Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Programme de cybersécurité : Implementer le framework NIST CSF en entreprise

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 50 Anzeige

Weitere Verwandte Inhalte

Weitere von EyesOpen Association (15)

Aktuellste (20)

Anzeige

Programme de cybersécurité : Implementer le framework NIST CSF en entreprise

  1. 1. ● Comprendre les concepts de base de la sécurité ● Outiller pour développer un programme de sécurité ● Comprendre et appliquer la gestion des risques sur le SI ● Appréhender l’usage des normes et standards ● Mesurer de la maturité de la sécurité dans une organisation Objectifs Qu’est ce qu’on sécurise ?
  2. 2. On sécurise les actifs d’un Système d’information (SI) - C’est quoi un actif ? les types: données, applications, systèmes, réseaux, phy, procédures, personnes C’est quoi « sécuriser » ? People Process Tools
  3. 3. Confidentialité Intégrité Disponibilité (Availability) Concepts de base Identification Authentification Autorisation Non-Repudiation (Accounting) Sujet Objet Comment mettre en place cette sécurité ? I A A A A I C Accès Sécuriser c’est garantir le C.I.A des actifs du SI
  4. 4. 03Croyances pièges qui plombent la sécurité des organisations/entreprises Les croyances pièges La sécurité est une affaire des IT La sécurité est une technologie La sécurité est une destination Ce qu’il en est La sécurité est une affaire de toute l’organisation/entreprise La sécurité inclus les personnes, les procédures et les outils La sécurité est un voyage Un programme de cybersécurité permet entre autre d’éviter ces pièges, Mais c’est quoi un programme ?
  5. 5. C’est quoi un programme ? Programme Projet Projet Projet Projet • Début – fin • Livrables • Chef de projet Délais Périmètre Coûts Programme • Longue durée • Résultats • Chef de programme INITIATION PLANIFICATION EXECUTION MONITORING & CONTRÔLE FERMETURE Partie prenante, Business case, Charte projet, validation … Planification des ressources (Baseline) Exécution du plan Mesure et contrôle (gap sur les baselines) Livrables, documentation, clôture PHASES Un programme est un groupe cohérent de projets en rapport les uns avec les autres, gérés ensemble afin d’obtenir les résultats recherchés. Quid des bénéfices ?
  6. 6. 05 bénéfices d’un programme de sécurité Programme de sécurité Bénéfices Alignement stratégique entre le Métier et la sécurité Développement d’une vue holistique de la posture de sécurité SI par la Gestion des risques Cohérence dans toutes les opérations et projets liés à la sécurité Mesure de la performance et amélioration en continue Comment donc construire un programme de sécurité ? Commençons par les prérequis. Un programme de sécurité est donc un groupe cohérent de projets en rapport les uns avec les autres et gérés ensemble afin de réaliser les objectifs en matière de sécurité d’une organisation/entreprise Optimisation des ressources
  7. 7. 03 Prérequis pour bien démarrer la construction d’un programme de cybersécurité Programme de cybersécurité Prérequis Approbation et l’implication du top-management (top-bottom) Réunir une équipe ayant les compétences associées (internes ou externes) Utiliser une méthodologie projet Une fois les prérequis réunis, quelles sont les ressources qui vont nous aider ?
  8. 8. ISO27000 NIST SP 800-53 NIST CSF PCI-DSS CIS v8, GDPR, TOGAF COBIT HIPAA CSA ITIL … Les normes, standards et framework La ressource qui va nous intéresser ici c’est le Framework NIST CSF pour des raisons que vous aller vite comprendre C’est quoi le NIST CSF ? une norme est un ensemble de règles de conformité ou de fonctionnement légiféré par un organisme de normalisation mandaté (ISO, UIT …) Tandis qu’un standard est un ensemble de recommandations ou de préférences préconisées par un groupe d’utilisateurs avisés comme des experts.
  9. 9. NIST Cybersecurity Framework FRAMEWORK - Cadre de travail NIST : National Institute of Standards and Technology Une agence non réglementaire du Département du commerce des États-Unis. Sa mission est de promouvoir l'innovation et la compétitivité industrielle. Cadre de travail sur la cybersécurité développé par le NIST L'objectif d'un Framework est généralement de simplifier le travail en définissant le squelette de ce qui doit être construit Source: https://www.nist.gov/cyberframework/online-learning/components-framework Comment fonctionne ce Framework ?
  10. 10. NIST Cybersecurity Framework Le cadre de cybersécurité se compose de trois composants principaux : • Framework Core • Implementation Tiers • Profiles Source: https://www.nist.gov/cyberframework/online-learning/components-framework Pour mieux comprendre, entrons dans les détails du composant FRAMEWORK CORE
  11. 11. NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C Framework Core: 05 fonctions, 23 catégories 6 Cat Tech Busi 6 2 4 6 3 3 3 2 1 5 2 3 3 0 3 On utilise le framework comme un tunnel par lequel tous les actifs vont passer 🡪 exemple
  12. 12. NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C I A A A PEOPLE PROCESS DATA APP SYST NETW PHY
  13. 13. Framework Implementation Tiers https://www.nist.gov/cyberframework/framework À Chaque sous-categorie, le framework NIST fait correspondre une section issu des référentiels les plus connus OPEN
  14. 14. NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C I A A A Exemple simplifié : Des fichiers partagés dans votre organisation Objectifs définis (politique) IDENTIFY: Rôle et responsabilités, Classification, Risques PROTECT: Chiffrement et contrôle des accès DETECT: Journalisation des accès, Monitoring et alerte, audit RESPOND: Procédure de réponse en cas d’incident RECOVERY: Sauvegarde, test et Récupération On a compris l’importance du NIST CSF ? Venons en aux étapes d’implémentation
  15. 15. Les 5 étapes, sous formes de questions à se poser Où sommes nous ? Où voulons nous être ? Quelle est la distance à parcourir ? Comment la parcourir ? Quelles Résultats pendant le parcourt ? Définition des objectifs Choix d’un référentiel ou standard Appetance aux risques Profile cible (Target profile (TP)) Développement vue holistique Inventaire Profil actuel (current profile (CP)) Analyse des risques Gap analysis Stratégie de réponse Roadmap (plan d’action) GAP Roadmap TP CP Evaluation régulière Amélioration continue Maturation Maturity & C I Allons y donc avec l’étape 1
  16. 16. imbriquation Source: https://www.nist.gov/cyberframework/online-learning/components-framework GAP Roadmap TP CP Maturity & C I Les 5 étapes, sous formes de questions à se poser
  17. 17. Business Business Architecture Information Technology Application Architecture Data Architecture Technology Architecture Architecture d’entreprise Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP))
  18. 18. Et où sommes nous ? Business objective INVENTAIRE Quel sont vos objectifs business critiques ? La raison d’être principale de l’organisation/entreprise sans laquelle, elle n’a tout simplement pas d’existence justifiable ou possible Exemple: un magasin de pneu, ça vend des pneus ! BUSINESS VIEW Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP))
  19. 19. Business objectives Process Process Quels processus métier sont utilisés pour atteindre cet objectif business ? Exemple: Recevoir des commandes, facturer, expédier des produits, mettre à jour les informations des employés , définir un budget marketing… etc. * methods, functions Un processus, méthode ou fonction business est un ensemble d'activités ou de tâches liées et structurées et séquencées par des personnes ou des équipements pour produire un service ou un produit BUSINESS VIEW Et où sommes nous ?
  20. 20. Business objectives Process People Process People People Quels sont les acteurs clés (personnes physiques ou morales) impliqués dans ces processus pour la réalisation de cet objectif business ? Salariés, sous-traitant, prestataire, ... etc. BUSINESS VIEW Et où sommes nous ?
  21. 21. Business objectives Process People information Process People People information information information Quelles informations sont critiques et utilisées par les acteurs impliqués pour atteindre ces objectifs business ? Exemple: Contact des clients, Etats des ventes, Benefices, …etc BUSINESS VIEW Et où sommes nous ?
  22. 22. Business objectives Process People information data Process People People information information information data data data data Où stockez-vous les données constituant les informations critiques utilisées pour atteindre les objectifs business ? Exemple: Database DBVENTE, DBCOMMANDE File share: Fileserver Email BUSINESS VIEW IT VIEW frontière Et où sommes nous ?
  23. 23. Business objectives Process People information data Process People People information information information data data data data Ces données critiques sont traitées et fournies par quelles applications ? Exemple: SAGE, ERP, EXCHANGE, SITE WEB, …etc BUSINESS VIEW Application Application Application Application IT VIEW frontière Et où sommes nous ?
  24. 24. Business objectives Process People information data Process People People information information information data data data data Les applications utilisées pour traiter et fournir des données critiques utilisé à la réalisation dee objectifs business sont exécutées par quels système? Exemple: Server1 (LINUX, IP …etc) Server2 (WINDOWS, IP, CONFIG …etc) BUSINESS VIEW Application Application Application Application System System System IT VIEW frontière Et où sommes nous ?
  25. 25. Business objectives Process People information data Process People People information information information data data data data Quels liens et équipements réseau sont essentiels pour prendre en charge les flux de communications de données des systèmes impliqués dans le support des objectifs business présentés ? Exemple: LIAISON INTERNET, INTERCO, VPN, ROUTEURS, SWITCH, AP WIFI, LAN, BUSINESS VIEW frontière Application Application Application Application System System System Network Network IT VIEW Et où sommes nous ?
  26. 26. Business objectives Process People information data Process People People information information information data data data data Quelles installations critiques présentes physiquement (salle informatique / datacenter) sont fortement liées au bon fonctionnement des actifs impliqués dans la réalisation des objectifs de l'entreprise ? Exemple: SALLE SERVEURS, CLIMATISATION, ENERGIE, …etc BUSINESS VIEW frontière Application Application Application Application System System System Network Network Physique IT VIEW INVENTAIRE: Et où sommes nous ?
  27. 27. Développement d’un programme de sécurité Rôles & Responsabilités • Qui approuve ? • Qui défini ? • Qui applique ? Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP)) Business objective People Process information data Application System Network Physique
  28. 28. Développement d’un programme de sécurité Rôles & Responsabilités • Qui approuve ? • Qui défini ? • Qui applique ? Rôles & Responsabilités data user Data Owner Data Custodian OS DB Information Security Officer • Ops • backup • maintain Develop Security requirements Approbation Security Control PRODUCE VALUE WITH DATA
  29. 29. Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Process information data Criticité Classification • Confidentiel • Sensibles • Privés • Public Business Value • High • Medim • low Criticité des données (Classification & Valeur Métier)
  30. 30. DATA CLASSIFICATION 0 1 2 3 T U S C C P P S GOVERNEMENT CORPORATE op secret ecret onfidential nclassified ublic ensitive rivate onfidential Class Grave damage Serious damage Damage No damage (Proprietary) (PII, PHI,…) (Configs, IP, infra docs, …) (website, blog, social netw ..)
  31. 31. Développement d’un programme de sécurité data Criticité Classification • Confidentiel • Sensibles/Privés • Public Business Value • High • Medim • low Classification Public Sensibles/Privés Confidentiel Informations mises à disposition du public librement et sans réserve. Exple: Site web, réseaux sociaux Informations qui pourraient causer des dommages si leur sécurité est atteintes Exple: Privés: Adresses des clients (PII) Sensible: configurations réseaux, dessin architectures Information propriétaire de l’organisation/entreprise et dont l’atteinte à la sécurité entraînerait des dommages graves Exple: Secret de fabrication, données financières Criticité des données (Classification & Valeur Métier) * CRITICITE vs PRIORITE À titre d’exemple
  32. 32. Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Process information data Criticité Application System Network Physique Le niveau de criticité attribué aux données influence directement celles des autres actifs IT qui y sont associés dans la chaîne de réalisation de l’objectif business Criticité des données (Classification & Valeur Métier)
  33. 33. • Maximum tolerable downtime (MTD) • Mean time between failures (MTBF) • Mean time to failure (MTTF) • Mean time to restore (MTTR) • Recovery point objective (RPO) • Recovery time objective (RTO) • Service-level agreement (SLA) • Single point of failure (SPOF) Résilience
  34. 34. En cas d’indisponibilité majeure impactant nos objectifs business critiques • MTD : Au-delà de quel période notre business n’est plus viable ou les pertes deviennent intolérables ? • RTO : Période maximale pour remettre le business en route même sous forme dégradée ? • RPO : En cas de retour à la normale, quelle quantité d’actifs est-on prêt à supporter la perte ? Image: http://virtualization24x7.blogspot.com/2015/11/what-is-rpo-rto-wrt-mtd.html * WRT = work Recovery Time Résilience
  35. 35. Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Missions / Process information data Criticité Criticité des données (Classification & Valeur Métier) MTD RTO RPO Application System Network Physique Les objectifs business en matière de résilience s’applique à tous les niveau de la chaîne de criticité On connaît nos actifs critique et nos besoins en termes de résilience Passons à l’analyse des risques
  36. 36. Développement d’un programme de sécurité Où voulons nous être ? Définition des objectifs COBIT 5 ISO/IEC 27001:2013 NIST SP 800-53 CIS PCI-DSS HIPAA GDPR … SCOPING & TAILORING Profile cible (Target profile (TP)) Risk appetite (Appétence aux risques) Choix d’un référentiel ou standard
  37. 37. Développement d’un programme de sécurité Un mot sur l’appétence aux risques
  38. 38. C’est quoi un risque ? Développement d’un programme de sécurité Analyses des risques VULNÉRABILITÉ MENACE x = Risque Le risque est la possibilité de survenue d'un événement indésirable, la probabilité d'occurrence d'un péril probable ou d'un aléa validation de l’existence du risque
  39. 39. Le risque sur un actif doit être évalué. On ne sécurise pas ce qui n’est exposé à « aucun » risque, En sécurité tout part des risques. On parle de « Risk-based Decision Making Process » Deux types d’analyses Développement d’un programme de sécurité Analyses des risques Commençons par l’analyse quantitative • QUANTITATIVE • QUALITATIVE
  40. 40. Analyse quantitative Asset Value = AV Identification des risques Valeur quantifiable de l’actif Menaces x vulnérabilité = risques Probabilité d’occurrence (annuelle) Annual Rate of Occurance = ARO Impact en cas d’occurrence (annuelle) EF = Exposure Factor (% de perte sur l’actif en cas de réalisation du risque) SLE = EF x AV (Single Loss Expectancy) ALE = ARO x SLE (Annualized Loss Expectancy) 3 fois par an => 3 1 fois sur 10 ans => 0,1 Priorisation Classement Usage du composant Core du NIST CSF possible
  41. 41. Analyse qualitative Criticité Identification des risques Valeur qualitative de l’actif Probabilité d’occurrence (annuelle) (NIST SP800-30 ref) Impact en cas d’occurrence (annuelle) High Medium Low Priorisation Classement Usage du composant Core du NIST CSF possible Current Profile Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP)) High Medium Low
  42. 42. Likelihood scale (from Appendix G of NISTPublication 800-30.) Very High - 10 - Adversary is almost certain to initiate threat event. High - 8 - Adversary is highly likely to initiate threat event. Moderate - 5 - Adversary is somewhat likely to initiate threat event. Low - 2 - Adversary is unlikely to initiate threat event. Very Low - 0 - Adversary is highly unlikely to initiate threat event. Guide for Conducting Risk Assessments, NIST SP800-30.
  43. 43. Analyse du Gap Analyse qualitative des risques Usage possible du NIST CSF GAP ANALYSIS Analyse quantitative des risques + Quelle est la distance à parcourir ? Gap analysis Stratégie de réponse Où voulons nous être ? Current Profile Target Profile Où sommes nous ?
  44. 44. Stratégie de réponse Quelle est la distance à parcourir ? Gap analysis Stratégie de réponse • ACCEPT • MITIGATE • TRANSFERT • AVOID Réponse
  45. 45. Quelles ressources pour les actions (projets, changements) Délais Périmètre Coûts Coûts : finances, RH, matériel & équipements … Coût annuel du Contrôle (ACS)
  46. 46. Développement d’un programme de sécurité Stratégie de réponse PROJET PLAN (REPRISE, INCIDENT, …etc) Comment la parcourir ? Roadmap (plan d’action) Phase 1 Phase 2 Phase 3 ROADMAP De votre stratégie de réponse découle un ensemble d’actions à mener. En donnant à ces actions un plan constitué au minimum du trio: - Coûts (financières, humaines, matérielles) - Délais - Périmètre Vous en faite un projet qui sera intégré au programme. Les projets peuvent ensuite être répartis en phase en tenant compte des priorités. Délais Périmètre Coûts
  47. 47. 5. CMMI (Capability Maturity Model Integration) Lecture: https://www.pmi.org/learning/library/cmmi-bring-pm-process-next-level-7538 Source image: https://www.testbytes.net/blog/what-is-cmmi/ CMMI model is a pool of dependable best practices that helps in improving quality, standards, and efficiency of the software development processes • Create by: Software Engineering Institute at Carnegie Mellon University • Now managed by: CMMI Institute.
  48. 48. M E R C I ! T H A N K Y O U ! QUESTION ?

×