420-B02-HU Analyse des cybermenaces et des risques

SESSION AUTOMNE 2022

Cadre de contrôles
 Objectifs

Présenter des exemples de Cadres de

contrôles répandus dans l’industrie

Situer le role de la gouvernance par

rapport à des Cadres de contrôles
 Cadre

• Risques de cybersécurité
• Alignement avec la Stratégie • Risques de Sécurité de
d'affaires l'information
• Cadre de conformité • Risques TI

Mission de la
Gestion du
Sécurité
risque
corporative

Programme
Surveillance
de sécurité
et Reddition
corporative

• Politiques, Normes, Processus et Procédures

• Indicateurs clés de performance (KPI)
• Indicateurs clés de risques (KRI)
•Cadre de contrôles (Sécurité
• Reddition de comptes opérationnelle, Sécurité informationnelle),
Architecture de sécurité, Formation &
Sensibilisation
 Cadre de contrôles

Définition
• Un cadre de contrôles peut se définir comme l’ensemble des mesures à mettre en
place pour protéger les actifs informationnels d’une entreprise
Il existe plusieurs cadres de contrôles dans l’industrie sur lesquels une entreprise
peut se baser pour établir son propre cadre de contrôles en fonction des besoins
spécifiques de l’entreprise
Le rôle de la gouvernance se limite généralement à:
• La sélection du cadre de contrôles
• La modulation du cadre de contrôles en fonction du contexte d’affaires, de la
conformité, et des risques spécifiques à l’entreprise
• L’établissement des niveaux de maturité actuels et niveaux de maturité cible
• L’établissement du programme de sécurité pour atteindre les niveaux de maturité cible
• La mesure de l’efficacité des contrôles et du programme de sécurité
• En résumé, pouvoir répondre à la question: fait-on les bonnes choses ?
 Cadre de contrôles

Cadres de Cadre de
contrôles Gouver-
de nance contrôle
référence s de
l’entrepris
e

Inventaire de tous Application du Résulte en un cadre

les contrôles selon contexte d’affaires de contrôles adapté
les normes de pour déterminer les selon lequel la
l’industrie contrôles posture de sécurité de
pertinents pour l’entreprise sera
l’entreprise surveillée
 Cadre de contrôles - Exemples

Référenc
Gouvernance
e
Catalogue
ISO 27002 ISO 27001 Cadre
adapté à
NIST
Niveaux
d’implémentation
l’entrepris
(« tiers ») e

Profil de risque
FFIEC CATool
inhérent
 Notion de Maturité

• Dans un cadre de contrôles, l’état d’un contrôle donnée n’est pas binaire
• Le contrôle peut être totalement absent ou totalement mis en place ou tout
autre état entre les deux
• Plusieurs échelles existent pour mesurer la maturité d’un processus. La plus
connue est sans doute de « Capability Maturity Model Integrated » (CMMI)

Amélioration continue 5 - Optimisé

Performance
Processus mesuré et contrôlé 4 – Maîtrisé

Processus organisé, réactif, maîtrisé 3 – Défini

Processus planifié, répétable 2 – Reproductible

Risque
Processus non répétable, non maîtrisé 1 – Initial
 Normes ISO 2700X Information Security
Management System (ISMS)
Famille des normes ISO/IEC 27000 (les plus répandues)
• ISO 27000: Vue d’ensemble et vocabulaire
• ISO 27001: Spécifications formelles – Système de gestion de la Sécurité de
l’information
• ISO 27002: Code de bonnes pratiques
• ISO 27003: Guide d’implémentation
• ISO 27004: Mesures, analyse et évaluation
• ISO 27005: Gestion de risque
• ISO 27017: Techniques de sécurité – basé sur ISO 27002 pour les services infonuagiques
• ISO 27018: Techniques de sécurité – Code de bonnes pratiques pour la protection des
informations personnelles identifiables (PII) dans les services infonuagiques (Processeurs de
PII)
• ISO 27031: Techniques de sécurité – Lignes directrices pour la continuité des affaires
 ISO 27001 - Annexes (ISO 27002)

Section1 Titre Nombre de

contrôles1

A.5 Information Security Policies (Politiques de sécurité de l’information) 2

A.6 Organization of Information Security (Organisation de la sécurité de 7
l’information)
A.7 Human Resource Security (La sécurité des ressources humaines) 6
A.8 Asset Management (Gestion des actifs) 10
A.9 Access Control (Contrôles d’accès) 14
A.10 Cryptography (Cryptographie) 2
A.11 Physical and Environmental Security (Sécurité physique et 15
environnementale)

1. Peut varier selon les versions – Les sections correspondent à la version 2013
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:fr
 ISO 27001 - Annexes (ISO 27002)

Section1 Titre Nombre

de
contrôles1
A.12 Operations Security (Sécurité liée à l’exploitation) 14
A.13 Communications Security (Sécurité des communications) 7
A.14 System acquisition, development and maintenance (Acquisition, 13
développement et maintenance des systèmes d’information)
A.15 Supplier relationships (Relations avec les fournisseurs) 5
A.16 Information Security Incident Management (Gestion des incidents liés à la sécurité 7
de l’information)
A.17 Information Security aspects of business continuity management (Aspects de la 4
sécurité de
l’information dans la gestion de la continuité de l’activité)
A.18 Compliance with internal requirements, such as policies, and with external 8
requirements, such as
laws (Conformité)
1. Peut varier selon les versions – Les sections correspondent à la version 2013
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-2:v1:fr
 ISO 27001 VS 27002

ISO 27002 donne la liste de tous les contrôles prévus en Annexe A de 27001 avec
plus de détails pour en aider l’implémentation
ISO 27002 ne permet pas de faire la différence entre les contrôles qui sont
applicables à une organisation et ceux qui ne le sont pas
ISO 27001 est une norme de gestion qui spécifie que la sécurité doit être planifiée,
implémentée, surveillée, revue et améliorée
C’est ISO 27001 qui prescrit une analyse de risques pour identifier les contrôles
applicables et la mesure dans laquelle le contrôle doit être appliqué
La certification ISO se fait sur ISO 27001, pas ISO 27002

 On peut donc dire que ISO 27001 vient mettre un cadre de

gouvernance autour du catalogue de contrôles ISO 27002 pour
en extraire un cadre adapté à une entreprise donnée
 FFIEC Cybersecurity Assessment Tool
(CATOOL)
• Outil mis à la disposition des institutions financières américaines pour les aider
à identifier leurs risques et déterminer leur niveau de maturité en pratiques
de sécurité
• L’approche peut être universelle en adaptant les critères évalués

Opportunités de modifier le
Établissement du profil de Mesure de la maturité par
réduire le profil de risque ou
risques domaine
d’augmenter la maturité

• Technologies et connections • Gestion du risque

• Canaux de vente
• Services en ligne, Services
mobiles
• Caractéristiques
organisationnelles
• Menaces externes
• Surveillance des menaces
• Cadre de contrôles
• Gestion des dépendances
externes
• Gestion des incidents
https://www.ffiec.gov/cyberassessmenttool.htm
https://watkinsconsulting.com/our-projects/ffiec-cybersecurity-assessment-tool/
 FFIEC Cybersecurity Assessment Tool
(CATOOL)
Risque vs Maturité Profils de risque inhérent

Moins Minimum Moyen Élevé Maximum

Innovant

Avancé
T2

Intermédiaire
Niveaux de maturité par domaines

En évolution
Déterminer
profil de
De base T1
risque et
maturité des
contrôles

• Processus - Messages clés

Réévaluer Identifier les
– Pour un domaine donné, le niveau de maturité écarts

recommandé laisse une certaine latitude

– Permet une amélioration progressive

Déterminer
Implémenter
le niveau de
les plans
maturité
d’action
désiré
 National Institute of Standards and
Technology (NIST)

NIST-800
Le National Institute of Standards and Technology (NIST) fait partie du département du
commerce des États-Unis (“US Department of Commerce”)
Les documents de la série 800 du NIST est un ensemble de normes qui doivent être suivies
par les organismes fédéraux américains en matière de sécurité informatique.

Ces normes peuvent être suivies par tout autre entité, sur une base volontaire. Elles
constituent de bonnes références pour développer les normes internes d’une organisation
 National Institute of Standards and
Technology (NIST)

NIST-800-53

• NIST 800-53: Security and Privacy Controls for Federal Information

Systems and Organizations
• Décrit un processus pour déterminer les besoins en sécurité et inclut un catalogue de
contrôles de sécurité qui viennent supporter le développement et l’exploitation sécuritaire
des systèmes d’information dans le secteur fédéral américain. Ces contrôles sont les
mesures opérationnelles, techniques et administratives appliquées aux systèmes
d’information pour en maintenir la confidentialité, l’intégrité et la sécurité.
• Utilisée avec la norme 800-37 “Guide for applying the Risk Management Framework
for Federal Information Systems” qui aide à développer un programme de gestion de
risques
 National Institute of Standards and
Technology (NIST)

NIST-800-53 (Rev. 4) – Familles de contrôles

AC – Access Control (Contrôles d’accès) IR – Incident Response (Gestion des PM – Program Management
incidents)
AU – Audit and Accountability MA – Maintenance (Maintenance) RA – Risk Assessment (Évaluation des
(Audit et responsabilité) risques)
AT – Awareness and Training MP – Media Protection (Protection des CA – Security Assessment &
(Sensibilisation medias) Authorization
et Formation) (Accréditations)
CM – Configuration Management PS – Personnel Security SC – System and Communications
(Gestion des configurations) (Sécurité des ressources Protection (Protection des systèmes
humaines) et des communications)

CP – Contingency Planning (Plan de PE – Physical and Environmental SI – System and Information

continuité Protection (Protection physique et Integrity (Intégrité des systèmes
/ contingence) environnementale) et de l’information)
IA – Identification and Authentication PL – Planning (Planification) SA – System and Services Acquisition
(Identification et Authentification) (Acquisition des systèmes et services)

https://nvd.nist.gov/800-53/Rev4/
 National Institute of Standards and
Technology (NIST)

AUTRES EXEMPLES DE NORMES DE LA SÉRIE NIST 800

• NIST 800-52: Guidelines for the Selection, Configuration, and Use of Transport Layer
Security (TLS) Implementations (Normes de configuration du TLS)
• NIST 800-130: A Framework for Designing Cryptographic Key Management Systems
(Gestion des clés de
chiffrement)
• NIST 800-97: Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i (Sécurité
du sans- fil)
• NIST 800-63 series: Digital Identity Guidelines

• https://csrc.nist.gov/publications/search?keywords-sm=800-130&sortBy-sm=relevance&viewMode-
sm=brief&ipp-sm=25&status-sm=Final&topicsMatch-sm=ANY&controlsMatch-sm=ANY
 National Institute of Standards and
Technology (NIST)

Aperçu du cadre
• Liste des contrôles
(« Framework Core
»)
• Équivalent au
Catalogue de
contrôles
• Niveau
d’implémentation («
Framework
Implementation
Tiers)
• Pour prendre en
compte le contexte
d’affaires particulier
• Profil (« Framework
Profile »)
• Équivalent au Cadre
adapté pour
l’entreprise

Extrait de: This publication is available free of charge from: https://doi.org/10.6028/NIST.CSWP.04162018, page 23
 National Institute of Standards and
Technology (NIST)

Exemple d’une fonction

Function Category Subcategory G/S Comment

Asset Management (ID.AM): The data, are inventoried
personnel, devices, systems, and
facilities that enable the organization
to achieve business purposes are
IDENTIFY (ID) identified and managed consistent
with their relative importance to
business objectives and the
organization’s risk strategy.
ID.AM-1: Physical devices and
systems within the organization
ID.AM-3: Organizational
communication and data flows
are mapped
This is a General Control that should apply to the
entire IT Environment. General process should define
how specific systems are added. Initiative (project,
G application or IT Service) must follow general process.
Project activities must include the steps to follow
general process to ensure inventory is up to date at
all times.
Same as above, but in addition, this control is
G+S required to be addressed for each initiative as it is a
pre-requisite to assess risk and position proper
controls
 National Institute of Standards and
Technology (NIST)

AUTRES EXEMPLES DE CADRES DE CONTRÔLES

• Information Security Forum (ISF)

• SANS and Center for Internet Security (CIS) – Critical Security Controls (CSC) for
Effective Cyber Defense
• Souvent citée comme le SANS Top 20
• AICPA Trust Services Principles (TSP) Section 100 (utilise dans les rapports SOC,
couverts dans la Gestion de la sécurité des fournisseurs)
• Cadres spécifiques à une loi ou une réglementation:
• PCI-DSS – Industrie de cartes de paiements
• HIPAA – Information relié à la santé
• NYDFS (Institutions financières – Ville de NY)
Merci de votre attention