Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 1 : mise en pratique de la fonction de conseiller en sécurité de l’information
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
Analyse de risque – Les différentes étapes Nous partons de la norme ISO 27005 pour l’exemple et la compréhension des principales étapes d’une gestion des risques. Il existe plusieurs méthodes non-citées lors du Workshop qui sont plus ou moins alignées sur la norme, EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, méthode officielle française) est la plus proche. Le processus de gestion des risques se décompose en cinq grandes étapes. Nous les avons volontairement regroupées en trois étapes pour une meilleure compréhension afin de ne pas prendre tout le temps du Workshop sur l’analyse de risque.
Etude du Contexte Elle identifie les besoins en sécurité, les processus-métier (avec les informations et ressources nécessaires). On définit également la limite entre le risque acceptable et le risque inacceptable.
Etude des risques
Les menaces qui pèsent sur ces besoins, la vulnérabilité (facilité pour la menace de porter atteinte) et l’impact (type et sévérité de l’atteinte) forment le risque. Il doit être estimé sur une base concrète et évaluée par rapport aux besoins en sécurité et à la classification des informations. On obtient une liste hiérarchisée des risques.
Traitement des risques
Les Exigences de sécurité décrivent quels éléments du risque inacceptable on veut voir réduire pour éliminer ; les Objectifs de sécurité sont les actes concrets – mis dans le plan de sécurité et les politiques – qui nous permettront de répondre aux exigences.
Il faut agir par étapes, du plus critique au moins important, que l’on parle des objectifs de l’organisation, des processus, des informations, des risques et des solutions pour les contrer. Ce qui aura été mis en place dans la première ‘étape’ est déjà applicable pour les étapes suivantes. On aura de moins en moins de travail.
Politique de Sécurité Les politiques de sécurité doivent être approuvées par la Direction et publiées vers tous les collaborateurs et partie prenantes (ainsi que les tiers, sous-contractants).
Elles sont plus faciles à développer une fois le plan de sécurité – le socle, la ‘constitution’ – validé par la direction car elles transcrivent les règles de conduite à suivre pour mener à bien la politique de la Direction. La politique de sécurité – les lois – est la cible à atteindre par le CSI.
Exemple : centraliser les informations sensibles et limiter les copies ; détruire les informations sensibles dont on n’a plus besoin… en rapport avec leur niveau de sensibilité ; au départ d’une personne, fermer tous ses comptes sur tous les actifs auxquels il avait accès.
Change Management Dans les entreprises, le changement est perpétuel, et toutes ces modifications engendrent aussi des modifications sur les systèmes d’information. Pour que l’effort fourni par le démarrage de l’activité ne soit pas vain, le CSI doit être conscient que les changements doivent être détectés, journalisés, accompagnés. Il doit identifier les moyens d’améliorer les services, les produits et les systèmes ou d’une autre façon, ne pas dégrader la qualité de service déjà acquise par l’introduction d’un changement. Il faut dès lors négocier et se mettre d’accord sur l’introduction d’un changement.
Gestion des incidents
Les incidents de sécurités doivent être définis et identifiés. Ceci permet d’y répondre. La gestion des incidents est souvent liée au Changement, car elle fait partie de l’amélioration continue du Système d’Information. Iil faut pour cela se mettre d’accord sur une définition de l’incident de sécurité de l’information, qui n’est pas un incident informatique.
Cycle de vie de l’information
Le niveau de classification peut évoluer au cours de son existence. Soit la classification devient plus élevée soit elle devient moins élevée, dans les deux cas il faut adapter les contrôles.
N’oublions pas que l’information peut revêtir deux valeurs ; d’une part celle que le Business perçoit ; d’autre part celles que les autres (concurrents, hackers, public,…) perçoivent.
Gestion des contrôles –mesure ce que l’on contrôle
Les contrôles peuvent être de différents types (administratifs, techniques, physiques, etc.) et permettent de réduire le risque à un niveau acceptable ; ils doivent en outre être mesurables afin de les inclure dans l’analyse de risques (prévoir s’ils seront suffisants) et de vérifier s’ils sont effectifs et efficaces. Ceci permet d’alimenter le processus d’amélioration, qui se doit d’être continu.
Classification
Une politique de classification doit être définie. Elle devrait décliner différents niveaux de classification pour les trois critères de sécurité (ex : pour la confidentialité on aurait, classifié – selon la loi de 1998 -, diffusion restreinte (p.ex. pour les données à caractère ‘privé), interne, publique, etc.). Le CSI doit proposer un niveau de classification pragmatique et le faire approuver par la Direction. La classification est nécessaire dans l’analyse des risques et être indiquée sue le support contenant l’information afin d’indiquer comment le protéger.
Plan de sécurité
L’analyse de risque est un pré-requis au plan de sécurité. Le plan de sécurité va définir la stratégie de l’organisation en grandes étapes nécessaires à 3 ans, afin de mener à bien la politique de sécurité de l’organisation approuvée par la Direction.
Conclusions Le CSI doit être proactif et prendre le contrôle en s’affirmant. Il doit, pour se faire, impliquer tout le monde. Il faudrait décider de ne plus se laisser conduire par les évènements, en commençant par ceux qui ont le plus d’effet négatif sur nos objectifs.
Il doit être un rien parano, penser dans le pire des cas et estimer les risques par le biais de l’analyse de risques.
Il doit être réaliste, le risque « zéro » n’existe pas, et on ne peut pas couvrir tous les risques, il faut dès lors prioriser le traitement de ceux-ci de manière pragmatique.
Le niveau de maturité de la sécurité de l’information au sein de l’entreprise ne peut pas dépasser celui de la maturité de l’entreprise dans ses activités métier. Il y a donc des limites pour lesquelles la direction et le CSI doivent être conscients afin de ne pas fixer des objectifs non atteignables (Maturité Sécurité <= Maturité de l’entreprise).
Atelier 2 : les tâches du conseiller en sécurité de l’information
Atelier 3 : les bonnes pratiques (NL)
Atelier 4 : sensibiliser à la loi du 15 AOUT 2012
Analyse de risque – Les différentes étapes Nous partons de la norme ISO 27005 pour l’exemple et la compréhension des principales étapes d’une gestion des risques. Il existe plusieurs méthodes non-citées lors du Workshop qui sont plus ou moins alignées sur la norme, EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, méthode officielle française) est la plus proche. Le processus de gestion des risques se décompose en cinq grandes étapes. Nous les avons volontairement regroupées en trois étapes pour une meilleure compréhension afin de ne pas prendre tout le temps du Workshop sur l’analyse de risque.
Etude du Contexte Elle identifie les besoins en sécurité, les processus-métier (avec les informations et ressources nécessaires). On définit également la limite entre le risque acceptable et le risque inacceptable.
Etude des risques
Les menaces qui pèsent sur ces besoins, la vulnérabilité (facilité pour la menace de porter atteinte) et l’impact (type et sévérité de l’atteinte) forment le risque. Il doit être estimé sur une base concrète et évaluée par rapport aux besoins en sécurité et à la classification des informations. On obtient une liste hiérarchisée des risques.
Traitement des risques
Les Exigences de sécurité décrivent quels éléments du risque inacceptable on veut voir réduire pour éliminer ; les Objectifs de sécurité sont les actes concrets – mis dans le plan de sécurité et les politiques – qui nous permettront de répondre aux exigences.
Il faut agir par étapes, du plus critique au moins important, que l’on parle des objectifs de l’organisation, des processus, des informations, des risques et des solutions pour les contrer. Ce qui aura été mis en place dans la première ‘étape’ est déjà applicable pour les étapes suivantes. On aura de moins en moins de travail.
Politique de Sécurité Les politiques de sécurité doivent être approuvées par la Direction et publiées vers tous les collaborateurs et partie prenantes (ainsi que les tiers, sous-contractants).
Elles sont plus faciles à développer une fois le plan de sécurité – le socle, la ‘constitution’ – validé par la direction car elles transcrivent les règles de conduite à suivre pour mener à bien la politique de la Direction. La politique de sécurité – les lois – est la cible à atteindre par le CSI.
Exemple : centraliser les informations sensibles et limiter les copies ; détruire les informations sensibles dont on n’a plus besoin… en rapport avec leur niveau de sensibilité ; au départ d’une personne, fermer tous ses comptes sur tous les actifs auxquels il avait accès.
Change Management Dans les entreprises, le changement est perpétuel, et toutes ces modifications engendrent aussi des modifications sur les systèmes d’information. Pour que l’effort fourni par le démarrage de l’activité ne soit pas vain, le CSI doit être conscient que les changements doivent être détectés, journalisés, accompagnés. Il doit identifier les moyens d’améliorer les services, les produits et les systèmes ou d’une autre façon, ne pas dégrader la qualité de service déjà acquise par l’introduction d’un changement. Il faut dès lors négocier et se mettre d’accord sur l’introduction d’un changement.
Gestion des incidents
Les incidents de sécurités doivent être définis et identifiés. Ceci permet d’y répondre. La gestion des incidents est souvent liée au Changement, car elle fait partie de l’amélioration continue du Système d’Information. Iil faut pour cela se mettre d’accord sur une définition de l’incident de sécurité de l’information, qui n’est pas un incident informatique.
Cycle de vie de l’information
Le niveau de classification peut évoluer au cours de son existence. Soit la classification devient plus élevée soit elle devient moins élevée, dans les deux cas il faut adapter les contrôles.
N’oublions pas que l’information peut revêtir deux valeurs ; d’une part celle que le Business perçoit ; d’autre part celles que les autres (concurrents, hackers, public,…) perçoivent.
Gestion des contrôles –mesure ce que l’on contrôle
Les contrôles peuvent être de différents types (administratifs, techniques, physiques, etc.) et permettent de réduire le risque à un niveau acceptable ; ils doivent en outre être mesurables afin de les inclure dans l’analyse de risques (prévoir s’ils seront suffisants) et de vérifier s’ils sont effectifs et efficaces. Ceci permet d’alimenter le processus d’amélioration, qui se doit d’être continu.
Classification
Une politique de classification doit être définie. Elle devrait décliner différents niveaux de classification pour les trois critères de sécurité (ex : pour la confidentialité on aurait, classifié – selon la loi de 1998 -, diffusion restreinte (p.ex. pour les données à caractère ‘privé), interne, publique, etc.). Le CSI doit proposer un niveau de classification pragmatique et le faire approuver par la Direction. La classification est nécessaire dans l’analyse des risques et être indiquée sue le support contenant l’information afin d’indiquer comment le protéger.
Plan de sécurité
L’analyse de risque est un pré-requis au plan de sécurité. Le plan de sécurité va définir la stratégie de l’organisation en grandes étapes nécessaires à 3 ans, afin de mener à bien la politique de sécurité de l’organisation approuvée par la Direction.
Conclusions Le CSI doit être proactif et prendre le contrôle en s’affirmant. Il doit, pour se faire, impliquer tout le monde. Il faudrait décider de ne plus se laisser conduire par les évènements, en commençant par ceux qui ont le plus d’effet négatif sur nos objectifs.
Il doit être un rien parano, penser dans le pire des cas et estimer les risques par le biais de l’analyse de risques.
Il doit être réaliste, le risque « zéro » n’existe pas, et on ne peut pas couvrir tous les risques, il faut dès lors prioriser le traitement de ceux-ci de manière pragmatique.
Le niveau de maturité de la sécurité de l’information au sein de l’entreprise ne peut pas dépasser celui de la maturité de l’entreprise dans ses activités métier. Il y a donc des limites pour lesquelles la direction et le CSI doivent être conscients afin de ne pas fixer des objectifs non atteignables (Maturité Sécurité <= Maturité de l’entreprise).