1. Les processus d`intégration de la sécurité dans les projets SI 1.0
Transcription
1. Les processus d`intégration de la sécurité dans les projets SI 1.0
12 mai 2014 QSE : qualité et gouvernance des systèmes d’information Module n°1 : les processus d'intégration de la sécurité dans les projets SI Agenda ► 1. Introduction 2. Une démarche-type d'ISP 12 mai 2014 - Propriété de Solucom, reproduction interdite 2 Introduction Pourquoi la sécurité dans les nouveaux projets ? Tout changement sur le SI induit de nouveaux risques de sécurité de l’information Introduction d’un nouveau composant Modification d’un composant existant Des risques pour l’ensemble du SI Des risques pour le Métier Si les besoins de sécurité du Métier ne sont pas pris en compte Ex: ouverture du SI à l’extérieur, nouvelles vulnérabilités techniques, etc. Ex: divulgation de données sensibles, indisponibilité d’une application, etc. Le Métier doit être partie prenante de la démarche Si le changement induit de nouvelles failles de sécurité sur le SI Le RSSI doit garantir le niveau global de sécurité pour le SI La réflexion liée à la sécurité doit être réalisée lors de tout changement sur le SI, notamment lors de la conduite de projets SI 12 mai 2014 - Propriété de Solucom, reproduction interdite 3 Introduction Application de la démarche d’Intégration de la Sécurité dans les Projets Généralement tous les nouveaux projets SI HORS PERIMETRE PERIMETRE Applicatifs et d’infrastructure Réalisés en interne et externalisés Basé sur un développement spécifique et basé sur un outil de marché Idéalement, les maintenances évolutives importantes Maintenances menées en mode projet Traitement de l’intégration de sécurité sur le périmètre de maintenance Les changements mineurs Maintenances correctives Montées de versions mineures Modification de données en production Le SI existant 12 mai 2014 - Propriété de Solucom, reproduction interdite 4 Introduction Enjeux de la méthodologie ISP 1 Prendre en compte au plus tôt les risques SSI dans les projets SI • Pour prévenir les incidents de sécurité • Pour mettre en place un SI intrinsèquement sécurisé, plutôt que de sécuriser un SI déjà en place 2 Disposer d’un SI offrant un niveau de sécurité en adéquation avec les besoins Métiers et de l’entreprise • En adéquation avec la sensibilité sécurité exprimée par les Métiers et le niveau de risques accepté par le Métier • En adéquation avec les standards de sécurité de l’entreprise 3 Aider les chefs de projets à acquérir les réflexes pour intégrer les aspects de la sécurité de l’information • Sans que la sécurité n’apparaisse seulement comme une contrainte (complexité, délai; coût…) 12 mai 2014 - Propriété de Solucom, reproduction interdite 5 Introduction Comment s’inscrit l’ISP dans une gouvernance sécurité ? 1 Dans la Politique de Sécurité du SI Pour les politiques alignées ISO 27002, souvent une directive dédiée à la sécurité dans les projets informatiques Chapitre 12 : mesures 12.1 : exigences de sécurité applicables aux SI et 12.2 : bon fonctionnement des applications 2 Dans le Plan d’actions sécurité Après avoir mené les principaux chantiers transverses de sécurisation de l’infrastructure… Antivirus, gestion des accès, etc. … le RSSI décide souvent de sécuriser les applications sensibles de manière spécifique 3 Lors d’une certification ISO 27001 L’ISP est un chantier généralement obligatoire lorsque des activités de développement sont dans le périmètre de certification 12 mai 2014 - Propriété de Solucom, reproduction interdite 6 Agenda 1. Introduction ► 2. Une démarche-type d'ISP 12 mai 2014 - Propriété de Solucom, reproduction interdite 7 Une démarche type d’intégration de la sécurité dans les projets Objectif : s’assurer que la sécurité est prise en compte tout au long du projet Livrables Phases Intégration de la Sécurité dans les Projets Phases projet Un pré-requis facilitateur : disposer d’une méthode de gestion de projet d’entreprise Étude préalable Etude opportunité Etude de faisabilité Production Réalisation du Projet Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse sécurité Définition des exigences de sécurité Analyse de risque SSI MOE des exigences de sécurité Recette des exigences de sécurité Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la sécurité en MCO Participation aux Comités Projet Fiche de qualification sécurité Expression des besoins de sécurité Scénarios de risques Spécifications fonctionnelles sécurité Spécifications Cahier de techniques recette sécurité sécurité Dossier d’exploitation Processus Métiers Aspects sécurité intégrés dans les documents existants 12 mai 2014 - Propriété de Solucom, reproduction interdite 8 Phases projet Appréciation de la sensibilité du produit Phases Intégration de la Sécurité dans les Projets Détails de la démarche type d’ISP Étude préalable Etude opportunité Production Réalisation du Projet Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse sécurité Analyse de risque Définition des exigences de sécurité MOE des exigences de sécurité Recette des exigences de sécurité Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la sécurité en MCO Participation aux Comités Projet Objectif Une première étape incontournable : l’identification des projets les plus sensibles en termes de sécurité, afin de prioriser et d’optimiser les efforts Risques IT : utilisation de nouvelles technologies, ouverture sur des réseaux extérieurs, Décision de la fonction sécurité de suivre la méthode ISP en fonction de la sensibilitéexternalisation… Appréciation par les Métiers / les MOA sur la base d’un questionnaire simple lors du démarrage des projets Avec un mode dérogatoire lors de la phase de mise en place de la méthode Dans le cas de projets non sensibles : Pas de suite Exigences métiers : besoin de confidentialité, de dispo… Dans le cas de projets sensibles : La méthode ISP doit être appliquée De manière complète ou simplifiée en fonction de la sensibilité Points d’attention S’assurer d’avoir une vue exhaustive des projets SI lors de leur démarrage Construire le questionnaire de manière à pouvoir faire varier la taille de la « maille » de sélection des projets éligibles à la méthode ISP Afin de pouvoir démarrer par le suivi des projets les plus sensibles en termes de sécurité et généraliser la démarche progressivement 12 mai 2014 - Propriété de Solucom, reproduction interdite 9 Phases projet Analyse de risques SSI du produit Phases Intégration de la Sécurité dans les Projets Détails de la démarche type d’ISP Étude préalable Etude opportunité Production Réalisation du Projet Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse sécurité Analyse de risque Définition des exigences de sécurité MOE des exigences de sécurité Recette des exigences de sécurité Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la sécurité en MCO Participation aux Comités Projet Objectif Une analyse de risques SSI à réaliser seulement pour les projets identifiés comme sensibles Permettant d’identifier et de quantifier les risques portant sur le produit Impliquant à la fois Les Métiers pour analyser les enjeux et les attentes particulières Le Chef de Projet MOA transverse pour s’assurer de la complétude de la réflexion Les responsables MOE et l’exploitation pour identifier les menaces et les vulnérabilités potentielles pesant sur le produit Eventuellement les risk-managers pour valider le niveau de gravité des risques et pour comparer les niveaux de gravité d’un projet à l’autre Un support sécurité pour expliquer et faciliter la démarche d’analyse de risques Les résultats de l’analyse de risques peuvent alimenter l’étude d’opportunité en chiffrant les coûts liés à la sécurité Points d’attention Une méthodologie à définir en cohérence avec les démarches de classification et d’analyse de risques de l’entreprise (notamment pour les échelles de classification) Un effort particulier pour faire accepter les risques résiduels par les Métiers eux-mêmes 12 mai 2014 - Propriété de Solucom, reproduction interdite 10 Détails de la démarche type d’ISP Analyse de risques SSI du produit – un livrable type TRAITEMENT DU RISQUE SSI APPRECIATION DU RISQUE SSI Probabilité Impact retenu Gravité Interception des flux echangés par l'application par un internaute X Pas de chiffrement des flux (http) 1 1 1 x 1 1 1 x 1 1 1 x 2 2 2 x Gestion de Profil non déterminé ou mal déterminé 3 2 3 x Pas de suivi des journaux 2 1 1 Pas de changement régulier des mots de passe Pas de gestion durcie de la politique des mots de passe 2 2 2 Absence de PCIT pour l'application 1 1 1 Pas de test de montée en charge 2 3 3 x incidents récurrents sur l'outil Caméléon 3 3 3 x Actifs impactés Réduire Vulnérabilités Scénarios de risque Refuser Critères impactés Accepter Menaces Transférer Option de traitement Thème 3 – Compromission des informations et des traitements 7. Écoute passive C C interception courrier postaux ou email email non chiffrés, et courrier envoyé en non recommandé 9. Vol de matériels D, C Utilisation de données présentes sur les serveurs Pas de cryptage des données 10. Récupération de supports recyclés ou mis au rebus N/A Les supports recyclés sont systématiquement effacés N/A I Erreur d'utilisation au niveau des flux utilisateurs (exemples : suppression d'utilisateur, saisies d'informations erronées, …) 12. Abus de droit / Divulgation I,C Attribution de droits à des personnes non habilitées (ex. visibilité ou accès en modification sur certaines données "sensibles" : données de rémunération) 12. Abus de droit / Divulgation I,C 13. Usurpation de droit C Connexion avec le profil d'un autre administrateur 16. Panne matérielle / Dysfonctionnement du matériel D,I Panne de l'application suite à souci matériel 17. Saturation du système informatique D,I Sous-dimensionnement de l'application 18. Dysfonctionnement logiciel D,I 8. Vol de supports ou de documents 11. Erreur d'utilisation Interfaces d'utilisation sont compliquées pour la MOA Diffulté d'utilisation des journaux des événements x x x Thème 4 – Défaillances techniques 18.1. Mauvaise conception ou installation des logiciels Ensemble des actifs 12 mai 2014 - Propriété de Solucom, reproduction interdite x 11 Phases projet Définition et mise en œuvre des exigences de sécurité Phases Intégration de la Sécurité dans les Projets Détails de la démarche type d’ISP Étude préalable Etude opportunité Production Réalisation du Projet Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse sécurité Analyse de risque Définition des exigences de sécurité MOE des exigences de sécurité Recette des exigences de sécurité Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la sécurité en MCO Participation aux Comités Projet Objectif Identification des exigences de sécurité à prendre en compte pour chacun des acteurs La MOA pour le cahier des charges ou l’appel d’offres dans le cas du choix d’un outil du marché La MOE pour les spécifications fonctionnelles et techniques, le développement et l’intégration L’exploitation Sur cette base, l’expert sécurité a en charge de valider les aspects sécurité des différents livrables Spécifications fonctionnelles et techniques, dossier d’architecture technique… Dossier d’exploitation, processus d’exploitation Métiers (habilitations, formation des utilisateurs, PCA…) Points d’attention Le choix des mesures de sécurité doit se baser sur un catalogue de spécifications fonctionnelles de sécurité, associées à chaque niveau de risques Les solutions de sécurité implémentées dans un projet peuvent être rationalisées et réutilisées dans d’autres projets (ex: PKI, cloisonnement, etc.) Des projets connexes à mener dans un second temps Définition d’un catalogue standard de solutions de sécurité (en collaboration avec les architectes) Rédaction de guides de développement (J2EE, .net…) Rédaction de guides de sécurisation (OS, IIS, Websphere…) 12 mai 2014 - Propriété de Solucom, reproduction interdite 12 Phases projet Recette sécurité et mise en production Phases Intégration de la Sécurité dans les Projets Détails de la démarche type d’ISP Étude préalable Etude opportunité Production Réalisation du Projet Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse sécurité Analyse de risque Définition des exigences de sécurité MOE des exigences de sécurité Recette des exigences de sécurité Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la sécurité en MCO Participation aux Comités Projet Objectif Réalisation d’une recette sécurité lors des recettes fonctionnelle et technique Pour valider la prise en compte des mesures définies Pour valider leur efficacité Conduite de tests d’intrusion pour les projets les plus sensibles Notamment pour les applications ouvertes à l’extérieur Avis de la fonction sécurité avant la mise en production Bloquant ou consultatif pour la mise en production Portant notamment sur les risques impactant globalement le SI Des projets connexes à mener dans un second temps Intégration des scénarios sécurité dans les plans de tests Mise en place d’un outil d’audit sécurité du code Mise en place d’un outil de scan de vulnérabilité 12 mai 2014 - Propriété de Solucom, reproduction interdite 13 Phases projet Participation aux Comités de Pilotage Phases Intégration de la Sécurité dans les Projets Détails de la démarche type d’ISP Étude préalable Etude opportunité Production Réalisation du Projet Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse sécurité Analyse de risque Définition des exigences de sécurité MOE des exigences de sécurité Recette des exigences de sécurité Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la sécurité en MCO Participation aux Comités Projet Objectif Participation de la fonction sécurité aux Comités de Pilotage de suivi des projets phare Pour avoir la vision des projets en cours En parallèle de toutes les étapes de l’ISP, implication de la fonction sécurité dans les Comités de Pilotage importants de chacun des projets suivis Pour pouvoir fournir les recommandations sécurité lors des étapes de validation du projet (spécifications, dossier d’architecture, etc.) Pour pouvoir participer au Comité de validation de la mise en production Pour être reconnu comme un acteur à part entière d’un projet SI 12 mai 2014 - Propriété de Solucom, reproduction interdite 14 Détails de la démarche type d’ISP Suivi des déclarations CNIL Objectif La phase d’appréciation de la sensibilité du projet a permis de valider si le projet manipule des données à caractère personnel Dans certains contextes, le RSSI assure le suivi de la réalisation des déclarations CNIL Points d’attention Les déclarations CNIL doivent être rédigées par le propriétaire de l’application, qui n’est pas toujours un interlocuteur de l’équipe projet de la DSI La déclaration CNIL doit être rédigée avant la mise en production Et demain ? Projet de règlement européen sur les données à caractère personnel Privacy by design : la protection des données à caractère personnel dès la conception des traitements Passage d’une bonne pratique à une obligation règlementaire Passage d’une étape au sein de l’ISP à un processus en tant que tel 12 mai 2014 - Propriété de Solucom, reproduction interdite 15 Phases projet Suivi et contrôle du déploiement de la méthode ISP Phases Intégration de la Sécurité dans les Projets Détails de la démarche type d’ISP Étude préalable Etude opportunité Production Réalisation du Projet Etude de faisabilité Analyse fonct. Conception détaillée Réalisation Qualif. Recette Mise en prod. Maintenance (MCO) Pré-analyse sécurité Analyse de risque Définition des exigences de sécurité MOE des exigences de sécurité Recette des exigences de sécurité Audit de conformité Avis du RSSI avant mise en prod Prise en compte de la sécurité en MCO Participation aux Comités Projet Objectif Assurer le suivi et le contrôle du déploiement de la méthode ISP Parmi tous les projets, pointer ceux qui doivent suivre la méthodologie Pour ceux qui suivent la méthodologie, valider que toutes les étapes sont réalisées Tracer l’avis de la fonction sécurité relatif à la mise en production Insérer ces indicateurs dans les tableaux de bord sécurité existants Un livrable type 12 mai 2014 - Propriété de Solucom, reproduction interdite 16 Une démarche type d’ISP Les facteurs clés de succès Adopter une méthodologie pragmatique et outillée S’intégrer dans la méthode existante de gestion de projet de l’entreprise et définir une documentation lisible et simple Réaliser un catalogue des spécifications fonctionnelles de sécurité, puis un catalogue des solutions de sécurité disponibles Impliquer et faire adhérer les acteurs Une adhésion des Métiers pour obtenir une vision claire des besoins et des équipes opérationnelles qui voient surtout les contraintes de délai et de budget Un accompagnement par des experts sécurité indispensable pour la mise en application de la méthodologie ISP Mettre en œuvre progressivement la méthodologie Ancrer les actions de sensibilisation dans les processus existants 12 mai 2014 - Propriété de Solucom, reproduction interdite 17 www.solucom.fr Contact Etienne CAPGRAS Consultant Sénior Tel : +33 (0)1 49 03 24 51 Mobile : +33 (0)6 67 49 45 35 Mail : [email protected] Une démarche classique de déploiement d’une méthode ISP Définition des volets sécurité Analyse du processus de gestion des projets Analyser la documentation existante Rencontrer les acteurs principaux des équipes SI Synthétiser l’existant et définir les orientations de la méthode Entretiens Synthèse et orientations Réalisation d’un pilote (facultatif) Définir la méthodologie ISP Définir le Dossier Sécurité et les outils Intégrer la méthodologie ISP dans la démarche de gestion de projets de l’entreprise Tester sur un projet en cours d’initialisation Mettre à jour la méthodologie en fonction des retours Formation Former les CP à la méthodologie ISP Réunions pilote Méthodologie v0 Dossier Sécurité v0 Accompagnement à la mise en œuvre Méthodologie v1 Support de formation Définir l’outillage de suivi de la mise en oeuvre Accompagner les projets dans la mise en oeuvre Outillage de suivi du déploiement Dossiers Sécurité renseignés Dossier Sécurité v1 12 mai 2014 - Propriété de Solucom, reproduction interdite 19