bienvenue
Transcription
bienvenue
BIENVENUE Sécurité des actifs informatiques et informationnels Tour d’horizon Atelier 3, 1er octobre 2009 Objectifs Apprendre l’état actuel de la sécurité informatique et des actifs informationnels au Québec. Voir la gestion de la sécurité dans votre organisation sous un jour nouveau. Comprendre les jalons requis pour l'améliorer. 2 Octobre 2009 SOGIQUE Société de gestion informatique 3 Constituée en 1986, à l’origine, pour répondre à un besoin de connaissance des avancées technologiques applicables au réseau de la santé et des services sociaux Dans sa forme actuelle depuis 1996 MISSION : À titre de bras opérationnel du MSSS dans le domaine des ressources informationnelles, la mission de SOGIQUE est d’assurer le développement et la mise en valeur, à partir des orientations ministérielles, du portefeuille d’actifs informationnels d’intérêt commun qui lui sont confiés En – – – 2009 290 employés permanents 171 occasionnels et consultants à Québec et à Montréal Octobre 2009 Plan de la présentation Paysage de la sécurité en 2009 Vers une gestion de la sécurité de l’information Processus, mécanismes et outils : – Service national de sécurité de l’information (SNSI) – Centre de sécurité opérationnelle (CSO) – Gestion de la continuité – événements majeurs – Arrivée du RITM – RéseauSécurIT – Portail en sécurité de l’information 4 Octobre 2009 Le réseau de la santé et des services sociaux c’est : MSSS 18 agences 18 technocentres régionaux 294 établissements 1 741 installations 10 000 serveurs 270 000 membres 117 000 postes de travail 110 000 boîtes de courriel 5 Octobre 2009 Vecteurs des menaces en 2009 6 Navigation Web (même sur des sites réputés) Polluriels (cartes de vœux, images, PDF, MP3, etc.) Médias amovibles (ex. : clé USB) Failles des systèmes d’exploitation Failles du système DNS Trousse d’attaques professionnelles Hameçonnage Réseaux de robots (Botnets) Marché pour les vulnérabilités de sécurité Sécurité des machines virtuelles Octobre 2009 Quelques statistiques : Aux États-Unis Nombre de brèches d’information dans le secteur de la santé selon le « Identity Theft Resource Center » – 2007 : 64 – 2008 : 97 – 2009 : ? En Californie, une loi oblige la déclaration des accès non autorisés aux données des patients – 823 notifications de janvier à mai 2009 Principaux types d’incidents : – Vol d’ordinateur portable – Site Web mal configuré – Vol interne – Pirates s’introduisant dans le réseau Majoritairement pour le vol d’identité, mais on commence à voir le vol de services de santé en utilisant l’information sur l’identité dérobée 7 Octobre 2009 Risques d’incidents Trois grands réseaux RITM (volet santé) SOGIQUE Technocentre national TCR TCR Infrastructures sécurisées Cliniques privées Internet Télétravail TCR GMF (Jungle) Fournisseurs Centres de recherche 8 RISQ Universités Octobre 2009 Gestion du risque Il n’y a pas de sécurité à 100 % : - Gérer le risque est le mieux que l’on puisse faire (processus, humain, etc.) - Aucune technologie n’est exempte de risques - De plus en plus, la sécurité de l’information devient une obligation légale (par exemple : Loi sur la protection des renseignements personnels et les documents électroniques, LSSSS, etc.) 9 Octobre 2009 Besoins d’affaires et sécurité Arrivée des PACS => audit des salles de serveurs Migration MPLS en 2007 => Attestations de conformité aux exigences du CGR en vue de la migration au MPLS Enveloppe de maintien des actifs informationnels Favoriser la sécurité et l’accessibilité au réseau La migration au RITM VS Les 15 mesures prioritaires 10 Octobre 2009 Vers la gestion de la sécurité de l’information QUOI COSO Cobit Gouvernance des TI ISO 27002 Sécurité Gouvernance d’entreprises CMMI PMBOK Prince2 ITIL Processus Service ISO9000 ISO 27001 COMMENT Source: ISACA, AFAI &H. Ceuleman 2004 11 Octobre 2009 ISO 27002 – Guide des bonnes pratiques Politique globale 5. Politique sécurité Normes / Directives 6. Organisation de la sécurité 7. Catégorisation 11. Contrôle des accès 15. Conformité Procédures Standards Bonnes pratiques 12 8. Sécurité des ressources humaines 9. Sécurité physique 10. Gestion des communications et des opérations 12. Développement, acquisition et maintenance de systèmes 14. Continuité des affaires 13. Gestion des incidents Octobre 2009 PDCA – « Plan, Do, Check, Act » Planifier Mettre en œuvre Mettre en oeuvre et exploiter le SGSI Soutenir et améliorer le SGSI Surveillance et revue du SGSI Améliorer Exigences reliées à la sécurité de l’information Parties intéressées Établir le SGSI Parties intéressées Gestion de la sécurité de l’information Vérifier 13 Octobre 2009 Planifier Sensibiliser la direction avec la législation Définir la politique de la sécurité de l’information Définir la portée, les cibles de l’organisation pour le programme Identifier et catégoriser les actifs Identifier les menaces et vulnérabilités des actifs Évaluer les impacts d’exploitation de chaque vulnérabilité Identifier l’approche à utiliser pour l’analyse de risque Appliquer l’analyse de risque Définir une méthode pour traiter les risques et déterminer le niveau de risque acceptable Identifier les mécanismes de contrôle actuellement disponibles Proposer des mécanismes de contrôle additionnels Prendre action face à tous les risques (accepter, transférer, diminuer ou éviter) 14 Octobre 2009 Mettre en oeuvre Écrire les politiques spécifiques en fonction des actions (standards, procédures, lignes de base et recommandations) Définir les rôles et responsabilités Implanter les mécanismes de contrôle Définir un programme de formation et de sensibilisation Gérer les opérations Gérer les ressources Formuler et implémenter le plan de traitement du risque Prendre action pour les transferts de risques Prendre action pour éviter un risque 15 Octobre 2009 Surveiller Gérer les incidents (détecter, prévenir et répondre) Maintenir la consistance de la documentation et assurer, en cas de modification, qu’il n’y a pas détérioration de la sécurité Revoir/refaire la phase « PLAN » en fonction de l’évolution et des changements Valider par la réalisation d’un test d’intrusion interne et externe Assurer une veille technologique 16 Octobre 2009 Améliorer Implémenter les améliorations identifiées Prendre les actions correctives et préventives appropriées Communiquer les résultats et les actions S’assurer que les améliorations atteignent les objectifs visés 17 Octobre 2009 Mission du Service national de sécurité de l’information (SNSI) Le Service national de sécurité de l’information (SNSI) a pour mission de supporter les agences régionales de santé et de services sociaux et les établissements de leurs régions respectives dans la mise en oeuvre d’un cadre de gestion national de la sécurité de l’information Principes directeurs : – Inscrire le SNSI dans la structure actuelle de gestion de l’informatisation du secteur sociosanitaire – S’aligner sur les normes et les meilleures pratiques existantes – Agir en complémentarité avec l’entreprise privée – Favoriser le réseautage (ISIQ, CERTAQ, CCRIC, MSG, les RSIN, ASIQ, ASIMM, FIQ) – Tabler sur l’existant – Adapter l’offre aux exigences propres au secteur sociosanitaire 18 Octobre 2009 Les services du SNSI 19 Services d’animation et de coordination – Table des coordonnateurs régionaux de la sécurité des actifs informationnels (TCRSAI) – Aux efforts en sécurité dans le RSSS – Diffusion de la stratégie en sécurité de l’information Services communs – Centre d’expertise en sécurité Évaluation de solutions reliées à la gestion de la sécurité Formation technique des intervenants spécialisés Élaboration et évolution des normes et des standards Veille en sécurité de l’information – Traitement des demandes d’exception aux normes et standards en vigueur dans le réseau Services d’accompagnement ou à la demande – Enquête sur une situation problématique – Audit de sécurité (ex. : salle des serveurs) – Avis légaux Octobre 2009 Mission du Centre de sécurité opérationnelle (CSO) Assurer la prévention des risques et l’assistance au traitement d'incidents de sécurité Regrouper les activités traditionnelles de sécurité : – d’un « Security Operational Center - SOC » pour la gestion opérationnelle de la sécurité – d’un « Center for Emergency Response Team - CERT » pour la réaction aux incidents de sécurité Couvrir les actifs informationnels corporatifs et nationaux Travailler en collaboration avec des partenaires chevronnés : – CERTAQ (Entité de sécurité du CSPQ dédiée aux M/O) – Forces policières – CCRIC (Centre canadien de réponse aux incidents cybernétiques) 20 Octobre 2009 Le CSO : Volet gestion des incidents Incidents (par grande famille) – Disponibilité (ex. : déni de service) – Destruction ou modification non autorisée (c.-à-d. intégrité) – Bris de confidentialité – Codes malicieux – Atteinte à la sécurité physique – Fonctionnement inadéquat ou constat de situations à risque – Usage inapproprié (ex. : contravention à la politique de sécurité) – Infraction au Code criminel ou pénal (ex. : vol, vandalisme, etc.) − Enquête et sécurisation de la preuve – Infraction au Code civil (ex. : espionnage, dommages et intérêts) Ces processus et procédures sont documentés pour les niveaux SOGIQUE, les Agences et les établissements 21 Octobre 2009 Le CSO : Volet surveillance Surveillance 24/7 et contrôle au niveau du périmètre (la couche de service), de l’intranet et des extranets Détection des intrusions avec des sondes réseaux Surveillance des journaux Gestion 3e niveau des passerelles du filtrage Web et des antipolluriels du RTSS Surveillance de la console d’antivirus nationale La vigie des vulnérabilités reliées aux technologies utilisées dans le réseau; émission des avis et des alertes de sécurité pertinents auprès des responsables dans les établissements et organismes Gestion et surveillance de la console de corrélation des évènements 22 Octobre 2009 Gestion de la continuité lors d’événements majeurs Lors d’incidents majeurs, un comité de gestion de crise est mis en place afin de faciliter le suivi des escalades hiérarchiques appropriées Le processus ISO 9001 de SOGIQUE sur la gestion de la continuité – événements majeurs est suivi pour coordonner la situation : – Valider ou préciser la conformité de l’information sur la situation – Prendre en charge et coordonner la situation – Déclencher les mesures, s’il y a lieu, selon ce qui est prescrit ou ce qui est le plus apparenté à la situation en termes de procédure – Assigner l’événement aux responsables des équipes des services concernés par la situation – Documenter tout au long de l’événement 23 Octobre 2009 24 Octobre 2009 Arrivée du RITM Nouvelles mesures de sécurité positionnées dans la couche d’interfonctionnement qui viendront aider à prévenir divers incidents reliés à la sécurité de l’information – – – – Analyse du comportement réseau/sécurité Détection d’intrusions Gestion, analyse et corrélation des journaux de sécurité Une équipe de sécurité du fournisseur dédiée au RITM avec un centre opérationnel de sécurité 24/7 Rehaussement des processus ITIL de SOGIQUE pour intégrer le cadre de gestion du RITM qui est basé sur ISO 20000 (ensemble de 18 processus) 25 Octobre 2009 RéseauSécurIT Regroupement privilégié des premiers responsables de la sécurité de l'information des grandes entreprises du Québec – Nombre des membres est limité à 25 – 3 rencontres par année sur des thématiques Créé par le Réseau ACTION TI en juin 2004, en collaboration avec l'ASIMM, le RéseauSécurIT Objectif de créer un forum d'échanges, de réflexions et de concertations afin de mettre en commun les meilleures pratiques et l'expertise de chacun dans le domaine de la sécurité de l'information Échange d’information constant entre les chefs de la sécurité – – – – – – – 26 Sécurité des courriels Sécurité sur les machines virtuelles Gestion des incidents (confidentialité de l’information) Système d’incendie pour les salles de serveurs Filtrage Web et antipourriels Authentification des accès externes Catégorisation de l’information Octobre 2009 Portail en sécurité de l’information Un outil accessible et dynamique pour le bénéfice de tout le réseau! Visiteurs différents par mois : 206 Pages par mois : 5026 https://securite.rtss.qc.ca La communauté de pratique permet de : – Regrouper l’ensemble de l’information en matière de sécurité de l’information – Favoriser les échanges entre les intervenants – Favoriser l’accessibilité des documents à l’intérieur du domaine de confiance du RTSS 27 On retrouve dans le portail : – Plus de 350 documents et liens concernant la sécurité de l’information – L’actualité et les nouveautés dans le domaine – Les activités, événements et formations – Un forum de discussion afin de répondre à toutes vos questions Octobre 2009 Prix et distinction OCTAS 2009 – Portail de la communauté de pratique en sécurité de l’information : Où le savoir se partage et se discute Catégorie : Apprentissage en ligne des connaissances 1 à 300 employés 28 Octobre 2009 L’objectif ultime : La prise de maturité en sécurité de l’information Source : Cobit 29 Octobre 2009 Questions et commentaires