ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008 © 2008 SOLUZEN © 2008.

Présentation au sujet: "ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008 © 2008 SOLUZEN © 2008."— Transcription de la présentation:

1 ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

2 Participants Didier Drapeau, Soluzen
2 Participants Didier Drapeau, Soluzen Philipp Egli, Dreamlab Technologies SA Alexandre Fernandez-Toro, HSC © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

3 Agenda Positionnement des Standards OSSTMM 3.0
Présentation de la methode Complementarité et Compatibilité avec l‘ISO 27001 Pause Mutualisation entre ITIL et ISO 27001 Convergence entre ITIL, ISO et OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

4 4 ITIL, ISO 27001, OSSTMM Pour un système d’information plus fiable et plus sûr Pourquoi ? (2001) Comment ? (2008) Avec l’ISO (ITIL)/27001 insuffisant car pas de garantie du niveau de sécurité Ce qu’offre l’OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

5 Positionnement des Standards
© 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

6 6 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

7 ISO 27001 et OSSTMM dans la démarche globale de sécurité
Diag./Audit initial Plan directeur Politique directives Certificat ISO27001 Projets Certificat OSSTMM Pare-feux PRA Stockage… Mise en œuvre Mise en conformité Contrôles © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

8 Sommes nous protégés? © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

9 Sommes nous protégés? OSSTMM 3.0
© 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

10 10 Sécurité parfaite... © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

11 Sécurité parfaite... adaptée à la situation
11 Sécurité parfaite... adaptée à la situation © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

12 OSSTMM signification Open Source Security Testing Methodology Manual
12 OSSTMM signification Open Source Security Testing Methodology Manual © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

13 OSSTMM historique Depuis 2001 (Version actuelle 3.0)
13 OSSTMM historique Depuis 2001 (Version actuelle 3.0) Edité par ISECOM (Institute for Security and Open Methodologies) Concept pour « mesurer » la sécurité des systèmes operationels Scientifique (Transparence / Reproductibilité) Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

14 la méthode: Investigations
14 la méthode: Investigations © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

15 15 la méthode: Tests © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

16 OSSTMM: Une métrique de sécurité, le RAV (Risk Assessment Value)
16 OSSTMM: Une métrique de sécurité, le RAV (Risk Assessment Value) Le calcul du RAV est composé de trois éléments Operational Security (OPSEC) (Porosité de l‘asset mesuré) Pour être operationel un système doit être ouvert aux communications ce qui le rend vulnérable Controls (Mesures de sécurité) Class A controls: 5 types de mesures qui sécurisent les interactions Class B controls: 5 types de mesures qui sécurisent les procesus Limitations „Vulnérabilités“ les classes de vulnérabilités © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

17 17 Balance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

18 OSSTMM: OPSEC OPSEC (Dependant du vecteur d‘attaque)
18 OSSTMM: OPSEC OPSEC (Dependant du vecteur d‘attaque) Visibility: Les cibles visibles dans le périmètre. Exemple: Scan de serveurs qui donne leurs adresses IP Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts. Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web. © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

19 OSSTMM: Controls A INTERACTIVE (Class A) Authentication: Mot de passe
19 OSSTMM: Controls A INTERACTIVE (Class A) Authentication: Mot de passe Indemnification: Bannière „Défense d‘entrer“ Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées. Subjugation (Renforcement): Redirection automatique des flux http vers https. Continuity: Load Balancing / Redondance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

20 OSSTMM: Controls B PROCESS (Class B)
20 OSSTMM: Controls B PROCESS (Class B) Non-repudiation: Traces utilisateur Exemple: Log Files qui permet de déterminer l‘identité d‘un visiteur d‘un site web. Confidentiality: Encryption des données et des flux Privacy: Transactions au sein d‘une zone sécurisée sans chiffrement. Integrity: Checksum / Algorithme Alarm: IDS / Monitoring / Surveillance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

21 OSSTMM: Limitations Limitations
21 OSSTMM: Limitations Limitations Vulnerability: Possibilité de contourner les mesures de sécurité. Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,) Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.) Exposure: Divulgation d‘informations Anomaly: Operations anormales Exemple: Serveur visible par intermittence sans raisons apparentes © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

22 ISECOM - RISK ASSESSMENT VALUES CALCULATION WORKSHEET
22 Outil de calcul du RAV ISECOM - RISK ASSESSMENT VALUES OPSEC CALCULATION WORKSHEET Visibility 1 Porosity 54 Access 50 Total Controls 24 Trust 3 Class A Controls Class B Controls 21 Whole Coverage 4,44% Class A CONTROLS Missing True Coverage Authentication 53 True Coverage A 0,56% Indemnification True Coverage B 3,89% Resistance Missing Controls 516 Subjugation Missing Controls A 267 Continuity Missing Controls B 249 Class B Coverage Missing 95,56% Non-Repudiation Total # Limitations Confidentiality 2 52 Limitations Value Privacy Integrity 15 39 Vulnerability 3, Alarm Weakness 3, Concern 3, Exposure 1, LIMITATIONS Total Anomaly 3, Vulnerabilities 0,00000 Weaknesses RAV TOTALS Concerns 13, Exposures 5, Anomalies 0, Δ -8, RAV 90, © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

23 OSSTMM: RAV Avons nous calculé le risque avec le RAV? 23
© 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

24 OSSTMM: RAV Avons nous calculé le risque avec le RAV? Non 24
© 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

25 OSSTMM et gestion de risques Avant application des mesures
25 OSSTMM et gestion de risques Avant application des mesures Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

26 Matrice Impact - Probabilité
26 Matrice Impact - Probabilité © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

27 Risque après les corrections
27 Risque après les corrections Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

28 Pilotage Outils de calcul automatiques du RAV
28 Pilotage Outils de calcul automatiques du RAV © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

29 Certification Par qui: ISECOM et Organisme Certificateur
29 Certification Par qui: ISECOM et Organisme Certificateur Quoi: Produits, services, Personnes Conditions: Maintien du RAV > 90 % Certification annuelle Recertification en cas de changement de périmètre Personnels certifiés: Testeur (OPST) Analyste (OPSA) Expert (OPSE) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

30 Complémentarités OSSTMM / ISO 27001
© 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

31 ISO27001 : Pilotage & maîtrise des risques
31 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

32 ISO27001: Contrôles et mesure du niveau de sécurité
32 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

33 Sécurité du système d’information: certification
33 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

34 OSSTMM vs ISO 27001 ISO 27001 Exigences OSSTMM Réponses
34 ISO 27001 Exigences OSSTMM Réponses 4.2.1.a : scope du SMSI Scope de l’audit: protection périmétrique d’un réseau (assets) 4.2.1.c: définition méthode d’analyse de risques Méthodologie OSSTMM Mode de calcul du RAV (%) : feuille de calcul 4.2.1.c.2: Critères d’acceptation risques et niveau de risques acceptables (5.1.f) % du RAV objectif défini par le propriétaire des assets > 90% alors certification possible (RAV reproductible et comparable) 4.2.1.d: identification des risques Assets testés: pare-feux… Vulnérabilités mesurées: mauvais paramétrage 4.2.1.e: analyse et évaluation des risques Résultats des tests (impacts mesurés): pénétration possible du réseau RAV détermine si risque acceptable 4.2.1.f: évaluer les options de traitement des risques Envisager mesures de sécurité: règles du pare-feu appropriées, doubler appliances… 4.2.1.g, h, i, j: sélection des mesures annexe A (17799) & SoA (déclaration d’applicabilité) Rapport d’audit & justification des mesures vs business © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

35 OSSTMM: vs ISO 27001 ISO 27001 Exigences OSSTMM
35 ISO 27001 Exigences OSSTMM 4.2.2 : mise en œuvre du SMSI Application des mesures issues de l’audit 4.2.3: surveillance et revues du SMSI Audits intermédiaires proactifs déterminés par valeur du RAV (décroissance niveau sécurité) 4.2.4: amélioration du SMSI Application des corrections issues de l’audit et re-calcul du RAV jusqu’à acceptable 4.3: documentations Rapport d’audit, feuille calcul RAV Logs des tests réalisés, 5.1: engagement du management Règles d’engagement, accord confidentialité, mandats (tests intrusion) 5.2: affectation des ressources Compétences Testeurs, analyste identifiés (IP sources…) Certifications OPST, OPSA… © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

36 Questions / Pause © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

37 Convergences 37 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

38 Perspectives 38 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG