LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL :

UNE HISTOIRE ÉVOLUTIVE!

PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL

GUILLAUME DUBÉ, CISA CRISCCONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL

31 MARS 2015

http://www.isaca-quebec.ca

OBJECTIF

Raconter les expériences vécues et l’évolution des pratiques en gestion des risques en matière de

sécurité de l’information à l’Université Laval

2

Mise en garde Il existe multiples solutions et façons de faire

Des choix en fonction de notre contexte

L’utilisation d’un vocabulaire « fonctionnel »

AGENDA

Mise en contexte Période I : l’application (2000–2012)

Période II : la contextualisation (2013–2015)

Période III : la consolidation (2016+)

Discussions

3

MISE EN CONTEXTE L’INSTITUTION

4

MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS

5

CU CA

Comité exécutif

Recteur

VREX

BSI DTI

...Facultés

...

VREX : Vice-rectorat exécutif et au développementBSI : Bureau de sécurité de l’informationDTI : Direction des technologies de l’information

Notre DPI/CIO

Gestion des TIGestion de la sécurité de l’information

CU : Conseil universitaireCA : Conseil d’administration

MISE EN CONTEXTE TERRAIN DE RÉALISATION

Principalement la réalisation d’analyses de risques et d’audits de sécurité

Activités déclenchées par un projet ou une demande spécifique

Utilisation des structures de gestion et des processus déjà en place

6

PÉRIODE I : L’APPLICATION (2000 – 2012)

7

2000 20122008… 20102009 2011

Analyse de risquesAudit de sécuritéPortée de l’activité

PÉRIODE I : L’APPLICATION (2000 – 2012)

Cinq (5) défis durant cette période :

8

L’agrégation des résultats produits

Le niveau de connaissance et de compréhension des concepts relatifs à la gestion des risques en sécurité de l’information

Le moment où est réalisé l’analyse de risques

L’ampleur de la portée et la quantité de recommandations

L’alignement avec le contexte de l’institution et de ses objectifs en ce qui concerne la sécurité de l’information

PÉRIODE I : L’APPLICATION (2000 – 2012)

Cinq (5) trouvailles durant cette période :

9

Le positionnement des autres domaines d’activités (vérification de conformité, gestion des AI, gestion des incidents, …)

La sensibilisation produite par la réalisation des analyses de risques

La réceptivité et la contribution des intervenants impliqués

L’importance d’adapter les processus à notre contexte

La reconnaissance grandissante du besoin de réaliser des analyses de risques

PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015)

10

2013 2014 2015

Analyse de risquesAudit de sécuritéÉvaluation de l’informationPortée de l’activité

NOS BESOINS EN ANALYSE DE RISQUES

11

• Flexibilité

• Simplicité

• Adaptabilité

• Stabilité

• Traiter une majorité de risques sans tomber dans l’exception

RÉFÉRENCES ET RÉFLEXIONS

12

• Octave Allegro de l’Université Carnegie Mellon

• NIST SP 800-30 rev.1

• Threat agent risk assessment (TARA) d’Intel

• ISO 27005:2011

• ISO 27002:2013

• NIST SP 800-53 rev.4 (ITSG-33)

APPROCHE PAR MENACES (TARA)

13Source : Intel Information Technology - Prioritizing Information Security Risks with Threat Agent Risk Assessment

PRINCIPES GÉNÉRAUX DU PROCESSUS

14

Opérations

Gestion

Gouvernance Direction

Direction d’un axe d’affaires

Direction d’un axe d’affaires

Direction d’un axe d’affaires

Informatique Pilotes Affaires

PRINCIPES GÉNÉRAUX DU PROCESSUS

15

Évaluation des menaces

Évaluationdes mesures

Évaluationdes risques

Traitementdes risques

EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18)

16

Événement déclencheur : demande d’un projet visant la mise à jour majeure d’un système d’information

Budgets de réalisation : un premier pour l’analyse de risques et un second en prévision du plan d’action

Portée de l’activité : les améliorations prévues, mais également le système d’information dans son ensemble

Latitude de réalisation : la possibilité de rencontrer toutes les parties prenantes nécessaires

ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE DU RISQUE

• Qu’est-ce qu’on veut ?• Établir les préoccupations de l’axe de gouvernance au

niveau des impacts que pourrait générer une menace.

• Comment l’obtient-on ?• Le formulaire 7 d’Octave Allegro qui permet à l’axe de

gouvernance de définir les impacts non désirés (5 types d’impact).

17

ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE D’INFORMATION/SYSTÈME D’INFORMATION

• Qu’est-ce qu’on veut ?• Définir ce qu’est la famille d’information ou le système

d’information, qui en est le responsable et les besoins de sécurité.

• Comment l’obtient-on ?• Le formulaire 8 d’Octave Allegro et des entrevues avec l’axe

de gouvernance et les intervenants en gestion de la famille d’information ou le système d’information.

18

ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE L’INFORMATION/SYSTÈME D’INFORMATION

• Qu’est-ce qu’on veut ?• Définir l’environnement technologique, physique et

humain supportant chaque famille d’information ou chaque système d’information.

• Comment l’obtient-on ?• Les formulaires 9a, 9b et 9c d’Octave Allegro et des

entrevues avec les intervenants de la gestion et les opérations.

19

ÉTAPE 4 : IDENTIFIER LES MENACES ET LES IMPACTS

• Qu’est-ce qu’on veut ?• Identifier les menaces et les impacts pour chaque famille

d’information ou système d’information.

• Comment l’obtient-on ?• Les questionnaires de scénarios de menaces 1, 2 et 3

d’Octave Allegro, le formulaire 10 d’Octave Allegro, des entrevues avec l’axe de gouvernance, la gestion et les opérations.

20

ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE MENACES »

• Qu’est-ce qu’on veut ?• Assembler les menaces avec les impacts et on définit une

valeur à chaque scénario.

• Comment l’obtient-on ?• Le résultats des étapes précédentes et on utilise les tables

du NIST SP 800-30 rev.1 (annexe E, G et H).

• Validation avec l’axe de gouvernance.

21

ÉTAPE 6 : ÉVALUER LES MESURES DE SÉCURITÉ

• Qu’est-ce qu’on veut ?• Évaluer les mesures de sécurité pouvant mitiger les

scénarios de menaces identifiés.

• Comment l’obtient-on ?• Entrevues et tests technologiques (lorsque qu’applicable).

• Utilisation de l’ISO 27002:2013 et du NIST SP 800-53 rev.4.

22

ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS

• Qu’est-ce qu’on veut ?• Identifier les lacunes et vulnérabilités suite à l’évaluation

des mesures.

• Comment l’obtient-on ?• Les résultats de l’étape précédente et on quantifie avec

l’annexe F du NIST SP 800-30.

23

ÉTAPE 8 : DÉFINIR LES RISQUES

• Qu’est-ce qu’on veut ?• Associer les scénarios de menaces aux vulnérabilités

applicables et les quantifier.

• Comment l’obtient-on ?• Les résultats de l’étape précédente et on quantifie avec

l’annexe I du NIST SP 800-30 rev.1.

24

ÉTAPE 9 : COMMUNIQUER LES RISQUES

• Qu’est-ce qu’on veut ?• Présenter à l’axe de gouvernance les risques jugés modérés

et importants.

• Comment l’obtient-on ?• Rencontre avec l’axe de gouvernance et la gestion de la

famille d’information ou du système d’information !

25

OCTAVE-UL

26

EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES

27

Résultat : sept (7) recommandations concernant la mise en place de correctifs visant les vulnérabilités identifiées 1 recommandation avec un budget déjà prévu 2 recommandations jugées importantes à prendre en

charge immédiatement dans le projet 1 recommandation pouvant être incorporée dans un

autre projet actuellement en préparation 3 recommandations à évaluer et à planifier

PÉRIODE III : LA CONSOLIDATION (2016 +)

28

2016 …

L’analyse de risques en sécurité de l’information : poursuivre son évolution et son opérationnalisationLa gestion des risques en sécurité de l’information : entreprendre des travaux d’adaptation pour favoriser la prise en compte plus spécifiquement de notre contexte

DISCUSSIONS

29

Questions ou commentaires ?

VOS PRÉSENTATEURS

30

Patrick Marois, M. Sc., Doctorant Sc. Adm.patrick.marois@dti.ulaval.ca

Guillaume Dubé, CISA CRISCguillaume.dube@bsi.ulaval.ca