1 (12:07:48) semainetech@reunion.auf.org: willy a changé le sujet en : ☞ Le salon de la Semaine Tech ☜ Atelier "Gestion des risques de sécurité" https://wiki.auf.org/wikiteki/Projet/SemaineTech/Ateliers/GestionDesRisquesDeS%C3%A9curit%C3%A9
2 (12:13:06) willy: ------------------------------- DEBUT ATELIER : gestion des risques de sécurité -----------------------
3 (12:13:10) pascal.bou-nassar: Bonjour à tous
4 (12:13:18) pascal.bou-nassar: Dans cet atelier, je vais vous présenter les concepts derrière la gestion des risques de sécurité en suivant le plan:
5 1-La problématique
6 2-Les concepts
7 3-Les méthodes de gestion des risques
8 4-La gestion des risques avec CORAS
9 5-Un cas d’application
10 (12:13:56) pascal.bou-nassar:
11 Durant l’atelier, je ferai référence à la présentation http://www.lb.auf.org/gr en indiquant le numéro de la page (en haut de la page) (Par exemple, la page d’accueil vous avez le numéro 1.1). ca sera bien d’ouvrir la page de la présentation …
12 Vous avez tous accès ?
13 (12:15:00) progfou: tous ceux qui ont bien accès mettent un '.' dans le salon tech SVP
14 (12:16:23) pascal.bou-nassar: On a 6 . sur 26
15 (12:16:33) pascal.bou-nassar: ;)
16 (12:16:40) progfou: vas-y continue
17 (12:16:49) pascal.bou-nassar: Bon on continu,
18 (12:17:04) pascal.bou-nassar: Première partie : la problématique
19 On n'arrête pas de parler de la sécurité informatique, que ca soit la sécurité de nos systèmes d'informations ou bien celle de nos infrastructures techniques. De plus, on parle de mesures de sécurité à mettre en place : des pare-feu, des solutions de chiffrement et de signature, de solution de sauvegarde, etc…
20 (12:17:19) pascal.bou-nassar: Le problème est comment nous pouvons investir le mieux à ce sujet ? Nous parlons d’investissement de notre temps, de nos ressources et aussi de notre budget ...
21 (12:17:30) pascal.bou-nassar: Comment nous pouvons déterminer les biens à protéger et comment on va choisir les mesures de sécurité adéquates ? C’est ca le vrai problème….
22 (12:17:50) pascal.bou-nassar: Bon la solution fait l’objet de cette présentation : On va aborder cette problématique par une étude de gestion des risques.
23 (12:18:21) pascal.bou-nassar: Deuxième partie : Les concepts… Quelques définitions
24 (12:18:33) pascal.bou-nassar: Dans notre travail, nous nous focalisons sur le risque de sécurité des systèmes d'informations et des systèmes informatique.
25 (12:18:42) pascal.bou-nassar: La gestion des risques est un processus constitué d'une série d'activités, dans lesquelles plusieurs acteurs définissent le système d'étude et collaborent entre eux afin de transformer la connaissance du système en des objectifs et des décisions permettant de mieux gérer le système.
26 (12:19:04) pascal.bou-nassar: Un évènement redouté est un scénario générique représentant une situation crainte par l'organisme. Il s'exprime par la combinaison des sources de menaces susceptibles d'en être à l'origine, d'un bien essentiel, d'un critère de sécurité, du besoin de sécurité concerné et des impacts potentiels
27 (12:19:20) pascal.bou-nassar: Dans la page 1.1 vous trouverez la liste des termes à connaitre dans une étude de GR, les menaces, les vulnérabilités, les scenarios de menace et les besoins de sécurité.
28 (12:19:38) pascal.bou-nassar: Est-ce que vous avez des questions sur ces concepts ?
29 (12:19:51) pascal.bou-nassar: Est ce qu'il y a d'ambiguité
30 (12:23:08) pascal.bou-nassar: Aucune question, on continu
31 (12:23:30) pascal.bou-nassar: la processus de gestion des risques se forment de plusieurs etapes
32 (12:23:38) pascal.bou-nassar: l'établissement du contexte
33 (12:23:52) pascal.bou-nassar: l'identification, l'analyse et l'évaluation des risques
34 (12:24:05) pascal.bou-nassar: pour finalement traiter les risques
35 (12:24:34) pascal.bou-nassar: il faut à tout prix faire un control continu des mesures de sécurité prises durant la gestion des risques
36 (12:25:29) pascal.bou-nassar: Partie suivante : les méthodes de gestion des risques
37 (12:25:44) pascal.bou-nassar: Pour accomplir une étude de gestion des risques, on pourra se baser des méthodes bien structurée et bien documentée
38 (12:25:58) pascal.bou-nassar: Par exemple : EBIOS, OCTAVE, SNA, MEHARI, CORAS , CRAMM, etc..
39 (12:26:16) pascal.bou-nassar: Ces méthodes intègrent le processus de gestion des risques
40 (12:26:27) pascal.bou-nassar: déjà cité
41 (12:26:38) pascal.bou-nassar: Pour choisir une méthode, il faut définir des critères de choix :
42 • La portée de la méthode (infrastructure technique ou systèmes d'informations...)
43 • Les phases de gestion du projet ( Conception du projet , audit d’un projet existant)
44 • Flexibilité de la méthode
45 • Les outils d'aide à la réalisation (logiciel de support, documentation...)
46
47 (12:27:13) pascal.bou-nassar: Par exemple, EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode développée et maintenue par la DCSSI (Direction centrale de la sécurité des systèmes d'information) du secrétariat général de la défense nationale française. EBIOS permet la gestion des risques des systèmes d’informations et des infrastructures techniques d’une organisation
48
49 (12:27:47) pascal.bou-nassar: EBIOS est très adaptée au contexte de l’AUF, toutefois dans sa version 2010, l’outil d’aide à la gestion des risques n’est pas encore développé- ca existe pour sa version de 2004…
50 (12:27:56) pascal.bou-nassar: donc je ne l'ai pas retenu pour cette présentation
51 (12:28:15) pascal.bou-nassar: Des questions ?
52 (12:29:51) willy:
53 alexandre.domont: QUESTION: Que penses tu de la règle de Pareto « 80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires. » ?
54 (12:30:59) pascal.bou-nassar: intéressant les pourcentage, je vais répondre autrement à cette question, car je ne sais pas comment etre assez précis dans les pourcentage
55 (12:31:26) pascal.bou-nassar: disons si on apprend tous cette approche de gestion des risques , on pourra mieux investir
56 (12:31:42) pascal.bou-nassar: et mieux placer les mesures de sécurité
57 (12:32:10) pascal.bou-nassar: parfois , ca ne consiste pas à mettre en place des systèmes, mais tout simplement à mettre en place des politiques de sécurité
58 (12:32:19) pascal.bou-nassar: qui ne coutent rien que le temps de les mettre
59 (12:33:28) pascal.bou-nassar: en d'autres termes, la gestion des risques nous permettra de réduire les couts inutils
60 (12:33:43) pascal.bou-nassar: d'autres questions ?
61 (12:33:59) pascal.bou-nassar: Ok on continu
62 (12:34:30) pascal.bou-nassar: Pour accomplir cette presentation, je me suis basé sur la méthode CORAS qui présente un outil de modélisation des menaces .
63 (12:34:46) pascal.bou-nassar: Je vous invite à consulter la page 3.1 de la présentation dans laquelle vous trouverez les symboles du langage de modélisation de CORAS .
64 (12:35:02) pascal.bou-nassar:
65 La figure ne bas de la page represente l’outil CORAS que vous pouvez télécharger depuis
66 http://sourceforge.net/projects/coras/files/CorasTool/corastool_v1.1_platform_independent.zip/download
67 (12:35:46) pascal.bou-nassar: La démarche CORAS est formé de 8 étapes ou activités
68 1. L'objectif de la première étape est de préparer l'analyse des risques en définissant le périmètre de l'étude.
69 2. Dans la deuxième étape, nous rassemblons l'information formant le contexte de l'étude, qui concerne la cible de l'étude, les biens à protéger et la portée de l'étude.
70 3. Dans la troisième étape nous récapitulons les informations du contexte qui sera approuvé par notre administration.
71 4. Au sein de l'étape 4, se fait la définition des échelles de probabilité, de conséquences ainsi que ceux de l'évaluation des risques.
72
73 (12:37:37) pascal.bou-nassar: Avez vous consulter la page 3.1 ? c'est ok ?
74 (12:39:48) pascal.bou-nassar: (il faut attendre , j'ai 5./24 )
75 (12:41:08) pascal.bou-nassar: Bon on continu
76 (12:41:33) pascal.bou-nassar: 5. En cinquième étape se fait l'identification des risques en se basant sur les menaces, les vulnérabilités, les scénarios de menaces et les évènements redoutés.
77 6. Dans l'étape six, l'évaluation des évènements redoutés permettra d'estimer les risques à l'égard des biens à protéger, en se basant sur les diagrammes de menaces.
78 7. L'étape sept est destinée à faire une deuxième évaluation des risques à l'égard des biens indirects, par exemple : la réputation de l'entreprise. Cette évaluation permettra d'attribuer des priorités aux traitements des risques.
79 8. Finalement, se fait le traitement des risques dans l'étape 8.
80 (12:42:28) pascal.bou-nassar: Pour fixer les idées, nous allons abordé ces étapes en faisant un simple étude de cas
81 (12:42:48) pascal.bou-nassar: Donnons un exemple simple sur la plateforme des bourses, Nous nous basons sur la palteforme actuelle développée par notre équipe dans laquelle les étudiants s'inscrivent pour faire la demande d'une bourse.
82 (12:43:22) pascal.bou-nassar: Supponsons que nous voulons ajouter une nouvelle fonctionnalité dans la plateforme permettant les professeurs (comité de sélection des boursiers) de se connecter, étudier les dossiers et sélectionner les étudiants ...
83 (12:43:53) pascal.bou-nassar: (On passe de notre systeme d'information) dans une approche descendante vers notre infrastructure technique
84 (12:44:06) pascal.bou-nassar: NOTE : Je pouvais prendre un exemple réel sur nos systèmes actuels par exemple la messagerie , le réseau intranet mais ca sera difficile de l'aborder dans un atelier d'une heure de temps ...
85 (12:44:50) pascal.bou-nassar: Dans ce qui suit: nous allons abordé les 8 phases de la méthodes coras
86 (12:45:13) pascal.bou-nassar: Phase 1 : Préparation de l'analyse
87 1. Définir le cible de l'étude
88 2. Qu'est ce que l'AUF veut protéger
89 3. Quels sont les biens de nos systèmes d'information et notre infrastructure technique liés au cible de l'étude ?
90 4. Quels sont les événements redoutés ?
91 5. Quelles sont les menaces pertinentes ?
92
93 (12:45:56) pascal.bou-nassar: il faut impérativement répondre à ces questions pour entamer l'étude
94 (12:46:17) pascal.bou-nassar: en fait c'est ce qu'on appelle l'étude du contexte dans le processus de gestion des risques
95 (12:47:47) pascal.bou-nassar: Nous devons avoir une équipe qui maitrise les deux aspects des systèmes d'information et des infrastrcutre technique qui nous aide à accomplir cette étude
96 (12:48:01) pascal.bou-nassar: la présence de JC et davin est primpordiale
97 (12:48:48) pascal.bou-nassar: Phase 2 : Présentation du cible de l'étude
98 On peut commencer par dessiner l’archiecture réseau de l’entreprise et définir par la suite le cible de l’étude
99 Concernant ce nouveau projet, l'agence voulais maîtriser les risques de sécurité en rapport avec :
100 - La confidentialité de l'information privée des étudiants
101 - La disponibilité de la plateforme surtout en période de pointe (ce qui pourra affecter la réputation de l'agence).
102 Phase 3 : Modélisation des biens à protéger
103
104 (12:50:12) pascal.bou-nassar: l'architecture a la page 4.2 de la présentation vous aide à fixer les idées
105 (12:51:07) pascal.bou-nassar: Des questions ?
106 (12:52:52) willy:
107 alexandre.domont: QUESTIONS : La GR semble très méthodologique. Comment l'inclure au seins d'une entreprise sans faire appel à un spécialiste et ne ralentit t elle pas la productivité ?
108 (12:53:35) pascal.bou-nassar: Pour l'inclure dans une entreprise: il suffit de former quelques personnes.
109 (12:54:29) pascal.bou-nassar: il suffit de se baser par la suite sur des methodologies bien documenter et qui ont des outils d'aide pour mener l'etude
110 (12:55:05) pascal.bou-nassar: dans le cadre de l'agence, ce n'est pas un vrai probleme, puisqu'on a un vrai reseau de partage ... donc l'information se diffuse rapidement
111 (12:55:36) pascal.bou-nassar: concernant le ralentissement de la productivite
112 (12:55:47) pascal.bou-nassar: moi je suis pour une meilleure conception des projets
113 (12:56:06) pascal.bou-nassar: que de faire les choses vite et par la suite avoir des problemes
114 (12:56:31) pascal.bou-nassar: mais c'est vrai la gestion des risques ajoute des temps d'etudes qu'il faut considerer
115 (12:57:20) willy:
116 thomas.tsimi: QUESTIONS: Et en ce moment, la GR vis à vis des acteurs internes se passe comment. Je le demande parcequ'il me semble qu'ici c'est surtout vis à vis de l'environnement externe
117 (12:57:54) pascal.bou-nassar: non, c'est ce qui apparait dans l'etude de cas que j'ai pris
118 (12:58:15) pascal.bou-nassar: toutefois les memes principes s'appliquent dans l'audit et la securisation interne
119 (12:58:38) willy:
120 alexandre.domont: QUESTION : Qu'est ce qui pourrait justifier la mise en place d'une GR à l'AUF par exemple, nos systèmes semblent protégés ?
121 (12:59:25) pascal.bou-nassar: personne ne sais ou se cachent les failles... la GR permet de mieux cibler les investissements
122 (12:59:40) pascal.bou-nassar: ne pas perdre du temps sur des choses qui ne sont pas avantageuses
123 (13:00:40) pascal.bou-nassar: d'un autre cote, si on integre la GR dans tout notre travail, par exemple dans le developpelent
124 (13:01:16) willy:
125 progfou: REMARQUE : on ne peut pas parler de l'intérêt d'une GR sans avoir défini quel risque nous intéresse ; par exemple quid du crack de nos mdp par une attaque de type dictionnaire ? je suis certain qu'actuellement plus de 50% tomberaient... la GR ici permettrait l'étude et la mise en place d'une politique de gestion des mdp
126 (13:01:20) pascal.bou-nassar: la conception de nos SI peuvent integres une etude de GR qui permet par la suite de reduire les couts d'investissement en securite ... et pkoi pas peut etre la decision sera d'externaliser une application ...
127 (13:02:36) pascal.bou-nassar: ok je continu, il ne reste plus de temps ;)
128 (13:02:49) pascal.bou-nassar: Phase 3 : Modélisation des biens à protéger
129
130 Prière de consulter la page 4.3- de la présentation dans laquelle on modélise les biens directs et indirects à protéger.
131 La plateforme bourse et la base de données des étudiants sont les biens directs à protéger
132 La satisfaction de l’étudiant et la réputation de l’AUF sont les biens indirects.
133 (13:03:28) pascal.bou-nassar: Phase 4 : Validation du cible de l'étude
134 (Ref : page 4.4)
135 Nous faisons dans un premier temps une classification des biens de plus nous définitions les échelles de l’impact (consequences) et la probabilite d’occurrence et finalement lafonction du risquef
136 En effet, Le risque est la probabilité d'occurrence d'un événement redouté et son impact sur les biens.
137 Exemple : Un evenement redoute dont les consequences sont insignifiantes et dont la probabilite d’occurrence est rare a une valeur de 1 (negligeable)
138 Un evenement redoute de valeur 3 est un risque qui devra etre traiter.
139
140 (13:04:35) pascal.bou-nassar:
141 Phase 5 : Identification des risques
142 Je vous invite a consulter la page 4-5 dans laquelle nous modelisons :
143 Les evenements redoutes
144 Les menaces et leurs sources
145 Les scenarios de menaces
146 Les vulnerabilites
147 (13:06:02) pascal.bou-nassar:
148 Phase 6 : Estimation des risques
149
150 Ref 4.6
151 Dans cette phase, nous estimons les risques à la base de l'échelle de probabilité définit dans l'étape 4, nous déterminons, dans un premier temps, les probabilités d'occurrence des événements redoutés.
152 Prenons comme exemple le scenario de menace "Mauvais développement et sécurisation de la base de donnée".
153 Nous attribuons la probabilité d'occurence comme possible ( 1 fois par an) vu l'expertise de notre équipe de développement.
154
155 2- Si ce scenario de menace arrive, c'est probable qu'il y aurait des attaques sur la base de données. Dans ce cas nous attribuons une probabilité 0.7 qu'un mauvais développement mene a des attaques sur la base de données.
156 La probabilité serait [0,07] donc c'est un cas possible
157 Pour ce qui est les conséquences (impact), nous attribuons la valeur majeur a un impact
158 (13:06:42) pascal.bou-nassar: dans ce travail nous avons modelise tous les elements du risque
159 (13:07:03) pascal.bou-nassar: nous passons par la suite a l'evaluation et le traitement des risques
160 (13:07:11) pascal.bou-nassar: selon la demarche
161 (13:07:28) pascal.bou-nassar: Phase 7: Évaluation des risques
162
163 Dans cette étape, il va falloir déterminer la valeur du risque globale par rapport à tous les événements redoute ceci pour chaque bien à protéger. En effet, on a toujours une probabilite que deux événements redoutes auront lieu simultanément.
164 - Dans l'exemple, nous avons vu deux événement redoute sur la plateforme des bourses
165 L'agrégation de la valeur se fait comme précédemment à la base des échelles de l'étape 4.
166 De la même façon, nous estimons les risques par rapport aux biens indirects telque la satisfaction des étudiants dans l'exemple.
167 Finalement, nous déterminons les risques acceptables ou non acceptable
168
169
170 (13:07:35) pascal.bou-nassar: Phase 8 : Traitement des risques
171 Dans cette étape, nous nous focalisons sur les risques inacceptables.
172 Pour ces risques nous reprenons les modèles effectués et sur chaque vulnerabilité et scenario de menace nous précisons les mesures de sécurité à appliquer
173 (13:08:53) willy: ok.... merci pascal.bou-nassar pour cet atelier
174 (13:08:54) pascal.bou-nassar: j'ai débordé du temps
175 (13:09:13) willy: nous allons enchainer avec l'autre si vous n'y voyez pas d'inconvénients. davin.baragiotta et olivier.larcheveque c'est à vous
176 (13:09:35) willy: --------------- FIN Atelier gestion des risques -----------------