université laval présentation sur la gestion des risques 31-03-2015 vf2
TRANSCRIPT
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL :
UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISCCONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL
31 MARS 2015
http://www.isaca-quebec.ca
OBJECTIF
Raconter les expériences vécues et l’évolution des pratiques en gestion des risques en matière de
sécurité de l’information à l’Université Laval
2
Mise en garde Il existe multiples solutions et façons de faire
Des choix en fonction de notre contexte
L’utilisation d’un vocabulaire « fonctionnel »
AGENDA
Mise en contexte Période I : l’application (2000–2012)
Période II : la contextualisation (2013–2015)
Période III : la consolidation (2016+)
Discussions
3
MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS
5
CU CA
Comité exécutif
Recteur
VREX
BSI DTI
...Facultés
...
VREX : Vice-rectorat exécutif et au développementBSI : Bureau de sécurité de l’informationDTI : Direction des technologies de l’information
Notre DPI/CIO
Gestion des TIGestion de la sécurité de l’information
CU : Conseil universitaireCA : Conseil d’administration
MISE EN CONTEXTE TERRAIN DE RÉALISATION
Principalement la réalisation d’analyses de risques et d’audits de sécurité
Activités déclenchées par un projet ou une demande spécifique
Utilisation des structures de gestion et des processus déjà en place
6
PÉRIODE I : L’APPLICATION (2000 – 2012)
7
2000 20122008… 20102009 2011
Analyse de risquesAudit de sécuritéPortée de l’activité
PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) défis durant cette période :
8
L’agrégation des résultats produits
Le niveau de connaissance et de compréhension des concepts relatifs à la gestion des risques en sécurité de l’information
Le moment où est réalisé l’analyse de risques
L’ampleur de la portée et la quantité de recommandations
L’alignement avec le contexte de l’institution et de ses objectifs en ce qui concerne la sécurité de l’information
PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) trouvailles durant cette période :
9
Le positionnement des autres domaines d’activités (vérification de conformité, gestion des AI, gestion des incidents, …)
La sensibilisation produite par la réalisation des analyses de risques
La réceptivité et la contribution des intervenants impliqués
L’importance d’adapter les processus à notre contexte
La reconnaissance grandissante du besoin de réaliser des analyses de risques
PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015)
10
2013 2014 2015
Analyse de risquesAudit de sécuritéÉvaluation de l’informationPortée de l’activité
NOS BESOINS EN ANALYSE DE RISQUES
11
• Flexibilité
• Simplicité
• Adaptabilité
• Stabilité
• Traiter une majorité de risques sans tomber dans l’exception
RÉFÉRENCES ET RÉFLEXIONS
12
• Octave Allegro de l’Université Carnegie Mellon
• NIST SP 800-30 rev.1
• Threat agent risk assessment (TARA) d’Intel
• ISO 27005:2011
• ISO 27002:2013
• NIST SP 800-53 rev.4 (ITSG-33)
APPROCHE PAR MENACES (TARA)
13Source : Intel Information Technology - Prioritizing Information Security Risks with Threat Agent Risk Assessment
PRINCIPES GÉNÉRAUX DU PROCESSUS
14
Opérations
Gestion
Gouvernance Direction
Direction d’un axe d’affaires
Direction d’un axe d’affaires
Direction d’un axe d’affaires
Informatique Pilotes Affaires
PRINCIPES GÉNÉRAUX DU PROCESSUS
15
Évaluation des menaces
Évaluationdes mesures
Évaluationdes risques
Traitementdes risques
EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18)
16
Événement déclencheur : demande d’un projet visant la mise à jour majeure d’un système d’information
Budgets de réalisation : un premier pour l’analyse de risques et un second en prévision du plan d’action
Portée de l’activité : les améliorations prévues, mais également le système d’information dans son ensemble
Latitude de réalisation : la possibilité de rencontrer toutes les parties prenantes nécessaires
ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE DU RISQUE
• Qu’est-ce qu’on veut ?• Établir les préoccupations de l’axe de gouvernance au
niveau des impacts que pourrait générer une menace.
• Comment l’obtient-on ?• Le formulaire 7 d’Octave Allegro qui permet à l’axe de
gouvernance de définir les impacts non désirés (5 types d’impact).
17
ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE D’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?• Définir ce qu’est la famille d’information ou le système
d’information, qui en est le responsable et les besoins de sécurité.
• Comment l’obtient-on ?• Le formulaire 8 d’Octave Allegro et des entrevues avec l’axe
de gouvernance et les intervenants en gestion de la famille d’information ou le système d’information.
18
ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE L’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?• Définir l’environnement technologique, physique et
humain supportant chaque famille d’information ou chaque système d’information.
• Comment l’obtient-on ?• Les formulaires 9a, 9b et 9c d’Octave Allegro et des
entrevues avec les intervenants de la gestion et les opérations.
19
ÉTAPE 4 : IDENTIFIER LES MENACES ET LES IMPACTS
• Qu’est-ce qu’on veut ?• Identifier les menaces et les impacts pour chaque famille
d’information ou système d’information.
• Comment l’obtient-on ?• Les questionnaires de scénarios de menaces 1, 2 et 3
d’Octave Allegro, le formulaire 10 d’Octave Allegro, des entrevues avec l’axe de gouvernance, la gestion et les opérations.
20
ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE MENACES »
• Qu’est-ce qu’on veut ?• Assembler les menaces avec les impacts et on définit une
valeur à chaque scénario.
• Comment l’obtient-on ?• Le résultats des étapes précédentes et on utilise les tables
du NIST SP 800-30 rev.1 (annexe E, G et H).
• Validation avec l’axe de gouvernance.
21
ÉTAPE 6 : ÉVALUER LES MESURES DE SÉCURITÉ
• Qu’est-ce qu’on veut ?• Évaluer les mesures de sécurité pouvant mitiger les
scénarios de menaces identifiés.
• Comment l’obtient-on ?• Entrevues et tests technologiques (lorsque qu’applicable).
• Utilisation de l’ISO 27002:2013 et du NIST SP 800-53 rev.4.
22
ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS
• Qu’est-ce qu’on veut ?• Identifier les lacunes et vulnérabilités suite à l’évaluation
des mesures.
• Comment l’obtient-on ?• Les résultats de l’étape précédente et on quantifie avec
l’annexe F du NIST SP 800-30.
23
ÉTAPE 8 : DÉFINIR LES RISQUES
• Qu’est-ce qu’on veut ?• Associer les scénarios de menaces aux vulnérabilités
applicables et les quantifier.
• Comment l’obtient-on ?• Les résultats de l’étape précédente et on quantifie avec
l’annexe I du NIST SP 800-30 rev.1.
24
ÉTAPE 9 : COMMUNIQUER LES RISQUES
• Qu’est-ce qu’on veut ?• Présenter à l’axe de gouvernance les risques jugés modérés
et importants.
• Comment l’obtient-on ?• Rencontre avec l’axe de gouvernance et la gestion de la
famille d’information ou du système d’information !
25
EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES
27
Résultat : sept (7) recommandations concernant la mise en place de correctifs visant les vulnérabilités identifiées 1 recommandation avec un budget déjà prévu 2 recommandations jugées importantes à prendre en
charge immédiatement dans le projet 1 recommandation pouvant être incorporée dans un
autre projet actuellement en préparation 3 recommandations à évaluer et à planifier
PÉRIODE III : LA CONSOLIDATION (2016 +)
28
2016 …
L’analyse de risques en sécurité de l’information : poursuivre son évolution et son opérationnalisationLa gestion des risques en sécurité de l’information : entreprendre des travaux d’adaptation pour favoriser la prise en compte plus spécifiquement de notre contexte
VOS PRÉSENTATEURS
30
Patrick Marois, M. Sc., Doctorant Sc. [email protected]
Guillaume Dubé, CISA [email protected]