## page was renamed from Projet/SemaineTech2011/Ateliers/GestionDesRisquesDeSécurité/Conversation ## page was renamed from Projet/SemaineTech/Ateliers/GestionDesRisquesDeSécurité/Conversation {{{#!highlight irc (12:07:48) semainetech@reunion.auf.org: willy a changé le sujet en : ☞ Le salon de la Semaine Tech ☜ Atelier "Gestion des risques de sécurité" https://wiki.auf.org/wikiteki/Projet/SemaineTech/Ateliers/GestionDesRisquesDeS%C3%A9curit%C3%A9 (12:13:06) willy: ------------------------------- DEBUT ATELIER : gestion des risques de sécurité ----------------------- (12:13:10) pascal.bou-nassar: Bonjour à tous (12:13:18) pascal.bou-nassar: Dans cet atelier, je vais vous présenter les concepts derrière la gestion des risques de sécurité en suivant le plan: 1-La problématique 2-Les concepts 3-Les méthodes de gestion des risques 4-La gestion des risques avec CORAS 5-Un cas d’application (12:13:56) pascal.bou-nassar: Durant l’atelier, je ferai référence à la présentation http://www.lb.auf.org/gr en indiquant le numéro de la page (en haut de la page) (Par exemple, la page d’accueil vous avez le numéro 1.1). ca sera bien d’ouvrir la page de la présentation … Vous avez tous accès ? (12:15:00) progfou: tous ceux qui ont bien accès mettent un '.' dans le salon tech SVP (12:16:23) pascal.bou-nassar: On a 6 . sur 26 (12:16:33) pascal.bou-nassar: ;) (12:16:40) progfou: vas-y continue (12:16:49) pascal.bou-nassar: Bon on continu, (12:17:04) pascal.bou-nassar: Première partie : la problématique On n'arrête pas de parler de la sécurité informatique, que ca soit la sécurité de nos systèmes d'informations ou bien celle de nos infrastructures techniques. De plus, on parle de mesures de sécurité à mettre en place : des pare-feu, des solutions de chiffrement et de signature, de solution de sauvegarde, etc… (12:17:19) pascal.bou-nassar: Le problème est comment nous pouvons investir le mieux à ce sujet ? Nous parlons d’investissement de notre temps, de nos ressources et aussi de notre budget ... (12:17:30) pascal.bou-nassar: Comment nous pouvons déterminer les biens à protéger et comment on va choisir les mesures de sécurité adéquates ? C’est ca le vrai problème…. (12:17:50) pascal.bou-nassar: Bon la solution fait l’objet de cette présentation : On va aborder cette problématique par une étude de gestion des risques. (12:18:21) pascal.bou-nassar: Deuxième partie : Les concepts… Quelques définitions (12:18:33) pascal.bou-nassar: Dans notre travail, nous nous focalisons sur le risque de sécurité des systèmes d'informations et des systèmes informatique. (12:18:42) pascal.bou-nassar: La gestion des risques est un processus constitué d'une série d'activités, dans lesquelles plusieurs acteurs définissent le système d'étude et collaborent entre eux afin de transformer la connaissance du système en des objectifs et des décisions permettant de mieux gérer le système. (12:19:04) pascal.bou-nassar: Un évènement redouté est un scénario générique représentant une situation crainte par l'organisme. Il s'exprime par la combinaison des sources de menaces susceptibles d'en être à l'origine, d'un bien essentiel, d'un critère de sécurité, du besoin de sécurité concerné et des impacts potentiels (12:19:20) pascal.bou-nassar: Dans la page 1.1 vous trouverez la liste des termes à connaitre dans une étude de GR, les menaces, les vulnérabilités, les scenarios de menace et les besoins de sécurité. (12:19:38) pascal.bou-nassar: Est-ce que vous avez des questions sur ces concepts ? (12:19:51) pascal.bou-nassar: Est ce qu'il y a d'ambiguité (12:23:08) pascal.bou-nassar: Aucune question, on continu (12:23:30) pascal.bou-nassar: la processus de gestion des risques se forment de plusieurs etapes (12:23:38) pascal.bou-nassar: l'établissement du contexte (12:23:52) pascal.bou-nassar: l'identification, l'analyse et l'évaluation des risques (12:24:05) pascal.bou-nassar: pour finalement traiter les risques (12:24:34) pascal.bou-nassar: il faut à tout prix faire un control continu des mesures de sécurité prises durant la gestion des risques (12:25:29) pascal.bou-nassar: Partie suivante : les méthodes de gestion des risques (12:25:44) pascal.bou-nassar: Pour accomplir une étude de gestion des risques, on pourra se baser des méthodes bien structurée et bien documentée (12:25:58) pascal.bou-nassar: Par exemple : EBIOS, OCTAVE, SNA, MEHARI, CORAS , CRAMM, etc.. (12:26:16) pascal.bou-nassar: Ces méthodes intègrent le processus de gestion des risques (12:26:27) pascal.bou-nassar: déjà cité (12:26:38) pascal.bou-nassar: Pour choisir une méthode, il faut définir des critères de choix : • La portée de la méthode (infrastructure technique ou systèmes d'informations...) • Les phases de gestion du projet ( Conception du projet , audit d’un projet existant) • Flexibilité de la méthode • Les outils d'aide à la réalisation (logiciel de support, documentation...) (12:27:13) pascal.bou-nassar: Par exemple, EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode développée et maintenue par la DCSSI (Direction centrale de la sécurité des systèmes d'information) du secrétariat général de la défense nationale française. EBIOS permet la gestion des risques des systèmes d’informations et des infrastructures techniques d’une organisation (12:27:47) pascal.bou-nassar: EBIOS est très adaptée au contexte de l’AUF, toutefois dans sa version 2010, l’outil d’aide à la gestion des risques n’est pas encore développé- ca existe pour sa version de 2004… (12:27:56) pascal.bou-nassar: donc je ne l'ai pas retenu pour cette présentation (12:28:15) pascal.bou-nassar: Des questions ? (12:29:51) willy: alexandre.domont: QUESTION: Que penses tu de la règle de Pareto « 80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires. » ? (12:30:59) pascal.bou-nassar: intéressant les pourcentage, je vais répondre autrement à cette question, car je ne sais pas comment etre assez précis dans les pourcentage (12:31:26) pascal.bou-nassar: disons si on apprend tous cette approche de gestion des risques , on pourra mieux investir (12:31:42) pascal.bou-nassar: et mieux placer les mesures de sécurité (12:32:10) pascal.bou-nassar: parfois , ca ne consiste pas à mettre en place des systèmes, mais tout simplement à mettre en place des politiques de sécurité (12:32:19) pascal.bou-nassar: qui ne coutent rien que le temps de les mettre (12:33:28) pascal.bou-nassar: en d'autres termes, la gestion des risques nous permettra de réduire les couts inutils (12:33:43) pascal.bou-nassar: d'autres questions ? (12:33:59) pascal.bou-nassar: Ok on continu (12:34:30) pascal.bou-nassar: Pour accomplir cette presentation, je me suis basé sur la méthode CORAS qui présente un outil de modélisation des menaces . (12:34:46) pascal.bou-nassar: Je vous invite à consulter la page 3.1 de la présentation dans laquelle vous trouverez les symboles du langage de modélisation de CORAS . (12:35:02) pascal.bou-nassar: La figure ne bas de la page represente l’outil CORAS que vous pouvez télécharger depuis http://sourceforge.net/projects/coras/files/CorasTool/corastool_v1.1_platform_independent.zip/download (12:35:46) pascal.bou-nassar: La démarche CORAS est formé de 8 étapes ou activités 1. L'objectif de la première étape est de préparer l'analyse des risques en définissant le périmètre de l'étude. 2. Dans la deuxième étape, nous rassemblons l'information formant le contexte de l'étude, qui concerne la cible de l'étude, les biens à protéger et la portée de l'étude. 3. Dans la troisième étape nous récapitulons les informations du contexte qui sera approuvé par notre administration. 4. Au sein de l'étape 4, se fait la définition des échelles de probabilité, de conséquences ainsi que ceux de l'évaluation des risques. (12:37:37) pascal.bou-nassar: Avez vous consulter la page 3.1 ? c'est ok ? (12:39:48) pascal.bou-nassar: (il faut attendre , j'ai 5./24 ) (12:41:08) pascal.bou-nassar: Bon on continu (12:41:33) pascal.bou-nassar: 5. En cinquième étape se fait l'identification des risques en se basant sur les menaces, les vulnérabilités, les scénarios de menaces et les évènements redoutés. 6. Dans l'étape six, l'évaluation des évènements redoutés permettra d'estimer les risques à l'égard des biens à protéger, en se basant sur les diagrammes de menaces. 7. L'étape sept est destinée à faire une deuxième évaluation des risques à l'égard des biens indirects, par exemple : la réputation de l'entreprise. Cette évaluation permettra d'attribuer des priorités aux traitements des risques. 8. Finalement, se fait le traitement des risques dans l'étape 8. (12:42:28) pascal.bou-nassar: Pour fixer les idées, nous allons abordé ces étapes en faisant un simple étude de cas (12:42:48) pascal.bou-nassar: Donnons un exemple simple sur la plateforme des bourses, Nous nous basons sur la palteforme actuelle développée par notre équipe dans laquelle les étudiants s'inscrivent pour faire la demande d'une bourse. (12:43:22) pascal.bou-nassar: Supponsons que nous voulons ajouter une nouvelle fonctionnalité dans la plateforme permettant les professeurs (comité de sélection des boursiers) de se connecter, étudier les dossiers et sélectionner les étudiants ... (12:43:53) pascal.bou-nassar: (On passe de notre systeme d'information) dans une approche descendante vers notre infrastructure technique (12:44:06) pascal.bou-nassar: NOTE : Je pouvais prendre un exemple réel sur nos systèmes actuels par exemple la messagerie , le réseau intranet mais ca sera difficile de l'aborder dans un atelier d'une heure de temps ... (12:44:50) pascal.bou-nassar: Dans ce qui suit: nous allons abordé les 8 phases de la méthodes coras (12:45:13) pascal.bou-nassar: Phase 1 : Préparation de l'analyse 1. Définir le cible de l'étude 2. Qu'est ce que l'AUF veut protéger 3. Quels sont les biens de nos systèmes d'information et notre infrastructure technique liés au cible de l'étude ? 4. Quels sont les événements redoutés ? 5. Quelles sont les menaces pertinentes ? (12:45:56) pascal.bou-nassar: il faut impérativement répondre à ces questions pour entamer l'étude (12:46:17) pascal.bou-nassar: en fait c'est ce qu'on appelle l'étude du contexte dans le processus de gestion des risques (12:47:47) pascal.bou-nassar: Nous devons avoir une équipe qui maitrise les deux aspects des systèmes d'information et des infrastrcutre technique qui nous aide à accomplir cette étude (12:48:01) pascal.bou-nassar: la présence de JC et davin est primpordiale (12:48:48) pascal.bou-nassar: Phase 2 : Présentation du cible de l'étude On peut commencer par dessiner l’archiecture réseau de l’entreprise et définir par la suite le cible de l’étude Concernant ce nouveau projet, l'agence voulais maîtriser les risques de sécurité en rapport avec : - La confidentialité de l'information privée des étudiants - La disponibilité de la plateforme surtout en période de pointe (ce qui pourra affecter la réputation de l'agence). Phase 3 : Modélisation des biens à protéger (12:50:12) pascal.bou-nassar: l'architecture a la page 4.2 de la présentation vous aide à fixer les idées (12:51:07) pascal.bou-nassar: Des questions ? (12:52:52) willy: alexandre.domont: QUESTIONS : La GR semble très méthodologique. Comment l'inclure au seins d'une entreprise sans faire appel à un spécialiste et ne ralentit t elle pas la productivité ? (12:53:35) pascal.bou-nassar: Pour l'inclure dans une entreprise: il suffit de former quelques personnes. (12:54:29) pascal.bou-nassar: il suffit de se baser par la suite sur des methodologies bien documenter et qui ont des outils d'aide pour mener l'etude (12:55:05) pascal.bou-nassar: dans le cadre de l'agence, ce n'est pas un vrai probleme, puisqu'on a un vrai reseau de partage ... donc l'information se diffuse rapidement (12:55:36) pascal.bou-nassar: concernant le ralentissement de la productivite (12:55:47) pascal.bou-nassar: moi je suis pour une meilleure conception des projets (12:56:06) pascal.bou-nassar: que de faire les choses vite et par la suite avoir des problemes (12:56:31) pascal.bou-nassar: mais c'est vrai la gestion des risques ajoute des temps d'etudes qu'il faut considerer (12:57:20) willy: thomas.tsimi: QUESTIONS: Et en ce moment, la GR vis à vis des acteurs internes se passe comment. Je le demande parcequ'il me semble qu'ici c'est surtout vis à vis de l'environnement externe (12:57:54) pascal.bou-nassar: non, c'est ce qui apparait dans l'etude de cas que j'ai pris (12:58:15) pascal.bou-nassar: toutefois les memes principes s'appliquent dans l'audit et la securisation interne (12:58:38) willy: alexandre.domont: QUESTION : Qu'est ce qui pourrait justifier la mise en place d'une GR à l'AUF par exemple, nos systèmes semblent protégés ? (12:59:25) pascal.bou-nassar: personne ne sais ou se cachent les failles... la GR permet de mieux cibler les investissements (12:59:40) pascal.bou-nassar: ne pas perdre du temps sur des choses qui ne sont pas avantageuses (13:00:40) pascal.bou-nassar: d'un autre cote, si on integre la GR dans tout notre travail, par exemple dans le developpelent (13:01:16) willy: progfou: REMARQUE : on ne peut pas parler de l'intérêt d'une GR sans avoir défini quel risque nous intéresse ; par exemple quid du crack de nos mdp par une attaque de type dictionnaire ? je suis certain qu'actuellement plus de 50% tomberaient... la GR ici permettrait l'étude et la mise en place d'une politique de gestion des mdp (13:01:20) pascal.bou-nassar: la conception de nos SI peuvent integres une etude de GR qui permet par la suite de reduire les couts d'investissement en securite ... et pkoi pas peut etre la decision sera d'externaliser une application ... (13:02:36) pascal.bou-nassar: ok je continu, il ne reste plus de temps ;) (13:02:49) pascal.bou-nassar: Phase 3 : Modélisation des biens à protéger Prière de consulter la page 4.3- de la présentation dans laquelle on modélise les biens directs et indirects à protéger. La plateforme bourse et la base de données des étudiants sont les biens directs à protéger La satisfaction de l’étudiant et la réputation de l’AUF sont les biens indirects. (13:03:28) pascal.bou-nassar: Phase 4 : Validation du cible de l'étude (Ref : page 4.4) Nous faisons dans un premier temps une classification des biens de plus nous définitions les échelles de l’impact (consequences) et la probabilite d’occurrence et finalement lafonction du risquef En effet, Le risque est la probabilité d'occurrence d'un événement redouté et son impact sur les biens. Exemple : Un evenement redoute dont les consequences sont insignifiantes et dont la probabilite d’occurrence est rare a une valeur de 1 (negligeable) Un evenement redoute de valeur 3 est un risque qui devra etre traiter. (13:04:35) pascal.bou-nassar: Phase 5 : Identification des risques Je vous invite a consulter la page 4-5 dans laquelle nous modelisons : Les evenements redoutes Les menaces et leurs sources Les scenarios de menaces Les vulnerabilites (13:06:02) pascal.bou-nassar: Phase 6 : Estimation des risques Ref 4.6 Dans cette phase, nous estimons les risques à la base de l'échelle de probabilité définit dans l'étape 4, nous déterminons, dans un premier temps, les probabilités d'occurrence des événements redoutés. Prenons comme exemple le scenario de menace "Mauvais développement et sécurisation de la base de donnée". Nous attribuons la probabilité d'occurence comme possible ( 1 fois par an) vu l'expertise de notre équipe de développement. 2- Si ce scenario de menace arrive, c'est probable qu'il y aurait des attaques sur la base de données. Dans ce cas nous attribuons une probabilité 0.7 qu'un mauvais développement mene a des attaques sur la base de données. La probabilité serait [0,07] donc c'est un cas possible Pour ce qui est les conséquences (impact), nous attribuons la valeur majeur a un impact (13:06:42) pascal.bou-nassar: dans ce travail nous avons modelise tous les elements du risque (13:07:03) pascal.bou-nassar: nous passons par la suite a l'evaluation et le traitement des risques (13:07:11) pascal.bou-nassar: selon la demarche (13:07:28) pascal.bou-nassar: Phase 7: Évaluation des risques Dans cette étape, il va falloir déterminer la valeur du risque globale par rapport à tous les événements redoute ceci pour chaque bien à protéger. En effet, on a toujours une probabilite que deux événements redoutes auront lieu simultanément. - Dans l'exemple, nous avons vu deux événement redoute sur la plateforme des bourses L'agrégation de la valeur se fait comme précédemment à la base des échelles de l'étape 4. De la même façon, nous estimons les risques par rapport aux biens indirects telque la satisfaction des étudiants dans l'exemple. Finalement, nous déterminons les risques acceptables ou non acceptable (13:07:35) pascal.bou-nassar: Phase 8 : Traitement des risques Dans cette étape, nous nous focalisons sur les risques inacceptables. Pour ces risques nous reprenons les modèles effectués et sur chaque vulnerabilité et scenario de menace nous précisons les mesures de sécurité à appliquer (13:08:53) willy: ok.... merci pascal.bou-nassar pour cet atelier (13:08:54) pascal.bou-nassar: j'ai débordé du temps (13:09:13) willy: nous allons enchainer avec l'autre si vous n'y voyez pas d'inconvénients. davin.baragiotta et olivier.larcheveque c'est à vous (13:09:35) willy: --------------- FIN Atelier gestion des risques ----------------- }}}