La sécurité des systèmes d´information - irisa.fr · Le système d´information] I.2 [La...
Transcript of La sécurité des systèmes d´information - irisa.fr · Le système d´information] I.2 [La...
18 décembre 2002
I. [La SSI, qu´est ce que c´est ?]
II. [Qu´avons-nous à protéger ?]
III. [Comment se protéger ?]
IV. [Retours d’expérience]
[[Sommaire]]
18 décembre 2002
[ [ I. La SSI, qu´est ce que c´est ?]]
I.1 [Le système d´information]
I.2 [La sécurité]I.3 [La sécurité des systèmes d´information]
18 décembre 2002
I.1 La SSI qu´est ce que c´est ?Le système d´information
Un des moyens techniques pour faire fonctionner un système d’information est
d’utiliser un système informatique
Système d´information :organisation des activités consistant
à acquérir, stocker, transformer, diffuser, exploiter, gérer... les informations
18 décembre 2002
I.2 La SSI qu´est ce que c´est ?La sécurité
Sécurité Se protéger des malveillances
Sûreté Se protéger des accidents
En pratique, la distinction n’est pas aussi nette Le RSSI est souvent responsable
des deux aspects
18 décembre 2002
I.3 La SSI qu´est ce que c´est ?La sécurité des systèmes d´information
Les systèmes informatiques sont au cœur des systèmes d´information
Ils sont devenus la cible de ceux qui convoitent l’information
Assurer la sécurité de l’information implique d’assurer la sécurité des systèmes informatiques
Condition nécessaire mais non suffisante
18 décembre 2002
I.3 La SSI qu´est ce que c´est ?La sécurité des systèmes d´information
Confidentialité Seules les personnes habilitéespeuvent accéder à l´information
Disponibilité On ne peut entraver ou neutraliserles fonctions de délivrance del'information du système
Intégrité On ne peut modifier les informationsstockées dans le système qu'à l´issued'un acte légitime et volontaire
et/ou On dispose d’un moyen sûr pour détecter une violation de l´intégrité
+ la Preuve (auditabilité, imputabilité)
18 décembre 2002
I.3 La SSI qu´est ce que c´est ?La sécurité des systèmes d´information
AAttaques réseau
Confidentialité (écoute)Intégrité (modification paquets)Disponibilité (saturation)
Accès illicites (intrusion)confidentialitéIntégritéDisponibilité
Rayonnementsconfidentialité
RESEAU
VirusIntégritéDisponibilité
18 décembre 2002
I.3 La SSI qu´est ce que c´est ?La sécurité des systèmes d´information
Les concepts– Un SI gère des biens– Qui sont sensibles à des menaces– Liées à des vulnérabilités du SI– Exploitées par des attaques– Qui provoquent des dysfonctionnements– Dont on évalue la probabilité et l’impact– Afin d’estimer le risque– Ce qui permet de choisir les mesures adaptées
Puis l’audit permet de valider la pertinence des mesures vis-à-vis des exigences de sécurité définies pour sécuriser les biens sensibles
Bâtiments, personnels, équipements, informations
Accidents, erreurs, malveillances
Vulnérabilités intrinsèques, bugs,
backdoors, …
Assurance conformitéAssurance efficacité
Internes ou externes DoS, divulgation
d’info, atteinte image, …
R = P x I
18 décembre 2002
[ [ II. Qu´avons-nous à protéger ?]]
II.1 [Quels sont les biens ?]
II.2 [Quels sont les biens sensibles ?]
II.3 [Quels sont les enjeux ?]
18 décembre 2002
II.1 Qu´avons-nous à protéger ?Quels sont les biens ?
4 grandes catégories– Les personnels
• permanents, stagiaires, …• prestataires, partenaires, …• toute personne ayant accès au SI
– Les bâtiments – Les biens matériels
• Équipements, • Systèmes, réseaux, logiciels, …
– Les biens immatériels • données,• connaissance, savoir-faire, brevets, …• toute information véhiculée
sur les réseaux internes
AdministratifsTechniquesEncadrement Informaticiens EnseignantsElèvesParents d´élèvesPartenairesCandidats aux concours…
Données personnellesDonnées relatives à l´affectationDonnées relatives au statutDonnées médicalesDonnées relatives aux diplômesDonnées relatives aux moyens…
18 décembre 2002
II.1 Qu´avons-nous à protéger ?Quels sont les biens sensibles ?
4 niveaux de classification
Très sensible : informations dont une atteinte peut provoquer une modification importante dans les structures et les capacités de l´organisme, pouvant aller jusqu'à mettre en cause sa pérennité,
Sensible : informations dont une atteinte peut amoindrir notablement les capacités de l´organisme à plus ou moins longue échéance,
Peu sensible : informations dont une atteinte peut provoquer une gêne dans le fonctionnement de l´organisme, cette gêne pouvant elle-même provoquer une diminution des capacités de l'organisme,
Pas sensible
18 décembre 2002
II.1 Qu´avons-nous à protéger ?Quels sont les enjeux ?
Disponibilité
On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système
IntégritéOn ne peut modifier les informations stockées dans le système qu'à l'issue d'un acte légitime et volontaire et/ou on dispose d’un moyen sûr pour détecter une violation de l’intégrité
Confidentialité
Seules les personnes habilitées peuvent accéder à l´information
Les enjeux
Enjeux humain
Enjeux financier
Image de marque
Enjeux métier
Enjeux légaux
Cotation
3- très sensible
2- sensible
1- peu sensible
0- Pas sensible
0
1 2
3
Quels sont les enjeux Quels sont les enjeux associés aux risques associés aux risques
d´atteinte à la disponibilité, l´intégrité, la confidentialité d´atteinte à la disponibilité, l´intégrité, la confidentialité des données considérées ?des données considérées ?
18 décembre 2002
[ [ III. Comment se protéger ?]]
III.1 [Définir son référentiel]
III.2 [La sécurité technique]
III.3 [La sécurité organisationnelle]
18 décembre 2002
III.1 Comment se protéger ?Définir son référentiel
VisionVision systèmesystèmeContre mesuresContre mesuresVulnérabilités résiduellesVulnérabilités résiduelles
RisqueRisque ==Probabilité x ImpactProbabilité x Impact
4. La vision systvision systèèmeme qui permet l´évaluation du risque
Vision métierVision métierSensibilitéSensibilitéintrinsèqueintrinsèquedu métierdu métier
1. La vision mvision méétier tier qui définit le référentiel
Vision projetVision projet Sensibilité Sensibilité pondéréepondéréedes projetsdes projets
3. La vision projetvision projet qui définit la sensibilitépondérée du projet
Vision processusVision processus SensibilitéSensibilitéintrinsèqueintrinsèquedu processusdu processus
2. La vision processusvision processus qui définit la sensibilitéintrinsèque du processus
18 décembre 2002
III.1 Comment se protéger ?Définir son référentiel
Les populations qui accèdent au SI éducatif
Gestionnaires Administratifs, techniques, encadrement
InformaticiensPartenaires
Enseignants
…
Elèves
Parents d´élèves Candidats inscrits
+ le cadre réglementaire (CNIL, DCSSI, TS101456, …)
Les données du SI éducatif
Données personnelles Données relatives aux diplômes
Données relatives au statutDonnées relatives à l´affectation
Données médicales
…
Les enjeux
Enjeux humain
Enjeux légaux
Enjeux métier
Image de marque
Enjeux financier
18 décembre 2002
III.2 Comment se protéger ?La sécurité technique dans les projets
Mécanismesde sécurité
{
Fonctionsde sécurité{
SpécificationSpécification ConceptionConception RéalisationRéalisation Tests/Tests/VABFVABF IntégrationIntégration Mise en Mise en
serviceserviceCahier desCahier des
chargescharges
FormationAuditVeille
DTV sécurité
Spécifications généralesSpécifications détaillés
Éléments sensibles
Rôle/Responsabilité des acteurs
Objectifs de sécuritéBesoin de sécurité
Politique sécurité
DTV sécurité
Matrice de traçabilitéValidation des APIs externes
VulnérabilitésDocuments de conceptions
Règles de développementRôle/Responsabilité des développeurs
Besoins Objectifs Fonctions Mécanismes Technologies/ / / /Menaces /
Tests de conformitésTests d'intégrationTests unitaires
18 décembre 2002
III.2 Comment se protéger ?La sécurité technique dans les architectures
Serveur SMTP
Firewall
HTTPSMTP
SMTP
HTTPetc
DNS
DNS
Serveur Anti-virus
Relais SMTP DNS externeServeur Web
DMZ publique
DNS interne
FTP
Internet
18 décembre 2002
III.2 Comment se protéger ?La sécurité technique dans les produits
De plus en plus d´intégration de produits
Comment avoir confiance ?– Confiance dans le constructeur, le fournisseur– Confiance dans le produit– Confiance par la qualité– Confiance par l’expertise ou l´audit– Confiance par l’évaluation selon des critères normalisés
Utiliser des produits évalués
Utiliser des produits reconnus
Faire expertiser les produits.– Déterminer ses propres critères– fixer des objectifs à l’expertise
Et les logiciels libres ?
Études comparativesHomologationsCautionnement
18 décembre 2002
III.3 Comment se protéger ?La sécurité organisationnelle
un système d´information sécurisé– Répond à des objectifs de sécurité définis– Intègre des moyens techniques de sécurité– Est exploité dans un environnement lui-même
sécurisé– Par du personnel qualifié et sensibilisé aux
objectifs de sécurité– Organisé de façon cohérente et responsable– En conformité avec la législation Réglementation
Sécurité physique
Sécurité technique
Politique de sécurité
Sécurité de l´organisation
Sécurité du personnel
système d´information ≠≠≠≠ système informatique
18 décembre 2002
III.3 Comment se protéger ?La sécurité organisationnelle – La politique
Elle définit les principes– Identifie les catégories de biens sensibles
• Information, personnel, bâtiment, équipement, …
– Et les objectifs de sécurité associés• Confidentialité : Seules les personnes habilitées peuvent
accéder à l'information• Disponibilité : On ne peut entraver ou neutraliser les
fonctions de délivrance de l'information du système• Intégrité : On ne peut modifier les informations stockées
dans le système qu'à l'issue d'un acte légitime et volontaire et/ou On dispose d’un moyen sûr pour détecter une violation de l’intégrité
et introduit la démarche globale de sécurité– Qui fait Quoi, Quand et Comment
C´est un référentiel – document court et intangibleRépond au Pourquoi
18 décembre 2002
III.3 Comment se protéger ?La sécurité organisationnelle - La sécurité du personnel
Définit les missions impliquées dans la démarche globale de sécurité (DG, RSSI, …)
Définit les réglementations internes– Charte de sécurité– Engagement de confidentialité
Définit le plan de formation du personnel
Définit les modalités de remontée d´information sur les incidents de sécurité
18 décembre 2002
III.3 Comment se protéger ?La sécurité organisationnelle - La sécurité de l´organisation
Définit les rôles et responsabilités
Définit la gestion des habilitations
Définit les clauses de sécurité avec les partenaires
Définit les clauses de sécurité avec les sous-traitants
18 décembre 2002
III.3 Comment se protéger ?La sécurité organisationnelle - La réglementation
Précise le cadre législatif– Propriété intellectuelle– Obligation de sauvegarde des informations– Protection des droits des personnes– Législation sur l´utilisation de la cryptologie
Définit la réglementation interne– Port de badge, contrôle d´accès, zones réservées, …– Charte de sécurité– Engagement de confidentialité– Clauses sécurité dans les contrats de travail
18 décembre 2002
III.3 Comment se protéger ?La sécurité organisationnelle - Notion de plan de progrès
RéagirAmélioration
despratiques
Faire
Définition et mise en œuvre
Vérifier
Supervisionet
vérification
PrévoirIdentification
des objectifs
ConfianceMaîtriseProgrès
Audit sécurité
Tableaux de bord
Indicateurs de progrès
Plan d'action
18 décembre 2002
III.3 Comment se protéger ?La sécurité organisationnelle - La démarche globale SSI
Démarche globaleQUI, QUOI, QUAND?
Démarche détailléeCOMMENT, AVEC QUOI?
RéférentielPOURQUOI?
FichesActivités
FichesExemples
FichesMéthodes
FichesThématiques
Fiches acteurs
Politique de sécurité
Guide Acteurs
OutilsGuidesPSIISO17799
MéthodesEBIOSSSAMehariMarion
EvaluationITSECCC / ISO15408
Produits inclusAV, FW, SSO, routeurs,IGC, OS, SGBDProxyAnnuaires
18 décembre 2002
[ [ IV. Retours d’expérience ]]
IV.1 [Un outil – l´ISO17799]
IV.2 [Prospective]
IV.3 [Les qualités du RSSI]
IV.4 [Le coût de la sécurité]
IV.5 [Quelques informations]
18 décembre 2002
IV.1 Retours d’expérience La norme ISO17799
Historique– Dérivée des British Standards 7799
• première version en février 1995 • dernière version publiée en mai 1999• Schéma de certification C:Cure en 1998• Accréditation des organismes certificateurs par le
UKAS
– Première version de la norme ISO 17799 en décembre 2000 - équivalent à la BS Part.1
– La BS7799 est la base du schéma Signature Electronique
– Liste des certificats BS7799
BS 7799Part.1 The Code of Practice Part.2 Specifications for ISMS
ISO/IEC 17799 (ou 17799-1)
•Février 1995 - Mai 1999 •Certification C:Cure / UKAS•Base du schéma de qualification des PSC pour la Signature Électronique (TS 101456)
Décembre 2000, actuellement en révision
Version Draft BS7799-2:2002 en novembre 2001
ISO/IEC 17799-2
?A quand la sortie de la norme ?
18 décembre 2002
IV.1 Retours d’expérience La norme ISO17799
Part.1 : The Code of Practice - 10 chapitres - 127 recommandations
3 Politique de sécurité
4 Organisation de la sécurité
5 Classification et Contrôle des Biens
6 Sécurité et Gestion du personnel
7 Sécurité Physique
8 Gestion des Communications et des Opérations
9 Contrôle d’accès
10 Développement et Maintenance
11 Plan de Continuité d’activité
12 Conformité
33 Politique de sécuritéPolitique de sécurité
44 Organisation de la sécuritéOrganisation de la sécurité
55 Classification et Contrôle des BiensClassification et Contrôle des Biens
66 Sécurité et Gestion du personnelSécurité et Gestion du personnel
77 Sécurité PhysiqueSécurité Physique
88 Gestion des Communications et des Gestion des Communications et des OpérationsOpérations
99 Contrôle d’accèsContrôle d’accès
1010 Développement et MaintenanceDéveloppement et Maintenance
1111 Plan de Continuité d’activitéPlan de Continuité d’activité
1212 ConformitéConformité
Engagement de la direction
Rédaction d’une PSI
Communication et information
Principes de révision
Engagement de la directionEngagement de la direction
Rédaction d’une PSIRédaction d’une PSI
Communication et informationCommunication et information
Principes de révisionPrincipes de révision
Définition des rôles et responsabilités
Gestion des habilitations
Clauses de sécurité avec les partenaires
Clauses de sécurité avec les sous-traitants
Définition des rôles et Définition des rôles et responsabilitésresponsabilités
Gestion des habilitationsGestion des habilitations
Clauses de sécurité avec les Clauses de sécurité avec les partenairespartenaires
Clauses de sécurité avec les Clauses de sécurité avec les soussous--traitantstraitants
Inventaire des biens sensibles
Classification par niveau de sensibilité
Inventaire des biens sensiblesInventaire des biens sensibles
Classification par niveau de Classification par niveau de sensibilitésensibilité
Sécurité et contrats de travail
Formation
Responsabilités dans la remontée d’information
Sécurité et contrats de travailSécurité et contrats de travail
FormationFormation
Responsabilités dans la remontée Responsabilités dans la remontée d’informationd’information
Zones sécurisées
Equipements/Matériels
Contrôles
Zones sécuriséesZones sécurisées
EquipementsEquipements/Matériels/Matériels
ContrôlesContrôles
Procédures et responsabilités
Planning
Antivirus
Sauvegardes et logs
Gestion du réseau
Supports de stockage
Echanges d’information
Procédures et responsabilitésProcédures et responsabilités
PlanningPlanning
AntivirusAntivirus
Sauvegardes et Sauvegardes et logslogs
Gestion du réseauGestion du réseau
Supports de stockageSupports de stockage
Echanges Echanges d’informationd’information
Contrôle des accès utilisateurs
Contrôle des accès aux réseaux
Contrôle des accès aux OS
Contrôle des accès aux applications
Supervision
Nomadique
Contrôle des accès utilisateursContrôle des accès utilisateurs
Contrôle des accès aux réseauxContrôle des accès aux réseaux
Contrôle des accès aux OSContrôle des accès aux OS
Contrôle des accès aux Contrôle des accès aux applicationsapplications
SupervisionSupervision
NomadiqueNomadique
Spécifications de sécurité
Sécurité des développements
Chiffrement
Cycle de vie/Process
Spécifications de sécuritéSpécifications de sécurité
Sécurité des développementsSécurité des développements
ChiffrementChiffrement
Cycle de vie/Cycle de vie/ProcessProcess
Définition du plan de secours et de reprise d’activité
Définition du plan de secours et Définition du plan de secours et de reprise d’activitéde reprise d’activité
Conformité avec la loi
Conformité avec la politique de sécurité
Programmation d’audit récurrent
Conformité avec la loiConformité avec la loi
Conformité avec la politique de Conformité avec la politique de sécuritésécurité
Programmation d’audit récurrentProgrammation d’audit récurrent
18 décembre 2002
IV.1 Retours d’expérience La norme ISO17799
La BS7799 Part.2 – Draft 2002– Une démarche calquée sur ISO9000:2000
– + une check list de contrôles à effectuer
N'est pas (pas encore) dans l'ISO 17799
18 décembre 2002
IV.1 Retours d’expérience La norme ISO17799
L'ISO est un outil de mesure de progrès
Plan de progrès selon l'ISO17799
0
1
2
3Security policy
Security organisation
Asset classification &control
Personnel security
Physical & environmentalsecurity
Communications &operations management
System Access Control
System development &maintenance
Business ContinuityPlanning
Compliance
Court termeMoyen terme
18 décembre 2002
IV.1 Retours d’expérience La norme ISO17799
Les +– Référentiel exhaustif et normalisé– Approche très pragmatique– Possibilité à terme d’une certification (?)
Les -– La rédaction est criticable– La norme est en révision– Pas de méthodologie aujourd’hui– Pas de schéma défini
18 décembre 2002
L’organisationnel est incontournable dans les démarches globales SSI– La sécurité technique a beaucoup évolué (compétences,
produits)– Les mesures organisationnelles sont + pérennes et
souvent moins coûteuses– La sécurité profite de la qualité mise en œuvre dans les
années 90
Mais il est encore trop peu pris en compte– Les organismes/entreprises n’ont pas de temps et peu
d’argent – L’audit ou la PSI sont souvent des démarches « alibis »– Les RSSI sont souvent peu formés et manquent
d’expérience
IV.2 Retours d’expérience Prospectives
18 décembre 2002
Culture et curiosité technique – Architecture, OS, BDD, réseau, produits de sécurité, …– Une bonne connaissance de ce qu’est un projet informatique (cycle de
développement, rôles MOA/MOE)– la technique et les vulnérabilités évoluent
Relationnel – La SSI est transverse - beaucoup d´interlocuteurs - rester humble
Rigueur– le RSSI doit montrer l’exemple
Reconnu dans l´organisation– Vision globale de l´organisation– Bonne connaissance des métiers de l´organisme dans lequel il évolue– Pouvoir de blocage (mais ne doit pas en abuser)
IV.3 Retours d’expérience Les qualités du RSSI
18 décembre 2002
Il doit être consulté pour tout nouveau projet ou évolution d’une application
Il doit savoir s’impliquer sans papillonner
Il a intérêt à mettre au point une démarche pour la prise en compte de la SSI
Il doit s’appuyer sur le service qualité et savoir impliquer le chef de projet
IV.3 Retours d’expérience Le RSSI et les projets
18 décembre 2002
Être celui qui dit toujours non et qui s’en lave les mains…
Négliger les difficultés techniques
Être excessivement paranoïaque
Être le faire valoir
Jouer le rôle du bouc émissaire
S’investir de manière inégale
...
IV.3 Retours d’expérience Les erreurs à commettre
18 décembre 2002
C’est une bonne question à se poser lors de la phase de décision.– Le coût de la sécurité doit être inférieur au coût potentiel
de l’insécurité. L’aspect potentiel de l’insécurité rend les prises de décision difficiles.
C’est une mauvaise question après sauf à remettre en cause les décisions prises.– La sécurité est une fonctionnalité comme les autres. Le
fait qu ’elle ne soit pas toujours considérée comme telle est un problème culturel.
IV.4 Retours d’expérience Le coût de la sécurité
18 décembre 2002
IV.4 Retours d’expérience Le coût de la sécurité
MAINTENANCE
ADMINISTRATION
ENJEUX
Comme pour toute autre fonctionnalité...Comme pour toute autre fonctionnalité...
COMPLEXITE DES SOLUTIONS
NIVEAU DE CONFIANCE VISE
COÛT DES PRODUITS
COÛT DE FORMATION
18 décembre 2002
Des référentiels à suivre– Critères Communs– BS7799/ISO17799– TS101456– SSA (Survival Systems Analysis )– SSE-CMM– Les référentiels métier (Livre blanc, GSM-SAS, GMSIH, …)
Quelques liens– www.scssi.gouv.fr – www.atica.fr – www.cru.fr– www.sei.cmu.edu – www.clusif.asso.fr
IV.5 Retours d’expérience Informations