0 Intro Securite Info V1.01

7/25/2019 0 Intro Securite Info V1.01

1/19

Introduction la scurit informatique


2/19

Introduction la scurit informatique

Il est essentiel de connatre les ressources de

l'entreprise protger et de matriser le contrled'accs et les droits des utilisateurs du systmed'information. Il en va de mme lors de l'ouverturede l'accs de l'entreprise sur internet.

Par ailleurs, avec le nomadisme, consistant permettre aux personnels de se connecter au

systme d'information partir de n'importe quelendroit, les personnels sont amens transporter une partie du systme d'information hors del'infrastructure scuris de l'entreprise.


3/19

LE RISQUE (RISK)Le risque en terme de scurit est gnralement caractris par l'quation suivante :

R i s q u e = ( M e n a c e * Vu l n r a b i l i t ) / C o n t r e - m e s u r e

La menace (en anglais threat ) reprsente le type d'action susceptible de nuire dans l'absolu, tandis

que la vulnrabilit (en anglais vulnerability , appele parfois faille) reprsente le niveau d'exposition

face la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises

en uvreen prvention de la menace.

Les contre-mesures mettre en uvre ne sont pas uniquement des solutions techniques maisgalement des mesures de formation et de sensibilisation l'intention des utilisateurs, ainsi qu'un

ensemble de rgles clairement dfinies.

Afin de pouvoir scuriser un systme, il est ncessaire d'identifier les menaces potentielles, et donc de

connatre et de prvoir la faon de procder de l'ennemi.


4/19

Objectifs de la scurit informatique(1)Le systme d'information est gnralement dfini par l'ensemble des donnes et des ressources

matrielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Il convient de

protger.

La scurit informatique, d'une manire gnrale, consiste assurer que les ressources matrielles ou

logicielles d'une organisation sont uniquement utilises dans le cadre prvu.

La scurit informatique vise gnralement six principaux objectifs :

la confidentialit: la scurit informatique doit protger les donnes prives ou les donnes sensibles

qui ne doivent en aucun cas arriver sous les yeux ou entre les mains des personnes malveillantes;

l'intgrit: les donnes se trouvant sur un ordinateur ou traites par un logiciel doivent tre

modifies seulement par des moyens lgitimes et pouvant tre vrifis. La modification de ces

donnes n'est permise que par une source autorise;

la disponibilit: les donnes et les services offerts par des ordinateurs et des logiciels doivent tre

disponibles. L'attention doit porter sur de possibles attaques (de type DoS - dni de services) externes

ou internes qui mettent en danger la disponibilit d'un systme;


5/19

Objectifs de la scurit informatique(2)

l'authentification: chaque bit de donnes utilis par un systme et chaque

utilisateur d'un systme doit tre identifi et authentifi. Cela signifie qu'il fautvrifier:

o que l'utilisateur est celui qu'il prtend tre,

o que chaque donne qui arrive sur un systme provient d'une source de

confiance;

la comptabilisation des accs un site ou un systme: chaque systme doit

sauvegarder les traces des activits afin d'tre utilises en cas de problme.

Ceci permet des analyses pour comprendre ce qui s'est pass sur un systme

surtout s'il a t compromis.

La non-rpudiation : La non-rpudiation de l'information est la garantie

qu'aucun des correspondants ne pourra nier la transaction ou action.


6/19

Ncessit d'une approche globale(1)La scurit d'un systme informatique fait souvent on la compare rgulirement une chane en

expliquant que le niveau de scurit d'un systme est caractris par le niveau de scurit du

maillon le plus faible.

Cela signifie que la scurit doit tre aborde dans un contexte global et notamment prendre en

compte les aspects suivants :

Scurit physique : concerne tous les aspects lis la matrise des systmes et de

l'environnement dans lequel ils se situent.

Les normes de scurit;

La protection des sources nergtiques (alimentation, etc.)

La protection de l'environnement (incendie, temprature, humidit, etc.)

La protection des accs (protection physique des quipements, locaux de rpartition,

tableaux de connexion, infrastructure cble ; redondance des alimentations nergtiques,

etc.) la traabilit des entres dans les locaux,

une gestion rigoureuse des cls daccs aux locaux La sret de fonctionnement et la fiabilit des matriels (composants, cbles , etc.)

La redondance physique

Le marquage des matriels

Le plan de maintenance prventive (tests, etc.) et corrective (pices de rechange, )


7/19

Ncessit d'une approche globale(2) Scurit de l'exploitation: tout ce qui touche au bon fonctionnement des systmes.

Plan de sauvegarde; de secours; de continuit; des tests;

Inventaires rguliers & dynamiques Gestion de parc informatique; des configurations et des mises jours ; incidents et suivi

jusqu leur rsolution

Automatisation, contrle et suivi de lexploitation

Analyse des fichiers de journalisation et de comptabilit

Gestion de contrat de maintenance ; sparation des environnements de dveloppement ;

dindustrialisation et de production des applicatifs. La maintenance doit tre prventive & rgulire et conduire des actions de rparation

voire de remplacement des matriels dfectueux

Scurit logique : fait rfrence la ralisation de mcanismes de scurit par logiciel

contribuant au bon fonctionnement des applications et services.

Processus de contrle d'accs logique;

Cryptographie Procdures d'authentification

Antivirus; Anti-spywares; anti-malwares

Procdure de sauvegarde.

Classification des donnes (normale; confidentielle, etc.) et les protger en fonction.


8/19

Ncessit d'une approche globale(3)

Scurit applicative : comprend le dveloppement pertinent de solutions

logicielles (ing. du logiciel, qualit du logiciel) ainsi que leur intgration etexcution harmonieuses dans des environnements oprationnels.

Une mthodologie de dveloppement ; la robustesse des applications;

Des contrles programms; des jeux de tests ; des procdures de recettes;

l'intgration de mcanismes de scurit; d'outils d'administration et de

contrle de qualit dans les applications.

Scurit des tlcommunications : consiste offrir l'utilisateur final; une

connectivit fiable et de qualit de bout en bout "(end to end Security).

La ralisation dune infrastructure rseau scurise au niveau des accs, delacheminement, des protocoles de communication, des systmes dexploitationet des quipements de tlcommunication et des supports de transmission.


9/19

Mise en place d'une politique de scurit

La scurit des systmes informatiques se cantonne gnralement garantir les droits

d'accs aux donnes et ressources d'un systme en mettant en place des mcanismes

d'authentification et de contrle permettant d'assurer que les utilisateurs des dites

ressources possdent uniquement les droits qui leur ont t octroys.

Il est ncessaire de dfinir dans un premier temps une politique de scurit, dont la mise

en uvre se fait selon les quatre tapes suivantes :

Identifier les besoins en terme de scurit, les risques informatiques

pesant sur l'entreprise et leurs ventuelles consquences ;

laborer des rgles et des procdures mettre en uvre dans lesdiffrents services de l'organisation pour les risques identifis ;

Surveiller et dtecter les vulnrabilits du systme d'information et se

tenir inform des failles sur les applications et matriels utiliss ;

Dfinir les actions entreprendre et les personnes contacter en cas de

dtection d'une menace ;


10/19

Mise en place d'une politique de scurit(2)

La politique de scurit est donc l'ensemble des orientations suivies par une

organisation ( prendre au sens large) en terme de scurit. A ce titre elle se

doit d'tre labore au niveau de la direction de l'organisation concerne, carelle concerne tous les utilisateurs du systme.

La scurit informatique de l'entreprise repose sur une bonne connaissance des

rgles par les employs, grce des actions de formation et de sensibilisation

auprs des utilisateurs, mais elle doit aller au-del et notamment couvrir leschamps suivants :

Un dispositif de scurit physique et logique, adapt aux besoins de

l'entreprise et aux usages des utilisateurs ;

Une procdure de management des mises jour ;

Une stratgie de sauvegarde correctement planifie ;

Un plan de reprise aprs incident ;

Un systme document jour ;


11/19

Les causes de l'inscurit

On distingue gnralement deux types d'inscurits :

l'tat actif d'inscurit, c'est--dire la non connaissance par l'utilisateur des

fonctionnalits du systme, dont certaines pouvant lui tre nuisibles (par

exemple le fait de ne pas dsactiver des services rseaux non ncessaires

l'utilisateur)

l'tat passif d'inscurit, c'est--dire la mconnaissance des moyens de

scurit mis en place, par exemple lorsque l'administrateur (ou l'utilisateur)

d'un systme ne connat pas les dispositifs de scurit dont il dispose.


12/19

Les besoins de scurit

Dfinition des besoins en terme de scurit informatique :

Phase de dfinition

La phase de dfinition des besoins en terme de scurit est la premire tape vers la mise en uvred'une politique de scurit.

L'objectif consiste dterminer les besoins de l'organisation en faisant un vritable tat des lieux du

systme d'information, puis d'tudier les diffrents risques et la menace qu'ils reprsentent afin de

mettre en uvre une politique de scurit adapte.

La phase de dfinition comporte ainsi trois tapes :

L'identification des besoins L'analyse des risques

La dfinition de la politique de scurit

Identification des besoins

La phase d'identification des besoins consiste dans un premier temps faire l'inventaire du systme

d'information, notamment pour les lments suivants :

Personnes et fonctions ; Matriels, serveurs et les services qu'ils dlivrent ;

Cartographie du rseau (plan d'adressage, topologie physique, topologie logique, etc.) ;

Liste des noms de domaine de l'entreprise ;

Infrastructure de communication (routeurs, commutateurs, etc.)

Donnes sensibles.


13/19

Les besoins de scurit(2)

Analyse des risques

L'tape d'analyse des risques consiste rpertorier les diffrents risques encourus, d'estimer leur

probabilit et enfin d'tudier leur impact.

La meilleure approche pour analyser l'impact d'une menace consiste estimer le cot des

dommages qu'elle causerait (par exemple attaque sur un serveur ou dtrioration de donnes

vitales pour l'entreprise).

Sur cette base, il peut tre intressant de dresser un tableau des risques et de leur potentialit,

c'est--dire leur probabilit de se produire, en leur affectant des niveaux chelonn selon un

barme dfinir, par exemple :

Sans objet (ou improbable) : la menace n'a pas lieu d'tre ;

Faible : la menace a peu de chance de se produire ;

Moyenne : la menace est relle ; Haute : la menace a de grandes chances de se produire.


14/19

Les besoins de scurit(3)La politique de scurit

La politique de scurit est le document de rfrence dfinissant les objectifs poursuivis en matire

de scurit et les moyens mis en uvre pour les assurer.

La politique de scurit dfinit un certain nombre de rgles, de procdures et de bonnes pratiquespermettant d'assurer un niveau de scurit conforme aux besoins de l'organisation.

Un tel document doit ncessairement tre conduit comme un vritable projet associant des

reprsentants des utilisateurs et conduit au plus haut niveau de la hirarchie, afin qu'il soit accept

par tous. Lorsque la rdaction de la politique de scurit est termine, les clauses concernant le

personnel doivent leur tre communiques, afin de donner la politique de scurit le maximum

d'impact.Mthodes

Il existe de nombreuses mthodes permettant de mettre au point une politique de scurit. Voici

une liste non exhaustive des principales mthodes :

MARION(Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux), mise au

point par le CLUSIF ;

MEHARI(MEthode Harmonise d'Analyse de RIsques) ; EBIOS (Expression des Besoins et Identification des Objectifs de Scurit), mise au point par la

DCSSI (Direction Centrale de la Scurit des Systmes d'Information) ;

La norme ISO/IEC 17799(2000 & 2005).

La norme ISO/IEC 27000.


15/19

Phase de mise en uvre & auditLa phase de mise en uvre consiste dployer des moyens et des dispositifs visant scuriser le systmed'information ainsi que de faire appliquer les rgles dfinies dans la politique de scurit.

Les principaux dispositifs permettant de scuriser un rseau contre les intrusions sont les systmes pare-feu.Nanmoins ce type de dispositif ne protge pas la confidentialit des donnes circulant sur le rseau.

Ainsi, la plupart du temps il est ncessaire de recourir des applications implmentant des algorithmescryptographiques permettant de garantir la confidentialit des changes.

La mise en place de tunnels scuriss (VPN) permet d'obtenir un niveau de scurisation supplmentaire dans la mesureo l'ensemble de la communication est chiffre.

Notion d'audit

Un audit de scurit (en anglais security audit) consiste s'appuyer sur un tiers de confiance (gnralement unesocit spcialise en scurit informatique) afin de valider les moyens de protection mis en uvre, au regard de lapolitique de scurit.

L'objectif de l'audit est ainsi de vrifier que chaque rgle de la politique de scurit est correctement applique et quel'ensemble des dispositions prises forme un tout cohrent.

Un audit de scurit permet de s'assurer que l'ensemble des dispositions prises par l'entreprise sont rputes sres.

d'


16/19

Tests d'intrusionLes tests d'intrusion (en anglais penetration tests, abrgs en pen tests) consiste prouver les moyens de protection d'un systme d'information en essayant des'introduire dans le systme en situation relle.

On distingue gnralement deux mthodes distinctes :

La mthode dite bote noire (en anglais black box ) consistant essayerd'infiltrer le rseau sans aucune connaissance du systme, afin de raliser un test ensituation relle ;

La mthode dite bote blanche (en anglais white box ) consistant tenter des'introduire dans le systme en ayant connaissance de l'ensemble du systme, afin

d'prouver au maximum la scurit du rseau.Une telle dmarche doit ncessairement tre ralis avec l'accord (par crit deprfrence) du plus haut niveau de la hirarchie de l'entreprise, dans la mesure o ellepeut aboutir des dgts ventuels et tant donn que les mthodes mises en uvresont interdites par la loi en l'absence de l'autorisation du propritaire du systme.

Un test d'intrusion, lorsqu'il met en vidence une faille, est un bon moyen de sensibiliserles acteurs d'un projet. A contrario, il ne permet pas de garantir la scurit du systme,dans la mesure o des vulnrabilits peuvent avoir chapp aux testeurs. Les audits descurit permettent d'obtenir un bien meilleur niveau de confiance dans la scurit d'unsystme tant donn qu'ils prennent en compte des aspects organisationnels et humainset que la scurit est analyse de l'intrieur.

Plusieurs outils existent actuellement afin d'effectuer ces tests. On retiendraparticulirement le projet Metasploit dvelopp par HD Moore.

d'i i ( )


17/19

Tests d'intrusion (2)Dtection des incidents de scurit

Phase de dtection d'incidents

Afin d'tre compltement fiable, un systme d'information scuris

doit disposer de mesures permettant de dtecter les incidents.

Il existe ainsi des systmes de dtection d'intrusion (nots IDS pourIntrusion Detection Systems) chargs de surveiller le rseau etcapables de dclencher une alerte lorsqu'une requte est suspecte

ou non conforme la politique de scurit.

La disposition de ces sondes et leur paramtrage doivent tresoigneusement tudis car ce type de dispositif est susceptible degnrer de nombreuses fausses alertes.


18/19

Raction aux incidents de scuritIl est essentiel d'identifier les besoins de scurit d'une organisationafin de dployer des mesures permettant d'viter un sinistre tel

qu'une intrusion, une panne matrielle ou encore un dgt des eaux.Nanmoins, il est impossible d'carter totalement tous les risques ettoute entreprise doit s'attendre un jour vivre un sinistre.

Phase de raction

La phase de raction est gnralement la phase la plus laisse pourcompte dans les projets de scurit informatique. Elle consiste anticiper les vnements et prvoir les mesures prendre.

En effet, dans le cas d'une intrusion par exemple, il est possible quel'administrateur du systme ragisse selon un des scnarios suivants :

Obtention de l'adresse du pirate et riposte ;

Extinction de l'alimentation de la machine ;

Dbranchement de la machine du rseau ;

Rinstallation du systme.


19/19

Raction aux incidents de scurit(2)La mise en place d'un plan de reprise aprs sinistre permet ainsi d'viter une aggravation du sinistre et des'assurer que toutes les mesures visant tablir des lments de preuve sont correctement appliques.

Par ailleurs, un plan de sinistre correctement mis au point dfinit les responsabilits de chacun et vite desordres et contre-ordres gaspilleurs de temps.

RestaurationLa remise en fonction du systme compromis doit tre finement dcrit dans le plan de reprise aprs sinistre etdoit prendre en compte les lments suivants :

Datation de l'intrusion : la connaissance de la date approximative de la compromission permet d'valuer

les risques d'intrusion sur le reste du rseau et le degr de compromission de la machine ; Confinement de la compromission : il s'agit de prendre les mesures ncessaires pour que la

compromission ne se propage pas ;

Stratgie de sauvegarde : si l'entreprise possde une stratgie de sauvegarde, il est conseill de vrifier lesmodifications apportes aux donnes du systme compromis par rapport aux donnes rputes fiables.En effet, si les donnes ont t infectes par un virus ou un cheval de Troie, leur restauration risque decontribuer la propagation du sinistre ;

Constitution de preuves : il est ncessaire pour des raisons lgales de sauvegarder les fichiers journaux dusystme corrompu afin de pouvoir les restituer en cas d'enqute judiciaire ;

Mise en place d'un site de repli : plutt que de remettre en route le systme compromis, il est plusjudicieux de prvoir et d'activer en temps voulu un site de repli, permettant d'assurer une continuit deservice.

Rptition du plan de sinistre

La rptition du plan de sinistre permet de vrifier le bon fonctionnement du plan et permet galement tousles acteurs concerns d'tre sensibiliss, au mme titre que les exercices d'vacuation sont indispensables dansles plans de secours contre les incendies.

0 Intro Securite Info V1.01

Documents

Transcript of 0 Intro Securite Info V1.01