STAND STAND SÉCURITÉ DU SYSTÈME D'INFORMATION - L'ÉQUIPE DU STAND - SNCF Réseau
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
STAND STAND SÉCURITÉ DU SYSTÈME D’INFORMATION L’ÉQUIPE DU STAND Antoine ANCEL RSSI – SNCF Réseau –
OBJECTIFS ET DÉROULÉ
LA SÉCURITÉ DU SI - VOUS GARANTIR DES SERVICES SI SÉCURISÉS
+ Dans un monde en constante mutation et face aux nouvelles menaces informatiques,
la SSI SNCF Réseau s’engage auprès de ses clients et partenaires pour leur offrir des services
à la fois facile d’utilisation et sécurisés.
DÉROULÉ DU STAND
+ De nouveaux enjeux pour la SSI SNCF Réseau
+ Présentation de la SSI SNCF Réseau
+ Objectifs de la SSI: répondre aux nouveaux besoins
+ De nouveaux leviers pour garantir aux clients des services sécurisés
2 –
1. DE NOUVEAUX ENJEUX
POUR LA SÉCURITÉ DU
SYSTÈME D’INFORMATION
3 –1. DE NOUVEAUX ENJEUX (1/2)
ÉVOLUTION DU SI… ÉVOLUTION DU MODÈLE DE PROTECTION
+ Il y a 25 ans… Une sécurité périmétrique
Des frontières claires, maîtrisées et protégées
+ Depuis 10 ans… Un SI réparti
Appel à l’externalisation
Introduction du « Cloud », des services SI mutualisés
Une sécurité distribuée (Plan d’Assurance Sécurité)
+ Aujourd’hui… un monde ouvert
La création de la Direction Innovation & Digital
L’introduction du multicanal
Introduction du « BYOD »
Développement du « Shadow IT »
Développement de « l’internet de l’Objet » (IOT), du tout connecté
vous garantir la protection de vos données ;
vous garantir souplesse et simplicité dans vos accès à nos services SI ;
Enjeux
vous garantir la disponibilité de nos services SI par le déploiement de services
techniques de protection face aux attaques notamment externes.
4 –1. DE NOUVEAUX ENJEUX (2/2)
DES CONTRAINTES LÉGALES & RÉGLEMENTAIRES RENFORCÉES
+ La Politique Sécurité du SI de l’ETAT
Applicable à l’ensemble des administrations et EPIC
Rapport annuel au ministère de tutelle
+ La Loi de Programmation Militaire – Une sécurité à
plusieurs niveaux
Réponses aux nouveaux risques
LA DÉFENSE EN
Durcissement des mesures de protection
PROFONDEUR…
Une obligation de transparence + des audits des services de
Sécurité de l’Etat (ANSSI)
UNE RÉPONSE
+ La protection des données PROPORTIONNÉE
Des données d’entreprise sensibles (Régulateurs, Sécurité, AUX RISQUES SI…
personnels,…)
Des pénalités lourdes (CNIL)
+ Les régulateurs ferroviaires : l’ARAFER
Garantir la non discrimination Dossier de Sécurité
Convention de Services SI Sécurisés pour les Clients et les
Partenaires de SNCF Réseau
5 –2. PRÉSENTATION DE
LA SSI SNCF RÉSEAU
6 –2. PRÉSENTATION DE LA SSI
SYNTHÈSE DES SERVICES DE LA SÉCURITÉ DU SI
Assurer l’intégration de la sécurité dans les projets
de la DSI SNCF Réseau.
Assurer la veille sécurité du SI Assurer que les prestataires de
ISP services respectent les
sur les menaces, les
mécanismes d’attaques et les Veille et exigences de sécurité de SNCF
vulnérabilités des SI prospective PAS Réseau.
SSI
Valider les architectures Rédiger et gérer le corpus
techniques applicatives et
piloter des projets sécurité.
Études
SSI PSSI Référentiel
SSI
documentaire SSI de SNCF
Réseau.
Audits de
Garantir la conformité aux exigences Conformité vulnérabilit Identifier les vulnérabilités du SI via
de sécurité SI de SNCF Réseau és
des audits et piloter les plans
dans les projets applicatifs ou
PCA DSI d’action de remédiation associés.
techniques.
Répondre aux indisponibilités des infrastructures et
des applications critiques et vitales pour l’entreprise
7 – et les utilisateurs.3. OBJECTIFS DE LA
SSI SNCF RÉSEAU:
RÉPONDRE À VOS BESOINS
8 –3. OBJECTIFS DE LA SSI
RÉPONDRE AUX BESOINS CLIENTS EN PROPOSANT DES SERVICES SÉCURISÉS
1 2
Garantir la protection des Garantir souplesse et simplicité
données clients dans les accès au SI SNCF Réseau
•Mise en place de containers sécurisés pour les données •Projets d’ouverture des principes de Fédération
critiques; d’identité aux clients et partenaires
•Déploiement de sondes de protection / détection des •Développement de solutions sécurisées « multi-
attaques 4 grands canal »
défis pour Besoins « users » et de
Besoin en confidentialité répondre aux disponibilité
besoins des
clients
3 Garantir la disponibilité des
4
Garantir des mécanismes
services SI par le déploiement de d’authentification forte
services techniques de protection
•Déploiement d’un Centre de Surveillance des •Déploiement de solution d’authentification forte
Incidents de SSI aux clients et partenaires pour accéder au SI de
•Déploiement de sondes de protection / détection des SNCF Réseau
attaques
Besoins en confidentialité et
Besoins en confidentialité
disponibilité
9 –4. DE NOUVEAUX LEVIERS
POUR VOUS GARANTIR DES
SERVICES SÉCURISÉS
10 –4. CHANTIERS EN COURS (5/5)
INTÉGRER L’AUTHENTIFICATION FORTE POUR LES SERVICES SI LES PLUS SENSIBLES
CONTEXTE ET ENJEUX
+ Le SI de SNCF Réseau s’ouvre de plus en plus à l’extérieur, aussi bien pour les tiers et partenaires
(ouverture d’applications sur internet), que pour ses propres collaborateurs (télétravail…).
+ Cette ouverture entraine un accroissement des risques d’intrusion sur le SI qui nécessite un renforcement
de son contrôle d’accès.
+ La SSI de SNCF Réseau accompagne actuellement la DSI dans la mise en place de mécanismes
d’authentification permettant de répondre à des besoins de sécurisation renforcés.
APPORTS DE LA SOLUTION
+ Permet la gestion des accès multicanaux + Est certifié par l’ANSSI ;
(ordinateur, téléphone, tablette) ; + S’intègre avec les solutions de sécurité
+ Propose plusieurs types d’authentification (code existantes de SNCF Réseau (SSO, Bastion
PIN, application mobile, avec clés usb,
smartphone, etc.) ;
+ Fournit un enrôlement simple et rapide des
utilisateurs ; Fin du projet prévue pour 2016
+ Est multiplateforme et supportée par la quasi-
totalité des navigateurs ;
11 –4. CHANTIERS EN COURS (2/5)
CHIFFREMENT DES CONTAINERS DE DONNÉES CRITIQUES
CONTEXTE ET ENJEUX
+ SNCF Réseau met actuellement à disposition de ses collaborateurs un service de Protection des données
dans le but d’assurer la confidentialité des données sensibles.
+ Cette solution permet de chiffrer les répertoires confidentiels sur le poste d’un utilisateur ou sur un espace
partagé.
+ La SSI de SNCF Réseau conjointement avec la DSI, étudie aussi de déployer des solutions de chiffrement
de container applicatif grâce à des boitiers HSM.
FONCTIONNEMENT
Applications et utilisateurs
Zone de Chiffrement /
Déchiffrement
Données protégées
Disques locaux et Serveurs de Serveurs de
partagés, disques fichiers données
12 – amovibles4. CHANTIERS EN COURS (3/5)
OUVERTURE DES PRINCIPES DE FÉDÉRATION D’IDENTITÉ AUX CLIENTS ET PARTENAIRES
CONTEXTE ET ENJEUX
+ Le SI de SNCF Réseau s’ouvre de plus en plus à ses clients et partenaires.
+ Pour garantir un accès sécurisé tout en améliorant l’expérience utilisateur (connexions d’un SI externe via
un identifiant unique sur la plateforme, la SSI Réseau travaille conjointement avec la DSI Réseau sur
l’ouverture des principes d’identités aux clients et partenaires.
+ Des solutions sécurisées (SAML) sont en cours d’étude pour permettre la gestion des identités et des
habilitations des comptes externes.
FONCTIONNEMENT
UTILISATEURS IDENTITY SERVICE APPLICATIONS
PROVIDER PROVIDER
Fournisseur Fournisseur de
d’identité service
Authentifie l’utilisateur Délivre l’accès à
et récupère les l’application souhaitée à
informations l’utilisateur authentifié
additionnelles
13 –
associées à son identité4. CHANTIERS EN COURS (4/5)
DÉPLOIEMENT DE SONDES DE PROTECTION / DÉTECTION DES ATTAQUES
CONTEXTE ET ENJEUX
+ La zone d’hébergement des accès clients & partenaires permet d’accéder, via sa brique IAM et SSO, à un
panel d’applications du SI grâce à une authentification unique.
+ L’objectif de ce projet est donc de mettre en place une sonde de détection/protection (IDS/IPS) en entrée
de la zone afin de détecter toute intrusion et de garantir la sécurité de l’application.
OBJECTIFS DE LA SOLUTION
+ Analyse tous les paquets de flux qui passent par
le réseau;
+ Analyse les comportements et identifie les
tentatives d’attaques ;
Fin du projet prévue pour 2016
+ Deux rôles principaux:
Préventif: blocage des attaques;
De détection: alerte les équipes
opérationnelles.
14 –4. CHANTIERS EN COURS (5/5)
DÉPLOIEMENT D’UN CENTRE DE SURVEILLANCE DES INCIDENTS SSI (SOC)
CONTEXTE ET ENJEUX
+ Les outils mis en place pour surveiller et détecter les attaques nécessitent un dispositif humain permettant
d’administrer la sécurité du SI et réagir en cas d’incidents.
+ Pour ce faire, SNCF Réseau souhaite se doter d’un centre de surveillance des incidents SSI qui va
collecter les événements remontés par les composants de sécurité, les analyser, détecter les anomalies et
définir des réactions en cas d'émission d'alerte.
DISPOSITIF MIS EN PLACE
SOC Groupe
Cellule Opérationnelle de Dispositif
En cours SOC Réseau sécurité des technologies existant
d’études Security Operating Center
de l'information et de de la
Communication
Conduit les activités de surveillance Pilote l’investigation en crise
et de détection au quotidien transverse
+ Surveillance du SI industriel + Veille vulnérabilités et attaques
+ Gestion des vulnérabilités + Apport d’expertise
+ Pilotage des plans de correction + Investigations pointues
15 –MERCI DE VOTRE
ATTENTION !
–PRÉSENTATION DE LA SSI
EN PLUS DE VOTRE ACCOMPAGNEMENT… TRAITER LES INCIDENTS DE SÉCURITÉ DU SI
Le monde des « Bisounours » n’existe pas…
+ Ransomware
+ Potentiel Administrateur indélicat
+ Traiter les risques face aux vols / pertes de données
+ Traiter les machines « Zombie »
+ Rechercher des marqueurs de compromission
+ Suspicion de vol de données en masse
+ Gérer les Attaques (STEP)
+ Gérer « les fraudes aux présidents »
+ …
La Sécurité du SI nécessite un juste milieu entre:
Le pourvoir de dire « OUI » et..
Protéger en continue en veillant à contrôler
17 –COMPLEMENT CHANTIERS EN COURS
INTÉGRER L’AUTHENTIFICATION FORTE POUR LES SERVICES SI LES PLUS SENSIBLES 2/2
FONCTIONNEMENT DE LA SOLUTION
Connexion à un Web-
service ou une
application via login/mdp
Portail d’accès Applications
Génération d’un mot de passe
unique
Solution
Notification réseau grâce à l’enrôlement utilisateur/bien support
- Acceptation de connexion
- Utilisation d’un jeton
- Utilisation d’un code PIN à remplir sur le mobile HSM
Génération d’un
–
OTP
18AUTRES CHANTIERS EN COURS
DÉVELOPPEMENT DE SOLUTIONS SÉCURISÉES « MULTI-CANAL »
CONTEXTE ET ENJEUX
+ SNCF Réseau souhaite permettre à ses clients et partenaires d’accéder à ses services via différents
supports. Pour cela la SSI souhaite développer une solution se basant sur le concept d’ADN du
numérique .
+ Cela permettra une gestion des identités et des habilitations des comptes applicatifs sur l’ensemble des
composants techniques avec la plus grande compatibilité possible et garantir la traçabilité des utilisateurs
(ESB, Serveur d’application, base de données, Moteur BPM etc..).
FONCTIONNEMENT
UTILISATEUR EQUIPEMENT CODE PIN SERVICES / APPLICATIONS
+ PC
+ Téléphone
+ Support ADN numérique
amovible et Code PIN
reconnus !
L’utilisateur… … connecte son …entre son code PIN, L’utilisateur est
équipement… puis clique sur le bouton authentifié et peut se
d’authentification par connecter à ses services
19 – ADN numérique favorisVous pouvez aussi lire
