0_etat de l%27art de la s%e9curit%e9 informatique - introduction - v 1.01
DESCRIPTION
gfTRANSCRIPT
Sécurité InformatiqueÉtat de l’art de la
sécurité informatique
Novembre – Décembre 2005 Version 1.01
Présentation
Intervenants
Partie pratique :
Ingénieur Réseaux et Sécurité
Membre fondateur du GREPSSI
Groupe de Réflexion et d’Echange sur les Problématiques liées à la Sécurité des Systèmes
Novembre – Décembre 2005 Version 1.01
Programme
Programme – Partie théorique
6 sessions théoriques
Session du 31/10/2005
Session du 07/11/2005
21/11/2005
28/11/2005
05/12/2005
Novembre – Décembre 2005 Version 1.01
Sommaire - Introduction
Quoi protéger ?
Qu’est ce que la sécurité ?
La sécurité recouvre l'ensemble de techniques informatiques permettant de réduire au maximum les chances de fuites d'information, de modification de données ou de détérioration des services.
Elle consiste à un très grand nombre de méthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.
Novembre – Décembre 2005 Version 1.01
Qu’est ce que la sécurité (2) ?
"Sécuriser" consiste à utiliser une ou plusieurs de ces techniques dans le but d'élever le niveau de sécurité d'un système ou d'une architecture.
La menace représente le type d'action susceptible de nuire dans l'absolu
La vulnérabilité représente le niveau d'exposition face à la menace dans un contexte particulier.
Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.
Novembre – Décembre 2005 Version 1.01
Quoi protéger ?
Sécurité des
Informations
Non
numérisées
Archives
Quelle que soit la forme prise par l’information ou quels que soient les moyens par lesquels elle est transmise ou stockée, il faut qu’elle soit toujours protégée de manière appropriée.
Seulement 40 à 50% des informations nécessaires pour faire fonctionner une entreprise sont enregistrées sur des supports électroniques
Novembre – Décembre 2005 Version 1.01
Quoi protéger (2) ?
Le triptyque DIC :
Disponibilité.
Garantir que les utilisateurs habilités ont accès à l’information et aux ressources associées au moment voulu (pas d’accès non autorisé)
Intégrité.
Sauvegarder l’exactitude et la fidélité de l’information et des méthodes de traitement des données (pas de modification non autorisée).
Confidentialité
Garantir que seules les personnes habilitées peuvent accéder à l’information (pas de divulgation non autorisée).
Novembre – Décembre 2005 Version 1.01
Quoi protéger (3) ?
Les actifs.
Les actifs sont caractérisés par leur type et surtout par leur valeur
Actifs applicatifs
développement, utilitaires.
Actifs physiques
climatisation.
services
Procédures et manuels utilisateurs,
Pourquoi protéger ?
L’information est une ressource stratégique, une matière première, elle est un atout pour celui qui la possède et donc attise souvent les convoitises
Les S.I. facilitent l’accès à l’information
Ils gèrent de grandes quantités d’information et peuvent la rende accessible depuis n’importe quel point du globe
La destruction d’un S.I. peut permettre d’anéantir une entité de manière anonyme et sans faire un seul mort
La loi, la réglementation et l’éthique seront toujours en retard sur la technique
Les individus se comportent rarement comme on l’attend
Le comportement d’un individu confronté à des situations inhabituelles et critiques est imprévisible
Novembre – Décembre 2005 Version 1.01
Pourquoi protéger?
Atteinte à l’image de marque
NASA, e-bay, Wanadoo, RSA, …
Remise en service, recherche des dégradations
Tache TRES difficile, peut nécessiter des moyens énormes
Pertes financières !
Perte d’exploitation
Erreurs de traitement
Contre qui ?
Les menaces
Les accidents et inconsciences
La menace - Définitions
Menace accidentelle
Catastrophe naturelle, erreur d’exploitation, pannes
Menace intentionnelle ou délibérée
Par opposition à la précédente, elle est le fait d’un acte délibéré
Menace active
Menace de modification non autorisée et délibérée de l’état du système
Dommage ou altération du SI
Menace Passive
Menace de divulgation non autorisée des informations, sans que l’état du SI soit modifié
Écoutes, lecture de fichiers, …
Sabotage, incendie volontaire, vol, …
Catégories de menaces intentionnelles
La perturbation
Le chantage
La fraude physique (récupération de bandes, listings, …)
Obtention d’informations
Obtention d’informations
Origines / Attaquants (1)
EDF, Fournisseurs de connectivité, Fournisseurs de matériels et de logiciels, …
Agresseurs internes (La majorité des cas)
Inconsciences et accidents (A ne pas négliger !)
Provoqués par l’inattention ou le manque de formation des administrateurs ou des utilisateurs
Hors du cadre de cette présentation
Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (2)
Pour un état
Le patrimoine scientifique, technique, économique, diplomatique
La disponibilité des SI et le fonctionnement des institutions
Pour l’entreprise
Les clients, procédés de fabrication, recherche et développement
Catégories de menace
Type d’attaquants
Origines / Attaquants (3)
Menace intentionnelle active, passive et physique
Le combat pour les idées est incessant et peut être le moteur d’actes les plus extrêmes
Idéologie politique, raciale, religieuse, économique, …
Catégorie de menace
Type d’attaquants
Origines / Attaquants (4)
Actions concourant à déstabiliser l’ordre établi
A caractère violant : destruction
Catégorie de menace
Type d’attaquants
Origines / Attaquants (5)
Gain pour l’attaquant
Pertes pour la victime
Entraînant un gain pour l’agresseur : parts de marché, déstabilisation du concurrent, …
Catégorie de menace
Type d’attaquant
Crime Organisé
Intervenants
Ont souvent accès à des informations sensibles, et conservent souvent des fichiers de configuration, …
Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (6)
C’est la prouesse technique qui est mise en avant
Catégorie de menace
Type d’attaquant
Origines / Attaquants (7)
Menace intentionnelle active, passive et physique
Également un moteur d’actes extrêmes
Souvent l’expression d’un employé brimé ou licencié qui peut possédé une très bonne connaissance du SI
Catégorie de menace
Type d’attaquant
Peur être un client, un fournisseur, un intervenant, …
Les employés malveillants ou aigris
Ont souvent une bonne connaissance de l’entreprise
Utilisateurs dépassant leurs prérogatives
Origines / Attaquants (Conclusion)
Plusieurs motivations (origines)
Employé malveillant + Espion, …
Les Hackers et Crackers monopolisent l’attention mais ne sont en réalité qu’une composante de la problématique de sécurité !
Novembre – Décembre 2005 Version 1.01
Contre qui ? - Critères
Leurs motivations
Leurs moyens
Novembre – Décembre 2005 Version 1.01
Classement
Forte
Fort
Moyenne
Forte
Faible
Faible
Moyenne
Faible
Moyenne
Démarche basique (Cracker)
Démarche intermédiaire
Collecter les
Démarche expert (Hacker)
Attaques
Attaque
Action de malveillance consistant à tenter de contourner les fonctions de sécurité d’un SI (ISO)
Vulnérabilité
Faiblesse ou faille dans les procédures de sécurité, les contrôles administratifs, les contrôles internes d’un système, qui pourrait être exploitée pour obtenir un accès non autorisé au SI, à un de ses services, à des informations ou à la connaissance de leur existence et de permettre de porter atteinte à la confidentialité, à l’intégrité et à la disponibilité du SI et de ses informations
Novembre – Décembre 2005 Version 1.01
Vulnérabilités
Attaques
Intrusions
Vandalisme
Attaques (1)
Dictionnaire
Attaques (2)
Attaques (3)
Amplification des DOS
Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP ) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le bug.
Novembre – Décembre 2005 Version 1.01
Attaques (4)
Les principales escroqueries
L’ingénierie sociale.
Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct
Exemple : Le message vocal du Président de Hewlett-Packard à son Directeur administratif et financier, où il évoquait la fusion avec Compaq a été intercepté et diffusé à travers l’Internet. » - Avril 2002 -
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries
Le scam.
Pratique frauduleuse consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (2)
Le phreaking.
Contraction des mots anglais phone (téléphone) et freak (monstre) désignant le piratage de lignes téléphoniques
Technique frauduleuse permettant l’utilisation gratuite de ressources téléphoniques depuis l’extérieur.
Exemple : Le piratage du standard téléphonique de la Cité des Congrès de Nantes a duré trois journées : le montant de la facture de téléphone s’est élevé de 2 000 € à 70 000 €. » - La Tribune – février 2002 -
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (3)
Contraction des mots anglais «fishing», en français pêche, et «phreaking»
Technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.
Technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance.
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (4)
Le Hoax ou canular.
Les conséquences
Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs,
La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ;
La dégradation de l'image d'une personne ou bien d'une entreprise,
L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de ne plus croire aux vraies.
Novembre – Décembre 2005 Version 1.01
Les virus
Programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé
Différents types.
Les vers
Les troyens
Les virus (2)
Les vers.
Programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique pour se propager
Les vers actuels se propagent principalement grâce à la messagerie grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.
Novembre – Décembre 2005 Version 1.01
Les virus (3)
Les chevaux de Troie.
Programme (en anglais trojan horse) caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor
Vol de mots de passe
Copie de données
Exécution d’action nuisible
Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP ) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le bug.
Novembre – Décembre 2005 Version 1.01
Les virus (4)
Les bombes.
Dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système
Généralement utilisées dans le but de créer un déni de service
Exemple la bombe logique Tchernobyl s'est activée le 26 avril 1999
Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP ) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le bug.
Novembre – Décembre 2005 Version 1.01
Les virus (5)
Les spyware ou espiogiciels.
Programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (profiling).
Keyloggers : Dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.
Novembre – Décembre 2005 Version 1.01
Taxinomie d’un incident
Taxon (biologie)
Unité formelle représentée par un groupe d’organismes, à chaque niveau de la classification.
Novembre – Décembre 2005 Version 1.01
Attaquant
Terroriste
Espion
Crime
organisé
Militant
Employé
Hacker
Cracker,
vandales…
Cible
Compte
utilisateur
Processus
Donnée
Ordinateur
Réseau
Composant
Qui croire ?
Il existe des gens mal intentionnés
Il existe des gens bien intentionnés mais irresponsables (Microsoft, ebay,…)
A qui fait-on confiance ?
Intervenants (SSII, intégrateurs, consultants, …)
S’assurer qu’ils sont aussi rigoureux que vous sur la sécurité
Novembre – Décembre 2005 Version 1.01
Comment protéger ?
Aucun modèle de sécurité ne peut résoudre tous les problèmes
Définir une politique de sécurité
Définir une démarche sécurité
La politique de sécurité ?
C’est un dispositif global dont la mise en œuvre assure que l’information peut être partagée d’une façon qui garantit un niveau approprié de protection de cette information et des actifs liés.
Toutes méthodes, techniques et outils concourant à la protection l’information contre un large éventail de menaces afin :
De garantir la continuité d’activité de l’entreprise,
De réduire les dommages éventuels sur l’activité de l’entreprise,
De maximiser le retour sur investissement des Systèmes d’Information.
Novembre – Décembre 2005 Version 1.01
La politique de sécurité (2).
Les domaines.
La démarche type.
Les différentes approches.
Les normes ISO concernant la sécurité.
Novembre – Décembre 2005 Version 1.01
Les normes ISO.
Certification internationale relative à la sécurité des produits de technologies de l’information.
A destination des industriels du secteur des T.I.C avant tout: Editeurs de logiciels, constructeurs d’équipements…
Un catalogue des exigences fonctionnelles et d’assurance de sécurité,
Éléments pour la spécification des exigences de sécurité (cible de sécurité, profil de protection),
La description des 7 niveaux d’assurance de l’évaluation (EAL),
Novembre – Décembre 2005 Version 1.01
Les normes ISO (2).
La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modèles pour
la sécurité des T.I,
Partie 3: Techniques pour la gestion
de la sécurité des T.I,
Partie 4: Sélection de mesures de
sécurité,
Sécurité du réseau.
Les normes ISO (2).
La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modèles pour
la sécurité des T.I,
Partie 3: Techniques pour la gestion
de la sécurité des T.I,
Partie 4: Sélection de mesures de
sécurité,
Sécurité du réseau.
Les normes ISO (3)
ISO 17799
Standard international basé sur les bonnes pratiques de la gestion de la sécurité de l’information,
Une approche s’appuyant sur la gestion de risques pour définir une politique, des procédures et des contrôles appropriés pour gérer ces risques
Novembre – Décembre 2005 Version 1.01
Les normes ISO (4)
SECURITE DE L’INFORMATION
ISO 17799 est :
Une norme internationale structurée dédiée à la sécurité de l’information,
Un processus élaboré pour évaluer, implémenter, maintenir et gérer la sécurité de l’information,
Une série de contrôles basés sur les bonnes pratiques en sécurité de l’information,
Développé par des industriels pour des industriels,
Pouvant s’appuyer sur la norme IS0 13335: guidelines for the management of IT Security,
Un processus équilibré entre sécurité physique, technique, procédurale et la sécurité du personnel.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (2)
ISO 17799 contient :
Organisationnels
Sécurité et accès physiques,
Les 10 chapitre de la norme :
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (4).
L’objectif est, pour la direction, de:
Exprimer formellement la stratégie de sécurité de l’organisation,
Communiquer clairement son appui à sa mise en œuvre.
Politique de sécurité
Ce document soit être approuvé:
Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des évolutions technologiques.
La sécurité est une responsabilité partagée par tous les membres de l’équipe de direction:
Création d’un comité de direction multifonction dédié pour assurer le pilotage de la sécurité,
Définit rôles et responsabilités, les méthodes et procédures et soutient les initiatives de promotion et de communication interne.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (5).
L’objectif est de:
Gérer efficacement la sécurité de l’information dans l’organisation,
Maintenir la sécurité des moyens de traitement et des actifs accédés par des tiers ou des sous-traitants,
Maintenir la sécurité des informations lorsque la responsabilité du traitement des informations est externalisée à une autre organisation.
Organisation de la sécurité
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (6).
L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un responsable nominatif,
L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité.
Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.
Classification et contrôle des actifs
3
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (7).
L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un responsable nominatif,
L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité.
Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.
Classification et contrôle des actifs
3
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
Plus de 60% des incidents proviennent de l’intérieur de l’entreprise !
Sécurité
L’objectif est de:
Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement,
S’assurer que les utilisateurs ont été informés des risques et menaces concernant les informations,
S’assurer que les utilisateurs sont formés et équipés pour appliquer la politique de sûreté lors de leurs activités normales,
Minimiser les dommages en cas d’incident ou de dysfonctionnement,
Savoir capitaliser sur ces incidents et s’adapter.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
L’objectif est de:
Prévenir les accès non autorisés, les dommages et les interférences sur les informations, les activités et les locaux de l’organisation,
Prévenir la compromission ou le vol des informations ou des moyens de traitement.
Sécurité
L’objectif est de:
Assurer une exploitation correcte et sure des moyens de traitement,
Minimiser les risques de pannes et leur impact,
Assurer l’intégrité et la disponibilité des informations, des traitements et des communications,
Prévenir les dommages aux actifs et les interruptions de service,
Prévenir les pertes, les modifications et les utilisations frauduleuses d’informations échangées entre organisations.
Exploitation
et
réseaux
6
L’objectif est de:
Prévenir les accès non autorisés,
Assurer la protection des systèmes en réseau,
Détecter les activités non autorisées,
Assurer la sécurité des informations lors des accès mobiles ou distants.
Contrôle
La politique de contrôle comprend notamment:
L’enregistrement unique de chaque utilisateur,
Une procédure écrite de délivrance d’un processus d’authentification signée du responsable hiérarchique,
Des services de déconnexion automatique en cas d’inactivité,
Une politique de révision des mots de passe,
Une hiérarchisation du niveau d’accès en fonction du degré de confidentialité des données.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (11).
L’objectif est de:
Assurer que la sécurité soit incluse dès la phase de conception,
Prévenir la perte, la modification ou la mauvaise utilisation des informations hébergées par les systèmes,
Protéger la confidentialité, l’intégrité et la disponibilité des informations,
Assurer que les projets et activités de maintenance sont conduits de manière sûre,
Maintenir la sécurité des applications (logiciel et données).
Développement
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (12).
L’objectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de l’organisation résultant de pannes, d’incidents, de sinistres ou e catastrophes.
Une analyse des risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications permet d’établir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnement mineur jusqu’à la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève,…)
Continuité d’activité
La conformité se décline en 3 volets:
Le respect des lois et réglementations: Licences logicielles, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes,
La conformité des procédures en place au regard de la politique de sécurité de l’organisation, c’est à dire des dispositifs mis en place pour assurer les objectifs de sécurité définis par la Direction Générale,
L’efficacité des dispositifs de traçabilité et de suivi des procédures en place: Journaux d’activité, pistes d’audit, enregistrement de transactions,…
Conformité
10
Les méthodes de sécurité.
Les plus connues en France sont MEHARI (Clusif), EBIOS (DCSSI) et MARION (Clusif).
Ces méthodes ont leurs propres référentiels qui ne couvrent pas toujours strictement le spectre de l’ISO 17799,
Il peut par conséquent être nécessaire de retravailler les bases de connaissance de ces méthodes pour obtenir une couverture complète de la sécurité de l’Information,
La commission « méthodes » du Clusif a corrélé la base de connaissance de MEHARI afin de couvrir l’ensemble des mesures de ISO 17799.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information.
Management System : Système pour établir la politique et les objectifs et pour atteindre ces objectifs (ISO guide 72).
Les systèmes de management sont utilisés dans les entreprises pour développer leurs politiques et les mettre en application à travers des objectifs et des cibles en utilisant:
Une organisation dans l’entreprise,
Des processus et des ressources associés,
Des contrôles et une méthode d’évaluation,
Des processus de révision pour garantir que les anomalies sont corrigées et mettre en œuvre des axes d’amélioration le cas échéant.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (2).
Certaines organisations commencent à aborder la sécurité de l’information comme un système intégré appelé un Information System Management System (ISMS).
Mise en œuvre d’un vrai processus d’analyse, d’élaboration de contrôle et d’évolution d’une politique de sécurité en appliquant un concept bien connu en qualité, le modèle PDCA.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (3).
Modèle PDCA.
MODELE PDCA
PLAN: Etablir les objectifs conformément aux risques et aux exigences de sécurité,
DO: Implémenter et opérer les fonctionnalités et procédures,
CHECK: Gérer les incidents, les erreurs, auditer,
ACT: Faire évoluer la politique et les moyens conformément aux besoins.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (4).
Les normes pour construire un SMSI.
Novembre – Décembre 2005 Version 1.01
La certification BS7799-2
A l’instar de ISO 9000 pour le management de la qualité, BS 7799-2 est la seule norme et certification qui existe actuellement pour les ISMS.
Définit les conditions pour l’établissement, la mise en œuvre et la documentation d’un ISMS,
Définit les exigences de contrôles pour la sécurité devant être mis en application selon les besoins de différents organismes,
Elle se compose de 10 chapitres de 127 contrôles,
Nécessite 2 étapes (audit de la documentation puis audit de l’implémentation),
En France, le COFRAC (Comité Français d’Accréditation et de Certification) peut valider un schéma de certification BS 7799-2.
SERVICES
DE SECURITE
Les mesures élaborées dans un plan de sécuritépeuvent-être classées en deux familles :
-avant sinistre : mesure de pr évention
-après sinistre : détection, ralentissement, correction
ORGANISATION
MANAGEMENT
Single Sign On
RADIUS - TACACS/TACACS+ - Kerberos
Généralités
Virus, Vers et chevaux de Troie
Conclusion
Synthèse
personnel, pertinence,
ISO 17799,
D’outils techniques,
•Pare-feux, anti-virus, VPN,
SSL, anti-SPAM, etc…
oeuvre, investissement uniquement
2
2
3
3
Sécurité
de sécurité)
ISO 13335ISO/IEC
sécurité informatique
Novembre – Décembre 2005 Version 1.01
Présentation
Intervenants
Partie pratique :
Ingénieur Réseaux et Sécurité
Membre fondateur du GREPSSI
Groupe de Réflexion et d’Echange sur les Problématiques liées à la Sécurité des Systèmes
Novembre – Décembre 2005 Version 1.01
Programme
Programme – Partie théorique
6 sessions théoriques
Session du 31/10/2005
Session du 07/11/2005
21/11/2005
28/11/2005
05/12/2005
Novembre – Décembre 2005 Version 1.01
Sommaire - Introduction
Quoi protéger ?
Qu’est ce que la sécurité ?
La sécurité recouvre l'ensemble de techniques informatiques permettant de réduire au maximum les chances de fuites d'information, de modification de données ou de détérioration des services.
Elle consiste à un très grand nombre de méthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.
Novembre – Décembre 2005 Version 1.01
Qu’est ce que la sécurité (2) ?
"Sécuriser" consiste à utiliser une ou plusieurs de ces techniques dans le but d'élever le niveau de sécurité d'un système ou d'une architecture.
La menace représente le type d'action susceptible de nuire dans l'absolu
La vulnérabilité représente le niveau d'exposition face à la menace dans un contexte particulier.
Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.
Novembre – Décembre 2005 Version 1.01
Quoi protéger ?
Sécurité des
Informations
Non
numérisées
Archives
Quelle que soit la forme prise par l’information ou quels que soient les moyens par lesquels elle est transmise ou stockée, il faut qu’elle soit toujours protégée de manière appropriée.
Seulement 40 à 50% des informations nécessaires pour faire fonctionner une entreprise sont enregistrées sur des supports électroniques
Novembre – Décembre 2005 Version 1.01
Quoi protéger (2) ?
Le triptyque DIC :
Disponibilité.
Garantir que les utilisateurs habilités ont accès à l’information et aux ressources associées au moment voulu (pas d’accès non autorisé)
Intégrité.
Sauvegarder l’exactitude et la fidélité de l’information et des méthodes de traitement des données (pas de modification non autorisée).
Confidentialité
Garantir que seules les personnes habilitées peuvent accéder à l’information (pas de divulgation non autorisée).
Novembre – Décembre 2005 Version 1.01
Quoi protéger (3) ?
Les actifs.
Les actifs sont caractérisés par leur type et surtout par leur valeur
Actifs applicatifs
développement, utilitaires.
Actifs physiques
climatisation.
services
Procédures et manuels utilisateurs,
Pourquoi protéger ?
L’information est une ressource stratégique, une matière première, elle est un atout pour celui qui la possède et donc attise souvent les convoitises
Les S.I. facilitent l’accès à l’information
Ils gèrent de grandes quantités d’information et peuvent la rende accessible depuis n’importe quel point du globe
La destruction d’un S.I. peut permettre d’anéantir une entité de manière anonyme et sans faire un seul mort
La loi, la réglementation et l’éthique seront toujours en retard sur la technique
Les individus se comportent rarement comme on l’attend
Le comportement d’un individu confronté à des situations inhabituelles et critiques est imprévisible
Novembre – Décembre 2005 Version 1.01
Pourquoi protéger?
Atteinte à l’image de marque
NASA, e-bay, Wanadoo, RSA, …
Remise en service, recherche des dégradations
Tache TRES difficile, peut nécessiter des moyens énormes
Pertes financières !
Perte d’exploitation
Erreurs de traitement
Contre qui ?
Les menaces
Les accidents et inconsciences
La menace - Définitions
Menace accidentelle
Catastrophe naturelle, erreur d’exploitation, pannes
Menace intentionnelle ou délibérée
Par opposition à la précédente, elle est le fait d’un acte délibéré
Menace active
Menace de modification non autorisée et délibérée de l’état du système
Dommage ou altération du SI
Menace Passive
Menace de divulgation non autorisée des informations, sans que l’état du SI soit modifié
Écoutes, lecture de fichiers, …
Sabotage, incendie volontaire, vol, …
Catégories de menaces intentionnelles
La perturbation
Le chantage
La fraude physique (récupération de bandes, listings, …)
Obtention d’informations
Obtention d’informations
Origines / Attaquants (1)
EDF, Fournisseurs de connectivité, Fournisseurs de matériels et de logiciels, …
Agresseurs internes (La majorité des cas)
Inconsciences et accidents (A ne pas négliger !)
Provoqués par l’inattention ou le manque de formation des administrateurs ou des utilisateurs
Hors du cadre de cette présentation
Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (2)
Pour un état
Le patrimoine scientifique, technique, économique, diplomatique
La disponibilité des SI et le fonctionnement des institutions
Pour l’entreprise
Les clients, procédés de fabrication, recherche et développement
Catégories de menace
Type d’attaquants
Origines / Attaquants (3)
Menace intentionnelle active, passive et physique
Le combat pour les idées est incessant et peut être le moteur d’actes les plus extrêmes
Idéologie politique, raciale, religieuse, économique, …
Catégorie de menace
Type d’attaquants
Origines / Attaquants (4)
Actions concourant à déstabiliser l’ordre établi
A caractère violant : destruction
Catégorie de menace
Type d’attaquants
Origines / Attaquants (5)
Gain pour l’attaquant
Pertes pour la victime
Entraînant un gain pour l’agresseur : parts de marché, déstabilisation du concurrent, …
Catégorie de menace
Type d’attaquant
Crime Organisé
Intervenants
Ont souvent accès à des informations sensibles, et conservent souvent des fichiers de configuration, …
Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (6)
C’est la prouesse technique qui est mise en avant
Catégorie de menace
Type d’attaquant
Origines / Attaquants (7)
Menace intentionnelle active, passive et physique
Également un moteur d’actes extrêmes
Souvent l’expression d’un employé brimé ou licencié qui peut possédé une très bonne connaissance du SI
Catégorie de menace
Type d’attaquant
Peur être un client, un fournisseur, un intervenant, …
Les employés malveillants ou aigris
Ont souvent une bonne connaissance de l’entreprise
Utilisateurs dépassant leurs prérogatives
Origines / Attaquants (Conclusion)
Plusieurs motivations (origines)
Employé malveillant + Espion, …
Les Hackers et Crackers monopolisent l’attention mais ne sont en réalité qu’une composante de la problématique de sécurité !
Novembre – Décembre 2005 Version 1.01
Contre qui ? - Critères
Leurs motivations
Leurs moyens
Novembre – Décembre 2005 Version 1.01
Classement
Forte
Fort
Moyenne
Forte
Faible
Faible
Moyenne
Faible
Moyenne
Démarche basique (Cracker)
Démarche intermédiaire
Collecter les
Démarche expert (Hacker)
Attaques
Attaque
Action de malveillance consistant à tenter de contourner les fonctions de sécurité d’un SI (ISO)
Vulnérabilité
Faiblesse ou faille dans les procédures de sécurité, les contrôles administratifs, les contrôles internes d’un système, qui pourrait être exploitée pour obtenir un accès non autorisé au SI, à un de ses services, à des informations ou à la connaissance de leur existence et de permettre de porter atteinte à la confidentialité, à l’intégrité et à la disponibilité du SI et de ses informations
Novembre – Décembre 2005 Version 1.01
Vulnérabilités
Attaques
Intrusions
Vandalisme
Attaques (1)
Dictionnaire
Attaques (2)
Attaques (3)
Amplification des DOS
Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP ) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le bug.
Novembre – Décembre 2005 Version 1.01
Attaques (4)
Les principales escroqueries
L’ingénierie sociale.
Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct
Exemple : Le message vocal du Président de Hewlett-Packard à son Directeur administratif et financier, où il évoquait la fusion avec Compaq a été intercepté et diffusé à travers l’Internet. » - Avril 2002 -
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries
Le scam.
Pratique frauduleuse consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (2)
Le phreaking.
Contraction des mots anglais phone (téléphone) et freak (monstre) désignant le piratage de lignes téléphoniques
Technique frauduleuse permettant l’utilisation gratuite de ressources téléphoniques depuis l’extérieur.
Exemple : Le piratage du standard téléphonique de la Cité des Congrès de Nantes a duré trois journées : le montant de la facture de téléphone s’est élevé de 2 000 € à 70 000 €. » - La Tribune – février 2002 -
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (3)
Contraction des mots anglais «fishing», en français pêche, et «phreaking»
Technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.
Technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance.
Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (4)
Le Hoax ou canular.
Les conséquences
Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs,
La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ;
La dégradation de l'image d'une personne ou bien d'une entreprise,
L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de ne plus croire aux vraies.
Novembre – Décembre 2005 Version 1.01
Les virus
Programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé
Différents types.
Les vers
Les troyens
Les virus (2)
Les vers.
Programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique pour se propager
Les vers actuels se propagent principalement grâce à la messagerie grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.
Novembre – Décembre 2005 Version 1.01
Les virus (3)
Les chevaux de Troie.
Programme (en anglais trojan horse) caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor
Vol de mots de passe
Copie de données
Exécution d’action nuisible
Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP ) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le bug.
Novembre – Décembre 2005 Version 1.01
Les virus (4)
Les bombes.
Dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système
Généralement utilisées dans le but de créer un déni de service
Exemple la bombe logique Tchernobyl s'est activée le 26 avril 1999
Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.
Le Nuke
Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP ) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter.
Pour se protéger il existe des patches permettant de corriger le bug.
Novembre – Décembre 2005 Version 1.01
Les virus (5)
Les spyware ou espiogiciels.
Programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (profiling).
Keyloggers : Dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.
Novembre – Décembre 2005 Version 1.01
Taxinomie d’un incident
Taxon (biologie)
Unité formelle représentée par un groupe d’organismes, à chaque niveau de la classification.
Novembre – Décembre 2005 Version 1.01
Attaquant
Terroriste
Espion
Crime
organisé
Militant
Employé
Hacker
Cracker,
vandales…
Cible
Compte
utilisateur
Processus
Donnée
Ordinateur
Réseau
Composant
Qui croire ?
Il existe des gens mal intentionnés
Il existe des gens bien intentionnés mais irresponsables (Microsoft, ebay,…)
A qui fait-on confiance ?
Intervenants (SSII, intégrateurs, consultants, …)
S’assurer qu’ils sont aussi rigoureux que vous sur la sécurité
Novembre – Décembre 2005 Version 1.01
Comment protéger ?
Aucun modèle de sécurité ne peut résoudre tous les problèmes
Définir une politique de sécurité
Définir une démarche sécurité
La politique de sécurité ?
C’est un dispositif global dont la mise en œuvre assure que l’information peut être partagée d’une façon qui garantit un niveau approprié de protection de cette information et des actifs liés.
Toutes méthodes, techniques et outils concourant à la protection l’information contre un large éventail de menaces afin :
De garantir la continuité d’activité de l’entreprise,
De réduire les dommages éventuels sur l’activité de l’entreprise,
De maximiser le retour sur investissement des Systèmes d’Information.
Novembre – Décembre 2005 Version 1.01
La politique de sécurité (2).
Les domaines.
La démarche type.
Les différentes approches.
Les normes ISO concernant la sécurité.
Novembre – Décembre 2005 Version 1.01
Les normes ISO.
Certification internationale relative à la sécurité des produits de technologies de l’information.
A destination des industriels du secteur des T.I.C avant tout: Editeurs de logiciels, constructeurs d’équipements…
Un catalogue des exigences fonctionnelles et d’assurance de sécurité,
Éléments pour la spécification des exigences de sécurité (cible de sécurité, profil de protection),
La description des 7 niveaux d’assurance de l’évaluation (EAL),
Novembre – Décembre 2005 Version 1.01
Les normes ISO (2).
La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modèles pour
la sécurité des T.I,
Partie 3: Techniques pour la gestion
de la sécurité des T.I,
Partie 4: Sélection de mesures de
sécurité,
Sécurité du réseau.
Les normes ISO (2).
La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modèles pour
la sécurité des T.I,
Partie 3: Techniques pour la gestion
de la sécurité des T.I,
Partie 4: Sélection de mesures de
sécurité,
Sécurité du réseau.
Les normes ISO (3)
ISO 17799
Standard international basé sur les bonnes pratiques de la gestion de la sécurité de l’information,
Une approche s’appuyant sur la gestion de risques pour définir une politique, des procédures et des contrôles appropriés pour gérer ces risques
Novembre – Décembre 2005 Version 1.01
Les normes ISO (4)
SECURITE DE L’INFORMATION
ISO 17799 est :
Une norme internationale structurée dédiée à la sécurité de l’information,
Un processus élaboré pour évaluer, implémenter, maintenir et gérer la sécurité de l’information,
Une série de contrôles basés sur les bonnes pratiques en sécurité de l’information,
Développé par des industriels pour des industriels,
Pouvant s’appuyer sur la norme IS0 13335: guidelines for the management of IT Security,
Un processus équilibré entre sécurité physique, technique, procédurale et la sécurité du personnel.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (2)
ISO 17799 contient :
Organisationnels
Sécurité et accès physiques,
Les 10 chapitre de la norme :
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (4).
L’objectif est, pour la direction, de:
Exprimer formellement la stratégie de sécurité de l’organisation,
Communiquer clairement son appui à sa mise en œuvre.
Politique de sécurité
Ce document soit être approuvé:
Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des évolutions technologiques.
La sécurité est une responsabilité partagée par tous les membres de l’équipe de direction:
Création d’un comité de direction multifonction dédié pour assurer le pilotage de la sécurité,
Définit rôles et responsabilités, les méthodes et procédures et soutient les initiatives de promotion et de communication interne.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (5).
L’objectif est de:
Gérer efficacement la sécurité de l’information dans l’organisation,
Maintenir la sécurité des moyens de traitement et des actifs accédés par des tiers ou des sous-traitants,
Maintenir la sécurité des informations lorsque la responsabilité du traitement des informations est externalisée à une autre organisation.
Organisation de la sécurité
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (6).
L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un responsable nominatif,
L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité.
Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.
Classification et contrôle des actifs
3
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (7).
L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un responsable nominatif,
L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité.
Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.
Classification et contrôle des actifs
3
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
Plus de 60% des incidents proviennent de l’intérieur de l’entreprise !
Sécurité
L’objectif est de:
Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement,
S’assurer que les utilisateurs ont été informés des risques et menaces concernant les informations,
S’assurer que les utilisateurs sont formés et équipés pour appliquer la politique de sûreté lors de leurs activités normales,
Minimiser les dommages en cas d’incident ou de dysfonctionnement,
Savoir capitaliser sur ces incidents et s’adapter.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
L’objectif est de:
Prévenir les accès non autorisés, les dommages et les interférences sur les informations, les activités et les locaux de l’organisation,
Prévenir la compromission ou le vol des informations ou des moyens de traitement.
Sécurité
L’objectif est de:
Assurer une exploitation correcte et sure des moyens de traitement,
Minimiser les risques de pannes et leur impact,
Assurer l’intégrité et la disponibilité des informations, des traitements et des communications,
Prévenir les dommages aux actifs et les interruptions de service,
Prévenir les pertes, les modifications et les utilisations frauduleuses d’informations échangées entre organisations.
Exploitation
et
réseaux
6
L’objectif est de:
Prévenir les accès non autorisés,
Assurer la protection des systèmes en réseau,
Détecter les activités non autorisées,
Assurer la sécurité des informations lors des accès mobiles ou distants.
Contrôle
La politique de contrôle comprend notamment:
L’enregistrement unique de chaque utilisateur,
Une procédure écrite de délivrance d’un processus d’authentification signée du responsable hiérarchique,
Des services de déconnexion automatique en cas d’inactivité,
Une politique de révision des mots de passe,
Une hiérarchisation du niveau d’accès en fonction du degré de confidentialité des données.
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (11).
L’objectif est de:
Assurer que la sécurité soit incluse dès la phase de conception,
Prévenir la perte, la modification ou la mauvaise utilisation des informations hébergées par les systèmes,
Protéger la confidentialité, l’intégrité et la disponibilité des informations,
Assurer que les projets et activités de maintenance sont conduits de manière sûre,
Maintenir la sécurité des applications (logiciel et données).
Développement
Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (12).
L’objectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de l’organisation résultant de pannes, d’incidents, de sinistres ou e catastrophes.
Une analyse des risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications permet d’établir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnement mineur jusqu’à la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève,…)
Continuité d’activité
La conformité se décline en 3 volets:
Le respect des lois et réglementations: Licences logicielles, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes,
La conformité des procédures en place au regard de la politique de sécurité de l’organisation, c’est à dire des dispositifs mis en place pour assurer les objectifs de sécurité définis par la Direction Générale,
L’efficacité des dispositifs de traçabilité et de suivi des procédures en place: Journaux d’activité, pistes d’audit, enregistrement de transactions,…
Conformité
10
Les méthodes de sécurité.
Les plus connues en France sont MEHARI (Clusif), EBIOS (DCSSI) et MARION (Clusif).
Ces méthodes ont leurs propres référentiels qui ne couvrent pas toujours strictement le spectre de l’ISO 17799,
Il peut par conséquent être nécessaire de retravailler les bases de connaissance de ces méthodes pour obtenir une couverture complète de la sécurité de l’Information,
La commission « méthodes » du Clusif a corrélé la base de connaissance de MEHARI afin de couvrir l’ensemble des mesures de ISO 17799.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information.
Management System : Système pour établir la politique et les objectifs et pour atteindre ces objectifs (ISO guide 72).
Les systèmes de management sont utilisés dans les entreprises pour développer leurs politiques et les mettre en application à travers des objectifs et des cibles en utilisant:
Une organisation dans l’entreprise,
Des processus et des ressources associés,
Des contrôles et une méthode d’évaluation,
Des processus de révision pour garantir que les anomalies sont corrigées et mettre en œuvre des axes d’amélioration le cas échéant.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (2).
Certaines organisations commencent à aborder la sécurité de l’information comme un système intégré appelé un Information System Management System (ISMS).
Mise en œuvre d’un vrai processus d’analyse, d’élaboration de contrôle et d’évolution d’une politique de sécurité en appliquant un concept bien connu en qualité, le modèle PDCA.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (3).
Modèle PDCA.
MODELE PDCA
PLAN: Etablir les objectifs conformément aux risques et aux exigences de sécurité,
DO: Implémenter et opérer les fonctionnalités et procédures,
CHECK: Gérer les incidents, les erreurs, auditer,
ACT: Faire évoluer la politique et les moyens conformément aux besoins.
Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (4).
Les normes pour construire un SMSI.
Novembre – Décembre 2005 Version 1.01
La certification BS7799-2
A l’instar de ISO 9000 pour le management de la qualité, BS 7799-2 est la seule norme et certification qui existe actuellement pour les ISMS.
Définit les conditions pour l’établissement, la mise en œuvre et la documentation d’un ISMS,
Définit les exigences de contrôles pour la sécurité devant être mis en application selon les besoins de différents organismes,
Elle se compose de 10 chapitres de 127 contrôles,
Nécessite 2 étapes (audit de la documentation puis audit de l’implémentation),
En France, le COFRAC (Comité Français d’Accréditation et de Certification) peut valider un schéma de certification BS 7799-2.
SERVICES
DE SECURITE
Les mesures élaborées dans un plan de sécuritépeuvent-être classées en deux familles :
-avant sinistre : mesure de pr évention
-après sinistre : détection, ralentissement, correction
ORGANISATION
MANAGEMENT
Single Sign On
RADIUS - TACACS/TACACS+ - Kerberos
Généralités
Virus, Vers et chevaux de Troie
Conclusion
Synthèse
personnel, pertinence,
ISO 17799,
D’outils techniques,
•Pare-feux, anti-virus, VPN,
SSL, anti-SPAM, etc…
oeuvre, investissement uniquement
2
2
3
3
Sécurité
de sécurité)
ISO 13335ISO/IEC