La démarche d’homologation DR – Les objectifs de sécurité

La stratégie d’homologation définie, il faut passer au cœur du sujet, la définition des objectifs de sécurité. Pour cela une connaissance fine de l’entreprise est nécessaire.

La première pierre à poser est l’analyse de risque. Celle-ci peut s’appuyer sur une analyse passée qu’il faut réactualiser ou la construire. Dans ce second cas il existe plusieurs solutions, l’utilisation de l’ISO27005 ou de la méthode Ebios2010. Vous pouvez réaliser cette étude vous-même, mais aussi vous faire aider par des prestataires à des degrés divers.

A l’issue vous disposerez d’une cartographie complète de vos risques. N’hésitez pas à y inscrire des risques atypiques suivant votre domaine d’activité, en particulier ceux d’ingérence économique, d’espionnage de sabotage, plus vous aurez une connaissance fine des métiers de votre entreprise plus votre cartographie sera précise.

A noter que tous les secteurs d’activité ne sont pas égaux devant certaines menaces et la menace étatique en particulier. Les cas précités sont souvent l’apanage des états dans leur réalisation mais dont le bénéficiaire est très souvent une société concurrente. Alstom (ici) par exemple ou encore Nortel (ici et ) sont quelques cas connus, avec pour ce dernier la pose de micros dans les locaux du campus.

Pour mieux la connaitre il suffit de réaliser une analyse géostratégique qui vous permettra de connaitre au mieux les « besoins » des différents intervenants. Pour la chine par exemple c’est ici pour le 13ieme plan quinquennal.

Les cas de sabotage sont plus rares, mais si c’est réalisé subtilement, cela peut faire augmenter les couts de revient des produits fabriqués avec une casse artificielle…

Pour aller plus loin il sera nécessaire d’exprimer le besoin de sécurité, ceci au travers de fiches d’expression rationnels des objectifs de sécurités (FEROS), permettant de formaliser au mieux vos besoins en termes de sécurité par rapport aux risques identifiés. Ces fiches vous permettront ensuite de mieux contrôler la réalisation de vos objectifs.

Il faudra ajuster au mieux le curseur entre le besoin de sécurité, le cout engendré et enfin la nécessaire adhésion des utilisateurs.

Cette étape réalisé il sera temps de passer à la suite pour évaluer la couverture aux risques mais cela est une autre histoire.

La démarche d’homologation DR – La stratégie d’homologation

Après avoir été convaincu d’homologuer votre système d’information (ici), vous avez démarré votre projet, cependant le chemin est long et semé d’embuche.
La première étape incontournable et obligatoire avant d’aller plus loin est de définir une stratégie d’homologation. Celle-ci va permettre à l’entreprise qui se lance dans la démarche de structurer sa réflexion tout en formalisant celle-ci dans un document. Cette stratégie comportera plusieurs briques qui assemblés formeront une ossature à votre processus. Ces briques existent peut-être déjà chez vous!

Référentiel documentaire

L’une de ces briques est le référentiel documentaire. Suivant les raisons qui poussent à l’homologation, il faut bâtir un ensemble de référentiel applicable et adapté à l’objectif. Plusieurs existent référentiels tels que l’II901, l’IGI1300, le RGDP, l’IGI6600 (Activité d’importance vitale), ou d’autre encore. Le choix et l’utilisation de ces référentiels permettra de cadrer au mieux les exigences techniques qui seront appliquées au périmètre qui sera défini.

Périmètre

Le périmètre est une donnée d’entrée primordiale et dimensionnant pour la suite du processus. Le périmètre doit comporter tous les éléments qui rentrent dans le fonctionnement du système à homologuer. Cela comprend les éléments fonctionnels, techniques, organisationnels et géographiques.
Un système d’informations n’étant pas un système simple, il y aura toujours une multitude de fonctions, d’applications, d’interconnexions plus ou moins évidentes. Vous aurez probablement plusieurs systèmes isolés où il faudra se poser la question de les regrouper dans un ensemble homogène ou non. Les postes isolés doivent-ils disposer d’une homologation individuelle ou groupée ?
Vous avez des systèmes complexes, industriels, de la voix sur IP, ces exemples peuvent représenter plusieurs périmètres d’homologation diffèrent qu’il vous faudra identifier afin de mener la démarche jusqu’au bout.
La connaissance des points d’interconnexions est primordiale dans la définition du périmètre pour en détecter les vulnérabilités et donc mieux les surveiller et les protéger.

Acteurs

Il faut définir une autorité d’homologation qui après étude du dossier d’homologation prononcera l’homologation. Cette autorité doit être placée à un niveau suffisant pour assumer le risque en cas de réalisation de celui-ci. L’autorité d’homologation désignera un responsable du processus d’homologation qui mènera le projet d’homologation.
Parmi les autres acteurs que l’on retrouve il y a la maitrise d’ouvrage représentant les métiers, le RSSI, le responsable de l’exploitation du système, les prestataires, les responsables de chacun des SI interconnectés.
A noter que parmi les acteurs il peut y avoir l’ANSSI et des acteurs étatiques comme membre de la commission d’homologation.
Tous ces acteurs complètent et étudient le dossier d’homologation et se réunissent lors de la commission d’homologation sous la direction de l’autorité d’homologation qui homologuera pour une durée définit le système.

Le dossier d’homologation

Le dossier d’homologation a pour objectif de permettre à la commission d’homologation et plus particulièrement à l’autorité d’homologation de prendre sa décision en toute connaissance de cause dans l’évaluation du niveau de sécurité définie dans le périmètre d’homologation. CE dossier sera composé de plusieurs documents:

  • Le premier document indispensable est la stratégie d’homologation elle-même.

  • L’analyse de risque du périmètre tel que défini

  • La politique de sécurité du système d’information (PSSI) qui définit les principes et exigences techniques et organisationnelles de la sécurité du système d’information. Ce document s’applique au périmètre requis pour l’homologation.

  • Le journal de bord de l’homologation, registre des décisions et des principaux événements du projet.

  • Les référentiels de sécurité utilisés dans la démarche d’homologation, tel que la PSSI de l’organisme, mais aussi les textes légaux auxquels est soumise l’entreprise.

  • Le tableau de bord de l’application des règles d’hygiène informatique sous forme de taux de couvertures à ces règles, idéalement un diagramme en toile d’araignée.

  • La cartographie du périmètre qu’elle soit physique, logique, applicative, de même qu’une cartographie des privilèges. Ces cartographiques permettent de mieux apprécier la situation et le processus d’homologation permet de la réaliser si cela n’a pas été déjà fait.

  • Le schéma détaillé des architectures comportera tous les éléments techniques nécessaires pour connaitre l’architecture, cela peut être issu de la cartographie. On trouvera typiquement l’adressage IP, la matrice des flux, le plan de sauvegarde, le PRA/PCA, les documents d’installation et de configuration des équipements.

  • Le document présentant les risques identifiés et les objectifs de sécurité que se fixe l’entreprise

  • Les risques résiduels et leurs couvertures

  • Les procédures d’exploitation du système (PES) détaillé et validé avec éventuellement le cahier de recettes prouvant que les PES sont conformes aux attentes.

  • Les exigences d’interconnexion avec d’autres systèmes et les systèmes ouverts type Wifi et Internet par exemple.

  • Les décisions d’homologation des systèmes interconnectés si ceux-ci sont homologuées. Dans le cas où il n’y aurait pas d’homologation il faut l’exiger pour pouvoir maintenir l’interconnexion.

  • Les certificats de sécurité des produits utilisés, les attestations de qualifications des produits ou des prestataires. Ainsi que toutes les décisions d’autorité étatique autorisant des dérogations.

  • Les plans de tests et d’audits, ainsi que leurs rapports et plans d’action associés. Cela inclut tous les audits réalisés avant l’homologation et pour les systèmes déjà en productions les audits de contrôle réalisé avant la ré homologation.

  • Les décisions d’homologation antérieur si elle existe.

  • Le tableau de bord des incidents et leur résolution consolidée dans un document permettant pour chaque incident d’identifier les causes, les conséquences, les résolutions effectués et le statut.

  • Le journal des évolutions sous forme de roadmap, priorité et de time line qui est déduit du plan d’action permettant à la commission d’homologation d’avoir une vision de l’avenir et de pouvoir le cas échéant accepter des risques qui ne le seraient pas sinon.

Le Planning

L’homologation devant être prononcée avant la mise en production du système d’information, il est nécessaire de disposer d’un planning. Celui-ci permettra d’avoir une visibilité depuis le lancement de la démarche jusqu’au déroulé des plans d’action. Cela permettra aussi de poser des jalons, permettant à l’autorité d’homologation et aux composants de la commission d’avoir une vision claire de la situation. Le planning intégrant aussi une certaine vision du cycle de ré homologation

 

Le FIC2018 c’est bientôt

FIC2018
FIC2018

Comme chaque année depuis 10 ans le Forum International de la Cybersécurité (FIC) qui se tient au Grand Palais de Lille est le premier événement Cyber de l’année.

Vous y trouverez en endroit pour faire vos courses, prendre des contacts, vous tenir informé des nouvelles tendances, faire le point sur l’actualité, construire votre réseau, tout cela sur 2 jours les mardi 23 et mercredi 24 janvier.Plus de précision ici.

Toujours dans le cadre du FIC2018 le lundi 22  vous avez la Conférence sur la réponse à Incident et l’Investigation Numérique (CoRIIN) organisé par le CECyF.

Maintenant que vous avez le planning, reste la plus difficile trouver un logement.