SlideShare una empresa de Scribd logo

Programme de cybersécurité : Implementer le framework NIST CSF en entreprise

EyesOpen Association
EyesOpen Association

Auteur : Bertin Abene Présenté à l'EOCON 2022 Video de la presentation : https://youtu.be/GRTEOyoirjg

Presentaciones y charlas públicas
1 de 50
● Comprendre les concepts de base de la sécurité ● Outiller pour développer un programme de sécurité ● Comprendre et appliquer la gestion des risques sur le SI ● Appréhender l’usage des normes et standards ● Mesurer de la maturité de la sécurité dans une organisation Objectifs Qu’est ce qu’on sécurise ?
On sécurise les actifs d’un Système d’information (SI) - C’est quoi un actif ? les types: données, applications, systèmes, réseaux, phy, procédures, personnes C’est quoi « sécuriser » ? People Process Tools
Confidentialité Intégrité Disponibilité (Availability) Concepts de base Identification Authentification Autorisation Non-Repudiation (Accounting) Sujet Objet Comment mettre en place cette sécurité ? I A A A A I C Accès Sécuriser c’est garantir le C.I.A des actifs du SI
03Croyances pièges qui plombent la sécurité des organisations/entreprises Les croyances pièges La sécurité est une affaire des IT La sécurité est une technologie La sécurité est une destination Ce qu’il en est La sécurité est une affaire de toute l’organisation/entreprise La sécurité inclus les personnes, les procédures et les outils La sécurité est un voyage Un programme de cybersécurité permet entre autre d’éviter ces pièges, Mais c’est quoi un programme ?
C’est quoi un programme ? Programme Projet Projet Projet Projet • Début – fin • Livrables • Chef de projet Délais Périmètre Coûts Programme • Longue durée • Résultats • Chef de programme INITIATION PLANIFICATION EXECUTION MONITORING & CONTRÔLE FERMETURE Partie prenante, Business case, Charte projet, validation … Planification des ressources (Baseline) Exécution du plan Mesure et contrôle (gap sur les baselines) Livrables, documentation, clôture PHASES Un programme est un groupe cohérent de projets en rapport les uns avec les autres, gérés ensemble afin d’obtenir les résultats recherchés. Quid des bénéfices ?
05 bénéfices d’un programme de sécurité Programme de sécurité Bénéfices Alignement stratégique entre le Métier et la sécurité Développement d’une vue holistique de la posture de sécurité SI par la Gestion des risques Cohérence dans toutes les opérations et projets liés à la sécurité Mesure de la performance et amélioration en continue Comment donc construire un programme de sécurité ? Commençons par les prérequis. Un programme de sécurité est donc un groupe cohérent de projets en rapport les uns avec les autres et gérés ensemble afin de réaliser les objectifs en matière de sécurité d’une organisation/entreprise Optimisation des ressources
03 Prérequis pour bien démarrer la construction d’un programme de cybersécurité Programme de cybersécurité Prérequis Approbation et l’implication du top-management (top-bottom) Réunir une équipe ayant les compétences associées (internes ou externes) Utiliser une méthodologie projet Une fois les prérequis réunis, quelles sont les ressources qui vont nous aider ?
ISO27000 NIST SP 800-53 NIST CSF PCI-DSS CIS v8, GDPR, TOGAF COBIT HIPAA CSA ITIL … Les normes, standards et framework La ressource qui va nous intéresser ici c’est le Framework NIST CSF pour des raisons que vous aller vite comprendre C’est quoi le NIST CSF ? une norme est un ensemble de règles de conformité ou de fonctionnement légiféré par un organisme de normalisation mandaté (ISO, UIT …) Tandis qu’un standard est un ensemble de recommandations ou de préférences préconisées par un groupe d’utilisateurs avisés comme des experts.
NIST Cybersecurity Framework FRAMEWORK - Cadre de travail NIST : National Institute of Standards and Technology Une agence non réglementaire du Département du commerce des États-Unis. Sa mission est de promouvoir l'innovation et la compétitivité industrielle. Cadre de travail sur la cybersécurité développé par le NIST L'objectif d'un Framework est généralement de simplifier le travail en définissant le squelette de ce qui doit être construit Source: https://www.nist.gov/cyberframework/online-learning/components-framework Comment fonctionne ce Framework ?
NIST Cybersecurity Framework Le cadre de cybersécurité se compose de trois composants principaux : • Framework Core • Implementation Tiers • Profiles Source: https://www.nist.gov/cyberframework/online-learning/components-framework Pour mieux comprendre, entrons dans les détails du composant FRAMEWORK CORE
NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C Framework Core: 05 fonctions, 23 catégories 6 Cat Tech Busi 6 2 4 6 3 3 3 2 1 5 2 3 3 0 3 On utilise le framework comme un tunnel par lequel tous les actifs vont passer 🡪 exemple
NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C I A A A PEOPLE PROCESS DATA APP SYST NETW PHY
Framework Implementation Tiers https://www.nist.gov/cyberframework/framework À Chaque sous-categorie, le framework NIST fait correspondre une section issu des référentiels les plus connus OPEN
NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C I A A A Exemple simplifié : Des fichiers partagés dans votre organisation Objectifs définis (politique) IDENTIFY: Rôle et responsabilités, Classification, Risques PROTECT: Chiffrement et contrôle des accès DETECT: Journalisation des accès, Monitoring et alerte, audit RESPOND: Procédure de réponse en cas d’incident RECOVERY: Sauvegarde, test et Récupération On a compris l’importance du NIST CSF ? Venons en aux étapes d’implémentation
Les 5 étapes, sous formes de questions à se poser Où sommes nous ? Où voulons nous être ? Quelle est la distance à parcourir ? Comment la parcourir ? Quelles Résultats pendant le parcourt ? Définition des objectifs Choix d’un référentiel ou standard Appetance aux risques Profile cible (Target profile (TP)) Développement vue holistique Inventaire Profil actuel (current profile (CP)) Analyse des risques Gap analysis Stratégie de réponse Roadmap (plan d’action) GAP Roadmap TP CP Evaluation régulière Amélioration continue Maturation Maturity & C I Allons y donc avec l’étape 1
imbriquation Source: https://www.nist.gov/cyberframework/online-learning/components-framework GAP Roadmap TP CP Maturity & C I Les 5 étapes, sous formes de questions à se poser
Business Business Architecture Information Technology Application Architecture Data Architecture Technology Architecture Architecture d’entreprise Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP))
Et où sommes nous ? Business objective INVENTAIRE Quel sont vos objectifs business critiques ? La raison d’être principale de l’organisation/entreprise sans laquelle, elle n’a tout simplement pas d’existence justifiable ou possible Exemple: un magasin de pneu, ça vend des pneus ! BUSINESS VIEW Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP))
Business objectives Process Process Quels processus métier sont utilisés pour atteindre cet objectif business ? Exemple: Recevoir des commandes, facturer, expédier des produits, mettre à jour les informations des employés , définir un budget marketing… etc. * methods, functions Un processus, méthode ou fonction business est un ensemble d'activités ou de tâches liées et structurées et séquencées par des personnes ou des équipements pour produire un service ou un produit BUSINESS VIEW Et où sommes nous ?
Business objectives Process People Process People People Quels sont les acteurs clés (personnes physiques ou morales) impliqués dans ces processus pour la réalisation de cet objectif business ? Salariés, sous-traitant, prestataire, ... etc. BUSINESS VIEW Et où sommes nous ?
Business objectives Process People information Process People People information information information Quelles informations sont critiques et utilisées par les acteurs impliqués pour atteindre ces objectifs business ? Exemple: Contact des clients, Etats des ventes, Benefices, …etc BUSINESS VIEW Et où sommes nous ?
Business objectives Process People information data Process People People information information information data data data data Où stockez-vous les données constituant les informations critiques utilisées pour atteindre les objectifs business ? Exemple: Database DBVENTE, DBCOMMANDE File share: Fileserver Email BUSINESS VIEW IT VIEW frontière Et où sommes nous ?
Business objectives Process People information data Process People People information information information data data data data Ces données critiques sont traitées et fournies par quelles applications ? Exemple: SAGE, ERP, EXCHANGE, SITE WEB, …etc BUSINESS VIEW Application Application Application Application IT VIEW frontière Et où sommes nous ?
Business objectives Process People information data Process People People information information information data data data data Les applications utilisées pour traiter et fournir des données critiques utilisé à la réalisation dee objectifs business sont exécutées par quels système? Exemple: Server1 (LINUX, IP …etc) Server2 (WINDOWS, IP, CONFIG …etc) BUSINESS VIEW Application Application Application Application System System System IT VIEW frontière Et où sommes nous ?
Business objectives Process People information data Process People People information information information data data data data Quels liens et équipements réseau sont essentiels pour prendre en charge les flux de communications de données des systèmes impliqués dans le support des objectifs business présentés ? Exemple: LIAISON INTERNET, INTERCO, VPN, ROUTEURS, SWITCH, AP WIFI, LAN, BUSINESS VIEW frontière Application Application Application Application System System System Network Network IT VIEW Et où sommes nous ?
Business objectives Process People information data Process People People information information information data data data data Quelles installations critiques présentes physiquement (salle informatique / datacenter) sont fortement liées au bon fonctionnement des actifs impliqués dans la réalisation des objectifs de l'entreprise ? Exemple: SALLE SERVEURS, CLIMATISATION, ENERGIE, …etc BUSINESS VIEW frontière Application Application Application Application System System System Network Network Physique IT VIEW INVENTAIRE: Et où sommes nous ?
Développement d’un programme de sécurité Rôles & Responsabilités • Qui approuve ? • Qui défini ? • Qui applique ? Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP)) Business objective People Process information data Application System Network Physique
Développement d’un programme de sécurité Rôles & Responsabilités • Qui approuve ? • Qui défini ? • Qui applique ? Rôles & Responsabilités data user Data Owner Data Custodian OS DB Information Security Officer • Ops • backup • maintain Develop Security requirements Approbation Security Control PRODUCE VALUE WITH DATA
Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Process information data Criticité Classification • Confidentiel • Sensibles • Privés • Public Business Value • High • Medim • low Criticité des données (Classification & Valeur Métier)
DATA CLASSIFICATION 0 1 2 3 T U S C C P P S GOVERNEMENT CORPORATE op secret ecret onfidential nclassified ublic ensitive rivate onfidential Class Grave damage Serious damage Damage No damage (Proprietary) (PII, PHI,…) (Configs, IP, infra docs, …) (website, blog, social netw ..)
Développement d’un programme de sécurité data Criticité Classification • Confidentiel • Sensibles/Privés • Public Business Value • High • Medim • low Classification Public Sensibles/Privés Confidentiel Informations mises à disposition du public librement et sans réserve. Exple: Site web, réseaux sociaux Informations qui pourraient causer des dommages si leur sécurité est atteintes Exple: Privés: Adresses des clients (PII) Sensible: configurations réseaux, dessin architectures Information propriétaire de l’organisation/entreprise et dont l’atteinte à la sécurité entraînerait des dommages graves Exple: Secret de fabrication, données financières Criticité des données (Classification & Valeur Métier) * CRITICITE vs PRIORITE À titre d’exemple
Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Process information data Criticité Application System Network Physique Le niveau de criticité attribué aux données influence directement celles des autres actifs IT qui y sont associés dans la chaîne de réalisation de l’objectif business Criticité des données (Classification & Valeur Métier)
• Maximum tolerable downtime (MTD) • Mean time between failures (MTBF) • Mean time to failure (MTTF) • Mean time to restore (MTTR) • Recovery point objective (RPO) • Recovery time objective (RTO) • Service-level agreement (SLA) • Single point of failure (SPOF) Résilience
En cas d’indisponibilité majeure impactant nos objectifs business critiques • MTD : Au-delà de quel période notre business n’est plus viable ou les pertes deviennent intolérables ? • RTO : Période maximale pour remettre le business en route même sous forme dégradée ? • RPO : En cas de retour à la normale, quelle quantité d’actifs est-on prêt à supporter la perte ? Image: http://virtualization24x7.blogspot.com/2015/11/what-is-rpo-rto-wrt-mtd.html * WRT = work Recovery Time Résilience
Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Missions / Process information data Criticité Criticité des données (Classification & Valeur Métier) MTD RTO RPO Application System Network Physique Les objectifs business en matière de résilience s’applique à tous les niveau de la chaîne de criticité On connaît nos actifs critique et nos besoins en termes de résilience Passons à l’analyse des risques
Développement d’un programme de sécurité Où voulons nous être ? Définition des objectifs COBIT 5 ISO/IEC 27001:2013 NIST SP 800-53 CIS PCI-DSS HIPAA GDPR … SCOPING & TAILORING Profile cible (Target profile (TP)) Risk appetite (Appétence aux risques) Choix d’un référentiel ou standard
Développement d’un programme de sécurité Un mot sur l’appétence aux risques
C’est quoi un risque ? Développement d’un programme de sécurité Analyses des risques VULNÉRABILITÉ MENACE x = Risque Le risque est la possibilité de survenue d'un événement indésirable, la probabilité d'occurrence d'un péril probable ou d'un aléa validation de l’existence du risque
Le risque sur un actif doit être évalué. On ne sécurise pas ce qui n’est exposé à « aucun » risque, En sécurité tout part des risques. On parle de « Risk-based Decision Making Process » Deux types d’analyses Développement d’un programme de sécurité Analyses des risques Commençons par l’analyse quantitative • QUANTITATIVE • QUALITATIVE
Analyse quantitative Asset Value = AV Identification des risques Valeur quantifiable de l’actif Menaces x vulnérabilité = risques Probabilité d’occurrence (annuelle) Annual Rate of Occurance = ARO Impact en cas d’occurrence (annuelle) EF = Exposure Factor (% de perte sur l’actif en cas de réalisation du risque) SLE = EF x AV (Single Loss Expectancy) ALE = ARO x SLE (Annualized Loss Expectancy) 3 fois par an => 3 1 fois sur 10 ans => 0,1 Priorisation Classement Usage du composant Core du NIST CSF possible
Analyse qualitative Criticité Identification des risques Valeur qualitative de l’actif Probabilité d’occurrence (annuelle) (NIST SP800-30 ref) Impact en cas d’occurrence (annuelle) High Medium Low Priorisation Classement Usage du composant Core du NIST CSF possible Current Profile Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP)) High Medium Low
Likelihood scale (from Appendix G of NISTPublication 800-30.) Very High - 10 - Adversary is almost certain to initiate threat event. High - 8 - Adversary is highly likely to initiate threat event. Moderate - 5 - Adversary is somewhat likely to initiate threat event. Low - 2 - Adversary is unlikely to initiate threat event. Very Low - 0 - Adversary is highly unlikely to initiate threat event. Guide for Conducting Risk Assessments, NIST SP800-30.
Analyse du Gap Analyse qualitative des risques Usage possible du NIST CSF GAP ANALYSIS Analyse quantitative des risques + Quelle est la distance à parcourir ? Gap analysis Stratégie de réponse Où voulons nous être ? Current Profile Target Profile Où sommes nous ?
Stratégie de réponse Quelle est la distance à parcourir ? Gap analysis Stratégie de réponse • ACCEPT • MITIGATE • TRANSFERT • AVOID Réponse
Quelles ressources pour les actions (projets, changements) Délais Périmètre Coûts Coûts : finances, RH, matériel & équipements … Coût annuel du Contrôle (ACS)
Développement d’un programme de sécurité Stratégie de réponse PROJET PLAN (REPRISE, INCIDENT, …etc) Comment la parcourir ? Roadmap (plan d’action) Phase 1 Phase 2 Phase 3 ROADMAP De votre stratégie de réponse découle un ensemble d’actions à mener. En donnant à ces actions un plan constitué au minimum du trio: - Coûts (financières, humaines, matérielles) - Délais - Périmètre Vous en faite un projet qui sera intégré au programme. Les projets peuvent ensuite être répartis en phase en tenant compte des priorités. Délais Périmètre Coûts
5. CMMI (Capability Maturity Model Integration) Lecture: https://www.pmi.org/learning/library/cmmi-bring-pm-process-next-level-7538 Source image: https://www.testbytes.net/blog/what-is-cmmi/ CMMI model is a pool of dependable best practices that helps in improving quality, standards, and efficiency of the software development processes • Create by: Software Engineering Institute at Carnegie Mellon University • Now managed by: CMMI Institute.
M E R C I ! T H A N K Y O U ! QUESTION ?

Recomendados

SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Mehari
MehariMehari
MehariAfaf MATOUG
 

Recomendados

SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Mehari
MehariMehari
MehariAfaf MATOUG
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 Erick Kish, U.S. Commercial Service
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Ebios
EbiosEbios
Ebioskilojolid
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002soumaila Doumbia
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualiteLe Moulin Digital
 

Más contenido relacionado

La actualidad más candente

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéPECB
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity frameworkShriya Rai
 

La actualidad más candente (20)

Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Ebios
EbiosEbios
Ebios
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
NIST cybersecurity framework
NIST cybersecurity frameworkNIST cybersecurity framework
NIST cybersecurity framework
 
Mehari
MehariMehari
Mehari
 

Similar a Programme de cybersécurité : Implementer le framework NIST CSF en entreprise

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireDidier Labonte
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...
Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...
Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...SOLLAN FRANCE
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesAbdeslam Menacere
 
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONSTRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONDominique Odyliane
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfErol GIRAUDY
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 

Similar a Programme de cybersécurité : Implementer le framework NIST CSF en entreprise (20)

Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
EBIOS
EBIOSEBIOS
EBIOS
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaire
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...
Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...
Déjeuner-débat EIM360 | Machine Learning et Transformation Digitale, un duo g...
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONSTRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdf
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Ageris privacy 2016
Ageris privacy 2016Ageris privacy 2016
Ageris privacy 2016
 
Mémoire - Audit d'un projet KM
Mémoire - Audit d'un projet KMMémoire - Audit d'un projet KM
Mémoire - Audit d'un projet KM
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 

Más de EyesOpen Association

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONEyesOpen Association
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices EyesOpen Association
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus EyesOpen Association
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...EyesOpen Association
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategiesEyesOpen Association
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance EyesOpen Association
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...EyesOpen Association
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work EyesOpen Association
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryEyesOpen Association
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI EyesOpen Association
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéEyesOpen Association
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture EyesOpen Association
 
La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.EyesOpen Association
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique EyesOpen Association
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...EyesOpen Association
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management EyesOpen Association
 
Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) EyesOpen Association
 

Más de EyesOpen Association (20)

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategies
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance
 
Zero Trust : How to Get Started
Zero Trust : How to Get StartedZero Trust : How to Get Started
Zero Trust : How to Get Started
 
CTFaaS pour la cybereducation
CTFaaS pour la cybereducationCTFaaS pour la cybereducation
CTFaaS pour la cybereducation
 
Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture
 
La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.La sécurité des API: Quand les mauvais élèves entrent en piste.
La sécurité des API: Quand les mauvais élèves entrent en piste.
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management
 
Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A)
 

Programme de cybersécurité : Implementer le framework NIST CSF en entreprise

  • 1.
  • 2. ● Comprendre les concepts de base de la sécurité ● Outiller pour développer un programme de sécurité ● Comprendre et appliquer la gestion des risques sur le SI ● Appréhender l’usage des normes et standards ● Mesurer de la maturité de la sécurité dans une organisation Objectifs Qu’est ce qu’on sécurise ?
  • 3. On sécurise les actifs d’un Système d’information (SI) - C’est quoi un actif ? les types: données, applications, systèmes, réseaux, phy, procédures, personnes C’est quoi « sécuriser » ? People Process Tools
  • 4. Confidentialité Intégrité Disponibilité (Availability) Concepts de base Identification Authentification Autorisation Non-Repudiation (Accounting) Sujet Objet Comment mettre en place cette sécurité ? I A A A A I C Accès Sécuriser c’est garantir le C.I.A des actifs du SI
  • 5. 03Croyances pièges qui plombent la sécurité des organisations/entreprises Les croyances pièges La sécurité est une affaire des IT La sécurité est une technologie La sécurité est une destination Ce qu’il en est La sécurité est une affaire de toute l’organisation/entreprise La sécurité inclus les personnes, les procédures et les outils La sécurité est un voyage Un programme de cybersécurité permet entre autre d’éviter ces pièges, Mais c’est quoi un programme ?
  • 6. C’est quoi un programme ? Programme Projet Projet Projet Projet • Début – fin • Livrables • Chef de projet Délais Périmètre Coûts Programme • Longue durée • Résultats • Chef de programme INITIATION PLANIFICATION EXECUTION MONITORING & CONTRÔLE FERMETURE Partie prenante, Business case, Charte projet, validation … Planification des ressources (Baseline) Exécution du plan Mesure et contrôle (gap sur les baselines) Livrables, documentation, clôture PHASES Un programme est un groupe cohérent de projets en rapport les uns avec les autres, gérés ensemble afin d’obtenir les résultats recherchés. Quid des bénéfices ?
  • 7. 05 bénéfices d’un programme de sécurité Programme de sécurité Bénéfices Alignement stratégique entre le Métier et la sécurité Développement d’une vue holistique de la posture de sécurité SI par la Gestion des risques Cohérence dans toutes les opérations et projets liés à la sécurité Mesure de la performance et amélioration en continue Comment donc construire un programme de sécurité ? Commençons par les prérequis. Un programme de sécurité est donc un groupe cohérent de projets en rapport les uns avec les autres et gérés ensemble afin de réaliser les objectifs en matière de sécurité d’une organisation/entreprise Optimisation des ressources
  • 8. 03 Prérequis pour bien démarrer la construction d’un programme de cybersécurité Programme de cybersécurité Prérequis Approbation et l’implication du top-management (top-bottom) Réunir une équipe ayant les compétences associées (internes ou externes) Utiliser une méthodologie projet Une fois les prérequis réunis, quelles sont les ressources qui vont nous aider ?
  • 9. ISO27000 NIST SP 800-53 NIST CSF PCI-DSS CIS v8, GDPR, TOGAF COBIT HIPAA CSA ITIL … Les normes, standards et framework La ressource qui va nous intéresser ici c’est le Framework NIST CSF pour des raisons que vous aller vite comprendre C’est quoi le NIST CSF ? une norme est un ensemble de règles de conformité ou de fonctionnement légiféré par un organisme de normalisation mandaté (ISO, UIT …) Tandis qu’un standard est un ensemble de recommandations ou de préférences préconisées par un groupe d’utilisateurs avisés comme des experts.
  • 10. NIST Cybersecurity Framework FRAMEWORK - Cadre de travail NIST : National Institute of Standards and Technology Une agence non réglementaire du Département du commerce des États-Unis. Sa mission est de promouvoir l'innovation et la compétitivité industrielle. Cadre de travail sur la cybersécurité développé par le NIST L'objectif d'un Framework est généralement de simplifier le travail en définissant le squelette de ce qui doit être construit Source: https://www.nist.gov/cyberframework/online-learning/components-framework Comment fonctionne ce Framework ?
  • 11. NIST Cybersecurity Framework Le cadre de cybersécurité se compose de trois composants principaux : • Framework Core • Implementation Tiers • Profiles Source: https://www.nist.gov/cyberframework/online-learning/components-framework Pour mieux comprendre, entrons dans les détails du composant FRAMEWORK CORE
  • 12. NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C Framework Core: 05 fonctions, 23 catégories 6 Cat Tech Busi 6 2 4 6 3 3 3 2 1 5 2 3 3 0 3 On utilise le framework comme un tunnel par lequel tous les actifs vont passer 🡪 exemple
  • 14. Framework Implementation Tiers https://www.nist.gov/cyberframework/framework À Chaque sous-categorie, le framework NIST fait correspondre une section issu des référentiels les plus connus OPEN
  • 15. NIST Cybersecurity Framework IDENTIFY PROTECT DETECT RESPOND RECOVER A I C I A A A Exemple simplifié : Des fichiers partagés dans votre organisation Objectifs définis (politique) IDENTIFY: Rôle et responsabilités, Classification, Risques PROTECT: Chiffrement et contrôle des accès DETECT: Journalisation des accès, Monitoring et alerte, audit RESPOND: Procédure de réponse en cas d’incident RECOVERY: Sauvegarde, test et Récupération On a compris l’importance du NIST CSF ? Venons en aux étapes d’implémentation
  • 16. Les 5 étapes, sous formes de questions à se poser Où sommes nous ? Où voulons nous être ? Quelle est la distance à parcourir ? Comment la parcourir ? Quelles Résultats pendant le parcourt ? Définition des objectifs Choix d’un référentiel ou standard Appetance aux risques Profile cible (Target profile (TP)) Développement vue holistique Inventaire Profil actuel (current profile (CP)) Analyse des risques Gap analysis Stratégie de réponse Roadmap (plan d’action) GAP Roadmap TP CP Evaluation régulière Amélioration continue Maturation Maturity & C I Allons y donc avec l’étape 1
  • 18. Business Business Architecture Information Technology Application Architecture Data Architecture Technology Architecture Architecture d’entreprise Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP))
  • 19. Et où sommes nous ? Business objective INVENTAIRE Quel sont vos objectifs business critiques ? La raison d’être principale de l’organisation/entreprise sans laquelle, elle n’a tout simplement pas d’existence justifiable ou possible Exemple: un magasin de pneu, ça vend des pneus ! BUSINESS VIEW Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP))
  • 20. Business objectives Process Process Quels processus métier sont utilisés pour atteindre cet objectif business ? Exemple: Recevoir des commandes, facturer, expédier des produits, mettre à jour les informations des employés , définir un budget marketing… etc. * methods, functions Un processus, méthode ou fonction business est un ensemble d'activités ou de tâches liées et structurées et séquencées par des personnes ou des équipements pour produire un service ou un produit BUSINESS VIEW Et où sommes nous ?
  • 21. Business objectives Process People Process People People Quels sont les acteurs clés (personnes physiques ou morales) impliqués dans ces processus pour la réalisation de cet objectif business ? Salariés, sous-traitant, prestataire, ... etc. BUSINESS VIEW Et où sommes nous ?
  • 22. Business objectives Process People information Process People People information information information Quelles informations sont critiques et utilisées par les acteurs impliqués pour atteindre ces objectifs business ? Exemple: Contact des clients, Etats des ventes, Benefices, …etc BUSINESS VIEW Et où sommes nous ?
  • 23. Business objectives Process People information data Process People People information information information data data data data Où stockez-vous les données constituant les informations critiques utilisées pour atteindre les objectifs business ? Exemple: Database DBVENTE, DBCOMMANDE File share: Fileserver Email BUSINESS VIEW IT VIEW frontière Et où sommes nous ?
  • 24. Business objectives Process People information data Process People People information information information data data data data Ces données critiques sont traitées et fournies par quelles applications ? Exemple: SAGE, ERP, EXCHANGE, SITE WEB, …etc BUSINESS VIEW Application Application Application Application IT VIEW frontière Et où sommes nous ?
  • 25. Business objectives Process People information data Process People People information information information data data data data Les applications utilisées pour traiter et fournir des données critiques utilisé à la réalisation dee objectifs business sont exécutées par quels système? Exemple: Server1 (LINUX, IP …etc) Server2 (WINDOWS, IP, CONFIG …etc) BUSINESS VIEW Application Application Application Application System System System IT VIEW frontière Et où sommes nous ?
  • 26. Business objectives Process People information data Process People People information information information data data data data Quels liens et équipements réseau sont essentiels pour prendre en charge les flux de communications de données des systèmes impliqués dans le support des objectifs business présentés ? Exemple: LIAISON INTERNET, INTERCO, VPN, ROUTEURS, SWITCH, AP WIFI, LAN, BUSINESS VIEW frontière Application Application Application Application System System System Network Network IT VIEW Et où sommes nous ?
  • 27. Business objectives Process People information data Process People People information information information data data data data Quelles installations critiques présentes physiquement (salle informatique / datacenter) sont fortement liées au bon fonctionnement des actifs impliqués dans la réalisation des objectifs de l'entreprise ? Exemple: SALLE SERVEURS, CLIMATISATION, ENERGIE, …etc BUSINESS VIEW frontière Application Application Application Application System System System Network Network Physique IT VIEW INVENTAIRE: Et où sommes nous ?
  • 28. Développement d’un programme de sécurité Rôles & Responsabilités • Qui approuve ? • Qui défini ? • Qui applique ? Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP)) Business objective People Process information data Application System Network Physique
  • 29. Développement d’un programme de sécurité Rôles & Responsabilités • Qui approuve ? • Qui défini ? • Qui applique ? Rôles & Responsabilités data user Data Owner Data Custodian OS DB Information Security Officer • Ops • backup • maintain Develop Security requirements Approbation Security Control PRODUCE VALUE WITH DATA
  • 30. Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Process information data Criticité Classification • Confidentiel • Sensibles • Privés • Public Business Value • High • Medim • low Criticité des données (Classification & Valeur Métier)
  • 31. DATA CLASSIFICATION 0 1 2 3 T U S C C P P S GOVERNEMENT CORPORATE op secret ecret onfidential nclassified ublic ensitive rivate onfidential Class Grave damage Serious damage Damage No damage (Proprietary) (PII, PHI,…) (Configs, IP, infra docs, …) (website, blog, social netw ..)
  • 32. Développement d’un programme de sécurité data Criticité Classification • Confidentiel • Sensibles/Privés • Public Business Value • High • Medim • low Classification Public Sensibles/Privés Confidentiel Informations mises à disposition du public librement et sans réserve. Exple: Site web, réseaux sociaux Informations qui pourraient causer des dommages si leur sécurité est atteintes Exple: Privés: Adresses des clients (PII) Sensible: configurations réseaux, dessin architectures Information propriétaire de l’organisation/entreprise et dont l’atteinte à la sécurité entraînerait des dommages graves Exple: Secret de fabrication, données financières Criticité des données (Classification & Valeur Métier) * CRITICITE vs PRIORITE À titre d’exemple
  • 33. Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Process information data Criticité Application System Network Physique Le niveau de criticité attribué aux données influence directement celles des autres actifs IT qui y sont associés dans la chaîne de réalisation de l’objectif business Criticité des données (Classification & Valeur Métier)
  • 34. • Maximum tolerable downtime (MTD) • Mean time between failures (MTBF) • Mean time to failure (MTTF) • Mean time to restore (MTTR) • Recovery point objective (RPO) • Recovery time objective (RTO) • Service-level agreement (SLA) • Single point of failure (SPOF) Résilience
  • 35. En cas d’indisponibilité majeure impactant nos objectifs business critiques • MTD : Au-delà de quel période notre business n’est plus viable ou les pertes deviennent intolérables ? • RTO : Période maximale pour remettre le business en route même sous forme dégradée ? • RPO : En cas de retour à la normale, quelle quantité d’actifs est-on prêt à supporter la perte ? Image: http://virtualization24x7.blogspot.com/2015/11/what-is-rpo-rto-wrt-mtd.html * WRT = work Recovery Time Résilience
  • 36. Développement d’un programme de sécurité Rôles & Responsabilités Business objective People Missions / Process information data Criticité Criticité des données (Classification & Valeur Métier) MTD RTO RPO Application System Network Physique Les objectifs business en matière de résilience s’applique à tous les niveau de la chaîne de criticité On connaît nos actifs critique et nos besoins en termes de résilience Passons à l’analyse des risques
  • 37. Développement d’un programme de sécurité Où voulons nous être ? Définition des objectifs COBIT 5 ISO/IEC 27001:2013 NIST SP 800-53 CIS PCI-DSS HIPAA GDPR … SCOPING & TAILORING Profile cible (Target profile (TP)) Risk appetite (Appétence aux risques) Choix d’un référentiel ou standard
  • 38. Développement d’un programme de sécurité Un mot sur l’appétence aux risques
  • 39. C’est quoi un risque ? Développement d’un programme de sécurité Analyses des risques VULNÉRABILITÉ MENACE x = Risque Le risque est la possibilité de survenue d'un événement indésirable, la probabilité d'occurrence d'un péril probable ou d'un aléa validation de l’existence du risque
  • 40. Le risque sur un actif doit être évalué. On ne sécurise pas ce qui n’est exposé à « aucun » risque, En sécurité tout part des risques. On parle de « Risk-based Decision Making Process » Deux types d’analyses Développement d’un programme de sécurité Analyses des risques Commençons par l’analyse quantitative • QUANTITATIVE • QUALITATIVE
  • 41. Analyse quantitative Asset Value = AV Identification des risques Valeur quantifiable de l’actif Menaces x vulnérabilité = risques Probabilité d’occurrence (annuelle) Annual Rate of Occurance = ARO Impact en cas d’occurrence (annuelle) EF = Exposure Factor (% de perte sur l’actif en cas de réalisation du risque) SLE = EF x AV (Single Loss Expectancy) ALE = ARO x SLE (Annualized Loss Expectancy) 3 fois par an => 3 1 fois sur 10 ans => 0,1 Priorisation Classement Usage du composant Core du NIST CSF possible
  • 42. Analyse qualitative Criticité Identification des risques Valeur qualitative de l’actif Probabilité d’occurrence (annuelle) (NIST SP800-30 ref) Impact en cas d’occurrence (annuelle) High Medium Low Priorisation Classement Usage du composant Core du NIST CSF possible Current Profile Et où sommes nous ? Développement vue holistique Inventaire Analyse des risques Profil actuel (current profile (CP)) High Medium Low
  • 43. Likelihood scale (from Appendix G of NISTPublication 800-30.) Very High - 10 - Adversary is almost certain to initiate threat event. High - 8 - Adversary is highly likely to initiate threat event. Moderate - 5 - Adversary is somewhat likely to initiate threat event. Low - 2 - Adversary is unlikely to initiate threat event. Very Low - 0 - Adversary is highly unlikely to initiate threat event. Guide for Conducting Risk Assessments, NIST SP800-30.
  • 44. Analyse du Gap Analyse qualitative des risques Usage possible du NIST CSF GAP ANALYSIS Analyse quantitative des risques + Quelle est la distance à parcourir ? Gap analysis Stratégie de réponse Où voulons nous être ? Current Profile Target Profile Où sommes nous ?
  • 45. Stratégie de réponse Quelle est la distance à parcourir ? Gap analysis Stratégie de réponse • ACCEPT • MITIGATE • TRANSFERT • AVOID Réponse
  • 46. Quelles ressources pour les actions (projets, changements) Délais Périmètre Coûts Coûts : finances, RH, matériel & équipements … Coût annuel du Contrôle (ACS)
  • 47. Développement d’un programme de sécurité Stratégie de réponse PROJET PLAN (REPRISE, INCIDENT, …etc) Comment la parcourir ? Roadmap (plan d’action) Phase 1 Phase 2 Phase 3 ROADMAP De votre stratégie de réponse découle un ensemble d’actions à mener. En donnant à ces actions un plan constitué au minimum du trio: - Coûts (financières, humaines, matérielles) - Délais - Périmètre Vous en faite un projet qui sera intégré au programme. Les projets peuvent ensuite être répartis en phase en tenant compte des priorités. Délais Périmètre Coûts
  • 48. 5. CMMI (Capability Maturity Model Integration) Lecture: https://www.pmi.org/learning/library/cmmi-bring-pm-process-next-level-7538 Source image: https://www.testbytes.net/blog/what-is-cmmi/ CMMI model is a pool of dependable best practices that helps in improving quality, standards, and efficiency of the software development processes • Create by: Software Engineering Institute at Carnegie Mellon University • Now managed by: CMMI Institute.
  • 49.
  • 50. M E R C I ! T H A N K Y O U ! QUESTION ?