LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Université laval présentation sur la gestion des risques 31-03-2015 vf2
1. LA GESTION DES RISQUES EN SÉCURITÉ DE
L’INFORMATION À L’UNIVERSITÉ LAVAL :
UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION – UNIVERSITÉ LAVAL
31 MARS 2015
http://www.isaca-quebec.ca
2. OBJECTIF
Raconter les expériences vécues et l’évolution des
pratiques en gestion des risques en matière de
sécurité de l’information à l’Université Laval
2
Mise en garde
Il existe multiples solutions et façons de faire
Des choix en fonction de notre contexte
L’utilisation d’un vocabulaire « fonctionnel »
3. AGENDA
Mise en contexte
Période I : l’application (2000–2012)
Période II : la contextualisation (2013–2015)
Période III : la consolidation (2016+)
Discussions
3
5. MISE EN CONTEXTE RÔLES ET RESPONSABILITÉS
5
CU CA
Comité exécutif
Recteur
VREX
BSI DTI
...Facultés
...
VREX : Vice-rectorat exécutif et au développement
BSI : Bureau de sécurité de l’information
DTI : Direction des technologies de l’information
Notre DPI/CIO
Gestion des TI
Gestion de la
sécurité de
l’information
CU : Conseil universitaire
CA : Conseil d’administration
6. MISE EN CONTEXTE TERRAIN DE RÉALISATION
Principalement la réalisation d’analyses de
risques et d’audits de sécurité
Activités déclenchées par un projet ou une
demande spécifique
Utilisation des structures de gestion
et des processus déjà en place
6
7. PÉRIODE I : L’APPLICATION (2000 – 2012)
7
2000 20122008… 20102009 2011
Analyse de risques
Audit de sécurité
Portée de l’activité
8. PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) défis durant cette période :
8
L’agrégation des résultats produits
Le niveau de connaissance et de compréhension des concepts
relatifs à la gestion des risques en sécurité de l’information
Le moment où est réalisé l’analyse de risques
L’ampleur de la portée et la quantité de recommandations
L’alignement avec le contexte de l’institution et de ses objectifs
en ce qui concerne la sécurité de l’information
9. PÉRIODE I : L’APPLICATION (2000 – 2012)
Cinq (5) trouvailles durant cette période :
9
Le positionnement des autres domaines d’activités (vérification
de conformité, gestion des AI, gestion des incidents, …)
La sensibilisation produite par la réalisation des analyses de
risques
La réceptivité et la contribution des intervenants impliqués
L’importance d’adapter les processus à notre contexte
La reconnaissance grandissante du besoin de réaliser des
analyses de risques
10. PÉRIODE II : LA CONTEXTUALISATION (2013 – 2015)
10
2013 2014 2015
Analyse de risques
Audit de sécurité
Évaluation de l’information
Portée de l’activité
11. NOS BESOINS EN ANALYSE DE RISQUES
11
• Flexibilité
• Simplicité
• Adaptabilité
• Stabilité
• Traiter une majorité de risques sans tomber dans
l’exception
12. RÉFÉRENCES ET RÉFLEXIONS
12
• Octave Allegro de l’Université Carnegie Mellon
• NIST SP 800-30 rev.1
• Threat agent risk assessment (TARA) d’Intel
• ISO 27005:2011
• ISO 27002:2013
• NIST SP 800-53 rev.4 (ITSG-33)
13. APPROCHE PAR MENACES (TARA)
13Source : Intel Information Technology - Prioritizing Information Security Risks with
Threat Agent Risk Assessment
14. PRINCIPES GÉNÉRAUX DU PROCESSUS
14
Opérations
Gestion
Gouvernance Direction
Direction
d’un axe
d’affaires
Direction
d’un axe
d’affaires
Direction
d’un axe
d’affaires
Informatique Pilotes Affaires
15. PRINCIPES GÉNÉRAUX DU PROCESSUS
15
Évaluation des
menaces
Évaluation
des mesures
Évaluation
des risques
Traitement
des risques
16. EXEMPLE D’APPLICATION MISE EN CONTEXTE (ACTIVITÉ #18)
16
Événement déclencheur : demande d’un projet visant la
mise à jour majeure d’un système d’information
Budgets de réalisation : un premier pour l’analyse de
risques et un second en prévision du plan d’action
Portée de l’activité : les améliorations prévues, mais
également le système d’information dans son ensemble
Latitude de réalisation : la possibilité de rencontrer
toutes les parties prenantes nécessaires
17. ÉTAPE 1 : ÉTABLIR LES MESURES DE CRITÈRE
DU RISQUE
• Qu’est-ce qu’on veut ?
• Établir les préoccupations de l’axe de gouvernance au
niveau des impacts que pourrait générer une menace.
• Comment l’obtient-on ?
• Le formulaire 7 d’Octave Allegro qui permet à l’axe de
gouvernance de définir les impacts non désirés (5 types
d’impact).
17
18. ÉTAPE 2 : DÉFINIR LE PROFIL DE LA FAMILLE
D’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?
• Définir ce qu’est la famille d’information ou le système
d’information, qui en est le responsable et les besoins de
sécurité.
• Comment l’obtient-on ?
• Le formulaire 8 d’Octave Allegro et des entrevues avec l’axe
de gouvernance et les intervenants en gestion de la famille
d’information ou le système d’information.
18
19. ÉTAPE 3 : IDENTIFIER LES SUPPORTS DE
L’INFORMATION/SYSTÈME D’INFORMATION
• Qu’est-ce qu’on veut ?
• Définir l’environnement technologique, physique et
humain supportant chaque famille d’information ou
chaque système d’information.
• Comment l’obtient-on ?
• Les formulaires 9a, 9b et 9c d’Octave Allegro et des
entrevues avec les intervenants de la gestion et les
opérations.
19
20. ÉTAPE 4 : IDENTIFIER LES MENACES ET LES
IMPACTS
• Qu’est-ce qu’on veut ?
• Identifier les menaces et les impacts pour chaque famille
d’information ou système d’information.
• Comment l’obtient-on ?
• Les questionnaires de scénarios de menaces 1, 2 et 3
d’Octave Allegro, le formulaire 10 d’Octave Allegro, des
entrevues avec l’axe de gouvernance, la gestion et les
opérations.
20
21. ÉTAPE 5 : IDENTIFIER « SCÉNARIOS DE
MENACES »
• Qu’est-ce qu’on veut ?
• Assembler les menaces avec les impacts et on définit une
valeur à chaque scénario.
• Comment l’obtient-on ?
• Le résultats des étapes précédentes et on utilise les tables
du NIST SP 800-30 rev.1 (annexe E, G et H).
• Validation avec l’axe de gouvernance.
21
22. ÉTAPE 6 : ÉVALUER LES MESURES DE
SÉCURITÉ
• Qu’est-ce qu’on veut ?
• Évaluer les mesures de sécurité pouvant mitiger les
scénarios de menaces identifiés.
• Comment l’obtient-on ?
• Entrevues et tests technologiques (lorsque qu’applicable).
• Utilisation de l’ISO 27002:2013 et du NIST SP 800-53 rev.4.
22
23. ÉTAPE 7 : ÉVALUER LES VULNÉRABILITÉS
• Qu’est-ce qu’on veut ?
• Identifier les lacunes et vulnérabilités suite à l’évaluation
des mesures.
• Comment l’obtient-on ?
• Les résultats de l’étape précédente et on quantifie avec
l’annexe F du NIST SP 800-30.
23
24. ÉTAPE 8 : DÉFINIR LES RISQUES
• Qu’est-ce qu’on veut ?
• Associer les scénarios de menaces aux vulnérabilités
applicables et les quantifier.
• Comment l’obtient-on ?
• Les résultats de l’étape précédente et on quantifie avec
l’annexe I du NIST SP 800-30 rev.1.
24
25. ÉTAPE 9 : COMMUNIQUER LES RISQUES
• Qu’est-ce qu’on veut ?
• Présenter à l’axe de gouvernance les risques jugés modérés
et importants.
• Comment l’obtient-on ?
• Rencontre avec l’axe de gouvernance et la gestion de la
famille d’information ou du système d’information !
25
27. EXEMPLE D’APPLICATION TRAITEMENT DES RISQUES
27
Résultat : sept (7) recommandations concernant la mise en
place de correctifs visant les vulnérabilités identifiées
1 recommandation avec un budget déjà prévu
2 recommandations jugées importantes à prendre en
charge immédiatement dans le projet
1 recommandation pouvant être incorporée dans un
autre projet actuellement en préparation
3 recommandations à évaluer et à planifier
28. PÉRIODE III : LA CONSOLIDATION (2016 +)
28
2016 …
L’analyse de risques en sécurité de l’information :
poursuivre son évolution et son opérationnalisation
La gestion des risques en sécurité de l’information :
entreprendre des travaux d’adaptation pour favoriser la
prise en compte plus spécifiquement de notre contexte