Académique Documents
Professionnel Documents
Culture Documents
Stratégie de sécurité
Politique de sécurité
Pilotage de la SSI
Comité de SSI
32
PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source ANSSI
Le pilotage SSI
La gouvernance de la sécurité de l’information
POURQUOI ?
NOTIONS CLÉS
Le RSSI devrait pouvoir aborder la gouvernance, la gestion, comprendre les enjeux IT & métier, et
avoir facilement accès aux comités exécutifs
33
PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source ANSSI
Le pilotage SSI
Comment définir les missions et la feuille de route de la SSI ?
Sécurité opérationnelle
Etudes et normes
Organisation SSI
2 Pour chaque activité SSI, Services de protection du SI
SOC & CERT / CSIRT
METTRE EN PLACE UN PROGRAMME DE SÉCURITÉ afin d'apporter une vision unifiée des
investissements en cybersécurité à votre hiérarchie
34
PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Source ANSSI
UNE GOUVERNANCE ADAPTÉE AUX SI INDUSTRIELS
La sécurisation des SI industriels nécessite la mise en place d’une gouvernance adaptée. Celle-ci à pour objectif
de piloter la création puis la montée en maturité des mesures de sécurité adéquates.
La communication est la clé ! La gouvernance est trop souvent décentralisée et repose sur
les équipes industrielles locales. Un rééquilibrage et une répartition des rôles est
nécessaire entre les équipes locales et centrales.
La maîtrise du niveau de Pour être suivi et piloté, Les tableaux de bord La mise en œuvre de ces
sécurité est essentielle ce niveau de sécurité sécurité doivent tableaux de bord
doit pouvoir être permettre : nécessite de s'appuyer
pour une bonne gestion
mesuré, de manière • De suivre l’évolution du niveau de sur une démarche
du SI complète, régulière et
sécurité en fonction des critères
rigoureuse et
retenus dans la politique de
cohérente sécurité pragmatique
• De remonter les alertes
• Une synthèse rapide des actions en
cours
• De fournir un outil d’aide à la
gestion de la sécurité au quotidien
36
Source ANSSI
4
2 Mobiliser
Piloter la démarche sécurité
Équipe RSSI • Pilotage de l’activité de l’équipe SSI (suivi de l’intégration Sensibiliser
de la sécurité dans les projets, gestion des demandes, etc.)
• Avancement du plan d’actions du RSSI
Communiquer
37
TABLEAU DE BORD SÉCURITÉ
Indicateurs de pilotage :
Compliance of Security Policy (pre-requisite : update security policy – quarterly)
Project Status (% of deployment – monthly )
Application security (Report of pen test, report of security audit – quarterly)
Report of the last DRP test (annually) – Test de restauration des systèmes
Indicateurs opérationnels :
ANTIVIRUS and PATCH MANAGEMENT [ INTEGRITY ]
Firewalls [NETWORK OUTSIDE PROTECTION ] - Proxies [NETWORK OUTSIDE PROTECTION ]
Account Management : Active Directory - Account Management : Remote access VPN
Définition(s)
Générique Pratique
Un « Système de Management » Un « Système de Management » est :
est un système permettant
Un ensemble de mesures
D’établir des objectifs organisationnelles et techniques
D’établir une politique Permettant d’atteindre un objectif
et une fois atteint de s’y tenir voir
D’atteindre ces objectifs
le dépasser
Efficacité Les sources d’informations et les données sont utilisées de manière plus
efficace
… Le SMSI rend votre investissement dans la sécurité de l’information plus
Bonnes Pratiques
efficace
Adoption des bonnes pratiques
Culture du risque
Le SMSI change la culture de votre entreprise
Partenaires
Fournisseurs
Personnel
Actionnaires
… Satisfait les exigences
10 chapitres
1. Domaine d’application,
2. Références normatives,
3. Termes et définitions,
4. Contexte de l’organisme,
5. Responsabilité de la direction,
6. Planification,
7. Support,
8. Activités opérationnelles,
9. Evaluation de la performance
10. Amélioration
Chapitre 5 : Leadership
La direction doit s’engager dans la démarche de mise en place du SMSI, de fournir les
ressources nécessaires pour la réussite de cette opération en prenant en compte
l’implication du personnel dans cette mission.
Chapitre 6: Planification
L’organisme doit fixer ses objectifs en planifiant les activités nécessaires et en
anticipant les risques potentiels, ce qui va lui permettre de mieux saisir les
opportunités.
La partie planification comprend la réalisation des exigences de l’Annexe A,
découlant des lignes directives des articles 5 à 18 de la norme ISO/CEI 27002.
Chapitre 7 : Soutien
Le soutien concerne trois composantes essentielles : les ressources, les informations et
la communication.
Au vu de la diversité des ressources, l’organisme doit les valoriser et améliorer leur
exploitation surtout qu’ils présentent un grand support pour la réalisation des
processus de management de la sécurité de l’information.
L’information aussi est très importante pour la réussite de ce projet. Les données
doivent être fiables et les informations documentées doivent être conservées.
Et finalement, la communication joue un rôle très important dans le management de
la sécurité du SI ; les compétences des collaborateurs doivent être développées afin
de les sensibiliser et de les impliquer dans cette démarche.
Chapitre 8 : Fonctionnement
L’organisme doit prendre en considération les processus internes et externes selon les
critères mis en jeu. Il s’agit de traiter la notion de l’activité en tant qu’ensemble de
processus qui permettent de transformer des données d’entrée en éléments de sortie. Ce
qui permettra de mieux aborder les différentes activités, leurs managements ainsi que
leurs besoins…
Chapitre 10 : L’amélioration
L’amélioration continue est l’une des étapes les plus importantes dans notre système. Le SMSI
doit être mis à jour régulièrement, adapté aux besoins changeants des entreprises et surtout
compatible avec les objectifs des organismes.
L’annexe A
L'annexe A contient les points de contrôles de la norme 27002
Pendant l’embauche :
Fourniture des accès logiques (création de comptes utilisateurs, accès aux répertoires nécessaires…) et
physiques (badges) adaptés à la fonction ;
Sensibilisation aux politiques et procédures internes de l’organisation ;
Sensibilisation régulière à la sécurité adaptée aux fonctions ;
Processus disciplinaire en cas de non respect.
L’ENJEU EST D’AVOIR UN ENSEMBLE DE DOCUMENTS TRAITANT DES NOTIONS SSI NÉCESSAIRES ET SACHANT
LES DÉCLINER AU BON NIVEAU DE LECTURE
67
Source ANSSI
Un lien avec les schémas directeurs SI et SSI Le contexte et les enjeux techniques Des principes de sécurité
68
Source ANSSI
…il est donc important de définir clairement chacune de ces notions, ainsi que
son rôle dans le corpus
Notion Définition Notion Définition
Contexte SI existant de l’organisation, ses axes d’évolution à Mécanismes qui permettent aux chefs de projet et équipes
Accompagnement des
Contexte et enjeux l’extérieur (ex : Cloud…) comme à l’intérieur de l’organisation (ex sécurité de se mettre en conformité vis-à-vis des règles de
projets
techniques : APIsation, développement Agile...), ainsi que les enjeux de sécurité avant sa mise en production
sécurité liés à ces activités
Mécanismes qui permettent aux chefs de projet, exploitants et
Accompagnement des
équipes sécurité de maintenir un périmètre en conditions de
Grandes activités métier existantes de l’organisation, leurs opérations
sécurité après sa mise en production
Contexte et enjeux métier perspectives d’évolution ainsi que les principaux besoins de
sécurité D-I-C-T liés à ces activités
Niveaux de sécurité cibles à atteindre sur les ressources de Adossement à un cadre de Mise en cohérence des dispositifs et organisations mises en
Objectifs SSI référence œuvre avec un référentiel SSI reconnu (ex : NIST, ISO 27001/2)
l’organisation
Impératifs SSI génériques et de haut niveau dont l’application Rapport entre les schémas directeurs SI/SSI et le corpus
Principes de sécurité Lien avec les schémas
permettra d’atteindre les objectifs SSI documentaire SSI, dans un contexte d’intégration des nouvelles
directeurs SI et SSI
technologies dans l’organisation
69
Des règlementations aux politiques de sécurité : le cadre de référence de la sécurité
de l’information
Mise Objectifs
en œuvre Réglementation Exemple : RGS, RGPD
de gouvernance
obligatoire
Déclinaison au sein
des organisations
70
Source ANSSI
Procédures et
Des standards techniques, des guides et des procédures opérationnelles
3 chartes décrivant la manière d’appliquer concrètement les règles de sécurité
Population cible : acteurs SSI, équipes opérationnelles & utilisateurs SI, prestataires
Principes
opérationnels
71
EXEMPLE DE DOCUMENTATION D’UN SMSI
ISO 27001
Chapitre 7.5
Politique,
périmètre
Politique générale de Sécurité
Évaluation des risques,
Niveau 1
Déclaration d’applicabilité
Fiches de travail,
Niveau 3 Décrit comment les tâches et les activités sont effectuées formulaires,
check-lists, etc.
Niveau 4 Fournit les preuves objectives de conformité avec les exigences de l’ISMS
(clause 3.6) Enregistrements
73 PRONETIS©2020
PRONETIS©2022
- Philippe Prestigiacomo
- Philippe Prestigiacomo
- Droits d'utilisation
- Droits d'utilisation
ou de reproduction
ou de reproduction
réservés réservés
INTÉGRER LA SÉCURITÉ DANS VOS PROJETS
La réflexion liée à la sécurité doit être réalisée lors de tout changement sur le SI, et surtout lors de la conduite de
projets SI
75
Source ANSSI
Il existe une perception historique du choix entre les attentes métiers et les besoins de sécurité. La
sécurité doit être au service des métiers, tout en protégeant l’essentiel : il faut donc trouver un
équilibre.
Mesures de sécurité
Attention à ce que la
sécurité ne freine pas les
besoins des métiers
Attentes métiers
/ Intégrer les exigences de sécurité dans les contrats et dans les cahiers des
charges.
Étude de
Conception Conception Travaux / / Intégrer les fournisseurs à cette démarche, afin de garantir leur
faisabilité et
générale détaillée Réalisation acceptation du résultat, étant donnée leur position de force. Il est à noter
d’opportunité
qu’il est aussi souvent difficile d’impliquer les « directions achats » dans
cette démarche…
La méthode ISP est la clé de voûte du processus de sécurisation du produit informatique, car il est toujours plus
facile d’intégrer la cybersécurité dès la conception d’un produit informatique plutôt qu’à posteriori.
78
Source ANSSI
• Valider la méthode et l’outillage sur un nombre restreint de projets • Renseigner l’évaluation de la sensibilité sécurité pour tous les
• Avec un accompagnement fort de l’équipe sécurité projets
• Mise à jour régulière de la méthodologie et de l’outillage • Pour avoir une vision complète du niveau de sécurité des
(analyse de risques, suivi, plan d’actions, échelles, etc.) projets qui démarrent
• Pour sensibiliser d’ores et déjà les acteurs à la démarche
Critères de choix des projets pilotes
• Avoir une sensibilité avérée en termes de sécurité
• Couvrir un panel représentatif de projets
• Répartition entre les différentes MOA de l’entité
• Répartition entre les projets de développement
interne et d’intégration de progiciels
• Se dérouler en un temps réduit (de 3 à 6 mois) permettant
un suivi du projet
79
Focus : Intégrer la Sécurité dans les méthodes agiles Source ANSSI
Livrables sécurité
Daily meeting
5
› Validation du traitement des EUS :
S’assurer que les critères d’acceptation
4
sécurité et de la DoD sont respectés › Développement des US et S-US
6.2
#3 6 Rétrospective
1 2
Priorisation Livraison
Initialisation Conception Itérations › Bilan du sprint et définition du plan
d’un incrément
courtes d’amélioration pour le prochain sprint
1 2 3
PI planning Product Backlog Sprint Planning 6.1
(tous les 3-6 mois)
Démo
› Planification et coordination des › Spécification des User Stories (US), › S-US Priorisation des US en fonction des
chantiers fonctionnels identification des Evil User Stories (EUS) et besoins métier et des fonction de la criticité › GO/NO GO RSSI Sécurité pour les S-US
› Définition des enjeux stratégiques définition des Security User Stories (S-US) › Estimation de l’effort à fournir pour critiques
moyen et long terme intégrant la Security Baseline développer chaque US et S-US
› Identification des impacts sécurité › S’assurer que les critères d’acceptation et › Sélection des US et S-US embarquées en
associés les Definition of Done intègrent spec. / fonction de la capacité à faire (imposer 10%
recette sécurité de S-US dans chaque sprint)
› Adapter l’accompagnement sécurité à la
criticité du produit
Itération de 2 à 4 semaines
Liste des Evil User Stories Liste des Security User Stories
Passeport Sécurité
& Security User Stories en cours de déploiement
80
Source ANSSI
La méthode Agile, une gestion itérative des risques : où et quand identifier les
risques pesant sur le produit
Màj 1 fois par an/2 ans Màj 3/6 mois Màj 2/4 semaines
Socle minimum de sécurité requis Risques macro (EBIOS, conformité, Risques opérationnels (issus des
(PSSI, règles d’hygiène ANSSI) cadre de travail) actions d’évaluation des produits)
81
INTÉGRER LA SÉCURITÉ DANS VOS PROJETS
b. Exemple d’intégration de la sécurité dans le cycle de vie d’un projet
Niveau de risque
Risque 2
Gravité
Risque 3
Seuil de prise
Menaces
en compte du
Probabilité Risque 4 risque
d’occurrence
Risque 5
Bonnes pratiques :
Tout intervenant externe à l’entreprise doit être sensibilisé et formé afin de s’assurer qu’il connaisse et applique les
bonnes pratiques de sécurité.
Source ANSSI
Exigences sur les services et livrables Exigences sur les conditions de réalisation
réalisés lors de la prestation de la prestation
CCTP Plan Assurance Sécurité
Détail des fonctionnalités sécurité Clauses Détail des moyens mis en œuvre par le
attendues dans les produits ou les contractuelles prestataire pour atteindre des
prestations qui seront réalises exigences de sécurité
La sécurisation des prestations doit intervenir au cours des 4 grandes phases avec le prestataire / fournisseur :
86
Source ANSSI
Pendant le contrat
• S’assurer que les prestataires respectent le plan d’assurance sécurité et le plan d'assurance qualité à travers des indicateurs
fournis par le prestataire et ne pas hésiter à appliquer les pénalités en cas de manquement.
• S’assurer de l’application de la clause d'audit, lorsqu'elle existe, pour contrôler la conformité du prestataire aux exigences de
sécurité
A la fin du contrat
• S’assurer du respect des exigences de sécurité à la fin du contrat (destruction des données)
• S’assurer de l’application des clauses de réversibilité en cas de changement de prestataire
87
Source ANSSI
Certification Qualification
• La certification permet d’attester de la conformité et • La qualification permet d’attester de la conformité d’un
robustesse d’un produit, en termes de sécurité et de produit de sécurité au Référentiel Général de Sécurité
résistance aux attaques d’un niveau déterminé.
• L’ANSSI instruit les demandes et délivre les attestations
• Une analyse de conformité et des tests de pénétration de qualification selon 3 niveaux :
sont réalisés par un évaluateur tiers sous l’autorité de • Elémentaire (référentiel CSPN)
l’ANSSI, selon un schéma et un référentiel adaptés aux
besoins de sécurité des utilisateurs et tenant compte des • Standard (référentiel Critères Communs)
évolutions technologiques. • Renforcé (référentiel Critères Communs)
• L’ensemble du processus est géré au sein de l’ANSSI par le • L’ANSSI procède à des contrôles complémentaires :
Centre de Certification National.
• elle valide la cible de sécurité au regard des besoins de
l’administration
• elle réalise et fait réaliser des tests sur la cryptologie
et son implémentation.
Liste des produits certifiés par l’ANSSI : Liste des produits recommandés par l’ANSSI :
https://www.ssi.gouv.fr/entreprise/produits-certifies/ https://www.ssi.gouv.fr/entreprise/produits-certifies/
88
UTILISATION DE WOOCLAP
Système de
Périmètre axes management de la
stratégiques sécurité - PDCA -
27001
Intégrer la Cyber
La gestion des
Sécurité dans les
tiers
projets
SI : Systèmes d’Information