Sécurité Positive : L'élévation par la Responsabilité Sociétale
Le « Security by Design » et ses multiples facettes
1. Le « Security by Design »
et ses multiples facettes
Thierry PERTUS
Janvier 2015
2. Le « Security by Design » et ses multiples facettes
Janvier 2015 p 2
►Avant-propos
En matière de management de la sécurité des systèmes d’information, il est admis que les besoins de sécurité doivent être pris
en compte très en amont et tout au long du cycle projet. Si cette démarche méthodologique vertueuse et responsable s’appuie
idéalement sur une analyse de risques s’inscrivant dans un processus standardisé et reproductible, l’exercice peut s’avérer
particulièrement délicat lorsque le périmètre d’étude comporte des interactions ou adhérences fortes avec un écosystème
complexe, hétérogène et pas toujours maîtrisé, ainsi que des actifs informationnels devenant inquantifiables, volatiles et
polymorphes *.
Par où commencer pour relever ce défi d’aujourd’hui et de demain ? Quelles sont les pistes d’action pour obtenir une assurance
sécurité intégrée, dite « built-in », alignée durablement sur les objectifs stratégiques et opérationnels de la DSI, du Métier et de
la gouvernance d’entreprise ? Autant de questions ésotériques qui nous amènent à nous intéresser à l’univers très codifié de
l’architecture d’entreprise et de l’urbanisation des SI.
►Teaser (Security by Design and its many facets)
In terms of security management of information systems, it is recognized that security needs must be taken into account very
early on and throughout the project cycle. This commendable and responsible methodological approach is justly based on risk
analysis as part of a standardized, repeatable process. But the exercise can prove especially difficult when the field of concern
has strong interactions or connections with a complex, heterogeneous ecosystem, which may not always be under control, and
with information assets that have become unquantifiable, volatile and polymorphic.
Where does one start to address this current and upcoming challenge? What are the courses of action for integrated security
assurance, known as "built-in", aligned with the long-term strategic and operational objectives of the CIO, Business Processes
and Corporate governance? What may appear to be rather arcane questioning leads us directly to issues regarding the highly
codified world of enterprise architecture and urbanization of IS.
Vous pouvez lire la version intégrale de l’article dans le magazine Global Security Mag - n° 30
(Trimestriel Janvier-Mars 2015)
* 3V (Volume, Vitesse, Variété) caractérisant le Big Data
3. Le « Security by Design » et ses multiples facettes
p 3
Un cadre d’architecture pour manager la SSI :
une question de « point de vue »
Janvier 2015
4. Le « Security by Design » et ses multiples facettes
p 4Janvier 2015
►Des enjeux multiples
s’appuyer sur des composants réputés et avérés fiables, interopérables et maintenus en conditions de
sécurité (MCS)
disposer d’un SI efficient et résilient, mais aussi évolutif et réactif (agilité et time-to-market obligent),
de façon à soutenir la stratégie d’entreprise et les objectifs opérationnels du Métier ;
apprécier et de contenir les risques cyber pour garantir une certaine « confiance numérique »
aux différentes parties prenantes ;
rationaliser les coûts d’investissement et de possession (TCO)
et optimiser les délais d’implémentation ou de délivrance des services en support.
Pour relever un tel challenge, l’architecture d’entreprise s’avère être LA discipline incontournable,
permettant de se doter d’une vision systémique de l’organisation, à partir d’une approche holistique,
structurée et partagée, mais également d’un support commun à la réflexion et à la communication, lui
conférant la vocation de véritable « clé de voûte » du changement.
►L’architecture d’entreprise (EA) et ses modèles multi-niveaux
EA Enterprise Architecture
TCO Total Cost of Ownership
TIC Technologies de l’Information
et de la Communication
5. Le « Security by Design » et ses multiples facettes
Stratégie
d’entreprise
(gouvernance)
Pilotage des
processus Métier
(fonctionnel orienté
objets Métier)
Urbanisation du SI
(fonctionnel orienté
applications & données)
Architecture
technique - TIC
(socle technique
d’infrastructure)
Sécurité des socles systèmes
Sécurité des données
Sécurité des opérations de traitement
Sécurité des socles middleware
Sécurité des réseaux et stockages
Sécurité des applications
Classification de l’information,
Gestion des habilitations
Gestion de crise
COMEX
CODIR
MOA
(Métier)
AMOA
(CdP SI)
MOE
Pilotagedelasécuritéopérationnelle
Prévention Détection Réaction
Veille,Conformité,Contrôleinterne,Sensibilisation
Gouvernancedelasécurité
Gestion des risques d’entreprise
Servicesfédérateursdeconfiance,Continuitéd’activité
Exploitation,Maintienenconditiondesécurité,
Surveillance,Gestiondesincidentsdesécurité
Sécuritéprojets,Ingénierie,Conduiteduchangement
(fournisseur,
intégrateur,
mainteneur)
p 5Janvier 2015
►Correspondance entre domaines d’architecture d’entreprise et domaines de sécurité
6. Le « Security by Design » et ses multiples facettes
Facteurs externes
de conformité
Référentiels
internes
Démarche méthodologique « top-down »
de conduite des projets de transformation
•Gouvernance de la sécurité du SI
•Appréciation des risques cyber
en lien avec les enjeux stratégiques
Stratégie d’entreprise
•Spécifications des besoins de sécurité
pour les actifs informationnels
en lien avec les objectifs opérationnels
et les impacts potentiels
(ex : niveau de sensibilité DICP)
Pilotage des
processus Métier
•Analyse de risques liés à la sécurité du SI
•Spécifications des exigences de sécurité
et des niveaux de service requis
•Plan d’audit / recette / homologation sécurité
Urbanisation du SI
•Spécifications des fonctions de sécurité
et des capacités appropriées
•Sélection des services, produits
et mécanismes de sécurité appropriés
Architecture technique
- TIC
Exigences
de sécurité
Composants
de sécurité
Fonctions
de sécurité
Principes
de sécurité
(PSSI)
Critères
de sécurité
/ Classification
des données
Obligations
légales,
réglementaires
et contractuelles
Référentiels
méthodologiques
et techniques
(normes,
standards, guides)
Catalogues (artefacts)
à élaborer et faire évoluer
Rebouclage « bottom-up »
par cycles itératifs (alignement / ajustement)
Gestion des risques techniques
Gestion des risques fonctionnels
Gestion des risques opérationnels
p 6Janvier 2015
►« Vue » sur les activités de sécurité dans les projets
7. Le « Security by Design » et ses multiples facettes
p 7
La modélisation par blocs fonctionnels
Janvier 2015
8. Le « Security by Design » et ses multiples facettes
Fondations
(générique)
Systèmes
communs
(transverse)
Domaine
d’activité
(sectoriel)
Entreprise
(contextuel)
Solution
Building Block (SBB)
/ Design pattern
Architecture
Building Block (ABB)
/ Architecture pattern
Produits
et services
du marché
Produits
et services
d’un domaine
considéré
Ex. : Sécurité
Produits
et services
éligibles
Produits
et services
du secteur
de l’entreprise
Technical Référence Model (TRM) &
Standards Information Base (SIB)
Recherche de Building Blocks
(Etat de l’art, prospective et veille technologique)
Réutilisation / adaptation de Building Blocks pour l’entreprise
(ex : sécurisation dans le contexte)
p 8Janvier 2015
►Continuum d’architecture et Building Blocks associés (TOGAF)
9. Le « Security by Design » et ses multiples facettes
p 9Janvier 2015
►Catalogues de sécurité (artefacts)
10. Le « Security by Design » et ses multiples facettes
Sphère privée
(dédié, SI fermé)
Sphère communautaire
(sectoriel partagé, SI étendu)
ex : GIE
Sphère publique
(partagé, SI ouvert)
Souveraineté / autonomie
(stratégie de maîtrise opérationnelle)
Mutualisation / agilité
(stratégie d’optimisation économique)
Cloud communautaire Cloud privéCloud public
Cloud hybride
Virtualisation
système
Middleware
& Runtime
Plateforme
serveur
Applications
Réseau
& Stockage
OS
PaaS
(on-demand solution stack /
dev environment)
IaaS
(on-demand VM,
VDC, VDI)
SaaS
(web/mobile apps :
ERP, xRM, SCM, BI, e-sourcing,
office suite, cloud drive, …)
BaaS / mBaaS
(CMS, UI tools,, MEAP,
WS-*, e-payment, Shibboleth, …
InfrastructureasaService
PlatformasaService
SoftwareasaService/[mobile]BackendasaService
Opérations
BusinessProcessasaService
BPaaS
(BPO, offshoring)
Données
DaaS
(Marked-metadata databank)
DataasaService
Infrastucture
Datacenter
DataCenter
asaService
DCaaS
(hosting,
housing)
CAPEX
OPEX
BusinessservicesITservices
Niveaudecontrôledel’entreprise
Low
High
IDE,
API, EDI
On-PremiseOn-PremiseOn-Premise
p 10Janvier 2015
► Cas d’usage : Les différents modèles de cloud computing abordés sous l’angle sécuritaire
11. Le « Security by Design » et ses multiples facettes
p 11Janvier 2015
►Cas d’usage : Un security pattern générique applicable aux systèmes de contrôle industriels (SCI)
Source : Industrial Control Systems Security Pattern [SP-023] - OSA
(http://www.opensecurityarchitecture.org)
12. Le « Security by Design » et ses multiples facettes
p 12
Des référentiels applicables et un programme d’action
Janvier 2015
13. Le « Security by Design » et ses multiples facettes
• TOGAF, EAM, ArchiMate, DoDAF, MoDAF, FEA, Zachman, SABSA, Urba-EA [FR], Praxeme [FR], …
Architecture d’entreprise (EA)
• BSC, Matrice BCG (DAS), Porter 5F / value chain, PESTEL, 5 Ws / QQOQCCP [FR], SWOT, ROI, …
Stratégie d’entreprise
• COSO, ISO 31000, ISO 31010,, ISO/IEC 27005, EBIOS [FR] ,… ; ISO 22301 (SMCA), BP Z74-700 [FR], …
Management des risques d’entreprise / conformité (ERM / GRC) ; Continuité d’activité (BCP)
• BA-BOK, BPA, BPI, BPM, MOF, XMI, UML, SADT, Merise [FR], BPMN, Six Sigma, SIPOC, 5S, business / use case,
supply chain / ISO 28000 (SMSCA), B2B, A2A, B2C, C2C, M2M, …
Modélisation / optimisation opérationnelle (processus Métier)
• ISO 9001 (SMQ),, Roue de Deming (PDCA),, BPMM, TQM, Lean Six Sigma, Kaizen, EFQM, ISO 9004, CMMI, ISO/IEC 21827, eSCM, …
Qualité / Maturité des processus
• CobiT, ISO/IEC 38500, ISO/IEC 24762 (DR), ISO/IEC 27001 (SMSI), ISA-99/IEC 62443-2-1 (SMCS), ISO/IEC 29100 (Privacy), …
Gouvernance du SI (processus IT) ; Classification de l’information / Données personnelles
• PM-BOK, PMP, Prince 2, cycle en V, méthodes de développement agiles / itératives (Scrum, XP, …), …
Conduite de projet
• DM-BOK, SysML, SoaML, …
Urbanisation du SI
• ITIL, ISO/IEC 20000 (ITSM), ISO/IEC 27002, ISO/IEC 15408-2 / CC, ISA-99/IEC 62443-3-3, RGS [FR], OSA, …
Architecture fonctionnelle de centre de services IT (services IT, fonctions / mesures de sécurité)
• Mainframe, ERP, xRM, SCM, BI, SOA / WOA (n-tiers, J2EE/.NET, EAI/ESB, WS (UDDI, SOAP, WSDL, BPEL), DBMS (SQL/NoSQL), PKI, BI), …
Architecture applicative / Architecture de données
• Cloud computing (IaaS / Paas / SaaS), Virtualisation systèmes (Machines, Apps, Desktops), Virtualisation réseaux (VLAN, VRF), Datacenter
(SAN, NAS, Switch Fabric), Backbone MAN / WAN (Metro Ethernet, MPLS, VPN IPsec), Accès local (Ethernet, WiFi), Accès distant (xDSL / FO,
HTTPS / VPN TLS / IPsec), Internet Mobile (Wi-Fi hotspot, xG), …
Architecture technique infrastructure (virtualisation / systèmes / réseau / stockage)
Domaine SSI (IS)
Domaine SCI (ICS)
p 13Janvier 2015
►Panorama des principaux référentiels et outils méthodologiques applicables au pilotage des projets de transformation
14. Le « Security by Design » et ses multiples facettes
Cartographie des processus et activités critiques
(cf. BPM, BPA)
Cartographie des données sensibles
(cf. classification des données structurées/non structurées)
Cartographie des applications critiques / sensibles
(cf. SLAs, PAS, …)
Cartographie de l’infrastructure et des composants techniques en support
(architecture réseau/stockage et télécoms L1/L2/L3, systèmes physiques/virtuels, middleware/SGBD, …)
Identification des vulnérabilités potentielles sur les composants critiques / exposés
(scan de vulnérabilités, tests d’intrusion, audit de conf, analyse de code, détection des SPOF, …)
Identification des scénarios de risques majeurs et cartographie des risques nets
(analyse de risques, BIA, use case, …)
Plan d’action (application des correctifs/upgrade, mise en conformité des configurations et procédures, …)
(gap analysis, PCA/PCI, quickwins, plan de remédiation, contre-audits ,plan de contrôle ,…)
1
2
3
4
5
6
7
p 14Janvier 2015
►7 steps QuickStart Program pour aligner le niveau de sécurité du SI sur les enjeux Métier
15. Le « Security by Design » et ses multiples facettes
p 15
►Bibliographie
Les référentiels du système d'information - Données de référence et architectures d'entreprise (DUNOD)
Architecture d’entreprise dans un contexte d’entreprise numérique - 2014 (Club URBA-EA)
Architecture et transformation de l’entreprise et du SI - La méthode TOGAF en pratique (EYROLLES)
TOGAF en pratique - Modèles d’architecture d’entreprise (DUNOD)
TOGAF v9.1 - 2011 (The Open Group)
Security Principles for Cloud and SOA - 2011 (The Open Group)
Impact du Cloud Computing sur l’Architecture d’Entreprise (CEISAR)
La sécurité dans le cloud – Techniques pour une informatique en nuage sécurisée (PEARSON)
Security by Design with CMMI for Development, v1.3 - 2013 (CMMI Institute)
Cadre Commun d’Urbanisation du Système d’Information de l’Etat, v1.0 - 2012 (DISIC)
Janvier 2015
16. Le « Security by Design » et ses multiples facettes
p 16
Source* : Star Wars, Episode VI : Le retour du Jedi (Lucasfilm Ltd.)
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Janvier 2015
Vous me confirmez qu’une fois sa
construction achevée, cette étoile noire
ne souffrira pas des mêmes failles
que la précédente ?
Affirmatif, Amiral.
Par contre, pour des raisons de budget,
on a dû réutiliser des bluiding blocks
trouvés sur le darknet pour la conception
de son bouclier de protection.
Eh bien j’ose
espérer que nous
n’aurons pas
à le regretter …