La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Plan Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour.

Présentations similaires


Présentation au sujet: "Plan Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour."— Transcription de la présentation:

1 Plan Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour : - Découvrir les caractéristiques générales et l'encapsulation des protocoles du modèle TCP/IP; - Analyser le trafic réseau. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 140

2 1. Gouverner la sécurité 1) Mise en perspective Gouverner la sécurité illustre la volonté de diriger, dinfluencer, de conduire de manière déterminante la sécurité et de maîtriser les risques liés à linsécurité technologique. La gouvernance a pour but d assurer que les solutions de sécurité sont optimales. entre autres, elle vérifie quelle est en mesure de répondre de manière exacte aux questions: Qui fait quoi? Comment et quand? 2) Gouvernance de la sécurité de linformation Gouverner la sécurité peut être perçu comme un processus pour établir et maintenir un cadre supportant la structure de gestion qui permet de réaliser la stratégie de sécurité. Gouverner la sécurité cest protéger les actifs informationnels contre le risque de perte, d interruption, dabus, de divulgation non autorisée, ou de risques juridiques liés à la responsabilité légale des acteurs. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 141

3 1. Gouverner la sécurité 3) Principes de base de la gouvernance de la sécurité Principes dune méthode de gouvernance pour la mise en place dune politique de sécurité. Responsabilité - Une instance assurant la gouvernance doit être responsable de la tâche qui lui appartient. Proportionnalité - Les investissements doivent être en proportionnels au risque informationnel encouru par l organisme. Conscience - Les entités directrices sont conscientes du limportance des actifs informationnels de lentreprise et ainsi du rôle de la sécurité. Conformité – La démarche de la sécurité doit être conçues en conformité avec les exigences légale de tous niveaux. Efficacité - Les actions à entamer doivent satisfaire les objectifs Ethique – L exploitation des ressources informationnelles au sein de lentreprise doit être éthiquement correcte Inclusion – Les objectifs de toutes les parties intéressées par la démarche doivent être prises en considération. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 142

4 1. Gouverner la sécurité Equité – Les entités directrices élaborant les solutions sécuritaires basées sur la perception et les règles démocratiques perçues comme telles dans lenvironnement où lentreprise agit. Transparence – Le devoir d informer les parties intéressées sur l état courant de la sécurité appartient aux entités directrices. Mesure – Les mesures de sécurité ont pour finalité l amélioration de la gouvernance. Objectif – La sécurité informationnelle a un large champ d intervenants (processus, ressources, acteurs, culture de lentreprise…). Réponse – Des tests continus liés aux réponses apportées en situation de crises doivent effectués régulièrement. Gestion du risque – Les entités directrices sassurent que le processus d appréciation des risques se fait dune manière continue et formelle. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 143

5 2. Gestion du risque informationnel 1) définitions Un risque est la combinaison de la probabilité d un évènement et de ses impacts. Un risque exprime la probabilité quun valeur soit perdue en fonction dune vulnérabilités liée à une menace : La terminologie liée au risque distingue lanalyse, l évaluation, l appréciation, le traitement et la gestion du risque : - Analyse du risque : Exploitation systématique d information pour fixer les sources afin de pourvoir estimer le risque. - Evaluation du risque – cest le processus de comparaison du risque estimé avec des critères de risque donnés pour identifier l importance du risque. - Appréciation du risque – Processus danalyse et d évaluation du risque. - Traitement du risque – Processus de sélection et implémentation des mesures visant à modifier le risque. - Gestion du risque – activités coordonnées visant à conduire et à piloter une organisation vis-à-vis des risques. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 144

6 2. Gestion du risque informationnel 2) Principes de gestion Les éléments d une démarche de gestion du risque informationnel sont : - Identification des actifs en correspondance avec les critères de sécurité. - Appréciation de vulnérabilités en relation avec les actifs à protéger. - Appréciation des menaces (identification de lorigine(motivation, capacité à se réaliser) et amplificateurs des menaces). - Appréciation du risque (illustration par une matrice des probabilités et des impacts). - Identification des contre-mesures (qui tiennent compte de trois types dacteurs que sont les processus, la technologie et les utilisateurs). Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 145

7 3. Politique de sécurité 1) Stratégie et politique de sécurité Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 146 Stratégie d entreprise Stratégie du système d information Stratégie de sécurité Politique de sécurité Politique du système d information Politique d entreprise

8 3. Politique de sécurité La politique de sécurité fait la liaison entre la stratégie de sécurité d une entreprise et l implémentation opérationnelle de la sécurité. La politique de sécurité établit les principes fondamentaux de la sécurité qui permettent de protéger le système dinformation. Cette protection est assurée par exemple par : - des règels : classification des linformation; - des outils : chiffrement, firewalls; - des contrats: clauses et obligations; - lenregistrement, la preuve, lauthentifications, lidentification, le marquage ou le tatouage; - Le dépôt de marques, de brevets, et la protection des droit de l auteur. En complément, la protection pourra prévoir : - de dissuader par des règles et des contrôles; - de réagir par lexistence de plans de secours, de continuité et de reprise; - de gérer les incidents majeurs par un plan de gestion de crise; - de gérer les performance et les attentes des utilisateurs; etc. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 147

9 3. Politique de sécurité 2) Projet d entreprise orienté gestion des risques prendre en compte lanalyse des risques liés au systèmes dinformation dans un processus de gestion de risque globaux, guide toute la démarche de sécurité dune organisation. Le risque informatique, informationnel ou technologique doit être défini au même titre que tous les autres risques de lentreprise (risque métier, social, environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque informatique est un risque opérationnel qui doit être maitrisé. La gestion des risques est le point de départ de lanalyse des besoins sécuritaires qui permet la définition de la stratégie de sécurité. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 148

10 3. Politique de sécurité De lanalyse des risques à la politique de sécurité Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 149 Identification du risque origine Cause Potentialité Impacts, effets, conséquences, gravité Risques subis Risques encourus Risques de perte Identification des risques Quantification des risques Risques acceptables? Analyse – Evaluation – Appréciation Traitement – Gestion des risques Sécurité des valeurs Politique de sécurité Risques choisis, calculés, mesurés, acceptés Risques pris Risques profitables, risques de réussir

11 3. Politique de sécurité 3) Propriétés d une politique de sécurité Déterminants d une politique de sécurité Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 150 Vision stratégique de la maitrise des risques Politique de sécurité Que protéger? Pourquoi? Contre qui? Comment? Valeurs RisquesContraintes Référentiel de sécuritéRègles de sécuritéMesures de sécurité Structure organisationnelleDroits et devoirs Plan de contrôle et de suiviPlanificationPrioritisation des actions

12 3. Politique de sécurité Différentes composantes d une politique de sécurité Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 151 Politique de sécurité Politique de contrôle d accès Gestion des identités, des profils utilisateurs, des permission, des droits, etc. Mesures et procédures convivialité Respect des contraintes légales règlementaires Politique de protection Prévention des intrusions et malveillances, Gestion des vulnérabilités, dissuasion, etc. coût Politique de réaction Gestion des crises, des sinistres, des plans, de continuité, de reprise, de modification, dintervention, de poursuite, etc. performance Politique de suivi Audit, évaluation, optimisation, contrôle, surveillance, etc. Politique dassurance Politique de sensibilisation

13 4. Méthodes et normes de sécurité 1) Principales méthodes française Pour élaborer une démarche de sécurité, on sappuie sur une méthode qui facilite lidentification des points principaux à sécuriser. En général la sécurité repose sur un ensemble reconnu de bonnes pratiques que sur une méthodologie unique. Les méthode recommandées par le CLUSIF (CLUb de la Sécurité de l'Information Français, sont Marion (Méthode dAnalyse des Risques Informatiques et Optimisation par Niveau) et Méhari (MÉthode Harmonisée dAnalyse des RIsques). La méthode Méhari est évolutive et compatible avec la norme ISO La DCSSI (Direction Centrale de las Sécurité des Systèmes d Information) a élaboré une méthode largement documenté, présentée et téléchargeable sur son site: Dénommée Ebios ( Expression des Besoins et Identification des Objectifs de Sécurité), cette méthode est implémentée par les administrations françaises, permet de fixer les objectifs de la sécurité des organisation, pour répondre à des besoins déterminés.www.ssi.gouv.fr/fr/dcssi Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 152

14 4. Méthodes et normes de sécurité Les différentes méthodes préconisées par le CLUSIF Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 153 Méthode Marion Méthode MEHARI Méthode Marion : Méthode danalyse des risques informatiques optimisation par niveau Méhari : Méthode harmonisées d analyse des risques Propose un cadre et une méthode qui garantissent la cohérence des décisions prises au niveau directorial Structure la sécurité de lentreprise sur une base unique d appréciation dans la complexité des systèmes dinformation Permet la recherche des solutions au niveau opérationnel de la sécurité en délégant les décisions aux unités opérationnelles et autonomes Assure, au sein de lentreprise, l équilibre des moyens et la cohérence des contrôles Les applications de Méhari: Plan stratégique de sécurité - Plan(s) opérationnelle(s) de sécurité Traitement dune famille de scenario - Traitement dun risque spécifique Traitement dun critère de sécurité – Traitement dun scenario particulier Traitement d une application opérationnelle – Traitement d un projet

15 4. Méthodes et normes de sécurité 2) Norme internationale ISO/IEC Origine Lorigine de la norme IOS élaborée par l ISO (www.iso.org) à la fin de lannée 2000 est la norme BS 7799 élaborée par lassociation de normalisation britannique en 1995.www.iso.org Ladoption par le marché de la norme ISO à été encouragé par le fait que certaines compagnies d assurance demandent l application de cette norme afin de couvrir le cyber-risques. Son importance réside dans le fait que la norme aborde les aspects organisationnels, humains, juridiques et technologues de la sécurité en rapport avec les différentes étapes de conception, mise en œuvre et maintien de la sécurité. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 154

16 4. Méthodes et normes de sécurité Elle aborde de dix domaines de sécurité, de 36 objectifs de sécurité et de 127 points de contrôle. Les dix domaines abordés par la norme: Politique de sécurité - Organisation de la sécurité Classification et contrôle des actifs - Sécurité et gestion des ressources humaines; Sécurité physique et environnementale Exploitation de gestion des systèmes et des réseaux - Contrôle d accès; Développement et maintenance des systèmes - Continuité de service – conformité Une nouvelle version améliorée de la norme (ISO/IEC 17799/2005) a été proposée en juillet 2005, elle adjoint aux dix domaine de sécurité de nouveaux paragraphes qui concernent l évaluation et l analyses des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 155

17 4. Méthodes et normes de sécurité Objectifs de la norme ISO/IEC 17799:2005 La norme ISO/IEC 17799:2005 et ces versions antérieurs aident les organisation à répondre à quatre principales questions concernant la protection de leurs actifs informationnels, à savoir : Que protéger et pourquoi? De quoi les protéger? Quels sont les risques? Comment les protéger? En répondant à cette question, lorganisation définit sa méthode sécuritaires. La première étape de celle-ci consiste à réaliser l inventaire des valeurs à protéger en distinguent leur degré de criticité afin d effectuer des priorités à la réalisation des solutions de la sécurité. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 156

18 4. Méthodes et normes de sécurité Structure, thèmes et chapitres de la norme ISO/IEC 17799:2005 La norme comporte 11 chapitres dont les objectifs sont illustrés dans le figure. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 157 Politique de sécurité Gestion des biens Sécurité liée aux ressources humaines Sécurité physique et environneme ntale Gestion opérationnelle et gestion de la communication Contrôle d accès Acquisition développement, et maintenance des SI Gestion d incident liés à la sécurité d information Gestion de la continuité de lactivité Gestion de la sécurité de l information Conformité

19 4. Méthodes et normes de sécurité La structure et les thèmes évoqués dans la version 2005 de la norme sont les suivants: - Introduction - Evaluation des risques et traitements - Politique de sécurité - Organisation de la sécurité de l information - Gestion des biens et des valeurs - Sécurité des ressources humaines - Sécurité physique et environnementale - Gestion des communication et des opérations - Contrôle d accès - Acquisition, développement et maintenance des systèmes de l information - Gestion des incidents de sécurité de linformation - Gestion de la continuité de l activité - Conformité Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 158

20 4. Méthodes et normes de sécurité Exemple : Gestion des incidents de sécurité de linformation: - Notification des évènements et des faiblesse de sécurité de linformation - Notification des évènements de sécurité de l information - Notification des faiblesse de sécurité - Gestion des incidents et des améliorations de la sécurité de l information - Responsabilité et procédure - Enseignement à tirer des incidents de sécurité - Collecte de preuves Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 159

21 4. Méthodes et normes de sécurité 3) norme internationale de la famille ISO/IEC La famille des normes La famille des normes ISO/IEC 27001:2005 aborde le thème de management de la sécurité de linformation dans sa globalité. La norme sintitule système de gestion de la sécurité de linformation. Dautres nome de la famille traitent différents domaines, à savoir: - Les notions fondamentales et une formalisation du vocabulaire (27000) - Guide pour l implémentation du Système de Mangement de la Sécurité de lInformation (SMSI)(27003). - Les métriques du management de la sécurité de l information (72004). - La gestion du risque en matière de sécurité de l information (27005). - Les exigences pour les organismes auditant et certifiant un SMSI(27006) - Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI (27007); - Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI(27008) Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 160

22 4. Méthodes et normes de sécurité Introduction à la norme ISO La norme dérive de la norme nationale anglaise BS : 2002 qui a pour but les contrôles à mettre en place pour satisfaire les objectifs de la première partie BS La norme établit un modèle pour établir, implémenter, exploiter, surveiller, maintenir et améliorer le système de management de la sécurité de linformation SMSI (Système de Mangement de la Sécurité de lInformation). La norme s appuie sur un modèle PDCA (plan, do, check, act). Comprendre da sécurité sous la forme PDCA contribue à: - Comprendre les exigences de sécurité et besoins de la politique de sécurité; - Implémenter et effectuer des contrôles pour gérer le risque informationnel; - Surveiller et revoir la performance de SMSI - Proposer des améliorations basées sur des mesures de l efficacité du SMSI. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 161

23 4. Méthodes et normes de sécurité Le modèle PDCA Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 162 Parties intéressées Exigences et expectatives de la sécurité de l information Etablir SMSI Surveiller SMSI Implémenter et exploiter SMSI Maintien et amélioration du SMSI Parties intéressées La sécurité de l information gérée PLAN CHECK DO ACT

24 4. Méthodes et normes de sécurité Etablir un modèle de gestion de sécurité satisfaisant les exigences de la norme implique trois étapes: - Création dun cadre managérial afin de spécifier les directives, les intentions et les objectifs pour la sécurité de linformation et définir les politique stratégique qui engage la responsabilité du management. - Identification et évaluation des risques réalisés sur la base des exigences de sécurité définies par l entreprise pour identifier les actions managériales appropriées à entreprendre et les priorités pour maîtriser le risque. - Développement du SMSI, choix et implémentation des contrôles à implémenter. Une fois que les exigences ont été déterminées, les contrôles appropriés peuvent être sélectionnées afin de sassurer que les risques que le système d information fait encourir à l organisation sont réduit à un niveau acceptable conforment aux objectifs de la sécurité de l entreprise. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 163

25 4. Méthodes et normes de sécurité 4) Méthodes et bonnes pratiques Avantage et inconvénients de lutilisation dune méthode pour définir une politique de sécurité Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 164 AvantagesInconvénients Gain en terme d efficacité en réutilisant le savoir-faire transmis par la méthode. Capitalisation des expériences. Bien qu elles peuvent faire l objet de révision (nouvelles versions), les normes ou méthode se n évoluent pas au même rythme que les besoins ou les technologies. Une norme ou une méthode est générale. Il faut savoir la spécifier en fonction de besoins particuliers de l organisation. Langage commun, référentiel d actions structuration de la démarche, approche exhaustive. Prolifération des méthodes : difficulté de choix. Disposer des compétences nécessaires. Efforts financiers, durée, coûts, Difficultés à maitriser la démarche qui peut s avérer lourde et nécessité des compétences externes. Recourt à des consultants spécialisés. Etre associé à des groupes d intérêts. Partage d expériences, de documentation, formation possibles.

26 4. Méthodes et normes de sécurité 5) Modèle formel de politique de sécurité Différents modèles proposent une présentation abstraite des principes de sécurité à prendre en compte: - Le modèle de Bell-LaPadula : modèle des exigences de contrôle d accès spécifiant une politique de sécurité pour la confidentialité; - Le modèle de Clark et Wilson lié à l intégrité des systèmes transactionnels commerciaux Les principales définitions correspondant à ces modèles sont: - Objet O : Entité passive qui reçoit ou possède des informations ou encore l Objet de stockage, qui inclut les accès en lecture et en écriture. - Sujet S : Entité active (une personne, un processus ou un équipement) liée à un profil. - Opération licite T : L opération licite T est permise pour le sujet S sur l Objet O; - Canal caché : exploitation d un mécanisme non prévu pour la communication pour transférer des informations d une manière qui viole la sécurité. Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 165

27 Exercice 26 : Quels sont les avantages relatifs à la définition d une politique de sécurité pour une organisation? Exercice 27 : Quels sont les éléments qui permettent de justifier la mise en place d une politique de sécurité pour le système d information d une entreprise? Exercice 28 : Comment sexprime la rentabilité d une politique de sécurité? Exercice 29 : Identifier les principales étapes d une démarche sécurité? Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvénients potentiels liés à l externalisation de la sécurité informatique (outsourcing) par rapport à une gestion interne de la sécurité? Exercice 31 : Quelles sont les principales limites de la norme ISO pour la réalisation de la sécurité? Chapitre 5 : Gouvernance et politique de sécurité Mounir GRARI Sécurité informatique 166


Télécharger ppt "Plan Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour."

Présentations similaires


Annonces Google