1 / 14

Gestion Opérationnelle Sécurité

Gestion Opérationnelle Sécurité. Thierry MANCIOT – SFR GT Sécurité CRIP. Le GT Sécurité CRIP. 124 membres inscrits Démarrage au mois de Mars 2012 Une quinzaine de membres actifs

regina
Download Presentation

Gestion Opérationnelle Sécurité

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Gestion Opérationnelle Sécurité Thierry MANCIOT – SFR GT Sécurité CRIP

  2. Le GT Sécurité CRIP • 124 membres inscrits • Démarrage au mois de Mars 2012 • Une quinzaine de membres actifs • MACIF, Generali, Bouygues Telecom, Orange, SFR, Renault, Groupama, PSA, DISIC, Lafarge, CNP Assurances, Météo France, Matmut, DGAC • Partage de retours d’expérience sur des thématiques sécurité ciblées • Approche opérationnelle et pragmatique • Publication d’une newsletter

  3. GOS : De quoi parle-t-on ? • Administration des briques sécurité • Administration des outils de surveillance et contrôle • Gestion d’éléments de sécurité (certificats, secrets,…) • Gestion des vulnérabilités et correctifs de sécurité • Veille sécurité opérationnelle incluant la réputation Internet • Détection / Surveillance des événements de sécurité Surveillance / détection Administration Gestion incidents • Audits / tests d’intrusion • Contrôle de conformité à la politique sécurité • Traitement des incidents sécurité • Gestion crise sécurité • Analyses post mortem Contrôle Organisation – pilotage transverse Processus sécurité opérationnels Reportings / Tableaux de bord

  4. GOS : quelles évolutions ? • Les domaines liés à la surveillance / détection et gestion des incidents prennent de l’ampleur • La GOS adresse de plus en plus les couches applicatives • Les maillages fraude et sécurité se créent • Les compétences évoluent vers plus d’expertise notamment dans la détection

  5. Contexte réglementaire • Paquet Telecom – transposition dans le droit français • S’applique aux opérateurs de communication électronique • Ordonnance relative aux communications électroniques adoptée le 24 aout 2011 et décret 2012-436 du 30 mars 2012 – Notification en cas de vol de données à caractère personnel • Obligation d’avertir sans délai la CNIL • La CNIL peut mettre en demeure le fournisseur d’informer l’intéressé • Obligation de tenir à jour un registre des violations de données personnelles • Décret 2012-488 du 13 avril 2012 • Obligation de notifier les failles de sécurité sans délai à l’autorité publique • Projet de règlement européen sur la protection des données personnelles • 25 janvier 2012: publication du projet de Règlement • Règlement applicable à tout fournisseur qui traite les données d’un utilisateur UE • Obligation pour toutes les entreprises > 250 employés d’avoir un CIL • Notification des violations de données personnelles à l’autorité nationale • Projet de règlement européen NIS (Network and Information Security) • 07 Février 2013 : publication du projet de Règlement • Obligation de notifier à l’autorité nationale les failles de sécurité touchant les infrastructures critiques

  6. Principales problématiques • Quels sont les modèles de mise en œuvre des processus opérationnels sécurité (ITIL vs spécifique) ? • Comment évaluer et communiquer sur les risques sécurité liés aux incidents ? • Comment mobiliser les équipes opérationnelles en réaction aux incidents de sécurité ? • Comment valoriser / mesurer l’efficacité des dispositifs opérationnels de sécurité ? • Comment étendreles canaux de détection et d’alerte ?

  7. Incident sécurité et ambivalence • S’appuyer sur les dispositifs standards de gestion des incidents • Organisation, process ITIL, schéma d’escalades, outils de ticketing,… • Intégrer le détail des incidents dans un référentiel à accès restreint • Traiter de manière spécifique certains types d’incidents (fraude, RH, obligations légales,…) • Créer son propre réseau de confiance • Mettre en place les dispositifs de communication vis-à-vis des instances de réglementation • Anticiper les arrêts volontaires de services dans les plans de réaction • Gérer dans le temps la durée d’un incident / crise sécurité Confidentialité Mobilisation Une approche standard qui requiert certaines spécificités

  8. Process incident sécurité Détection Pré-qualification Alerte Qualification / Traitement de l’incident Equipes de production Fiche d’aide à la qualification Process incident production Si impact sécurité Acteurs internes Equipes sécurité Services clients Matrice IG Process incident sécurité Crise SOC Dispositifs de surveillance et contrôle Métiers Matrice impact métiers

  9. Modèle d’aide à la qualification Matrice IG Fiche d’aide à la qualification Matrice impact métiers Aide à qualifier l’événement observé en incident de sécurité Aide à identifier les points de contacts Indique les premiers réflexes Diffusée sur l’intranet + campagne de sensibilisation • Basée sur : • Catégoriesd’impacts métiers • Niveau d’impact métier • Permet de mieux communiquer avec les entités métiers pendant l’incident et post incident • Basée sur : • Catégoriesd’incidents • Sensibilité des actifs • Ampleur • Echelle d’IG sécurité équivalente à l’échelle IG de production : • Mobilisation des équipes de production • Schémas d’escalades déjà en place • Evolution de l’IG dans le temps Notion de « confiance » dans la qualification des incidents sécurité Notion de « récurrence » des incidents

  10. Démarche d’amélioration continue • Systématiser les REX sur les incidents sécurité majeurs afin de : • Améliorer la détection et la qualification • Expliquer/Communiquer sur le niveau de gravité de l’incident • Définir les plans d’actions de prévention dans le cadre de la gestion des problèmes sécurité • Réaliser périodiquement des exercices de crise sur différents types de scénarios: • Le plus probable • Celui avec fort impact technique • Le plus transverse (impactant le plus de directions techniques et métiers) • Celui qui est couplé avec un exercice de PRA

  11. Conclusion et perspectives Accompagner l’évolution de la Gestion Opérationnelle Sécurité • Industrialiser les dispositifs opérationnels de sécurité • Renforcer l’expertise sécurité dans les domaines de la surveillance • Accompagner le changement, communiquer • Ne pas négliger les phases de Build pour être efficace dans le Run Perspectives 2013 du GT Sécurité CRIP : Sécurité dans les projets • Organisation et acteurs • Classification des besoins de sécurité par types de projets • Gestion de la donnée sensible dans le cycle projet • Contrôleset validations sécurité dans le projet

  12. Merci de votre attention Questions ?

  13. Matrice IG sécurité • Catégories d’incidents : • Accès, modification, collecte non autorisés de données • Divulgation d’information • Intrusion / prise de contrôle • Comportements anormaux (usages frauduleux, usages abusifs, comportements déviants,…) • Présence de fichiers malveillants (malware) • Dysfonctionnements (déni de service par ex, indisponibilité de service non expliquée) • Vulnérabilités critiques • Actifs : • Sensibilité du service / application • Sensibilité de la donnée • Ampleur : • Nombre d’actifs impactés par l’incident • Niveau de contagion

  14. Matrice impacts métier • Catégories d’impacts : • Perte financière • Réputation / Image de marque • Réglementation / Juridique • Insatisfaction clients • Disponibilité des services

More Related