Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
1.
2. ● Comprendre les concepts de base de la sécurité
● Outiller pour développer un programme de sécurité
● Comprendre et appliquer la gestion des risques sur le SI
● Appréhender l’usage des normes et standards
● Mesurer de la maturité de la sécurité dans une organisation
Objectifs
Qu’est ce qu’on sécurise ?
3. On sécurise les actifs d’un Système d’information (SI)
- C’est quoi un actif ?
les types: données, applications, systèmes, réseaux, phy, procédures, personnes
C’est quoi « sécuriser » ?
People Process Tools
4. Confidentialité
Intégrité
Disponibilité (Availability)
Concepts de base
Identification
Authentification
Autorisation
Non-Repudiation
(Accounting)
Sujet Objet
Comment mettre en place cette sécurité ?
I
A
A
A
A
I
C
Accès
Sécuriser c’est garantir le C.I.A des actifs du SI
5. 03Croyances pièges qui plombent la
sécurité des organisations/entreprises
Les croyances pièges
La sécurité est une affaire des IT
La sécurité est une technologie
La sécurité est une destination
Ce qu’il en est
La sécurité est une affaire de toute l’organisation/entreprise
La sécurité inclus les personnes, les procédures et les outils
La sécurité est un voyage
Un programme de cybersécurité permet entre autre d’éviter ces pièges, Mais c’est quoi un programme ?
6. C’est quoi un programme ?
Programme
Projet Projet Projet
Projet
• Début – fin
• Livrables
• Chef de projet
Délais
Périmètre Coûts
Programme
• Longue durée
• Résultats
• Chef de programme
INITIATION
PLANIFICATION
EXECUTION
MONITORING & CONTRÔLE
FERMETURE
Partie prenante, Business case, Charte
projet, validation …
Planification des ressources (Baseline)
Exécution du plan
Mesure et contrôle (gap sur les baselines)
Livrables, documentation, clôture
PHASES
Un programme est un groupe cohérent de projets en rapport les uns avec les autres, gérés ensemble
afin d’obtenir les résultats recherchés.
Quid des bénéfices ?
7. 05 bénéfices d’un programme de sécurité
Programme de sécurité
Bénéfices
Alignement stratégique entre le Métier et la sécurité
Développement d’une vue holistique de la posture
de sécurité SI par la Gestion des risques
Cohérence dans toutes les opérations et projets liés à la
sécurité
Mesure de la performance et amélioration en continue
Comment donc construire un programme de sécurité ?
Commençons par les prérequis.
Un programme de sécurité est donc un groupe cohérent de projets en rapport les uns avec les autres et gérés
ensemble afin de réaliser les objectifs en matière de sécurité d’une organisation/entreprise
Optimisation des ressources
8. 03 Prérequis pour bien démarrer la
construction d’un programme de
cybersécurité
Programme de cybersécurité
Prérequis
Approbation et l’implication du top-management (top-bottom)
Réunir une équipe ayant les compétences associées (internes ou externes)
Utiliser une méthodologie projet
Une fois les prérequis réunis, quelles sont les ressources qui vont nous aider ?
9. ISO27000
NIST SP 800-53
NIST CSF
PCI-DSS
CIS v8,
GDPR,
TOGAF
COBIT
HIPAA
CSA
ITIL
…
Les normes, standards et framework
La ressource qui va nous intéresser ici c’est le Framework NIST CSF pour des raisons
que vous aller vite comprendre
C’est quoi le NIST CSF ?
une norme est un ensemble de règles de conformité ou de fonctionnement
légiféré par un organisme de normalisation mandaté (ISO, UIT …)
Tandis qu’un standard est un ensemble de recommandations ou de préférences
préconisées par un groupe d’utilisateurs avisés comme des experts.
10. NIST Cybersecurity Framework
FRAMEWORK - Cadre de travail
NIST : National Institute of Standards and Technology
Une agence non réglementaire du Département du commerce des États-Unis.
Sa mission est de promouvoir l'innovation et la compétitivité industrielle.
Cadre de travail sur la cybersécurité développé par le NIST
L'objectif d'un Framework est généralement de simplifier le travail en définissant
le squelette de ce qui doit être construit
Source: https://www.nist.gov/cyberframework/online-learning/components-framework
Comment fonctionne ce Framework ?
11. NIST Cybersecurity Framework
Le cadre de cybersécurité se compose de trois composants
principaux :
• Framework Core
• Implementation Tiers
• Profiles
Source: https://www.nist.gov/cyberframework/online-learning/components-framework
Pour mieux comprendre, entrons dans les détails du
composant FRAMEWORK CORE
15. NIST Cybersecurity Framework
IDENTIFY
PROTECT
DETECT
RESPOND
RECOVER
A
I
C
I
A
A
A
Exemple simplifié :
Des fichiers partagés dans votre organisation
Objectifs définis (politique)
IDENTIFY: Rôle et responsabilités, Classification, Risques
PROTECT: Chiffrement et contrôle des accès
DETECT: Journalisation des accès, Monitoring et alerte, audit
RESPOND: Procédure de réponse en cas d’incident
RECOVERY: Sauvegarde, test et Récupération
On a compris l’importance du NIST CSF ?
Venons en aux étapes d’implémentation
16. Les 5 étapes, sous formes de questions à se poser
Où sommes nous ?
Où voulons nous être ?
Quelle est la distance à parcourir ?
Comment la parcourir ?
Quelles Résultats pendant le parcourt ?
Définition des objectifs
Choix d’un référentiel ou standard
Appetance aux risques
Profile cible (Target profile (TP))
Développement vue holistique
Inventaire
Profil actuel (current profile (CP))
Analyse des risques
Gap analysis
Stratégie de réponse
Roadmap (plan d’action)
GAP
Roadmap
TP
CP
Evaluation régulière
Amélioration continue
Maturation
Maturity & C I
Allons y donc avec l’étape 1
19. Et où sommes nous ?
Business objective
INVENTAIRE
Quel sont vos objectifs business critiques ?
La raison d’être principale de l’organisation/entreprise sans laquelle,
elle n’a tout simplement pas d’existence justifiable ou possible
Exemple: un magasin de pneu, ça vend des pneus !
BUSINESS VIEW
Développement vue holistique
Inventaire
Analyse des risques
Profil actuel (current profile (CP))
20. Business objectives
Process
Process
Quels processus métier sont utilisés pour atteindre cet objectif business ?
Exemple:
Recevoir des commandes, facturer, expédier des produits, mettre à jour
les informations des employés , définir un budget marketing… etc.
* methods, functions
Un processus, méthode ou fonction business est un ensemble
d'activités ou de tâches liées et structurées et séquencées par
des personnes ou des équipements pour produire un service
ou un produit
BUSINESS VIEW
Et où sommes nous ?
21. Business objectives
Process
People
Process
People
People
Quels sont les acteurs clés (personnes physiques ou morales) impliqués
dans ces processus pour la réalisation de cet objectif business ?
Salariés, sous-traitant, prestataire, ... etc.
BUSINESS VIEW
Et où sommes nous ?
28. Développement d’un programme de sécurité
Rôles & Responsabilités
• Qui approuve ?
• Qui défini ?
• Qui applique ?
Et où sommes nous ?
Développement vue holistique
Inventaire
Analyse des risques
Profil actuel (current profile (CP))
Business objective
People
Process
information
data Application System Network Physique
29. Développement d’un programme de sécurité
Rôles & Responsabilités
• Qui approuve ?
• Qui défini ?
• Qui applique ?
Rôles & Responsabilités
data
user
Data Owner
Data Custodian
OS
DB
Information
Security Officer
• Ops
• backup
• maintain
Develop Security requirements
Approbation
Security
Control
PRODUCE VALUE WITH DATA
30. Développement d’un programme de sécurité
Rôles & Responsabilités
Business objective
People
Process
information
data
Criticité
Classification
• Confidentiel
• Sensibles
• Privés
• Public
Business Value
• High
• Medim
• low
Criticité des données (Classification & Valeur Métier)
31. DATA CLASSIFICATION
0
1
2
3
T
U
S
C
C
P
P
S
GOVERNEMENT CORPORATE
op secret
ecret
onfidential
nclassified ublic
ensitive
rivate
onfidential
Class
Grave damage
Serious damage
Damage
No damage
(Proprietary)
(PII, PHI,…)
(Configs, IP, infra docs, …)
(website, blog, social netw ..)
32. Développement d’un programme de sécurité
data
Criticité
Classification
• Confidentiel
• Sensibles/Privés
• Public
Business Value
• High
• Medim
• low
Classification
Public Sensibles/Privés Confidentiel
Informations mises à
disposition du public
librement et sans réserve.
Exple:
Site web,
réseaux sociaux
Informations qui
pourraient causer des
dommages si leur sécurité
est atteintes
Exple:
Privés: Adresses des
clients (PII)
Sensible: configurations
réseaux, dessin
architectures
Information propriétaire de
l’organisation/entreprise et
dont l’atteinte à la sécurité
entraînerait des dommages
graves
Exple:
Secret de fabrication,
données financières
Criticité des données (Classification & Valeur Métier)
* CRITICITE vs PRIORITE
À titre d’exemple
33. Développement d’un programme de sécurité
Rôles & Responsabilités
Business objective
People
Process
information
data
Criticité Application System Network Physique
Le niveau de criticité attribué aux données influence
directement celles des autres actifs IT qui y sont associés
dans la chaîne de réalisation de l’objectif business
Criticité des données (Classification & Valeur Métier)
34. • Maximum tolerable downtime (MTD)
• Mean time between failures (MTBF)
• Mean time to failure (MTTF)
• Mean time to restore (MTTR)
• Recovery point objective (RPO)
• Recovery time objective (RTO)
• Service-level agreement (SLA)
• Single point of failure (SPOF)
Résilience
35. En cas d’indisponibilité majeure impactant nos objectifs business critiques
• MTD : Au-delà de quel période notre business n’est plus viable ou les pertes deviennent intolérables ?
• RTO : Période maximale pour remettre le business en route même sous forme dégradée ?
• RPO : En cas de retour à la normale, quelle quantité d’actifs est-on prêt à supporter la perte ?
Image: http://virtualization24x7.blogspot.com/2015/11/what-is-rpo-rto-wrt-mtd.html
* WRT = work Recovery Time
Résilience
36. Développement d’un programme de sécurité
Rôles & Responsabilités
Business objective
People
Missions /
Process
information
data
Criticité
Criticité des données (Classification & Valeur Métier)
MTD RTO
RPO
Application System Network Physique
Les objectifs business en matière de résilience
s’applique à tous les niveau de la chaîne de
criticité
On connaît nos actifs critique et nos besoins en termes de résilience
Passons à l’analyse des risques
37. Développement d’un programme de sécurité
Où voulons nous être ?
Définition des objectifs
COBIT 5
ISO/IEC 27001:2013
NIST SP 800-53
CIS
PCI-DSS
HIPAA
GDPR
…
SCOPING
&
TAILORING
Profile cible (Target
profile (TP))
Risk appetite (Appétence aux risques)
Choix d’un référentiel ou standard
39. C’est quoi un risque ?
Développement d’un programme de sécurité
Analyses des risques
VULNÉRABILITÉ MENACE
x =
Risque
Le risque est la possibilité de survenue d'un événement indésirable, la
probabilité d'occurrence d'un péril probable ou d'un aléa
validation de l’existence du risque
40. Le risque sur un actif doit être évalué.
On ne sécurise pas ce qui n’est exposé à « aucun » risque,
En sécurité tout part des risques. On parle de « Risk-based Decision Making Process »
Deux types d’analyses
Développement d’un programme de sécurité
Analyses des risques
Commençons par l’analyse quantitative
• QUANTITATIVE
• QUALITATIVE
41. Analyse quantitative
Asset Value = AV
Identification des risques
Valeur quantifiable de l’actif
Menaces x vulnérabilité = risques
Probabilité d’occurrence (annuelle) Annual Rate of Occurance = ARO
Impact en cas d’occurrence (annuelle) EF = Exposure Factor (% de perte sur l’actif en cas de réalisation du risque)
SLE = EF x AV (Single Loss Expectancy)
ALE = ARO x SLE (Annualized Loss Expectancy)
3 fois par an => 3
1 fois sur 10 ans => 0,1
Priorisation Classement
Usage du composant Core du NIST CSF possible
42. Analyse qualitative
Criticité
Identification des risques
Valeur qualitative de l’actif
Probabilité d’occurrence (annuelle) (NIST SP800-30 ref)
Impact en cas d’occurrence (annuelle) High
Medium
Low
Priorisation Classement
Usage du composant Core du NIST CSF possible
Current Profile
Et où sommes nous ?
Développement vue holistique
Inventaire
Analyse des risques
Profil actuel (current profile (CP))
High
Medium
Low
43. Likelihood scale (from Appendix G of NISTPublication 800-30.)
Very High - 10 - Adversary is almost certain to initiate threat event.
High - 8 - Adversary is highly likely to initiate threat event.
Moderate - 5 - Adversary is somewhat likely to initiate threat event.
Low - 2 - Adversary is unlikely to initiate threat event.
Very Low - 0 - Adversary is highly unlikely to initiate threat event.
Guide for Conducting Risk Assessments, NIST SP800-30.
44. Analyse du Gap
Analyse qualitative des risques
Usage possible du NIST CSF
GAP ANALYSIS
Analyse quantitative des risques
+
Quelle est la distance à parcourir ?
Gap analysis
Stratégie de réponse
Où voulons nous être ?
Current Profile
Target Profile
Où sommes nous ?
45. Stratégie de réponse
Quelle est la distance à parcourir ?
Gap analysis
Stratégie de réponse
• ACCEPT
• MITIGATE
• TRANSFERT
• AVOID
Réponse
46. Quelles ressources pour les actions (projets, changements)
Délais
Périmètre Coûts
Coûts : finances, RH, matériel & équipements …
Coût annuel du Contrôle (ACS)
47. Développement d’un programme de sécurité
Stratégie de réponse
PROJET
PLAN (REPRISE, INCIDENT,
…etc)
Comment la parcourir ?
Roadmap (plan d’action)
Phase 1 Phase 2 Phase 3
ROADMAP
De votre stratégie de réponse découle
un ensemble d’actions à mener.
En donnant à ces actions un plan
constitué au minimum du trio:
- Coûts (financières, humaines,
matérielles)
- Délais
- Périmètre
Vous en faite un projet qui sera intégré
au programme.
Les projets peuvent ensuite être
répartis en phase en tenant compte des
priorités.
Délais
Périmètre Coûts
48. 5. CMMI (Capability Maturity Model Integration)
Lecture: https://www.pmi.org/learning/library/cmmi-bring-pm-process-next-level-7538
Source image: https://www.testbytes.net/blog/what-is-cmmi/
CMMI model is a pool of dependable
best practices that helps in improving
quality, standards, and efficiency of
the software development processes
• Create by: Software Engineering
Institute at Carnegie Mellon University
• Now managed by: CMMI Institute.