Cet article est le dernier d’une série sur la cybersécurité à découvrir sur le site Evolucare.
Cadrer un projet de mise en œuvre d’authentification forte – Les grandes questions à se poser
Parlons peu, parlons bien, une fois que vous avez toutes les réponses aux questions ci-dessous, vous êtes prêts à vous lancer dans votre projet de mise en oeuvre de l’authentification forte !
- De qui se constitue mon équipe projet ?
- Qui est mon sponsor (la personne de la direction de l’établissement qui appuie le projet à haut niveau) ?
- Qui est le chef de projet (la personne en charge de définir, de faire valider, et de piloter les actions dans le cadre du projet) ?
- Qui sont mes relais techniques ? Côté Informatique ? Côté Sécurité Physique ? Côté Services Généraux ?
- Qui sont mes utilisateurs-clés dans les services ?
- Toutes ces personnes savent-elles qu’elles ont un rôle à jouer dans le projet et lequel ?
- Quel est le périmètre du projet ? Les accès au DPI ? Tous les accès informatiques ? Les accès physiques également ?
- De quel existant partons-nous ?
- Combien de personnes (utilisateurs) sont concernés ?
- Attention, si les accès physiques sont inclus dans le périmètre, il faut compter aussi les personnes qui n’ont pas d’accès informatiques, mais des accès physiques, par exemple le personnel d’entretien
- Quels sont les niveaux de connaissance informatique et sécurité de ces personnes ?
- Quels sont les processus actuels de gestion des accès informatiques ? Des accès physiques ?
- Combien de personnes (utilisateurs) sont concernés ?
- Quelle va être notre cible ?
- Quels seront les nouveaux processus (génération et attribution d’un badge, attribution des accès, suspension et révocation des accès, renouvellement du badge…) ?
- Quels sont les impacts organisationnels et techniques de ces nouveaux processus ?
- Ces deux questions peuvent être posées en parallèle dans le cadre d’un cycle de définition itératif, où l’on affine la cible jusqu’à arriver au meilleur compromis opérations / sécurité / respect de la réglementation
- Quelle va être notre trajectoire ?
- Quels sont les délais associés aux aspects logistiques (commandes de badges, de lecteurs…)
- Quels sont les prérequis techniques spécifiques à la mise en œuvre de la cible ? Quand peuvent-ils être mis en œuvre ?
- Quels sont les besoins de formations des différentes équipes ? Comment ses formations peuvent-elles être organisées (en interne, en externe) ? Quel planning de formation doit être mis en œuvre ?
- Comment le projet doit-il communiquer sur sa cible et sa trajectoire ? A quels moments ? Par quels moyens ?
- Dans quel ordre et avec quel planning seront déployées les fonctionnalités ?
- Dans quel ordre et avec quel planning seront déployés les périmètres ?
- Il est recommandé de représenter l’ensemble des actions, de leurs dépendances, de leur porteur, de la charge de travail associée dans un seul fichier (sous format excel, par exemple, ou dans un outil de WBS)
- Le projet est-il validé par le sponsor ? Est-il doté du budget lui permettant de se réaliser ?
Deuxième outil : la check-list de l’homologation
Cadrage général du projet
- Etape 1 : Quels systèmes d’information dois-je homologuer et pourquoi ?
- Préciser le référentiel réglementaire
- Délimiter le périmètre du système
- Etape 2 : Quel type de démarche dois-je mettre en œuvre ?
- Autodiagnostiquer les besoins de sécurité du système et le niveau de maturité SSI de l’organisme
- En déduire la démarche appropriée
- Pianissimo : démarche autonome a minima, que l’autorité d’homologation peut mener sans recours à une assistance conseil externe, par l’application des outils et des indications donnés dans le présent guide.
- Mezzo Piano : démarche autonome approfondie, que l’autorité d’homologation peut mener sans recours à une assistance conseil externe, par l’application des outils et des indications donnés dans le présent guide et ses ressources internes.
- Mezzo Forte : démarche assistée approfondie, que l’autorité d’homologation mène avec l’aide d’une assistance conseil externe, en plus des outils et des indications données dans le présent guide.
- Forte : le niveau de maturité de l’organisme en matière de sécurité des systèmes d’information dispense l’autorité d’homologation de la lecture du présent guide qui apporte des outils qu’elle maîtrise déjà. Cette démarche n’est donc pas traitée dans ce guide
- Etape 3 : Qui contribue à la démarche ?
- L’autorité d’homologation (la personne physique qui, après instruction du dossier d’homologation, prononce l’homologation de sécurité du système d’information, c’est-à-dire prend la décision d’accepter les risques résiduels identifiés sur le système)
- La commission d’homologation (assiste l’autorité d’homologation pour l’instruction de l’homologation et est chargée de préparer la décision d’homologation.)
- Les acteurs de l’homologation
- Maîtrise d’ouvrage
- RSSI
- Responsable d’exploitation du système
- Prestataires
- Responsables des systèmes interconnectés
- Etape 4 : Comment s’organise-t-on pour recueillir et présenter les informations ?
- Dossier d’homologation
- Stratégie d’homologation
- Référentiel de sécurité
- Document présentant les risques identifiés et les objectifs de sécurité
- Politique de sécurité des systèmes d’information
- Procédures d’exploitation sécurisée du système
- Journal de bord de l’homologation
- Certificats de qualification des produits ou prestataires
- Résultats d’audit
- Liste des risques résiduels
- Décision d’homologation
- Pour le renouvellement
- Tableau de bord des incidents et de leur résolution
- Résultats d’audits intermédiaires
- Journal des évolutions du système
- Planning
- Lancement de la procédure d’homologation
- Début et fin de l’analyse de risque – dates des entretiens avec l’autorité
- Remise des différents documents d’homologation
- Engagements liés à d’éventuels contrats avec des prestataires impliqués dans le système (hébergeurs, fournisseurs de sous-systèmes, d’applications…)
- Réunions de la commission d’homologation
- Audits éventuels sur les composants du système, logiciels plate-formes matérielles, interfaces réseau
- Homologation du système
- Mise en service du système
- Dossier d’homologation
Maîtrise des risques
- Etape 5 : Quels sont les risques pesant sur le système ?
- Méthodologie EBIOS RM
- Atelier 1 : Cadre de l’étude, Valeurs Métier et Evénements Redoutés, Socle de Sécurité
- Atelier 2 : Sources de menaces et Objectifs Visés
- Atelier 3 : Scenarios stratégiques et Chemins d’attaque
- Atelier 4 : Scenarios de risque et Niveau de risque initial
- Atelier 5 : Plan de traitement du risque, Evaluation du risque résiduel
- Méthodologie EBIOS RM
- Etape 6 : La réalité correspond-elle à l’analyse ?
- Définition du périmètre de contrôle (audit)
- Réalisation du contrôle
- Intégration dans le dossier d’homologation et mise à jour de l’analyse de risque
- Etape 7 : Quelles sont les mesures de sécurité supplémentaires à mettre en œuvre pour couvrir ces risques ?
- Plan de traitement de risque
Prise de décision
- Etape 8 : Comment réaliser la décision d’homologation ?
- Périmètre
- Conditions
- Durée
- Etape 9 : Qu’est-il prévu pour maintenir la sécurité et continuer à l’améliorer ?
- Suivi de l’homologation
- Maintien en condition de sécurité
Merci d’avoir suivi notre série d’articles !
Retrouvez notre série Cyber sur notre site web :
- Maîtriser la Convergence Réglementaire en Mode SaaS (publié le 31 mai)
- Accompagnement des Établissements de Santé vers la Double Authentification (2FA) (publié le 2 juillet)
- Cybersécurité, épisode 1 : identification, authentification, autorisation ! (publié le 21 mai)
- Cybersécurité, épisode 2 : identification en santé, les référentiels (publié le 3 juin)
- Cybersécurité, épisode 3 : déployer les moyens d’identification sécurisée (publié le 9 juillet)
- Cybersécurité, épisode 4 : cadrage d’un projet d’authentification forte (publié le 2 août)
