0_Etat de l%27art de la s%E9curit%E9 informatique - Introduction - V 1.01
80
1 Novembre – Décembre 2005 Version 1.01 État de l’art de la sécurité informatique Introduction Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE – Expert Réseaux et Sécurité
0_Etat de l%27art de la s%E9curit%E9 informatique - Introduction - V 1.01
Sécurité InformatiqueÉtat de l’art de la
sécurité informatique
Novembre – Décembre 2005 Version 1.01
Présentation
Intervenants
Partie pratique :
Ingénieur Réseaux et Sécurité
Membre fondateur du GREPSSI
Groupe de Réflexion et d’Echange sur les Problématiques liées à la
Sécurité des Systèmes
Novembre – Décembre 2005 Version 1.01
Programme
Programme – Partie théorique
6 sessions théoriques
Session du 31/10/2005
Session du 07/11/2005
21/11/2005
28/11/2005
05/12/2005
Novembre – Décembre 2005 Version 1.01
Sommaire - Introduction
Quoi protéger ?
Qu’est ce que la sécurité ?
La sécurité recouvre l'ensemble de techniques informatiques
permettant de réduire au maximum les chances de fuites
d'information, de modification de données ou de détérioration des
services.
Elle consiste à un très grand nombre de méthodes, de technologies,
d'architectures permettant d'atteindre un certain niveau de
protection.
Novembre – Décembre 2005 Version 1.01
Qu’est ce que la sécurité (2) ?
"Sécuriser" consiste à utiliser une ou plusieurs de ces techniques
dans le but d'élever le niveau de sécurité d'un système ou d'une
architecture.
La menace représente le type d'action susceptible de nuire dans
l'absolu
La vulnérabilité représente le niveau d'exposition face à la menace
dans un contexte particulier.
Enfin la contre-mesure est l'ensemble des actions mises en oeuvre
en prévention de la menace.
Novembre – Décembre 2005 Version 1.01
Quoi protéger ?
Sécurité des
Informations
Non
numérisées
Archives
Quelle que soit la forme prise par l’information ou quels que
soient les moyens par lesquels elle est transmise ou stockée, il
faut qu’elle soit toujours protégée de manière appropriée.
Seulement 40 à 50% des informations nécessaires pour faire
fonctionner une entreprise sont enregistrées sur des supports
électroniques
Novembre – Décembre 2005 Version 1.01
Quoi protéger (2) ?
Le triptyque DIC :
Disponibilité.
Garantir que les utilisateurs habilités ont accès à l’information
et aux ressources associées au moment voulu (pas d’accès non
autorisé)
Intégrité.
Sauvegarder l’exactitude et la fidélité de l’information et des
méthodes de traitement des données (pas de modification non
autorisée).
Confidentialité
Garantir que seules les personnes habilitées peuvent accéder à
l’information (pas de divulgation non autorisée).
Novembre – Décembre 2005 Version 1.01
Quoi protéger (3) ?
Les actifs.
Les actifs sont caractérisés par leur type et surtout par leur
valeur
Actifs applicatifs
développement, utilitaires.
Actifs physiques
climatisation.
services
Procédures et manuels utilisateurs,
Pourquoi protéger ?
L’information est une ressource stratégique, une matière première,
elle est un atout pour celui qui la possède et donc attise souvent
les convoitises
Les S.I. facilitent l’accès à l’information
Ils gèrent de grandes quantités d’information et peuvent la rende
accessible depuis n’importe quel point du globe
La destruction d’un S.I. peut permettre d’anéantir une entité de
manière anonyme et sans faire un seul mort
La loi, la réglementation et l’éthique seront toujours en retard
sur la technique
Les individus se comportent rarement comme on l’attend
Le comportement d’un individu confronté à des situations
inhabituelles et critiques est imprévisible
Novembre – Décembre 2005 Version 1.01
Pourquoi protéger?
Atteinte à l’image de marque
NASA, e-bay, Wanadoo, RSA, …
Remise en service, recherche des dégradations
Tache TRES difficile, peut nécessiter des moyens énormes
Pertes financières !
Perte d’exploitation
Erreurs de traitement
Contre qui ?
Les menaces
Les accidents et inconsciences
La menace - Définitions
Menace accidentelle
Catastrophe naturelle, erreur d’exploitation, pannes
Menace intentionnelle ou délibérée
Par opposition à la précédente, elle est le fait d’un acte
délibéré
Menace active
Menace de modification non autorisée et délibérée de l’état du
système
Dommage ou altération du SI
Menace Passive
Menace de divulgation non autorisée des informations, sans que
l’état du SI soit modifié
Écoutes, lecture de fichiers, …
Sabotage, incendie volontaire, vol, …
Catégories de menaces intentionnelles
La perturbation
Le chantage
La fraude physique (récupération de bandes, listings, …)
Obtention d’informations
Obtention d’informations
Origines / Attaquants (1)
EDF, Fournisseurs de connectivité, Fournisseurs de matériels et de
logiciels, …
Agresseurs internes (La majorité des cas)
Inconsciences et accidents (A ne pas négliger !)
Provoqués par l’inattention ou le manque de formation des
administrateurs ou des utilisateurs
Hors du cadre de cette présentation
Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (2)
Pour un état
Le patrimoine scientifique, technique, économique,
diplomatique
La disponibilité des SI et le fonctionnement des institutions
Pour l’entreprise
Les clients, procédés de fabrication, recherche et
développement
Catégories de menace
Type d’attaquants
Origines / Attaquants (3)
Menace intentionnelle active, passive et physique
Le combat pour les idées est incessant et peut être le moteur
d’actes les plus extrêmes
Idéologie politique, raciale, religieuse, économique, …
Catégorie de menace
Type d’attaquants
Origines / Attaquants (4)
Actions concourant à déstabiliser l’ordre établi
A caractère violant : destruction
Catégorie de menace
Type d’attaquants
Origines / Attaquants (5)
Gain pour l’attaquant
Pertes pour la victime
Entraînant un gain pour l’agresseur : parts de marché,
déstabilisation du concurrent, …
Catégorie de menace
Type d’attaquant
Crime Organisé
Intervenants
Ont souvent accès à des informations sensibles, et conservent
souvent des fichiers de configuration, …
Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (6)
C’est la prouesse technique qui est mise en avant
Catégorie de menace
Type d’attaquant
Origines / Attaquants (7)
Menace intentionnelle active, passive et physique
Également un moteur d’actes extrêmes
Souvent l’expression d’un employé brimé ou licencié qui peut
possédé une très bonne connaissance du SI
Catégorie de menace
Type d’attaquant
Peur être un client, un fournisseur, un intervenant, …
Les employés malveillants ou aigris
Ont souvent une bonne connaissance de l’entreprise
Utilisateurs dépassant leurs prérogatives
Origines / Attaquants (Conclusion)
Plusieurs motivations (origines)
Employé malveillant + Espion, …
Les Hackers et Crackers monopolisent l’attention mais ne sont en
réalité qu’une composante de la problématique de sécurité !
Novembre – Décembre 2005 Version 1.01
Contre qui ? - Critères
Leurs motivations
Leurs moyens
Novembre – Décembre 2005 Version 1.01
Classement
Forte
Fort
Moyenne
Forte
Faible
Faible
Moyenne
Faible
Moyenne
Démarche basique (Cracker)
Démarche intermédiaire
Collecter les
Démarche expert (Hacker)
Attaques
Attaque
Action de malveillance consistant à tenter de contourner les
fonctions de sécurité d’un SI (ISO)
Vulnérabilité
Faiblesse ou faille dans les procédures de sécurité, les contrôles
administratifs, les contrôles internes d’un système, qui pourrait
être exploitée pour obtenir un accès non autorisé au SI, à un de
ses services, à des informations ou à la connaissance de leur
existence et de permettre de porter atteinte à la confidentialité,
à l’intégrité et à la disponibilité du SI et de ses
informations
Novembre – Décembre 2005 Version 1.01
Vulnérabilités
Attaques
Intrusions
Vandalisme
Attaques (1)
Dictionnaire
Attaques (2)
Attaques (3)
Amplification des DOS
Les bombes logiques Sont appelés bombes logiques les dispositifs
programmés dont le déclenchement s'effectue à un moment déterminé
en exploitant la date du système, le lancement d'une commande, ou
n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis
sur un grand nombre de machines (on parle alors de bombe à
retardement ou de bombe temporelle), par exemple le jour de la
Saint Valentin, ou la date anniversaire d'un événement majeur : la
bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du
13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de
créer un déni de service en saturant les connexions réseau d'un
site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu
intelligents (qui connaissent votre adresse IP ) qui s'amusent à
utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un
envoie à répétition des paquets d'informations sur le port 139,
Windows affiche un magnifique écran bleu du plus bel effet, vous
n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le
bug.
Novembre – Décembre 2005 Version 1.01
Attaques (4)
Les principales escroqueries
L’ingénierie sociale.
Il s'agit ainsi d'une technique consistant à obtenir des
informations de la part des utilisateurs par téléphone, courrier
électronique, courrier traditionnel ou contact direct
Exemple : Le message vocal du Président de Hewlett-Packard à son
Directeur administratif et financier, où il évoquait la fusion avec
Compaq a été intercepté et diffusé à travers l’Internet. » - Avril
2002 -
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries
Le scam.
Pratique frauduleuse consistant à extorquer des fonds à des
internautes en leur faisant miroiter une somme d'argent dont ils
pourraient toucher un pourcentage.
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (2)
Le phreaking.
Contraction des mots anglais phone (téléphone) et freak (monstre)
désignant le piratage de lignes téléphoniques
Technique frauduleuse permettant l’utilisation gratuite de
ressources téléphoniques depuis l’extérieur.
Exemple : Le piratage du standard téléphonique de la Cité des
Congrès de Nantes a duré trois journées : le montant de la facture
de téléphone s’est élevé de 2 000 € à 70 000 €. » - La Tribune
– février 2002 -
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (3)
Contraction des mots anglais «fishing», en français pêche, et
«phreaking»
Technique frauduleuse utilisée par les pirates informatiques pour
récupérer des informations (généralement bancaires) auprès
d'internautes.
Technique d'«ingénierie sociale» c'est-à-dire consistant à
exploiter non pas une faille informatique mais la «faille humaine»
en dupant les internautes par le biais d'un courrier électronique
semblant provenir d'une entreprise de confiance.
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (4)
Le Hoax ou canular.
Les conséquences
Une désinformation, c'est-à-dire faire admettre à de nombreuses
personnes de faux concepts ou véhiculer de fausses rumeurs,
La perte de temps, tant pour ceux qui lisent l'information, que
pour ceux qui la relaye ;
La dégradation de l'image d'une personne ou bien d'une
entreprise,
L'incrédulité : à force de recevoir de fausses alertes les usagers
du réseau risquent de ne plus croire aux vraies.
Novembre – Décembre 2005 Version 1.01
Les virus
Programme informatique situé dans le corps d'un autre, qui,
lorsqu'on l'exécute, se charge en mémoire et exécute les
instructions que son auteur a programmé
Différents types.
Les vers
Les troyens
Les virus (2)
Les vers.
Programme qui peut s'auto-reproduire et se déplacer à travers un
réseau en utilisant les mécanismes réseau, sans avoir réellement
besoin d'un support physique ou logique pour se propager
Les vers actuels se propagent principalement grâce à la messagerie
grâce à des fichiers attachés contenant des instructions permettant
de récupérer l'ensemble des adresses de courrier contenues dans le
carnet d'adresse et en envoyant des copies d'eux-même à tous ces
destinataires.
Novembre – Décembre 2005 Version 1.01
Les virus (3)
Les chevaux de Troie.
Programme (en anglais trojan horse) caché dans un autre qui exécute
des commandes sournoises, et qui généralement donne un accès à la
machine sur laquelle il est exécuté en ouvrant une porte dérobée
(en anglais backdoor
Vol de mots de passe
Copie de données
Exécution d’action nuisible
Les bombes logiques Sont appelés bombes logiques les dispositifs
programmés dont le déclenchement s'effectue à un moment déterminé
en exploitant la date du système, le lancement d'une commande, ou
n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis
sur un grand nombre de machines (on parle alors de bombe à
retardement ou de bombe temporelle), par exemple le jour de la
Saint Valentin, ou la date anniversaire d'un événement majeur : la
bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du
13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de
créer un déni de service en saturant les connexions réseau d'un
site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu
intelligents (qui connaissent votre adresse IP ) qui s'amusent à
utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un
envoie à répétition des paquets d'informations sur le port 139,
Windows affiche un magnifique écran bleu du plus bel effet, vous
n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le
bug.
Novembre – Décembre 2005 Version 1.01
Les virus (4)
Les bombes.
Dispositifs programmés dont le déclenchement s'effectue à un moment
déterminé en exploitant la date du système, le lancement d'une
commande, ou n'importe quel appel au système
Généralement utilisées dans le but de créer un déni de
service
Exemple la bombe logique Tchernobyl s'est activée le 26 avril
1999
Les bombes logiques Sont appelés bombes logiques les dispositifs
programmés dont le déclenchement s'effectue à un moment déterminé
en exploitant la date du système, le lancement d'une commande, ou
n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis
sur un grand nombre de machines (on parle alors de bombe à
retardement ou de bombe temporelle), par exemple le jour de la
Saint Valentin, ou la date anniversaire d'un événement majeur : la
bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du
13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de
créer un déni de service en saturant les connexions réseau d'un
site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu
intelligents (qui connaissent votre adresse IP ) qui s'amusent à
utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un
envoie à répétition des paquets d'informations sur le port 139,
Windows affiche un magnifique écran bleu du plus bel effet, vous
n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le
bug.
Novembre – Décembre 2005 Version 1.01
Les virus (5)
Les spyware ou espiogiciels.
Programme chargé de recueillir des informations sur l'utilisateur
de l'ordinateur sur lequel il est installé (on l'appelle donc
parfois mouchard) afin de les envoyer à la société qui le diffuse
pour lui permettre de dresser le profil des internautes
(profiling).
Keyloggers : Dispositif chargé d'enregistrer les frappes de touches
du clavier et de les enregistrer, à l'insu de l'utilisateur. Il
s'agit donc d'un dispositif d'espionnage.
Novembre – Décembre 2005 Version 1.01
Taxinomie d’un incident
Taxon (biologie)
Unité formelle représentée par un groupe d’organismes, à chaque
niveau de la classification.
Novembre – Décembre 2005 Version 1.01
Attaquant
Terroriste
Espion
Crime
organisé
Militant
Employé
Hacker
Cracker,
vandales…
Cible
Compte
utilisateur
Processus
Donnée
Ordinateur
Réseau
Composant
Qui croire ?
Il existe des gens mal intentionnés
Il existe des gens bien intentionnés mais irresponsables
(Microsoft, ebay,…)
A qui fait-on confiance ?
Intervenants (SSII, intégrateurs, consultants, …)
S’assurer qu’ils sont aussi rigoureux que vous sur la
sécurité
Novembre – Décembre 2005 Version 1.01
Comment protéger ?
Aucun modèle de sécurité ne peut résoudre tous les problèmes
Définir une politique de sécurité
Définir une démarche sécurité
La politique de sécurité ?
C’est un dispositif global dont la mise en œuvre assure que
l’information peut être partagée d’une façon qui garantit un niveau
approprié de protection de cette information et des actifs
liés.
Toutes méthodes, techniques et outils concourant à la protection
l’information contre un large éventail de menaces afin :
De garantir la continuité d’activité de l’entreprise,
De réduire les dommages éventuels sur l’activité de
l’entreprise,
De maximiser le retour sur investissement des Systèmes
d’Information.
Novembre – Décembre 2005 Version 1.01
La politique de sécurité (2).
Les domaines.
La démarche type.
Les différentes approches.
Les normes ISO concernant la sécurité.
Novembre – Décembre 2005 Version 1.01
Les normes ISO.
Certification internationale relative à la sécurité des produits de
technologies de l’information.
A destination des industriels du secteur des T.I.C avant tout:
Editeurs de logiciels, constructeurs d’équipements…
Un catalogue des exigences fonctionnelles et d’assurance de
sécurité,
Éléments pour la spécification des exigences de sécurité (cible de
sécurité, profil de protection),
La description des 7 niveaux d’assurance de l’évaluation
(EAL),
Novembre – Décembre 2005 Version 1.01
Les normes ISO (2).
La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modèles pour
la sécurité des T.I,
Partie 3: Techniques pour la gestion
de la sécurité des T.I,
Partie 4: Sélection de mesures de
sécurité,
Sécurité du réseau.
Les normes ISO (2).
La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modèles pour
la sécurité des T.I,
Partie 3: Techniques pour la gestion
de la sécurité des T.I,
Partie 4: Sélection de mesures de
sécurité,
Sécurité du réseau.
Les normes ISO (3)
ISO 17799
Standard international basé sur les bonnes pratiques de la gestion
de la sécurité de l’information,
Une approche s’appuyant sur la gestion de risques pour définir une
politique, des procédures et des contrôles appropriés pour gérer
ces risques
Novembre – Décembre 2005 Version 1.01
Les normes ISO (4)
SECURITE DE L’INFORMATION
ISO 17799 est :
Une norme internationale structurée dédiée à la sécurité de
l’information,
Un processus élaboré pour évaluer, implémenter, maintenir et gérer
la sécurité de l’information,
Une série de contrôles basés sur les bonnes pratiques en sécurité
de l’information,
Développé par des industriels pour des industriels,
Pouvant s’appuyer sur la norme IS0 13335: guidelines for the
management of IT Security,
Un processus équilibré entre sécurité physique, technique,
procédurale et la sécurité du personnel.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (2)
ISO 17799 contient :
Organisationnels
Sécurité et accès physiques,
Les 10 chapitre de la norme :
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (4).
L’objectif est, pour la direction, de:
Exprimer formellement la stratégie de sécurité de
l’organisation,
Communiquer clairement son appui à sa mise en œuvre.
Politique de sécurité
Ce document soit être approuvé:
Il doit être révisé et adapté périodiquement en prenant en compte
l’efficacité de ses mesures, le coût et l’impact des contrôles sur
l’activité, les effets des évolutions technologiques.
La sécurité est une responsabilité partagée par tous les membres de
l’équipe de direction:
Création d’un comité de direction multifonction dédié pour assurer
le pilotage de la sécurité,
Définit rôles et responsabilités, les méthodes et procédures et
soutient les initiatives de promotion et de communication
interne.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (5).
L’objectif est de:
Gérer efficacement la sécurité de l’information dans
l’organisation,
Maintenir la sécurité des moyens de traitement et des actifs
accédés par des tiers ou des sous-traitants,
Maintenir la sécurité des informations lorsque la responsabilité du
traitement des informations est externalisée à une autre
organisation.
Organisation de la sécurité
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (6).
L’objectif est de maintenir le niveau de protection adapté à chaque
actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un
responsable nominatif,
L’information doit être classifiée en fonction du besoin, de la
priorité et du degré de sécurité.
Les procédures de classification des informations doivent être
définies et couvrir la manipulation des informations sous forme
physique aussi bien que électronique, et pour les différentes
activités de copie, stockage, transmission et destruction.
Classification et contrôle des actifs
3
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (7).
L’objectif est de maintenir le niveau de protection adapté à chaque
actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un
responsable nominatif,
L’information doit être classifiée en fonction du besoin, de la
priorité et du degré de sécurité.
Les procédures de classification des informations doivent être
définies et couvrir la manipulation des informations sous forme
physique aussi bien que électronique, et pour les différentes
activités de copie, stockage, transmission et destruction.
Classification et contrôle des actifs
3
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
Plus de 60% des incidents proviennent de l’intérieur de
l’entreprise !
Sécurité
L’objectif est de:
Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage
des moyens de traitement,
S’assurer que les utilisateurs ont été informés des risques et
menaces concernant les informations,
S’assurer que les utilisateurs sont formés et équipés pour
appliquer la politique de sûreté lors de leurs activités
normales,
Minimiser les dommages en cas d’incident ou de
dysfonctionnement,
Savoir capitaliser sur ces incidents et s’adapter.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
L’objectif est de:
Prévenir les accès non autorisés, les dommages et les interférences
sur les informations, les activités et les locaux de
l’organisation,
Prévenir la compromission ou le vol des informations ou des moyens
de traitement.
Sécurité
L’objectif est de:
Assurer une exploitation correcte et sure des moyens de
traitement,
Minimiser les risques de pannes et leur impact,
Assurer l’intégrité et la disponibilité des informations, des
traitements et des communications,
Prévenir les dommages aux actifs et les interruptions de
service,
Prévenir les pertes, les modifications et les utilisations
frauduleuses d’informations échangées entre organisations.
Exploitation
et
réseaux
6
L’objectif est de:
Prévenir les accès non autorisés,
Assurer la protection des systèmes en réseau,
Détecter les activités non autorisées,
Assurer la sécurité des informations lors des accès mobiles ou
distants.
Contrôle
La politique de contrôle comprend notamment:
L’enregistrement unique de chaque utilisateur,
Une procédure écrite de délivrance d’un processus
d’authentification signée du responsable hiérarchique,
Des services de déconnexion automatique en cas d’inactivité,
Une politique de révision des mots de passe,
Une hiérarchisation du niveau d’accès en fonction du degré de
confidentialité des données.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (11).
L’objectif est de:
Assurer que la sécurité soit incluse dès la phase de
conception,
Prévenir la perte, la modification ou la mauvaise utilisation des
informations hébergées par les systèmes,
Protéger la confidentialité, l’intégrité et la disponibilité des
informations,
Assurer que les projets et activités de maintenance sont conduits
de manière sûre,
Maintenir la sécurité des applications (logiciel et données).
Développement
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (12).
L’objectif est de développer la capacité à répondre rapidement aux
interruptions des activités critiques de l’organisation résultant
de pannes, d’incidents, de sinistres ou e catastrophes.
Une analyse des risques à partir de divers scénarii de sinistre et
une évaluation de la criticité des applications permet d’établir
différents plans de poursuite des opérations depuis le mode dégradé
en cas de dysfonctionnement mineur jusqu’à la reprise dans un local
distant en cas de sinistre grave (incendie, attentat,
grève,…)
Continuité d’activité
La conformité se décline en 3 volets:
Le respect des lois et réglementations: Licences logicielles,
propriété intellectuelle, règles de manipulation des fichiers
contenant des informations touchant la confidentialité des
personnes,
La conformité des procédures en place au regard de la politique de
sécurité de l’organisation, c’est à dire des dispositifs mis en
place pour assurer les objectifs de sécurité définis par la
Direction Générale,
L’efficacité des dispositifs de traçabilité et de suivi des
procédures en place: Journaux d’activité, pistes d’audit,
enregistrement de transactions,…
Conformité
10
Les méthodes de sécurité.
Les plus connues en France sont MEHARI (Clusif), EBIOS (DCSSI) et
MARION (Clusif).
Ces méthodes ont leurs propres référentiels qui ne couvrent pas
toujours strictement le spectre de l’ISO 17799,
Il peut par conséquent être nécessaire de retravailler les bases de
connaissance de ces méthodes pour obtenir une couverture complète
de la sécurité de l’Information,
La commission « méthodes » du Clusif a corrélé la base de
connaissance de MEHARI afin de couvrir l’ensemble des mesures de
ISO 17799.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information.
Management System : Système pour établir la politique et les
objectifs et pour atteindre ces objectifs (ISO guide 72).
Les systèmes de management sont utilisés dans les entreprises pour
développer leurs politiques et les mettre en application à travers
des objectifs et des cibles en utilisant:
Une organisation dans l’entreprise,
Des processus et des ressources associés,
Des contrôles et une méthode d’évaluation,
Des processus de révision pour garantir que les anomalies sont
corrigées et mettre en œuvre des axes d’amélioration le cas
échéant.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (2).
Certaines organisations commencent à aborder la sécurité de
l’information comme un système intégré appelé un Information System
Management System (ISMS).
Mise en œuvre d’un vrai processus d’analyse, d’élaboration de
contrôle et d’évolution d’une politique de sécurité en appliquant
un concept bien connu en qualité, le modèle PDCA.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (3).
Modèle PDCA.
MODELE PDCA
PLAN: Etablir les objectifs conformément aux risques et aux
exigences de sécurité,
DO: Implémenter et opérer les fonctionnalités et procédures,
CHECK: Gérer les incidents, les erreurs, auditer,
ACT: Faire évoluer la politique et les moyens conformément aux
besoins.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (4).
Les normes pour construire un SMSI.
Novembre – Décembre 2005 Version 1.01
La certification BS7799-2
A l’instar de ISO 9000 pour le management de la qualité, BS 7799-2
est la seule norme et certification qui existe actuellement pour
les ISMS.
Définit les conditions pour l’établissement, la mise en œuvre et la
documentation d’un ISMS,
Définit les exigences de contrôles pour la sécurité devant être mis
en application selon les besoins de différents organismes,
Elle se compose de 10 chapitres de 127 contrôles,
Nécessite 2 étapes (audit de la documentation puis audit de
l’implémentation),
En France, le COFRAC (Comité Français d’Accréditation et de
Certification) peut valider un schéma de certification BS
7799-2.
SERVICES
DE SECURITE
Les mesures élaborées dans un plan de sécuritépeuvent-être classées
en deux familles :
-avant sinistre : mesure de pr évention
-après sinistre : détection, ralentissement, correction
ORGANISATION
MANAGEMENT
Single Sign On
RADIUS - TACACS/TACACS+ - Kerberos
Généralités
Virus, Vers et chevaux de Troie
Conclusion
Synthèse
personnel, pertinence,
ISO 17799,
D’outils techniques,
•Pare-feux, anti-virus, VPN,
SSL, anti-SPAM, etc…
oeuvre, investissement uniquement
2
2
3
3
Sécurité
de sécurité)
ISO 13335ISO/IEC