Projet / SemaineTech / 2011 / Ateliers / GestionDesRisquesDeSécurité / Conversation

   1 (12:07:48) semainetech@reunion.auf.org: willy a changé le sujet en : ☞ Le salon de la Semaine Tech ☜ Atelier "Gestion des risques de sécurité" https://wiki.auf.org/wikiteki/Projet/SemaineTech/Ateliers/GestionDesRisquesDeS%C3%A9curit%C3%A9
   2 (12:13:06) willy: ------------------------------- DEBUT ATELIER : gestion des risques de sécurité -----------------------
   3 (12:13:10) pascal.bou-nassar: Bonjour à tous
   4 (12:13:18) pascal.bou-nassar: Dans cet atelier, je vais vous présenter les concepts derrière la gestion des risques de sécurité en suivant le plan:
   5 1-La problématique
   6 2-Les concepts
   7 3-Les méthodes de gestion des risques
   8 4-La gestion des risques avec CORAS
   9 5-Un cas d’application
  10 (12:13:56) pascal.bou-nassar: 
  11 Durant l’atelier, je ferai référence à la présentation http://www.lb.auf.org/gr en indiquant le numéro de la page (en haut de la page) (Par exemple, la page d’accueil vous avez le numéro 1.1).  ca sera bien d’ouvrir la page de la présentation …
  12 Vous avez tous accès ?
  13 (12:15:00) progfou: tous ceux qui ont bien accès mettent un '.' dans le salon tech SVP
  14 (12:16:23) pascal.bou-nassar: On a 6 . sur 26
  15 (12:16:33) pascal.bou-nassar: ;)
  16 (12:16:40) progfou: vas-y continue
  17 (12:16:49) pascal.bou-nassar: Bon on continu,
  18 (12:17:04) pascal.bou-nassar: Première partie : la problématique
  19 On n'arrête pas de parler de la sécurité informatique, que ca soit la sécurité de nos systèmes d'informations ou bien celle de nos infrastructures techniques. De plus, on parle de mesures de sécurité à mettre en place : des pare-feu,  des solutions de chiffrement et de signature, de solution de sauvegarde, etc…
  20 (12:17:19) pascal.bou-nassar: Le problème est comment nous pouvons investir le mieux à ce sujet ? Nous parlons d’investissement de notre temps, de nos ressources et aussi de notre budget ...
  21 (12:17:30) pascal.bou-nassar: Comment nous pouvons déterminer les biens à protéger et comment on va choisir les mesures de sécurité adéquates ? C’est ca le vrai problème….
  22 (12:17:50) pascal.bou-nassar: Bon la solution fait l’objet de cette présentation : On va aborder cette problématique par une étude de gestion des risques.
  23 (12:18:21) pascal.bou-nassar: Deuxième partie : Les concepts… Quelques définitions
  24 (12:18:33) pascal.bou-nassar: Dans notre travail, nous nous focalisons sur le risque de sécurité des systèmes d'informations et des systèmes informatique. 
  25 (12:18:42) pascal.bou-nassar: La gestion des risques est un processus constitué d'une série d'activités, dans lesquelles plusieurs acteurs définissent le système d'étude et collaborent entre eux afin de transformer la connaissance du système en des objectifs et des décisions permettant de mieux gérer le système.
  26 (12:19:04) pascal.bou-nassar: Un évènement redouté est un scénario générique représentant une situation crainte par l'organisme. Il s'exprime par la combinaison des sources de menaces susceptibles d'en être à l'origine, d'un bien essentiel, d'un critère de sécurité, du besoin de sécurité concerné et des impacts potentiels
  27 (12:19:20) pascal.bou-nassar: Dans la page 1.1 vous trouverez la liste des termes à connaitre dans une étude de GR, les menaces, les vulnérabilités, les scenarios de menace et les besoins de sécurité. 
  28 (12:19:38) pascal.bou-nassar: Est-ce que vous avez des questions sur ces concepts ?  
  29 (12:19:51) pascal.bou-nassar: Est ce qu'il y a d'ambiguité
  30 (12:23:08) pascal.bou-nassar: Aucune question, on continu
  31 (12:23:30) pascal.bou-nassar: la processus de gestion des risques se forment de plusieurs etapes
  32 (12:23:38) pascal.bou-nassar: l'établissement du contexte
  33 (12:23:52) pascal.bou-nassar: l'identification, l'analyse et l'évaluation des risques
  34 (12:24:05) pascal.bou-nassar: pour finalement traiter les risques
  35 (12:24:34) pascal.bou-nassar: il faut à tout prix faire un control continu des mesures de sécurité prises durant la gestion des risques
  36 (12:25:29) pascal.bou-nassar: Partie suivante : les méthodes de gestion des risques
  37 (12:25:44) pascal.bou-nassar: Pour accomplir une étude de gestion des risques, on pourra se baser des méthodes bien structurée et bien documentée
  38 (12:25:58) pascal.bou-nassar: Par exemple : EBIOS, OCTAVE, SNA, MEHARI, CORAS , CRAMM, etc..
  39 (12:26:16) pascal.bou-nassar: Ces méthodes intègrent le processus de gestion des risques
  40 (12:26:27) pascal.bou-nassar: déjà cité
  41 (12:26:38) pascal.bou-nassar: Pour choisir une méthode, il faut définir des critères de choix :
  42 • La portée de la méthode (infrastructure technique ou systèmes d'informations...)
  43 • Les phases de gestion du projet ( Conception du projet , audit d’un projet existant)
  44 • Flexibilité de la méthode
  45 • Les outils d'aide à la réalisation (logiciel de support, documentation...)
  46 
  47 (12:27:13) pascal.bou-nassar: Par exemple, EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode développée et maintenue par la DCSSI (Direction centrale de la sécurité des systèmes d'information) du secrétariat général de la défense nationale française. EBIOS permet la gestion des risques des systèmes d’informations et des infrastructures techniques d’une organisation
  48 
  49 (12:27:47) pascal.bou-nassar: EBIOS est très adaptée au contexte de l’AUF, toutefois dans sa version 2010, l’outil d’aide à la gestion des risques n’est pas encore développé- ca existe pour sa version de 2004…
  50 (12:27:56) pascal.bou-nassar: donc je ne l'ai pas retenu pour cette présentation
  51 (12:28:15) pascal.bou-nassar: Des questions ?
  52 (12:29:51) willy: 
  53 alexandre.domont: QUESTION: Que penses tu de la règle de Pareto  « 80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires. »  ?
  54 (12:30:59) pascal.bou-nassar: intéressant les pourcentage, je vais répondre autrement à cette question, car je ne sais pas comment etre assez précis dans les pourcentage
  55 (12:31:26) pascal.bou-nassar: disons si on apprend tous cette approche de gestion des risques , on pourra mieux investir 
  56 (12:31:42) pascal.bou-nassar: et mieux placer les mesures de sécurité 
  57 (12:32:10) pascal.bou-nassar: parfois , ca ne consiste pas à mettre en place des systèmes, mais tout simplement à mettre en place des politiques de sécurité
  58 (12:32:19) pascal.bou-nassar: qui ne coutent rien que le temps de les mettre
  59 (12:33:28) pascal.bou-nassar: en d'autres termes, la gestion des risques nous permettra de réduire les couts inutils 
  60 (12:33:43) pascal.bou-nassar: d'autres questions ?
  61 (12:33:59) pascal.bou-nassar: Ok on continu
  62 (12:34:30) pascal.bou-nassar: Pour accomplir cette presentation, je me suis basé sur la méthode CORAS qui présente un outil de modélisation des menaces .  
  63 (12:34:46) pascal.bou-nassar: Je vous invite à consulter la page 3.1 de la présentation dans laquelle vous trouverez les symboles du langage de modélisation de CORAS .
  64 (12:35:02) pascal.bou-nassar: 
  65 La figure ne bas de la page represente l’outil  CORAS que vous pouvez télécharger depuis
  66 http://sourceforge.net/projects/coras/files/CorasTool/corastool_v1.1_platform_independent.zip/download
  67 (12:35:46) pascal.bou-nassar: La démarche CORAS est formé de 8 étapes ou activités
  68 1. L'objectif de la première étape est de préparer l'analyse des risques en définissant le périmètre de l'étude. 
  69 2. Dans la deuxième étape, nous rassemblons l'information formant le contexte de l'étude, qui concerne la cible de l'étude, les biens à protéger et la portée de l'étude. 
  70 3. Dans la troisième étape nous récapitulons les informations du contexte qui sera approuvé par notre administration. 
  71 4. Au sein de l'étape 4, se fait la définition des échelles de probabilité, de conséquences ainsi que ceux de l'évaluation des risques.
  72 
  73 (12:37:37) pascal.bou-nassar: Avez vous consulter la page 3.1 ? c'est ok ?
  74 (12:39:48) pascal.bou-nassar: (il faut attendre , j'ai 5./24 )
  75 (12:41:08) pascal.bou-nassar: Bon on continu
  76 (12:41:33) pascal.bou-nassar: 5. En cinquième étape se fait l'identification des risques en se basant sur les menaces, les vulnérabilités, les scénarios de menaces et les évènements redoutés. 
  77 6. Dans l'étape six, l'évaluation des évènements redoutés permettra d'estimer les risques à l'égard des biens à protéger, en se basant sur les diagrammes de menaces. 
  78 7. L'étape sept est destinée à faire une deuxième évaluation des risques à l'égard des biens indirects, par exemple : la réputation de l'entreprise. Cette évaluation permettra d'attribuer des priorités aux traitements des risques. 
  79 8. Finalement, se fait le traitement des risques dans l'étape 8.
  80 (12:42:28) pascal.bou-nassar: Pour fixer les idées, nous allons abordé ces étapes en faisant un simple étude de cas
  81 (12:42:48) pascal.bou-nassar: Donnons un exemple simple sur la plateforme des bourses, Nous nous basons sur la palteforme actuelle développée par notre équipe dans laquelle les étudiants s'inscrivent pour faire la demande d'une bourse. 
  82 (12:43:22) pascal.bou-nassar: Supponsons que nous voulons ajouter une nouvelle fonctionnalité dans la plateforme permettant les professeurs (comité de sélection des boursiers) de se connecter, étudier les dossiers et sélectionner les étudiants ...
  83 (12:43:53) pascal.bou-nassar: (On passe de notre systeme d'information) dans une approche descendante vers notre infrastructure technique
  84 (12:44:06) pascal.bou-nassar: NOTE : Je pouvais prendre un exemple réel sur nos systèmes actuels par exemple la messagerie , le réseau intranet mais ca sera difficile de l'aborder dans un atelier d'une heure de temps ... 
  85 (12:44:50) pascal.bou-nassar: Dans ce qui suit: nous allons abordé les 8 phases de la méthodes coras
  86 (12:45:13) pascal.bou-nassar: Phase 1 : Préparation de l'analyse
  87 1. Définir le cible de l'étude
  88 2. Qu'est ce que l'AUF veut protéger
  89 3. Quels sont les biens de nos systèmes d'information et notre infrastructure technique liés au cible de l'étude ?
  90 4. Quels sont les événements redoutés ?
  91 5. Quelles sont les menaces pertinentes ?
  92 
  93 (12:45:56) pascal.bou-nassar: il faut impérativement répondre à ces questions pour entamer l'étude
  94 (12:46:17) pascal.bou-nassar: en fait c'est ce qu'on appelle l'étude du contexte dans le processus de gestion des risques
  95 (12:47:47) pascal.bou-nassar: Nous devons avoir une équipe qui maitrise les deux aspects des systèmes d'information  et des infrastrcutre technique qui nous aide à accomplir cette étude 
  96 (12:48:01) pascal.bou-nassar: la présence de JC et davin est primpordiale
  97 (12:48:48) pascal.bou-nassar: Phase 2 : Présentation du cible de l'étude
  98 On peut commencer par dessiner l’archiecture réseau de l’entreprise et définir par la suite le cible de l’étude
  99 Concernant ce nouveau projet, l'agence voulais maîtriser les risques de sécurité en rapport avec :
 100 - La confidentialité de l'information privée des étudiants 
 101 - La disponibilité de la plateforme surtout en période de pointe (ce qui pourra affecter la réputation de l'agence).
 102 Phase 3 : Modélisation des biens à protéger
 103 
 104 (12:50:12) pascal.bou-nassar: l'architecture a la page 4.2 de la présentation vous aide à fixer les idées
 105 (12:51:07) pascal.bou-nassar: Des questions ?
 106 (12:52:52) willy: 
 107 alexandre.domont: QUESTIONS :    La GR semble très méthodologique. Comment l'inclure au seins d'une entreprise sans faire appel à un spécialiste et ne ralentit  t elle pas la productivité ?
 108 (12:53:35) pascal.bou-nassar: Pour l'inclure dans une entreprise: il suffit de former quelques personnes. 
 109 (12:54:29) pascal.bou-nassar: il suffit de se baser par la suite sur des methodologies bien documenter et qui ont des outils d'aide pour mener l'etude
 110 (12:55:05) pascal.bou-nassar: dans le cadre de l'agence, ce n'est pas un vrai probleme, puisqu'on a un vrai reseau de partage ... donc l'information se diffuse rapidement
 111 (12:55:36) pascal.bou-nassar: concernant le ralentissement de la productivite
 112 (12:55:47) pascal.bou-nassar: moi je suis pour une meilleure conception des projets
 113 (12:56:06) pascal.bou-nassar: que de faire les choses vite et par la suite avoir des problemes
 114 (12:56:31) pascal.bou-nassar: mais c'est vrai la gestion des risques ajoute des temps d'etudes qu'il faut considerer
 115 (12:57:20) willy: 
 116 thomas.tsimi: QUESTIONS: Et en ce moment, la GR vis à vis des acteurs internes se passe comment. Je le demande parcequ'il me semble qu'ici c'est surtout vis à vis de l'environnement externe
 117 (12:57:54) pascal.bou-nassar: non, c'est ce qui apparait dans l'etude de cas que j'ai pris
 118 (12:58:15) pascal.bou-nassar: toutefois les memes principes s'appliquent dans l'audit et la securisation interne
 119 (12:58:38) willy: 
 120 alexandre.domont:  QUESTION : Qu'est ce qui pourrait justifier la mise en place d'une GR à l'AUF par exemple, nos systèmes semblent protégés  ?
 121 (12:59:25) pascal.bou-nassar: personne ne sais ou se cachent les failles... la GR permet de mieux cibler les investissements
 122 (12:59:40) pascal.bou-nassar: ne pas perdre du temps sur des choses qui ne sont pas avantageuses
 123 (13:00:40) pascal.bou-nassar: d'un autre cote, si on integre la GR dans tout notre travail, par exemple dans le developpelent
 124 (13:01:16) willy: 
 125 progfou: REMARQUE : on ne peut pas parler de l'intérêt d'une GR sans avoir défini quel risque nous intéresse ; par exemple quid du crack de nos mdp par une attaque de type dictionnaire ? je suis certain qu'actuellement plus de 50% tomberaient... la GR ici permettrait l'étude et la mise en place d'une politique de gestion des mdp
 126 (13:01:20) pascal.bou-nassar: la conception de nos SI peuvent integres une etude de GR qui permet par la suite de reduire les couts d'investissement en securite ... et pkoi pas peut etre la decision sera d'externaliser une application ... 
 127 (13:02:36) pascal.bou-nassar: ok je continu, il ne reste plus de temps ;)
 128 (13:02:49) pascal.bou-nassar: Phase 3 : Modélisation des biens à protéger
 129 
 130 Prière de consulter  la page 4.3- de la présentation dans laquelle on modélise les biens directs et indirects à protéger.
 131 La plateforme bourse et la base de données des étudiants sont les biens directs à protéger
 132 La satisfaction de l’étudiant et la réputation de l’AUF sont les biens indirects.
 133 (13:03:28) pascal.bou-nassar: Phase 4 : Validation du cible de l'étude
 134 (Ref : page 4.4)
 135 Nous faisons dans un premier temps une classification des biens de plus nous définitions les échelles de l’impact (consequences)  et la probabilite d’occurrence et finalement lafonction du risquef
 136 En effet, Le risque est la probabilité d'occurrence d'un événement redouté et son impact sur les biens.
 137 Exemple : Un evenement redoute dont les consequences sont insignifiantes et dont la probabilite d’occurrence est rare a une valeur de 1 (negligeable)
 138 Un evenement redoute de valeur 3 est un risque qui devra etre traiter.
 139 
 140 (13:04:35) pascal.bou-nassar: 
 141 Phase 5 : Identification des risques
 142 Je vous invite a consulter la page 4-5 dans laquelle nous modelisons :
 143  Les evenements redoutes
 144  Les menaces et leurs sources
 145  Les scenarios de menaces
 146 Les vulnerabilites
 147 (13:06:02) pascal.bou-nassar: 
 148 Phase 6 : Estimation des risques
 149 
 150 Ref 4.6 
 151 Dans cette phase, nous estimons les risques à la base de l'échelle de probabilité définit dans l'étape 4, nous déterminons, dans un premier temps, les probabilités d'occurrence des événements redoutés.
 152 Prenons comme exemple le scenario de menace "Mauvais développement et sécurisation de la base de donnée". 
 153 Nous attribuons la probabilité d'occurence comme possible ( 1 fois par an) vu l'expertise de notre équipe de développement.
 154 
 155 2- Si ce scenario de menace arrive, c'est probable qu'il y aurait des attaques sur la base de données. Dans ce cas nous attribuons une probabilité 0.7 qu'un mauvais développement mene a des attaques sur la base de données.
 156 La probabilité serait [0,07] donc c'est un cas possible
 157 Pour ce qui est les conséquences (impact), nous attribuons la valeur majeur a un impact
 158 (13:06:42) pascal.bou-nassar: dans ce travail nous avons modelise tous les elements du risque
 159 (13:07:03) pascal.bou-nassar: nous passons par la suite a  l'evaluation et le traitement des risques
 160 (13:07:11) pascal.bou-nassar: selon la demarche
 161 (13:07:28) pascal.bou-nassar: Phase 7: Évaluation des risques
 162 
 163 Dans cette étape, il va falloir déterminer la valeur du risque globale par rapport à tous les événements redoute ceci pour chaque bien à protéger. En effet, on a toujours une probabilite que deux événements redoutes auront lieu simultanément.
 164 - Dans l'exemple, nous avons vu deux événement redoute sur la plateforme des bourses
 165 L'agrégation de la valeur se fait comme précédemment à la base des échelles de l'étape 4.
 166 De la même façon, nous estimons les risques par rapport aux biens indirects telque la satisfaction des étudiants dans l'exemple.
 167 Finalement, nous déterminons les risques acceptables ou non acceptable
 168 
 169 
 170 (13:07:35) pascal.bou-nassar: Phase 8 : Traitement des risques
 171 Dans cette étape, nous nous focalisons sur les risques inacceptables.
 172 Pour ces risques nous reprenons les modèles effectués et sur chaque vulnerabilité et scenario de menace nous précisons les mesures de sécurité à appliquer 
 173 (13:08:53) willy: ok.... merci pascal.bou-nassar pour cet atelier
 174 (13:08:54) pascal.bou-nassar: j'ai débordé du temps 
 175 (13:09:13) willy: nous allons enchainer avec l'autre si vous n'y voyez pas d'inconvénients. davin.baragiotta et olivier.larcheveque c'est à vous
 176 (13:09:35) willy: --------------- FIN Atelier gestion des risques -----------------

Projet/SemaineTech/2011/Ateliers/GestionDesRisquesDeSécurité/Conversation (dernière édition le 2012-04-02 15:12:59 par VictorBruneau)