Table des matières - jchambon.frjchambon.fr/DSCG/Textes/07-COURS_MSI_Securite_SI.pdf · Conception...

DSCG : UE5 - Management des Systèmes d'Information Sécurité SI

Table des matières

CARTE HEURISTIQUE....................................................................................................................2

POLITIQUE DE SÉCURITÉ.............................................................................................................3

CONCEPTION........................................................................................................................................... 3RÉALISATION........................................................................................................................................... 3ÉVALUATION ET CONTRÔLE......................................................................................................................... 3AMÉLIORATION......................................................................................................................................... 3

LES DISPOSITIFS TECHNIQUES DE PROTECTION....................................................................3

LA PROTECTION DU POSTE DE TRAVAIL..........................................................................................................3Contrôle d'accès........................................................................................................................................................................3SSO : Single Sign On................................................................................................................................................................4Anti-Virus...................................................................................................................................................................................4

PROTECTION DU RÉSEAU LOCAL................................................................................................................... 5Serveur mandataire...................................................................................................................................................................5Système Pare-feu ou Firewall....................................................................................................................................................5DMZ - Zone démilitarisée ..........................................................................................................................................................5Réseau Privé Virtuel (RPV).......................................................................................................................................................6

NORMES ET MÉTHODES POUR SÉCURISER UN SI..................................................................6

NORME ISO 2700X................................................................................................................................ 6Déclaration d’Applicabilité ..........................................................................................................................................................7Principe de l'amélioration continue : modèle PDCA....................................................................................................................8

MÉTHODE EBIOS................................................................................................................................... 8MÉTHODE MEHARI................................................................................................................................ 9RÉFÉRENTIEL COBIT............................................................................................................................ 10

PLANS D'ACTIVITÉS....................................................................................................................10

PRA : Plan de Reprise d'Activité..............................................................................................................................................10RTO : Recovery Time Objective..............................................................................................................................................10RPO : Recovery Point Objective..............................................................................................................................................11PCA - PCS...............................................................................................................................................................................11PCO.........................................................................................................................................................................................11PCI - PSI..................................................................................................................................................................................11

1/12 07-COURS_MSI_Securite_SI


Carte heuristique



Politique de Sécurité

A partir de l'analyse des risques, il faut définir leniveau d'exigence acceptable pour l'entreprise.

Pour réduire les risques, on agit sur lesvulnérabilités, ou on essaie de réduire l’impactqu’aurait l’exploitation d’une de ces vulnérabilitéspar une menace.

Pour réduire l’impact il faut mettre en place desmesures préventives et les coordonner dans lecadre d'une politique de sécurité.

Politique de sécurité

ConceptionL'étape de démarrage consiste à :

• s'assurer que le périmètre et le contexte du futur système sont correctement définis ;• identifier, évaluer les risques et développer un plan permettant de les gérer ;• rédiger un manuel de sécurité ;• désigner une personne chargée de définir la politique de sécurité.

Réalisation

L’étape de réalisation consiste principalement à appliquer les politiques définies dans le manuel desécurité en :

• implantant les mesures techniques préventives ;• en sensibilisant Direction et Employés.

Évaluation et ContrôleLes systèmes d’évaluation doivent avoir été décrits dans le manuel de sécurité. L’objectif consiste às’assurer que les procédures mises en place fonctionnent comme prévu.

Ces évaluations peuvent être de plusieurs types :

• vérifications régulières faites dans le cadre des activités quotidiennes ; • contrôles automatiques réalisés avec des outils logiciels permettant de créer des rapports ; • comparaison avec les autres organisations ; • réalisation d’audits formels planifiés (risk assessment) ; • révision par la direction.

Si les évaluations et les contrôles révèlent que certaines procédures sont inadéquates, il fautentreprendre des actions correctives.

Amélioration

Les actions qui auront été décidées à l’étape précédente devront être mises en œuvre soit :

• au niveau du système de sécurité proprement dit, comme par exemple en nommant un(nouveau) responsable pour tout ou partie du système;

• au niveau des procédures opérationnelles qui en auront été déduites, comme par exemple par la mise en œuvre d’une procédure de sauvegarde de données différentes (et évidemmentplus adaptée);

• au niveau des outils, comme par exemple par l’achat d’un outil anti-virus.

Les dispositifs techniques de protection

La protection du poste de travail

Contrôle d'accès

L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne.

Qualités d'un mot de passe

1. longueur comprise entre 6 et 8 caractères ;



2. mot n'appartenant pas à un dictionnaire ;3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères spéciaux

« gilles » est un mauvais mot de passe.

« G1i*l;e! » est un mot de passe sécuritaire

Un mot de passe doit être changé fréquemment

Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie ( empreintedigitale, reconnaissance du visage, reconnaissance de l'iris, ADN)

SSO : Single Sign On

Les services numériques accessibles par le web (intranet, courrier électronique, forums, agendas,applications spécifiques) se sont multipliés en quelques années. Chacun de ces services nécessitentune authentification.

L'utilisation de techniques de synchronisation entre domaines d'authentification hétérogènes, permetla mise en oeuvre d'un compte unique (login / mot de passe) pour chaque utilisateur. La sécurisationde l'authentification devient donc primordiale. Il est également fortement souhaitable que lesapplications n'aient pas connaissance du mot de passe.

Les mécanismes de SSO permettent l'authentification unique, utilisent des techniques assezsemblables, à savoir :

• une centralisation de l'authentification sur un serveur qui est le seul à recueillir les mots depasse des utilisateurs, à travers un canal chiffré ;

• des redirections HTTP transparentes du navigateur client, depuis les applications vers leserveur d’authentification, puis du serveur vers les applications.

• le passage d’informations entre le serveur d’authentification et les applications à l’aide decookies et/ou de paramètres CGI de requêtes HTTP (GET ou POST)

Implantation d'un serveur CAS (Central Authentication Service)

Si l’utilisateur n'est pas déjà authentifié auprèsdu serveur CAS avant d'accéder à uneressource, son navigateur est redirigé vers leserveur CAS, qui lui propose un formulaired'authentification. Lors de la soumission duformulaire par le navigateur au serveur CAS, siles informations fournies sont correctes, leserveur CAS délivre un « Ticket » au client, quilui permettra ultérieurement de ne pas avoir àse ré-authentifier ;

Le « Ticket » est le passeport de l’utilisateurauprès d'un client CAS. Il est non re-jouable (nepeut être présenté qu'une seule fois au serveurCAS), limité à un seul client CAS et sa durée devie est très limitée dans le temps (quelquessecondes)

Anti-Virus

Un logiciel antivirus fonctionne selon 2 modes :

• le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche.

• Le mode dynamique : l'antivirus est « résident » et surveille en permanence l'activité dusystème d'exploitation, du réseau et de l'utilisateur.

Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques :

• Recherche de signatures : un virus est caractérisé par une suite de bits (signature) consignésdans des bases de données.

Avantage : très efficace sur des virus connus ;

Inconvénient : nécessite une mise à jour très fréquente de la base des signatures



• Analyse heuristique : consiste à étudier des règles, des stratégies en vue d'étudier lecomportement d'un programme.

Avantage : peut détecter des virus encore inconnus

Inconvénient : génère de nombreuses fausses alertes.

Protection du réseau local

Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière qui conjugue lacombinaison de 2 applications logicielles, un serveur mandataire(proxy) d'une part et un pare-feu(firewall) d'autre part.

Serveur mandataire

Un serveur mandataire est une application qui sert d'intermédiaire entre un client et un serveur. Leclient envoie sa requête au mandataire, qui la réémet en direction du serveur concerné. De même,la réponse du serveur est reçue par le mandataire qui la retransmet au client. Un proxy peut êtreconfiguré pour filtrer les requêtes.

Un serveur mandataire assure les fonctions suivantes :

• Mémoriser les dernières pages consultées sur le Net ;• Garder une trace des requêtes ;• Analyser le contenu des documents pour détecter d'éventuels virus ;• Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou interdire l'accès à

certains services d'internet pour certains utilisateurs.• Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots clès...)

Interdire à tous les employés de consulter les sites contenant le mot clé « sexe ».

Système Pare-feu ou Firewall

Un pare feu est un équipement conçu pour empêcher des individus extérieurs d’accéder au RéseauLocal.

Un système pare-feu fait office de point d’entrée sur un site, évalue les demandes de connexion àmesure qu’il les reçoit. Il traite seulement celles qui proviennent de machines autorisées et supprimeles requêtes en provenance des autres.

La majorité des système pare-feu procèdent par filtrage de l’adresse de source.

• Autoriser les ordinateurs extérieurs (quelle que soit leur adresse IP) à accéder au serveur Web de la zone démilitarisée.

• Autoriser les ordinateurs du réseau local à accéder aux serveurs web extérieurs• Autoriser les ordinateurs du réseau local à accéder aux services de messagerie électroniques• Interdire tous les autres services d'internet.

DMZ - Zone démilitarisée

La « zone démilitarisée » (DMZ) est un réseau intermédiaire tampon dans laquelle peuvent êtreinstallés les ordinateurs et applications devant pouvoir être accessibles à partir d'Internet (lesserveurs de services FTP et de pages WWW, par exemple).

Cette technique permet de différencier les données confidentielles et sensibles, présentes sur leréseau local, des données « publiques » de l'entreprise.



Réseau Privé Virtuel (RPV)

Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est une solutiontechnique qui assure l'authentification et la confidentialité des données échangées entre sites distantsutilisant internet comme moyen de transmission.

Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle communiqueen utilisant Internet. Un commercial itinérant est doté d'un ordinateur portable et via Internet doitpouvoir accéder à la base de données du siège social.

Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise partenaire(entreprise B).

Comme les données circulant sur Internet sont transmises en clair, les administrateurs réseau de l'entreprise A, vont paramétrer la fonction VPN sur les systèmes d'exploitation des serveurs et des postes de travail concernés. Si les postes sont utilisés par les salariés de l'entreprise A, on parlera d'Intranet.

Une coopération technique sera nécessaire pour paramétrer le VPN entre l'entreprise A et l'entrepriseB. Cette liaison sécurisée (chiffrement des données transmises sur le réseau) sera désigné sous le terme d'Extranet.

Lorsqu'on établit une liaison sécurisée entre 2 machines distances en passant par Internet, on parle de tunnel VPN.

Normes et Méthodes pour sécuriser un SILa démarche de sécurisation du système d'information doit passer par 4 étapes de définition :

1. périmètre à protéger (liste des biens sensibles) ;2. nature des menaces ;3. impact sur le système d'information ; 4. mesures de protection à mettre en place.

Norme ISO 2700xLa norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information,publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour la gestionde la sécurité de l'information .

L'ISO/CEI 27002 est un ensemble de 133 mesures dites « best practices » (bonnes pratiques enfrançais), répartis en 11 domaines ; destinées à être utilisées par tous ceux qui sont responsables dela mise en place ou du maintien d'un Système de Management de la Sécurité de l'Information(SMSI). La sécurité de l'information est définie au sein de la norme comme la « préservation de laconfidentialité, de l'intégrité et de la disponibilité de l'information ».



Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois êtrementionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiquesnormalisées dans ses relations avec un client.

• 1. Politique de sécurité

• 2. Organisation de la sécurité : ✗ organisation humaine, implication hiérarchique, ✗ notion de propriétaire d’une information et mode de classification,✗ évaluation des nouvelles informations, ✗ mode d’accès aux informations par une tierce partie, cas de l’externalisation des informations.

• 3. Classification et contrôle des biens

• 4. Sécurité du personnel

• 5. Sécurité physique ✗ organisation des locaux et des accès,✗ protection contre les risques physiques (incendies, inondations...) ✗ systèmes de surveillance et d’alerte, ✗ sécurité des locaux ouverts et des documents circulant.

• 6. Communication et exploitation: ✗ prise en compte de la sécurité dans les procédures de l’entreprise,✗ mise en œuvre des systèmes de sécurisation (anti-virus, alarmes..),

• 7. Contrôle d'accès: ✗ définition des niveaux d’utilisateurs et de leur droit d’accès,✗ gestion dans le temps des droits,

• 8. Acquisition, développement et maintenance des systèmes

• 9. Gestion des incidents

• 10. Management de la continuité de service

• 11. Conformité:

✗ dispositions réglementaires✗ dispositions légales ✗ dispositions internes (Politique)

La norme comprend 6 domaines de processus :

• 1. Définir une politique de la sécurité des informations, • 2. Définir le périmètre du Système de Management de la sécurité de l'information, • 3. Réaliser une évaluation des risques liés à la sécurité, • 4. Gérer les risques identifiés, • 5. Choisir et mettre en oeuvre les contrôles, • 6. Préparer un SoA ( "statement of applicability") ou Déclaration d’Applicabilité (DdA) :

Déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d'un organisme. »

Déclaration d’Applicabilité

Une DdA doit inclure les informations suivantes :

• 1) les objectifs de sécurité et les mesures de sécurité sélectionnés et les raisons pourlesquelles ils ont été sélectionnés ;

• 2) les objectifs de sécurité et les mesures de sécurité actuellement mis en œuvre;



• 3) l'exclusion des objectifs de sécurité et des mesures de sécurité spécifiés à l'annexe A et lajustification de leur exclusion.

Une note précise que la DdA fournit un résumé des décisions concernant le traitement du risque etque la justification des exclusions prévoit une contre-vérification qui permet d'assurer qu'aucunemesure n'a été omise par inadvertance.

Formalisme d’une Déclaration d’Applicabilité

La forme n’est pas réellement imposée par le standard. On trouvera généralement les élémentssuivants :

Objectifs de sécurité et Mesures appropriées et applicables

• Tirés de l’Annexe A de l’ISO27001

• ou d’autres sources (référentiel national, référentiel interne, …)

Leur statut

• Sélection ou exclusion

• Leur état de mise en œuvre par exemple : « cible » et « opérationnel »

Comme ISO 9000, l’ISO 27002 porte moins sur l’efficacité des dispositions mises en place, que sur leurexistence, et la mise en place d’une boucle d’amélioration (PDCA).

Principe de l'amélioration continue : modèle PDCA

Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe del'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes :



• Plan : planifier,

• Do : mettre en œuvre,

• Check : vérifier,

• Act : améliorer.

Après la définition des objectifs, des actions sont entreprises pourles atteindre. Ensuite, on vérifie la bonne qualité des résultats, puison se fixe de nouveaux objectifs pour être toujours totalementefficace.

Méthode EBIOSEBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode établiepar la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) pour identifier lesbesoins de sécurité d'un système d'information. La DCSSI la présente comme un outil d'arbitrage ausein des directions générales.

Elle s'organise en 4 étapes principales :

• étude du contexte • expression des besoins • étude des risques • identification des objectifs de sécurité

Elle se présente sous la forme d'une brochure téléchargeable et d'un logiciel dont l'obtention estgratuite.

EBIOS s'intéresse à tous les types de risques :

• incendie, dégâts des eaux • pollution • accidents majeurs • phénomène climatique, sismique, volcanique, météorologique, crue • défaillance de la climatisation • perte d'alimentation énergétique, des moyens de télécommunications • rayonnements électromagnétiques, thermiques • impulsions électromagnétiques (iem) • interception de signaux parasites compromettants • espionnage à distance, écoute passive • vol de supports ou de documents, vol de matériels • divulgation interne, divulgation externe • panne matérielle, dysfonctionnement matériel, saturation du matériel • dysfonctionnement logiciel • destruction de matériels • atteinte à la maintenabilité du système d'information • informations sans garantie de l'origine • piégeage du matériel • utilisation illicite des matériels • altération du logiciel, piégeage du logiciel • copie frauduleuse de logiciels, utilisation de logiciels contrefaits ou copiés • altération des données • abus de droit, usurpation de droit • reniement d'actions • fraude • atteinte à la disponibilité du personnel

Méthode MEHARI

La méthode MEHARI (MEthode Harmonisée d'Analyse de RIsques) est proposée par le CLUSIF(Club de la Sécurité des Systèmes d'Information Français).



Elle est destinée à permettre l'évaluation des risques mais également le contrôle et la gestion de lasécurité de l'Entreprise sur court, moyen et long terme, quelle que soit la répartition géographique dusystème d'information.

La méthode MEHARI s'articule sur 3 types de plans :

• le PSS (Plan Stratégique de Sécurité) qui fixe les objectifs de sécurité et les métriques etqualifie le niveau de gravité des risques encourus,

• les POS (Plans Opérationnels de Sécurité) qui déterminent, par site ou entité géographique,les mesures de sécurité à mettre en place, tout en assurant la cohérence des actionschoisies.

• le POE (Plan Opérationnel d'Entreprise) qui permet le pilotage de la sécurité au niveaustratégique par la mise en place d'indicateurs et la remontée d'informations sur les scénariosles plus critiques.

MEHARI remplace MARION, qui n'est plus développée.

Référentiel COBITLe référentiel de gouvernance des systèmes d'information COBIT couvre une bonne partie desdomaines de l'ISO 2700x. COBIT étant à vocation plus large, il gère l'information au travers un grandnombre de "critères" :

Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité.



Plans d'Activités

PCA – PCS : Plan de Continuité d'activité ou de service• assure la bonne marche d'un ou plusieurs processus vitaux de l'entreprise• Avantages

✗ pallier les dysfonctionnements d'une application ou d'un défaillance matérielle✗ limiter la perte de données au minimum acceptable par l'entreprise✗ Offre mature et diversifiée pour les serveurs en grappe et les serveurs haute

disponibilité✗ Repose sur une architecture réservée au données faisant appel au SAN

✔ Storage Area Network✔ Accès bas niveau aux disques✔ mutualisation des ressources de stockage

• Inconvénients✗ Coût pour atteindre la continuité de service est élevé✗ Ne protège pas contre un sinistre majeur (incendie, explosion...)

• Etapes clés✗ Nomination d'un chef de projet indépendant de la DSI✗ Audit des activités critiques de l'entreprise✗ Réalisation d'un document de synthèse✗ Validation des niveaux d'exigence✗ Elaboration d'un cahier des charges✗ Choix d'un prestataire✗ Formalisation du plan✗ Phase de test et maintenance

PCO : Plan de continuité organisationnel• garantir la survie de l'entreprise

PCI – PSI : Plan de Continuité (Secours) Informatique• vise à garantir le service minimum requis pour les SI

PRA : Plan de Reprise d'Activité• doit assurer le démarrage des applications et des processus clés de l'entreprise• Indicateurs



RTO : Recovery Time Objective• durée maximale d'interruption admissible• Délai nécessaire entre l'arrêt de l'activité et la remise à disposition de l'informatique aux

utilisateurs

RPO : Recovery Point Objective• durée maximum d'enregistrement des données qu'il est acceptable de perdre lors d'une

panne• degré de fraicheur des données • Avantages

• Limitation dans le temps de l'indisponibilité des applications et de la perte de données• Prévention des risques majeurs en assurant le basculement de tout ou partie du système informatique sur un site distant

• Inconvénients• Demande un suivi régulier de processus• Matériel et logiciel du site de secours évoluent avec le SI• Système synchronisé limite la distance à 200 kms


Table des matières - jchambon.frjchambon.fr/DSCG/Textes/07-COURS_MSI_Securite_SI.pdf · Conception...

Documents

Transcript of Table des matières - jchambon.frjchambon.fr/DSCG/Textes/07-COURS_MSI_Securite_SI.pdf · Conception...