La sécurité de l’information et les auditeurs internes

La sécurité de l’information et les auditeurs internes : Positionnement, enjeux et stratégies d’audit pour des résultats efficaces

2 avril 2014

2

Ordre du jour 1.  Présentation des conférenciers 2.  Bases de la sécurité de l’information et enjeux liés à celle-ci 3.  Rôle des responsables de la gouvernance 4.  Dimensions oubliées de la sécurité par les organisations 5.  Stratégies d’audit possibles de la sécurité de l’information :

5.1 Stratégie du haut vers le bas (« top-down ») : évaluation de la gouvernance et de la gestion de la sécurité de l’information, évaluation des risques, revue des processus de gestion de la sécurité, analyse de vulnérabilités spécifiques

5.2 Stratégie du bas vers le haut (« bottom-up ») : tests de scénarios de risques spécifiques, évaluation des vulnérabilités, tests d’intrusion logique et physique, ingénierie sociale, analyse causale des résultats

5.3 Comparaison des deux stratégies (avantages, limites et inconvénients) et présentation des liens entre elles

5.4 Qualifications et outils nécessaires pour les auditeurs internes 6.  Conclusion

1. Présentation des conférenciers

1. Présentation des conférenciers n  Jacques Bergeron, CPA, CA, M. Sc, MBA, CISA, CISM, est le vérificateur général de la Ville de

Montréal depuis 2009. À ce titre, il coordonne trois directions d’audit, notamment celle qui effectue l’audit des technologies de l’information et des télécommunications. Auparavant, il a été professeur invité à HEC Montréal où il a enseigné, entre autres, le cours de contrôle et sécurité dans le commerce électronique, cours qu’il enseigne toujours d’ailleurs. Il a également œuvré au sein de firmes réputées de professionnels en gestion des risques de l’information (Deloitte, RCGT, KPMG, Groupe conseil GSR) où il a été responsable de mandats complexes reliés à la sécurité de l’information. M. Bergeron cumule plus de 25 années d’expérience dans la vérification et l’évaluation de la sécurité et de contrôles des technologies de l’information. Courriel : [email protected]

n  Robert Masse, CISSP, est conseiller senior en sécurité de l’information et gestion de risques pour sa propre firme Infisec. M. Masse possède plus de 15 années d'expérience dans le conseil en sécurité de l’information et des technologies. Au cours de ces années, il a développé une capacité d’analyse et d’exécution qui lui permet de vulgariser et de communiquer clairement des enjeux de sécurité complexes, de proposer des plans d’action et d’en assurer l’alignement avec les objectifs stratégiques de l’organisation. M. Masse a également œuvré auprès de firmes réputées en sécurité de l’information telles que KPMG et Go Secure. Il participe à divers évènements médiatiques et conférences à travers le monde (RSA, NCFTA, PCI, etc.). Il est d’ailleurs fréquemment cité par les médias comme expert réputé en matière de sécurité de l’information. Courriel : [email protected]

4

2. Les bases de la sécurité de l’information et les enjeux liés à celle-ci

2.1 La sécurité de l’information

n  Personnel + n  Processus + n  Technologie

6

A. LE PERSONNEL q  Les politiques, normes et procédures de sécurité influencent

l’attitude des utilisateurs et leur comportement q  De plus, le programme de sensibilisation est également un

facteur qui influence l’attitude des utilisateurs q  Les politiques, normes et procédures devraient également :

§  Influencer le comportement du personnel informatique §  Améliorer leur façon de faire


7

B. LES PROCESSUS q  Les politiques, normes et procédures peuvent guider les façons de

faire q  Elles constituent des lignes directrices sur ce qui est obligatoire ou

non q  Elles permettent d’encadrer les processus de sécurité tels que :

n  La création de codes d’accès n  La définition des profils d’accès n  La définition de la protection des serveurs, des répertoires et des ressources n  La journalisation et la revue des activités n  La gestion quotidienne de la sécurité par les intervenants concernés

8


Cadre normatif Politique

corporative Polit

ique

1.1 Introduction,portée et

approbation

1.2 Gestion de lasécurité

1.4 Classificationde l'information

1.5 Programmede sensibilisationet de formation

1.3 Évaluationdes risqueset menaces

1.6 Utilisation desactifs

1.7 Définition destermes

Organisation etadministrationde la sécurité

Profils d'accès

Mots de passeet réactivation

des codes d'accès

Suivi desincidents

Embauche,départ etsuivi du

personnel

Sécurité logiqueGestion des accès

et utilisation

Emplacement desinstallations

et dumatériel

Contrôledes accèsphysiques

Matérielinformatique

Sécurité physiquePrévention, détection

et protection

Développement,acquisition etmise en place

Contrôledes

changements

Applicationssupportées

par des fournisseursextermes

Développement,maintenance et

mise en place dessystèmes

Horaires,calendriers

et planification

Mesures demanipulationdes rapports

Exploitation

Chiffrement ettransmissionsécuritaire

Gestion des accèsà distance

et mécanismed'authentification

Utilisation ducourrier

électronique

Utilisation del'Internet

Gestiondes

changements

Réseau ettélématique

Gestiondes logiciels/

Droits d'auteur

Virus

Utilisation deportatifs

Micro-informatique

Relèveinformatique

Copies desauvegarde

Relève encas de

désastre

Polit

ique

s fo

nctio

nnel

les

Nor

mes

Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure

Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire

Proc

édur

es

Form

ulai

res

Guide de référence technique







Guide de référence technique G

uide

s

9

C. LES TECHNOLOGIES q  Choix et configuration des équipements q  Les politiques, normes et procédures influencent la qualité de la

sécurité des implantations technologiques §  Par exemple, des guides de configuration technique pour chaque type de plate-

forme permettent d’assurer une standardisation des implantations

10


Analyse des menaces

Risques intolérables

État de la situation actuelle

Adéqua tion

Plan directeur

Classification des actifs

Mission organisationnelle

Normes et procédures à implanter

Outils techniques

Manières de faire et gestion de la sécurité

11

2.2 La relation entre menaces, impacts, vulnérabilités et risque

Menace

Vulnérabilités dans les contrôles

Faiblesse de contrôle

Arrivée du risque

ACTIF INFORMATIONNEL

Perte de confidentialité

Perte de disponibilité

Perte d’intégrité

12

Correction des contrôles

Maîtrise du risque

Risque résiduel acceptable

ou non

Correction

13

2.2 La relation entre menaces, impacts, vulnérabilités et risque

ACTIF INFORMATIONNEL

Perte de confidentialité

Perte de disponibilité

Perte d’intégrité

Menace

L’ultime sécurité

14

§  Étapes qui permettent d’attribuer à chaque actif informationnel (document ou composante) qui soutient le processus d’affaires un libellé q  qui reflète l’importance de l’actif informationnel pour la réalisation

de la mission de l’organisation et du processus d’affaires §  La classification des actifs s’effectue en fonction

des processus d’affaires q  …en tenant compte de l’importance de chaque actif

15

2.3 Le processus de classification

n  La classification s’effectue sur trois aspects: ¨  La disponibilité ¨  L’intégrité ¨  La confidentialité

n  Il s’agit de déterminer quels seraient les impacts d’une perte d’intégrité, de disponibilité et de confidentialité liée à l’actif pour l’organisation, en particulier:

¨  Sur la mission ¨  Sur l’image de l’organisme (réputation, confiance) ¨  Sur la situation financière (pertes de revenus, dépenses

additionnelles) ¨  Sur la sécurité des usagers et des employés (atteinte aux

droits et libertés) ¨  Sur la compétitivité ¨  Sur les opérations (perturbations)


LES COTES DE CLASSIFICATION n Non classifiée n Sensible mais non classifiée n Confidentielle n Secrète n Ultrasecrète LIMITES?

17


2.3 Qu’est-ce qu’un actif informationnel

On retient deux notions: Document et composantes:

DOCUMENT: n  Document papier

¨  Formulaires manuels ¨  Rapports manuels ¨  Rapports/formulaires produits par le système

n  Document électronique ¨  Enregistrement dans un fichier

PEUVENT ÊTRE REGROUPÉS DANS UN « BLOC D’INFORMATION »

Contenu

2.3 Qu’est-ce qu’un actif informationnel

On retient deux notions: Document et composantes:

COMPOSANTES: n  Qui supportent le document papier

¨  Classeur ¨  Salle physique où sont situés les documents

n  Qui supportent le document électronique ¨  Base de données ¨  Système d’application ¨  Systèmes d’exploitation et utilitaire ¨  Réseaux de télécommunication ¨  Salles d’équipement

2.3 Préparation à l’exercice de classification

n  Quels sont les détenteurs principaux (ou PROPRIÉTAIRE DE L’INFORMATION)?

¨  Un détenteur principal est le premier responsable de l’information manipulée dans son unité administrative

¨  Comment les reconnaître?

Qui peut autoriser le changement d’un système d’information?

Qui peut autoriser la divulgation d’une information?

Qui peut approuver les accès à une information ou une fonctionnalité d’un système?

2.3 Prise de l’inventaire des actifs informationnels

n  La meilleure façon: Systématisation

n  Quels sont les actifs informationnels les plus importants pour chacun des processus d’affaires?

n  Donc: ¨  Comprendre la chaîne de traitement peut aider à identifier les actifs

informationnels n  (documents et composantes)

¨  Inventaire des documents et des composantes: ¨  Description graphique ou narrative du processus d’affaires ¨  Tenir compte de l’entreposage des documents dans les SERVEURS

ET fichiers de données ¨  Cet inventaire doit être complet et systématique

LES CRITÈRES D’IMPACT n Perte financière ou d’opportunité n Aspects légaux, contractuels n Perte de productivité n Non-respect d’engagements n Détérioration de la qualité de service n Perte de confiance des clients n Atteinte à la sécurité physique des personnes n Perception médiatique négative

22


Niveau 1 Bas : impact non significatif Incidences minimales Limitées à un secteur administratif

Incidences d’ordre administratif Aucun impact sur l’image ou la mission

Niveau 2 Moyen : impact limité à un secteur Conséquences mineures sur des tiers

Incidences sur l’image, le fonctionnement et les opérations d’un secteur Impact mineur sur la mission

Niveau 3 Élevé : impact grave Incidences sur l’établissement et les tiers

Incidences sérieuses Dommages sérieux sur la mission Manquement aux obligations

Niveau 4 Très élevé : impact très grave Conséquences très sérieuses Incidences graves sur la continuité d’opération et sur les tiers

Viabilité de l’organisation mise en péril Conséquences sur le plan humain ou financier

23


LA DISPONIBILITÉ DE L’INFORMATION n L’information ou un système doit être accessible et utilisable en temps voulu

n Comprend la notion de performance (dégradation)

24


Disponibilité Niveau 1: IMPACT FAIBLE

Acceptable que le système ne soit pas disponible pendant une période prolongée (+48h)

Documents, formulaires, listes d’employés Statistiques d’utilisation de processus secondaires

Niveau 2: IMPACT MOYEN

La période de non disponibilité pourrait être élevée mais au-delà de cette période, les impacts seraient notables (4-48h)

Système de grand livre, reporting au ministère, procédures internes, documents administratifs, comptes à payer, courriel, site Internet, système de prise de rendez-vous

Niveau 3: IMPACT GRAVE

Une courte période d’indisponibilité est permise mais au-delà de cette période, la mission serait sérieusement affectée (moins de 4 h)

Nutrition, index patient, et services auxiliaires aux soins, tels la pharmacie, la radiologie Paiement aux bénéficiaires

Niveau 4: IMPACT TRÈS GRAVE

Aucune période d’indisponibilité n’est permise

Dossier patient électronique, infrastructure des services essentiels, système de mesures d’urgence, système de pagettes et de communication interne

L’INTÉGRITÉ DE L’INFORMATION n Propriété d’une information ou d’une technologie qui n’est ni modifiée, ni altérée, ni détruite d’une façon erronée ou non autorisée n L’information doit être complète, exacte et autorisée. Elle doit être non modifiable et non altérable

q  L’information doit être exacte (conforme) à ce qu’elle doit représenter q  L’information doit être complète (intégrale/exhaustive)

n  Tous les documents sont présents n  L’ensemble des champs d’information nécessaires sont complétés (Les contrôles d’application permettent habituellement d’atteindre ces objectifs)

q  L’information inscrite/enregistrée doit être autorisée n Autant pour les transactions que les dépôts de données n L’intégrité doit être maintenue dans le temps

26


Intégrité Niveau 1: IMPACT FAIBLE

Les informations peuvent être compromises sans répercussions

Organigrammes, listes des employés, rapports internes


Les informations pourraient être compromises mais des impacts limités liés à l’image

Rapports d’activités au ministère, statistiques d’utilisation, informations de planification, erreurs dans le système des paiements


Si les informations seraient compromises, des impacts significatifs sur la qualité des soins et sur l’image de l’établissement

Erreurs dans le système des menus, erreurs dans le système des commandes, fraudes financières


La santé et la sécurité des personnes est compromise. Conséquences juridiques et médicales

Informations médicales de première ligne. Information sur les allergies Systèmes de distribution en eau potable Systèmes de transfert de fonds électronique/courtage bancaire

LA CONFIDENTIALITÉ DE L’INFORMATION n Propriété que possède une donnée ou une information dont l’accès et l’utilisation sont réservés à des personnes ou entités désignées et autorisées n L’information détenue ou conservée par une organisation ne doit pas être accessible ou divulguée aux personnes non autorisées ou à des fins non prévues

q  La divulgation de l’information est effectuée à des personnes autorisées selon les règles établies par l’organisation

n Droits à la vie privée q  L’information personnelle doit être protégée et n’être collectée et servir

qu’à des fins strictement limitées

28


Confidentialité:Exemple pour le domaine de la santé

Niveau 1: IMPACT FAIBLE

Information de nature publique. Aucun impact sur la divulgation

Documents statistiques généraux Documents publics


Information de nature interne. Impact limité sur l’image de l’établissement

Documents internes Profilage de la clientèle


Information assujettie aux lois. Impact important sur la réputation des individus et de l’établissement Information stratégique

Documents contenants des renseignements personnels Documents sur les soins et traitements Rapports d’enquêtes Documents sur le personnel (salaires et autres) Renseignements fiscaux


Information assujettie aux lois. Impact très important sur la réputation des individus et établissement

Renseignements sur des diagnostics médicaux particuliers Renseignements sur le passé d’un patient

Actions délibérées Personnes de l’intérieur Personnes de l’extérieur

Source de menaces Conséquences

Actions accidentelles Personnes de l’intérieur Personnes de l’extérieur

Problèmes technologiques Défauts d’équipement Défauts de logiciel Code malicieux

Problèmes environnementaux Alimentation électrique, bris de conduite d’eau, incendie

ACTIFS

Divulgation ou visionnement d’information confidentielle

Modification non-autorisée ou erronée d’information sensible

Destruction ou perte d’information importante

Accès interrompu à des systèmes critiques

Désastres naturels Inondation, tremblement de terre

30

2.4 Les types de menaces et les conséquences

n  Menaces à Contrôles q  Contrôles structurels

n  Ce qu’on appelle les CONTRÔLES ORGANISATIONNELS q  Multiniveaux q  Ne sont pas rattachés à des risques spécifiques

q  Contrôles spécifiques n  Ce qu’on appelle les CONTRÔLES OPÉRATIONNELS

q  Peuvent être opérationnels ou techniques q  Rattachés à un ou des blocs d’information, donc à des risques spécifiques

n  Menaces à Contrôles affectant la potentialité de matérialisation de la menace

n  Menaces à Contrôles réduisant les impacts de la menace une fois celle-ci survenue

31

2.5 Logique derrière la démarche

Démarche d’élaboration

n Contrôles affectant la POTENTIALITÉ ¨ MESURES DE DISSUASION

n  ÉVITENT la concrétisation de la menace

¨ MESURES DE PRÉVENTION n  EMPÊCHENT l’aboutissement d’une agression

¨ MESURES DE PROTECTION n  LIMITENT l’ampleur de la détérioration

Démarche d’élaboration

n Contrôles réduisant l’impact (une fois la matérialisation de la menace) ¨ MESURES PALLIATIVES

n  RÉPARENT et ATTÉNUENT les dégats ¨ MESURES DE RÉCUPÉRATION

n  LIMITENT les pertes

n  Une vulnérabilité est : q  Une faiblesse de mesure de contrôle q  L’absence de mesure de contrôle visant à prévenir,

détecter ou corriger la matérialisation de la menace

n  Par exemple : q  Une menace d’intrusion de l’externe est probable et son

impact potentiel est élevé n  Un contrôle préventif « A » serait la présence d’un mur coupe-

feu n  Un contrôle détectif « B » serait la présence d’un outil de

détection des intrusions n  Un contrôle correctif « C » serait la présence d’une norme et

d’une procédure de gestion des incidents q  L’absence d’un ou de plusieurs de ces contrôles pourrait

constituer une vulnérabilité

34

2.6 Identification des vulnérabilités

2.6 Identification des vulnérabilités

Vulnérabilité Source de la menace Action effectuée par la menace

Les codes utilisateurs d’employés qui ont quitté ne sont pas détruits

Un employé qui a quitté l’organisation

Accès à distance au réseau de l’organisation et aux données confidentielles

Le garde-barrière (firewall) permet d’effectuer un Telnet sur un serveur sur lequel le compte invité n’est pas désactivé

Personnes non autorisées de différents types (employés qui ont quitté, hackers, cybercriminels)

Utilisation du service Telnet de l’extérieur et accès à des fichiers de l’organisation en utilisant le compte invité ou en escaladant avec des privilèges plus élevés

Le fournisseur du système d’exploitation identifie des vulnérabilités mais l’organisation n’installe pas les correctifs suggérés

Personnes non autorisées de différents types (employés qui ont quitté, hackers, cybercriminels)

Exploitation depuis l’externe des vulnérabilités du système d’exploitation et accès à des fichiers sensibles

35

2.6 Les étapes de la gestion du risque

n  Classification des actifs informationnels n  Compréhension des étapes et traitements du système

d’information ¨  Diagramme technique et fonctionnel ¨  Décomposition en activités et étapes

n  Identification des menaces (événements potentiels) pour chaque activité en relation avec les systèmes critiques de l’entreprise ¨  Menaces internes (erreurs, actes volontaires) ¨  Menaces externes (erreurs, actes volontaires)

n  Revue des mesures actuelles de protection n  Évaluation des risques résiduels n  Plan d’action pour les écarts

2.7 Les zones de sécurité réseau

37

2.7 Les zones de sécurité réseau - la zone démilitarisée

n  Zone tampon d’un réseau d’entreprise, située entre le réseau local et Internet, derrière le garde-barrière, qui correspond à un réseau intermédiaire regroupant des serveurs publics (Web, courriel…) et dont le but est d’éviter toute connexion directe avec le réseau interne et de prévenir celui-ci de toute attaque extérieure depuis le Web

38

n  Trois zones peuvent être créées : q  Zone 1 : Internet et le milieu extérieur à haut risque q  Zone 2 : la DMZ à risque modéré

n  Où même il est possible de créer des sous-zones avec les serveurs (garde-barrières embarqués)

q  Zone 3 : le réseau local sécurisé

39


40


3. Le rôle des responsables de la gouvernance

42

3.1 Rôles et responsabilités

Rôle Responsabilités

Haute direction

Détient la responsabilité ultime de la sécurité de l’information. Définit la politique de sécurité et la vision en matière de sécurité. Définit la culture de sécurité. Alloue les ressources humaines et financières. Fais la promotion de la sécurité

Officier de la sécurité de l’information Détient la responsabilité fonctionnelle de la sécurité de l’information pour l’ensemble de l’organisation

Le propriétaire de l’information Détermine la classification des informations dont il est responsable

Gardien des données (Custodian) Assure la protection logique et physique de l’information

Utilisateur Exécute les instructions de la sécurité de l’information durant son travail quotidien

Auditeur Fait l’audit de l’état de la sécurité de l’information et rapporte les anomalies importantes à la haute direction

3.2 La reddition de comptes de l’auditeur interne

n  L’auditeur interne a la responsabilité de donner l’assurance à la direction de l’atteinte des objectifs de sécurité et de mentionner les menaces/vulnérabilités qui peuvent causer préjudice à l’organisation

n  Standard IPPF 2130.A1 n  Déterminer jusqu’à quel niveau l’auditeur doit

descendre (portée de l’intervention) en fonction des ressources dont il dispose

43

4. Les dimensions oubliées de la sécurité par les organisations

4. Les dimensions oubliées

n  La nécessité de considérer la sécurité de l’information à de multiples niveaux : organisationnel, humain, technique, physique

n  Le fait de penser « sécurité » lors du développement d’un système

n  La sécurité des documents papier n  La sensibilisation des utilisateurs n  Le rôle du propriétaire de l’information

45

5. Les stratégies d’audit possibles de la sécurité de l’information

5.1 La stratégie du haut vers le bas


48

Organisation de la sécurité •  Positionnement •  Gouvernance

Gestion de la sécurité •  Politiques •  Normes •  Procédures

Programme de sensibilisation

Planification de la sécurité

Contrôles organisationnels

49

Contrôles spécifiques Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4







50

Couche documents physiques

Éléments à considérer : • Protection des documents sensibles • Archivage • Accès physiques aux documents • Transport interne et externe des documents • Disposition des documents • Etc.








51

Couche documents physiques

Couche base de données Éléments à considérer : • Codes d’accès privilégiés • Protection des tables sensibles • Options et paramètres de sécurité activés • Configuration sécuritaire de la base de données • Administration de la BD








52

Couche base de données

Couche application Éléments à considérer : • Codes d’accès privilégiés • Tables d’accès et séparation des fonctions • Options de sécurité activées et valeurs • Paramétrage de l’application • Contrôle des changements







Contrôles spécifiques Couche documents physiques

Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4

53

Couche serveur

Éléments à considérer : • Codes d’accès privilégiés • Configuration sécuritaire du serveur (ports ouverts, services actifs) • Options de sécurité activées et valeurs • Mise à jour du système d’exploitation (patches, version) • Contrôle des changements • Copies de sauvegarde, plan de reprise, manipulation médias • Anti-virus, etc.







Contrôles spécifiques Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4 Couche documents physiques


Couche application

54

Couche réseau interne/externe

Éléments à considérer : • Codes d’accès privilégiés • Installation et configuration sécuritaires des équipements réseau (routeurs, sans-fil, etc.) • Règles du garde-barrière • Ports ouverts, services actifs • Options de sécurité activées et valeurs • Etc.









Couche application

Couche serveur


55


Couche sécurité physique

Éléments à considérer : • Accès à la salle informatique • Configuration de la salle informatique • Accès au bâtiment • Protection par zone et contrôles d’accès physiques aux locaux • Surveillance, alarme, etc.









Couche application

Couche serveur



56

Plan de relève informatique Plan de continuité des affaires

Éléments à considérer : • Présence d’un plan • Caractère adéquat du plan (Analyse de risques et d’impacts) • Tests périodiques du plan • Mise à jour du plan • Etc.









Couche serveur




Couche application

5.2 La stratégie du bas vers le haut (ou la stratégie tactique)

58

5.2 La stratégie du bas vers le haut

MISE EN CONTEXTE n Notre définition n Différence entre chaque type de stratégies n La stratégie ascendante (bottom-up) = meilleur rapport coûts-avantages n Ce que la stratégie offre n Ce que la stratégie n’offre pas :

q  Évaluation exhaustive q  Analyse de la méthodologie et des politiques q  Stratégie descendante (top-down)

n Idéale pour budget limité n Permet des résultats rapides et opérationnels n Évalue scénarios de risques/menaces spécifiques

59

Stratégie du bas vers le haut • Analyse des vulnérabilités • Tests d’intrusion physique et logique




Couche serveur









Couche application

5.2 La stratégie du bas vers le haut

5.2.1 Scénarios de risques

61

5.2.1 Scénarios de risques DÉFINITION DES RISQUES n Différents types de risques

q  Risque pour la confidentialité q  Risque pour l’intégrité q  Risque pour la disponibilité q  Risque pour la réputation (souvent ignoré)

n Les risques sont notés sur une échelle de 1 à 25 n Risque = probabilité (1-5) X impact (1-5) n Qu’est-ce qui est le plus important pour la direction de l’entreprise? n Définir les risques de base n Définir les scénarios

62

DÉFINITION DES SCÉNARIOS DE RISQUES n Une fois les risques identifiés, nous développons les scénarios n Les scénarios de risques comprennent :

q  Les acteurs (employés, pirates informatiques) q  Type de menace (malicieuse) q  Évènement (vol, divulgation) q  Actif ou ressource (données personnelles)


63

EXEMPLES n Est-ce que quelqu’un peut fournir quelques exemples pour son organisation?


64

EXEMPLES n Quelques exemples avec lesquels j’ai travaillé


5.2.2 Évaluation des vulnérabilités

66

5.2.2 Évaluation des vulnérabilités n  Qu’est-ce qu’une évaluation des vulnérabilités n  Qu’est-ce que cet outil peut offrir ou non n  L’analyse de vulnérabilités est la première étape

pour évaluer la sécurité de l’infrastructure n  Pas de « piratage », seulement de l’analyse n  Offre une vue d’ensemble n  Idéale comme première évaluation

67

5.2.2 Évaluation des vulnérabilités n  Méthodologie de base

q  Nous identifions les actifs et les ressources qui sont importants pour l’organisation

q  Nous les évaluons en utilisant divers outils techniques

n  Exemples de résultats : q  Mot de passe faible ou par défaut q  Erreurs de configuration q  Absence de correctifs de sécurité (patch)

Serveur webServeur web

Internet

Serveur Serveur Serveur Serveur

Serveur de vérification

68

5.2.2 Évaluation des vulnérabilités

69

5.2.2 Évaluation des vulnérabilités Observations, Recommandations, Risque, Hôte(s),affecté(s),

1, Compte,par,défaut,«,factory,»,de,RuggedOS!!

L’équipement! réseau! possède! un! compte! codé!

permanent!qui!possède!un!mot!de!passe!prévisible.!

!

Le! dispositif! exécute! RuggedOS! en! utilisant! le! compte!

«!factory!»! et! un! mot! de! passe! dérivé! de! l’adresse!

matérielle! (MAC)! de! l’appareil! (qui! est! visible! dans! la!

bannière! d’authentification! telnet).! Ceci! est! un! cas!

classique!de!porte!dérobée.!

!

METTRE,À,NIVEAU,LA,VERSION,ACTUELLE,!

Mettre!à!niveau!le!micrologiciel!(firmware)!RuggedOS!à!la!

version!la!plus!récente!selon!l’avis!du!fabriquant.!

!

http://www.ruggedcom.com/productbulletin/rosK

securityKpage/!

!

CRITIQUE,10.0,

1.2.3.4,,

2, Mot, de, passe, par, défaut, du, «,IBM, Baseboard,Management,Controller,»,!

L’hôte! semble! exécuter! IBM! Baseboard! Management!

Controller! (BMC),! qui! est! utilisé! pour! la! gestion! horsK

bande.!Le!client!de!gestion!du!service!est!protégé!par!un!

mot!de!passe!par!défaut.!!

!

Nom!d’utilisateur!par!défaut!:!USERID!

Mot!de!passe!par!défaut!:!PASSW0RD!

REMPLACER,LE,MOT,DE,PASSE,PAR,DÉFAUT,!

Remplacer! le! mot! de! passe! par! défaut! par! un! mot! de!

passe!complexe.!

!

!

CRITIQUE,10.0,

1.2.3.4,5.6.7.8,,

3, MS06[040,:,Exécution,de,code,à,distance,!

Une! vulnérabilité! dans! le! service! Serveur! pourrait!

permettre!l'exécution!de!code!à!distance.!

!

L'hôte! est! vulnérable! à! un! débordement! de! mémoire!

tampon!dans!le!service!«!Serveur!»!qui!pourrait!permettre!

à! un! attaquant! d'exécuter! du! code! arbitraire! sur! l'hôte!

avec!des!privilèges!«!SYSTÈME!».!

APPLIQUER,LE(S),CORRECTIF(S),!

Microsoft! a! publié! un! ensemble! de! correctifs! pour!

Windows!2000,!XP!et!2003.!

!

http://technet.microsoft.com/enK

us/security/bulletin/ms06K040!

!

CRITIQUE,10.0,

1.2.3.4,

5.2.3 Tests d’intrusion

71

5.2.3 Test d’intrusion

n  Le test d’intrusion pousse les choses un peu plus loin

n  Lorsqu’une vulnérabilité est découverte, nous l’exploitons pour obtenir un accès

n  Il existe deux types de tests d’intrusion : logique et physique

72

5.2.3 Test d’intrusion - logique

n  Quatre étapes générales : q  Préparation q  Collecte d’informations et analyse

n  Google est votre ami n  Intelligence « open source »

q  Détection de vulnérabilités n  Outils réseau n  Outils Web

q  Tentative d’intrusion (exploitation) n  Metasploit n  Techniques connues et/ou propriétaires (personnalisées)

n  Exemples

73

5.2.3 Test d’intrusion - logique

n  Autres outils q  Ingénierie sociale q  Hameçonnage

n  Exemples q  Appels téléphoniques q  Courriel d’hameçonnage q  Boîte à outils d’ingénierie sociale

74

5.2.3 Test d’intrusion - physique

n  Même concept que les tests logiques n  Le but est de trouver les vulnérabilités ou les

failles dans la sécurité physique n  Exploitation des vulnérabilités

75


n  Quatre étapes principales q  Préparation q  Collecte d’informations et analyse

n  Google maps n  Bing maps n  Rôle foncier n  Qui accède physiquement au bâtiment, surveillance

q  Détection de vulnérabilités n  Est-ce que le technicien est mis à l’épreuve? n  Est-ce qu’il y a de la construction dans le bâtiment? n  Est-ce que les gens valident les cartes d’identité? n  Comment les visiteurs sont-ils escortés? n  Est-ce que les cartes d’accès peuvent être dupliquées? n  Est-ce que les gens prennent des pauses pour fumer en empruntant les

portes de côté/arrière?

76


n  Intrusion q  Exploitation des vulnérabilités découvertes q  Discussion du scénario de test d’intrusion avec le client q  S’assurer que les procédures sont bien définies, par exemple la

« carte sortie de prison » q  Exécution des tests sous supervision

n  Exemples q  Technicien q  Livreur de pizza q  Mécanicien

5.2.4 Analyse causale des résultats


78

Les résultats peuvent vouloir dire : • Manque de sensibilisation • Gouvernance défaillante • Manque de budgets • Manque de structure et de documentation (politiques, normes, procédures) • …d’autres vulnérabilités à prévoir!




Couche serveur








Couche application

79


LES RÉSULTATS n À quoi s’attendre n Avantages/inconvénients n Il est nécessaire d’adopter une stratégie descendante (top-down) à un certain moment pour obtenir le soutien de la haute direction n De solides recommandations sont nécessaires pour prendre des décisions efficaces n Les recommandations doivent être réalistes pour l’organisation afin qu’elles puissent être mises en place avec succès

80


LES RÉSULTATS n Exemples

q  Le vérificateur général se pointe q  Le client affirme qu’il fait régulièrement des tests et que tout devrait être

conforme q  Nous trouvons toujours des problèmes…

n  Pourquoi reviennent-ils toujours?

5.3 Comparaison des stratégies

5.3 Comparaison des stratégies

Stratégie du haut à bas n Avantages de cette stratégie

q  Stratégie complète d’évaluation des vulnérabilités

q  Stratégie structurée n Inconvénients de cette stratégie

q  Ressources importantes demandées (humaines et monétaires)

q  Expertise pointue requise pour chaque couche

q  Utilisation de « check-list » q  Résultats peuvent être longs à obtenir

Stratégie du bas à haut n Avantages de cette stratégie

q  Résultats probants et rapides q  Permet d’offrir des exemples concrets

et souvent spectaculaires à la direction

q  Permet de sensibiliser davantage le personnel et la direction sur l’importance des vulnérabilités

q  Notoriété de l’auditeur rehaussée n Inconvénients de cette stratégie

q  Demande des connaissances techniques poussées

q  Tient compte uniquement de certaines dimensions de la sécurité, souvent de nature technique

82

5.4 Qualifications et outils nécessaires

5.4.1 Qualifications nécessaires

n  Connaissance des concepts de sécurité n  Connaissances techniques

q  Réseaux q  Systèmes d’exploitation (Unix, Windows) q  Bases de données (Oracle, SQL Server) q  Applications (SAP, Oracle financiers)

n  Habiletés pour effectuer de l’ingénierie sociale n  …plus que simplement des « checklists »

84

5.4.2 Outils nécessaires

Outils Sites Internet Insecure.org Plusieurs outils gratuits ou payants de détection de

vulnérabilités, craquage de mots de passe, etc. Social Engineering Toolkit (hameçonnage)

https://www.trustedsec.com/downloads/social-engineer-toolkit/

Spooftel (Téléphones) http://www.spooftel.com/

Nessus (outil de vérification de vulnérabilité)

http://www.tenable.com/products/nessus

Acunetix (outil de vérification de vulnérabilité de Web)

http://www.acunetix.com/

Metasploit (outil de pénétration) http://www.metasploit.com/

Cain & Abel (outil de pénétration) http://www.oxid.it/cain.html

Maltego (outil de recherche) http://www.paterva.com/web6

Cree.py (outil de recherche) http://ilektrojohn.github.io/creepy/

85

6. Conclusion

Bibliographie

n  Institute of Internal Auditors, « GTAG-Information Security Governance », Floride, 2010, 22 p.

n  Beaver, K., « Why Good Security Testing Tools Matter », Internal Auditor, octobre 2007

n  Bowen, P. et al., « Information Security Guide for Government Executives », NIST, MD, 2007,19 p.

n  Bowen et al., « Information Security Handbook: A Guide for Managers », NIST, MD, 2006, 178 p.

n  Buckley, S., « Data Classification », Internal Auditor, mars 2011 n  Buckley, S., « Is Security Falling by the Wayside? », Internal

Auditor, juin 2012 n  Internal Auditors, « Tone at the Top », no 53, décembre 2011

87

La sécurité de l’information et les auditeurs internes

Technology

Transcript of La sécurité de l’information et les auditeurs internes