La méthodologie Cisco SAFE au regard des standards de sécurité ISO27001 et ISO27002
  • Mikaël Dautrey

Cisco a récemment mis à jour sa méthodologie de sécurité SAFE.

Le premier rôle de cette méthodologie est probablement d'apporter une cohérence globale au portefeuille de solutions de sécurité, portefeuille constitué au gré des acquisitions et qui regroupe un éventail toujours plus large de solutions historiques ou nouvelles :

SAFE permet également aux équipes avant-vente de Cisco d'avoir un discours mieux structuré et de prendre de la hauteur en proposant une démarche globale, une vision unifiée de leur sécurité à ses clients et de placer le bon produit au bon endroit.

Et si l'on place du côté du client, faut-il s'intéresser à cette méthodologie ?

  • Faiblesse de SAFE : la méthode n'est pas, à notre connaissance, validée par rapport aux standards (ISO ou nationaux); elle n'a donc pas une portée générale.
  • Intérêt de SAFE : si votre organisation utilise des produits Cisco ou est amenée à consulter Cisco sur des appels d'offres sécurité, une connaissance générale de cette méthode vous permet de repositionner plus facilement l'offre du constructeur par rapport à des standards reconnus comme ISO27001, 27002.

Les difficultés d'une démarche sécurité

Toute démarche de sécurité se heurte à de nombreuses difficultés dont nous citons quelques unes ci-après :

Difficultés Réponse à la difficulté Effet indésirable de la réponse Palliatif
Complexité Diviser pour régner ie décomposer les systèmes en sous-système Absence de vision d'ensemble, la menace est au frontière entre les domaines Aller-retour entre vision d'ensemble et vision détaillée
Maillon faible Arroser large, mettre de la sécurité un peu partout pour ne rien oublier Dispersion de moyens Analyse de risques, aller-retour entre sécurisation horizontale de l'ensemble des moyens et sécurisation verticales par rapport à des risques bien identifiés
Proportionnalité, ajustement des moyens au besoin Analyse des risques, identification des actifs stratégiques de l'entreprise Black swan, effets collatéraux imprévus Travail sur la chaîne temporelle, protection, détection, réponse; adaptabilité des plans de réponse
Routine, faux positifs Automatisation du traitement Les nouvelles menaces risquent de passer à travers les filtres Démarche qualité, boucle d'amélioration continue, pen testing, défis ou animations red/blue teams

 

Positionnement simplifié des standards ISO27001 et 27002

L'ISO27001 définit le cadre général de la sécurité de l'organisation en insistant sur les principes, les procédures et l'organisation à mettre en place. C'est une sorte de méta-sécurité. Envisagée sous la casquette d'un chef de projet, l'ISO27001 définit le positionnement et les exigences stratégiques du projet et son plan d'assurance qualité.

L'ISO27002 précise les moyens, procédures et mécanismes à mettre en oeuvre, pour assurer la sécurité. C'est en quelque sorte les spécifications générales ou les recommandations générales de sécurité.

Ces deux normes sont le point d'entrée pour construire un Système de Management de la Sécurité de l'Information (SMSI) qui comportera un ensemble de documents et de procédures :

Document Contenu Méthode d'élaboration possible
Analyse des risques Identification des actifs et des risques; choix d'une stratégie de traitement des risques Mehari ou Ebios
Politique de sécurité Définition des grandes orientations, cadrage stratégique de la sécurité Guides méthodologiques associés à la 27001; Ebios comporte également un volet cadrage de sécurité
Plan d'assurance sécurité Définir le cycle de vie des procédures de sécurité au sein de l'organisation et les processus de contrôle associés Partir du plan de l'ISO27001 qui précise bien les attendus ou d'un memento 27001
Pratiques de sécurité Spécifier les règles de sécurité et préciser les moyens techniques déployés pour y répondre ISO27002, bonnes pratiques proposées par l'ANSSI
Procédures de sécurité Fiches réflexes définies avec les acteurs du SMSI réglant la vie quotidienne de la sécurité au sein de l'entreprise. Elaboré à partir des pratiques de sécurité en les appliquant à l'organisation

 

L'ISO2700X en pratique

En pratique :

  • des documents externes, architecture des systèmes, règles de configuration, stratégies de log, viennent alimenter le SMSI. Idéalement, une partie de la sécurité doit être intégrée "by design" dans la conception technique des projets, dans le code et les scripts de configuration du SI et dans le systèmes de gestion des logs et de remontée des alertes. La partie documentaire peut être réduite à un document principal et des annexes pointant ensuite sur des éléments techniques et organisationnels.
  • l'approche top-down des besoins vers la réalisation fonctionne à double sens, top-down et bottom-up. Le dispositif mis en place doit à la fois atteindre les niveaux de sécurité requis et être adapté à l'organisation, sa culture, son existant techniques. Des dérogations, clairement identifiées et surveillées, sont prévues lorsque l'organisation n'est pas prête.

Nous proposons, pour ceux qui veulent approfondir le sujet, un plan type de PSSI en téléchargement libre.

L'ISO2700X et les règles de conformité sectorielles

Le standard ISO ne cible pas une activité ou un secteur économique particulier. Il ne précise pas non plus de niveau à atteindre. Il est théoriquement possible d'être ISO27001 avec un dispositif de sécurité très léger voire inexistant.

Ce point de vue théorique ne résiste pas à l'analyse :

  • Une telle situation conduirait à présenter une position de risque défavorable à l'entreprise. Elle serait de plus immédiatement visible de tous ceux qui auraient accès au référentiel documentaire SMSI.
  • Elle serait enfin difficile à tenir du fait des critères de conformité imposés par les syndicats professionnels ou les états, qui entrent dans le champ de l'ISO27001, et imposent des niveaux de sécurité par secteur. Ces règles se sont multipliés ces dernières années, RGPD, Sarbannes-Oxley, Bâle II. L'intrication de ces normes et du SMSI est souvent compliqué à gérer (redondance des moyens et des contrôles, difficulté à maintenir une cohérence globale).

Il est par contre vrai que deux entreprises peuvent être ISO27001 et avoir des niveaux de sécurité très différents et mettre en oeuvre des moyens très différents.

Certaines normes sectorielles imposent des moyens, comme, par exemple, la PCI-DSS dans le domaine des paiements électroniques.

Le cadre de référence Cisco SAFE

Le cadre de référence de sécurité de Cisco, SAFE, comporte deux volets :

  • un modèle de sécurité qui est un modèle d'implémentation
  • une méthodologie pour adapter ce modèle au besoin du client

Le modèle SAFE

Le modèle est construit autour de capacités fonctionnelles que nous pourrions appeler des services de sécurité qui peuvent être, par exemple, un système de détection d'intrusion ou système d'enregistrement des logs. Cisco a défini un annuaire de capacité fonctionnelles standards qui se mappent facilement sur ses produits mais peut, en grande partie, se mapper sur les produits des concurrents.

Différents plans de décomposition des systèmes sont définis pour permettre d'analyser le besoin en sécurité sous différents et permettre la double approche générale (couvrir tout le périmètre) et spécifique (protéger les maillons faibles) que nous mentionnons préalablement.

Les plans d'analyse suivants sont définis par la méthode :

  • Couches du SI
  • Topologie
  • Objets du SI
  • Processus : gestion de la sécurité

Le découpage en plan est complété par une analyse systémique à travers la notion de processus métier ou business flow.

Couches du SI

Trois couches du SI sont définies, auxquelles sont associées les services de sécurité correspondants :

  1. Réseau
    •  Firewall
    • Intrusion prevention
    • Flow analytics
    • Threat intelligence
    • Anti-malware
    • TrustSec
  2. Systèmes
    • Client/server based security (system sec)
    • Anti-malware
    • Anti-virus
    • Cloud security
    • Personal firewall
    • Identity
    • Posture assessment
  3. Applications
    • Web security
    • Email security
    • Application visibility and control
    • Web application firewalling
    • DDOS protection
    • Virtual Private Network

Topologie

Un zonage général du SI est défini, en fonction de "Places In the Network" (PIN) :

  • Branch
  • Campus
  • WAN
  • Data center
  • Edge
  • Cloud

Objets du SI

Les objets du SI sont regroupés en 8 domaines :

  1. Utilisateurs
  2. Terminaux
  3. Connections filaires
  4. Connections sans fil
  5. WAN
  6. Cloud
  7. Services
  8. Management

Des besoins en sécurité sont définis par domaine :

Domaine Besoins en sécurité
Users Identity & authorization
Devices Client-based security (anti malware, anti virus cloud security, personal firewall); Posture assessment
Network / wired Firewall segmentation; Intrusion detection and prevention; Access control + TrustSec
Network / wireless Mobile device management; Wireless rogue detection; Wireless intrusion prevention; Anti-malware
Analysis / traffic Anti-malware; Threat intelligence; Flow analytics
Wan VPN Concentrator; Virtual private network; DDOS protection
Cloud Cloud Security; DNS Security; Cloud-based firewall; Software-Defined Perimeter; Web Security; Web Reputation / Filtering; Cloud access security broker
Applications Web application firewalling; Application visibility control; TLS encryption offload; Storage; Server-based security; Email security; Malware sandbox
Management Logging/reporting; Policy/configuration; Time synchronization; Vulnerability management; Analysis / correlation; Anomaly detection; Monitoring

 

Processus de gestion de la sécurité

6 processus de gestion de la sécurité sont définis :

  1. Surveillance des services
  2. Défense ou réponse aux menaces
  3. Gestion du compartimentage, segmentation
  4. Gestion de la conformité
  5. Collecte et analyse d'information
  6. Organisation de la sécurité

Business flows

Les processus métiers ou business flows font partie intégrante du modèle de sécurité.

Chaque business flow est décrit comme l'interconnexion d'un émetteur et d'un récepteur à travers une suite de services de sécurité ou security capabilities. Cisco propose une version standard des principaux business flows qui peuvent ensuite être adaptés aux besoins de ses clients. La méthode associe donc deux approches, une approche transversale en fonction des domaines définis ci-dessus, et une approche verticale, par processus métier, avec une implémentation standard des business flows et la possibilité de les adapter au contexte du client et aux risques identifiés.

Méthodologie SAFE

La méthodologie SAFE consiste à adapter (customiser) les business flows en fonction de l'analyse des risques qui aura été réalisée en amont. SAFE est donc plus un modèle bottom-up que top-down, dans la mesure où l'on part d'implémentation standard correspondant aux bonnes pratiques de la profession pour les adapter ensuite au cas particulier de l'organisation.

Cet aspect de la méthodologie a le mérite d'être claire et appliquée. Cisco ne précise cependant pas comment prendre en compte un existant, qui ne respecte pas nécessairement le découpage en services de sécurité défini par Cisco, ni comment dérouler les ajustements nécessaires au cours du cycle de vie du SMSI.

Insertion de SAFE dans un processus ISO27001

La méthode peut s'insérer dans un dispositif 27001 au niveau de la définition des pratiques de sécurité selon le schéma type défini plus haut : Cadre de la sécurité => Plan d'assurance sécurité => Analyse des risques => Pratiques de sécurité => Procédures de sécurité. Dans la mesure où elle propose des modèles de processus business, elle peut également permettre d'enrichir l'analyse des risques.

Il faudra cependant prendre garde à ne pas se laisser enfermer dans une approche trop technique de la sécurité qui conduirait à négliger les risques collatéraux, facteurs humains, organisationnels, intégration dans l'existant.