Symposium 2019 : Quand l'industrie des technologies se mobilise
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les projets
1. La gestion des risques
de sécurité de
l’information dans les
projets
Suzanne Thibodeau, directrice
Stratégies, Gouvernance et Services-Conseils,
Sécurité, Mouvement Desjardins
2. Plan de présentation
1. Les principaux risques liés à la sécurité de
l’information
2. Coût de l’intégration de la sécurité de
l’information dans les projets
3. Survol de l’approche proposée par la norme
ISO 27034
4. Quand et comment intégrer l’analyse de risque
de sécurité dans un projet ?
5. 10 écueils à éviter et autres leçons tirées
d’expériences vécues
3. La gestion des risques de sécurité de
l’information dans les projets
Partie 1
Principaux risques de sécurité de
l’information
4. Sécurité de l’information
• Disponibilité :
– Rendre l’information accessible et
utilisable sur demande par une entité
autorisée
• Intégrité :
– Sauvegarder l'exactitude et l'exhaustivité
de l’actif
• Confidentialité :
– S’assurer que l’information n’est pas
mise à la disposition ou divulguée à des
personnes, des entités ou des
processus non autorisés.
4
5. Qu’est-ce qu’un risque de sécurité de
l’information ?
« Potentiel qu’une menace donnée exploite les
vulnérabilités d’un actif ou d’un groupe d’actif,
causant ainsi un dommage à l’organisation»*
*Source: ISO/IEC 27005:2011
5
7. Exemples de risques liés à la sécurité de
l’information
Risques liés aux renseignements personnels
ou confidentiels
Risques de non-conformité (ex: PCI DSS, 52
109, Bâle, loi 138, etc.)
Risques de fraude et de vol d’identité
Risques liés aux fournisseurs externes
Risques liés à l’image et la réputation
8. La gestion des risques de sécurité de
l’information dans les projets
Partie 2
Coûts de l’intégration de la sécurité
dans les projets
9. Quelques statistiques 9
75% des brèches de sécurité sont facilitées par les applications, et
non le réseau. - Gartner
92% des vulnérabilités rapportées sont au niveau des applications. –
NIST
Plus de 70% des vulnérabilités de sécurité sont dans les
applications. – Gartner
10. Niveau d’intégration de la sécurité et
vulnérabilités
Pourcentage de vulnérabilités trouvées par phase de projet en fonction
de l'intégration de la sécurité
Phase de projet Sécurité non intégrée Sécurité intégrée
Réalisation 0% 33%
Test/Acceptation 40% 57%
En production 35% 8%
Latent 25% 2%
*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
11. Niveau d’intégration et efforts de correction
Coûts et durée de correction des vulnérabilités par phase de projet
Phase de projet Coût Durée de correction
Réalisation $ 20 moins de 1 heure
Test $ 360 3-5 heures
En production $ 12,000 10 heures et plus
Latent $-
*Source : Capers Jones - Ajusté pour les coûts de labeur et conditions de marché 2009
13. La gestion des risques de sécurité de
l’information dans les projets
Partie 3
Survol de l’approche proposée par
la norme ISO 27034
14. Qu’est-ce que la norme ISO 27034 ?
Lignes directrices pour aider les organisations
à intégrer la sécurité dans les procédés utilisés
pour la gestion de leurs solutions TI
Vise la sécurisation des solutions TI sur
mesure selon le niveau de sécurité assigné
au projet
Sous-ensemble de mesures de sécurité
associés à chacun des différents niveaux de
sécurité
16. Exemple de niveaux de sécurité
• Niveau de sécurité de base
– balayage de vulnérabilité automatique
– Journalisation de base
– authentification simple (code usager / mot de passe)
• Niveau de sécurité modéré
– balayage de vulnérabilité manuel
– journalisation des principales actions
– authentification adaptative (deux informations connues)
• Niveau de sécurité élevé
– authentification forte (deux facteurs)
– journalisation détaillée de toutes les actions
– système de prévention d’intrusion
– transmission chiffrée, etc..
17. Bénéfices de l’approche ISO 27034
• Sécurisation basée sur les besoins de chaque
projet
• Consolidation de la sécurisation des solutions
TI
• Implication légère d’équipe de sécurité dans
les projets
18. La gestion des risques de sécurité de
l’information dans les projets
Partie 4
Quand et comment intégrer
l’analyse de risque dans un projet
20. Étapes de réalisation d’une analyse de
risque
1. 2. 3. 4. 5.
Établissement Identification Analyse Traitement Communication
du contexte des risques des risques du risque du risque
•Échelles de probabilité et •Identification des •Identification et •Élaboration du plan de •Inscription au registre
d’impact et seuil de menaces et des évaluation des contrôles traitement des risques des risques
tolérance au risque vulnérabilités potentielles en place (refuser, accepter, •Divulgation au
(préalables) •Évaluation de l’impact •Évaluation de la mitiger, transférer) responsable de la gestion
•Classification des actifs sur la disponibilité, probabilité de •Acceptation du plan de des risques
informationnels visés et l’intégrité et la matérialisation du risque traitement des risques par •Suivi et reddition de
identification des confidentialité de la •Comparaison du risque le propriétaire des actifs compte sur la mise en
propriétaires matérialisation de la inhérent au seuil de informationnels œuvre du plan de suivi
•Diagramme de flux des menace tolérance au risque
données déterminé par l’entreprise
•Cadre normatif , légal et
réglementaire applicable
Portée de Liste des Risque Plan de Registre des
l’analyse menaces Inhérent traitement et risques
risque résiduel
20
21. La gestion des risques de sécurité de
l’information dans les projets
Partie 5
10 écueils à éviter et autres leçons
tirées d’expériences vécues
22. 10 écueils à éviter et autres leçons tirées
d’expériences vécues
1. Classification vous dites ?
2. PCI ? Jamais entendu parlé !
3. L’autosuffisance
4. C’est le problème du fournisseur
5. Le Syndrome du couper / coller (one size fits
all)
23. 10 écueils à éviter et autres leçons tirées
d’expériences vécues (suite)
6.L’industrialisation aveugle
7.Le trou noir de sécurité
8.La pensée magique
9.La confiance excessive
10.Le bonhomme sept-heures
25. La gestion des risques de sécurité de
l’information dans les projets
Annexe
Matériel de référence
26. Analyse du flux de données
Décrire tout le cycle de vie de l’information
Création > Traitement > Utilisation > Transmission >
Entreposage > Destruction
Considérer tous les médias et supports
Papier, CD, Matériel (Disque dur), Logiciels et Applications,
BD, Canaux de communications, etc.
26
27. Classification des actifs
• Objectif: Déterminer la valeur de l’actif pour
l’organisation afin d’établir des mesures de
protection proportionnellement adéquates
• Critères de classification :
1. Disponibilité
2. Intégrité
3. Confidentialité
SÉANCE 6 27
28. Classification des actifs
Niveau de confidentialité - Exemple
Niveaux Définitions Exemples
Public Information dont la divulgation publique a été Services et
autorisée par son propriétaire et qui n’est pas coordonnées de
susceptible de causer un préjudice à l’entreprise
l’organisation
Privé ou Information dont la divulgation sans autorisation Bottin des employés,
interne préalable à l’extérieur de l’organisation pourrait procédures
causer un préjudice à l’organisation, sans avoir administratives
cependant d’impact sur ses activités .
Confidentiel Actif dont la divulgation sans autorisation Renseignements
préalable est susceptible de causer un préjudice personnes sur les
significatif à l’organisation ou à ses clients. clients, coût de revient
des produits
Secret Actif dont la divulgation sans autorisation Projet d’acquisition
préalable est susceptible de causer un préjudice d’une entreprise, brevet
d’une très grande gravité à l’organisation. en développement
28
29. Classification des actifs
Niveaux d’intégrité – Exemple
Niveaux Définitions Exemples
Faible Information pour laquelle l’organisation Liste des cours suivis
peut tolérer certains écarts (restant par les employés,
cependant acceptables) d’autant plus compétences
que les impacts qui y sont associés ont recherchées par poste
beaucoup moins d’importance.
Modéré Information qui se doit d’être exacte et Feuilles de temps du
dont l’inexactitude peut avoir des personnel,
conséquences significatives sur statistiques sur les
l’organisation. ventes
Élevé Information qui se doit d’être exacte en Transactions
tout temps et dont l’inexactitude peut financières
avoir des conséquences grave pour Information médicale
l’organisation ou ses clients.
29
30. Classification des actifs
Niveaux de disponibilité - Exemple
Niveaux Définitions Exemples
Faible Information dont l’impact de non- Rapports de gestion
disponibilité est minime. On considère
qu’une interruption pouvant aller jusqu’à
un 24 heures demeure acceptable.
Modéré Information dont la non-disponibilité Information requise
apporte des impacts moins importants pour la production
sur les opérations de l’organisation. On d’états de compte
considère qu’une interruption maximale
de 4 heures reste
acceptable.
Élevé Information pour laquelle on doit assurer Information sur les
la disponibilité presque en tout temps. comptes clients
On considère qu’une interruption
maximale de 1 heure est acceptable.
30
31. Évaluation de l’impact - exemple
Cote Impact
Financier Clients Employés Réputation Conformité
1 < 100 K Peu d’impact sur les clients Peu ou aucun Peu ou pas de Peu ou pas
très ou disponibilités des produits impact sur le climat couverture d’impact au
de travail médiatique niveau des
faible autorités
réglementaires
2 > 100 K Cas isolé de pertes de Impact à court terme Couverture Peu d’impact sur
faible < 500 K clients, récurrences des sur le climat de médiatique de le droit d’opérer
plaintes sur les délais et les travail courte durée
erreurs de produits
3 > 500 K Diminution de la rétention Impact ressenti sur Couverture Compromet la
modérée < 800 K des clients, plusieurs la mobilisation et médiatique crédibilité auprès
problèmes nécessitant des l’absentéisme importante et des autorités
solutions temporaires constante réglementaires
ressources additionnelles
4 > 800 K Perte significative de clients, Perte de ressources Impact important Imposition de
élevée <1M plusieurs problèmes clés et sur l’image de restrictions au
importants et persistants augmentation du marque et la droit d’opérer
taux de roulement perception des
clients
5 >1M Problème endémique de Exode massif des La réputation ne Révocation du
très qualité du service, ressources, climat peut qu’être droit d’opérer une
détérioration marquée de la conflictuel rétablie à long ou plusieurs
élevée capacité à offrir les produits terme activités
31
32. Évaluation de la probabilité – Exemple
Cote Probabilité
1 Il est difficile d’envisager que le risque puisse se réaliser.
(très faible) Pas de précédent connu dans l’industrie ou l’organisation
2 Le risque pourrait se réaliser, mais la probabilité est peu
(faible) significative. Pas de précédent connu dans l’organisation.
3 Il est envisageable que le risque puisse se réaliser, mais il
(modérée) y a peu de précédent connu dans l’industrie ou
l’organisation.
4 Il est facilement envisageable que le risque puisse se
(élevée) réaliser, car il y a quelques précédents connus dans
l’industrie ou l’organisation.
5 Il est presque certain que le risque se réalisera si rien
(très élevée) n’est fait. Plusieurs précédents sont connus dans
l’industrie ou l’organisation.
32
Bonnes pratiques : Exercice habituellement réalisé en collaboration avec l’ensemble des départements de l’organisation; Classification révisée et approuvée par les départements concernés et les parties prenantes touchées; Nombre de niveaux doit être limité (3 à 5 maximum); Doit demeurer simple et facile d’utilisation; Mesures de sécurité associés à chaque niveau de classification, augmentant en fonction de la sensibilité et de la criticité de l’information.