Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Continuité de service 2 : Zone 51

No description
by

Chante Grégory

on 18 September 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Continuité de service 2 : Zone 51

La continuité de services
Zone 51 : périmètre et risques
Résumé de l'épisode précédent :

Nous avons approché les problématiques de la continuité et préciser la place du PCA au sommet de l'organisation de l'entreprise. Nous savons maintenant que le PRA est devenu le PSI dont nous avons vu l'aspect théorique.

Introduction
La phase de lancement
La phase d'analyse de risque
I have a dream
Analyse de risque sur votre projet.




http://prezi.com/user/continuite/
Séance 2 : méthode d ' analyse de risque
Objectif : Apprendre à définir le contexte du PSI. Comprendre et appliquer une méthode d'analyse des risques.
PSI
Rappel des phases
Lancement
Analyse de risque
Élaborer la stratégie de continuité
Choix des technologies de secours
Élaboration du Plan de Secours Informatique
Définir et mettre en place la gestion de crise
Tester et valider
Maintient en condition opérationnelle
La réalité
PSI ne s'appuie pas toujours sur un PCA.
Le travail consistant à mieux connaître son activité n'a pas toujours été fait en amont.
Souvent les PSI sont partiels et leurs périmètres grandit petit à petit.
Les phases du jour
Lancement
Analyse de risque
Lancement
Engagement fort de la direction
Définition du type de sinistre :
perte fluide
perte locaux
Politique et périmètre
Compréhension du contexte
Compréhension des besoins et des exigences des tiers : BIA RTO RPO
Les besoins métier doivent communiquer le type de sinistre concerné : perte salle informatique, coupure électrique etc...
Définir le périmètre du SI
S'assurer de la coérance des demandes. Si l'application A doit être redémarrer en 4h l'application B dont dépend l'application A doit l'être aussi
Étudier les besoins pour tous les services d'infrastructure : dns, messagerie, annuaire, serveur de fichier, réseaux interne, Internet
Définir le périmètre du SI
Livrables :

liste des applicatifs métiers à secourir
liste des applicatifs transverses à secourir
liste des salles à secourir
liste des composants matériel à secourir
connexion réseaux à secourir.

Chaque élément sera accompagné d'un RTO et d'un RPO si pertinent
Introduction
Clef de voute du PSI
EBIOS ANSSI
MEHARI CLUSIF
ISO 27005 International
Définition
Une analyse de risque est une méthode qualitative et quantitative qui permet de valoriser les risques et ainsi d'ordonancer leur traitement.
Objectif
Déterminer un niveau de risque pour chaque actif. Le niveau de risque est estimé en fonction des conséquences et de la vraisemblance d'un scénario de sinistre.
Propriétés
Comparable et reproductible
Amélioration continu dans le périmètre
Acceptation du risque
Identification du risque
Estimation des risques
Évaluation du risque
Traitement du risque
Processus et méthode
Identification des actifs
Identification du propriétaire
Identification des mesures de sécurité exitantes
Identification des menaces et vulnérabilités
Identification des scénarios
Actifs
Actifs de support (palpable)
logiciels
matériels
réseaux
sites
personnes
Actifs primordiaux (impalpable)
processus métier
activités
informations
reposent sur
permettant à l'organisme d'accomplir sa mission.
Tout élément représentant de la valeur pour l'organisme
-----------------------------------------
Propriétaire
pas forcement de droit de propriété.
personne la mieux placé pour communiquer des informations sur l'actif.
le responsable de la mise en oeuvre des actions permettant de réduire les risques sur l'actif.
Personne qui porte la responsabilité de l'actif.
mesures de sécurité
politique
procédure
guide
bonne pratique

de nature :

administrative
technique
organisationnelle
réglementaire
moyen de gestion du risque
Menaces
Caractérisé par :

Nature : délibérée, accidentelle et/ou environementale
type : dommage physique, événement naturel, compromission d'information
Source : pirate, terroriste, espion, interne
Motivation de la source : curiosité, ego, gain financier, vengeance
Cause potentielle d'un incident qui peut engendrer des dommages à un système ou une organisation.
Vulnérabilités
S'appuyer sur interview, inspection, bon sens ou sur des outils techniques (audit de code, pentest)
Référentiel Catalogues vulnérabilité ISO 27005, EBIOS
Faiblesse d'un actif qui peux être exploitée par une menace.
Scénarios
Le risque est formulé sous forme de scénario d'incidents. Il relie au sein d'un même événement les actifs concernés, la menace et une ou plusieurs vulnérabilités ainsi que les impacts et conséquences sur les processus métier.

Relie au sein d'un même événement les actifs concernés, la menace et une ou plusieurs vulnérabilités
Valorisation des actifs
Vraisemblance
Conséquences
Niveau de risque
Acceptation du risque
Valorisation des actifs
Fournir une vision sur l'importance de l'actif
Vraisemblance
Se base sur :
la probabilité d'occurence des menaces
sur la difficulté d'exploitation de la vulnérabilité

Peux prendre en compte :
expériences
données statistiques
motivation et ressource des sources de menace

Échelles :
d'occurance
de complexité
vraisemblance (combinaison occurance / complexité)
Possibilité qu'un événement se produise.
Conséquences
Objectif : Mesurer l'impact d'un sinistre sur le métier de l'organisation

Type de valeur :
financière
juridique
image
activité

Identifier les valeurs : entretiens avec le propriétaire
Résultat d'un événement
Niveau de risque
Construit a l'aide de la vraisemblance et des conséquences à l'aide d'une fonction simple.
Combinaison de la probabilité d'un dommage et de sa gravité.
Acceptation du risque
Ce critère dépend des objectifs de l'organisme
Définit par la direction en fonction de critère commerciaux, réglementaire, financier.
Dans la vraie vie, il est souvent fixer une fois l'évaluation des risques réalisée.
Valeur maximal de niveau de risque acceptable
L'identification des menaces découle du type de risque à couvrir par le BIA.
Des catalogues de menace sont disponibles : ISO 27005, EBIOS
Important de décrire la menace de façon précise pour faciliter le travail d'itération et facilité la compréhension de tout les acteurs.
exemple : crue, incendie, espionnage, DOS, infection virale
Responsable de l'actif :
production
développement
maintenance
utilisation
sécurité

L'objectif est d'éviter du travail ou des coûts non nécessaires ou pour supprimer des mesures inefficaces.
Exemple :
La salle machines principale, présente en zone inondable, est remplie d'eau suite à une crue.
L'ensemble des serveurs et équipement réseau présentes dans la salle sont rendu inutilisables et donc indisponibles.
Les équipes métier ne sont plus en mesure de travailler. Les conséquences sont une perte financière et d'activité.
Identification des risques
Exercice 1 : Définir le périmètre du SI
Le processus de création de nouveaux produits

Les ingénieurs R&D développent des nouvelles technologies innoventes sur lesquelles sont basés les nouveaux produits.
Le processus assure la production de formules de calcul et de schémas de modélisation 3D.
Les données R&D sont présentes sur les serveurs de services R&D et sur les ordinateurs portables des ingénieurs.
Les ingénieurs sont amenés à voyager pour travailler avec des équipes étrangères et leur envoyer des messages contenant des informations sensibles.
Ils utilisent tous type de connexion réseaux pour accéder à leur messagerie
Pour chacun des actifs suivants décider si il faut l'exclure ou le retenir, justifier votre réponse.

Schémas de nouveaux produits
Documentations commerciales
Messages électroniques
Système d'exploitation de l'ordinateur portable
Application de calcul et modélisation 3D
Navigateur web
Disque dur de l'ordinateur portable
Batterie
Fichier client
Ordinateurs portables
Serveur R&D
Application de base de donnée des serveurs R&D
Bureau des ingénieurs
Processus de création de produit
Exercice 2 : Définir les propriétaires des actifs
Pour chacun des actifs retenus à l'exercice 1 déterminer le propriétaire.

Schémas de nouveaux produits
Messages électroniques
Système d'exploitation de l'ordinateur portable
Application de calcul et modélisation 3D
Fichier client
Ordinateurs portables Batterie HD
Serveur R&D
Application de base de donnée des serveurs R&D
Bureau des ingénieurs
Processus de création de produit
Exercice 2 : Correction
Schémas de nouveaux produit

Resp R&D
Messages électroniques
Ingénieur R&D
Système d'exploitation de l'ordinateur portable
Ingénieur R&D (mais DSI questionnée)
Application de calcul et modélisation 3D
Ingénieur R&D (mais DSI questionnée)
Ordinateurs portables (HD / Batterie)
Ingénieur R&D (mais DSI questionnée)
Serveur R&D
Resp R&D (mais DSI questionner)
Application de base de donnée des serveurs R&D
Resp R&D (ou DSI)
Bureau des ingénieurs
Resp Service Généraux
Processus de création de produit
Resp R&D
Actifs retenus :

Schémas de nouveaux produits
Messages électroniques
Système d'exploitation de l'ordinateur portable
Application de calcul et modélisation 3D
Ordinateurs portables (Batterie + HD)
Serveur R&D
Application de base de donnée des serveurs R&D
Bureau des ingénieurs
Processus de création de produit
Exercice 1 : Correction
Exercice 5 : identifier les menaces et vulnérabilités
Pour chacun des actifs retenus à l'exercice 1 identifier une ou plusieurs menaces et une ou plusieurs vulnérabilités

Schémas de nouveaux produits
Messages électroniques
Système d'exploitation de l'ordinateur portable
Application de calcul et modélisation 3D
Ordinateurs portables (Batterie HD)
Serveur R&D
Application de base de donnée des serveurs R&D
Bureau des ingénieurs
Processus de création de produit
Exercice 5 : Rédiger les scénarios d'incidents
Pour les trois trio « actif, vulnérabilité, menace » rédigez les scénarios d'incidents associés

Salle machine / Réseaux électrique instable / Perte de source d'alimentation électrique

Serveur / sensible aux variations de température / Panne du système de climatisation

Switch / Point de défaillance unique / Panne logicielle
Appréciation du risque
Analyse du risque
Estimation des risques
Évaluation des risques
Traitement du risque
Acceptation du risque
Actifs rejetés:

Documentations commerciales
Navigateur web
Fichier client


Ligne de communication non protégées
Erreur de l'équipe opérationnelle
Défaut de maintenance
Erreur d'utilisation
Panne électrique
Corruption de données
Mauvaise configuration
Politique de mot de passe faible
Espionnage
Utilisation non autorisée d'équipement
Emplacement situé dans une zone innondable
Abscence de plan de continuité
Usurpation de droit
Sensibilité aux variations de température
Violation de la maintenabilité du SI

Use annexe C et D 27005
Exercice 4 : menaces et vulnérabilités
vulnérabilité
menaces
Identifier pour chacune des propositions suivantes si elle se réfère à une menace ou vulnérabilité. Compléter avec la menace ou vulnérabilité correspondante.
Qualitatif
subjectif
ressenti
ex : satisfaction utilisateur
Qualitatif
factuel
statistique
calcul
Ex : fréquence
granularité
regroupement

Permet de :
comparer les actifs entre eux
donner une vision claire des points forts et faibles du processus
sélectionner ou rejeter les actifs
cout d'achat
cout de remplacement
cout de maintenance
L'objectif est de donner une valeur à chaque actif.
délai de remplacement
compétence particulière

besoin en
disponibilité
intégrité
confidentialité
Plusieurs valeur peuvent être utilisés
Identifier les valeurs et les besoins : entretiens avec le propriétaire, BIA, factures
Valeur d'un actif = Maximum(différentes valeurs de l'actif obtenues)
Conclusion
Un périmètre, une politique, une gouvernance, de nombreux éléments à secourir mais :

Dans quel ordre ?
Avec quelles mesures de protection ?
Comment aligner les budgets sur les risques ?
Ex : Sauvegarde, formation aux procédures de secours informatique, coordination de crise
exemple : portabilité, présence d'un site en zone inondable, stockage d'un fichier en clair
mesures de sécurité
moyen de gestion du risque
Corrective (Conséquence)


Préventive (probabilité d'occurrence, vraisemblance)
Une vulnérabilité sans menace implique qu'il ni aura pas d'impact sur l'actif.
Exercice 5 : Correction
Salle machine / Réseaux électrique instable / Perte de source d'alimentation électrique
Du à une mauvaise qualité de l'arrivée électrique, de nombreuses micros coupures en salle machine A provoquent le dysfonctionnement des alimentations électriques des équipements, entraînant une perte de service ainsi qu'un coût de réparation à l'année évalué à 8000 eurodollar.
Serveur / sensible aux variations de température / Panne du système de climatisation
Suite à la défaillance du groupe froid, alimentant les armoires de climatisation, la température en salle machine atteint une température supérieur à 55°. Tous les serveurs installés dans la salle machine munies d'un mécanisme de coupure automatique cessent de fonctionner, occasionnant une perte totale de service.
Switch / Point de défaillance unique / Panne logicielle
Suite à la mise à jour du firware, le switch unique de cœur de réseaux est victime d'un dysfonctionnement grave entrainant une coupure réseaux pour les services suivant : messagerie, annuaire, site web institutionnel.
Méthode de construction des échelles
adéquation avec le contexte
termes non ambigus
dimensionner les échelles
valeur unique
qualitative et quantitative
Le risque
Est une combinaison de la probabilité d'un dommage et de sa gravité
Vraisemblance
Conséquences
Menace
Vunlérabilité
Actif
Cible
Exploite
Possède
Conclusion
lien avec la réalité
NR = F(conséquence, vraisemblance)
Organisation, rôles et responsabilités : chef de projet, groupe de pilotage
sauvegarde, protection contre les menaces environementales
contrôle physique des accès, procédures d'exploitation documentées
Type
Proposition


Ligne de communication non protégées
Erreur de l'équipe opérationnelle
Défaut de maintenance
Erreur d'utilisation
Panne électrique
Corruption de données
Mauvaise configuration
Politique de mot de passe faible
Espionnage
Utilisation non autorisée d'équipement
Emplacement situé dans une zone innondable
Abscence de plan de continuité
Usurpation de droit
Sensibilité aux variations de température
Violation de la maintenabilité du SI

Exercice 4 : correction
Vulnérabilité
Menace
Vulnérabilité
Menace
Menace
Menace
Vulnérabilité
Vulnérabilité
Menace
Menace
Vulnérabilité
Vulnérabilité
Menace
Vulnérabilité
Vulnérabilité

Type
Proposition
Schémas de nouveaux produits
Messages électroniques
Système d'exploitation de l'ordinateur portable
Application de calcul et modélisation 3D
Ordinateurs portables (Batterie HD)
Serveur R&D
Application de base de donnée des serveurs R&D
Bureau des ingénieurs
Processus de création de produit

Perte de données
Perte de données
Abus de droit
Dysfonctionnement
Panne matériel
Perte de maintenabilité
Erreur d'utilisation
Incendie
Panne matériel
Actifs
Menaces
Absence de sauvegarde
Mauvaise configuration
Absence de mise à jour
Logiciel neuf
Absence de renouv. du materiel
Support insuffisant
Absence de documentation
Absence de détection incendie
Absence de plan de continuité
Vulnérabilité
Exercice 5 : correction
Sélection des solutions
Choix du traitement du risque
Plan d'action
Examen des mesures de sécurité sélectionnées

Document tableur :
risques couverts
actifs
mesures de sécurité sélectionnées
délais et coût de mise en œuvre
responsable du déploiement
Risques résiduels
Nouvelle mesures de sécurité
Nouvelle itération de l'analyse de risque
Révision des résultats NR < Accep. Risque
Traitement des risques
Liste des risques priorisés
Plan de traitement des risques
Risques résiduels
Refus
Décision de ne pas participer ou action d'abandonner une situation à risque.



mesure de sécurité trop coûteuse
changement de condition
Transfert
Action de partager avec un autre entreprise la charge de la perte pour un risque.


sous traitance
assurance
Réduction
Action visant à réduire la vraisemblance et/ou les conséquences négatives associées à un risque.

option la plus courante
NR = critère d'acceptation du risque
Attention temps, moyen humain, financier, technique, culture, loi

Maintient
Acceptation de la charge d'une perte émanant d'un risque particulier.



NR = critère d'acceptation du risque
maintient = pas d'aggravation
Conclusion
Analyser la situation
Se projeter dans le futur
Coût, temps, adhésion, stratégie
Faire un plan d'action
Estimer les risques résiduels
Direction générale
Procès verbal
des décisions
Justification des risques non alignés
Risques résiduels
Plan de traitement des risques
Liste des risques acceptés
Valorisation des actifs
Fournir une vision sur l'importance de l'actif
Exercice 7 : Valoriser les actifs
Pour les actifs retenus à l'exercice 1, identifier leur valeur et leurs besoins CIA à l'aide de l'échelle suivante :
Exercice 8 : Vraisemblance
Exercice 9 : Conséquences
Proposer des échelles de conséquences et estimer les scénario de l'exercice 5 à l'aide de ces échelles
Proposer des échelles de vraisemblance et estimer les scénario de l'exercice 5 à l'aide de ces échelles
Proposer une méthode d'estimation du niveau de risque et estimer le niveau de risque pour les scénario de l'exercice 5
Exercice 10 : Estimation des risques
Méthode d'évaluation des risques
Déterminer l'importance des risques et les ordonnancer
Liste des conséquences estimées par scénario d'incidents et par actifs
Étape rapide si bon critères
Matrice de calcul
Faire simple
Méthode d'évaluation des risques
Hiérarchisation des risques
Première itération
Méthode d'évaluation des risques
Évaluation des risques
Liste des risques priorisés
Critères d'évaluation
Liste des risques
Conséquences
Résultat d'un événement
Estimation des risques
actifs
menaces
vulnérabilités
conséquences
scénarios
Attribuer des valeurs aux composants du risque
Critères d'évaluation
Échelles de valeurs
Le cours
Full transcript