Upload
marianuschka
View
222
Download
0
Embed Size (px)
Citation preview
8/13/2019 Etat de l'Art de La Securite Informatique
1/77
8/13/2019 Etat de l'Art de La Securite Informatique
2/77
Sommaire - Introduction
2
Introduction Quest ce que la scurit ? Quoi protger ? Pourquoi ? Contre qui ? Qui croire ? Comment protger ? La politique de scurit.
8/13/2019 Etat de l'Art de La Securite Informatique
3/77
Quest ce que la scurit ?
3
La scurit recouvre l'ensemble de techniquesinformatiques permettant de rduire au maximumles chances de fuites d'information, demodification de donnes ou de dtrioration des
services. Elle consiste un trs grand nombre de
mthodes, de technologies, d'architecturespermettant d'atteindre un certain niveau deprotection.
8/13/2019 Etat de l'Art de La Securite Informatique
4/77
Quest ce que la scurit (2) ?
4
"Scuriser" consiste utiliser une ou plusieurs deces techniques dans le but d'lever le niveau descurit d'un systme ou d'une architecture.
La menace reprsente le type d'actionsusceptible de nuire dans l'absolu
La vulnrabilit reprsente le niveaud'exposition face la menace dans uncontexte particulier.
Enfin la contre-mesure est l'ensemble desactions mises en uvre en rvention de la
8/13/2019 Etat de l'Art de La Securite Informatique
5/77
Quoi protger ?
5
LInformation au sens large.
LA SECURITE DE LINFORMATION
Scurit dessystmes dinformation
Scurit desRseaux et changes Scurit des
systmes
Scurit juridique Scurit desdveloppements
Voix et Vido
InformationsNon
numrises
Archives
Quelle que soit laforme prise parlinformation ou quelsque soient les moyenspar lesquels elle est
transmise ou stocke,il faut quelle soittoujours protge demanire approprie.
Seulement 40 50% des informations ncessaires pour faire fonctionner uneentreprise sont enregistres sur des supports lectroniques
8/13/2019 Etat de l'Art de La Securite Informatique
6/77
Quoi protger (2) ?
6
Le trilogie DIC : Disponibilit. Garantir que les utilisateurs habilits ont accs
linformation et aux ressources associes au moment
voulu (pas daccs non autoris) Intgrit. Sauvegarder lexactitude et la fidlit de linformation
et des mthodes de traitement des donnes (pas de
modification non autorise). Confidentialit Garantir que seules les personnes habilites peuvent
accder linformation (pas de divulgation nonautorise).
8/13/2019 Etat de l'Art de La Securite Informatique
7/77
Quoi protger (3) ?
7
Les actifs. Les actifs sont caractriss par leur type et surtout
par leur valeur
Actifs dinformations
Fichiers de donnes, bases de donnesProcdures et manuels utilisateurs,
archives.
Actifs applicatifs
Progiciels, logiciels spcifiques,Systmes dexploitation, outils de
dveloppement, utilitaires.
Actifs physiques
Serveurs informatiques, PC, portables,Matriels rseaux, PABX, units de
climatisation.
Actifs lis la fourniture deservices
Services gnraux (alimentationlectrique, climatisation, etc)
8/13/2019 Etat de l'Art de La Securite Informatique
8/77
Pourquoi protger ?
8
Linformation est une ressource stratgique, une matirepremire, elle est un atout pour celui qui la possde et doncattise souvent les convoitises
Les S.I. facilitent laccs linformation Ils grent de grandes quantits dinformation et peuvent la rendeaccessible depuis nimporte quel point du globe
La destruction dun S.I. peut permettre danantir une entit demanire anonyme et sans faire un seul mort
La loi, la rglementation et lthique seront toujours en retardsur la technique
Les individus se comportent rarement comme on lattend Le comportement dun individu confront des situations inhabituelles
et critiques est imprvisible
8/13/2019 Etat de l'Art de La Securite Informatique
9/77
Pourquoi protger?
9
Les consquence retenir Vol dinformations et du savoir faire
Dans un contexte de haute technologienotamment
Atteinte limage de marque NASA, e-bay, Wanadoo, RSA,
Indisponibilit du service e-business,
Perte de temps et de moyen humains Remise en service, recherche des dgradations
Tache TRES difficile, peut ncessiter des moyens normes Pertes financires !
Modification des montants de facture Perte dexploitation Erreurs de traitement
8/13/2019 Etat de l'Art de La Securite Informatique
10/77
Contre qui ?
10
Les menaces Les diffrents types de pirates
Les diffrentes arnaques et attaques
Les accidents et inconsciences
8/13/2019 Etat de l'Art de La Securite Informatique
11/77
La menace - Dfinitions
11
Violation potentielle de la scurit - ISO-7498-2 Menace accidentelle
Menace dun dommage non intentionnel envers le SI Catastrophe naturelle, erreur dexploitation, pannes
Menace intentionnelle ou dlibre
Par opposition la prcdente, elle est le fait dun acte dlibr Menace active
Menace de modification non autorise et dlibre de ltat du systmeo Dommage ou altration du SI
Menace Passive Menace de divulgation non autorise des informations, sans que ltat du SI
soit modifio coutes, lecture de fichiers,
Menace Physique Menace lexistence ou ltat physique du SI
o Sabotage, incendie volontaire, vol,
8/13/2019 Etat de l'Art de La Securite Informatique
12/77
Catgories de menacesintentionnelles
12
Lespionnage Obtention dinformations
Le vol Obtention dinformations ou de ressources
La perturbation Affaiblir le S.I.
Le sabotage Mise hors service du S.I.
Le chantage Gain financier, menace de sabotage,
La fraude physique (rcupration de bandes, listings, ) Obtention dinformations Les accs illgitimes (usurpation didentit)
Obtention dinformations
8/13/2019 Etat de l'Art de La Securite Informatique
13/77
Origines / Attaquants (1)
13
Accidents Type de menace
Menaces accidentelles (cf. dfinition)
Type dattaquants La nature !
Incendies, Foudre, Inondations, etc
Les fournisseurs EDF, Fournisseurs de connectivit, Fournisseurs de matriels et
de logiciels,
Agresseurs internes (La majorit des cas) Inconsciences et accidents (A ne pas ngliger !)o Provoqus par linattention ou le manque de formation des
administrateurs ou des utilisateurs
Hors du cadre de cette prsentation
8/13/2019 Etat de l'Art de La Securite Informatique
14/77
Origines / Attaquants (2)
14
Menaces caractre stratgiques Type de menace
Menace intentionnelle active, passive et physique Pour un tat
Le secret dfense et la sret de ltat
Le patrimoine scientifique, technique, conomique, diplomatique La disponibilit des SI et le fonctionnement des institutions
Pour lentreprise Informations concernant ses objectifs et son fonctionnement Les clients, procds de fabrication, recherche et dveloppement
Catgories de menace Espionnage, vol, perturbation, sabotage, fraude physique, accs illgitimes
Type dattaquants Espions
Particuliers (rare), Entreprises, Gouvernements
Terroristes
8/13/2019 Etat de l'Art de La Securite Informatique
15/77
Origines / Attaquants (3)
15
Menace caractre idologique Type de menace
Menace intentionnelle active, passive et physique Le combat pour les ides est incessant et peut tre le moteur
dactes les plus extrmes Idologie politique, raciale, religieuse, conomique,
Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accs illgitimes,
Type dattaquants Militants Vandales Terroristes
8/13/2019 Etat de l'Art de La Securite Informatique
16/77
Origines / Attaquants (4)
16
Menace caractre terroriste Type de menace
Menace intentionnelle active, passive et physique
Actions concourant dstabiliser lordre tabli A caractre violant : destruction
A caractre insidieux : dsinformation, dtournements
Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accs illgitimes, Type dattaquants
Terroristes
8/13/2019 Etat de l'Art de La Securite Informatique
17/77
Origines / Attaquants (5)
17
Menace caractre cupide Type de menace
Menace intentionnelle active, passive et physique Gain pour lattaquant
Financier, technologique,
Pertes pour la victime Entranant un gain pour lagresseur : parts de march, dstabilisation du
concurrent,
Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accs illgitimes, Type dattaquant
Espions (concurrent ou pour le compte de) Crime Organis Intervenants
Ont souvent accs des informations sensibles, et conservent souvent desfichiers de configuration,
8/13/2019 Etat de l'Art de La Securite Informatique
18/77
Origines / Attaquants (6)
18
Menace caractre ludique Type de menace
Menace intentionnelle active
Dsir de samuser ou dapprendre Cest la prouesse technique qui est mise en avant
Catgorie de menace Vol, perturbation, sabotage, accs illgitimes,
Type dattaquant Joyriders Vandales
Collectionneurs
Gnralement appels
Hackers o u Crackers
8/13/2019 Etat de l'Art de La Securite Informatique
19/77
Origines / Attaquants (7)
19
Menace caractre vengeur Type de menace
Menace intentionnelle active, passive et physique galement un moteur dactes extrmes
Souvent lexpression dun employ brim ou licenci qui peut possd une trs
bonne connaissance du SI Catgorie de menace
Vol, perturbation, sabotage, accs illgitimes,
Type dattaquant Personnes extrieures en dsaccord avec lentit
Peur tre un client, un fournisseur, un intervenant, Les employs malveillants ou aigris
Ont souvent une bonne connaissance de lentreprise
Utilisateurs dpassant leurs prrogatives
Administrateurs, informaticiens,
8/13/2019 Etat de l'Art de La Securite Informatique
20/77
Origines / Attaquants (Conclusion)
20
Conclusion Liste non exhaustive La menace peut tre composite
Plusieurs motivations (origines) Cupide + Ludique, Idologique + Terroriste,
Plusieurs profils de pirate Employ malveillant + Espion,
Les Hackers et Crackers monopolisent lattention mais nesont en ralit quune composante de la problmatique descurit !
8/13/2019 Etat de l'Art de La Securite Informatique
21/77
Contre qui ? - Critres
21
Comment caractriser les agresseurs ? Leurs comptences techniques Le temps qu'ils sont prts passer pour russir
Leurs motivations Leurs moyens Leurs connaissances pralables de la cible
8/13/2019 Etat de l'Art de La Securite Informatique
22/77
Classement
22
Un hacker / tudiant externe pour le plaisir Forte Fort Moyenne
Un concurrent Forte Faible Forte
Un escroc (enjeu financier) Moyenne Moyen MoyenneUn opportuniste Faible Faible Faible
Un membre de socit de service Forte Faible Faible
Un ancien membre du personnel Moyenne Faible Moyenne
Un membre du personnel Moyenne Faible Faible
Un stagiaire Forte Moyen Faible
Comptence Temps Motivation
8/13/2019 Etat de l'Art de La Securite Informatique
23/77
Dmarche basique (Cracker)
23
Collecter lesOutils (logiciels)
Attaquer lavictime
Se vanter
1
2
3
8/13/2019 Etat de l'Art de La Securite Informatique
24/77
Dmarche intermdiaire
24
Collecter lesOutils et sedocumenter
Collecter desinformations
Attaquerla victime
1
2
3,5
4
Identifier lacible
8/13/2019 Etat de l'Art de La Securite Informatique
25/77
Dmarche expert (Hacker)
25
Matrise desconcepts et outils
Collecter desinformations
Attaquerla victime
1
2
3,5
4Dvelopper
les outils
Identifier lacible
8/13/2019 Etat de l'Art de La Securite Informatique
26/77
Attaques
26
Attaque != VulnrabilitAttaque
Action de malveillance consistant tenter decontourner les fonctions de scurit dun SI (ISO)
Vulnrabilit Faiblesse ou faille dans les procdures de scurit, les
contrles administratifs, les contrles internes dunsystme, qui pourrait tre exploite pour obtenir un
accs non autoris au SI, un de ses services, desinformations ou la connaissance de leur existence etde permettre de porter atteinte la confidentialit, lintgrit et la disponibilit du SI et de sesinformations
8/13/2019 Etat de l'Art de La Securite Informatique
27/77
Vulnrabilits
27
Dans la conception Matriel
Protocole
Architecture (Systme, Rseau, )
Logiciel (OS, application, )
Dans limplmentation Matriel
Protocole
Architecture (Systme, rseau )
Logiciel (OS, application, ) Configuration, exploitation
quipement (Routeurs, Firewalls, Serveur, )
Logiciel (OS, application, )
8/13/2019 Etat de l'Art de La Securite Informatique
28/77
Attaques
28
Intrusions Vandalisme Denis de service (DOS) Vol dinformations Escroqueries
8/13/2019 Etat de l'Art de La Securite Informatique
29/77
Attaques (1)
29
Intrusions Recherche de mots de passe
Dictionnaire
coute du rseau
Brute force Le Spoofing Les sniffers et scanners Les exploits
8/13/2019 Etat de l'Art de La Securite Informatique
30/77
Attaques (2)
Vandalisme Destruction de fichiers Destruction de systmes Dfiguration de site Web
30
8/13/2019 Etat de l'Art de La Securite Informatique
31/77
Attaques (3)
31
Denis de service (DOS) Bombes logiques (virus) Le flood
TCP-SYN Flooding
Le Nuke Le spamming
Denis de service distribu (DDOS) Amplification des DOS
8/13/2019 Etat de l'Art de La Securite Informatique
32/77
Attaques (4)
32
Vol dinformation Suite une intrusion Interception coute Cryptanalyse
8/13/2019 Etat de l'Art de La Securite Informatique
33/77
8/13/2019 Etat de l'Art de La Securite Informatique
34/77
Les principales escroqueries
34
Le scam. Pratique frauduleuse consistant extorquer des
fonds des internautes en leur faisant miroiter unesomme d'argent dont ils pourraient toucher un
pourcentage.
8/13/2019 Etat de l'Art de La Securite Informatique
35/77
Les principales escroqueries (2)
35
Le phreaking. Contraction des mots anglais phone (tlphone) et
freak (monstre) dsignant le piratage de lignestlphoniques Technique frauduleuse permettant lutilisation gratuite de
ressources tlphoniques depuis lextrieur.
Exemple : Le piratage du standard tlphonique de la Citdes Congrs de Nantes a dur trois journes : le montantde la facture de tlphone sest lev de 2 000 70 000
. - La Tribunefvrier 2002 -
8/13/2019 Etat de l'Art de La Securite Informatique
36/77
Les principales escroqueries (3)
36
Le phising. Contraction des mots anglais fishing, en franais
pche, et phreaking Technique frauduleuse utilise par les pirates informatiques
pour rcuprer des informations (gnralement bancaires)auprs d'internautes.
Technique d'ingnierie sociale c'est--dire consistant exploiter non pas une faille informatique mais la faillehumaine en dupant les internautes par le biais d'un
courrier lectronique semblant provenir d'une entreprise deconfiance.
8/13/2019 Etat de l'Art de La Securite Informatique
37/77
Les principales escroqueries (4)
37
Le Hoax ou canular. Courrier lectronique propageant une fausse information et
poussant le destinataire diffuser la fausse nouvelle tousses proches ou collgues.
Les consquences
L'engorgement des rseaux et des serveurs de messagerie, Une dsinformation, c'est--dire faire admettre de nombreuses
personnes de faux concepts ou vhiculer de fausses rumeurs, La perte de temps, tant pour ceux qui lisent l'information, que pour
ceux qui la relaye ; La dgradation de l'image d'une personne ou bien d'une
entreprise, L'incrdulit : force de recevoir de fausses alertes les usagers
du rseau risquent de ne plus croire aux vraies.
8/13/2019 Etat de l'Art de La Securite Informatique
38/77
Les virus
38
Programme informatique situ dans le corpsd'un autre, qui, lorsqu'on l'excute, se chargeen mmoire et excute les instructions queson auteur a programm
Diffrents types. Les vers Les troyens
Les bombes logiques Les spywares
8/13/2019 Etat de l'Art de La Securite Informatique
39/77
Les virus (2)
39
Les vers. Programme qui peut s'auto-reproduire et se
dplacer travers un rseau en utilisant lesmcanismes rseau, sans avoir rellement besoind'un support physique ou logique pour se propager
Les vers actuels se propagent principalementgrce la messagerie grce des fichiers attachscontenant des instructions permettant de rcuprerl'ensemble des adresses de courrier contenuesdans le carnet d'adresse et en envoyant des copiesd'eux-mme tous ces destinataires.
8/13/2019 Etat de l'Art de La Securite Informatique
40/77
Les virus (3)
40
Les chevaux de Troie. Programme (en anglais trojan horse) cach dans un
autre qui excute des commandes sournoises, et quignralement donne un accs la machine sur laquelle
il est excut en ouvrant une porte drobe (en anglaisbackdoor Vol de mots de passe Copie de donnes Excution daction nuisible
8/13/2019 Etat de l'Art de La Securite Informatique
41/77
Les virus (4)
41
Les bombes. Dispositifs programms dont le dclenchement
s'effectue un moment dtermin en exploitant la datedu systme, le lancement d'une commande, ou
n'importe quel appel au systme Gnralement utilises dans le but de crer un dni de
service Exemple la bombe logique Tchernobyl s'est active le 26 avril
1999
8/13/2019 Etat de l'Art de La Securite Informatique
42/77
Les virus (5)
42
Les spyware ou espiogiciels. Programme charg de recueillir des informations sur
l'utilisateur de l'ordinateur sur lequel il est install (onl'appelle donc parfois mouchard) afin de les envoyer lasocit qui le diffuse pour lui permettre de dresser leprofil des internautes (profiling).
Keyloggers : Dispositif charg d'enregistrer les frappesde touches du clavier et de les enregistrer, l'insu de
l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.
8/13/2019 Etat de l'Art de La Securite Informatique
43/77
Taxinomie dun incident
43
Taxinomie (ou Taxonomie) Classification dlments selon des taxons
Taxon (biologie) Unit formelle reprsente par un groupe dorganismes,
chaque niveau de la classification.
AttIncident
8/13/2019 Etat de l'Art de La Securite Informatique
44/77
44
Attaquant
Terroriste
Espion
Crimeorganis
Militant
Employ
Hacker
Cracker,vandales
Cible
Compteutilisateur
Processus
Donne
Ordinateur
Rseau
Composantdu SI
Act ion
Sonde
Scanne
Flood
Authentifie
Spoof
Court-circuite
Vol
Modifie,copie, efface
Dtruit
Outi l
Attaquephysique
changedinformation
Commandeutilisateur
Toolkit
Script,programme
Agentautonome
Outildistribu
Trappe
Vu lnrab i l i t
Conception
Implmentation
Configuration
Rsultat
Accsillgitime
Divulgationdinformation
Corruptiondinformation
Denis deservice
Vol deressource
Destructionde ressource
Object i f
Challenge,distraction
Gainfinancier
Gainstratgique
Destruction
Vengeance
Attaquevnement
8/13/2019 Etat de l'Art de La Securite Informatique
45/77
Qui croire ?
45
Personne ! (mthode paranoaque) Tout le monde nest pas mal intentionn
Il existe des gens mal intentionns Il existe des gens bien intentionns mais irresponsables
(Microsoft, ebay,)A qui fait-on confiance ?
diteurs Partenaires Intervenants (SSII, intgrateurs, consultants, )
Sassurer quils sont aussi rigoureux que vous surla scurit
8/13/2019 Etat de l'Art de La Securite Informatique
46/77
Comment protger ?
46
Pas de scurit Miser sur la discrtion
Scurit des systmes
Scurit du rseau Sensibiliser et former le personnel
Aucun modle de scurit ne peut rsoudretous les problmes Dfinir une politique de scurit Dfinir une dmarche scurit
8/13/2019 Etat de l'Art de La Securite Informatique
47/77
La politique de scurit ?
47
Cest un dispositif global dont la mise en uvreassure que linformation peut tre partage dunefaon qui garantit un niveau appropri de protectionde cette information et des actifs lis.
Toutes mthodes, techniques et outils concourant laprotection linformation contre un large ventail demenaces afin : De garantir la continuit dactivit de lentreprise,
De rduire les dommages ventuels sur lactivit delentreprise,
De maximiser le retour sur investissement des SystmesdInformation.
8/13/2019 Etat de l'Art de La Securite Informatique
48/77
La politique de scurit (2).
48
Les domaines.
SERVICES
DE SECURITE
Les mesures labores dans un plan de scurit peuvent-tre classes en deux familles :
- avant sinistre : mesure de prvention
- aprs sinistre : dtection, ralentissement, correction
ORGANISATION
MANAGEMENT
Management desactifs et des risques
Dfinition desresponsables dactifs
Dfinition des rgles etprocdures de scurit
Dfinition et ralisationdes contrles
Sensibilisation etformation:
Des utilisateurs Des managers Informaticiens
SECURITE
PHYSIQUE
Protection desactifs matriels,locaux
Protectionincendies, etc.
Contrled accs,badges, etc.
REMARQUE
SECURITE
LOGIQUE
PLAN DE
CONTINUITE
Gestion dessauvegardes Plan de secours Back-Up
(physiqueet logique)
Back-Up(physique,
logique) Plan de crise
Accs aux applications changes de donnes Applications
8/13/2019 Etat de l'Art de La Securite Informatique
49/77
La politique de scurit (3).
49
La dmarche type.
8/13/2019 Etat de l'Art de La Securite Informatique
50/77
La politique de scurit (4).
50
Les diffrentes approches.
Analyse des enjeuxet des risques
Assez similaire une dmarchequalit,
Plusieurs mthodologies
disponibles: MEHARI, EBIOS,
Avantages: Dveloppement de laculture du risque, implication dupersonnel, pertinence,
Inconvnients: Cot (ressourceshumaines).
Approche par les bonnespratiques
Recueil de procdures, fiches,Contrles,
Le recueil le plus connu est
ISO 17799, Avantages:Efficacit, exhaustivit,
Inconvnients: Cot.
Approche SSU(Solution de scurit dUrgence)
Mise en oeuvre dune batterieDoutils techniques,
Pare-feux, anti-virus, VPN,SSL, anti-SPAM, etc
Avantages: Dlais de mise enoeuvre, investissement uniquementMatriel/logiciel,
Inconvnients: Donne un fauxSentiment de scurit.
Approchefranaise:CLUSIF
Approcheanglo-saxonne
8/13/2019 Etat de l'Art de La Securite Informatique
51/77
La politique de scurit (5).
51
Les normes ISO concernant la scurit.ISO 13335
ISO 17799 ISO 15408
ISO 18044-gestion des incidentsISO 17944-systmes financiers
ISO 18028-gestion des communicationsISO 14516-scurit dans le e-commerce
Etc
8/13/2019 Etat de l'Art de La Securite Informatique
52/77
Les normes ISO.
52
La norme ISO/IEC 15408 Certification internationale relative la scurit des
produits de technologies de linformation.
A destination des industriels du secteur des T.I.C avant tout:Editeurs de logiciels, constructeurs dquipements Un catalogue des exigences fonctionnelles et dassurance de
scurit, lments pour la spcification des exigences de scurit (cible de
scurit, profil de protection), La description des 7 niveaux dassurancede lvaluation(EAL),
8/13/2019 Etat de l'Art de La Securite Informatique
53/77
Les normes ISO (2).
53
La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT
Security.
Partie 1: Concepts et modles pour
la scurit des T.I, Partie 2: Management et planification
de la scurit des T.I, Partie 3: Techniques pour la gestion
de la scurit des T.I, Partie 4: Slection de mesures de
scurit, Partie 5: Guide pour la gestion de la
Scurit du rseau.
8/13/2019 Etat de l'Art de La Securite Informatique
54/77
Les normes ISO (2).
54
La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT
Security.
Partie 1: Concepts et modles pour
la scurit des T.I, Partie 2: Management et planification
de la scurit des T.I, Partie 3: Techniques pour la gestion
de la scurit des T.I, Partie 4: Slection de mesures de
scurit, Partie 5: Guide pour la gestion de la
Scurit du rseau.
8/13/2019 Etat de l'Art de La Securite Informatique
55/77
Les normes ISO (3)
55
ISO 17799 Standard international bas sur les bonnes pratiques de la
gestion de la scurit de linformation, Une approche sappuyant sur la gestion de risques pour
dfinir une politique, des procdures et des contrlesappropris pour grer ces risques
8/13/2019 Etat de l'Art de La Securite Informatique
56/77
Les normes ISO (4)
56
Synthse.LES NORMES DE SECURITE DE LINFORMATION AUJOURDHUI
ISO
17799Introduction
Contrles 17799
ISO
13335Modle de Management
Mesures de scurit
Risks management
SECURITE DELINFORMATI
ON
SECURITEDES T.I.C
8/13/2019 Etat de l'Art de La Securite Informatique
57/77
La norme ISO 17799 (1)
57
ISO 17799 est : Une norme internationale structure ddie la scurit
de linformation,
Un processus labor pour valuer, implmenter, maintenir et grer
la scurit de linformation, Une srie de contrles bass sur les bonnes pratiques en scurit
de linformation,
Dvelopp par des industriels pour des industriels,
Pouvant sappuyer sur la norme IS0 13335: guidelines for themanagement of IT Security,
Un processus quilibr entre scurit physique, technique,procdurale et la scurit du personnel.
8/13/2019 Etat de l'Art de La Securite Informatique
58/77
La norme ISO 17799 (2)
58
ISO 17799 contient : 10 chapitres, 127 objectifs de contrle class en 3 familles :
Organisationnels Politique de scurit,
Organisation de la scurit,
Continuit dactivit
Fonctionnels Rglementation et lois applicables,
Gestion des ressources humaines,
Oprationnels Scurit et accs logiques,
Dveloppement et gestion des volutions,
Scurit et accs physiques,
10%
10%
80%
8/13/2019 Etat de l'Art de La Securite Informatique
59/77
La norme ISO 17799 (3)
59
Les 10 chapitre de la norme :
Politique de scurit 1Politique de scurit 1
Organisation de la scurit 2Organisation de la scurit 2
Classification et contrle des actifs 3Classification et contrle des actifs 3
Scuritlie aupersonnel
4
Scuritlie aupersonnel
4Scurit
physique etde
lenvironnement
5Scurit
physique etde
lenvironnement
5
Continuit dactivit 9Continuit dactivit 9
Conformit
10Conformit
10
Exploitationetrseaux
6
Exploitationetrseaux
6
Contrledaccslogiques
7
Contrledaccslogiques
7
Dveloppementet maintenancedes systmes
8
Dveloppementet maintenancedes systmes
8
8/13/2019 Etat de l'Art de La Securite Informatique
60/77
La norme ISO 17799 (4).
60
Lobjectif est, pour la direction, de:
Exprimer formellementla stratgie de scurit de lorganisation,
Communiquer clairement son appui sa mise en uvre.
Politique de scurit 1
Ce document soit tre approuv:
Il doit tre rvis et adapt priodiquementen prenant en compte lefficacitdeses mesures, le cot et limpact des contrles sur lactivit, les effets desvolutions technologiques.
La scurit est une responsabilit partage par tous les membres de lquipe de direction:
Cration duncomit de direction multifonctionddi pour assurer le pilotagede la scurit,
Dfinit rles et responsabilits, les mthodes et procdures et soutient les
initiatives de promotion et de communication interne.
8/13/2019 Etat de l'Art de La Securite Informatique
61/77
La norme ISO 17799 (5).
61
Lobjectif est de:Grer efficacement la scurit de linformation danslorganisation,
Maintenir la scurit des moyens de traitement et des actifsaccds par des tiers ou des sous-traitants,
Maintenir la scurit des informations lorsque la responsabilit
du traitement des informations est externalise une autreorganisation.
Organisation de la scurit 2
8/13/2019 Etat de l'Art de La Securite Informatique
62/77
8/13/2019 Etat de l'Art de La Securite Informatique
63/77
La norme ISO 17799 (7).
63
Lobjectif est de maintenir le niveau de protection adapt chaque actifdinformation en accord avec la politique de scurit:
Tout actif important doit tre rpertori et allou unresponsablenominatif,Linformation doit tre classifie en fonction du besoin, de lapriorit et du degr de scurit.
Classification et contrle des actifs 3
Les procdures de classificationdes informations doivent tre dfinies et
couvrir la manipulation des informations sous forme physique aussi bienque lectronique, et pour les diffrentes activits de copie, stockage,transmission et destruction.
8/13/2019 Etat de l'Art de La Securite Informatique
64/77
La norme ISO 17799 (8).
64
Plus de 60% des incidents proviennent de lintrieur de lentreprise !
Scuritlie au
personnel
4
Lobjectif est de:
Rduire le risque derreur, de vol, de fraude ou de mauvais usage desmoyens de traitement,
Sassurer que les utilisateurs ont t informs des risques et menacesconcernant les informations,
Sassurer que les utilisateurs sont forms et quips pour appliquer lapolitique de sret lors de leurs activits normales,
Minimiser les dommagesen cas dincidentou de dysfonctionnement,
Savoir capitalisersur ces incidents et sadapter.
8/13/2019 Etat de l'Art de La Securite Informatique
65/77
La norme ISO 17799 (8).
65
Lobjectif est de:
Prvenir les accs non autoriss, les dommages et lesinterfrences sur les informations, les activits et les locaux delorganisation,
Prvenir la compromission ou le vol des informations ou desmoyens de traitement.
Scuritphysique et
delenvironnement
5
8/13/2019 Etat de l'Art de La Securite Informatique
66/77
La norme ISO 17799 (9).
66
Lobjectif est de:
Assurer une exploitation correcte et sure des moyens de traitement,
Minimiser les risques de pannes et leur impact,
Assurer lintgritet la disponibilit des informations, des traitements etdes communications,
Prvenir les dommages aux actifs et les interruptions de service,
Prvenir les pertes, les modifications et les utilisations frauduleusesdinformationschanges entre organisations.
Exploitationet
rseaux
6
8/13/2019 Etat de l'Art de La Securite Informatique
67/77
La norme ISO 17799 (9).
67
Lobjectif est de:
Grer et contrler laccsaux informations,
Prvenir les accs non autoriss,
Assurer la protectiondes systmes en rseau,
Dtecter les activits non autorises,
Assurer la scurit des informations lors des accs mobiles oudistants.
Contrledaccslogiques
7
8/13/2019 Etat de l'Art de La Securite Informatique
68/77
La norme ISO 17799 (10).
68
La politique de contrle comprend notamment:
Lenregistrementuniquede chaque utilisateur,
Une procdure crite de dlivrance dun processusdauthentificationsigne du responsable hirarchique,
Des services de dconnexion automatiqueen cas dinactivit,
Une politique de rvision des mots de passe,
Une hirarchisation du niveau daccs en fonction du degr deconfidentialit des donnes.
8/13/2019 Etat de l'Art de La Securite Informatique
69/77
La norme ISO 17799 (11).
69
Lobjectif est de:
Assurer que la scurit soit incluse ds la phase de conception,
Prvenir la perte, la modification ou la mauvaise utilisation desinformations hbergespar les systmes,
Protger la confidentialit, lintgritet la disponibilit des informations,
Assurer que les projets et activits de maintenance sont conduits demanire sre,
Maintenir la scurit des applications (logiciel et donnes).
Dveloppementet maintenancedes systmes
8
8/13/2019 Etat de l'Art de La Securite Informatique
70/77
La norme ISO 17799 (12).
70
Lobjectif est de dvelopper la capacit rpondre rapidement auxinterruptions des activits critiques de lorganisation rsultant de pannes,
dincidents, de sinistres ou e catastrophes.
Une analyse des risques partir de divers scnarii de sinistre etune valuation de la criticit des applications permet dtablirdiffrents plans de poursuite des oprations depuis le mode
dgrad en cas de dysfonctionnement mineur jusqu la reprisedans un local distant en cas de sinistre grave (incendie, attentat,grve,)
Continuit dactivit 9
8/13/2019 Etat de l'Art de La Securite Informatique
71/77
8/13/2019 Etat de l'Art de La Securite Informatique
72/77
Les mthodes de scurit.
72
Les plus connues en France sont MEHARI (Clusif),EBIOS (DCSSI) et MARION (Clusif). Ces mthodes ont leurs propres rfrentiels qui ne couvrent pas
toujours strictement le spectre de lISO17799,
Il peut par consquent tre ncessaire de retravailler les bases deconnaissance de ces mthodes pour obtenir une couverturecomplte de la scurit de lInformation,
La commission mthodes du Clusif a corrl la base deconnaissance de MEHARI afin de couvrir lensembledes mesuresde ISO 17799.
Systme de Management de la
8/13/2019 Etat de l'Art de La Securite Informatique
73/77
y gScurit de lInformation.
73
Management System : Systme pour tablir lapolitique et les objectifs et pour atteindre cesobjectifs (ISO guide 72).
Les systmes de management sont utiliss dansles entreprises pour dvelopper leurs politiques etles mettre en application travers des objectifs etdes cibles en utilisant:
Une organisation dans lentreprise, Des processus et des ressources associs,
Des contrles et une mthode dvaluation,
Des processus de rvision pour garantir que les anomalies sontcorriges et mettre en uvre des axes damlioration le cas
chant.
Systme de Management de la
8/13/2019 Etat de l'Art de La Securite Informatique
74/77
y gScurit de lInformation (2).
74
Certaines organisations commencent aborder lascurit de linformation comme un systmeintgr appel un Information System ManagementSystem (ISMS).
Mise en uvre dun vrai processus danalyse,dlaboration de contrle et dvolution dunepolitique de scurit en appliquant un concept bien
connu en qualit, le modle PDCA.
Systme de Management de la
8/13/2019 Etat de l'Art de La Securite Informatique
75/77
y gScurit de lInformation (3).
75
Modle PDCA.
MODELE PDCA
PLAN: Etablir les objectifs
conformment aux risques et aux
exigences de scurit,
DO: Implmenter et oprer les
fonctionnalits et procdures,
CHECK: Grer les incidents, les erreurs,
auditer,ACT: Faire voluer la politique et les
moyens conformment aux besoins.
Systme de Management de la
8/13/2019 Etat de l'Art de La Securite Informatique
76/77
y gScurit de lInformation (4).
76
Les normes pour construire un SMSI.Spcifications de lISMS
BS 7799 Partie 2
SMSI Guidelines (managementdes risques, choix des mesures
de scurit)
ISO 13335 ISO/IEC18044
Managementdes Incidents
PD 3000 serieson risk and
selection ofcontrols
SMSI Mesures decontrle
ISO/IEC17799
Certification de systme demanagement et organismes
daccrdition (audit, procdures etc)
ISO Guide 62 EA7/03
ISO G 73
EN45012
ISO19011ISO9001
Normes et schmas nationaux
Certification de systme demanagement et organismes
daccrdition (audit, procdures etc)
ISO Guide 62 EA7/03
ISO G 73
EN45012
ISO19011ISO9001
Normes et schmas nationaux
8/13/2019 Etat de l'Art de La Securite Informatique
77/77
La certification BS7799-2
A linstar de ISO 9000 pour le management de laqualit, BS 7799-2 est la seule norme etcertification qui existe actuellement pour les ISMS.
Dfinit les conditions pour ltablissement, la miseen uvre et la documentation dun ISMS, Dfinit les exigences de contrles pour la scurit devant tre mis
en application selon les besoins de diffrents organismes,
Elle se compose de 10 chapitres de 127 contrles,
Ncessite 2 tapes (audit de la documentation puis audit delimplmentation),
En France, le COFRAC (Comit Franais dAccrditation et deCertification) peut valider un schma de certification BS 7799-2.