SÉCURITÉ VS. CONTINUITÉ« THE DEVIL IS IN THE DETAILS ».

soit en français

« LE DIABLE SE CACHE DANS LES DÉTAILS ».

SOMMAIREIntroduction

Normes ISO

• Ecosystèmes

• Champs d’action

• Statistiques

Interactions

• …conceptuelles

• …opérationnelles• Problématiques

• Solutions

Conclusion

Expériences & Questions

INTRODUCTION

Sécurité & Continuité…• non-génératrices de revenus

• gestion des risques

• valeur qu’en cas d’incident

• différentes et séparées

• trop limitées aux services TIC

• responsabilités des personnes

• critiques et transverses

• communs et complémentaires

…donc ?

NORMES ISO : 2700XEcosystème

ISO 27031:2011 propose un cadre pour la continuité d'activité.

NORMES ISO : 27001 & 27002

Champ d’action

LES CHIFFRES

NORMES ISO : 27002 & 27031

Champ d’action de 27002, chapitre 14« Le Chapitre 14 décrit des mesures pour la gestion d’un plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés. »

Wikipédia

Champ d’action de 27031« ISO/CEI 27031:2011 couvre tous les événements et incidents (y compris ceux liés à la sécurité) qui peuvent porter atteinte à l’infrastructure et aux systèmes TIC. Elle regroupe, en les complétant, les pratiques de gestion des incidents liés à la sécurité de l’information, et les pratiques de gestion de la planification de mise en état des TIC et des services TIC. »

ISO

NORMES ISO : 22301

Champ d’action

LES CHIFFRES

INTERACTIONS CONCEPTUELLES

Gestion de risque commune ?• Actif [ Propriétaire, Valeur, Responsable ]

• Menace -> Actif

• Actif { Vulnérabilité }

• (Menace x Vulnérabilité) x Valeur = Impact

• Probabilité x Impact = Risque

Cindynique, science du danger

Que trouve-t-on dans les politiques et plans ?• Analyse

• Recommandations

• Implantation

LES CHIFFRES

LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE

LA VRAIE PROBLÉMATIQUE OPÉRATIONNELLE

Constat de double, triple, quadruple,… panne.• Les croyances

• Les probabilités simplistes

• Les probabilités réelles in situ

L’incident « gris » ou « irritant »• Nouveau concept du jour hors du H-M-L

• Le faux-incident

• L’incident partiel à impact significatif modéré

• Intégration dans les BIAs

INTERACTIONS OPÉRATIONNELLES

La sécurité obstacle à la continuité• Excès de sécurité

• Déséquilibre de sécurité

• Processus de sécurité tiers

La continuité obstacle à la sécurité• Le principe de « pré-action »

• L’urgence

• L’ « anti-champion »

INTERACTIONS OPÉRATIONNELLES

Etude de cas n°1 : la continuité menace la sécurité

• Menace logique in situ via une vulnérabilité physique.

Etude de cas n°2 : la sécurité menace la continuité

• Menace logique via intimidation publique et auto-sabotage.

SOLUTIONS OPÉRATIONNELLES POSSIBLES

Conformité du plan de continuité à la politique de sécurité.

Sensibilisation des « champions »• Equipe de DR incluant une dimension d’autocontrôle

• Tests de vulnérabilité intégrés aux tests de DR

Extériorisation des services de sécurité• Inclusion par SLA des Tiers de sécurité au processus de continuité

• Surveillance de sécurité logique et physique décentralisée

• Elévation de droits automatisée (ex. PowerBroker)

A INSÉRER DANS NOS POLITIQUES…

Sécurité

• Recommandations standards (CMMI 3)« En service normal, l’accès aux ressources doit être contrôlé

(identification utilisateurs, double-authentification) et adapté au droit à en connaître de l’utilisateur (droits et privilèges, profil utilisateur). »

• Recommandations d’urgence (CMMI 1)« Dans le cas d’une urgence, l’accès aux ressources peut être facilité

par des contrôles exceptionnels (identification par machine, authentification unifiée) et adapté au obligations de moyens de l’utilisateur (droits et privilèges exceptionnels documentés, profil administrateur). »

A INSÉRER DANS NOS POLITIQUES…

Continuité

• Liste des contrôle de sécurité dégradés

• Processus d’autocontrôle

CADILLAC !Une analyse des risques résiduels cumulés sur la base des « SPoF »

RETOURS D’EXPÉRIENCES ?

BIBLIOGRAPHY

M53 – Étude de cas, suite ISO 2700x

http://fr.wikipedia.org/wiki/ISO/CEI_27001

http://fr.wikipedia.org/wiki/ISO/CEI_27002

http://www.duquesnegroup.com/ISO-22301-la-future-norme-de-Continuite-d-activite_a187.html

http://www.bcifiles.com/22301Transition_BSI20110321.pdf

http://www.icm.co.uk/newsroom/events/downloads/sp4launch/Raising_the_Standard_John_Sharp.pdf

http://www.itsc.org.sg/pdf/synthesis09/Four_ICT.pdf

http://fr.wikipedia.org/wiki/Cindynique

http://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2005.pdf

http://download.pwc.com/ie/pubs/pwc_goodbye_sas_70_isae_3402.pdf