> Sécurité > Maintenez votre sécurité dans le temps

Maintenez votre sécurité dans le temps

Sécurité - Par Arnaud Lorgeron - Publié le 11 juillet 2017
email

Alors que les récents exemples d’attaques informatiques nous prouvent une fois encore que ce sont les anciens systèmes, les anciennes configurations, qui sont les plus vulnérables et les plus ciblés, revenons à nouveau sur le cycle de vie des SI et le nécessaire maintien du niveau de sécurité.

Maintenez votre sécurité dans le temps

Le MCS, c’est quoi

L’objectif du MCS (Maintien en Condition de Sécurité) est de collecter, agréger et synthétiser les informations traitant des évolutions de la menace et des vulnérabilités. Il s’agit également de qualifier le risque dans le temps et, bien entendu, il faut accompagner le déploiement des correctifs de sécurité.

Le MCS est complémentaire du Maintien en Condition Opérationnelle (MCO).

Une bonne stratégie de MCS permettra la maîtrise des risques de sécurité tout au long de la vie du projet considéré et le maintien dans le temps du niveau de conformité avec les exigences de sécurité (celles initialement définies et leurs évolutions ainsi que les nouvelles).

Il faut également caractériser les niveaux de risques de sécurité adaptés aux besoins du système. Enfin, des indicateurs sont nécessaires au suivi et à la prise de décision le cas échéant.

Il est donc impératif que le MCS s’articule au mieux avec le reste, c’est-à-dire les Métiers, MCO, PLM…

Le MCS nécessite une expertise dans l’assistance au déploiement de correctifs de sécurité, dans l’assistance à l’application de mesures de sécurité, et dans le traitement des incidents de sécurité.

– Il faut pouvoir valider la sécurité des évolutions fonctionnelles et analyser les risques induits.

– Il faut savoir tester les procédures opérationnelles liées à la sécurité.

– Il faut former et sensibiliser à la sécurité les intervenants du MCO.

Le MCS s’impose tout particulièrement aux systèmes interconnectés, à ceux dont la menace liée au contexte extérieur est forte et évolutive, et il faut donc maintenir un bon niveau de sécurité intrinsèque mais aussi cohérent avec l’environnement.

Téléchargez gratuitement cette ressource

Les Nouveaux Enjeux du Stockage

Les Nouveaux Enjeux du Stockage

L’informatique est entrée dans l’ère du « Software Defined Everything », autrement dit, des infrastructures dont le pilotage est automatisé par logiciel. C’est particulièrement vrai dans le domaine du stockage, composante clé de toute infrastructure : l’informatique s’éloigne progressivement des approches monolithiques reposant sur des appliances matérielles propriétaires et des baies SAN au profit de démarches définies par le logiciel. Découvrez, dans ce guide thématique exclusif, comment répondre aux nouveaux enjeux du stockage.

Le MCS, une organisation

A travers l’II901, on prend conscience de l’objectif de gestion dynamique des mesures de protection, tout au long de la vie du SI.

Il est exigé de mettre en œuvre la SSI au quotidien, notamment grâce à des procédures écrites définissant les actes élémentaires du maintien en condition de sécurité lors des phases de conception, d’évolution ou de retrait d’un système. On prend la conscience du lien avec les concepts de privacy by design et de security by default récemment mis sur le devant de la scène par le RGPD (Règlement Général sur la Protection des Données, GDPR en anglais).

Accessoirement, dans le cadre d’interventions réalisées par des tiers, il est demandé que tout contrat d’hébergement détaille les dispositions prises pour assurer le maintien en condition de sécurité des systèmes et permettre une gestion de crise efficace (conditions d’accès aux journaux, mise en place d’astreinte…). Et oui, n’oubliez pas les prestations externalisées. Comme pour une filiale, tout ce qui sort de votre champ de vision doit être considéré comme une vulnérabilité potentielle.

Un rapport d’information rendu en décembre 2015 à la Commission de la Défense Nationale et des Forces Armées liste des pistes d’évolution visant à faire coïncider les ressources humaines et financières avec les besoins opérationnels. La problématique est tout à fait similaire dans un contexte industriel. Rester attentif aux évolutions du maintien en condition de sécurité est ainsi une nécessité universelle. Complémentaire du MCO, comme on l’a déjà souligné, le MCS est une composante incontournable appelé à se développer plus encore car de plus en plus de systèmes sont interconnectés et tous susceptibles d’être la cible d’attaques informatiques.

Il va sans dire que le maintien d’un haut niveau de protection pour ces systèmes nécessite une augmentation de la fréquence des mises à jour des correctifs de sécurité et suppose la réalisation d’opérations de maintenance régulières.

 

Le MCS, une pierre à l’édifice

Gérer les données c’est structurer, stocker/archiver, décrire, retrouver, versionner, tracer, partager et bien sûr protéger.

La problématique de l’interopérabilité induit de plus en plus de mécanismes automatiques. Partager, convertir, corréler… A bien y réfléchir, tout cela est encore récent et nourrit de nombreux paradoxes. Par exemple, l’information associe des comportements égoïstes de protection et une nécessité de partage pour être valorisée.

Petit à petit, il faut que le MCS tisse sa toile sur tout le SI, mais il faut aussi qu’il entre en symbiose avec le PLM et le PDM.

Grossièrement, le Product Lifecycle Management (gestion du cycle de vie produit) offre une vision globale orientée sur les modifications et les évolutions qui vont impacter le produit. Le Product Data Management (gestion des données produit) est en quelques sortes une sous-partie dédiée à la création et la gestion des données de la conception.

Non seulement la sécurité doit être partout, dès la conception d’un système ou d’un produit, mais elle doit également être entretenue, maintenue au niveau adéquat.

Pour cela, il faut contrôler son niveau, connaître sa réalité par rapport à des référentiels adaptés. C’est à cette condition que la sécurité pourra être améliorée, optimisée… C’est à cette condition que la sécurité pourra être efficace.

Sécurité - Par Arnaud Lorgeron - Publié le 11 juillet 2017