Intgration de la scurit

1
Intégration de la sécurité

• Au niveau du développement et de la mise en uvre
  dapplications.
• Rolf Hauri
• 24 octobre 2002

2
Intégration de la sécurité

• Introduction
• Pourquoi intégrer
• Comment intégrer
• Normes
• Faisabilité
• Autres alternatives
• ISNET 45

3
Introduction

• Situation actuelle
• Niveau du développement
• La sécurité est un processus continu
• Mise en uvre

4
Pourquoi intégrer

• Toujours plus dincidents
• La part liée au développement
• Impact pour lentreprise
• Etudes et Statistiques 2000-2001
• Investissement x taux de sécurité
• Conclusion

5
Pourquoi intégrer

• Toujours plus dincidents

6
Pourquoi intégrer

• Vue CERT/CC du 22

7
Pourquoi intégrer

• Impact pour lentreprise
• Confiance
• Image
• Coûts
• Mise à jour
• Communication

8
Pourquoi intégrer

• Etudes et statistiques sur la sinistralité
• CLUSIF en 2001 et 2002 sur 600 entreprises et 30
• collectivités publiques
• 30 ont une politique de sécurité sur lensemble
  de leur système (2001)
• Télécoms 52
• Commerce 37
• Services 34
• Forte hausse dans  Commerce  et  Services 

9
Pourquoi intégrer

• Etudes et statistiques sur la sinistralité
• CLUSIF en 2001 et 2002 sur 600 entreprises et 30
• collectivités publiques
• Plus de 20 des entreprises et 63 des
  collectivités ont investit dans des audits de
  sécurité des systèmes dinformations
• Pour les deux années à venir, 69 des entreprises
  maintiennent leur budget et 30 laugmentent

10
Pourquoi intégrer

• Investissements x Taux de sécurité obtenu

11
Pourquoi intégrer

• Conclusion
• Nombre dincidents et leur impact
• Tendance des entreprises (clientes)
• Retour sur investissement

12
Intégration de la sécurité

• Introduction
• Pourquoi intégrer
• Comment intégrer
• Normes
• Faisabilité
• Autres alternatives
• ISNET 45

13
Comment intégrer

• Normes et méthodes
• ISO 17799, DSIS, ITSEC, CC, INCAS
• Faisabilité
• Autres alternatives
• ISNET 45

14
Comment intégrer

• ISO 17799 (BS7799-1)
• 3. System Development and Maintenance
• The objectives of this section are
• 1)To ensure security is built into operational
  systems
• 2)To prevent loss, modification or misuse of
  user data
• in application systems
• 3) To protect the confidentiality, authenticity
  and integrity
• of information
• 4) To ensure IT projects and support activities
  are conducted in
• a secure manner
• 5) To maintain the security of application
  system software and data.

15
Comment intégrer

• Guide du Développement de systèmes dinformation
  sécurisés (DSIS)
• Créé en 1994 (v1.1) par le service central de la
  sécurité des systèmes dinformation (SCSSI)
• INCAS
• Développé en 1992 par le CLUSIF
• V2 intégrant les approches OO
• ITSEC/ITSEM, CC,
• Information Technology Security Evaluation
  Criteria
• Certificats et cahier des charges (Niveau E1-E6)

16
Comment intégrer

• Faisabilité
• Limplémentation dune norme ISO ou la
  certification ITSEC ou CC nécessite des
  ressources considérables!
• SCSSI au sujet de lutilisation du guide (DSIS)
    il n'est pas possible de prendre en compte
  les problèmes de sécurité sans adopter au
  préalable une démarche qualité  

17
Comment intégrer

• Alternatives
• Best practices
• Solutions  clé en main 
• Technologies, langages, protocoles, systèmes
• ISNET 45

18
ISNET 45

• Introduction
• Objectifs
• Encore une nouvelle méthode?
• Partenaires
• Description

19
ISNET 45

• Introduction
• Oui, il faut intégrer!
• Normes demandent un investissement important
• Best practices Apprentissage par la douleur
• Solutions clé en main doivent être analysées
• La HEG Genève lance un projet de recherche
  financé par ISNET

20
ISNET 45

• Objectifs
• Promouvoir lintégration de la sécurité dans le
  développement avec un nouvel outil.
• Elaboration dun référentiel de préconisations

21
ISNET 45

• Encore une nouvelle méthode?
• Il sagit surtout dune nouvelle approche
   orientée besoins 
• Explorer une nouvelle voie (RAD)

22
ISNET 45

• Partenaires
• HEG Genève, informatique de gestion
• HEG Neuchâtel, informatique de gestion
• HEG Genève, information et documentation

23
ISNET 45

• Description
• Analyse et catégorisation des besoins
• Recherche des solutions proposées Etat de lart
• Synthèse et enrichissement
• Elaboration du réferenciel
• Validation par une mise en uvre avec un
  partenaire
• Maintenance

24
ISNET 45

• Questions?

25
Contact - Références

• Contact
• rolf.hauri_at_heg.ge.ch
• 022 705 99 32
• Références
• http//www.cert.org
• http//www.ciac.org/ciac
• http//www.clusif.asso.fr
• http//www.iso1799sortware.com/what.htm
• http//www.scssi.gouv.fr
• http//www.gammassl.co.uk/bs7799/works.html
• http//www.hes-so.ch/
• http//www.geneve.ch/heg/