La démarche d’homologation DR – Evaluation de la couverture aux risques

La dernière étape avant l’homologation formelle est de connaitre votre couverture face aux risques évalués précédemment (ici).

Lors de cette phase vous construirez si ce n’est déjà fait une cartographie de vos systèmes d’information, l’ANSSI a initié une note sur le sujet (ici). Cette description devant être à jour et maintenue dans le temps, c’est probablement la tâche la plus délicate et la moins exaltante de la démarche d’homologation, et c’est ici qu’il faut poser un processus PDCA pour que cette documentation soit le plus exacte possible dans le temps.

En complément de cette cartographie, il faut construire si ce n’est pas déjà fait les documents d’architecture techniques et organisationnels qui permettront à l’autorité d’homologation d’assoir une vision de la réalisation de la démarche d’homologation. C’est toute cette documentation qui vous guidera dans le trou noir de la crise cyber.

Il faut aussi créer ou mettre à jour les procédures d’exploitation de la sécurité (PES), lesquelles seront éprouvés lors des audits et des incidents ultérieurs.

La vision croisée de la cartographie, des documents d’architecture et des procédures associées doivent être éprouvés lors d’audits sécurité du périmètre de l’homologation. Cette étape peut être lourde suivant la taille du périmètre établi. Cependant cette opération est importante puisqu’elle permettra de trouver des failles éventuelles. Ces audits doivent être techniques et organisationnels mais doivent aussi prendre en compte la dimension physique de la protection (ici).

Les audits réalisés, il sera très probablement nécessaire de mettre en place un plan d’action global. Celui-ci se segmentant en de multiples plans aussi bien techniques qu’organisationnel et s’inscrivant dans un planning réaliste et tenable des actions engagées.

La réalisation d’un plan d’action efficient peut permettre la poursuite de la démarche d’homologation sans pour autant la bloquer. Le plan d’action permettant de corriger ou réduire des risques identifié, bref de piloter le risque.

Strava mes données a moi, que j’ai donné avec plaisir et sueur

La raison de vivre d’un réseau social est le partage avec ses « amis », Strava ne déroge pas à la règle, mais le partage des données collectées n’était pas vraiment attendu par tout le monde. Cette affaire permet de lever un coin de voile sur les réseaux sociaux et leur capacité à collecter des informations, à les agréger et enfin à les exploiter…
Le réseau social Strava permet de partager ses « exploits » sportif avec ses amis via un équipement connecté au travers des données collectées pendant l’effort. Celles-ci ont été agrégé par le réseau social est rendue publique fin janvier sur le site Strava Global Heatmap. Cela permet à travers une première analyse de voir que l’on fait beaucoup de sport en Europe, en Amérique du nord mais pas uniquement, l’on aperçoit sur la carte globale beaucoup d’espaces où l’on fait du sport, en particulier dans des endroits improbables, le désert ou la mer, on y remarque aussi quelques bugs…

Lorsque l’on a l’habitude de regarder Google Map pour regarder des endroits lointains, on regarde en réalité des photos et en dehors des villes, difficile de se rendre compte de l’activité humaine. Strava va agir comme un révélateur de cette activité. Un peu comme lorsque vous utilisez des jumelles de vision nocturne en pleine nuit. Ce qui frappe tout d’abord, c’est les routes, en effet on distingue très bien les autoroutes et les routes importantes, or ce n’est pas un lieu où l’on pratique du sport. Viennent ensuite les stades qui sont des lieux de pratique évidents, on y remarque d’ailleurs ceux a forte activité par rapport à d’autres. Strava fournit plusieurs fonctionnalités qui permettent de filtrer les informations suivant le type de sport, élément important suivant l’utilisation que l’on en fait, on le verra par la suite.
Au même titre que Google Map cela permet de regarder des endroits improbables, la Corée par exemple. en particulier au nord on y retrouve de l’activité sportive, des touristes probablement…

Dans les zones de conflits on y retrouve l’activité de militaire, on pense tout de suite à la Syrie, au mali, en Libye, mais plus amusant l’ile de Xonjing dans les iles Paracel. On constatera aussi que quelques menus travaux d’aménagement on était réalisé….

Dans d’autres zones de conflit on peut voir les patrouilles à pied de celles en véhicules grâce aux paramètres de l’application.
Mais mieux encore cela permet aussi de voir les activités passées d’un endroit, une sorte d’empreinte du temps. Cela ne se détecte que si vous connaissez l’endroit parfaitement. Par exemple sur l’aéroport de Paris Le Bourget se déroule tous les 2 ans le Salon International de l’Aéronautique et de l’Espace, ce salon se déroule sur le tarmac pour la partie extérieure et l’on y remarque sur Strava l’agencement des chalets extérieurs par exemple. cela ne fonctionne pas pour les activités en intérieur comme les salons porte de Versailles.

Cette divulgation consentie permet de prendre conscience si cela était encore nécessaire que de la protection des données personnelles est une action importante. Ces données pouvant être exploitées par l’état disposant de ces données. Pour rappel Strava est basé aux Etats-Unis, donc soumise à la loi américaine et donc au Patriot Act. Lequel est utilisé pour lutter contre le terrorisme mais pas uniquement et en particulier dans la guerre économique mondiale. alors que dire des informations recueillies par les GAFAM qui eux représentent des milliards d’utilisateurs. A ce titre là, une carte diffusée par Facebook seraient très instructive!
La mise en place du RGPD permettra peut-être de mieux lutter contre la diffusion de vos données, mais en attendant celles-ci sont exploités au mieux par d’autres bien mal intentionnés.

Au Service de la France – Série TV

Au cœur de l’hiver il fait bon de se réchauffer au coin du feu ou sous la couette en regardant une série parodique du film d’espionnage, comme Au Service de la France. L’intrigue se déroule dans la France des années 60 au sein d’un service de renseignements en charge des opérations extérieures à l’étranger. Ici on est bien loin du Bureau des légendes, puisque l’étranger est l’Algérie, encore Française à l’époque, les états africains avant leur indépendance, les pays du bloc de l’est.

Au générique on y retrouve une devise, “partout ou nécessite fait loi” qui pourrait être celle du SDECE ancêtre de la DGSE.

On y trouvera des intrigues sur le fonctionnement de l’administration française, les restes de la Seconde Guerre mondiale ou encore la décolonisation…un délice.

 

La démarche d’homologation DR – Les objectifs de sécurité

La stratégie d’homologation définie, il faut passer au cœur du sujet, la définition des objectifs de sécurité. Pour cela une connaissance fine de l’entreprise est nécessaire.

La première pierre à poser est l’analyse de risque. Celle-ci peut s’appuyer sur une analyse passée qu’il faut réactualiser ou la construire. Dans ce second cas il existe plusieurs solutions, l’utilisation de l’ISO27005 ou de la méthode Ebios2010. Vous pouvez réaliser cette étude vous-même, mais aussi vous faire aider par des prestataires à des degrés divers.

A l’issue vous disposerez d’une cartographie complète de vos risques. N’hésitez pas à y inscrire des risques atypiques suivant votre domaine d’activité, en particulier ceux d’ingérence économique, d’espionnage de sabotage, plus vous aurez une connaissance fine des métiers de votre entreprise plus votre cartographie sera précise.

A noter que tous les secteurs d’activité ne sont pas égaux devant certaines menaces et la menace étatique en particulier. Les cas précités sont souvent l’apanage des états dans leur réalisation mais dont le bénéficiaire est très souvent une société concurrente. Alstom (ici) par exemple ou encore Nortel (ici et ) sont quelques cas connus, avec pour ce dernier la pose de micros dans les locaux du campus.

Pour mieux la connaitre il suffit de réaliser une analyse géostratégique qui vous permettra de connaitre au mieux les « besoins » des différents intervenants. Pour la chine par exemple c’est ici pour le 13ieme plan quinquennal.

Les cas de sabotage sont plus rares, mais si c’est réalisé subtilement, cela peut faire augmenter les couts de revient des produits fabriqués avec une casse artificielle…

Pour aller plus loin il sera nécessaire d’exprimer le besoin de sécurité, ceci au travers de fiches d’expression rationnels des objectifs de sécurités (FEROS), permettant de formaliser au mieux vos besoins en termes de sécurité par rapport aux risques identifiés. Ces fiches vous permettront ensuite de mieux contrôler la réalisation de vos objectifs.

Il faudra ajuster au mieux le curseur entre le besoin de sécurité, le cout engendré et enfin la nécessaire adhésion des utilisateurs.

Cette étape réalisé il sera temps de passer à la suite pour évaluer la couverture aux risques mais cela est une autre histoire.

La démarche d’homologation DR – La stratégie d’homologation

Après avoir été convaincu d’homologuer votre système d’information (ici), vous avez démarré votre projet, cependant le chemin est long et semé d’embuche.
La première étape incontournable et obligatoire avant d’aller plus loin est de définir une stratégie d’homologation. Celle-ci va permettre à l’entreprise qui se lance dans la démarche de structurer sa réflexion tout en formalisant celle-ci dans un document. Cette stratégie comportera plusieurs briques qui assemblés formeront une ossature à votre processus. Ces briques existent peut-être déjà chez vous!

Référentiel documentaire

L’une de ces briques est le référentiel documentaire. Suivant les raisons qui poussent à l’homologation, il faut bâtir un ensemble de référentiel applicable et adapté à l’objectif. Plusieurs existent référentiels tels que l’II901, l’IGI1300, le RGDP, l’IGI6600 (Activité d’importance vitale), ou d’autre encore. Le choix et l’utilisation de ces référentiels permettra de cadrer au mieux les exigences techniques qui seront appliquées au périmètre qui sera défini.

Périmètre

Le périmètre est une donnée d’entrée primordiale et dimensionnant pour la suite du processus. Le périmètre doit comporter tous les éléments qui rentrent dans le fonctionnement du système à homologuer. Cela comprend les éléments fonctionnels, techniques, organisationnels et géographiques.
Un système d’informations n’étant pas un système simple, il y aura toujours une multitude de fonctions, d’applications, d’interconnexions plus ou moins évidentes. Vous aurez probablement plusieurs systèmes isolés où il faudra se poser la question de les regrouper dans un ensemble homogène ou non. Les postes isolés doivent-ils disposer d’une homologation individuelle ou groupée ?
Vous avez des systèmes complexes, industriels, de la voix sur IP, ces exemples peuvent représenter plusieurs périmètres d’homologation diffèrent qu’il vous faudra identifier afin de mener la démarche jusqu’au bout.
La connaissance des points d’interconnexions est primordiale dans la définition du périmètre pour en détecter les vulnérabilités et donc mieux les surveiller et les protéger.

Acteurs

Il faut définir une autorité d’homologation qui après étude du dossier d’homologation prononcera l’homologation. Cette autorité doit être placée à un niveau suffisant pour assumer le risque en cas de réalisation de celui-ci. L’autorité d’homologation désignera un responsable du processus d’homologation qui mènera le projet d’homologation.
Parmi les autres acteurs que l’on retrouve il y a la maitrise d’ouvrage représentant les métiers, le RSSI, le responsable de l’exploitation du système, les prestataires, les responsables de chacun des SI interconnectés.
A noter que parmi les acteurs il peut y avoir l’ANSSI et des acteurs étatiques comme membre de la commission d’homologation.
Tous ces acteurs complètent et étudient le dossier d’homologation et se réunissent lors de la commission d’homologation sous la direction de l’autorité d’homologation qui homologuera pour une durée définit le système.

Le dossier d’homologation

Le dossier d’homologation a pour objectif de permettre à la commission d’homologation et plus particulièrement à l’autorité d’homologation de prendre sa décision en toute connaissance de cause dans l’évaluation du niveau de sécurité définie dans le périmètre d’homologation. CE dossier sera composé de plusieurs documents:

  • Le premier document indispensable est la stratégie d’homologation elle-même.

  • L’analyse de risque du périmètre tel que défini

  • La politique de sécurité du système d’information (PSSI) qui définit les principes et exigences techniques et organisationnelles de la sécurité du système d’information. Ce document s’applique au périmètre requis pour l’homologation.

  • Le journal de bord de l’homologation, registre des décisions et des principaux événements du projet.

  • Les référentiels de sécurité utilisés dans la démarche d’homologation, tel que la PSSI de l’organisme, mais aussi les textes légaux auxquels est soumise l’entreprise.

  • Le tableau de bord de l’application des règles d’hygiène informatique sous forme de taux de couvertures à ces règles, idéalement un diagramme en toile d’araignée.

  • La cartographie du périmètre qu’elle soit physique, logique, applicative, de même qu’une cartographie des privilèges. Ces cartographiques permettent de mieux apprécier la situation et le processus d’homologation permet de la réaliser si cela n’a pas été déjà fait.

  • Le schéma détaillé des architectures comportera tous les éléments techniques nécessaires pour connaitre l’architecture, cela peut être issu de la cartographie. On trouvera typiquement l’adressage IP, la matrice des flux, le plan de sauvegarde, le PRA/PCA, les documents d’installation et de configuration des équipements.

  • Le document présentant les risques identifiés et les objectifs de sécurité que se fixe l’entreprise

  • Les risques résiduels et leurs couvertures

  • Les procédures d’exploitation du système (PES) détaillé et validé avec éventuellement le cahier de recettes prouvant que les PES sont conformes aux attentes.

  • Les exigences d’interconnexion avec d’autres systèmes et les systèmes ouverts type Wifi et Internet par exemple.

  • Les décisions d’homologation des systèmes interconnectés si ceux-ci sont homologuées. Dans le cas où il n’y aurait pas d’homologation il faut l’exiger pour pouvoir maintenir l’interconnexion.

  • Les certificats de sécurité des produits utilisés, les attestations de qualifications des produits ou des prestataires. Ainsi que toutes les décisions d’autorité étatique autorisant des dérogations.

  • Les plans de tests et d’audits, ainsi que leurs rapports et plans d’action associés. Cela inclut tous les audits réalisés avant l’homologation et pour les systèmes déjà en productions les audits de contrôle réalisé avant la ré homologation.

  • Les décisions d’homologation antérieur si elle existe.

  • Le tableau de bord des incidents et leur résolution consolidée dans un document permettant pour chaque incident d’identifier les causes, les conséquences, les résolutions effectués et le statut.

  • Le journal des évolutions sous forme de roadmap, priorité et de time line qui est déduit du plan d’action permettant à la commission d’homologation d’avoir une vision de l’avenir et de pouvoir le cas échéant accepter des risques qui ne le seraient pas sinon.

Le Planning

L’homologation devant être prononcée avant la mise en production du système d’information, il est nécessaire de disposer d’un planning. Celui-ci permettra d’avoir une visibilité depuis le lancement de la démarche jusqu’au déroulé des plans d’action. Cela permettra aussi de poser des jalons, permettant à l’autorité d’homologation et aux composants de la commission d’avoir une vision claire de la situation. Le planning intégrant aussi une certaine vision du cycle de ré homologation

 

Le FIC2018 c’est bientôt

FIC2018
FIC2018

Comme chaque année depuis 10 ans le Forum International de la Cybersécurité (FIC) qui se tient au Grand Palais de Lille est le premier événement Cyber de l’année.

Vous y trouverez en endroit pour faire vos courses, prendre des contacts, vous tenir informé des nouvelles tendances, faire le point sur l’actualité, construire votre réseau, tout cela sur 2 jours les mardi 23 et mercredi 24 janvier.Plus de précision ici.

Toujours dans le cadre du FIC2018 le lundi 22  vous avez la Conférence sur la réponse à Incident et l’Investigation Numérique (CoRIIN) organisé par le CECyF.

Maintenant que vous avez le planning, reste la plus difficile trouver un logement.

Bonnes Cyber Fêtes

christmas-2017
christmas-2017

A l’heure de l’ultra-connexion, pensez à surveiller vos relevés bancaires, vos colis, mais plus encore la configuration de vos cadeaux 2.0, reçus ou donnés, car la données personnelle sera l’enjeu de 2018, c’est inéluctable.

En attendant prenez soin de vous, des autres profitez de la magie de Noël pour partager quelques choses de plus réel qu’un message instantané.

Cyberement votre! Tchuss!

 

La démarche d’homologation DR

Homologation
Homologation DR

Vous avez besoin de répondre à un appel d’offre, mais le contractant vous demande d’homologuer votre système d’information, vous voulez construire un avantage concurrentiel dans la réponse à un appel d’offre, vous voulez mieux vous protéger des menaces cyber, dans tous ces cas et dans bien d’autres il faudra mener une démarche d’homologation.

Depuis la publication par l’ANSSI du guide de l’homologation de sécurité en 9 étapes simples (ici) en 2014 puis de l’Instruction Interministérielle 901 (II901) le 28 Janvier 2015, et de la sortie des Arrêtés Sectoriel concernant les Systèmes d’Information d’Importance Vital (SIIV), la nécessité d’homologuer ses systèmes d’information devient incontournable. Cette homologation permet de répondre à certaines obligations techniques du Règlement Général de la Protection des Données (RGPD). Pour un système d’information classifié c’est le processus adossé à l’Instruction Interministérielle 1300 (IGI1300) qui s’applique, ce cas ne sera pas étudié dans le présent article.

En s’appuyant sur le guide de l’ANSSI sur l’homologation et l’II901 je vous propose de modéliser un processus d’homologation d’un système d’information en s’articulant sur 5 items permettant in fine l’homologation.

A savoir :

Chacun de ces items fera l’objet d’un article détaillant le processus, son contenu et la façon de la réaliser, et toutes sortes d’informations utiles, en somme une sorte de retour d’expérience. N’hésitez pas à commenter ou à laisser un message à eon@cyberci.fr . A vous de jouer!

Ici toutes les ressources nécessaires.

Emballer du courrier sensible

Lorsque l’on veut faire parvenir du matériel sensible à un client ou partenaire commercial il convient de prendre les dispositions nécessaires pour que votre envoi soit sécurisé au mieux.

Il existe plusieurs méthodes pour cela pour les plis ou les petits colis.

La première comme dans la vidéo ci-dessous est réalisable mais assez longue, demandes des accessoires, surtout si vous avez plusieurs documents à envoyer, c’est une méthode américaine dont la vidéo a été réalisé par le Defense Security Service (DSS).

L’objectif de sécurité est décrit en France au sein de l’Instruction Générale Interministérielle 1300 article 56. On y trouve dans cet article les règles de bon sens nécessaire pour envoyer du courrier qui n’attire pas les regards. Aujourd’hui c’est ce qu’on appelle la méthode dite du scotch bleu. Celui-ci est un scotch autocollant que l’on doit mettre sur toutes les ouvertures possibles du pli interne. Pour le pli externe il n’est pas nécessaire d’en mettre.

Actuellement l’utilisation d’enveloppe indéchirable est préféré pour l’enveloppe intérieure car cela permet de gagner du temps et de la qualité dans la détection d’une ouverture frauduleuse. n’oubliez pas de communiquer au destinataire le numéro de l’enveloppe pour qu’il puisse identifier s’il y a eu subtilisation de l’enveloppe, pour cela utilisez un autre moyen de communication.

Mon amour d’Heathrow ma clé USB

clé usb
Cle USB

Il y a quelques jours un chômeur a trouvé une clé USB au milieu d’autres papiers, sur un trottoir d’Ilbert Street à Queen’s Park dans l’ouest de Londres. Quelle ne fut pas sa surprise d’y découvrir des données très sensibles marquée confidentielles pour certaines, lesquelles concernaient l’aéroport de Londres Heathrow. Il a bien évidemment contacté un journal plutôt que les forces de police, et donc grâce à lui cette histoire nous est connue.
La clé contenait près de 2.5 Go de données, réparties dans 76 répertoires. Parmi ces données on y a trouvé, le chemin emprunté par la Reine et les mesures de sécurité la concernant au sein de l’aéroport, les ID d’accès aux zones y compris ceux employé par les policiers sous couverture, les calendriers des rondes assurant la protection contre les attaques terroristes, des cartes d’implantation des caméras de surveillance, le cheminement des personnalités, le système de scanner de piste…Toutes ces données étaient librement accessibles sur une clé USB, non chiffrées.

Cet exemple médiatique est très intéressant à plusieurs titres.

Il rappelle que les données stockées sur un support numérique sont naturellement volumineuses, ici on parle de 2.5 Go soit environ 800 000 pages A4 ou encore 1600 ramettes de papier ! Autant se promener avec une clé USB est naturel, avec 1600 ramettes sous le bras beaucoup moins.
Ensuite comment expliquer qu’un tel volume d’information sensible soit trouvé dans la rue a une douzaine de kilomètres de l’aéroport? Cette question se scinde en 2, une première sur l’aspect humain, une seconde sur l’aspect technique.

Sur la question humaine on peut imaginer plusieurs scénarios.

  • Le premier, peut-être le plus vraisemblable, la clé USB a été perdue par un employé tout simplement, l’histoire finissant finalement bien.
  • Autre scénario un employé s’est fait voler une sacoche contenant entre autres documents cette clé USB, le voleur se débarrassant de ce qu’il ne trouvait pas utile, les documents papiers et la clé.
  • La clé a été perdue par une personne qui n’était pas légitime à la détenir.
  • Le chômeur a peut-être trouvé la clé USB dans un endroit que l’on appelle une boîte aux lettres et l’a récupéré avant le passage de la personne qui aurait dû « légitimement » la récupérer.

Dans tous ces scénarios les services de police britanniques détiennent un témoin vital, la clé USB. En effet une analyse technique poussée permettra de retracer la vie de la clé. On pourra définir par exemple quand des fichiers ont été copiés, supprimés, modifié, en analysant les métas datas des fichiers ont pourra définir qui a créé les fichiers, qui les a modifié, où et quand la clé a été branché…bref connaître l’histoire de la clé.

En comparant l’histoire de la clé on pourra très probablement en définir un propriétaire ou du moins des gens ayant le besoin de détenir ces fichiers. On pourra aussi définir si c’est une clé fournie par l’entreprise ou non.

Si l’analyse forensique ne donne rien de probant, c’est que l’on aura affaire à une clé très probablement “fabriqué” compilant des informations recueillies par ailleurs, situation guère rassurante. Dans tous les cas cette analyse sera déterminante pour identifier le responsable de la fuite et/ou la destination de la clé dans le cas d’une fuite volontaire.

Pour l’aspect technique on imagine mal en 2017 qu’aucun dispositif de protection ne soit mis en place par l’aéroport. Des produits de Data Leak Prevention (DLP) existent et font aujourd’hui partie de la panoplie dont dispose un RSSI pour limiter au mieux ces fuites d’information. Autre moyen technique, le chiffrement qui aurait pu permettre de limiter l’accès à l’information par celui qui trouve le support. Ces 2 moyens techniques auraient permis au RSSI de l’aéroport et aux services de sécurités d’être plus serein sur la sécurité des voyageurs.

Pourtant le Royaume-Uni dispose d’une réglementation, qui donne des objectifs de protection des informations sensibles et marquées.

La fuite d’information sensible marquée n’est pas une nouveauté, en août 2016 une fuite d’information concernant une société française portant sur plus de 22000 documents avait eu lieu ici et avait posé bien des questions non résolus.

Au vu de la quantité de données numériques et de la quantité de clé USB produite dans le monde, il est de la responsabilité de chaque entreprise de faire le nécessaire pour s’assurer que son patrimoine ne s’envole pas. C’est dans ce sens que l’II901 portée par l’ANSSI recommande de chiffrer les supports amovibles et d’en contrôler la connexion aux réseaux d’entreprises.