La démarche d’homologation DR – Evaluation de la couverture aux risques

La dernière étape avant l’homologation formelle est de connaitre votre couverture face aux risques évalués précédemment (ici).

Lors de cette phase vous construirez si ce n’est déjà fait une cartographie de vos systèmes d’information, l’ANSSI a initié une note sur le sujet (ici). Cette description devant être à jour et maintenue dans le temps, c’est probablement la tâche la plus délicate et la moins exaltante de la démarche d’homologation, et c’est ici qu’il faut poser un processus PDCA pour que cette documentation soit le plus exacte possible dans le temps.

En complément de cette cartographie, il faut construire si ce n’est pas déjà fait les documents d’architecture techniques et organisationnels qui permettront à l’autorité d’homologation d’assoir une vision de la réalisation de la démarche d’homologation. C’est toute cette documentation qui vous guidera dans le trou noir de la crise cyber.

Il faut aussi créer ou mettre à jour les procédures d’exploitation de la sécurité (PES), lesquelles seront éprouvés lors des audits et des incidents ultérieurs.

La vision croisée de la cartographie, des documents d’architecture et des procédures associées doivent être éprouvés lors d’audits sécurité du périmètre de l’homologation. Cette étape peut être lourde suivant la taille du périmètre établi. Cependant cette opération est importante puisqu’elle permettra de trouver des failles éventuelles. Ces audits doivent être techniques et organisationnels mais doivent aussi prendre en compte la dimension physique de la protection (ici).

Les audits réalisés, il sera très probablement nécessaire de mettre en place un plan d’action global. Celui-ci se segmentant en de multiples plans aussi bien techniques qu’organisationnel et s’inscrivant dans un planning réaliste et tenable des actions engagées.

La réalisation d’un plan d’action efficient peut permettre la poursuite de la démarche d’homologation sans pour autant la bloquer. Le plan d’action permettant de corriger ou réduire des risques identifié, bref de piloter le risque.

La démarche d’homologation DR – Les objectifs de sécurité

La stratégie d’homologation définie, il faut passer au cœur du sujet, la définition des objectifs de sécurité. Pour cela une connaissance fine de l’entreprise est nécessaire.

La première pierre à poser est l’analyse de risque. Celle-ci peut s’appuyer sur une analyse passée qu’il faut réactualiser ou la construire. Dans ce second cas il existe plusieurs solutions, l’utilisation de l’ISO27005 ou de la méthode Ebios2010. Vous pouvez réaliser cette étude vous-même, mais aussi vous faire aider par des prestataires à des degrés divers.

A l’issue vous disposerez d’une cartographie complète de vos risques. N’hésitez pas à y inscrire des risques atypiques suivant votre domaine d’activité, en particulier ceux d’ingérence économique, d’espionnage de sabotage, plus vous aurez une connaissance fine des métiers de votre entreprise plus votre cartographie sera précise.

A noter que tous les secteurs d’activité ne sont pas égaux devant certaines menaces et la menace étatique en particulier. Les cas précités sont souvent l’apanage des états dans leur réalisation mais dont le bénéficiaire est très souvent une société concurrente. Alstom (ici) par exemple ou encore Nortel (ici et ) sont quelques cas connus, avec pour ce dernier la pose de micros dans les locaux du campus.

Pour mieux la connaitre il suffit de réaliser une analyse géostratégique qui vous permettra de connaitre au mieux les « besoins » des différents intervenants. Pour la chine par exemple c’est ici pour le 13ieme plan quinquennal.

Les cas de sabotage sont plus rares, mais si c’est réalisé subtilement, cela peut faire augmenter les couts de revient des produits fabriqués avec une casse artificielle…

Pour aller plus loin il sera nécessaire d’exprimer le besoin de sécurité, ceci au travers de fiches d’expression rationnels des objectifs de sécurités (FEROS), permettant de formaliser au mieux vos besoins en termes de sécurité par rapport aux risques identifiés. Ces fiches vous permettront ensuite de mieux contrôler la réalisation de vos objectifs.

Il faudra ajuster au mieux le curseur entre le besoin de sécurité, le cout engendré et enfin la nécessaire adhésion des utilisateurs.

Cette étape réalisé il sera temps de passer à la suite pour évaluer la couverture aux risques mais cela est une autre histoire.

La démarche d’homologation DR – La stratégie d’homologation

Après avoir été convaincu d’homologuer votre système d’information (ici), vous avez démarré votre projet, cependant le chemin est long et semé d’embuche.
La première étape incontournable et obligatoire avant d’aller plus loin est de définir une stratégie d’homologation. Celle-ci va permettre à l’entreprise qui se lance dans la démarche de structurer sa réflexion tout en formalisant celle-ci dans un document. Cette stratégie comportera plusieurs briques qui assemblés formeront une ossature à votre processus. Ces briques existent peut-être déjà chez vous!

Référentiel documentaire

L’une de ces briques est le référentiel documentaire. Suivant les raisons qui poussent à l’homologation, il faut bâtir un ensemble de référentiel applicable et adapté à l’objectif. Plusieurs existent référentiels tels que l’II901, l’IGI1300, le RGDP, l’IGI6600 (Activité d’importance vitale), ou d’autre encore. Le choix et l’utilisation de ces référentiels permettra de cadrer au mieux les exigences techniques qui seront appliquées au périmètre qui sera défini.

Périmètre

Le périmètre est une donnée d’entrée primordiale et dimensionnant pour la suite du processus. Le périmètre doit comporter tous les éléments qui rentrent dans le fonctionnement du système à homologuer. Cela comprend les éléments fonctionnels, techniques, organisationnels et géographiques.
Un système d’informations n’étant pas un système simple, il y aura toujours une multitude de fonctions, d’applications, d’interconnexions plus ou moins évidentes. Vous aurez probablement plusieurs systèmes isolés où il faudra se poser la question de les regrouper dans un ensemble homogène ou non. Les postes isolés doivent-ils disposer d’une homologation individuelle ou groupée ?
Vous avez des systèmes complexes, industriels, de la voix sur IP, ces exemples peuvent représenter plusieurs périmètres d’homologation diffèrent qu’il vous faudra identifier afin de mener la démarche jusqu’au bout.
La connaissance des points d’interconnexions est primordiale dans la définition du périmètre pour en détecter les vulnérabilités et donc mieux les surveiller et les protéger.

Acteurs

Il faut définir une autorité d’homologation qui après étude du dossier d’homologation prononcera l’homologation. Cette autorité doit être placée à un niveau suffisant pour assumer le risque en cas de réalisation de celui-ci. L’autorité d’homologation désignera un responsable du processus d’homologation qui mènera le projet d’homologation.
Parmi les autres acteurs que l’on retrouve il y a la maitrise d’ouvrage représentant les métiers, le RSSI, le responsable de l’exploitation du système, les prestataires, les responsables de chacun des SI interconnectés.
A noter que parmi les acteurs il peut y avoir l’ANSSI et des acteurs étatiques comme membre de la commission d’homologation.
Tous ces acteurs complètent et étudient le dossier d’homologation et se réunissent lors de la commission d’homologation sous la direction de l’autorité d’homologation qui homologuera pour une durée définit le système.

Le dossier d’homologation

Le dossier d’homologation a pour objectif de permettre à la commission d’homologation et plus particulièrement à l’autorité d’homologation de prendre sa décision en toute connaissance de cause dans l’évaluation du niveau de sécurité définie dans le périmètre d’homologation. CE dossier sera composé de plusieurs documents:

  • Le premier document indispensable est la stratégie d’homologation elle-même.

  • L’analyse de risque du périmètre tel que défini

  • La politique de sécurité du système d’information (PSSI) qui définit les principes et exigences techniques et organisationnelles de la sécurité du système d’information. Ce document s’applique au périmètre requis pour l’homologation.

  • Le journal de bord de l’homologation, registre des décisions et des principaux événements du projet.

  • Les référentiels de sécurité utilisés dans la démarche d’homologation, tel que la PSSI de l’organisme, mais aussi les textes légaux auxquels est soumise l’entreprise.

  • Le tableau de bord de l’application des règles d’hygiène informatique sous forme de taux de couvertures à ces règles, idéalement un diagramme en toile d’araignée.

  • La cartographie du périmètre qu’elle soit physique, logique, applicative, de même qu’une cartographie des privilèges. Ces cartographiques permettent de mieux apprécier la situation et le processus d’homologation permet de la réaliser si cela n’a pas été déjà fait.

  • Le schéma détaillé des architectures comportera tous les éléments techniques nécessaires pour connaitre l’architecture, cela peut être issu de la cartographie. On trouvera typiquement l’adressage IP, la matrice des flux, le plan de sauvegarde, le PRA/PCA, les documents d’installation et de configuration des équipements.

  • Le document présentant les risques identifiés et les objectifs de sécurité que se fixe l’entreprise

  • Les risques résiduels et leurs couvertures

  • Les procédures d’exploitation du système (PES) détaillé et validé avec éventuellement le cahier de recettes prouvant que les PES sont conformes aux attentes.

  • Les exigences d’interconnexion avec d’autres systèmes et les systèmes ouverts type Wifi et Internet par exemple.

  • Les décisions d’homologation des systèmes interconnectés si ceux-ci sont homologuées. Dans le cas où il n’y aurait pas d’homologation il faut l’exiger pour pouvoir maintenir l’interconnexion.

  • Les certificats de sécurité des produits utilisés, les attestations de qualifications des produits ou des prestataires. Ainsi que toutes les décisions d’autorité étatique autorisant des dérogations.

  • Les plans de tests et d’audits, ainsi que leurs rapports et plans d’action associés. Cela inclut tous les audits réalisés avant l’homologation et pour les systèmes déjà en productions les audits de contrôle réalisé avant la ré homologation.

  • Les décisions d’homologation antérieur si elle existe.

  • Le tableau de bord des incidents et leur résolution consolidée dans un document permettant pour chaque incident d’identifier les causes, les conséquences, les résolutions effectués et le statut.

  • Le journal des évolutions sous forme de roadmap, priorité et de time line qui est déduit du plan d’action permettant à la commission d’homologation d’avoir une vision de l’avenir et de pouvoir le cas échéant accepter des risques qui ne le seraient pas sinon.

Le Planning

L’homologation devant être prononcée avant la mise en production du système d’information, il est nécessaire de disposer d’un planning. Celui-ci permettra d’avoir une visibilité depuis le lancement de la démarche jusqu’au déroulé des plans d’action. Cela permettra aussi de poser des jalons, permettant à l’autorité d’homologation et aux composants de la commission d’avoir une vision claire de la situation. Le planning intégrant aussi une certaine vision du cycle de ré homologation

 

La démarche d’homologation DR

Homologation
Homologation DR

Vous avez besoin de répondre à un appel d’offre, mais le contractant vous demande d’homologuer votre système d’information, vous voulez construire un avantage concurrentiel dans la réponse à un appel d’offre, vous voulez mieux vous protéger des menaces cyber, dans tous ces cas et dans bien d’autres il faudra mener une démarche d’homologation.

Depuis la publication par l’ANSSI du guide de l’homologation de sécurité en 9 étapes simples (ici) en 2014 puis de l’Instruction Interministérielle 901 (II901) le 28 Janvier 2015, et de la sortie des Arrêtés Sectoriel concernant les Systèmes d’Information d’Importance Vital (SIIV), la nécessité d’homologuer ses systèmes d’information devient incontournable. Cette homologation permet de répondre à certaines obligations techniques du Règlement Général de la Protection des Données (RGPD). Pour un système d’information classifié c’est le processus adossé à l’Instruction Interministérielle 1300 (IGI1300) qui s’applique, ce cas ne sera pas étudié dans le présent article.

En s’appuyant sur le guide de l’ANSSI sur l’homologation et l’II901 je vous propose de modéliser un processus d’homologation d’un système d’information en s’articulant sur 5 items permettant in fine l’homologation.

A savoir :

Chacun de ces items fera l’objet d’un article détaillant le processus, son contenu et la façon de la réaliser, et toutes sortes d’informations utiles, en somme une sorte de retour d’expérience. N’hésitez pas à commenter ou à laisser un message à eon@cyberci.fr . A vous de jouer!

Ici toutes les ressources nécessaires.

Hack Academy

Hack Academy
Hack Academy

Le Cigref a lancé le 1er septembre dernier une campagne de sensibilisation aux risques du numérique intitulé Hack Academy. Cette campagne repose sur un parallèle avec l’émission Star Academy, le célèbre télé crochet.

Ici 4 candidats Dimitri, Jenny, Martin et Willy proposent leurs attaques fétiches et pour les départager un jury composé d’Amy, Wuang et Dragan. Les 4 candidats ont chacun un côté attachant, Dimitri le beau gosse avec un accent de l’est, Jenny la teenager québécoise, Willy le belge et enfin Martin le gosse surdoué. Le teaser est ici.

Dimitri nous présente son attaque “man in the middle” sur les sites marchands et réserve une surprise à Dragan ici.

Jenny avec son petit chewing-gum rose nous présente sa technique spéciale pour récupérer les mots de passe, elle est “so cute”, c’est encore Dragan qui ramasse, ça se passe ici.

Martin avec son aire angélique vous présentera les logiciels gratuits et les clés USB ici.

Willy nous propose toutes les subtilités du phising ce sera ici.

Les choses ont même été sous-titré en anglais pour rendre le message plus internationale avec respectivement, Dimitri, Jenny, Martin et Willy.

Usez et abusez de ces vidéos qui sont très bien faites pour sensibiliser vos salariés, vos enfants et vos amis.