La sécurité informatique dans la petite entreprise
-
Upload
chadi-marzouki -
Category
Documents
-
view
307 -
download
4
Transcript of La sécurité informatique dans la petite entreprise
-
Ce livre sur la scurit informatique dans la petite entreprise (PME) sadresse aux administrateurs systmes et rseaux et plus gnralement toute personne appele participer la gestion de loutil informatique dans ce contexte (chef dentreprise, formateur...). Lauteur identifie les menaces qui rendent lentreprise vulnrable : menaces externes (Internet) ou internes, logiciels malveillants et attaques affectant le systme dinformation. Il prsente les contraintes en terme de comptitivit et vis--vis de la loi qui imposent aux responsables de protger les donnes stockes ou en transfert. Et bien sr, il dtaille les solutions efficaces mettre en uvre en rapport avec la criticit des informations, le contexte de lentreprise et sa taille. En effet, diffrentes technologies existent tant sur la partie systme que rseau et demandent tre gres laide de pratiques simples et dun minimum de bon sens pour garantir lintgrit, la confidentialit, la disponibilit des donnes et des applications. Sensibiliser le lecteur tous ces aspects de la scurit laidera mieux matriser les outils dont il dispose notamment pour la gestion des comptes daccs aux serveurs et aux postes de travail. Les recommandations dcrites dans ce livre couvrent les domaines du rseau, du systme, de la sauvegarde et aussi les solutions de reprise de lactivit mtier. La survie de lentreprise est la mesure des prcautions mises en uvre.
Ce livre numrique a t conu et est diffus dans le respect des droits dauteur. Toutes les marques cites ont t dposes par leur diteur respectif. La loi du 11 Mars 1957 nautorisant aux termes des alinas 2 et 3 de larticle 41, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destines une utilisation collective, et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale, ou partielle, faite sans le consentement de lauteur ou de ses ayants droit ou ayant cause, est illicite (alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les articles 425 et suivants du Code Pnal. Copyright Editions ENI
Lascuritinformatiquedans la petite entreprise
JeanFranoisCARPENTIER
Rsum
L'auteur Jean-Franois Carpentier est ingnieur en systme dinformation depuis prs de 30 ans. Titulaire dun diplme dingnieur DPE, il exerce son activit au sein de grands comptes de lindustrie et des services. Il uvre aussi dans les domaines techniques et fonctionnels des systmes dans des environnements complexes. Il utilise aussi ses qualits pdagogiques dans la formation pour un public dadultes.
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE03cf365KczIgLAA==-enidentnumber
1
-
Avantpropos
Celivresurlascuritinformatiquedanslespetitesentreprisessadressetoutadministrateursystmesetrseaux,toutepersonneayantgrerloutilinformatique,chefsdentreprisedetypeTPEouPME/PMIquisouhaitentprotgerleur systme dinformation des principales menaces. Il peut aussi aider des formateurs sensibiliser les futursprofessionnelsauxbonnespratiquesacqurir.
En effet, loutil informatique fait partie intgrante dumtier de lentreprise, car incontournable. Il est cependantvulnrableauxmenacesexternes(Internet)ouinternes,auxlogicielsmalveillantsetattaquesaffectantsonsystmedinformation.
Dautrepartdesraisonsdecomptitivitetlgalesimposentauxresponsablesdeprotgerlesdonnesstockesouentransfert.Laprotectiondessystmesrequiertdemettreenuvredessolutionsefficacesenrapportaveclacriticitdesinformationsutilises,ducontextedelentrepriseetdesataille.
Diffrentestechnologiesexistenttantsur lapartiesystmequerseauetdemandenttregresefficacementlaidedepratiquessimplesetdebonsensdefaongarantirlintgrit,laconfidentialit,ladisponibilitdesdonnesetdesapplications.
Lagestiondescomptesdaccsauxserveursetpostesdetravail,associeunesensibilisationlascuritpourraaiderlesadministrateurssystmemieuxmatriserleuroutil.
Lesrecommandationsdcritesdanscetouvragecouvrentlesdomainesdurseau,dessystmes,delasauvegardeetlessolutionsdereprisedelactivitmtier.Lasurviedelentrepriseestlamesuredesprcautionsmisesenuvre.
Lapproche de ce livre est de prsenter des informations glanes partir dexpriences professionnelles dansdiffrentsenvironnementsdanslecadredeladministrationdesystmesetderseaux.
La lecture de cet ouvrage rclame une connaissance de base dans la connaissance des rseaux et des systmesdexploitation,principalementdeWindows.
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0T71yAJOczIgLAA==-enidentnumber
2
-
Prface
Cetouvrageapourvocationdeprsenter ltatde lartet lesbonnespratiquesde lamiseenplacede lascuritinformatique dans une socit du type PME (Petites et Moyennes Entreprises) disposant demoyens limits. Il estdestintreencohrenceaveclanormeISO27001sousuneformepratiquelusagedespersonnelsresponsablesdusystmedinformation.
Les informations prsentes dans loptique dune meilleure gestion des serveurs et des postes de travail ne sesubstituentpasauxdocumentstechniquesdesconstructeursetditeursdelogicielsoudesystmedexploitation,ilsagitduncomplmentplusfonctionnel.
Enconsquence,lelecteurdecetouvrageestinvitconsulterlesdocumentstechniquesmissadispositionlorsdelarceptiondesmatrielsetlogiciels.
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0X1EaC5OczIgLAA==-enidentnumber
3
-
Introduction
Luniversdessystmesdinformationcomposderseauxetdesystmesinformatiquesprendunrleetuneplacechaquejourplusimportantdanslesentreprises.
Cependant, lactualitprsentepar lesmdiasnousdmontreque lesystmedinformationestvulnrableetquilpeut subir des piratages, des attaques (virus, hackers), des pertes de donnes, des sinistres. Il est doncindispensablepourlesentreprisesdesavoirdfiniretdegarantirlascuritdesesressourcesinformatiques.
Lascuritdessystmesdfiniedanscetouvragedoitconstituerlemoyendeprotgerdansunsenslargelesystmedinformationoudeminimiserlesrisquesencourusparlentreprisedanslusagedeloutilinformatique.
Lesncessitsdescurisersonsystmedinformation
Certainsfacteurspeuventapparatredelordredelvidencecommelancessitdeprotgerunepartieoprationnelledelentreprise.Toutefois,lensembledesmenacesnestpourtantpastoujoursbienidentifi.
Par contre, dautres sont souvent mconnues comme les obligations et responsabilits lgales des dirigeantsdentreprisedanslexploitationetlamatrisedeleursystmedinformation.
Cesexigences impliquent lamiseenplaceduneprotectiondessystmessous la formedunepolitiquede scuritavec :
l llaborationderglesetprocdures,
l ladfinitiondesactionsentreprendreetdespersonnesresponsables,
l ladterminationduprimtreconcern.
Ceprimtrecomprendlafoislesdonnesaussibiensousformelectroniquequepapier(fichiers,messages),lestransactionsdanslesrseaux,lesapplicationslogiciellesetbasesdedonnes.Ilnefautpasoublierlaspectcontinuitdesservicesdutraitementdelinformationetlesplansdereprisedactivitaprssinistre.
Lesprincipesdebaseetobjectifsprincipaux,lamiseenuvre
Lascuritdesdonnescouvrequatreobjectifsprincipaux,etestreprsentesousformedacronymes(C.I.D.P) :
l La disponibilit est lassurance que les personnes autorises ont accs linformation quand elles ledemandentoudanslestempsrequispoursontraitement.
l Lintgritestlacertitudedelaprsencenonmodifieounonaltreduneinformationetdelacompltudedes processus de traitement. Pour les messages changs, il concerne la protection contre laltrationaccidentelleouvolontairedunmessagetransmis.
l La confidentialit est lassuranceque linformationnestaccessiblequauxpersonnesautorises,quelleneserapasdivulgueendehorsdunenvironnementspcifi.Elletraitedelaprotectioncontrelaconsultationdedonnesstockesouchanges.Celaestralisableparunmcanismedechiffrementpourletransfertoulestockagedesdonnes.
l Lapreuve consistegarantirque lmetteurdune information soitbien identifietquil a lesdroitset lesaccslogiques,quelercepteuridentifiestbienautorisaccderlinformation.
Dautresprincipesdescuritpeuventtretablis,ilsagitde :
l Lanonrpudiation,considrecommelecinquimeprincipe,atintroduitedanslanormeISO74982commeunservicedescuritpouvanttre renduparunmcanismecomme la signaturenumrique, lintgritdesdonnesoulanotarisation.Llmentde lapreuvedenonrpudiationdoitpermettrelidentificationdeceluiquilreprsente, ildoittrepositionndans letemps(horodatage), ildoitprsenter ltatducontextedanslequelilatlabor(certificats).
l Lauthentificationestlemoyenquipermetdtablirlavaliditdelarequtemisepouraccderunsystme.Lauthenticitestlacombinaisonduneauthentificationetdelintgrit.
l Lesmcanismesdechiffrementprocdentduprincipequelmetteuretlercepteurconviennentdunmotdepasse connu deux seuls. Lmetteur utilise cemot de passe comme cl de chiffrement pour lemessage transmettre,seullercepteurquiconnatcemotdepassepeutlutilisercommeclpourdchiffrerlemessage
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0lUhaIZOczIgLAA==-enidentnumber
4
-
etyaccder.
Les objectifs de base peuvent tre traits sous la forme de solutions de scurit sous la forme dematriels, delogiciels,deprocdures,desupportoprationnelpour :
l lintgritdesdonnesetlaconfidentialit:gestiondesaccsphysiquesetlogiques,scuritdesrseaux,
l la disponibilit : redondance des systmes et du stockage des donnes, sauvegarde et archivage desdonnes.
Lespropositionsdamliorationdelascurit,associesauxbonnespratiquesmettreenplacedanslenvironnementduneentreprisesonttraitesdanscetouvrage.
- 2 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0lUhaIZOczIgLAA==-enidentnumber
5
-
Lesdomainesetnormesassocis
Lamise enuvre de solutions de protection et de scurit requiert de prendre des rfrences par rapport desnormesoudesprconisations.
1.LesbonnespratiquesITIL(InformationTechnologyInfrastructureLibrary)
ITIL se composedunensemblede livresqui liste,condenseetprsente lesmeilleurespratiquesutiliserdans lecadredelensembledesservicesinformatiquesddisuneentreprise.Ellesedclineenplusieursversionsdepuissesorigines.LaplusrcenteestlaversionN3.
Lamthodologiedcriteenversion2estcomposedesprocessussuivants :
ServiceSupportSupportdesServices, il sagitde lagestionoprationnelledesservices. Ilcomprend les thmessuivants :
l CentredeServices(ServiceDesk)
l GestiondesIncidents(IncidentManagement)
l GestiondesProblmes(ProblemManagement)
l GestiondesConfigurations(ConfigurationManagement)
l GestiondesChangements(ChangeManagement)
l GestiondesMisesenProduction(ReleaseManagement)
Service Delivery Fourniture des Services, cet ensemble de processus concerne les aspects contractuels etlamliorationdesserviceslongterme:
l GestiondesNiveauxdeService(ServiceLevelManagement)
l GestiondesCapacits(CapacityManagement)
l GestionFinanciredesServicesdelInformation(FinancialManagementforITServices)
l GestiondelaDisponibilit(AvailabilityManagement)
l GestiondelaContinuitdesServicesdelInformation(ITServiceContinuityManagement)
Laversion3sinscritdansundomainepluslargeetcomprendlesprocessussuivants :
StratgiedesServices(ServiceStrategy)
l DfinitionStratgique(StrategyGeneration)
l Gestionfinanciredesservices(FinancialManagement)
l Gestiondelademande(DemandManagement)
l Gestionduportefeuilledesservices(ServicePortfolioManagement)
ConceptiondeService(ServiceDesign)
l Gestionducataloguedesservices(ServiceCatalogueManagement)
l Gestiondesniveauxdeservice(ServiceLevelManagement)
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0X6MWaJOczIgLAA==-enidentnumber
6
-
l Gestiondesfournisseurs(SupplierManagement)
l Gestiondecapacit(CapacityManagement)
l Gestiondeladisponibilit(AvailabilityManagement)
l Gestiondelacontinuitdeservice(ITServiceContinuityManagement)
l Gestiondelascurit(InformationSecurityManagement)
TransitiondesServices(ServiceTransition)
l TransitionPlanningandSupport
l GestiondesChangements(ChangeManagement)
l GestiondesActifsetdesConfigurations(ServiceAssetandConfigurationManagement)
l GestiondesMisesenProductionetDploiements(ReleaseandDeploymentManagement)
l Gestiondestestsetvalidation(ValidationandTestingManagement)
l valuation
l GestiondeConnaissance(KnowledgeManagement)
ExploitationdesServices(ServiceOperation)
l Gestiondesvnements(EventManagement)
l Gestiondesincidents(IncidentManagement)
l Gestiondesproblmes(ProblemManagement)
l Excutiondesrequtes(RequestFulfilment)
l Gestiondesaccs(AccessManagement)
AmliorationcontinuedeService(ContinualServiceImprovement)
Ilsappuiesurlesprocessussuivants:
l valuationdelaqualitdeservice
l valuationdesprocessusmisenplace
l Dveloppementdesinitiativesdamliorationdesservicesetdesprocessus
l Surveillancedesinitiativesdamlioration,mesuresdecorrection
Dansloptiquedecetouvrage,lesprocessussuivantsenlienaveclascuritinformatiquepeuventtreutilissdanslecadredelagestiondesystmesdansunePME :
l Lagestiondesconfigurations.
l Lagestiondeladisponibilit.
- 2 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0X6MWaJOczIgLAA==-enidentnumber
7
-
l LagestiondesapplicationsElletraiteducyclededveloppementdecesapplications.
l Lagestionde la scurit Elle comporte lesaspectsdescurit,demanire transversale,avec lesautresprocessus.
La CMDB (Configuration Management DataBase) est une base de donnes, pierre angulaire de la gestion desconfigurations.Elleprsenteunevuecompltedescomposantsdelinfrastructureinformatiqueetdesservicesrendusdanslenvironnementduneentreprise.
Elledoitcomporter,aminima,lesinformationssur :
l lematrieletleslogicielsdescomposantsdesserveurs,desunitsdestockageetdesauvegarde,durseau,
l lessystmesdexploitationavecleursversionsetlesoutilsassocis,
l les applications du march avec leurs versions (SGBD : Systme de Gestion de Base de Donnes, ERP :EnterpriseResourcePlanning,Applicatifsclientserveur),
l lesoutilsdesauvegarde,deprotectionantivirale,degestiondesunitsdestockage,dadministrationetdesupervisiondessystmes,
l lesapplicationsmtiersdveloppeseninterne,
l leslicencespourleslogicielsdumarchetleursdatesdevalidit,
l lesinformationssurlesutilisateurs(accslogiqueetphysique),
l lesrfrencessurlesfournisseurs(matrielsetlogiciels) :contactsetcontratsdemaintenance,
l lesdescriptifsdinstallationetdeconfigurationdesserveursetdesapplications,ladocumentationassocie,
l lesdocumentsrelatifsauxincidents,problmessurvenus,leschangementsdinfrastructureeffectus.
Elle prcise comment optimiser lutilisation du systme dinformation,de lorganisation de support pour dlivrer unniveausuffisantdeservicespermettantauxactivitsmtiersdelentreprisedesatisfairesesobjectifs.
Pratiquement, elle comprend lamise en place dinfrastructuresmatrielles et organisationnelles pour prvenir desrisquesdinterruptiongrcedessolutionstechniquesoulogicielles.
Cellesci peuvent comprendre des dispositifs techniques permettant un environnement de Haute Disponibilit(systmes tolrance de pannes, clusters ou virtualisation de serveurs, dispositifs quilibrage de charges,redondancedalimentationlectriqueoudquipementsderseau,onduleurs,ensemblesredondantsdedisques) oudesprocduresorganisationnellestelslesplansdecontinuitdactivit.
Elle fait partie intgrante des bonnes pratiques essentielles mettre en place dans le systme dinformation delentreprise. En effet, cellesci peuvent avoir besoin dtre conformes des rglementations particulires. Lesimpratifs professionnels se prsentent sous forme de normes de type FDA (Food and Drug Administration) pourlindustriepharmaceutique,SarbanesOxleypourlestablissementsfinanciers.
Cettegestionfournitlentrepriselesconceptsetlaterminologiespcifiquedefaoncequelespersonnelspuissentcomprendre lesobjectifsdescuritet lesrisquespotentiels,suivre lesprocdures liesaux impratifsrequis.Lesprocessusde contrle,dauditdevalidationmisenplacesontobligatoirementencorrespondanceavec lesbonnespratiquesdeITIL.
Leprocessusdegestiondelascuritcomprendaumoinsplusieursdecescomposants :
l contrles(politique,organisation,rdactionderapports),
Lagestiondesconfigurations
Lagestiondeladisponibilit
Lagestiondelascurit
- 3 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0X6MWaJOczIgLAA==-enidentnumber
8
-
l contratsetaccordsdeservices,
l implmentation(politiquesdescurit,contrlesdaccs,classificationdesrisques),
l valuation(auditsinternesetexternes,analysedesincidentsdescurit),
l changements(gestiondesdemandesdechangement).
2.LamthodePDCAappeleaussiRouedeDeming
LamthodePDCA(Plan,Do,Check,Act)issuedelISO9000estgalementappelerouedelamliorationdelaqualitou rouedeDeming ,dunomdeW.EdwardsDEMING,statisticienetphilosopheamricain,inventeurdesprincipesdelaqualitetdeWalterAndrewShewhartStatisticienamricain,inventeurdelarouedeDeming.
Leprincipeproposedematriseretdamliorerunprocessusparlutilisationduncyclecontinuenquatretapesvisantrduire lebesoindecorrections.Cettemthodedmontreaussique lesbonnespratiquesdoiventtremisesenuvre,documentes,appliquesetamlioresdansletemps.
Ellecomportelestapessuivantes :
l PLAN (planifier) Cettephasedfinit lobjectifprincipalquiconsiste identifieretprciser lesbesoinsdumatredouvrage.Elleeffectuelinventairedesmoyensncessairessaralisation,soncotetsonplanning.
l DO(raliser,dployer)Cestlapartieoprationnelledelamthode.Ellecomporte :
l lallocationderessourcesenpersonnes,tempsetbudget,
l lardactiondeladocumentation,
l laformationdupersonnelconcern,
l lagestiondurisque,
l lexcutiondestches.
l CHECK (mesurer et contrler) Cest ici que les oprations ralises prcdemment sont vrifies pourquellescorrespondentauxbesoinsexprims,danslesdlaiset lescotsprcisslapremiretape.Ellecomprend :
l Unevaluationpartirdecequiadjtimplmentdansdautresenvironnements.
l Uncontrleglobaldesrsultatsproduits.
l Unauditdelenvironnementdusystmedegestiondelascuritdusystmedinformation,soitunaudit annuel, sur la base de documents et de traces dvnements produits par les outils desupervision.
l ACT(amliorer,agir) Cettetaperecherche lesamliorationsapporterauprojetglobaldechangement.Desmesuressontvaluespartirdesbilansoudesconstatationsreleveslorsdelaphasedevrification.Desactionspossiblessontlaboresselonlescas :
l Passagelaphasedeplanification :sidenouveauxrisquesoumodificationsonttidentifis.
l Passagelaphasedexcution :silaphasedevrificationenmontrelebesoin.
l Aprslaconstatationdenonconformit,desactionscorrectivesouprventivessontdployes.
- 4 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0X6MWaJOczIgLAA==-enidentnumber
9
-
PDCA
Cettemthode,utilisedanslanouvelleversiondeITIL(V3)etdanslamiseenplacedunsystmedegestiondelascuritinformatique,permetderaliserdeschangementsprogressifsetcontinuspartirdunpointouobjectifdedpart.Celuicipeuttrellmentdusystmedinformationquiatdfini,aprsuntatdeslieux,commelepluscritiqueouleplusurgenttraiterouencoreleplusfacilemettreenuvre.
Elleest,lopposdeschangementsbrutauxouprisdanslurgence,toujoursdlicatemettreenuvreetparfoissourcededysfonctionnements.
3.LanormeISO20000
Cettenorme,dcomposeenISO20001,ISO20002,sappuiesurlesbonnespratiquesITIL(InformationTechnologyInfrastructure Library) et comprend un ensemble de bonnes pratiques en matire de gestion des servicesinformatiques.ElleprendcommeprincipelarouedeDemingouPDCA(PlanDoCheckAct)etsinscritdansunprocessusdeformalisationdenormesdequalit(ISO9000)oudescuritdessystmesdinformation(ISO27001).Ilsagitdunsystmedegestioncomplmentaireavecunearchitecture identiquecomposdunguidedebonnespratiques(ISO200002).CesystmecompltelanormeISO200001.
4.LanormeISO27001etlesystmedegestiondelascuritinformatique
LasriedesnormesISO27000estcomposedeslmentssuivants :
ISO27000
Vocabulaireetdfinitions.
ISO27001
Lanormeprincipaledesbesoinsensystmedegestiondelascuritdelinformation,plusconnuesouslaformeBS77992.Ellecorrespondauprincipedecertificationdesorganisations.
ISO27002(connuesouslaformeISO17799)
Il sagit de la description des bonnes pratiques dcrivant les principaux objectifs de contrle de lensemble de lascuritdelinformation.
ISO27003
- 5 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0X6MWaJOczIgLAA==-enidentnumber
10
-
ComprendleguidedimplmentationdtaillrelatifladoptiondelasriecompltedelanormeISO27000.
ISO27004
Contientlanormequidfinitlesprincipesdvaluationdecequiatimplmentdanslecadredelagestiondelascuritdelinformationpourmesurerlefficacitdusystmedegestiondelascuritmisenplace.
ISO27005
Contientlanormedegestiondurisquedanslecadredelascuritdelinformation.IlremplacelanormeBS77993.
Lobjectifdecettenormeconsistetablirunsystmedegestiondelascuritdelinformation,cestdiredfiniretidentifiertouslesactifs,mettreenplacetouteslesmesuresadquatespourprotgerlesdonnesdelentreprise.Elledonneuneidesurlesbonnespratiquesutiliserparuneapprochebasesurdesprocduresetdesprocessus.
Elleconstitueunbonmoyendorganiseretdestructurer lapolitiquedescurit informatiquedans lentreprise.Elleformalise :
l lamliorationcontinue,
l lesauditsinternes,
l lapprciationdesrisques,
l letraitementdesincidents,
l lesindicateurs.
- 6 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0X6MWaJOczIgLAA==-enidentnumber
11
-
Lesrisquesinformatiques
Avantdetraitercequestunrisqueinformatique,ilconvientdeprsenterquelquesdfinitions.
1.Dfinitions
Cestlapartiedunbienquicomposelepatrimoineetprsentantdelavaleurpourlentreprise.Ilpeutreprsenter:lesquipements,lesmatriels,leslogiciels,lesbrevets,lesprocessusetactivitsmtier
Lavulnrabilitestunefailledanslesactifs,lescontrlesdescurittechniqueoulesprocduresdexploitationoudadministrationutilisesdanslentreprise.Elleconsiste,engnral,enunefaiblessedanslaprotectiondusystme,sous la formedunemenacequi peut tre exploitepour intervenir sur lensembledu systmeoudun intrusquisattaqueauxactifs.
Unemenaceestquelquunouquelquechosequipeutexploiterunevulnrabilitpourobtenir,modifierouempcherlaccsunactifouencorelecompromettre.Elleexisteencorrlationavecdesvulnrabilits.Ilpeutyavoiraussiplusieursmenacespourchaquevulnrabilit.Laconnaissancedesdiffrentstypesdemenacespeutaiderdans ladterminationdeleurdangerositetdescontrlesadaptspermettantderduireleurimpactpotentiel.
Lamenaceestunesourceeffectivedincidentspouvantentranerdeseffetsindsirablesetgravessurunactifouunensembledactifs,lentrepriseparellemme.
Lesmenacespeuventtreclassespar :
l origineousource,
l type,
l motivation,action.
Ellespeuventtre :
l dlibres(vol,fraude,virus,hacking,incendie,attentat,sabotage,interception,divulgationoualtrationdedonnes),
l naturellesouenvironnementales(tremblementdeterre,ruptionvolcanique,inondation,coupuredecourant,incendie...),
l accidentelles(erreursdutilisation,omissions),
l duesdespannestechniques :mauvaisfonctionnementdunquipement,dunlogiciel.
Lerisqueestlapossibilitquunechosecritiqueapparaisse.Sonvaluationpermetdtablirdesactionspourrduireetmaintenirlamenaceunniveauraisonnableetacceptable.
Lesrisquespeuventtrequalifisselonleursorigines(externesouinternes).
l Lesrisquesexternes :
l Les attaques non cibles. Toute entreprise est concerne par lagression de virus ou dattaquesglobalessurlerseau(dnideservice).
l Les attaques cibles. Les risques physiques (vol ou destruction de matriel) ou logiques (accs
Lactif
Lesvulnrabilits
Lesmenaces
Lerisque
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE00eYGkpOczIgLAA==-enidentnumber
12
-
dintrus).
l Lesrisquesinternes :
l Ilssontplusdifficilesapprhendercarilsconcernentdesressourcesinterneslentreprise.
Ilexistedesfacteursaggravantsderisquelisaumtierdelentreprise :
l Lespostesnomades :ordinateursportables,assistantsnumriquesdepoche,tlphonesvolusportables(Smartphones).
l Desinfrastructures,servicesetapplicationsmalprotgs.
l Unplandesauvegardeoudesecoursinformatiqueinexistantounonoprationnel.
Il peut tre exprim par les consquences ou les prjudices affectant un actif : atteinte lintgrit, perte dedisponibilit,atteintelimagedemarque,pertedechiffredaffaires.
Lesimpactspeuventtrevalusselonlescritressuivants :
l financier(fraisderemiseentatouderestauration,pertesdexploitation),
l juridiqueetlgal,
l rputationetimagedelentreprise(parrapportlextrieuretaupersonnel),
l expertiseetsavoirfairereconnusdelentreprise.
2.Lesvulnrabilits
Pourledomainedelascuritinformatique,Ilexistetroisfamillesdevulnrabilits :
l manquederedondanceetderessourceauniveauquipement,
l accsauxsallesinformatiquesnonscuris,
l absenceoumauvaisestratgiedesauvegardedesdonnes.
l Manquede :
ressourceshumainesetdepersonnelsqualifis,
communications.
l Absencede :
contrlespriodiques,
documentsdeprocduresadaptslentreprise,
moyensadaptsauxrisquesencourus.
Limpactdunrisque
Vulnrabilitsliesauxdomainesphysiques
Vulnrabilitsliesauxdomainesorganisationnels
- 2 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE00eYGkpOczIgLAA==-enidentnumber
13
-
l Tropgrandecomplexitfonctionnelle.
l faillesnombreusesdanslesservicesetapplicatifsWebetlesbasesdedonnes,
l pasdemisesjourdessystmesdexploitationetdescorrectifs,
l pasdecontrlesuffisantsurleslogicielsmalveillants,
l rcurrencedesfaillesetabsencedesupervisiondesvnements,
l rseauxcomplexes,nonprotgs,
l mauvaiseutilisationdelamessagerie.
3.Lesmenaces
Lessystmesdinformationsontvulnrablesparrapportplusieursmenacessusceptiblesdeleurinfligerdiffrentstypesdedommagesetdespertessignificatives.
Limportancedesdgtspeutschelonnerdelasimplealtrationdedonnesladestructioncompltedecentresdedonnesinformatiques.
La valeur relle des pertes relatives aumanque de scurit nest pas toujours possible estimer car beaucoupdentreellesnesontjamaisdcouvertes,dautrespeuventtredlibrmentignorespourviterdemontrerunemauvaiseimagedelentreprise.
Les effets des diffrentes menaces varient considrablement suivant les consquences affectant lentreprise,certainesaffectentlaconfidentialitoulintgritdesdonnes,dautresagissentsurladisponibilitdessystmes.
Lesmenaceslespluscommunessontreprsentescidessous :
Cesontdesmenacesimportantespourlintgritdesdonnesetdessystmes.Ceserreursontsouventuneoriginehumaine. En effet, mme les programmes les plus sophistiqus ne peuvent pas tout dtecter. Nimporte quellepersonne intervenant sur le systme dinformation (utilisateur, administrateur systme, dveloppeur...) contribuedirectementouindirectementcesdangersmettantenprillascuritdessystmes.Souventlerreurconcerneunemenace(erreurdentrededonnes,erreurdeprogrammation)ouencorecreellemmelavulnrabilit.
Les fraudesouvolspeuventtrecommispar lintrieuroulextrieurde lentreprise.Parexprience, il savre, laplupartdutemps,quelamenacevientdelintrieur(desutilisateursayantdesaccsprivilgisauxsystmes).Eneffet,pardfaut,cesontlesutilisateursfamiliersdelentreprisequisontdanslameilleurepositionpourcommettredesforfaits.
Cesont lespersonnels lesplus familiarissavec les systmeset lesapplications. Ilspeuventdoncperptrerdesdommages,sabotagesCequiimpliquelancessitdegreretdecontrlerdefaonrigoureuselescomptesdesutilisateurs,surtoutdeceuxquiontdesaccsprivilgisauxsystmes.
Letermehackerouencorecrackerfaitrfrencelapersonnequisintroduitdanslessystmesdinformationsansautorisation pour, dans le pire des cas, provoquer des dgradations dans les donnes ou les applications. Sesactions peuvent seffectuer partir de lintrieur (dans le cas o il a pu obtenir un accs sur le rseau) ou delextrieur de lentreprise. Toutefois, il nest pas toujours facile de dtecter sa prsence sur les systmes ni deconnatrecequilaprovoqucommedgts.
Cest le fait de rcuprer des donnes confidentielles de lentreprise dans le cas de concurrence conomique ou
Vulnrabilitsliesauxdomainestechnologiques
Erreursetomissions
Fraudeetvol
Sabotagecauspardesemploys
LesHackers
Lespionnageindustrieloucommercial
- 3 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE00eYGkpOczIgLAA==-enidentnumber
14
-
industrielle.Cettemenacenimpliquepas,engnral,daltrationdesdonnesinternes.Parcontre,ellepeutavoirun impact importantsur lesactifssensiblesde lentreprise(donnesclients,brevets industriels). Lamenacevisespcifiquementlesordinateursouappareilsportablesparticulirementsensiblesauvolcarilspeuventcontenirdesinformationsconfidentielles.Desprcautionsdutilisationetdeprotectiondevronttreprises.
Ilsfontrfrenceauxvirus,chevauxdeTroie,bombeslogiquesetautreslogiciels indsirables.Souvent, leurpointdentresesitueauniveaudesordinateurspersonnelsmalprotgslorsdeleurconnexionsurInternet.Leurseffetspeuventstendretoutlerseaudelentrepriseencontaminantdautresmatriels.
Ilestpossibledeseprotgerdelaplupartdesrisquesliscesmenaces.Aussi,danslespremiresphasesdemiseenplacedelascuritdusystmedinformation,untatdeslieux,sousformedediagnostic,vatrencessairepourprparerunemeilleureprotectionendtectantlesvulnrabilits.
4.Lagestiondurisqueinformatique
Unrisqueestgnralementcaractrispar :
l sasourceousonorigine :employmalveillant,intrus,programmesillgaux...
l unemenace :divulgationdinformationconfidentielle,coupuredlectricit...
l laprobabilitdoccurrenceoupotentialit :dureetlieu,probabilitdoccurrence,
l la vulnrabilit ayant permis ce risque : erreur de conception, erreur humaine, manque de suivi desvnementssuspects...
l limpact,consquenceouprjudice :indisponibilitduservice,pertedemarchoudimagepourlentreprise...
l lesmesuresdescuritouprotectionsoucontremesurespoursenprotger,
l lescontrlesdaccs,lapolitiquedescurit,lasensibilisationdupersonnel...
Ladmarcheidaleconsisteen :
l choisirlamthodedvaluationadapteaucontextedelentreprise,
l dfinirlescritresdidentificationdesrisques.
Pour avoir une ide plus prcise sur la mthode utiliser, il est utile de se rfrer auxmthodologies les plusconnuesdanalyseetdvaluationderisques :
l MEHARI(MEthodologieHarmonisedAnalysedeRIsques)
l EBIOS(ExpressiondesBesoinsetIdentificationdesObjectifsdeScurit)
l OCTAVE(OperationallyCriticalThreat,Asset,andVulnerabilityvaluation)
PourMEHARI,uneversionfranaiseexisteentlchargementgratuitsur lesiteduCLUSIF(Clubde laScuritdelInformationFranais)https://www.clusif.asso.fr/fr/production/mehari/
a.Mthodedanalysedesrisques
Elleestdfinieparlesactionssuivantes :
l Identificationdesactifs (unepremirebonnepratiqueestdeconnatre la listedesmatrielset logiciels)utilissparlesservicesinformatiques.
Lesprogrammesmalveillants
- 4 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE00eYGkpOczIgLAA==-enidentnumber
15
-
l Identificationdesmenaceset leursimpactspossiblessurlaconfidentialit, ladisponibilitet lintgritdecesactifs.
l Pourchacunedesmenacespossibles,identificationdesvulnrabilits.
l Dtermination de la probabilit doccurrence desmenaces et des niveaux de vulnrabilit qui pourraientimpacterlesservices.
b.Lvaluationdurisque
Des informationsmthodologiques sur leprincipedvaluationpeuventtre trouvesdans lanorme ISO13335,chapitreLascuritdanslentrepriseLessystmesetLeplandesecoursinformatique.
Leprocessusdvaluationconsisteeffectuerlanalyseet linterprtationdurisqueetcomprendtroisactivitsdebase :
l Dterminationdelamthodologieetleprimtredvaluation.
l Collecteetanalysedesdonnes.
l Interprtationdesrsultatsdanalysederisques.
partir de ces lments, les personnels responsables de linfrastructure informs du contexte tablissent lesprotectionsmettreenplace.
tablissementdelavaleurdesactifs
Cette dmarche comprend linventaire des actifs concerns susceptibles dtre affects par les menaces (lesmatriels,leslogicielsetsupportassocis,leslicences).
l Les matriels : serveurs, stations de travail, ordinateurs personnels, imprimantes, units de stockage,lignesdecommunication,routeurs,parefeu,passerellesderseau
l Leslogiciels :systmesdexploitation,programmesapplicatifsetdediagnostic,leslogicielsdeparefeu,lesoutilslogiciels
l Les donnes : stockes en ligne ou archives, les sauvegardes, les bases de donnes, les journauxderreursetlesrapportsdesupervision,entransitsurlessupportsdecommunication,toutescellesquisontencoursdetraitementtoutinstantdanslentreprise.
l Lesprogrammesetprocdures.
l Lessupportsdinstallationdelogiciels,lessupportsmagntiques
Bassurcetteliste,cetinventairevaenregistrerunminimumdlmentspourchaqueactif.Celapeuttre :
l lepropritairedelinformation,
l sonemplacementphysiqueoulogique,
l unnumrodidentification.
Lestimationducotdunactifconsisteensavaleurintrinsque,lesimpactscourttermeetlesconsquenceslongtermedesavulnrabilit.
Identificationdesmenaces
Une menace est une entit ou un vnement qui perturbe le systme dinformation. Elle inclut les erreursvolontairesou involontaires, les fraudes, lesactionspossiblesdesemploysmcontents, les incendiesetautrescausesnaturelles,leshackers,lesprogrammesnfastesouvirus.
Unefois linventairedesactifsrequrantuneprotectioneffectu,ilestncessairedidentifierlesmenacesenlienavecchacundeuxetlesrisquesdeperte(dinformation,financire).Cequipermettrallaborationdeprotectionsadaptes.
- 5 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE00eYGkpOczIgLAA==-enidentnumber
16
-
Identificationetvaluationdesimpacts
Aprs avoir identifi les actifs et lesmenaces, limpact de lattaque est valu et desmesures appropries deprotectiondescuritdoiventtremisesenplace,souslesformessuivantes :
l identificationdesvulnrabilitsdusystme,desprotectionsmisesenplace,
l analysedesprobabilitsdoccurrencedemenacesquipourraientexploitercesvulnrabilits,
l valuationdesconsquencespossiblespourchaquemenace,
l slectiondesoutilsoumcanismesdescuritadquats.
Cettevaluationestimeledegrdepertepourlesactifs.Pluslesconsquencesdunemenacesontgraves,pluslerisquepourlesystmedinformationoulentrepriseestimportant.
Les impacts peuvent tre estims selon le contexte et les pertes possibles. Les consquences peuvent tredirectes(financires)ouindirectes(pertedeconfiance).
Analysedesvulnrabilits
Unevulnrabilitestunefaiblessedeprocduresdescurit,decontrlestechniquesouphysiques.Ilpeutsagirdemmeuneabsencedeprotectionquipeuventtreexploitsparunemenace.
Lesinterrelationsentrevulnrabilits,menacesetactifssontdterminantespourlanalysederisques.
Analysedesprotections
Uneprotectionconsisteentouteaction,procdure,outilquilimitelavulnrabilitdunsystmeparrapportunemenace.
valuationdeprobabilitdesurvenance
Cetteprobabilit,appeleaussiprobabilitdoccurrence,estuneestimationdelapossibilitdelapparitiondunemenaceoudunvnementgravepouvantmettreenprilunsystmedinformation.Danslestimation,outre lespossibilitsdincendiesoudinondation,lhistoriquedusystmeetlexpriencedespersonnelspeuventdonneruneindicationvalable.
Engnral,pluslaprobabilitdunemenaceestgrande,plussonrisqueestimportant.
Lesrsultatsdesanalysesderisqueetmiseenplacedesprotections
Linterprtationdes rsultatsdesanalysesde risquespeut amener scuriser enpriorit certains lmentsdusystmedinformation jugscritiques.Naturellement, lasuppressiondesvulnrabilitsde lensembledusystmedinformationesttoujourslobjectifessentiel.
- 6 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE00eYGkpOczIgLAA==-enidentnumber
17
-
Lapolitiquedescurit
Lapolitiquedescuritapourobjectifdedfinirlaprotectiondessystmesdinformationdelentreprise.
Ellecomprendunensembledebasesdfinissantunestratgie,desdirectives,desprocdures,descodesdeconduite,des rgles organisationnelles et techniques. Elle implique unemise enuvredune scurit adapte aux usages,conomiquementviableetconformelalgislation.
Cettepolitiqueestformalisedanslentreprisesousformedundocument.Ildoitcomporterunrecueildepratiquesquirgissent lamaniredegrer,deprotgeretde transmettre les informationscritiquesousensiblesappartenantlorganisation.LadocumentationsurlanormeISO27001etsasuiteestlouvragederfrencedaidelaralisationdecerfrentiel.
Parmilesdomainesabords,ilestpossibledetrouverlesthmessur:
l lorganisationetlesstructuresdelentrepriseimpliquesdanslagestiondelascurit,
l leslmentsfondateursduneculturedescurit,
l lemaintiendelacohrencedanslessolutionstechniquesmisesenuvre,
l lesmoyensmisenuvreetlesmthodesdepilotage.
Lobjectifcentraldelascurit informatiqueestdegarderoudesauvegarderlaprennitdelentreprise.Cestpourcela que la politique de scurit mise en uvre doit sinspirer des besoins rels qui ont t dfinis partir desvaluationsdesactifs,desmenacesetdesvulnrabilits.Elleimposeunecomplmentaritentrelesprocdures,lesoutilsmisenuvreetlespersonnesimpliques.
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0cZHkrZOczIgLAA==-enidentnumber
18
-
Stratgieetpolitiquedescurit
1.Lesprincipes
Lerleprincipaldescuritinformatiqueconsisteentroisdmarchesprincipales :
l Dfinirleprimtredelavulnrabilitlilusagedestechnologiesdelinformationetdelacommunication.
l Offrirunniveaudeprotectionadaptauxrisquesencourusparlentreprise.
l Mettreenuvreetvaliderlorganisation,lesmesures,lesoutilsetlesprocduresdescurit.
Lapremiretapeconsisteconnatreleprimtrelilascurit,cestdirelazonequicorrespondauxservices(authentification, contrles daccs physiques et logiques, disponibilit, intgrit et confidentialit) utiliss sur lerseau dentreprise (postes clients, rseaux LAN et WAN), sur les serveurs, avec les points daccs externes(serveursdistants,accsVPN).
chaquesousensembleduprimtrecorrespondunniveaudescuritdiffrentselonlesmenacespossiblesouenfonctiondelavaleurdesinformationsprotger.
Lesprincipesdebasedecettescuritimposentde :
l Dfiniretdimplmenterunestratgiedescuritadapteaucontexteouaumtierdelentreprise.
- 2 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0cZHkrZOczIgLAA==-enidentnumber
19
-
l Appliquer lesderniresmisesjouretcorrectionspour lessystmesdexploitation,leslogicielsapplicatifs,principalementpourceuxquisonttablisenprotection(antivirus).
l Utiliser les recommandations des diteurs en ce qui concerne la gestion desmots de passe des comptesprivilgis.
Pour btir une politique de scurit adapte aumtier de lentreprise, il est ncessaire de prparer les tapessuivantes :
l Identifierlesactifsprotger:
l Matriels.
l Lesdonnessensiblesdelentreprise.
l Lesservicesetapplications :applicationsmtierinternesetexternespouvantcommuniqueraveclemondeextrieur(fournisseurs,clients,sitedecommercelectronique)oueninterne.
l Dcouvrir les rseaux de communication. Cela consiste dcouvrir les interactions entre les diffrentsmatrielsetlogiciels,didentifierlesapplicationscommuniquantaveclextrieur.
2.Llaborationdudocument
Aprsavoirvalulesbesoinsglobauxenscurit,ledocumentprsentantlapolitiquepeuttreconuselonlebonsenspratique.Unefaonsimpleestdutiliseruneapprochehirarchiquepourdfinirleprimtreglobal,ensuiteledcomposerendiffrentscomposants.
Lapolitiquedescuritdoittre rigoureuse,maisdoit rester flexible.Ellepeut tenterde rpondreauxpremiresquestionssuivantes :
l Quelestleniveaudesensibilitoudimportancedesdonnes delentreprise?
l Quelssontlesobjectifsprincipauxetleprimtre ?
l Quelssystmesdinformationsontprotger ?
l Quellessontlesmesuresminimalesdfinirpourleurprotection?
l Quelles sont les personnes responsables de la scurit des donnes (accs logiques, privilgesdadministration)etlesressourcesmatriellesetlogiciellesmisesdisposition ?
l Quelssontlesdroitsetdevoirsdesutilisateursoudesadministrateurs ?
Lobjectif de ce document est de considrer spcifiquement les vulnrabilits dordre technique et les solutionssimplesetefficacesmettreenplace.Laspecthumaininterviendraobligatoirementcarlesrlesdeladministrateuretdespersonnelsdexploitationysonttraits.
3.Lesoutils
Toutprojetdemiseenplacedelapolitiquedescuritdanslentrepriserequiertunedocumentationadaptesousformedeguidesdebonnespratiques,deprocdures.
Lesdocumentsdesnormespeuventtreacquis,lesguidesetprocduresdoiventtrerdigesparlespersonnesenchargedelascuritdessystmes.
Les procdures consistent dcrire les tapes dtailles qui doivent tre suivies par les utilisateurs, lesresponsablessystmesettouteslespersonnesquidoiventaccomplirunetcheparticulire.
Chaquedocumentdoittrerdigetadaptselonlepersonnelconcernetsafonctiondanslentreprise.
Lobjectif final des documents est dassister les utilisateurs, les responsables systmes et toutes les personnes
- 3 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0cZHkrZOczIgLAA==-enidentnumber
20
-
impliquesdanslagestiondessystmesdinformationdansloptiquedelapolitiquedescuritdfinie.
- 4 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0cZHkrZOczIgLAA==-enidentnumber
21
-
Lesprincipauxaxesdelastratgiedescurisation
1.Lediagnosticetlvaluationdesbesoins
Cettetapepralableconsistedterminer :
l Lesressourcesetlesapplicationsprotgeretlepourquoi.
l Leniveaudeprotection requis ou celui que lentreprise est prte mettre en uvrepour chaquegroupedlments.
l Letypederisqueetdemenacedontpourraitfairelobjetchaquesousensemble.
l Lemodedeprotectionleplusefficaceselonlecontextedelentrepriseetdesonmtier.
Lamultiplicitdespointsdevulnrabilitdanslaspectscuritdusystmedinformationdcritunechanedepointscritiquesdontlarsistanceseragalecelledumaillonleplusfaible.
Pourcela,concevoirunepolitiquedescurisationefficaceetcohrentedemandedeconsidrerlespointsprincipauxsuivants :
l Lespointsdentredelentrepriseauniveausystmedinformation :
l Laccsphysique(btiment,locaux)
l Lesaccslogiques(serveurs,postesdetravail)
l Lesconnexionsaurseau :accsInternet,accsdistant
l Lespersonnels
l Les failles de scurit : systmes dexploitation non mis jour, applications obsoltes, virus et autresprogrammesindsirables.
2.Lesplansoprationnelsdescurit
Ils se composent de plans de continuit dactivit, de plans de reprise dactivit, plans de continuit mtierncessairespourlasurviedelentreprisepouvanttreconfronteundsastrepotentiel.
Lesobjectifs principauxconsistenten :
l Uneanalyseprcisedesrisquessusceptiblesdesurvenir
l Unespcificationdessolutionsetdesmesuresdescuritmettreenplace
l Uneplanificationdelensembledesoprationsncessaires(sinspirerduPDCA)
Ilspeuventtreralisspartirdesprincipessuivants:
l Classificationdesinformationsetdesressourcesdusystmedinformation
l Diagnosticdeltatdeslieuxentermedescurit
l Identificationetvaluationdesrisquesencourus
l Dterminationdesbesoinsdamlioration
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0R+BvvZOczIgLAA==-enidentnumber
22
-
l tablissementdeplansdactionetdesolutionsmettreenuvre
3.Laccsauxsystmesetauxdonnes
Laprotectiondelaccsausystmeetauxdonnesestltape,laplusfacileapprhenderdanslastratgieglobaledescurisation.Celleciestmultidimensionnelleettraitedeslmentsphysiquesetlogiques.
a.Laprotectionphysique
Elleconsisteanticiperleseffetsdemenacesfortuitesoudlibres.Ilestlogiquedenvisageruneprotectionlieaux sinistres physiques divers pouvant tre provoqus par un incendie, un dgt des eaux ou encore untremblementdeterrequivontprovoquer,parexemple :
l descoupuresdlectricit,
l lescoupuresdesliaisonsdetlcommunications,
l ladestructiondematriels,desupportsdelogiciels,dedocuments,
Elle signifie que les quipements sur lesquels sont hberges les applications du systme dinformation delentreprisesontphysiquementprotgspar :
l desonduleurspourlaprotectionlectrique,
l dessystmesdedtectionpourlaprotectionantiincendie,antiinondation.
Laccs physique aux quipements devra galement faire lobjetdunepolitiquede contrledesaccs clairementdfinieselonlesbesoinsetlesniveauxdeconfidentialitautorisschaqueutilisateurdelentrepriseafindvitertoutealtrationdelinformation,devoldematrieloudesupportdedonnes.
Cequisignifiequelasauvegardedesdonnesdoitfairelobjetduneattentionetdunestratgieparticulire.
b.Laprotectionlogique
Elle a pour objectif dviter toute intrusion sur le systme dinformation de lentreprise : celleci passeessentiellement par lamise en place de dispositifs de protection de type parefeu, de logiciels pour contrer leslogicielsmalveillants,decontrlesdidentificationetdauthentification.
Undispositifsupplmentaireconsisteraitmettreenplaceunesolutiondechiffrementdesdonnescirculantsurlerseaudelentreprise.
c.Identificationettraabilit
Lidentificationetlatraabilitdesconnexionsetdesincidentsdoiventtremisesenplaceautraversdelacrationdun journal rpertoriant les vnements suspects. Les donnes enregistres pourront aider au traage desanomaliesdanslobjectifdinterveniraprsladcouvertedintrusionsdanslexploitationdusystme(tentativesnonpermisesdeconnexion).
4.Lagarantiedeladisponibilitdusystmedinformation
Cellecipasseparladisponibilitdaccsaurseaudelentreprise,sesapplicationsetauxdonnes.
Cequiimpliquequechacundesactifsdusystmedinformationdoittreindividuellementprotgpourrespecterladisponibilitdessystmes,durseaudentreprise,desapplicationsetdesdonnes.
Deplus,unplandesauvegardedesdonnesdoittreconuetmisenuvredemanirerigoureuse.
Ladisponibilitdesdonnes:stockage,sauvegardeetrcupration,archivage
Plusieurstechnologiesdestockagededonnespermettentaujourdhuidesadapterauxbesoinsderseaurpartienarchitectureclientserveur,reliantdesserveurshtrognes.LestockageenrseauouarchitectureSAN(StorageArea
- 2 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0R+BvvZOczIgLAA==-enidentnumber
23
-
Network)est fondsurunrseauentirementddi : lespriphriquespeuventtrephysiquementloigns,maisrelisauxserveursetadministrspartirdunpointcentralis.
Ladisponibilitdessystmes :redondanceethautedisponibilit
Lesserveursenclusteretlavirtualisationdesserveurssontlessolutionsprsentessurlemarchdesconstructeursdematrielinformatiqueetditeursdelogiciels.
Ladisponibilitdesrseaux :redondancedesquipementsderseau
Cette disponibilit est globalement assure par la mise en uvre dquipements redondants (curs de rseau,commutateurs,liaisonsphysiquesdoubles).
5.Lasensibilisationdesutilisateurslascurit
La cl de vote dune politique de scurisation efficace reste nanmoins la dimension humaine de lentreprise. Lamconnaissanceounonapplicationdesprocdures,leserreursoulamalveillancepeuventtreellesseulescausededysfonctionnementoudevulnrabilits.
Limplicationdechaqueutilisateurdansladmarchedesensibilisationestprimordialedouneformationadaptelafonctiondechaqueutilisateur(ex :lutilisateurdtenteurdinformationsstratgiques).
Demme,lesutilisateursnomadesseservantdordinateursportablessontqualifisdesensibles.Laresponsabilitdechacundeuxdoittreclairementdcrite.
La dmarche de sensibilisation peut tre concrtise par des voies plus ou moins formelles(runion/prsentations//supportcrit)etsurtoutdoittrerptitive.
Unecharteinformatiquedebonusagedeloutilinformatiquedoittreprvueetdisponiblepourchaqueutilisateurquidoit connatre les politiques de scurit lies linformatique, les recommandations et surtout les sanctions quipeuventtreappliques.
- 3 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0R+BvvZOczIgLAA==-enidentnumber
24
-
Lascuritetlaspectlgal
Laresponsabilitdelentreprisepeuttreengagedufaitdunprjudicecausuntiersparlactiondunepersonne(intrusousalari)suiteunemauvaiseutilisationdessystmesetdesaccsInternet.
Lesentreprisessontassujettiesdescontraintesadministrativesetlgales.
Undirigeantnepeutignorerlesrisquesquilpeutfairecourirsonentreprisesilnemetpasenuvrelesmesuresncessairespourprotgersonsystmedinformation.
Commeilseratenupourresponsabledespertesoudesaltrationsdedonnes,iladoncpourfonction,danslecadredelascuritinformatiqueetdelaloisurlconomienumriquedinformersonpersonneldesmenacesrellesetdeprendrelesprcautionsncessaires enpremierlieu,lesadministrateurssystmes.Ildlguealorssaresponsabilitauniveaudecesadministrateursquipourraient,leurtour,treconcerns.
Voicilesarticlesdeloimontrantlesresponsabilitsduchefdentreprise(civilesetpnales) :
l Larticle1384alina5ducodecivil :surlaresponsabilitciviledelemployeurencequiconcernelactivitdesespersonnels.
l LarticleL.1212ducodepnal :surlaresponsabilitciviledelemployeurdufaitdesespersonnelsdslorsquilscommettentdesinfractionsimpliquantlentreprise.
l Larticle34delaloidu6janvier1978 :sursaresponsabilitdeprotgerlintgritet laconfidentialitdesdonnescaractrepersonnel.
l La loi de scurit financiredu1er aot2003 (LSF) enmatirede scurit des systmesdinformationdesentreprises.
Aprsavoirpos lesbasesquipermettentdemieuxcomprendre lesprincipesde lascurit informatiquedansuneentreprise,leschapitressuivantsvontdvelopperlessolutionsmettreenplacepourtreconformeaveclintgrit,laconfidentialit,ladisponibilitdesdonneseninsistantsurlesbonnespratiquesmettreenplace.
LessujetstraitsserontplusenadquationaveclesystmedexploitationWindows,soitaumomentdelardactiondudocument,surlesversionsconnuesjusquWindows2003.Demme,leslogicielsetoutilsdontilseraquestion,vontfonctionnerprioritairementaveccesystmedexploitation.
Toutefois,actuellementlaplupartdesenvironnementsdesystmesdinformationetdesenvironnementsinformatiquessontmultiplatesformes.IlexisteraforcmentdesliensavecdessystmesdutypeOpenSource.LesoutilsutilisablesneserontpasforcmentissusdelenvironnementWindows.
Risquesetresponsabilitsdelentreprise
Lescontrainteslgales
Prsentationdeschapitressuivants
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0K5L6ypOczIgLAA==-enidentnumber
25
-
Prrequis
Pourcechapitre,lelecteurestsupposconnatreleprincipedegestiondesrseauxetdelamodleOSI(OpenSystemInterconnect),lesprotocolesrseauxlespluscourammentutiliss.
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0D4jA05OczIgLAA==-enidentnumber
26
-
Gnralitssurlascuritdanslesrseaux
Leszonesderisquesetdeconfiance
Ceszonessontdfiniesgrcedesmcanismesrseaubasssurlematriel(parefeu)etdespolitiquesetcontrlespermettentdeconstruirelesbriquesdebasedeprotectioncontrelesmenaces.
Unevaluationpermetdedterminerquelsmcanismes(authentification,cryptage,autorisation)estncessairepourpermettredautresentitslintrieurdelazoneconcernedesinterconnecterdefaonscurise.
LemodleOSIprsentantlesprotocolesutilissdanslesrseaux
Cemodleen7couchessertdebaselacomprhensiondelarchitecturedesrseaux.
OSICommunications
1.Introductionlatechnologiedesparefeu
Ilconsisteprotgerlerseaudelentreprisedesintrusionsextrieures.Cesdispositifsfiltrentlestrames(contenantdesdonnes)desdiffrentescouchesdumodleOSI(OpenSystemInterconnect)afindecontrlerleurfluxetdelesbloquerencasdattaques,cellescipouvantprendreplusieursformes.
Lefiltrageralisparleparefeuconstituelepremierrempartdelaprotectiondusystmedinformation.
Ilspeuventtrecompossdepriphriquescomportantdesfiltresintgrsdontlafonctionprincipaleestdelimiteretde contrler le flux de trafic entre les parties de rseaux. Ils permettent laccs de lentreprise aux ressources
Rleprincipal
- 1 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
27
-
externesencontrlantlascuritdestransferts.
Unparefeuest install leplussouventenpriphriedurseau localde lentreprisecequi luipermetdecontrlerlaccs aux ressources externes depuis lintrieur mais galement entre des entits loigns de lentreprise maisreliesparunrseaudetypeextranet.
Leurutilisationpermetdecontrlerlaconnectivitdescommunications,uneentreprisepeutempcherdesaccsnonautorissauxressourcesetsystmespoursesenvironnementslesplussensibles.
Ilexistediffrentstypesdeparefeuselonleurtypologieouleurfonction.Ilspeuventoprersurchacundesniveaux3(IP),niveau4(TCP,UDP)ouniveau7(FTP,HTTP)dumodleOSI.Danslecasdesafonctionderouteur,ilanalysechaquepaquetdedonnes(adressesIP,numrosdeportTCPouUDP).
LesparefeudebaseoprentsurunfaiblenombredecouchesdelamodleOSItandisquelesplussophistiqusencouvrentunplusgrandnombreetsontainsiplusefficaces.
Indpendammentouencomplmentdunearchitectureutilisantcesdispositifs,ilexistedesservicesadditionnelstels :la traductiondadresserseau(NetworkAddressTranslationouNAT), leprotocoleDHCP(DynamicHostConfigurationProtocol)etlesrseauxprivsvirtuels(VirtualPrivateNetworksouVPN).
Lesparefeupeuventaussiagirentantquepasserellesderseauxprivsvirtuels.
Cesdispositifspermettentlefiltragedelaccsaurseauinterne,afindempcherlaccsnonautorislensembledesserveursdurseaudelentreprise.
Ilsagitdecontrlerlesfluxentrantsurlerseau.Plusieurstypesdefiltragesontproposs :
l Lefiltrageapplicatifpourlecontrledesapplicationsenfonctionduportutilis.
l Lefiltrageutilisateur :pourlecontrledaccsenfonctiondesutilisateursidentifis.
l Lefiltrageadaptatif :permettantlmissiondunjournaldestransmissionsdepaquetsIP.
Lesmodesdefiltrage lespluscourantsconsistent interdirepardfauttouteconnexionentrante lexceptiondecelledestineauserveurWeb,outouteconnexionprovenantduneadresseIPpartirde laquelledesactionsdescanningsurlerseaudelentrepriseauronttmisesenvidence.
Lesparefeusontimportantsdanslesensoilspeuventfournirunpointdeblocageuniquedanslequellascuritoula journalisationde transfertspeuvent tre imposes.Cesdispositifs fournissentdes informationspertinentesauxadministrateurssurletypedetraficquitraversecetquipement.
Laplupartdesparefeu rcents sont capablesde fonctionneravecdesoutilsde faon superviser lesdtectionsdintrusion,scanner lecontenude lamessagerieoudespagesHTML.Seuls, ilsnepeuvent raliser laprotectioncomplte de la connexion Internet. Par contre, ils sont considrs comme la premire ligne de dfense et laprincipaledanslecadredelaprotectiondurseauduneentreprise.Nanmoins,lesserveursdurseauinterne,lespostesdetravailetlesautressystmesdoiventtreimprativementmisjouraveclesdernierscorrectifsdescuritetutiliserunlogicieldantivirus.
- 2 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
28
-
Parefeudepasserelledapplicationdeproxy
Son principe consiste modifier ladresse IP source ou destination, dans lenttedun datagramme IP lorsque lepaquettransitedansleparefeuenfonctiondeladressesourceoudestinationetduportsourceoudestination.
Lors de cette opration, le parefeu garde en mmoire linformation lui permettant dappliquer la transformationinversesurlepaquetderetour.Latraductiondadressepermetdemasquerleplandadressageinternelentrepriseparuneouplusieursadresses routablessur le rseauexterneousur Internet.Cette technologiepermetdoncdecacherleschmadadressagerseauprsentdansuneentreprisederrireunenvironnementdeparefeu.
Cettetraductionestraliseselon3modes :
2.Lesfonctionnalitsdeparefeu
Analysedutraficauniveaupaquet,circuitet/ouapplication :
l vrificationdutraficdanssoncontexte,
l limitationdesrisquesdaccsnonautoriss,
l analyseetmodificationducontenupartirdefiltresapplicatifs.
Dtectiondintrusion
Protectiondesserveursaccessiblesdepuislerseauexterne(Internet)
Cetypedeparefeupermetdaccrotrelascuritdesfluxpardiversprocdsdefiltrages :
Auniveaupaquet
l filtresstatiquesetdynamiques,
l dtectiondintrusion,
l filtragepartirdelanalysedesdonnes,
l possibilitdesuppressiondespaquets,
l protocolePPTPautoris.
Auniveaucircuit(protocole)
l filtragebassurlessessions,
Latranslationdadresses(NetworkAddressTranslationouNAT)
Traduction Mappage Utilisation
NATStatique Permanent1pour1 CorrespondancepermanenteduneadressepubliqueversuneadresseIPpriveinterneroutableassocie
NATDynamique
Temporaire1pour1 Ensembledadressespubliquesassignesdynamiquementdesclientsinternespendantletempsduneconnexion
PAT TemporaireNpour1 Uneadressepubliqueestpartageentreplusieursclientsinternes
Lesfonctionnalitsdebase
Lesfonctionnalitsdeparefeumulticouches
- 3 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
29
-
l contrleetanalysedelaconnexionduclientversleserveur,
l associationdeconnexion.
Auniveauapplication
l inspectiondesdonnes,
l analyseducontenu(actiondeblocage/modification/redirection),
l filtragepourlesprotocolesHTTP(HyperTextTransferProtocol),SMTP(SimpleMailTransferProtocol)
3.Lesdiffrentstypesdeparefeu
Lesparefeupersonnelsoulesappliancesdeparefeupersonnel
Le module ou appliance de parefeu personnel est conu pour protger de petits rseaux informatiques. Ilspermettent,enoutre,descuriserlespostesdetravailutilissdistanceviaInternetetunFAI(FournisseurdaccsInternet).Lesparefeupersonnels,saufcasparticuliers,nepeuventprotgerquunseulsystmeoupostedetravail,uniquementlamachinesurlequelilestinstall.
Cesappliancesfonctionnentavecunmatrielspcialisetpeuventincorporerdautrestypesdecomposantsrseau,comme :
l unconcentrateurouhub,
l uncommutateurouswitch,
l unserveurDHCP(DynamicHostConfigurationProtocol),
l unagentSNMP(SimpleNetworkManagementProtocol).
Leparefeuintgrdansunserveurouausystmedexploitation
Des logicielsdeparefeu sontdisponiblesdans certains systmesdexploitation, commeLinuxou commelmentsadditionnels.Ilspeuventtreutilisspourscuriserleserveursurlequelilestimplant.Sonprincipalinconvnientestquildoittreadministrsparment.
Les platesformes de parefeu doivent tre implmentes sur des machines contenant un systme dexploitationprvuuniquementpourdesapplicationsdescurit.Leserveurutilisnedoithbergeraucuneautreapplicationoufonctionnalitnonutilesausystmedexploitation,ildoitdonctreddilafonctiondeparefeuuniquement.
Lesprcautionsetbonnespratiquesdeconfigurationduserveurddi
La configuration du parefeu doit tre ralise selon le systme dexploitation. Dautres prcautions doivent treprises :
l Tous les protocoles de rseau non utiliss doivent tre retirs. En effet, ils peuvent tre utiliss pourcontournerouendommagerlenvironnementdeparefeu.
l Tous les services rseaux et applicatifs doivent tre supprims ou dsactivs. En effet, les applicationsinutilises deviennent souvent des cibles potentielles dattaque. En ralit, beaucoup dadministrateursoublientdimplmenterdescontrlesdaccspourrestreindrelaccsauparefeu.Desapplicationsouservicesrseaunonutiliss,sontexcutsavecleursconfigurationspardfaut,moinsscuriss.
l Touslescomptesutilisateursousystmesnonutilissdoiventtresupprimsoudsactivs.
l Touslescorrectifs(patchesethotfixes)doiventtreinstallsavantlinstallationdescomposantsduparefeuetavoirt testsauparavant surunemachinede testpourtre srde leurefficacit.Naturellement, lesmisesjourdecorrectifsdusystmedoiventtreimprativementeffectuespriodiquementpourgarantirlebontatdescurit.
l Touteslesconnexionsphysiquesconnectesauxinterfacesrseauetnonutilisesdoiventtredsactives
- 4 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
30
-
oudbranches.
l Lamachinehbergeant leparefeudoit tre sauvegarde comme tout autre serveur important, endehorstoutefoisdelarchitecturedesauvegardeclassique,cestdireendehorsdurseauinternelentreprise.Leprincipe consiste utiliser lunit de sauvegarde locale. Les supports (cartouches ou bandes) sontnaturellementstocksdansunlieuscuris.
4.Choixdundispositifdeparefeupourlentreprise
Larflexionpralableauchoixdunesolutiondeprotectiondurseauinternelaidedeparefeuseffectuepartirdeladfinitiondelapolitiquedescuritdelentreprise.
Laslectionpeutprendreencompteleslmentssuivants :
l nature,nombredesapplicationsutilisesparlentreprise,
l typesdefiltre,niveaudefiltrage,
l facilitsdenregistrementdesvnementsetactionspourauditsfuturs,
l outilsetcommoditsdadministration,
l simplicitdeconfigurationetdemiseenuvre,
l capacitsupporteruntunnelchiffr,ralisationdunVPN(VirtualPrivateNetwork),
l disponibilitdoutilsdesupervision,dalarmes,dauditsactifs,
l possibilitdquilibragedechargesetdegestiondelabandepassantederseau,
l prsenceounondanslentreprisedecomptencesenadministrationdesystmedexploitationduparefeu.
Recommandations
l Unparefeudoittreprotgetscuriscontrelesaccsnonautoriss.
l Touslestraficsentrantetsortantdoiventpasserobligatoirementparleparefeu.
l Letraficestdfiniparlapolitiquedescurit,lesrglescohrentes.
l Il na pas la fonction dun antivirus, il vient en complment dans le mode de protection du systmedinformation.
5.Lapolitiquedeconfigurationdeparefeu
Elleprcisecommentleparefeudoitprendreencompte letrafic liauxapplications(web,email,Telnet).Elledoitdcrire comment le parefeu doit tre configur, gr etmis jour. Elle doit tre bien documente, spcifique etsrieusecarvitalepourlaprotectiondesconnexionsexterneslentreprise.
Avantlamiseenplacedunepolitiquedeparefeu,desanalysesderisquesdoiventtreralisessurlesapplicationsquiutilisentunaccsaurseauexterne.Lesrsultatsdecetteanalysevontfournirunelistedesapplicationsetlafaon dont elles seront scurises. Il est ncessaire de connatre prcdemment les vulnrabilits associes chacunedellespourvalueretdfinirlapolitiquedeprotectionvialesparefeu.Lestapesncessairessontdcritescidessous :
l identificationdesapplicationsrseauetdesvulnrabilitsassocieschaqueapplication,
l crationdunematricedetraficdesapplicationsmontrantlesmthodesdeprotectionutilise,
- 5 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
31
-
l crationdunensemblederglesbassurunematricedesapplicationsutilisantlerseau.
Unepolitiquedeparefeufaitpartiedelensembledelamiseenplacedelascuritdelinformation,danslesensoilsagitdeladescriptiondelafaondontlascuritseraimplmenteauniveaudesparefeuetdispositifsassocis.
Lesparefeupeuventtrecomplexesgreretlesincidentsimpliquantlascuritpeuventarriverquotidiennement.Sansunebonnepolitiquedimplmentationetdadministration,lesparefeupeuventdevenireuxmmesunpointdefaiblesseoudevulnrabilitdanslascuritmiseenplace.
Ilestncessairedauditeretdevrifieraumoinsunefoisoupluspartrimestrelesrglesdeparefeu.
Pourcela,ilexistedeuxmthodes.Lapremireetlaplussimpleconsisteimprimerlaconfigurationdechaqueparefeuoprationneletlacompareraveclaversiondfinielorigine,entenantcomptedesajustementsventuels.Lesmodifications ralises au fur et mesure doivent tre traces, dans la documentation lie au parefeu, afin deconnatrelesraisonsdeschangements.
Laseconde,plusrigoureuse,impliquedetesterlaconfigurationenplace.Danscecas,ladministrateurutiliselesoutils(dudomainepublicdisponiblessurInternet)pourvaluerlaconfigurationdechaqueparefeuenralisantdestestsdeconnexionnonautorissoudintrusion.Lobjectifprincipalestdesassurerquelesparefeuetautresdispositifsdescuritlisaurseausontconfigursexactementselonlapolitiquedescuritdfinieaudpartetconformesauxprcautionsrequises.
Debonnespratiquesconseillentquelespolitiquesdescuritdusystmedinformationsoientrevuesetmisesjourpriodiquement,aumoinsdeuxfoisparan,lorsdenouvellesimplmentationoudeschangementsdinfrastructureouencorelorsdincidentssrieuxayantimpliqulesystmedinformation.Lesadministrateursderseauoudescuritgrantlesparefeudoiventtreinformsdeschangementsaffectantlesapplicationsquiutilisentcesdispositifs(parexemple :leslogicielsdesauvegarde).
6.Stratgiedimplmentationdeparefeu
Lors de la mise en place de parefeu et de la politique associe, les entreprises doivent dfinir les mthodesdimplmentation,entenantcomptedespointssuivants :
Lesparefeubasssuruneappliancenesouffrentpastropdevulnrabilitsdescuritquandilssontassocisauxsystmesdexploitation.Cesparefeuonttendancetreplusrapidesetefficacesqueceuxquisont intgrsauxsystmesdexploitationcourants.
Leplusgros inconvnientperu lorsde lamiseenuvredeparefeuassocisausystmedexploitation serait laprsencepotentielledevulnrabilitsquipourraitaffaiblirlaprotectiongnreparleparefeu.
tantdonnlerlecritiquejouparcesdispositifs,lamaniredelesgreretdelessuperviseresttrsimportante.
a.Lesrglesdansunparefeu
Lesparefeuutilisentunensemblede rglespour implmenter les contrlesde scurit.Cellesci comportentauminimumleslmentssuivants :
l Ladressesourcedupaquet(ladressedeniveau3dumodleOSIdelamachineoudupriphriquerseaudorigine),ex :192.168.1.1.
l Ladressededestinationdupaquet(ladressedeniveau3delamachineoudupriphriquerseaucible),ex :192.168.1.2.
l Le type de trafic, protocole de rseau spcifique utilis pour la communication entre les systmes oupriphriquessourceetdestination,ex :EthernetauNiveau2etIPauniveau3.
l Desparamtresauniveau4,ex :TCP:80portdedestinationdunserveurWeboudesinformationssurlesinterfacesderouteurparlesquellestransitentlespaquets.
l Uneactionquivaagirsurlespaquets :Deny(Empche),Permit(Autorise),Drop(Elimine).
Lagestiondes rglesdeparefeupeuttreconsolideaprsavoir ralis lamatricedesapplicationsutilisant lerseau.Lesrglesdoiventtresimplesetaussispcifiquesquepossibleencorrespondanceavecletraficrseau
Letestdelapolitiquedescuritdfiniedansunparefeu
Revuepriodiquedescuritdesparefeu
- 6 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
32
-
quellescontrlent.
chaque reconfiguration ou modification, il est ncessaire de rcuprer le paramtrage complet, sous formelectroniqueoupapier.
Pourdesraisonsdescurit,lameilleuremthodeconsistebloquerdabordtouslesfluxentrantspourensuitelesautoriser un un de faon slective selon les types de trafic prvus. Lautre qui consiste autoriser toutes lesconnexionsetletraficpardfautpourensuitebloquerselonlestypesdeprotocolenestpasrecommandeetestmmeproscrire.
Lensemblederglesdunparefeudoitobligatoirementbloquerlestypessuivants :
l Traficentrantdontlorigineestunsystmesourcenonauthentifiaveccommeadressededestinationcelleduparefeuluimme.Cetypedepaquetreprsenteuneattaqueouuntestendirectionduparefeu.Ilyauneexceptioncettergle.Ilconcernelecasoleparefeuaccepteraitletransfertdunmailentrantsurleport25.Danscetteventualit,ildoitpermettrelesconnexionsentrantesversluimme,seulementsurceport.
l Traficentrantavecuneadressesourceindiquantquelepaquetapouroriginelerseauprotgderrireleparefeu. Ce type de paquet reprsente vraisemblablement un type de tentative dusurpation (spoofingattempt).
l TraficentrantcontenantdespaquetsICMP(InternetControlMessageProtocol),correspondantlacommandeping.partirdumomentoICMPpeuttreutilispouraccderdesrseauxderrirecertainstypesdeparefeu,ceprotocolenedoitpastransiterpartirdInternetoudenimportequelrseauexternenonapprouv.
l Traficentrantetsortantpartirduneadressesourcequiappartientuneplagedadressesrservesdesrseauxprivs(RFC1918).LaRFC1918rservelesplagesdadressessuivantespourrseauxprivs :
l 10.0.0.010.255.255.255(ClasseA,ou./8.ennotationCIDR)
l 172.16.0.0172.31.255.255(ClasseB,ou./12.ennotationCIDR)
l 192.168.0.0192.168.255.255(ClasseC,ou./16ennotationCIDR)
l Traficentrantpourquiloriginedeladressefaitpartiedecesplagesdadressesprives.CetraficindiqueledbutduneattaquedetypeDnideService.Toutefois,cetypeparticulierdetraficrseaudoitaussitrebloquavecdesensemblesderglessaufsileparefeupossdeunefonctionnalitdeprotection.
l Trafic entrant venant dune source non identifie contenant du trafic SNMP (Simple Network ManagementProtocol).Laprsencedecespaquetspeutindiquerquunintrusestentraindetester(scanner)lerseau.Ilyaengnralpeuderaisonsquuneentreprisepermettecetypedetrafic.Ildoittrealorsbloqu.
l Traficentrantcontenantune informationsur IPSourceRouting. Il sagitdunmcanismequipermetunsystme de spcifier les routes prises par ce paquet sur le rseau. Au point de vue scurit, lesourceroutingpeutpermettreunpiratedaccderunrseauprivenutilisantunemachineconnectelafoisInternetetaurseauinternecommepasserelle.
l Le trafic rseau entrant ou sortant contenant une adresse source ou destination quivalent 127.0.0.1(localhost).Cetypedetraficcorrespondhabituellementuneattaquesurleparefeuluimme.
l Le trafic rseau entrant ou sortant contenant une adresse source ou destination quivalent 0.0.0.0.Certainssystmesdexploitationinterprtentcetteadressecommeuneadresselocale(localhost)oucommeuneadressedediffusion.Cespaquetspeuventtreutilissencasdattaquesurlerseau.
l Le trafic rseau entrant ou sortant contenant des adresses de diffusion. Ce cas peut tre une sourcedattaquedontlobjectifestdinonderlerseauoulesousrseauavecdestrames.
Certainslogicielsdesauvegardepermettentlaccsdeclientssitusderrireunparefeu.Ilestncessairedeserfrerladocumentation.
Lesrglesstrictes
- 7 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
33
-
Letableaucidessusmontreunexemplederglesdefiltragepourunrseaudadresse172.16.0.0.
Leparefeureoitchaquepaquetetexaminesesadressesetportssourceetdestination,dterminequelprotocoleestutilis.partirdecepoint,leparefeucomparecequilareuparrapportauxrglesdfinieslesunesaprslesautresselonlaliste.chaquefoisquunerglequiautoriseouinterditlepaquetesttrouve,unedecesactionsestralise :
l Acceptation(Accept ouAllow) : leparefeutransfre lepaquetde lentreverslasortie,unejournalisationdvnementspeutavoirlieuounon.
l Refus (Deny) : leparefeulimine lepaquet sans le transfrer.Une fois lepaquet supprim,unmessagederreur est retourn vers le systme source. Une journalisation de lerreur peut avoir lieu ou non,dpendantdelaconfigurationmiseenplace.
l Rejet(Discard) :leparefeuliminelepaquetsansletransfrer,aucunmessagederreurnestretournverslesystmesource.Cetteactionestutilisepourimplmenterleprincipedutrounoirauniveauduparefeuetconsistenepasrvlersaprsenceausystmesource.Demme,unejournalisationdelactionpeutavoirlieuounondpendantdelaconfigurationmiseenplace.
Exemplederglesdefiltragedepaquets
AdresseSource
PortSource
AdresseDestination
Portdedestination
Action Description
1 Any Any 172.16.0.0 >1023 Allow RglequipermetleretourdeconnexionsTCPverslesousrseauinterne
2 192.168.1.1 Any Any Any Deny Empcheleparefeuluimmedtreaccdparunesourceinterneouexterne
3 Any Any 172.16.0.1 Any Deny Empchelesutilisateursexternesaurseaudaccderdirectementlesystmedeparefeu
4 172.16.0.0 Any Any Any Allow Lesutilisateursinternespeuventaccderauxserveursexternes
5 Any Any 172.16.0.2 SMTP Allow Permetauxutilisateursexternesdenvoyerdesmessagesverslintrieur
6 Any Any 172.16.0.3 HTTP Allow PermetauxutilisateursexternesdaccderauserveurWeb
7 Any Any Any Any Deny Toutcequinestpaspermisestexplicitementbloqu(protectiondebase)
- 8 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
34
-
Exemplederglesdeparefeuliuneapplicationdesauvegarde
Groupedergleslieslasauvegarde :Sauvegardes
Rgle6 :
l NcessairelinstallationdesagentsdisquessurlaDMZExtranet
l Portsouverts:
445(microsoftds)
8,15,17,13(icmprequests)
Rgle7 :
l CommunicationduserveurdesauvegardeverslesagentsdisquesdelaDMZExtranet
l Portsouverts: 5555(z_DataProtector_Server_To_DiskAgent)
Rgle8 :
l Communicationdesagentsdisques delaDMZExtranetavecleserveurdesauvegarde
l Portsouverts: 5555(z_DataProtector_Server_To_DiskAgent)
Rgle9 :
l CommunicationentrelesagentsdisquesdelaDMZExtranetaveclesagentsmdiadelazoneInterne
l Portsouverts: 1800018009(z_DataProtetor_DiskAgent_To_MediaAgent)
Rgle10 :
l NcessairelinstallationdesagentsdisquessurlaDMZInternet
l Portsouverts:
445(microsoftds)
8,15,17,13(icmprequests)
- 9 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
35
-
Rgle11 :
l CommunicationduserveurdesauvegardeverslesagentsdisquesdelaDMZInternet
l Portsouverts:5555(z_DataProtector_Server_To_DiskAgent)
Rgle12 :
l CommunicationdesagentsdisquesdelaDMZInternetavecleserveurdesauvegarde
l Portsouverts:5555(z_DataProtector_Server_To_DiskAgent)
Rgle13 :
l CommunicationentrelesagentsdisquesdelaDMZInternetaveclesagentsmdiadelazoneInterne
l Portsouverts: 1800018009(z_DataProtetor_DiskAgent_To_MediaAgent)
b.Guidedebonnespratiquesdemiseenplacedenvironnementsdeparefeu
Ilya4principessuivre :
l Fairesimple,pluslasolutionmiseenplaceestsimple,mieuxleparefeuserascurisetseraadministrablefacilement.
l Utiliserdesmatrielslesmieuxadaptslenvironnementetleurfonctionprincipale.Danslaplupartdescas, les parefeu hybrides ou les appliances sont les meilleurs choix parce quils sont destins cettefonction.
l Crerunedfenseenprofondeur,surplusieurscouchesaulieuduneseule.Sincessaire,utiliserplusieursparefeu,desrouteursquipeuventeffectuerdescontrlesdaccsoudefiltrage,plusieursserveursquipsdeparefeu,selonlesbesoinsdeprotection.
l Bienpenserauxmenacesinternesventuelles.Unintrusquiapuavoiraccsdunefaonouduneautresurlerseauinterneenprotectionderrireleparefeuatouteslesfacilitspoursintroduiresurtoutlerseau.LessystmescritiquesdoiventtreplacsetprotgsderriredesenvironnementsdeparefeuoudeDMZinternes.
La plupart des systmes de parefeu prsentent une fonctionnalit denregistrement des vnements dans unjournal. Un programme de rcupration de ces informations est, en gnral, disponible avec tous les types desystmesdexploitation.Cequipermetdelesvisualiseretparlasuitedelesanalyser.
Lagestionetlamaintenancedessauvegardesestunpointessentieldanslapolitiquedadministrationdesparefeu.Parprincipe,chaquesauvegarderalisedoittrecomplte.Ilnestpasncessaireetmmenonrecommandderaliserdessauvegardesincrmentales.
Ilestaussirecommanddeffectuercettesauvegardejusteaprslinstallationetlaconfiguration,lorsdemisejourlogicielleduparefeu.Lastratgiedesauvegardedoittenircomptedelafaondontsesaccslogiquesetrseausontimplments.
Par contre, il nest pas possible dutiliser les fonctionnalits de sauvegarde du systme dinformation global delentreprisecausedescontrlesdaccsparticuliers.Eneffet,permettrelaccsauserveurcentraldesauvegardequiest,selonlesbonnespratiques,implmentderrireleparefeuetprotgparlui,prsenteraitunrisquepourlinfrastructuredesauvegardeetlerseauassoci.
En ralit, le parefeu doit tre install avec un dispositif de sauvegarde intgr. Si ce nest pas le cas, il estindispensabledelemettreenplace.Deplus,lesupportmagntiquedesauvegarde,unecartoucheengnral,nedoit rester prsente dans la machine que pendant lopration de sauvegarde. Il doit tre extrait juste aprslopration.
Pourpermettreunrtablissementcompletetrapideduparefeu,ilestrecommanddepossder,enlieusr,une
Lafonctionnalitdenregistrementdesvnementsdansunjournal
Lasauvegardedesdonnesdesparefeu
- 10 - ENI Editions - All rigths reserved - Jonifar lina
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8MzkxMTMyIC0gSm9uaWZhciBsaW5hIC0gYjFmZjY2YzEtOTA0Yy00Njc1LWI2ZTItMjc1ODEwOGQ1ZWE0v2PG6pOczIgLAA==-enidentnumber
36
-
imagebootabledusystmeduparefeusurunDVDRom.CelaestfacilementralisablesurWindowscarilexistedeslogicielsadquats.Cettesolutionestaussiutilepourremettreentatoupourinstallerdesparefeudemmetype.
Implmenterunenvironnementdescuritpourlerseaucompletestindispensable,leprotgerdetoutetentativefrauduleusedaccsestencoremieux.Sileparefeuestsitudansunendroitaccessible,sansprotectionphysique,ilest lamercidintrus. Il est susceptibledtrepirat. Ildoitdonctreprotgdansunenvironnementscurisseulementaccessibleauxadministrateursddisauxsystmesouaurseaudentreprise.
Deplus,leparefeudoittreprotgdescoupuresdecourantlectriqueetalimentparunonduleur.Ilpeutaussipossderdesconnexionsredondantesoutreassociunquipementdesecours.
Finalement, il doit faire partie du dispositif de plan de secours informatique, si celuici est mis en place etoprationnel.
Lamthodelapluscourantepourintervenirdansunparefeuestdeprofiterdespossibilitsdaccsdistancepourlagestionavec laccs laconsoledusystmedexploitationouparune interfacegraphique,engnralpartirdunepageWebouHTML.
Pour cette raison, laccs linterface doit tre rigoureusement contrl. Lamthode la plus classique utilise lechiffrageoulauthentificationforteouencoreunerestrictiondaccsparuneadresseIP.Dautressolutionsutilisentle chiffrage SSL (Secure Sockets Layer), souvent la norme pour les interfaces graphiques qui sappuient sur leprotocoleHTTP(HyperTextTransportProtocol).Laplupartdesinterfacesdegestiondeparefeucomprendplusieursformesdauthentification(uneidentificationetunmotdepasse).Lesquelsvontservirobtenirlaccslinterface.Dans dautres cas, certains parefeu peuvent utiliser une authentification par jetons ou une autre formedauthentificationrigoureuse.
DanslecadreduneentrepriseutilisantleprotocoleSMTP,laccslamessagerieinterneestsouventcritique.
LeprotocoleSMTP(SimpleMailTransportProtocol)estlanormeentermedchangedemessageslectroniquessurInternet.Lameilleurearchitecturequipourraittremiseenplacedanslespetitesentreprisesconsisteutiliserleparefeucommerelaisdemessagerie.
Les serveurs SMTP externes peuvent tablir des sessions avec le parefeu comme le