View
29
Download
0
Category
Tags:
Preview:
Citation preview
SÉCURITÉ VS. CONTINUITÉ« THE DEVIL IS IN THE DETAILS ».
soit en français
« LE DIABLE SE CACHE DANS LES DÉTAILS ».
SOMMAIREIntroduction
Normes ISO
• Ecosystèmes
• Champs d’action
• Statistiques
Interactions
• …conceptuelles
• …opérationnelles• Problématiques
• Solutions
Conclusion
Expériences & Questions
INTRODUCTION
Sécurité & Continuité…• non-génératrices de revenus
• gestion des risques
• valeur qu’en cas d’incident
• différentes et séparées
• trop limitées aux services TIC
• responsabilités des personnes
• critiques et transverses
• communs et complémentaires
…donc ?
NORMES ISO : 2700XEcosystème
ISO 27031:2011 propose un cadre pour la continuité d'activité.
NORMES ISO : 27001 & 27002
Champ d’action
LES CHIFFRES
NORMES ISO : 27002 & 27031
Champ d’action de 27002, chapitre 14« Le Chapitre 14 décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés. »
Wikipédia
Champ d’action de 27031« ISO/CEI 27031:2011 couvre tous les événements et incidents (y compris ceux liés à la sécurité) qui peuvent porter atteinte à l’infrastructure et aux systèmes TIC. Elle regroupe, en les complétant, les pratiques de gestion des incidents liés à la sécurité de l’information, et les pratiques de gestion de la planification de mise en état des TIC et des services TIC. »
ISO
NORMES ISO : 22301
Champ d’action
LES CHIFFRES
INTERACTIONS CONCEPTUELLES
Gestion de risque commune ?• Actif [ Propriétaire, Valeur, Responsable ]
• Menace -> Actif
• Actif { Vulnérabilité }
• (Menace x Vulnérabilité) x Valeur = Impact
• Probabilité x Impact = Risque
Cindynique, science du danger
Que trouve-t-on dans les politiques et plans ?• Analyse
• Recommandations
• Implantation
LES CHIFFRES
LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE
LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE
Constat de double, triple, quadruple,… panne.• Les croyances
• Les probabilités simplistes
• Les probabilités réelles in situ
L’incident « gris » ou « irritant »• Nouveau concept du jour hors du H-M-L
• Le faux-incident
• L’incident partiel à impact significatif modéré
• Intégration dans les BIAs
INTERACTIONS OPÉRATIONNELLES
La sécurité obstacle à la continuité• Excès de sécurité
• Déséquilibre de sécurité
• Processus de sécurité tiers
La continuité obstacle à la sécurité• Le principe de « pré-action »
• L’urgence
• L’ « anti-champion »
INTERACTIONS OPÉRATIONNELLES
Etude de cas n°1 : la continuité menace la sécurité
• Menace logique in situ via une vulnérabilité physique.
Etude de cas n°2 : la sécurité menace la continuité
• Menace logique via intimidation publique et auto-sabotage.
SOLUTIONS OPÉRATIONNELLES POSSIBLES
Conformité du plan de continuité à la politique de sécurité.
Sensibilisation des « champions »• Equipe de DR incluant une dimension d’autocontrôle
• Tests de vulnérabilité intégrés aux tests de DR
Extériorisation des services de sécurité• Inclusion par SLA des Tiers de sécurité au processus de continuité
• Surveillance de sécurité logique et physique décentralisée
• Elévation de droits automatisée (ex. PowerBroker)
A INSÉRER DANS NOS POLITIQUES…
Sécurité
• Recommandations standards (CMMI 3)« En service normal, l’accès aux ressources doit être contrôlé
(identification utilisateurs, double-authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur). »
• Recommandations d’urgence (CMMI 1)« Dans le cas d’une urgence, l’accès aux ressources peut être facilité
par des contrôles exceptionnels (identification par machine, authentification unifiée) et adapté au obligations de moyens de l’utilisateur (droits et privilèges exceptionnels documentés, profil administrateur). »
A INSÉRER DANS NOS POLITIQUES…
Continuité
• Liste des contrôle de sécurité dégradés
• Processus d’autocontrôle
CADILLAC !Une analyse des risques résiduels cumulés sur la base des « SPoF »
RETOURS D’EXPÉRIENCES ?
BIBLIOGRAPHY
M53 – Étude de cas, suite ISO 2700x
http://fr.wikipedia.org/wiki/ISO/CEI_27001
http://fr.wikipedia.org/wiki/ISO/CEI_27002
http://www.duquesnegroup.com/ISO-22301-la-future-norme-de-Continuite-d-activite_a187.html
http://www.bcifiles.com/22301Transition_BSI20110321.pdf
http://www.icm.co.uk/newsroom/events/downloads/sp4launch/Raising_the_Standard_John_Sharp.pdf
http://www.itsc.org.sg/pdf/synthesis09/Four_ICT.pdf
http://fr.wikipedia.org/wiki/Cindynique
http://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2005.pdf
http://download.pwc.com/ie/pubs/pwc_goodbye_sas_70_isae_3402.pdf
Recommended