Etat de l'Art de La Securite Informatique

8/13/2019 Etat de l'Art de La Securite Informatique

1/77


2/77

Sommaire - Introduction

2

Introduction Quest ce que la scurit ? Quoi protger ? Pourquoi ? Contre qui ? Qui croire ? Comment protger ? La politique de scurit.


3/77

Quest ce que la scurit ?

3

La scurit recouvre l'ensemble de techniquesinformatiques permettant de rduire au maximumles chances de fuites d'information, demodification de donnes ou de dtrioration des

services. Elle consiste un trs grand nombre de

mthodes, de technologies, d'architecturespermettant d'atteindre un certain niveau deprotection.


4/77

Quest ce que la scurit (2) ?

4

"Scuriser" consiste utiliser une ou plusieurs deces techniques dans le but d'lever le niveau descurit d'un systme ou d'une architecture.

La menace reprsente le type d'actionsusceptible de nuire dans l'absolu

La vulnrabilit reprsente le niveaud'exposition face la menace dans uncontexte particulier.

Enfin la contre-mesure est l'ensemble desactions mises en uvre en rvention de la


5/77

Quoi protger ?

5

LInformation au sens large.

LA SECURITE DE LINFORMATION

Scurit dessystmes dinformation

Scurit desRseaux et changes Scurit des

systmes

Scurit juridique Scurit desdveloppements

Voix et Vido

InformationsNon

numrises

Archives

Quelle que soit laforme prise parlinformation ou quelsque soient les moyenspar lesquels elle est

transmise ou stocke,il faut quelle soittoujours protge demanire approprie.

Seulement 40 50% des informations ncessaires pour faire fonctionner uneentreprise sont enregistres sur des supports lectroniques


6/77

Quoi protger (2) ?

6

Le trilogie DIC : Disponibilit. Garantir que les utilisateurs habilits ont accs

linformation et aux ressources associes au moment

voulu (pas daccs non autoris) Intgrit. Sauvegarder lexactitude et la fidlit de linformation

et des mthodes de traitement des donnes (pas de

modification non autorise). Confidentialit Garantir que seules les personnes habilites peuvent

accder linformation (pas de divulgation nonautorise).


7/77

Quoi protger (3) ?

7

Les actifs. Les actifs sont caractriss par leur type et surtout

par leur valeur

Actifs dinformations

Fichiers de donnes, bases de donnesProcdures et manuels utilisateurs,

archives.

Actifs applicatifs

Progiciels, logiciels spcifiques,Systmes dexploitation, outils de

dveloppement, utilitaires.

Actifs physiques

Serveurs informatiques, PC, portables,Matriels rseaux, PABX, units de

climatisation.

Actifs lis la fourniture deservices

Services gnraux (alimentationlectrique, climatisation, etc)


8/77

Pourquoi protger ?

8

Linformation est une ressource stratgique, une matirepremire, elle est un atout pour celui qui la possde et doncattise souvent les convoitises

Les S.I. facilitent laccs linformation Ils grent de grandes quantits dinformation et peuvent la rendeaccessible depuis nimporte quel point du globe

La destruction dun S.I. peut permettre danantir une entit demanire anonyme et sans faire un seul mort

La loi, la rglementation et lthique seront toujours en retardsur la technique

Les individus se comportent rarement comme on lattend Le comportement dun individu confront des situations inhabituelles

et critiques est imprvisible


9/77

Pourquoi protger?

9

Les consquence retenir Vol dinformations et du savoir faire

Dans un contexte de haute technologienotamment

Atteinte limage de marque NASA, e-bay, Wanadoo, RSA,

Indisponibilit du service e-business,

Perte de temps et de moyen humains Remise en service, recherche des dgradations

Tache TRES difficile, peut ncessiter des moyens normes Pertes financires !

Modification des montants de facture Perte dexploitation Erreurs de traitement


10/77

Contre qui ?

10

Les menaces Les diffrents types de pirates

Les diffrentes arnaques et attaques

Les accidents et inconsciences


11/77

La menace - Dfinitions

11

Violation potentielle de la scurit - ISO-7498-2 Menace accidentelle

Menace dun dommage non intentionnel envers le SI Catastrophe naturelle, erreur dexploitation, pannes

Menace intentionnelle ou dlibre

Par opposition la prcdente, elle est le fait dun acte dlibr Menace active

Menace de modification non autorise et dlibre de ltat du systmeo Dommage ou altration du SI

Menace Passive Menace de divulgation non autorise des informations, sans que ltat du SI

soit modifio coutes, lecture de fichiers,

Menace Physique Menace lexistence ou ltat physique du SI

o Sabotage, incendie volontaire, vol,


12/77

Catgories de menacesintentionnelles

12

Lespionnage Obtention dinformations

Le vol Obtention dinformations ou de ressources

La perturbation Affaiblir le S.I.

Le sabotage Mise hors service du S.I.

Le chantage Gain financier, menace de sabotage,

La fraude physique (rcupration de bandes, listings, ) Obtention dinformations Les accs illgitimes (usurpation didentit)

Obtention dinformations


13/77

Origines / Attaquants (1)

13

Accidents Type de menace

Menaces accidentelles (cf. dfinition)

Type dattaquants La nature !

Incendies, Foudre, Inondations, etc

Les fournisseurs EDF, Fournisseurs de connectivit, Fournisseurs de matriels et

de logiciels,

Agresseurs internes (La majorit des cas) Inconsciences et accidents (A ne pas ngliger !)o Provoqus par linattention ou le manque de formation des

administrateurs ou des utilisateurs

Hors du cadre de cette prsentation


14/77


14

Menaces caractre stratgiques Type de menace

Menace intentionnelle active, passive et physique Pour un tat

Le secret dfense et la sret de ltat

Le patrimoine scientifique, technique, conomique, diplomatique La disponibilit des SI et le fonctionnement des institutions

Pour lentreprise Informations concernant ses objectifs et son fonctionnement Les clients, procds de fabrication, recherche et dveloppement

Catgories de menace Espionnage, vol, perturbation, sabotage, fraude physique, accs illgitimes

Type dattaquants Espions

Particuliers (rare), Entreprises, Gouvernements

Terroristes


15/77


15

Menace caractre idologique Type de menace

Menace intentionnelle active, passive et physique Le combat pour les ides est incessant et peut tre le moteur

dactes les plus extrmes Idologie politique, raciale, religieuse, conomique,

Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude

physique, accs illgitimes,

Type dattaquants Militants Vandales Terroristes


16/77


16

Menace caractre terroriste Type de menace

Menace intentionnelle active, passive et physique

Actions concourant dstabiliser lordre tabli A caractre violant : destruction

A caractre insidieux : dsinformation, dtournements


physique, accs illgitimes, Type dattaquants

Terroristes


17/77


17

Menace caractre cupide Type de menace

Menace intentionnelle active, passive et physique Gain pour lattaquant

Financier, technologique,

Pertes pour la victime Entranant un gain pour lagresseur : parts de march, dstabilisation du

concurrent,


physique, accs illgitimes, Type dattaquant

Espions (concurrent ou pour le compte de) Crime Organis Intervenants

Ont souvent accs des informations sensibles, et conservent souvent desfichiers de configuration,


18/77


18

Menace caractre ludique Type de menace

Menace intentionnelle active

Dsir de samuser ou dapprendre Cest la prouesse technique qui est mise en avant

Catgorie de menace Vol, perturbation, sabotage, accs illgitimes,

Type dattaquant Joyriders Vandales

Collectionneurs

Gnralement appels

Hackers o u Crackers


19/77


19

Menace caractre vengeur Type de menace

Menace intentionnelle active, passive et physique galement un moteur dactes extrmes

Souvent lexpression dun employ brim ou licenci qui peut possd une trs

bonne connaissance du SI Catgorie de menace

Vol, perturbation, sabotage, accs illgitimes,

Type dattaquant Personnes extrieures en dsaccord avec lentit

Peur tre un client, un fournisseur, un intervenant, Les employs malveillants ou aigris

Ont souvent une bonne connaissance de lentreprise

Utilisateurs dpassant leurs prrogatives

Administrateurs, informaticiens,


20/77

Origines / Attaquants (Conclusion)

20

Conclusion Liste non exhaustive La menace peut tre composite

Plusieurs motivations (origines) Cupide + Ludique, Idologique + Terroriste,

Plusieurs profils de pirate Employ malveillant + Espion,

Les Hackers et Crackers monopolisent lattention mais nesont en ralit quune composante de la problmatique descurit !


21/77

Contre qui ? - Critres

21

Comment caractriser les agresseurs ? Leurs comptences techniques Le temps qu'ils sont prts passer pour russir

Leurs motivations Leurs moyens Leurs connaissances pralables de la cible


22/77

Classement

22

Un hacker / tudiant externe pour le plaisir Forte Fort Moyenne

Un concurrent Forte Faible Forte

Un escroc (enjeu financier) Moyenne Moyen MoyenneUn opportuniste Faible Faible Faible

Un membre de socit de service Forte Faible Faible

Un ancien membre du personnel Moyenne Faible Moyenne

Un membre du personnel Moyenne Faible Faible

Un stagiaire Forte Moyen Faible

Comptence Temps Motivation


23/77

Dmarche basique (Cracker)

23

Collecter lesOutils (logiciels)

Attaquer lavictime

Se vanter

1

2

3


24/77

Dmarche intermdiaire

24

Collecter lesOutils et sedocumenter

Collecter desinformations

Attaquerla victime

1

2

3,5

4

Identifier lacible


25/77

Dmarche expert (Hacker)

25

Matrise desconcepts et outils

Collecter desinformations

Attaquerla victime

1

2

3,5

4Dvelopper

les outils

Identifier lacible


26/77

Attaques

26

Attaque != VulnrabilitAttaque

Action de malveillance consistant tenter decontourner les fonctions de scurit dun SI (ISO)

Vulnrabilit Faiblesse ou faille dans les procdures de scurit, les

contrles administratifs, les contrles internes dunsystme, qui pourrait tre exploite pour obtenir un

accs non autoris au SI, un de ses services, desinformations ou la connaissance de leur existence etde permettre de porter atteinte la confidentialit, lintgrit et la disponibilit du SI et de sesinformations


27/77

Vulnrabilits

27

Dans la conception Matriel

Protocole

Architecture (Systme, Rseau, )

Logiciel (OS, application, )

Dans limplmentation Matriel

Protocole

Architecture (Systme, rseau )

Logiciel (OS, application, ) Configuration, exploitation

quipement (Routeurs, Firewalls, Serveur, )

Logiciel (OS, application, )


28/77

Attaques

28

Intrusions Vandalisme Denis de service (DOS) Vol dinformations Escroqueries


29/77

Attaques (1)

29

Intrusions Recherche de mots de passe

Dictionnaire

coute du rseau

Brute force Le Spoofing Les sniffers et scanners Les exploits


30/77

Attaques (2)

Vandalisme Destruction de fichiers Destruction de systmes Dfiguration de site Web

30


31/77

Attaques (3)

31

Denis de service (DOS) Bombes logiques (virus) Le flood

TCP-SYN Flooding

Le Nuke Le spamming

Denis de service distribu (DDOS) Amplification des DOS


32/77

Attaques (4)

32

Vol dinformation Suite une intrusion Interception coute Cryptanalyse


33/77


34/77

Les principales escroqueries

34

Le scam. Pratique frauduleuse consistant extorquer des

fonds des internautes en leur faisant miroiter unesomme d'argent dont ils pourraient toucher un

pourcentage.


35/77

Les principales escroqueries (2)

35

Le phreaking. Contraction des mots anglais phone (tlphone) et

freak (monstre) dsignant le piratage de lignestlphoniques Technique frauduleuse permettant lutilisation gratuite de

ressources tlphoniques depuis lextrieur.

Exemple : Le piratage du standard tlphonique de la Citdes Congrs de Nantes a dur trois journes : le montantde la facture de tlphone sest lev de 2 000 70 000

. - La Tribunefvrier 2002 -


36/77


36

Le phising. Contraction des mots anglais fishing, en franais

pche, et phreaking Technique frauduleuse utilise par les pirates informatiques

pour rcuprer des informations (gnralement bancaires)auprs d'internautes.

Technique d'ingnierie sociale c'est--dire consistant exploiter non pas une faille informatique mais la faillehumaine en dupant les internautes par le biais d'un

courrier lectronique semblant provenir d'une entreprise deconfiance.


37/77


37

Le Hoax ou canular. Courrier lectronique propageant une fausse information et

poussant le destinataire diffuser la fausse nouvelle tousses proches ou collgues.

Les consquences

L'engorgement des rseaux et des serveurs de messagerie, Une dsinformation, c'est--dire faire admettre de nombreuses

personnes de faux concepts ou vhiculer de fausses rumeurs, La perte de temps, tant pour ceux qui lisent l'information, que pour

ceux qui la relaye ; La dgradation de l'image d'une personne ou bien d'une

entreprise, L'incrdulit : force de recevoir de fausses alertes les usagers

du rseau risquent de ne plus croire aux vraies.


38/77

Les virus

38

Programme informatique situ dans le corpsd'un autre, qui, lorsqu'on l'excute, se chargeen mmoire et excute les instructions queson auteur a programm

Diffrents types. Les vers Les troyens

Les bombes logiques Les spywares


39/77

Les virus (2)

39

Les vers. Programme qui peut s'auto-reproduire et se

dplacer travers un rseau en utilisant lesmcanismes rseau, sans avoir rellement besoind'un support physique ou logique pour se propager

Les vers actuels se propagent principalementgrce la messagerie grce des fichiers attachscontenant des instructions permettant de rcuprerl'ensemble des adresses de courrier contenuesdans le carnet d'adresse et en envoyant des copiesd'eux-mme tous ces destinataires.


40/77

Les virus (3)

40

Les chevaux de Troie. Programme (en anglais trojan horse) cach dans un

autre qui excute des commandes sournoises, et quignralement donne un accs la machine sur laquelle

il est excut en ouvrant une porte drobe (en anglaisbackdoor Vol de mots de passe Copie de donnes Excution daction nuisible


41/77

Les virus (4)

41

Les bombes. Dispositifs programms dont le dclenchement

s'effectue un moment dtermin en exploitant la datedu systme, le lancement d'une commande, ou

n'importe quel appel au systme Gnralement utilises dans le but de crer un dni de

service Exemple la bombe logique Tchernobyl s'est active le 26 avril

1999


42/77

Les virus (5)

42

Les spyware ou espiogiciels. Programme charg de recueillir des informations sur

l'utilisateur de l'ordinateur sur lequel il est install (onl'appelle donc parfois mouchard) afin de les envoyer lasocit qui le diffuse pour lui permettre de dresser leprofil des internautes (profiling).

Keyloggers : Dispositif charg d'enregistrer les frappesde touches du clavier et de les enregistrer, l'insu de

l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.


43/77

Taxinomie dun incident

43

Taxinomie (ou Taxonomie) Classification dlments selon des taxons

Taxon (biologie) Unit formelle reprsente par un groupe dorganismes,

chaque niveau de la classification.

AttIncident


44/77

44

Attaquant

Terroriste

Espion

Crimeorganis

Militant

Employ

Hacker

Cracker,vandales

Cible

Compteutilisateur

Processus

Donne

Ordinateur

Rseau

Composantdu SI

Act ion

Sonde

Scanne

Flood

Authentifie

Spoof

Court-circuite

Vol

Modifie,copie, efface

Dtruit

Outi l

Attaquephysique

changedinformation

Commandeutilisateur

Toolkit

Script,programme

Agentautonome

Outildistribu

Trappe

Vu lnrab i l i t

Conception

Implmentation

Configuration

Rsultat

Accsillgitime

Divulgationdinformation

Corruptiondinformation

Denis deservice

Vol deressource

Destructionde ressource

Object i f

Challenge,distraction

Gainfinancier

Gainstratgique

Destruction

Vengeance

Attaquevnement


45/77

Qui croire ?

45

Personne ! (mthode paranoaque) Tout le monde nest pas mal intentionn

Il existe des gens mal intentionns Il existe des gens bien intentionns mais irresponsables

(Microsoft, ebay,)A qui fait-on confiance ?

diteurs Partenaires Intervenants (SSII, intgrateurs, consultants, )

Sassurer quils sont aussi rigoureux que vous surla scurit


46/77

Comment protger ?

46

Pas de scurit Miser sur la discrtion

Scurit des systmes

Scurit du rseau Sensibiliser et former le personnel

Aucun modle de scurit ne peut rsoudretous les problmes Dfinir une politique de scurit Dfinir une dmarche scurit


47/77

La politique de scurit ?

47

Cest un dispositif global dont la mise en uvreassure que linformation peut tre partage dunefaon qui garantit un niveau appropri de protectionde cette information et des actifs lis.

Toutes mthodes, techniques et outils concourant laprotection linformation contre un large ventail demenaces afin : De garantir la continuit dactivit de lentreprise,

De rduire les dommages ventuels sur lactivit delentreprise,

De maximiser le retour sur investissement des SystmesdInformation.


48/77

La politique de scurit (2).

48

Les domaines.

SERVICES

DE SECURITE

Les mesures labores dans un plan de scurit peuvent-tre classes en deux familles :

- avant sinistre : mesure de prvention

- aprs sinistre : dtection, ralentissement, correction

ORGANISATION

MANAGEMENT

Management desactifs et des risques

Dfinition desresponsables dactifs

Dfinition des rgles etprocdures de scurit

Dfinition et ralisationdes contrles

Sensibilisation etformation:

Des utilisateurs Des managers Informaticiens

SECURITE

PHYSIQUE

Protection desactifs matriels,locaux

Protectionincendies, etc.

Contrled accs,badges, etc.

REMARQUE

SECURITE

LOGIQUE

PLAN DE

CONTINUITE

Gestion dessauvegardes Plan de secours Back-Up

(physiqueet logique)

Back-Up(physique,

logique) Plan de crise

Accs aux applications changes de donnes Applications


49/77


49

La dmarche type.


50/77


50

Les diffrentes approches.

Analyse des enjeuxet des risques

Assez similaire une dmarchequalit,

Plusieurs mthodologies

disponibles: MEHARI, EBIOS,

Avantages: Dveloppement de laculture du risque, implication dupersonnel, pertinence,

Inconvnients: Cot (ressourceshumaines).

Approche par les bonnespratiques

Recueil de procdures, fiches,Contrles,

Le recueil le plus connu est

ISO 17799, Avantages:Efficacit, exhaustivit,

Inconvnients: Cot.

Approche SSU(Solution de scurit dUrgence)

Mise en oeuvre dune batterieDoutils techniques,

Pare-feux, anti-virus, VPN,SSL, anti-SPAM, etc

Avantages: Dlais de mise enoeuvre, investissement uniquementMatriel/logiciel,

Inconvnients: Donne un fauxSentiment de scurit.

Approchefranaise:CLUSIF

Approcheanglo-saxonne


51/77


51

Les normes ISO concernant la scurit.ISO 13335

ISO 17799 ISO 15408

ISO 18044-gestion des incidentsISO 17944-systmes financiers

ISO 18028-gestion des communicationsISO 14516-scurit dans le e-commerce

Etc


52/77

Les normes ISO.

52

La norme ISO/IEC 15408 Certification internationale relative la scurit des

produits de technologies de linformation.

A destination des industriels du secteur des T.I.C avant tout:Editeurs de logiciels, constructeurs dquipements Un catalogue des exigences fonctionnelles et dassurance de

scurit, lments pour la spcification des exigences de scurit (cible de

scurit, profil de protection), La description des 7 niveaux dassurancede lvaluation(EAL),


53/77

Les normes ISO (2).

53

La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT

Security.

Partie 1: Concepts et modles pour

la scurit des T.I, Partie 2: Management et planification

de la scurit des T.I, Partie 3: Techniques pour la gestion

de la scurit des T.I, Partie 4: Slection de mesures de

scurit, Partie 5: Guide pour la gestion de la

Scurit du rseau.


54/77

Les normes ISO (2).

54

La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT

Security.

Partie 1: Concepts et modles pour

la scurit des T.I, Partie 2: Management et planification

de la scurit des T.I, Partie 3: Techniques pour la gestion

de la scurit des T.I, Partie 4: Slection de mesures de

scurit, Partie 5: Guide pour la gestion de la

Scurit du rseau.


55/77

Les normes ISO (3)

55

ISO 17799 Standard international bas sur les bonnes pratiques de la

gestion de la scurit de linformation, Une approche sappuyant sur la gestion de risques pour

dfinir une politique, des procdures et des contrlesappropris pour grer ces risques


56/77

Les normes ISO (4)

56

Synthse.LES NORMES DE SECURITE DE LINFORMATION AUJOURDHUI

ISO

17799Introduction

Contrles 17799

ISO

13335Modle de Management

Mesures de scurit

Risks management

SECURITE DELINFORMATI

ON

SECURITEDES T.I.C


57/77

La norme ISO 17799 (1)

57

ISO 17799 est : Une norme internationale structure ddie la scurit

de linformation,

Un processus labor pour valuer, implmenter, maintenir et grer

la scurit de linformation, Une srie de contrles bass sur les bonnes pratiques en scurit

de linformation,

Dvelopp par des industriels pour des industriels,

Pouvant sappuyer sur la norme IS0 13335: guidelines for themanagement of IT Security,

Un processus quilibr entre scurit physique, technique,procdurale et la scurit du personnel.


58/77


58

ISO 17799 contient : 10 chapitres, 127 objectifs de contrle class en 3 familles :

Organisationnels Politique de scurit,

Organisation de la scurit,

Continuit dactivit

Fonctionnels Rglementation et lois applicables,

Gestion des ressources humaines,

Oprationnels Scurit et accs logiques,

Dveloppement et gestion des volutions,

Scurit et accs physiques,

10%

10%

80%


59/77


59

Les 10 chapitre de la norme :

Politique de scurit 1Politique de scurit 1

Organisation de la scurit 2Organisation de la scurit 2

Classification et contrle des actifs 3Classification et contrle des actifs 3

Scuritlie aupersonnel

4

Scuritlie aupersonnel

4Scurit

physique etde

lenvironnement

5Scurit

physique etde

lenvironnement

5

Continuit dactivit 9Continuit dactivit 9

Conformit

10Conformit

10

Exploitationetrseaux

6

Exploitationetrseaux

6

Contrledaccslogiques

7


7

Dveloppementet maintenancedes systmes

8


8


60/77

La norme ISO 17799 (4).

60

Lobjectif est, pour la direction, de:

Exprimer formellementla stratgie de scurit de lorganisation,

Communiquer clairement son appui sa mise en uvre.

Politique de scurit 1

Ce document soit tre approuv:

Il doit tre rvis et adapt priodiquementen prenant en compte lefficacitdeses mesures, le cot et limpact des contrles sur lactivit, les effets desvolutions technologiques.

La scurit est une responsabilit partage par tous les membres de lquipe de direction:

Cration duncomit de direction multifonctionddi pour assurer le pilotagede la scurit,

Dfinit rles et responsabilits, les mthodes et procdures et soutient les

initiatives de promotion et de communication interne.


61/77


61

Lobjectif est de:Grer efficacement la scurit de linformation danslorganisation,

Maintenir la scurit des moyens de traitement et des actifsaccds par des tiers ou des sous-traitants,

Maintenir la scurit des informations lorsque la responsabilit

du traitement des informations est externalise une autreorganisation.

Organisation de la scurit 2


62/77


63/77


63

Lobjectif est de maintenir le niveau de protection adapt chaque actifdinformation en accord avec la politique de scurit:

Tout actif important doit tre rpertori et allou unresponsablenominatif,Linformation doit tre classifie en fonction du besoin, de lapriorit et du degr de scurit.

Classification et contrle des actifs 3

Les procdures de classificationdes informations doivent tre dfinies et

couvrir la manipulation des informations sous forme physique aussi bienque lectronique, et pour les diffrentes activits de copie, stockage,transmission et destruction.


64/77


64

Plus de 60% des incidents proviennent de lintrieur de lentreprise !

Scuritlie au

personnel

4

Lobjectif est de:

Rduire le risque derreur, de vol, de fraude ou de mauvais usage desmoyens de traitement,

Sassurer que les utilisateurs ont t informs des risques et menacesconcernant les informations,

Sassurer que les utilisateurs sont forms et quips pour appliquer lapolitique de sret lors de leurs activits normales,

Minimiser les dommagesen cas dincidentou de dysfonctionnement,

Savoir capitalisersur ces incidents et sadapter.


65/77


65

Lobjectif est de:

Prvenir les accs non autoriss, les dommages et lesinterfrences sur les informations, les activits et les locaux delorganisation,

Prvenir la compromission ou le vol des informations ou desmoyens de traitement.

Scuritphysique et

delenvironnement

5


66/77


66

Lobjectif est de:

Assurer une exploitation correcte et sure des moyens de traitement,

Minimiser les risques de pannes et leur impact,

Assurer lintgritet la disponibilit des informations, des traitements etdes communications,

Prvenir les dommages aux actifs et les interruptions de service,

Prvenir les pertes, les modifications et les utilisations frauduleusesdinformationschanges entre organisations.

Exploitationet

rseaux

6


67/77


67

Lobjectif est de:

Grer et contrler laccsaux informations,

Prvenir les accs non autoriss,

Assurer la protectiondes systmes en rseau,

Dtecter les activits non autorises,

Assurer la scurit des informations lors des accs mobiles oudistants.


7


68/77


68

La politique de contrle comprend notamment:

Lenregistrementuniquede chaque utilisateur,

Une procdure crite de dlivrance dun processusdauthentificationsigne du responsable hirarchique,

Des services de dconnexion automatiqueen cas dinactivit,

Une politique de rvision des mots de passe,

Une hirarchisation du niveau daccs en fonction du degr deconfidentialit des donnes.


69/77


69

Lobjectif est de:

Assurer que la scurit soit incluse ds la phase de conception,

Prvenir la perte, la modification ou la mauvaise utilisation desinformations hbergespar les systmes,

Protger la confidentialit, lintgritet la disponibilit des informations,

Assurer que les projets et activits de maintenance sont conduits demanire sre,

Maintenir la scurit des applications (logiciel et donnes).


8


70/77


70

Lobjectif est de dvelopper la capacit rpondre rapidement auxinterruptions des activits critiques de lorganisation rsultant de pannes,

dincidents, de sinistres ou e catastrophes.

Une analyse des risques partir de divers scnarii de sinistre etune valuation de la criticit des applications permet dtablirdiffrents plans de poursuite des oprations depuis le mode

dgrad en cas de dysfonctionnement mineur jusqu la reprisedans un local distant en cas de sinistre grave (incendie, attentat,grve,)

Continuit dactivit 9


71/77


72/77

Les mthodes de scurit.

72

Les plus connues en France sont MEHARI (Clusif),EBIOS (DCSSI) et MARION (Clusif). Ces mthodes ont leurs propres rfrentiels qui ne couvrent pas

toujours strictement le spectre de lISO17799,

Il peut par consquent tre ncessaire de retravailler les bases deconnaissance de ces mthodes pour obtenir une couverturecomplte de la scurit de lInformation,

La commission mthodes du Clusif a corrl la base deconnaissance de MEHARI afin de couvrir lensembledes mesuresde ISO 17799.

Systme de Management de la


73/77

y gScurit de lInformation.

73

Management System : Systme pour tablir lapolitique et les objectifs et pour atteindre cesobjectifs (ISO guide 72).

Les systmes de management sont utiliss dansles entreprises pour dvelopper leurs politiques etles mettre en application travers des objectifs etdes cibles en utilisant:

Une organisation dans lentreprise, Des processus et des ressources associs,

Des contrles et une mthode dvaluation,

Des processus de rvision pour garantir que les anomalies sontcorriges et mettre en uvre des axes damlioration le cas

chant.



74/77

y gScurit de lInformation (2).

74

Certaines organisations commencent aborder lascurit de linformation comme un systmeintgr appel un Information System ManagementSystem (ISMS).

Mise en uvre dun vrai processus danalyse,dlaboration de contrle et dvolution dunepolitique de scurit en appliquant un concept bien

connu en qualit, le modle PDCA.



75/77


75

Modle PDCA.

MODELE PDCA

PLAN: Etablir les objectifs

conformment aux risques et aux

exigences de scurit,

DO: Implmenter et oprer les

fonctionnalits et procdures,

CHECK: Grer les incidents, les erreurs,

auditer,ACT: Faire voluer la politique et les

moyens conformment aux besoins.



76/77


76

Les normes pour construire un SMSI.Spcifications de lISMS

BS 7799 Partie 2

SMSI Guidelines (managementdes risques, choix des mesures

de scurit)

ISO 13335 ISO/IEC18044

Managementdes Incidents

PD 3000 serieson risk and

selection ofcontrols

SMSI Mesures decontrle

ISO/IEC17799

Certification de systme demanagement et organismes

daccrdition (audit, procdures etc)

ISO Guide 62 EA7/03

ISO G 73

EN45012

ISO19011ISO9001

Normes et schmas nationaux

Certification de systme demanagement et organismes

daccrdition (audit, procdures etc)

ISO Guide 62 EA7/03

ISO G 73

EN45012

ISO19011ISO9001

Normes et schmas nationaux


77/77

La certification BS7799-2

A linstar de ISO 9000 pour le management de laqualit, BS 7799-2 est la seule norme etcertification qui existe actuellement pour les ISMS.

Dfinit les conditions pour ltablissement, la miseen uvre et la documentation dun ISMS, Dfinit les exigences de contrles pour la scurit devant tre mis

en application selon les besoins de diffrents organismes,

Elle se compose de 10 chapitres de 127 contrles,

Ncessite 2 tapes (audit de la documentation puis audit delimplmentation),

En France, le COFRAC (Comit Franais dAccrditation et deCertification) peut valider un schma de certification BS 7799-2.

Documents

Etat de l'Art de La Securite Informatique