Novembre – Décembre 2005 Version 1.01 1 État de lart de la sécurité informatique Introduction...

1Novembre – Décembre 2005 Version 1.01

État de l’art de la sécurité informatique

Introduction

Auteurs :

Stéphan GUIDARINI – Consultant Senior

Sébastien DESSE – Expert Réseaux et Sécurité


Présentation

Intervenants Partie théorique :

Stéphan GUIDARINI - STEDIA Consulting Consultant Infrastructure et Sécurité Ancien élève du DESS Réseaux & Télécoms

Partie pratique : Sébastien DESSE - ITSEC Ingénieur Réseaux et Sécurité Membre fondateur du GREPSSI

Groupe de Réflexion et d’Echange sur les Problématiques liées à la Sécurité des Systèmes


Programme Introduction Quoi protéger ? Contre qui ? Pourquoi ? Qui croire ? Comment protéger ? Quelle politique de sécurité ?

Sécurité des réseaux Généralités Sécurité niveau 1 Sécurité niveau 2 Commutateurs Sans fil sécurité niveau 3 Généralités Protocoles de routage Firewall Sécurité niveau 7 Relais applicatifs Filtres applicatifs Détection d'intrusions Network IDS

Sécurité des contenus & échanges Introduction à la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP IPSEC TSL/SSL SHTTP S/MIME Les Infrastructures à clef publique (PKI) PGP La réglementation

Sécurité des accès Authentification Mots de passe – Authentification forte – Single Sign On RADIUS - TACACS/TACACS+ - Kerberos 802.1x, Sécurité Wifi (WEP, WPA, etc.)

Sécurité des systèmes et des applications Généralités Sécurité en environnement Microsoft Sécurité en environnement Unix Détection d'intrusions au niveau système Virus, Vers et chevaux de Troie

Conclusion Synthèse Les dix commandements Sources d’information


Programme – Partie théorique

6 sessions théoriques Session du 31/10/2005

Introduction à la sécurité informatique Session du 07/11/2005

Sécurité des réseaux (1er partie) 21/11/2005

Sécurité des réseaux (2ème partie) 28/11/2005

Sécurité des contenus et échanges 05/12/2005

Sécurité des accès 12/12/2005

Sécurité des systèmes et services et conclusion


Sommaire - Introduction

Introduction Qu’est ce que la sécurité ? Quoi protéger ? Pourquoi ? Contre qui ? Qui croire ? Comment protéger ? La politique de sécurité.


Qu’est ce que la sécurité ?

La sécurité recouvre l'ensemble de techniques informatiques permettant de réduire au maximum les chances de fuites d'information, de modification de données ou de détérioration des services.

Elle consiste à un très grand nombre de méthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.


Qu’est ce que la sécurité (2) ?

"Sécuriser" consiste à utiliser une ou plusieurs de ces techniques dans le but d'élever le niveau de sécurité d'un système ou d'une architecture.

La menace représente le type d'action susceptible de nuire dans l'absolu

La vulnérabilité représente le niveau d'exposition face à la menace dans un contexte particulier.

Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.


Quoi protéger ?

LA SECURITE DE L’INFORMATIONLA SECURITE DE L’INFORMATION

Sécurité des Sécurité des

systèmes d’informationsystèmes d’information

Sécurité des Sécurité des

Réseaux et échangesRéseaux et échanges Sécurité des Sécurité des

systèmessystèmes

Sécurité juridiqueSécurité juridique Sécurité des Sécurité des

développementsdéveloppements

Voix et Vidéo

InformationsNon

numérisées

Archives

Quelle que soit la forme prise par l’information ou quels que soient les moyens par lesquels elle est transmise ou stockée, il faut qu’elle soit toujours protégée de manière appropriée.

Seulement 40 à 50% des informations nécessaires pour faire fonctionner une entreprise sont enregistrées sur des supports

électroniques

L’« Information » au sens large.


Quoi protéger (2) ?

Le triptyque DIC : Disponibilité.

Garantir que les utilisateurs habilités ont accès à l’information et aux ressources associées au moment voulu (pas d’accès non autorisé)

Intégrité. Sauvegarder l’exactitude et la fidélité de l’information et

des méthodes de traitement des données (pas de modification non autorisée).

Confidentialité Garantir que seules les personnes habilitées peuvent

accéder à l’information (pas de divulgation non autorisée).


Quoi protéger (3) ?

Les actifs. Les actifs sont caractérisés par leur type

et surtout par leur valeur

Actifs d’informations

Fichiers de données, bases de donnéesProcédures et manuels utilisateurs,

archives.

Actifs applicatifs

Progiciels, logiciels spécifiques,Systèmes d’exploitation, outils de

développement, utilitaires.

Actifs physiques

Serveurs informatiques, PC, portables, Matériels réseaux, PABX, unités de

climatisation.

Actifs liés à la fourniture deservices

Services généraux (alimentationÉlectrique, climatisation, etc…)…


Pourquoi protéger ?

L’information est une ressource stratégique, une matière première, elle est un atout pour celui qui la possède et donc attise souvent les convoitises

Les S.I. facilitent l’accès à l’information Ils gèrent de grandes quantités d’information et peuvent la rende

accessible depuis n’importe quel point du globe La destruction d’un S.I. peut permettre d’anéantir une

entité de manière anonyme et sans faire un seul mort La loi, la réglementation et l’éthique seront toujours en

retard sur la technique Les individus se comportent rarement comme on l’attend

Le comportement d’un individu confronté à des situations inhabituelles et critiques est imprévisible


Pourquoi protéger? Les conséquence à retenir

Vol d’informations et du savoir faire Dans un contexte de haute technologie notamment

Atteinte à l’image de marque NASA, e-bay, Wanadoo, RSA, …

Indisponibilité du service e-business, …

Perte de temps et de moyen humains Remise en service, recherche des dégradations

Tache TRES difficile, peut nécessiter des moyens énormes

Pertes financières ! Modification des montants de facture … Perte d’exploitation Erreurs de traitement


Contre qui ?

Les menaces Les différents types de pirates Les différentes arnaques et attaques Les accidents et inconsciences


La menace - Définitions « Violation potentielle de la sécurité » - ISO-7498-2

Menace accidentelle Menace d’un dommage non intentionnel envers le SI

Catastrophe naturelle, erreur d’exploitation, pannes

Menace intentionnelle ou délibérée Par opposition à la précédente, elle est le fait d’un acte délibéré Menace active

Menace de modification non autorisée et délibérée de l’état du système

Dommage ou altération du SI Menace Passive

Menace de divulgation non autorisée des informations, sans que l’état du SI soit modifié

Écoutes, lecture de fichiers, … Menace Physique

Menace l’existence ou l’état physique du SI Sabotage, incendie volontaire, vol, …


Catégories de menaces intentionnelles

L’espionnage Obtention d’informations

Le vol Obtention d’informations ou de ressources

La perturbation Affaiblir le S.I.

Le sabotage Mise hors service du S.I.

Le chantage Gain financier, menace de sabotage, …

La fraude physique (récupération de bandes, listings, …) Obtention d’informations

Les accès illégitimes (usurpation d’identité) Obtention d’informations


Origines / Attaquants (1) Accidents

Type de menace Menaces accidentelles (cf. définition)

Type d’attaquants La nature !

Incendies, Foudre, Inondations, etc… Les fournisseurs

EDF, Fournisseurs de connectivité, Fournisseurs de matériels et de logiciels, …

Agresseurs internes (La majorité des cas) Inconsciences et accidents (A ne pas négliger !)

Provoqués par l’inattention ou le manque de formation des administrateurs ou des utilisateurs

Hors du cadre de cette présentation


Origines / Attaquants (2) Menaces à caractère stratégiques

Type de menace Menace intentionnelle active, passive et physique Pour un état

Le secret défense et la sûreté de l’état Le patrimoine scientifique, technique, économique, diplomatique La disponibilité des SI et le fonctionnement des institutions

Pour l’entreprise Informations concernant ses objectifs et son fonctionnement Les clients, procédés de fabrication, recherche et développement

Catégories de menace Espionnage, vol, perturbation, sabotage, fraude physique, accès

illégitimes … Type d’attaquants

Espions Particuliers (rare), Entreprises, Gouvernements

Terroristes


Origines / Attaquants (3)

Menace à caractère idéologique Type de menace

Menace intentionnelle active, passive et physique Le combat pour les idées est incessant et peut être le

moteur d’actes les plus extrêmes Idéologie politique, raciale, religieuse, économique, …

Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude

physique, accès illégitimes, … Type d’attaquants

Militants Vandales Terroristes



Menace à caractère terroriste Type de menace

Menace intentionnelle active, passive et physique Actions concourant à déstabiliser l’ordre établi

A caractère violant : destruction A caractère insidieux : désinformation, détournements

Catégorie de menace Espionnage, vol, perturbation, sabotage,

chantage, fraude physique, accès illégitimes, … Type d’attaquants

Terroristes


Origines / Attaquants (5) Menace à caractère cupide

Type de menace Menace intentionnelle active, passive et physique Gain pour l’attaquant

Financier, technologique, … Pertes pour la victime

Entraînant un gain pour l’agresseur : parts de marché, déstabilisation du concurrent, …

Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude

physique, accès illégitimes, … Type d’attaquant

Espions (concurrent ou pour le compte de)Crime Organisé Intervenants

Ont souvent accès à des informations sensibles, et conservent souvent des fichiers de configuration, …



Menace à caractère ludique Type de menace

Menace intentionnelle active Désir de s’amuser ou d’apprendre

C’est la prouesse technique qui est mise en avant

Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, …

Type d’attaquant « Joyriders » Vandales Collectionneurs

Généralement appelés

Hackers ou Crackers


Origines / Attaquants (7) Menace à caractère vengeur

Type de menace Menace intentionnelle active, passive et physique Également un moteur d’actes extrêmes

Souvent l’expression d’un employé brimé ou licencié qui peut possédé une très bonne connaissance du SI

Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, …

Type d’attaquant Personnes extérieures en désaccord avec l’entité

Peur être un client, un fournisseur, un intervenant, …

Les employés malveillants ou aigris Ont souvent une bonne connaissance de l’entreprise Utilisateurs dépassant leurs prérogatives Administrateurs, informaticiens, …


Origines / Attaquants (Conclusion)

Conclusion Liste non exhaustive La menace peut être composite

Plusieurs motivations (origines) Cupide + Ludique, Idéologique + Terroriste, …

Plusieurs profils de pirate Employé malveillant + Espion, …

Les Hackers et Crackers monopolisent l’attention mais ne sont en réalité qu’une composante de la problématique de sécurité !


Contre qui ? - Critères

Comment caractériser les agresseurs ? Leurs compétences techniques Le temps qu'ils sont prêts à passer pour réussir Leurs motivations Leurs moyens Leurs connaissances préalables de la cible


Classement

Un hacker / étudiant externe pour le plaisir Forte Fort Moyenne

Un concurrent Forte Faible Forte

Un escroc (enjeu financier) Moyenne Moyen Moyenne

Un opportuniste Faible Faible Faible

Un membre de société de service Forte Faible Faible

Un ancien membre du personnel Moyenne Faible Moyenne

Un membre du personnel Moyenne Faible Faible

Un stagiaire Forte Moyen Faible

Compétence Temps Motivation


Démarche basique (Cracker)

Collecter lesOutils (logiciels)

Attaquer lavictime

Se vanter

1

2

3


Démarche intermédiaire

Collecter lesOutils et se documenter

Collecter desinformations

Attaquerla victime

1

2

3,5

4

Identifier lacible


Démarche expert (Hacker)

Maîtrise desconcepts et outils

Collecter desinformations

Attaquerla victime

1

2

3,5

4Développer

les outils

Identifier lacible


Attaques Attaque != Vulnérabilité Attaque

Action de malveillance consistant à tenter de contourner les fonctions de sécurité d’un SI (ISO)

Vulnérabilité Faiblesse ou faille dans les procédures de

sécurité, les contrôles administratifs, les contrôles internes d’un système, qui pourrait être exploitée pour obtenir un accès non autorisé au SI, à un de ses services, à des informations ou à la connaissance de leur existence et de permettre de porter atteinte à la confidentialité, à l’intégrité et à la disponibilité du SI et de ses informations


Vulnérabilités Dans la conception

Matériel Protocole Architecture (Système, Réseau, …) Logiciel (OS, application, …)

Dans l’implémentation Matériel Protocole Architecture (Système, réseau …) Logiciel (OS, application, …)

Configuration, exploitation Équipement (Routeurs, Firewalls, Serveur, …) Logiciel (OS, application, …)


Attaques

Intrusions Vandalisme Denis de service (DOS) Vol d’informations Escroqueries


Attaques (1)

Intrusions Recherche de mots de passe

Dictionnaire Écoute du réseau « Brute force »

Le « Spoofing » Les sniffers et scanners Les exploits


Attaques (2)

Vandalisme Destruction de fichiers Destruction de systèmes Défiguration de site Web


Attaques (3)

Denis de service (DOS) Bombes logiques (virus) Le « flood »

TCP-SYN Flooding

Le « Nuke » Le « spamming »

Denis de service distribué (DDOS) Amplification des DOS


Attaques (4)

Vol d’information Suite à une intrusion Interception Écoute Cryptanalyse


Les principales escroqueries

L’ingénierie sociale. Il s'agit ainsi d'une technique consistant à

obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct Exemple : Le message vocal du Président de Hewlett-

Packard à son Directeur administratif et financier, où il évoquait la fusion avec Compaq a été intercepté et diffusé à travers l’Internet. » - Avril 2002 -


Les principales escroqueries

Le scam. Pratique frauduleuse consistant à

extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.


Les principales escroqueries (2)

Le phreaking. Contraction des mots anglais phone (téléphone)

et freak (monstre) désignant le piratage de lignes téléphoniques Technique frauduleuse permettant l’utilisation gratuite

de ressources téléphoniques depuis l’extérieur. Exemple : Le piratage du standard téléphonique de la

Cité des Congrès de Nantes a duré trois journées : le montant de la facture de téléphone s’est élevé de 2 000 €

à 70 000 €. » - La Tribune – février 2002 -



Le phising. Contraction des mots anglais «fishing»,

en français pêche, et «phreaking» Technique frauduleuse utilisée par les pirates

informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.

Technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance.



Le Hoax ou canular. Courrier électronique propageant une fausse information et

poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.

Les conséquences L'engorgement des réseaux et des serveurs de messagerie, Une désinformation, c'est-à-dire faire admettre à de

nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs,

La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ;

La dégradation de l'image d'une personne ou bien d'une entreprise,

L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de ne plus croire aux vraies.


Les virus

Programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé

Différents types. Les vers Les troyens Les bombes logiques Les spywares


Les virus (2) Les vers.

Programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique pour se propager

Les vers actuels se propagent principalement grâce à la messagerie grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.


Les virus (3)

Les chevaux de Troie. Programme (en anglais trojan horse) caché

dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor Vol de mots de passe Copie de données Exécution d’action nuisible


Les virus (4)

Les bombes. Dispositifs programmés dont le

déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système

Généralement utilisées dans le but de créer un déni de service Exemple la bombe logique Tchernobyl s'est

activée le 26 avril 1999


Les virus (5)

Les spyware ou espiogiciels.Programme chargé de recueillir des informations

sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (profiling).

Keyloggers : Dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.


Taxinomie d’un incident

Taxinomie (ou Taxonomie) Classification d’éléments selon des taxons

Taxon (biologie) Unité formelle représentée par un groupe

d’organismes, à chaque niveau de la classification.


Attaquant

Terroriste

Espion

Crimeorganisé

Militant

Employé

Hacker

Cracker,vandales…

Cible

Compteutilisateur

Processus

Donnée

Ordinateur

Réseau

Composantdu SI

Action

Sonde

Scanne

‘Flood’

Authentifie

‘Spoof’

Court-circuite

Vol

Modifie,copie, efface

Détruit

Outil

Attaquephysique

Échanged’information

Commandeutilisateur

Toolkit

Script,programme

Agentautonome

Outildistribué

Trappe

Vulnérabilité

Conception

Implémentation

Configuration

Résultat

Accèsillégitime

Divulgationd’information

Corruptiond’information

Denis deservice

Vol deressource

Destruction de ressource

Objectif

Challenge,distraction

Gainfinancier

Gainstratégique

Destruction

Vengeance

AttaqueIncident

Évènement


Qui croire ?

Personne ! (méthode paranoïaque) Tout le monde n’est pas mal intentionné

Il existe des gens mal intentionnés Il existe des gens bien intentionnés mais

irresponsables (Microsoft, ebay,…) A qui fait-on confiance ?

Éditeurs Partenaires Intervenants (SSII, intégrateurs, consultants, …)

S’assurer qu’ils sont aussi rigoureux que vous sur la sécurité


Comment protéger ?

Pas de sécurité Miser sur la discrétion Sécurité des systèmes Sécurité du réseau Sensibiliser et former le personnel Aucun modèle de sécurité ne peut résoudre

tous les problèmes Définir une politique de sécurité Définir une démarche sécurité


La politique de sécurité ?

C’est un dispositif global dont la mise en œuvre assure que l’information peut être partagée d’une façon qui garantit un niveau approprié de protection de cette information et des actifs liés.

Toutes méthodes, techniques et outils concourant à la protection l’information contre un large éventail de menaces afin : De garantir la continuité d’activité de l’entreprise, De réduire les dommages éventuels sur l’activité de

l’entreprise, De maximiser le retour sur investissement des Systèmes

d’Information.


La politique de sécurité (2). Les domaines.

SERVICESDE SECURITE

Les mesures élaborées dans un plan de sécurité peuvent-être classées en deux familles :- avant sinistre : mesure de prévention- après sinistre : détection, ralentissement, correction

ORGANISATIONMANAGEMENT

• Management des actifs et des risques

• Définition des responsables d’actifs

• Définition des règles et procédures de sécurité

• Définition et réalisation des contrôles

• Sensibilisation et formation:

Des utilisateurs Des managers Informaticiens

SECURITE PHYSIQUE

• Protection desactifs matériels,locaux

• Protection incendies, etc.

• Contrôle d ’accès, badges, etc.

REMARQUE

SECURITELOGIQUE

PLAN DE CONTINUITE

• Gestion des sauvegardes• Plan de secours• Back-Up

(physiqueet logique)

• Back-Up(physique,

logique)• Plan de crise

• Accès aux applications• Échanges de données• Applications


La politique de sécurité (3).

La démarche type.



Les différentes approches.

Analyse des enjeux et des risques

•Assez similaire à une démarchequalité,

• Plusieurs méthodologies disponibles: MEHARI , EBI OS,…

• Avantages: Développement de la culture du risque, implication dupersonnel, pertinence,

• I nconvénients: Coût (ressources humaines).

Approche par les bonnespratiques

•Recueil de procédures, fiches,Contrôles,

• Le recueil le plus connu estI SO 17799,

• Avantages: Effi cacité, exhaustivité,

• I nconvénients: Coût.

Approche SSU(Solution de sécurité d’Urgence)

•Mise en oeuvre d’une batterieD’outils techniques,

• Pare- feux, anti- virus, VPN,SSL, anti- SPAM, etc…

• Avantages: Délais de mise enoeuvre, investissement uniquementMatériel/ logiciel,

• I nconvénients: Donne un faux Sentiment de sécurité.

Approche française: CLUSIF

Approche anglo- saxonne



Les normes ISO concernant la sécurité.ISO 13335

ISO 17799 ISO 15408

ISO 18044-gestion des incidentsISO 17944-systèmes financiers

ISO 18028-gestion des communicationsISO 14516-sécurité dans le e-commerce

Etc…


Les normes ISO.

La norme ISO/IEC 15408 Certification internationale relative à la sécurité des

produits de technologies de l’information.

A destination des industriels du secteur des T.I.C avant tout: Editeurs de logiciels, constructeurs d’équipements…

Un catalogue des exigences fonctionnelles et d’assurance de sécurité,

Éléments pour la spécification des exigences de sécurité (cible de sécurité, profil de protection),

La description des 7 niveaux d’assurance de l’évaluation (EAL),


Les normes ISO (2).

La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT

Security.

Partie 1: Concepts et modèles pour la sécurité des T.I, Partie 2: Management et planification de la sécurité des T.I, Partie 3: Techniques pour la gestion de la sécurité des T.I, Partie 4: Sélection de mesures de sécurité, Partie 5: Guide pour la gestion de la Sécurité du réseau.


Les normes ISO (3)

ISO 17799Standard international basé sur les bonnes pratiques

de la gestion de la sécurité de l’information, Une approche s’appuyant sur la gestion de risques

pour définir une politique, des procédures et des contrôles appropriés pour gérer ces risques


Les normes ISO (4)

Synthèse.

LES NORMES DE SECURITE DE L’INFORMATION AUJOURD’HUILES NORMES DE SECURITE DE L’INFORMATION AUJOURD’HUI

ISO 17799ISO 17799Introduction

Contrôles 17799

ISO 13335ISO 13335Modèle de Management

Mesures de sécurité

Risks management

SECURITE DE L’INFORMATI

ON

SECURITE DES T.I.C


La norme ISO 17799 (1)

ISO 17799 est : Une norme internationale structurée dédiée à la

sécurité de l’information, Un processus élaboré pour évaluer, implémenter, maintenir

et gérer la sécurité de l’information,

Une série de contrôles basés sur les bonnes pratiques en sécurité de l’information,

Développé par des industriels pour des industriels,

Pouvant s’appuyer sur la norme IS0 13335: guidelines for the management of IT Security,

Un processus équilibré entre sécurité physique, technique, procédurale et la sécurité du personnel.



ISO 17799 contient : 10 chapitres, 127 objectifs de contrôle classé en 3 familles :

Organisationnels Politique de sécurité, Organisation de la sécurité, Continuité d’activité

Fonctionnels Réglementation et lois applicables, Gestion des ressources humaines,

Opérationnels Sécurité et accès logiques, Développement et gestion des évolutions, Sécurité et accès physiques,

10%

10%

80%



Les 10 chapitre de la norme :

Politique de sécurité 1Politique de sécurité 1

Organisation de la sécurité 2Organisation de la sécurité 2

Classification et contrôle des actifs 3Classification et contrôle des actifs 3

Sécuritéliée au

personnel

4

Sécuritéliée au

personnel

4Sécurité

physique etde

l’environnement

5Sécurité

physique etde

l’environnement

5

Continuité d’activité 9Continuité d’activité 9

Confo

rmité

10

Confo

rmité

10

Exploitationet

réseaux

6

Exploitationet

réseaux

6

Contrôled’accèslogiques

7


7

Développementet maintenancedes systèmes

8


8


La norme ISO 17799 (4).

L’objectif est, pour la direction, de:

Exprimer formellement la stratégie de sécurité de l’organisation, Communiquer clairement son appui à sa mise en œuvre.

Politique de sécurité 1

Ce document soit être approuvé:

Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des évolutions technologiques.

La sécurité est une responsabilité partagée par tous les membres de l’équipe de direction:

Création d’un comité de direction multifonction dédié pour assurer le pilotage de la sécurité, Définit rôles et responsabilités, les méthodes et procédures et soutient les initiatives de promotion et de communication interne.



L’objectif est de:

Gérer efficacement la sécurité de l’information dans l’organisation,

Maintenir la sécurité des moyens de traitement et des actifs accédés par des tiers ou des sous-traitants,

Maintenir la sécurité des informations lorsque la responsabilité du traitement des informations est externalisée à une autre organisation.

Organisation de la sécurité 2



L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité:

Tout actif important doit être répertorié et alloué à un responsable nominatif, L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité.

Classification et contrôle des actifs 3

Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.



Plus de 60% des incidents proviennent de l’intérieur de l’entreprise !

Sécuritéliée au

personnel

4


Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement,

S’assurer que les utilisateurs ont été informés des risques et menaces concernant les informations,

S’assurer que les utilisateurs sont formés et équipés pour appliquer la politique de sûreté lors de leurs activités normales,

Minimiser les dommages en cas d’incident ou de dysfonctionnement,

Savoir capitaliser sur ces incidents et s’adapter.




Prévenir les accès non autorisés, les dommages et les interférences sur les informations, les activités et les locaux de l’organisation,

Prévenir la compromission ou le vol des informations ou des moyens de traitement.

Sécuritéphysique et

de l’environnement

5




Assurer une exploitation correcte et sure des moyens de traitement,

Minimiser les risques de pannes et leur impact,

Assurer l’intégrité et la disponibilité des informations, des traitements et des communications,

Prévenir les dommages aux actifs et les interruptions de service,

Prévenir les pertes, les modifications et les utilisations frauduleuses d’informations échangées entre organisations.

Exploitationet

réseaux

6




Gérer et contrôler l’accès aux informations,

Prévenir les accès non autorisés,

Assurer la protection des systèmes en réseau,

Détecter les activités non autorisées,

Assurer la sécurité des informations lors des accès mobiles ou distants.


7



La politique de contrôle comprend notamment:

L’enregistrement unique de chaque utilisateur,

Une procédure écrite de délivrance d’un processus d’authentification signée du responsable hiérarchique,

Des services de déconnexion automatique en cas d’inactivité,

Une politique de révision des mots de passe,

Une hiérarchisation du niveau d’accès en fonction du degré de confidentialité des données.




Assurer que la sécurité soit incluse dès la phase de conception,

Prévenir la perte, la modification ou la mauvaise utilisation des informations hébergées par les systèmes,

Protéger la confidentialité, l’intégrité et la disponibilité des informations,

Assurer que les projets et activités de maintenance sont conduits de manière sûre,

Maintenir la sécurité des applications (logiciel et données).


8



L’objectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de l’organisation résultant de pannes, d’incidents, de sinistres ou e catastrophes.

Une analyse des risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications permet d’établir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnement mineur jusqu’à la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève,…)

Continuité d’activité 9



La conformité se décline en 3 volets:

Le respect des lois et réglementations: Licences logicielles, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes,

La conformité des procédures en place au regard de la politique de sécurité de l’organisation, c’est à dire des dispositifs mis en place pour assurer les objectifs de sécurité définis par la Direction Générale,

L’efficacité des dispositifs de traçabilité et de suivi des procédures en place: Journaux d’activité, pistes d’audit, enregistrement de transactions,…

Con

form

ité

10


Les méthodes de sécurité.

Les plus connues en France sont MEHARI (Clusif), EBIOS (DCSSI) et MARION (Clusif).

Ces méthodes ont leurs propres référentiels qui ne couvrent pas toujours strictement le spectre de l’ISO 17799,

Il peut par conséquent être nécessaire de retravailler les bases de connaissance de ces méthodes pour obtenir une couverture complète de la sécurité de l’Information,

La commission « méthodes » du Clusif a corrélé la base de connaissance de MEHARI afin de couvrir l’ensemble des mesures de ISO 17799.


Système de Management de la Sécurité de l’Information.

Management System : Système pour établir la politique et les objectifs et pour atteindre ces objectifs (ISO guide 72).

Les systèmes de management sont utilisés dans les entreprises pour développer leurs politiques et les mettre en application à travers des objectifs et des cibles en utilisant:

Une organisation dans l’entreprise, Des processus et des ressources associés, Des contrôles et une méthode d’évaluation, Des processus de révision pour garantir que les anomalies sont

corrigées et mettre en œuvre des axes d’amélioration le cas échéant.


Système de Management de la Sécurité de l’Information (2).

Certaines organisations commencent à aborder la sécurité de l’information comme un système intégré appelé un Information System Management System (ISMS).

Mise en œuvre d’un vrai processus d’analyse, d’élaboration de contrôle et d’évolution d’une politique de sécurité en appliquant un concept bien connu en qualité, le modèle PDCA.



Modèle PDCA.

MODELE PDCA

PLAN: Etablir les objectifs conformément aux risques et aux exigences de sécurité,DO: Implémenter et opérer les fonctionnalités et procédures,CHECK: Gérer les incidents, les erreurs, auditer,ACT: Faire évoluer la politique et les moyens conformément aux besoins.



Les normes pour construire un SMSI.Spécifications de l’I SMS

BS 7799 Partie 2

SMSI Guidelines (management des risques, choix des mesures

de sécurité)

ISO 13335 ISO/IEC 18044

Management des Incidents

PD 3000 serieson risk and selection of

controls

SMSI Mesures de contrôle

ISO/ IEC 17799

Certification de système de management et organismes

d’accrédition (audit, procédures etc)

ISO Guide 62 EA7/03

ISO G 73

EN45012

ISO19011ISO9001

Normes et schémas nationaux

Certification de système de management et organismes

d’accrédition (audit, procédures etc)

ISO Guide 62 EA7/03

ISO G 73

EN45012

ISO19011ISO9001

Normes et schémas nationaux


La certification BS7799-2

A l’instar de ISO 9000 pour le management de la qualité, BS 7799-2 est la seule norme et certification qui existe actuellement pour les ISMS.

Définit les conditions pour l’établissement, la mise en œuvre et la documentation d’un ISMS,

Définit les exigences de contrôles pour la sécurité devant être mis en application selon les besoins de différents organismes,

Elle se compose de 10 chapitres de 127 contrôles, Nécessite 2 étapes (audit de la documentation puis audit de

l’implémentation), En France, le COFRAC (Comité Français d’Accréditation et de

Certification) peut valider un schéma de certification BS 7799-2.

Novembre – Décembre 2005 Version 1.01 1 État de lart de la sécurité informatique Introduction...

Documents

Transcript of Novembre – Décembre 2005 Version 1.01 1 État de lart de la sécurité informatique Introduction...