARIOS DE
MENACES
Cette activité sélectionne les méthodes d'attaque pertinentes pour le

système cible.
Une méthodes d'attaque

est caractérisée par les critères de sécurité qu'elle peut affecter ;
est associée à des éléments menaçants caractérisés par :
leur type (naturel, humain ou environnemental)
leurs causes possibles (accidentelle, délibérée) ;
a un potentiel d'attaque.

EBIOS MODULE 3 : SCÉNARIOS DE MENACES
Analyse des menaces
MAT : matériel, LOG : Logiciel, CAN : Canaux interpersonnels, PER : Personnes

Analyse des vulnérabilités

Scénario de menace : scénario, avec un niveau donné, décrivant des modes opératoires. Il
combine, un bien support, un critère de sécurité, des sources de menaces susceptibles d’en être
à l’origine, assorti des menaces et des vulnérabilités exploitables pour qu’elles se réalisent.

EBIOS MODULE 4 : ÉTUDE DE RISQUES
Apprécier les risques
Quels scénarios s’appliquent aux événements redoutés ?

Y a-t-il des mesures existantes pour traiter ces risques ?
Analyser les risques
Quelle est la gravité des risques ?
Quelle est la vraisemblance des risques ?
Évaluer les risques Quelle est la hiérarchie des risques identifiés ?


Risque : scénario, avec un niveau donné,
combinant un événement redouté et un ou plusieurs scénarios de menaces.



Bien essentiel Tableau de croisement Biens supports

(module 1) (module 1) (module 1)
Critère de sécurité
(module 1)
Événement redouté Sources de menaces Scénarios de menaces

(module 2) (modules 1, 2 et 3) (module 3)
Risque
(module 4)
Gravité Vraisemblance
(module 2) (module 3)

Éléments dimensionnant d’une étude de risques

Identifier les objectifs de sécurité
Choisir les options de traitement de Comment choisit-on de traiter chaque risque (réduire,
chaque risque transférer, éviter, prendre) ?
Analyser les risques résiduels Quels risques resteraient si les objectifs étaient satisfaits ?

Décisions
Evitement
Réduction
Prise
Transfert


EBIOS MODULE 5 : ÉTUDE DES MESURES
Formaliser les mesures de

sécurité à mettre en œuvre
Quelles mesures doivent être mise en place ?

Déterminer les mesures de sécurité Servent-elles à la prévention, la protection, ou la récupération ?
Sur quels biens supports reposent-elles ?
Quelles sont les nouvelles valeurs de gravité et vraisemblance ?

Analyser les risques résiduels
Quels sont les scénarios toujours possibles ?
Établir une déclaration

Les paramètres à prendre en compte ont-ils bien été traités ?
d'applicabilité

EBIOS MODULE 5 : ÉTUDE DES MESURES
Mettre en œuvre les mesures de

sécurité
Comment planifie-t-on la mise en place des mesures ?

Élaborer le plan d'action et suivre la
Qui pilote chaque action ?
réalisation des mesures de sécurité
Où en est la mise en place des mesures de sécurité ?
Quelles sont les nouvelles valeurs de gravité et vraisemblance ?

Analyser les risques résiduels
Quels sont les scénarios toujours possibles ?
Prononcer l'homologation de La manière dont les risques ont été gérés est-elle satisfaisante ?
sécurité Les risques résiduels sont-ils acceptables ?

Critère de sécurité
Caractéristique d'un bien essentiel permettant d'apprécier ses différents besoins de sécurité (disponibilité, confidentialité, intégrité…).
Source de menace
Chose ou personne à l'origine de menaces. Elle peut notamment être caractérisée par son type (humain ou environnemental), par sa cause (accidentelle ou délibérée) et selon le
cas par les ressources dont elle dispose - son expertise, sa motivation…
Bien essentiel
Information ou processus jugé comme important pour l'organisme. On appréciera ses Bien support
besoins de sécurité mais pas ses vulnérabilités. Bien sur lequel reposent des biens essentiels. On distingue
Exemples : le dossier patient et les données médicales, les informations personnelles des notamment les systèmes informatiques, les organisations
patients et les locaux. On appréciera ses vulnérabilités mais pas ses
besoins de sécurité.
Besoin de sécurité
Définition précise et non ambiguë du niveau d'exigences opérationnelles relatives à un bien Menace
essentiel pour un critère de sécurité donné (disponibilité, confidentialité, intégrité…). Moyen type utilisé par une source de menace.
Exemples : les données médicales d’un patient ont un besoin de niveau de confidentialité Exemples : écoute passive d’un canal informatique ou de
élevé. téléphonie ; modification d’un logiciel.
Impact Vulnérabilité
Caractéristique d'un bien support qui peut constituer une
Conséquence directe ou indirecte de l'insatisfaction des besoins de sécurité sur l'organisme faiblesse ou une faille au regard de la sécurité des systèmes
et/ou sur son environnement. Exemple : la divulgation externe de données patient peut d'information.
nuire gravement à l’image de l’établissement.
Scénario de menace
Evénement redouté Scénario, avec un niveau donné, décrivant des modes
Scénario générique présentant une situation crainte par un organisme. Il combine un bien opératoires. Il combine, un bien support, un critère de
essentiel et un critère de sécurité, assorti d’impact(s) potentiel(s), du besoin de sécurité et sécurité, des sources de menaces susceptibles d’en être à
de source(s) de menace(s). l’origine, assorti des menaces et des vulnérabilités
Exemple Données médecine du travail: Modiﬁca on non désirée des données : le statut exploitables pour qu’elles se réalisent.
d’ap tude des employés pourrait être faussé avec toutes les conséquences possibles sur leur Exemple : vol de supports ou de documents du fait de la
facilité de pénétrer dans les locaux.
carrière et leur intégrité́ physique (licenciement, mauvais suivi des risques de santé, voire
invalidité́ ou décès...)
Gravité Vraisemblance
Estimation de la hauteur des effets d’un événement redouté ou d’un risque. Elle représente Estimation de la possibilité qu’un scénario de menace ou un risque se
les conséquences. produise. Elle représente la force d’occurrence.
Exemple : Négligeable : l’organisme surmontera les impacts sans difficultés. Exemple : Minime : cela ne devrait pas se (re)produire.
Limitée : l’organisme surmontera les impacts malgré quelques difficultés. Significative : cela devrait se (re)produire un jour ou l’autre.
Importante : l’organisme surmontera les impacts avec de sérieuses difficultés. Forte : cela pourrait se reproduire.
109 Critique : l’organisme ne surmontera pas les impacts, sa survie est menacée. Maximale : cela va certainement se reproduire.
MODULE N°4 : POLITIQUES DE SÉCURITÉ
DÉFINITION D’UNE POLITIQUE CADRE ET DES POLITIQUES CIBLÉES DE
SÉCURITÉ
EXEMPLES DE POLITIQUES DE SÉCURITÉ
NORMES DE SÉCURITÉ
NORMES 27001, 27002

POLITIQUE DE SÉCURITÉ
Politique de sécurité
Définition formelle de la position d'une entreprise en matière de sécurité.
« Ensemble des règles formelles auxquelles doivent se conformer les personnes

autorisées à accéder à l’information et aux ressources d’une organisation »
(RFC 2196)
Finalité d’une politique de sécurité ?

« Réduire les risques »
« Qu'est-ce qui est autorisé ? Qu'est-ce qui ne l'est pas ? »
« Définir les règles du jeu »
« Communiquer , faire accepter et faire respecter les règles du jeu »

Composantes d’une politique de sécurité

Ensemble des principes juridiques, humains, organisationnels et techniques qu’il
est recommandé de mettre en œuvre pour créer, gérer, protéger le système
d’information
Réussite de mise en œuvre d’une politique de sécurité

Implication forte de la direction
En accord avec les directions fonctionnelles et les équipes techniques
Analyse des risques pleinement étudiée

POLITIQUE DE SÉCURITÉ – CLUSIF 2014

Les politiques de sécurité sont de trois types :

– Communication
– Informatique
– Organisation
CLUSIF 2014

Les politiques de communication prennent les formes suivantes :

– Sensibilisation (ex : guide de l’utilisateur, Page Intranet)
– Responsabilisation (ex : élaboration de charte de sécurité)
– Formations ciblées par métier
CLUSIF 2014

Les politiques touchant aux infrastructures informatiques s'articulent

autour des thèmes suivants :
– Systèmes et réseaux sécurisés : organisation de la sécurité

opérationnelle, architectures de sécurité, études de solutions
techniques, mise en œuvre (intégration, administration, exploitation,
supervision)
– Intégration de la sécurité dans la conduite de projets : définition
méthode, actions menées sur tout le cycle conception – développement
- intégration, clauses contractuelles avec les fournisseurs

POLITIQUE DE SÉCURITÉ – CLUSIF 2014

Les politiques touchant à l'organisation de la sécurité portent sur les

aspects suivants :
– Structures, organigramme, comités de sécurité

– Responsabilités, fonctions, fiches de mission
– Management du changement
– Plan de continuité d'activités, Plan de secours, Gestion de crise

EXEMPLES DE POLITIQUES DE SÉCURITÉ CIBLÉES
Politique d’authentification (gestion des comptes)

Politique d’autorisation (gestion des habilitations)
Politique de gestion de la continuité des services informatique
Politique d’exploitation des applications et de gestion du réseau
Politique d’acquisition, développement et maintenance des applications
Politique d’intervention par des tiers externes pour le personnel informatique
Politique de sécurité des ressources humaines
Politique de respect de la réglementation interne et externe

EXEMPLE : POLITIQUE DE SÉCURITÉ GÉNÉRALE

NORMES DE SÉCURITÉ

NORMES ET CERTIFICATIONS DE SÉCURITÉ
Pourquoi s’inspirer des normes ou des recueils de meilleures pratiques

en matière de sécurité ?
Avoir une approche structurée face à la complexité de la tâche

s’assurer d’une certaine exhaustivité, cohérence et homogénéité dans sa démarche,
Avoir des éléments communs (vocabulaire, concepts, …) avec tous les intervenants
dans le projet : décideurs, utilisateurs, personnels de l’informatique, sous-traitants,
fournisseurs, partenaires, etc.
Bénéficier de l’expérience des meilleures pratiques (succès et erreurs du

passé)
Se comparer aux meilleures pratiques du moment

Référentiel de comparaison par rapport aux autres entreprises

POLITIQUE DE SÉCURITÉ ET NORMES – CLUSIF 2014

Normes ISO 27001 et ISO 27002
• ISO-27001 : SMSI
– Cycle de gestion de la SI dit « PDCA » PLAN-DO,CHECK-ACT de la roue de Deming
– Référentiel pouvant être utilisé pour auditer et certifier le système de management de
la sécurité
• ISO-27002 : « Code de pratiques pour la gestion de la sécurité de

l'information »
– propose des recommandations pour assurer la sécurité de l'information, sous la forme
d'objectifs de contrôles ou de mesures de sécurité
– 114 mesures de sécurité réparties en 14 chapitres

NORMES ISO 27001 ET ISO 27002
« ISO-27001 explique comment appliquer ISO-27002 »

NORME ISO 27002
d. Code de bonnes pratiques pour le management de la sécurité de l’information (27002)
Organisationnel
Politique de sécurité de
l’information
La norme ISO/IEC 27002:2013
Organisation de la sécurité de
constitue un code de bonnes l’information
pratiques. Elle est composée de
114 mesures de sécurité réparties
en 14 chapitres couvrant les
Sécurité liée aux
domaines organisationnels et Gestion des actifs
ressources humaines
techniques ci-contre.
Conformité
C’est en adressant l’ensemble de Gestion de la continuité de
l’activité
ces domaines que l’on peut avoir Relations avec les
une approche globale de la fournisseurs
sécurité des S.I. Contrôle d'accès
Acquisition, dévpt. et maint.
des SI
Gestion de incidents liés à la
sécurité de l’information Sécurité des
communications
Cryptographie Sécurité
opérationnelle
Sécurité physique et environnementale

Opérationnel

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Définition 3 types de
d’une politique de
politique de sécurité -
sécurité exemples
Normes
Normes de 27001,
sécurité 27002

MODULE N°6 : PLAN D’ACTION ET
CONTRÔLES
PLAN D’ACTION SÉCURITÉ ET BUDGET

AUDIT DE SÉCURITÉ FONCTIONNEL
AUDIT DE SÉCURITÉ TECHNIQUE
TABLEAU DE BORD SÉCURITÉ

Un plan d’actions peut découler :

d’une analyse de risques
d’un audit de sécurité organisationnel ou technique
Les objectifs de sécurité se déclinent en plan d’actions et projets :

Plan de continuité, protection des réseaux informatiques
SSO (Single Sign On), VPN (Virtual Private Network), Messagerie
sécurisée …

Politique de sécurité, procédure de secours, Politique,

sensibilisation… procédures
Sécurité
Gardiens, verrous, contrôle d’accès… physique
DMZ
Pare-feu, VPN, Zone démilitarisée…
Réseau
Interne
Sous-réseau, NIDS, VLAN…
Machin
Antivirus, Correctifs de sécurité, HIDS, Authentification e
Applicat
Contrôle des entrées, test d’intrusion, ion
communication (https, ssh…), traçabilité…
Donn
Chiffrement, mots de passe, droit d’accès par fichier/répertoire ée
EXEMPLES DE MESURES
Mesures techniques
Solution de secours informatique
Cloisonnement des réseaux et sécurisation de la télémaintenance
Développement sécurisé d’application
Contrôle d’accès logique des utilisateurs et des administrateurs systèmes
Intégration de produits de sécurité
Mesures organisationnelles
Intégration de la cyber sécurité dans le cycle de vie des projets industriels
Spécification, Conception, développement, recette
Plan de maintenance et opérations associées
Sécurité physique et contrôle des accès aux locaux
Plan de continuité (mode dégradé de fonctionnement)

BUDGET SÉCURITÉ – SOURCE CLUSIF - 2014
RSSI :
Responsable
Sécurité

BUDGET SÉCURITÉ – SOURCE CLUSIF 2014

AUDIT DE SÉCURITÉ
Un audit de sécurité permet d’évaluer le niveau de sécurité d’une

entité à un moment donné.
L’audit de sécurité positionne rapidement le niveau de sécurité de

votre entreprise et identifie les chantiers prioritaires de sécurité du
système d'information à mettre en œuvre.
L’audit de sécurité se base sur des référentiels de sécurité telles

que les normes ISO-27001 et ISO-27002.

AUDIT DE SÉCURITÉ
Audit organisationnel et technique pour garantir la cohérence

Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE,
SERVICE JURIDIQUE…) et techniques du SI
Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques)
Audit du référentiel technique (existence de systèmes de sécurité, redondance,
sauvegarde, etc…)
Basé sur une approche normative ISO 27002 – ISO 27001
Avantage - Positionnement rapide du niveau de sécurité par rapport à un
référentiel

DIFFÉRENTS TYPES D’AUDIT TECHNIQUES

AUDIT TECHNIQUE : TESTS INTRUSIFS
Objectifs des tests d’intrusions

Stigmatiser les aspects techniques
Matérialiser les vulnérabilités identifiées lors de l’audit.
Référentiels : OWASP, OSSTMM
Accord entre un prestataire et une société sur :

Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications
concernées
Une période de temps : durée de l’autorisation des tests d’intrusion.
Une limite de tests : pas de perturbation de la production ni de corruption de données.
Focus sur les aspects juridiques

Objet du contrat d’audit : entre obligations et responsabilités
La licéité de l’exécution de la prestation d’audit
Les risques inhérents à l’audit
La confidentialité

Indicateurs stratégiques : Exposition aux risques (identifiés lors de l’analyse de
risque),
Pour le niveau stratégique, la mise en place d'un tableau de bord SSI permet :
de suivre l'application de la politique de sécurité,
d'établir des comparaisons avec d'autres organismes,
de préparer les choix de mise en place des ressources (définition de priorités, réévaluation de la menace et du
risque).
Indicateurs de pilotage : Respect de la politique de sécurité et de la charte

utilisateur,
Pour le niveau de pilotage, la mise en place d'un tableau de bord SSI permet :
de contrôler la réalisation des objectifs par le niveau opérationnel,
d'améliorer la qualité de service.
Indicateurs opérationnels : Mesure du niveau « réel » de sécurité.

Pour le niveau opérationnel, la mise en place d'un tableau de bord SSI permet :
de préciser les besoins opérationnels à mettre en œuvre,
de mesurer la production et les efforts entrepris pour atteindre les objectifs visés en matière de production,
de motiver et dynamiser les équipes.






PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Plan d’action
Budget
sécurité
Audits de Tests intrusifs

sécurité
Tableau de bord
Sécurité

POUR ALLER PLUS LOIN
Livres
Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti
(Auteur) édition DUNOD
Management de la sécurité de l'information. Implémentation ISO 27001 Broché
– 1 mars 2012 d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)
La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions
Brochées – 9 février 2011 de Bernard Foray (Auteur)
La sécurité du système d'information des établissements de santé Broché – 31
mai 2012 de Cédric Cartau (Auteur)
Magazine
http://boutique.ed-diamond.com/ (revue MISC)
Web
www.ssi.gouv.fr – Sécurité des systèmes industriels
Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr
www.clusif.fr
147 PRONETIS©2016
PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN DU VOLET
MERCI POUR VOTRE

ATTENTION

Pronetis Managementdelasecuritedessi Volet 1 161108111540

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Pronetis Managementdelasecuritedessi Volet 1 161108111540

Titre original :

Transféré par

Droits d'auteur :

VOLET 1

1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Philippe PRESTIGIACOMO - Dirigeant de PRONETIS

2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Module N°1 : Rappels Module N°2 : Management de la sécurité

3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Sécurité informatique et réseaux - 4eme édition Ghernaouti

4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

QUELQUES CHIFFRES – STATISTIQUES CLUSIF

5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Attaque sur différents gazoducs aux états unis en

En 2012, Cyber attaque de la centrale nucléaire

En 2013, cyber attaque d’un réseau ferroviaire

7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Les systèmes d’automatisme ou systèmes de contrôle industriel

Les systèmes industriels contrôlent les infrastructures

Disponibilité : « temps réel », contraintes de sûreté de fonctionnement (SdF) ,

La sécurisation des systèmes industriels passent par la

Combinaison du monde industriel

10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Vulnérabilités intrinsèques aux systèmes industriels

Personnel non sensibilité

Virus – envoi aléatoire de requêtes Modbus

13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Industrie Transports Energie Défense

site personne matériel réseau logiciel organisation

Le S.I. doit permettre et faciliter la mission de l’organisation

16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

infogérance Général : EDF Informatique et télécom

17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

La sécurité a pour objectif de réduire les risques pesant sur le système

Impacts sur l’image

18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

• Sécuriser et certifier •Supervision, Veille,

Gestion de la sécurité (non exhaustif)

19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Source : Denis Virole Telindus et Jean-Louis Brunel

20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Source : Jean-Louis Brunel

21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Difficultés d’appliquer les standards de sécurité des

Une approche différente à construire pour les systèmes

La gestion du risque, la maîtrise des techniques de

22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Avez-vous des questions ?

23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

PÉRIMÈTRE DE LA SÉCURITÉ ET LES AXES STRATÉGIQUES

25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Une problématique complexe

Le SMSI (Système de Management de la Sécurité de l’Information) doit être

26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

La sécurité du SI doit être abordée d’une manière globale avec une

Les seules réponses techniques à la problématique sécurité sont insuffisantes si

Les priorités portent désormais davantage sur les

28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Phase PLAN - Fixer des objectifs et des plans d'actions

Phase DO - Mise en œuvre et exploitation des mesures et de

31 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés