bienvenue

BIENVENUE
Sécurité des actifs informatiques
et informationnels
Tour d’horizon
Atelier 3, 1er octobre 2009
Objectifs
Apprendre l’état actuel de la sécurité
informatique et des actifs informationnels au
Québec.
Voir la gestion de la sécurité dans votre
organisation sous un jour nouveau.
Comprendre les jalons requis pour l'améliorer.
2
Octobre 2009
SOGIQUE Société de gestion informatique
ƒ
ƒ
3
Constituée en 1986, à l’origine, pour répondre à un besoin de
connaissance des avancées technologiques applicables au réseau de la
santé et des services sociaux
Dans sa forme actuelle depuis 1996
ƒ
MISSION : À titre de bras opérationnel du MSSS dans le domaine des
ressources informationnelles, la mission de SOGIQUE est d’assurer le
développement et la mise en valeur, à partir des orientations
ministérielles, du portefeuille d’actifs informationnels d’intérêt commun
qui lui sont confiés
ƒ
En
–
–
–
2009
290 employés permanents
171 occasionnels et consultants
à Québec et à Montréal
Octobre 2009
Plan de la présentation
ƒ Paysage de la sécurité en 2009
ƒ Vers une gestion de la sécurité de l’information
ƒ Processus, mécanismes et outils :
– Service national de sécurité de l’information (SNSI)
– Centre de sécurité opérationnelle (CSO)
– Gestion de la continuité – événements majeurs
– Arrivée du RITM
– RéseauSécurIT
– Portail en sécurité de l’information
4
Octobre 2009
Le réseau de la santé et des services sociaux c’est :
MSSS
18 agences
18 technocentres régionaux
294 établissements
1 741 installations
10 000 serveurs
270 000 membres
117 000 postes de travail
110 000 boîtes de courriel
5
Octobre 2009
Vecteurs des menaces en 2009
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
6
Navigation Web (même sur des sites réputés)
Polluriels (cartes de vœux, images, PDF, MP3, etc.)
Médias amovibles (ex. : clé USB)
Failles des systèmes d’exploitation
Failles du système DNS
Trousse d’attaques professionnelles
Hameçonnage
Réseaux de robots (Botnets)
Marché pour les vulnérabilités de sécurité
Sécurité des machines virtuelles
Octobre 2009
Quelques statistiques : Aux États-Unis
ƒ Nombre de brèches d’information dans le secteur de la santé
selon le « Identity Theft Resource Center »
– 2007 : 64
– 2008 : 97
– 2009 : ?
ƒ En Californie, une loi oblige la déclaration des accès non autorisés
aux données des patients
– 823 notifications de janvier à mai 2009
ƒ Principaux types d’incidents :
– Vol d’ordinateur portable
– Site Web mal configuré
– Vol interne
– Pirates s’introduisant dans le réseau
ƒ Majoritairement pour le vol d’identité, mais on commence à voir
le vol de services de santé en utilisant l’information sur l’identité
dérobée
7
Octobre 2009
Risques d’incidents
Trois grands
réseaux
RITM
(volet santé)
SOGIQUE
Technocentre
national
TCR
TCR
Infrastructures
sécurisées
Cliniques
privées
Internet
Télétravail
TCR
GMF
(Jungle)
Fournisseurs
Centres
de recherche
8
RISQ
Universités
Octobre 2009
Gestion du risque
ƒ Il n’y a pas de sécurité à 100 % :
- Gérer le risque est le mieux que l’on puisse faire
(processus, humain, etc.)
- Aucune technologie n’est exempte de risques
- De plus en plus, la sécurité de l’information devient
une obligation légale (par exemple : Loi sur la
protection des renseignements personnels et les
documents électroniques, LSSSS, etc.)
9
Octobre 2009
Besoins d’affaires et sécurité
ƒ Arrivée des PACS => audit des salles de serveurs
ƒ Migration MPLS en 2007 => Attestations de
conformité aux exigences du CGR en vue de la
migration au MPLS
ƒ Enveloppe de maintien des actifs informationnels
ƒ Favoriser la sécurité et l’accessibilité au réseau
ƒ La migration au RITM
VS
ƒ Les 15 mesures prioritaires
10
Octobre 2009
Vers la gestion de la sécurité de
l’information
QUOI
COSO
Cobit
Gouvernance des TI
ISO 27002
Sécurité
Gouvernance
d’entreprises
CMMI
PMBOK
Prince2
ITIL
Processus
Service
ISO9000
ISO 27001
COMMENT
Source: ISACA, AFAI &H. Ceuleman 2004
11
Octobre 2009
ISO 27002 – Guide des bonnes pratiques
Politique
globale
5. Politique
sécurité
Normes /
Directives
6. Organisation de la
sécurité
7. Catégorisation
11. Contrôle des accès
15. Conformité
Procédures
Standards
Bonnes
pratiques
12
8. Sécurité des
ressources humaines
9. Sécurité physique
10. Gestion des communications et des opérations
12. Développement, acquisition et
maintenance de systèmes
14. Continuité des affaires
13. Gestion des incidents
Octobre 2009
PDCA – « Plan, Do, Check, Act »
Planifier
Mettre en œuvre
Mettre en
oeuvre et
exploiter le
SGSI
Soutenir et
améliorer le
SGSI
Surveillance et revue
du SGSI
Améliorer
Exigences
reliées à la
sécurité de
l’information
Parties
intéressées
Établir le SGSI
Parties
intéressées
Gestion de la
sécurité de
l’information
Vérifier
13
Octobre 2009
Planifier
ƒ Sensibiliser la direction avec la législation
ƒ Définir la politique de la sécurité de l’information
ƒ Définir la portée, les cibles de l’organisation pour le
programme
ƒ Identifier et catégoriser les actifs
ƒ Identifier les menaces et vulnérabilités des actifs
ƒ Évaluer les impacts d’exploitation de chaque
vulnérabilité
ƒ Identifier l’approche à utiliser pour l’analyse de risque
ƒ Appliquer l’analyse de risque
ƒ Définir une méthode pour traiter les risques et
déterminer le niveau de risque acceptable
ƒ Identifier les mécanismes de contrôle actuellement
disponibles
ƒ Proposer des mécanismes de contrôle additionnels
ƒ Prendre action face à tous les risques (accepter,
transférer, diminuer ou éviter)
14
Octobre 2009
Mettre en oeuvre
ƒ Écrire les politiques spécifiques en fonction
des actions (standards, procédures, lignes de
base et recommandations)
ƒ Définir les rôles et responsabilités
ƒ Implanter les mécanismes de contrôle
ƒ Définir un programme de formation et de
sensibilisation
ƒ Gérer les opérations
ƒ Gérer les ressources
ƒ Formuler et implémenter le plan de
traitement du risque
ƒ Prendre action pour les transferts de risques
ƒ Prendre action pour éviter un risque
15
Octobre 2009
Surveiller
ƒ Gérer les incidents (détecter, prévenir et
répondre)
ƒ Maintenir la consistance de la documentation
et assurer, en cas de modification, qu’il n’y a
pas détérioration de la sécurité
ƒ Revoir/refaire la phase « PLAN » en fonction
de l’évolution et des changements
ƒ Valider par la réalisation d’un test d’intrusion
interne et externe
ƒ Assurer une veille technologique
16
Octobre 2009
Améliorer
ƒ Implémenter les améliorations identifiées
ƒ Prendre les actions correctives et préventives
appropriées
ƒ Communiquer les résultats et les actions
ƒ S’assurer que les améliorations atteignent les
objectifs visés
17
Octobre 2009
Mission du Service national de sécurité de l’information (SNSI)
ƒ Le Service national de sécurité de l’information (SNSI) a
pour mission de supporter les agences régionales de
santé et de services sociaux et les établissements de
leurs régions respectives dans la mise en oeuvre d’un
cadre de gestion national de la sécurité de l’information
ƒ Principes directeurs :
– Inscrire le SNSI dans la structure actuelle de gestion de
l’informatisation du secteur sociosanitaire
– S’aligner sur les normes et les meilleures pratiques existantes
– Agir en complémentarité avec l’entreprise privée
– Favoriser le réseautage (ISIQ, CERTAQ, CCRIC, MSG, les RSIN, ASIQ,
ASIMM, FIQ)
– Tabler sur l’existant
– Adapter l’offre aux exigences propres au secteur sociosanitaire
18
Octobre 2009
Les services du SNSI
19
ƒ
Services d’animation et de coordination
– Table des coordonnateurs régionaux de la sécurité des actifs
informationnels (TCRSAI)
– Aux efforts en sécurité dans le RSSS
– Diffusion de la stratégie en sécurité de l’information
ƒ
Services communs
– Centre d’expertise en sécurité
ƒ Évaluation de solutions reliées à la gestion de la sécurité
ƒ Formation technique des intervenants spécialisés
ƒ Élaboration et évolution des normes et des standards
ƒ Veille en sécurité de l’information
– Traitement des demandes d’exception aux normes et standards en
vigueur dans le réseau
ƒ
Services d’accompagnement ou à la demande
– Enquête sur une situation problématique
– Audit de sécurité (ex. : salle des serveurs)
– Avis légaux
Octobre 2009
Mission du Centre de sécurité opérationnelle (CSO)
ƒ Assurer la prévention des risques et l’assistance au
traitement d'incidents de sécurité
ƒ Regrouper les activités traditionnelles de sécurité :
– d’un « Security Operational Center - SOC » pour la gestion
opérationnelle de la sécurité
– d’un « Center for Emergency Response Team - CERT » pour la réaction
aux incidents de sécurité
ƒ Couvrir les actifs informationnels corporatifs et nationaux
ƒ Travailler en collaboration avec des partenaires
chevronnés :
– CERTAQ
(Entité de sécurité du CSPQ dédiée aux M/O)
– Forces policières
– CCRIC
(Centre canadien de réponse aux incidents cybernétiques)
20
Octobre 2009
Le CSO : Volet gestion des incidents
ƒ Incidents (par grande famille)
– Disponibilité (ex. : déni de service)
– Destruction ou modification non autorisée (c.-à-d. intégrité)
– Bris de confidentialité
– Codes malicieux
– Atteinte à la sécurité physique
– Fonctionnement inadéquat ou constat de situations à risque
– Usage inapproprié (ex. : contravention à la politique de sécurité)
– Infraction au Code criminel ou pénal (ex. : vol, vandalisme, etc.)
− Enquête et sécurisation de la preuve
– Infraction au Code civil (ex. : espionnage, dommages et intérêts)
Ces processus et procédures sont documentés pour
les niveaux SOGIQUE, les Agences et les établissements
21
Octobre 2009
Le CSO : Volet surveillance
ƒ Surveillance 24/7 et contrôle au niveau du périmètre
(la couche de service), de l’intranet et des extranets
ƒ Détection des intrusions avec des sondes réseaux
ƒ Surveillance des journaux
ƒ Gestion 3e niveau des passerelles du filtrage Web et des
antipolluriels du RTSS
ƒ Surveillance de la console d’antivirus nationale
ƒ La vigie des vulnérabilités reliées aux technologies utilisées
dans le réseau; émission des avis et des alertes de sécurité
pertinents auprès des responsables dans les établissements
et organismes
ƒ Gestion et surveillance de la console de corrélation des
évènements
22
Octobre 2009
Gestion de la continuité lors d’événements majeurs
ƒ Lors d’incidents majeurs, un comité de gestion de crise
est mis en place afin de faciliter le suivi des escalades
hiérarchiques appropriées
ƒ Le processus ISO 9001 de SOGIQUE sur la gestion de
la continuité – événements majeurs est suivi pour
coordonner la situation :
– Valider ou préciser la conformité de l’information sur la situation
– Prendre en charge et coordonner la situation
– Déclencher les mesures, s’il y a lieu, selon ce qui est prescrit ou ce
qui est le plus apparenté à la situation en termes de procédure
– Assigner l’événement aux responsables des équipes des services
concernés par la situation
– Documenter tout au long de l’événement
23
Octobre 2009
24
Octobre 2009
Arrivée du RITM
ƒ Nouvelles mesures de sécurité positionnées dans la
couche d’interfonctionnement qui viendront aider à
prévenir divers incidents reliés à la sécurité de
l’information
–
–
–
–
Analyse du comportement réseau/sécurité
Détection d’intrusions
Gestion, analyse et corrélation des journaux de sécurité
Une équipe de sécurité du fournisseur dédiée au RITM avec un centre
opérationnel de sécurité 24/7
ƒ Rehaussement des processus ITIL de SOGIQUE pour
intégrer le cadre de gestion du RITM qui est basé sur
ISO 20000 (ensemble de 18 processus)
25
Octobre 2009
RéseauSécurIT
ƒ Regroupement privilégié des premiers responsables de la
sécurité de l'information des grandes entreprises du Québec
– Nombre des membres est limité à 25
– 3 rencontres par année sur des thématiques
ƒ Créé par le Réseau ACTION TI en juin 2004,
en collaboration avec l'ASIMM, le RéseauSécurIT
ƒ Objectif de créer un forum d'échanges, de
réflexions et de concertations afin de mettre
en commun les meilleures pratiques et l'expertise
de chacun dans le domaine de la sécurité de l'information
ƒ Échange d’information constant entre les chefs de la sécurité
–
–
–
–
–
–
–
26
Sécurité des courriels
Sécurité sur les machines virtuelles
Gestion des incidents (confidentialité de l’information)
Système d’incendie pour les salles de serveurs
Filtrage Web et antipourriels
Authentification des accès externes
Catégorisation de l’information
Octobre 2009
Portail en sécurité de l’information
Un outil accessible et dynamique
pour le bénéfice de tout le réseau!
Visiteurs différents par mois : 206
Pages par mois : 5026
https://securite.rtss.qc.ca
ƒ La communauté de
pratique permet de :
– Regrouper l’ensemble de
l’information en matière de
sécurité de l’information
– Favoriser les échanges entre les
intervenants
– Favoriser l’accessibilité des
documents à l’intérieur du
domaine de confiance du RTSS
27
ƒ On retrouve dans le portail :
– Plus de 350 documents et liens
concernant la sécurité de
l’information
– L’actualité et les nouveautés dans le
domaine
– Les activités, événements et
formations
– Un forum de discussion afin de
répondre à toutes vos questions
Octobre 2009
Prix et distinction
ƒ OCTAS 2009
– Portail de la communauté de pratique en sécurité de
l’information : Où le savoir se partage et se discute
ƒ Catégorie : Apprentissage en ligne des connaissances
1 à 300 employés
28
Octobre 2009
L’objectif ultime : La prise de maturité en
sécurité de l’information
Source : Cobit
29
Octobre 2009
Questions et
commentaires