Intra Flashcards
Vulnérabilité
Faille ou faiblesse dans un actif pouvant être exploité pour violer la sécurité
Formule à risque étendu
R = Pa Ps V
Où Pa = Probabilité d’attaque et
Ps = Probabilité que l’attaque exploite avec succès la vulnérabilité
V = valeur perdue par l’exploitation réussie de la vulnérabilité
Formule de risque étendu de Whitman
R = P * V * (1 - CC + UK)
où P = probabilité qu’une vulnérabilité soit exploitée,
V = valeur de l’actif,
CC = fraction de risque atténuée par le contrôle actuel,
UK = fraction de risque pas entièrement connue (incertitude des
connaissances)
Le risque est …
The vraisemblance d’une vulnérabilité multiplié par la valeur de l’actif informationnel moins le pourcentage de risques mitigés par les contrôle en cours plus l’incertitude entourant la vulnérabilité
Objectif du processus de gestion des risques
Identifier les actifs informationnels et leurs vulnérabilités
afin de les classer selon leur besoin de protection
Le processus d’identification des risques doit…
Désigner les fonctions que remplissent les rapports
Désigner qui est responsable de leur préparation
Désigner qui les examine
À la fin du processus, une liste d’actifs et leurs
vulnérabilités a été développée
Les 3 catégories générales du contrôle des risques
- Politiques
- Programmes
- Contrôles techniques
Stratégies de contrôle des risques
Il en existe 4 :
- Évitement
- Mitigation
- Acceptation
- Transfert
Évitement
Empêcher l’exploitation de la vulnérabilité e
Transfert
Tente de déplacer le risque vers d’autres actifs, d’autres processus ou d’autres organisations en repensant la façon dont les services sont offerts :
• Révision des modèles de déploiement
• Externalisation vers d’autres organisations
• Achat d‘assurance
• Mettre en place des contrats de service avec les fournisseurs
Mitigation
Tente de réduire les dommages causés par l’exploitation de la vulnérabilité en :
• Utilisant la planification et la préparation
• Dépendant de la capacité de détecter et de répondre à une attaque le plus rapidement possible
Type de plans d’atténuation
- Plan de reprise après sinistre (DRP)
- Plan d’intervention en cas d’incident (IRP)
- Plan de continuité des activités (BCP)
Acceptation
Ne rien faire pour protéger un élément d’information
Suppose qu’il peut être judicieux d’examiner les solutions de rechange et de conclure que le coût de la protection d’un bien ne justifie pas les dépenses de sécurité
Devoirs de l’organisation
• Déterminer le niveau de risque pour l’actif informationnel
• Évaluer la probabilité d’attaque et la probabilité d’une exploitation réussie
d’une vulnérabilité
• Approximer l’ARO de l’exploitation
• Estimer la perte potentielle des attaques
• Effectuer une analyse coûts-bénéfices approfondie
• Évaluer les contrôles en utilisant chaque type de faisabilité approprié
• Décider que l’actif en question ne justifie pas le coût de la protection
Tolérance aux risques
La quantité et la nature du risque que les organisations sont disposées à accepter
Approche raisonnée du risque
Équilibre la dépense contre les pertes possibles si elle est exploitée
Risque résiduel
Reste des risques non supprimés, déplacés ou planifiés malgré le contrôle des vulnérabilités
Le risque résiduel est une fonction combinée de :
Menaces
vulnérabilités et actifs
moins les effets des contrôles en place
Objectif de la sécurité de l’information
Être cohérente à la tolérance au risque d’une organisation et non de ramener le risque résiduel à zéro
Lorsqu’une stratégie de contrôle a été sélectionnée et mise en ouvre :
L’efficacité des contrôles devrait être surveillée et mesurée. de façon continue afin de déterminer son efficacité et l’exactitude de l’estimation du risque résiduel.
Lignes directrices pour la sélection de
stratégies de contrôle des risques
• Quand une vulnérabilité existe
Mettre en place des contrôles de sécurité pour réduire la probabilité d’une vulnérabilité
• Quand une vulnérabilité peut-elle être exploitée
Appliquer des contrôles en couches pour minimiser le risque ou empêcher
l’occurrence
• Lorsque le gain potentiel de l’attaquant est supérieur au coût de l’attaque
Appliquer des contrôles techniques ou de gestion pour augmenter le coût de l’attaquant ou réduire son gain
• Quand la perte potentielle est importante
Appliquer des contrôles de conception pour limiter l’étendue de l’attaque, réduisant ainsi le potentiel de perte
• Quand une vulnérabilité existe
Mettre en place des contrôles de sécurité pour réduire la probabilité d’une vulnérabilité
• Quand une vulnérabilité peut-elle être exploitée
Appliquer des contrôles en couches pour minimiser le risque ou empêcher
l’occurrence
• Lorsque le gain potentiel de l’attaquant est supérieur au coût de l’attaque
Appliquer des contrôles techniques ou de gestion pour augmenter le coût de l’attaquant ou réduire son gain
• Quand la perte potentielle est importante
Appliquer des contrôles de conception pour limiter l’étendue de l’attaque, réduisant ainsi le potentiel de perte
Facteurs qui influent sur le coût d’une mesure de controle
o Coût de développement ou d’acquisition de matériel, de logiciels et de services
o Frais de formation
o Coût de mise en œuvre
o Coûts de service et de maintenance
Composantes d’évaluation des actifs
• Valeur retenue du coût de création de l’actif informationnel
• Valeur déduite de la maintenance passée de l’actif informationnel
• Valeur déduite par le coût de remplacement de l’information
• Valeur de fournir l’information
• Valeur déduite du coût de la protection de l’information
o Valeur aux propriétaires
o Valeur de la propriété intellectuelle
o Valeur aux concurrents
o Perte de productivité pendant que les ressources informationnelles sont
indisponibles
o Perte de revenus pendant que les ressources informationnelles sont
indisponibles
La perte potentielle est…
Celle qui pourrait résulter de l’exploitation
d’une vulnérabilité ou d’une occurrence de menace
Une espérance de perte unique (SLE)
o Le calcul de la valeur associée à la perte la plus probable d’une attaque
o Est basée sur la valeur de l’actif et le pourcentage de perte attendu d’une attaque particulière
o SLE = valeur de l’actif (AV) x facteur d’exposition (EF)
Où EF est le pourcentage de perte qui se produirait à partir d'une vulnérabilité donnée exploitée
la probabilité d’occurrence d’une menace est….
La probabilité de perte due à une attaque dans un délai donné
Cette valeur est communément appelée taux d’occurrence annualisé
(ARO)
ALE (l’espérance de perte annualisée) = SLE (espérance de perte unique) * ARO (taux d’occurrence annualisé)
CBA (analyse des coûts-bénéfices)
Détermine si une alternative de contrôle vaut son coût associé
CBA = ALE (avant) - ALE (post) - ACS
• ALE (avant le contrôle) est l’espérance de perte annualisée du risque avant la
mise en œuvre du contrôle
• ALE (post-contrôle) est l’ALE examiné après que le contrôle a été mis en place
pendant une période de temps
• ACS est le coût annuel du controle
Gestion des risques est …
1- Faire un inventaire des actifs informationnels
2 - Identifier les priorités, faire un classement
3 - Identifier les menaces / risques, les prioriser
4 - Contrôler les risques
5 - Faire l’analyse coût-bénéfice
La gestion des risques est composée de 2 processus :
- Identification et évaluation des risques (Identifier,Mesurer, prioriser)
Contrôle des risques (analyse coût-bénéfice)
La gestion des actifs informationnels
Consiste à pouvoir associer, de façon cohérente, les attributs physiques, financiers et contractuels des logiciels et du matériel afin de fournir des solutions d’affaires rentables tout en minimisant les risques opérationnels pour l’organisation.
Le framework ITIL fournit deux modèles de service:
o Service après vente
o Service de livraison
La gestion de la configuration
Ignore en grande partie la gestion des actifs et se concentre sur les services et les relations entre les actifs informationnels (AI).
Activités de la gestion de la configuration
Planifier et définir Identification Contrôle Suivi d'état Audit et vérification - > Identification
Activités de la gestion de la configuration - Planifier et définir :
Définir l’objectif, la portée, les politiques et les procédures ainsi que le contexte organisationnel et technique
Activités de la gestion de la configuration - Identification
Sélection des structures de configuration pour tous les AI, y compris leur propriétaire, leur interrelations et la documentation de configuration
Activités de la gestion de la configuration - Contrôle
Assurez-vous que seuls les AI autorisés et identifiables sont acceptés et enregistrés
Activités de la gestion de la configuration - Suivi d’état
Rapport sur toutes les données actuelles et historiques concernant chaque AI tout au long de son cycle de vie
Activités de la gestion de la configuration - Audit et vérification
Examens et audits vérifiant l’existence physique des AI et vérifiant qu’ils sont correctement enregistrés.
Cadre organisationnel de gestion des biens TI - Cycle de vie
Planification Acquisition de l'actif Déploiement Suivi Gestion Disposition
Modèle de maturité
Chaos Réactif Actif Proactif Centre d'excellence
Pour réussir vos stratégies :
Donnez-vous du temps
Mettre les bonnes personnes au sein de l’équipe dans toutes les unités
fonctionnelles
Éduquer pour promouvoir l’adhésion et la compréhension
Fixer des objectifs mesurables pour le programme et les projets individuels
N’essayez pas de “eat the elephant in one bite”
Restez sur la bonne voie et mettre en évidence les succès
Plus de cache-cache
Comment mettre en place une stratégie d’évitement?
oApplication de la politique
o Application de la formation et de l’éducation
o Contrer les menaces
o Mise en œuvre de techniques de contrôles de sécurité et de sauvegarde
Un actif informationnel est constitué par…
les ressources informationnelles
un système
Une ressource informationnelle est constituée par …
- Information et personnes
- processus et technologie
Un système est constitué par
- matériel
- Données
- Applications
Les ressources informationnelles critiques :
- Gestion de la sécurité, vérification et contrôle ( Gouvernance )
- Système ( Développement et évolution )
- Technologie ( Acquisition, maintenance et contingence )
- Vérification et contrôle ( Conformité )
Il faut savoir évaluer les domaines de connaissances en sécurité de notre interlocuteur
vrai
Les contextes de la sécurité de l’information sont …
- Contexte d’affaires
- Contexte juridique
- Contexte technologique
Les règlements, pour le mettre en place, qu’est-ce qu’on devrait faire?
- Expliquer le règlement
- Expliquer le pourquoi
- Diffuser l’information
- faire le suivi
La sécurité informationnelle c’est …
Protection des ressources informationnelles d’une organisation face à des risques identifiés qui résulte d’un ensemble de mesures de sécurité prises pour assurer la confidentialité, l’intégrité et la disponibilité de l’information traitée.
Un actif informationnel c’est…
Inventaire présentant, à un moment déterminé, le portrait de l’ensemble des ressources informationnelles d’une entreprise ou d’une organisation, à l’exception des ressources humaines.
L’actif informationnel est un bilan et ne donne que le portrait des ressources informationnelles disponibles; il est de ce fait statique. Ce sont les ressources informationnelles qui sont dynamiques puisque ce sont elles qu’on exploite
Une ressource informationnelle c’est…
une ressource utilisée par une entreprise ou une organisation, dans le cadre de ses activités de traitement de l’information, pour mener à bien sa mission, pour faciliter la prise de décision ou encore la résolution de problèmes. Elle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, à l’acquisition, au développement, à l’entretien, à l’exploitation, à l’accès, à l’utilisation, à la protection, à la conservation et à la destruction des éléments d’information. Une ressource peut donc être une personne, un fichier ou le système informatique lui-même.
Il faut savoir utiliser les forces internes
vrai
Pourquoi faire un inventaire?
- Pour centraliser les informations
- Permet une vision globale du parc informatique
- Contrôler les ressources
La gestion n’est pas constituée de…
Technologie, infrastructure et télécommunications
La gestion des risques c’est…
la discipline qui s’attache à identifier, évaluer et prioriser les risques relatifs aux activités d’une organisation, quelles que soient la nature ou l’origine de ces risques, pour les traiter méthodiquement de manière coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés, et réduire l’impact éventuel de ces événements. Elle est l’une des principales responsabilités de chaque gestionnaire d’une organisation.
Pour qu’une organisation se connaisse bien elle-même, il faut…
Identifier, examiner et comprendre l’information et comment elle est traitée, stockée et transmise
Pour qu’une organisation connaisse son ennemi, il faut
Identifier, examiner et comprendre les menaces qui pèsent sur les ressources d’information de l’organisation
La responsabilité pour la gestion des risque - Sécurité de l’information
Doit adopter un rôle de leadership dans la gestion des risques
La responsabilité pour la gestion des risque - Technologie de l’information
Le rôle implique la construction et le maintien de systèmes sécurisés
La responsabilité pour la gestion des risque - Gestion
Le rôle implique l’allocation des ressources et la priorisation des problèmes de sécurité
La responsabilité pour la gestion des risque - Utilisateurs
Rôle crucial dans la détection précoce et la réponse appropriée aux menaces
Quel est le but de l’évaluation des risques?
Créer une méthode pour évaluer le risque relatif de chaque vulnérabilité listée
Maturité du processus - Chaos
• Aucune connaissance des actifs possédés
ou où ils sont situés
• Manque d’outils adéquats pour suivre et
gérer les actifs
• Pas d’achat centralisé
• Contrats dans des classeurs
• Aucun processus reproductible ou
transfert de connaissances
• Aucune personne responsable de la Chaos gestion des actifs
Maturité du processus - Réactif
• Mettre l'accent sur le comptage des actifs et faire des inventaires physiques annuels • Tableur pour suivre les actifs • Outil (s) de découverte pour compléter • Rapports de base avec peu de détails • La responsabilité de la gestion des actifs informatiques est technique
Maturité du processus - Actif
• Gérer les actifs tout au long du cycle de vie grâce à des processus définis qui sont revus et devisés si nécessaire • Inventaire lié contractuellement et financièrement pour créer une vision globale centralisée • Référentiel d'actifs et outils de découverte automatique intégrés au service informatique • L'équipe de mise en œuvre est dirigée par un poste de directeur
Maturité du processus - proactif
• PC, serveurs, équipements réseaux et télécoms dans un référentiel commun • Les niveaux de service sont créés pour répondre à des objectifs commerciaux plus larges • Les métriques sont en place et les rapports sont exécutés fréquemment • La réquisition et l'approvisionnement sont intégrés • La gestion des actifs informatiques est une discipline définie
Maturité du processus - Centre d’excellence
• Audit de l'efficacité et de la performance des processus métier établis pour tous les actifs de l'entreprise • Intégration transparente du système de gestion d'actifs avec ERP, RH, compte débiteur / créditeur, gestion du système, service de support, gestion des changements, etc.
Cycle de vie - Planification
o Harmonisation du besoin des ressources informatiques avec les processus métier
clés, qui sont gérés à partir d’un actif informatique existant ou proposés à partir
d’un nouvel actif informatique
Cycle de vie - Acquisition de l’actif
Le moyen le plus rentable d’acquérir les actifs informatiques.
Cycle de vie - Déploiement
o Comment déployer et mettre en œuvre l’actif
o Automatisez le processus si possible
Cycle de vie - Opération & Maintenance
o S’assurer que non seulement toutes les obligations financières associées à la maintenance de l’actif sont
respectées, mais également les risques opérationnels associés à l’actif informatique, notamment la gestion des
changements, la Base de gestion de configuration, etc.
Cycle de vie - Disposition
o Valeur de l’actif informatique - Le maintien de l’historique de l’actif informatique tout au long de son cycle
de vie aidera à la décision de remplacement.
o Disposition écologique de l’actif - il existe aujourd’hui dans de nombreux pays une législation qui régit la
responsabilité écologique de l’élimination des actifs informatiques.
o Obligations contractuelles - qui doivent être respectées si l’organisation ne veut plus l’actif informatique, par
exemple la location, le leasing, etc.
o Maintenir - l’exactitude et l’exhaustivité des dossiers d’actifs informatiques, y compris les dossiers financiers.