La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

État de l’art de la sécurité informatique

Publié parThérèse Faucher Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "État de l’art de la sécurité informatique"— Transcription de la présentation:

1 État de l’art de la sécurité informatique
Introduction Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE – Expert Réseaux et Sécurité

2 Présentation Intervenants Partie théorique : Partie pratique :
Stéphan GUIDARINI - STEDIA Consulting Consultant Infrastructure et Sécurité Ancien élève du DESS Réseaux & Télécoms Partie pratique : Sébastien DESSE - ITSEC Ingénieur Réseaux et Sécurité Membre fondateur du GREPSSI Groupe de Réflexion et d’Echange sur les Problématiques liées à la Sécurité des Systèmes

3 Programme

4 Programme – Partie théorique
6 sessions théoriques Session du 31/10/2005 Introduction à la sécurité informatique Session du 07/11/2005 Sécurité des réseaux (1er partie) 21/11/2005 Sécurité des réseaux (2ème partie) 28/11/2005 Sécurité des contenus et échanges 05/12/2005 Sécurité des accès 12/12/2005 Sécurité des systèmes et services et conclusion

5 Sommaire - Introduction
Qu’est ce que la sécurité ? Quoi protéger ? Pourquoi ? Contre qui ? Qui croire ? Comment protéger ? La politique de sécurité.

6 Qu’est ce que la sécurité ?
La sécurité recouvre l'ensemble de techniques informatiques permettant de réduire au maximum les chances de fuites d'information, de modification de données ou de détérioration des services. Elle consiste à un très grand nombre de méthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.

7 Qu’est ce que la sécurité (2) ?
"Sécuriser" consiste à utiliser une ou plusieurs de ces techniques dans le but d'élever le niveau de sécurité d'un système ou d'une architecture. La menace représente le type d'action susceptible de nuire dans l'absolu La vulnérabilité représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.

8 systèmes d’information LA SECURITE DE L’INFORMATION
Quoi protéger ? L’« Information » au sens large. Voix et Vidéo Informations Non numérisées Sécurité des systèmes d’information Quelle que soit la forme prise par l’information ou quels que soient les moyens par lesquels elle est transmise ou stockée, il faut qu’elle soit toujours protégée de manière appropriée. Sécurité des Réseaux et échanges Archives Sécurité des systèmes Sécurité juridique Sécurité des développements LA SECURITE DE L’INFORMATION Seulement 40 à 50% des informations nécessaires pour faire fonctionner une entreprise sont enregistrées sur des supports électroniques

9 Quoi protéger (2) ? Le triptyque DIC : Disponibilité. Intégrité.
Garantir que les utilisateurs habilités ont accès à l’information et aux ressources associées au moment voulu (pas d’accès non autorisé) Intégrité. Sauvegarder l’exactitude et la fidélité de l’information et des méthodes de traitement des données (pas de modification non autorisée). Confidentialité Garantir que seules les personnes habilitées peuvent accéder à l’information (pas de divulgation non autorisée).

10 Quoi protéger (3) ? Les actifs.
Les actifs sont caractérisés par leur type et surtout par leur valeur Actifs d’informations Fichiers de données, bases de données Procédures et manuels utilisateurs, archives. Actifs physiques Serveurs informatiques, PC, portables, Matériels réseaux, PABX, unités de climatisation. Actifs applicatifs Progiciels, logiciels spécifiques, Systèmes d’exploitation, outils de développement, utilitaires. Actifs liés à la fourniture de services Services généraux (alimentation Électrique, climatisation, etc…)…

11 Pourquoi protéger ? L’information est une ressource stratégique, une matière première, elle est un atout pour celui qui la possède et donc attise souvent les convoitises Les S.I. facilitent l’accès à l’information Ils gèrent de grandes quantités d’information et peuvent la rende accessible depuis n’importe quel point du globe La destruction d’un S.I. peut permettre d’anéantir une entité de manière anonyme et sans faire un seul mort La loi, la réglementation et l’éthique seront toujours en retard sur la technique Les individus se comportent rarement comme on l’attend Le comportement d’un individu confronté à des situations inhabituelles et critiques est imprévisible

12 Pourquoi protéger? Les conséquence à retenir
Vol d’informations et du savoir faire Dans un contexte de haute technologie notamment Atteinte à l’image de marque NASA, e-bay, Wanadoo, RSA, … Indisponibilité du service e-business, … Perte de temps et de moyen humains Remise en service, recherche des dégradations Tache TRES difficile, peut nécessiter des moyens énormes Pertes financières ! Modification des montants de facture … Perte d’exploitation Erreurs de traitement

13 Contre qui ? Les menaces Les différents types de pirates
Les différentes arnaques et attaques Les accidents et inconsciences

14 La menace - Définitions
« Violation potentielle de la sécurité » - ISO Menace accidentelle Menace d’un dommage non intentionnel envers le SI Catastrophe naturelle, erreur d’exploitation, pannes Menace intentionnelle ou délibérée Par opposition à la précédente, elle est le fait d’un acte délibéré Menace active Menace de modification non autorisée et délibérée de l’état du système Dommage ou altération du SI Menace Passive Menace de divulgation non autorisée des informations, sans que l’état du SI soit modifié Écoutes, lecture de fichiers, … Menace Physique Menace l’existence ou l’état physique du SI Sabotage, incendie volontaire, vol, …

15 Catégories de menaces intentionnelles
L’espionnage Obtention d’informations Le vol Obtention d’informations ou de ressources La perturbation Affaiblir le S.I. Le sabotage Mise hors service du S.I. Le chantage Gain financier, menace de sabotage, … La fraude physique (récupération de bandes, listings, …) Les accès illégitimes (usurpation d’identité)

16 Origines / Attaquants (1)
Accidents Type de menace Menaces accidentelles (cf. définition) Type d’attaquants La nature ! Incendies, Foudre, Inondations, etc… Les fournisseurs EDF, Fournisseurs de connectivité, Fournisseurs de matériels et de logiciels, … Agresseurs internes (La majorité des cas) Inconsciences et accidents (A ne pas négliger !) Provoqués par l’inattention ou le manque de formation des administrateurs ou des utilisateurs Hors du cadre de cette présentation

17 Origines / Attaquants (2)
Menaces à caractère stratégiques Type de menace Menace intentionnelle active, passive et physique Pour un état Le secret défense et la sûreté de l’état Le patrimoine scientifique, technique, économique, diplomatique La disponibilité des SI et le fonctionnement des institutions Pour l’entreprise Informations concernant ses objectifs et son fonctionnement Les clients, procédés de fabrication, recherche et développement Catégories de menace Espionnage, vol, perturbation, sabotage, fraude physique, accès illégitimes … Type d’attaquants Espions Particuliers (rare), Entreprises, Gouvernements Terroristes

18 Origines / Attaquants (3)
Menace à caractère idéologique Type de menace Menace intentionnelle active, passive et physique Le combat pour les idées est incessant et peut être le moteur d’actes les plus extrêmes Idéologie politique, raciale, religieuse, économique, … Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accès illégitimes, … Type d’attaquants Militants Vandales Terroristes

19 Origines / Attaquants (4)
Menace à caractère terroriste Type de menace Menace intentionnelle active, passive et physique Actions concourant à déstabiliser l’ordre établi A caractère violant : destruction A caractère insidieux : désinformation, détournements Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accès illégitimes, … Type d’attaquants Terroristes

20 Origines / Attaquants (5)
Menace à caractère cupide Type de menace Menace intentionnelle active, passive et physique Gain pour l’attaquant Financier, technologique, … Pertes pour la victime Entraînant un gain pour l’agresseur : parts de marché, déstabilisation du concurrent, … Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accès illégitimes, … Type d’attaquant Espions (concurrent ou pour le compte de) Crime Organisé Intervenants Ont souvent accès à des informations sensibles, et conservent souvent des fichiers de configuration, …

21 Origines / Attaquants (6)
Menace à caractère ludique Type de menace Menace intentionnelle active Désir de s’amuser ou d’apprendre C’est la prouesse technique qui est mise en avant Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, … Type d’attaquant « Joyriders » Vandales Collectionneurs Généralement appelés Hackers ou Crackers

22 Origines / Attaquants (7)
Menace à caractère vengeur Type de menace Menace intentionnelle active, passive et physique Également un moteur d’actes extrêmes Souvent l’expression d’un employé brimé ou licencié qui peut possédé une très bonne connaissance du SI Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, … Type d’attaquant Personnes extérieures en désaccord avec l’entité Peur être un client, un fournisseur, un intervenant, … Les employés malveillants ou aigris Ont souvent une bonne connaissance de l’entreprise Utilisateurs dépassant leurs prérogatives Administrateurs, informaticiens, …

23 Origines / Attaquants (Conclusion)
Liste non exhaustive La menace peut être composite Plusieurs motivations (origines) Cupide + Ludique, Idéologique + Terroriste, … Plusieurs profils de pirate Employé malveillant + Espion, … Les Hackers et Crackers monopolisent l’attention mais ne sont en réalité qu’une composante de la problématique de sécurité !

24 Contre qui ? - Critères Comment caractériser les agresseurs ?
Leurs compétences techniques Le temps qu'ils sont prêts à passer pour réussir Leurs motivations Leurs moyens Leurs connaissances préalables de la cible

25 Classement Compétence Temps Motivation
Un hacker / étudiant externe pour le plaisir Forte Fort Moyenne Un concurrent Forte Faible Forte Un escroc (enjeu financier) Moyenne Moyen Moyenne Un opportuniste Faible Faible Faible Un membre de société de service Forte Faible Faible Un ancien membre du personnel Moyenne Faible Moyenne Un membre du personnel Moyenne Faible Faible Forte Moyen Faible Un stagiaire

26 Démarche basique (Cracker)
Collecter les Outils (logiciels) 1 Attaquer la victime 2 Se vanter 3

27 Démarche intermédiaire
Collecter les Outils et se documenter Identifier la cible 1 Collecter des informations 2 4 Attaquer la victime 3,5

28 Démarche expert (Hacker)
Maîtrise des concepts et outils Identifier la cible 1 Collecter des informations Développer les outils 2 4 Attaquer la victime 3,5

29 Attaques Attaque != Vulnérabilité Attaque Vulnérabilité
Action de malveillance consistant à tenter de contourner les fonctions de sécurité d’un SI (ISO) Vulnérabilité Faiblesse ou faille dans les procédures de sécurité, les contrôles administratifs, les contrôles internes d’un système, qui pourrait être exploitée pour obtenir un accès non autorisé au SI, à un de ses services, à des informations ou à la connaissance de leur existence et de permettre de porter atteinte à la confidentialité, à l’intégrité et à la disponibilité du SI et de ses informations

30 Vulnérabilités Dans la conception Dans l’implémentation
Matériel Protocole Architecture (Système, Réseau, …) Logiciel (OS, application, …) Dans l’implémentation Architecture (Système, réseau …) Configuration, exploitation Équipement (Routeurs, Firewalls, Serveur, …)

31 Attaques Intrusions Vandalisme Denis de service (DOS)
Vol d’informations Escroqueries

32 Attaques (1) Intrusions Recherche de mots de passe Le « Spoofing »
Dictionnaire Écoute du réseau « Brute force » Le « Spoofing » Les sniffers et scanners Les exploits

33 Attaques (2) Vandalisme Destruction de fichiers
Destruction de systèmes Défiguration de site Web

34 Attaques (3) Denis de service (DOS) Denis de service distribué (DDOS)
Bombes logiques (virus) Le « flood » TCP-SYN Flooding Le « Nuke » Le « spamming » Denis de service distribué (DDOS) Amplification des DOS Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ... Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise. Le Nuke Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter. Pour se protéger il existe des patches permettant de corriger le bug.

35 Attaques (4) Vol d’information Suite à une intrusion Interception
Écoute Cryptanalyse

36 Les principales escroqueries
L’ingénierie sociale. Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct Exemple : Le message vocal du Président de Hewlett-Packard à son Directeur administratif et financier, où il évoquait la fusion avec Compaq a été intercepté et diffusé à travers l’Internet. » - Avril

37 Les principales escroqueries
Le scam. Pratique frauduleuse consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.

38 Les principales escroqueries (2)
Le phreaking. Contraction des mots anglais phone (téléphone) et freak (monstre) désignant le piratage de lignes téléphoniques Technique frauduleuse permettant l’utilisation gratuite de ressources téléphoniques depuis l’extérieur. Exemple : Le piratage du standard téléphonique de la Cité des Congrès de Nantes a duré trois journées : le montant de la facture de téléphone s’est élevé de € à €. » - La Tribune – février

39 Les principales escroqueries (3)
Le phising. Contraction des mots anglais «fishing», en français pêche, et «phreaking» Technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes. Technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance.

40 Les principales escroqueries (4)
Le Hoax ou canular. Courrier électronique propageant une fausse information et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues. Les conséquences L'engorgement des réseaux et des serveurs de messagerie, Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs, La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ; La dégradation de l'image d'une personne ou bien d'une entreprise, L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de ne plus croire aux vraies.

41 Les virus Programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé Différents types. Les vers Les troyens Les bombes logiques Les spywares

42 Les virus (2) Les vers. Programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique pour se propager Les vers actuels se propagent principalement grâce à la messagerie grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.

43 Les virus (3) Les chevaux de Troie.
Programme (en anglais trojan horse) caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor Vol de mots de passe Copie de données Exécution d’action nuisible Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ... Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise. Le Nuke Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter. Pour se protéger il existe des patches permettant de corriger le bug.

44 Les virus (4) Les bombes. Dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système Généralement utilisées dans le but de créer un déni de service Exemple la bombe logique Tchernobyl s'est activée le 26 avril 1999 Les bombes logiques Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ... Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise. Le Nuke Les nukes sont des plantages de Windows dûs à des utilisateurs peu intelligents (qui connaissent votre adresse IP) qui s'amusent à utiliser un bug de Windows 95 (pas 98) qui fait que si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un magnifique écran bleu du plus bel effet, vous n'avez plus qu'à rebooter. Pour se protéger il existe des patches permettant de corriger le bug.

45 Les virus (5) Les spyware ou espiogiciels.
Programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (profiling). Keyloggers : Dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.

46 Taxinomie d’un incident
Taxinomie (ou Taxonomie) Classification d’éléments selon des taxons Taxon (biologie) Unité formelle représentée par un groupe d’organismes, à chaque niveau de la classification.

47 Attaquant Cible Action Outil Vulnérabilité Résultat Objectif
Incident Attaque Évènement Attaquant Terroriste Espion Crime organisé Militant Employé Hacker Cracker, vandales… Cible Compte utilisateur Processus Donnée Ordinateur Réseau Composant du SI Action Sonde Scanne ‘Flood’ Authentifie ‘Spoof’ Court-circuite Vol Modifie, copie, efface Détruit Outil Attaque physique Échange d’information Commande Toolkit Script, programme Agent autonome distribué Trappe Vulnérabilité Conception Implémentation Configuration Résultat Accès illégitime Divulgation Corruption Denis de service Vol de ressource Destruction de ressource Objectif Challenge, distraction Gain financier stratégique Vengeance

48 Qui croire ? Personne ! (méthode paranoïaque)
Tout le monde n’est pas mal intentionné Il existe des gens mal intentionnés Il existe des gens bien intentionnés mais irresponsables (Microsoft, ebay,…) A qui fait-on confiance ? Éditeurs Partenaires Intervenants (SSII, intégrateurs, consultants, …) S’assurer qu’ils sont aussi rigoureux que vous sur la sécurité

49 Comment protéger ? Pas de sécurité Miser sur la discrétion
Sécurité des systèmes Sécurité du réseau Sensibiliser et former le personnel Aucun modèle de sécurité ne peut résoudre tous les problèmes Définir une politique de sécurité Définir une démarche sécurité

50 La politique de sécurité ?
C’est un dispositif global dont la mise en œuvre assure que l’information peut être partagée d’une façon qui garantit un niveau approprié de protection de cette information et des actifs liés. Toutes méthodes, techniques et outils concourant à la protection l’information contre un large éventail de menaces afin : De garantir la continuité d’activité de l’entreprise, De réduire les dommages éventuels sur l’activité de l’entreprise, De maximiser le retour sur investissement des Systèmes d’Information.

51 La politique de sécurité (2).
Les domaines.

52 La politique de sécurité (3).
La démarche type.

53 La politique de sécurité (4).
Les différentes approches.

54 La politique de sécurité (5).
Les normes ISO concernant la sécurité.

55 Les normes ISO. La norme ISO/IEC 15408
Certification internationale relative à la sécurité des produits de technologies de l’information. A destination des industriels du secteur des T.I.C avant tout: Editeurs de logiciels, constructeurs d’équipements… Un catalogue des exigences fonctionnelles et d’assurance de sécurité, Éléments pour la spécification des exigences de sécurité (cible de sécurité, profil de protection), La description des 7 niveaux d’assurance de l’évaluation (EAL),

56 Les normes ISO (2). La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security. Partie 1: Concepts et modèles pour la sécurité des T.I, Partie 2: Management et planification de la sécurité des T.I, Partie 3: Techniques pour la gestion Partie 4: Sélection de mesures de sécurité, Partie 5: Guide pour la gestion de la Sécurité du réseau.

57 Les normes ISO (2). La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT Security. Partie 1: Concepts et modèles pour la sécurité des T.I, Partie 2: Management et planification de la sécurité des T.I, Partie 3: Techniques pour la gestion Partie 4: Sélection de mesures de sécurité, Partie 5: Guide pour la gestion de la Sécurité du réseau.

58 Les normes ISO (3) ISO 17799 Standard international basé sur les bonnes pratiques de la gestion de la sécurité de l’information, Une approche s’appuyant sur la gestion de risques pour définir une politique, des procédures et des contrôles appropriés pour gérer ces risques

59 Les normes ISO (4) Synthèse. ISO 17799 ISO 13335
LES NORMES DE SECURITE DE L’INFORMATION AUJOURD’HUI ISO 17799 Introduction Contrôles 17799 ISO 13335 Modèle de Management Mesures de sécurité Risks management SECURITE DE L’INFORMATION SECURITE DES T.I.C

60 La norme ISO (1) ISO est : Une norme internationale structurée dédiée à la sécurité de l’information, Un processus élaboré pour évaluer, implémenter, maintenir et gérer la sécurité de l’information, Une série de contrôles basés sur les bonnes pratiques en sécurité de l’information, Développé par des industriels pour des industriels, Pouvant s’appuyer sur la norme IS : guidelines for the management of IT Security, Un processus équilibré entre sécurité physique, technique, procédurale et la sécurité du personnel.

61 La norme ISO 17799 (2) ISO 17799 contient : 10 chapitres,
127 objectifs de contrôle classé en 3 familles : Organisationnels Politique de sécurité, Organisation de la sécurité, Continuité d’activité Fonctionnels Réglementation et lois applicables, Gestion des ressources humaines, Opérationnels Sécurité et accès logiques, Développement et gestion des évolutions, Sécurité et accès physiques, 10% 10% 80%

62 La norme ISO (3) Les 10 chapitre de la norme :

63 La norme ISO 17799 (4). Politique de sécurité 1
L’objectif est, pour la direction, de: Exprimer formellement la stratégie de sécurité de l’organisation, Communiquer clairement son appui à sa mise en œuvre. Ce document soit être approuvé: Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des évolutions technologiques. La sécurité est une responsabilité partagée par tous les membres de l’équipe de direction: Création d’un comité de direction multifonction dédié pour assurer le pilotage de la sécurité, Définit rôles et responsabilités, les méthodes et procédures et soutient les initiatives de promotion et de communication interne.

64 Organisation de la sécurité
La norme ISO (5). Organisation de la sécurité 2 L’objectif est de: Gérer efficacement la sécurité de l’information dans l’organisation, Maintenir la sécurité des moyens de traitement et des actifs accédés par des tiers ou des sous-traitants, Maintenir la sécurité des informations lorsque la responsabilité du traitement des informations est externalisée à une autre organisation.

65 Classification et contrôle des actifs
La norme ISO (6). Classification et contrôle des actifs 3 L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité: Tout actif important doit être répertorié et alloué à un responsable nominatif, L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité. Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.

66 Classification et contrôle des actifs
La norme ISO (7). Classification et contrôle des actifs 3 L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité: Tout actif important doit être répertorié et alloué à un responsable nominatif, L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité. Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.

67 La norme ISO (8). Sécurité liée au personnel 4 Plus de 60% des incidents proviennent de l’intérieur de l’entreprise ! L’objectif est de: Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement, S’assurer que les utilisateurs ont été informés des risques et menaces concernant les informations, S’assurer que les utilisateurs sont formés et équipés pour appliquer la politique de sûreté lors de leurs activités normales, Minimiser les dommages en cas d’incident ou de dysfonctionnement, Savoir capitaliser sur ces incidents et s’adapter.

68 La norme ISO 17799 (8). 5 Sécurité physique et de l’environnement
L’objectif est de: Prévenir les accès non autorisés, les dommages et les interférences sur les informations, les activités et les locaux de l’organisation, Prévenir la compromission ou le vol des informations ou des moyens de traitement.

69 La norme ISO 17799 (9). 6 Exploitation et réseaux L’objectif est de:
Assurer une exploitation correcte et sure des moyens de traitement, Minimiser les risques de pannes et leur impact, Assurer l’intégrité et la disponibilité des informations, des traitements et des communications, Prévenir les dommages aux actifs et les interruptions de service, Prévenir les pertes, les modifications et les utilisations frauduleuses d’informations échangées entre organisations.

70 La norme ISO 17799 (9). 7 Contrôle d’accès logiques L’objectif est de:
Gérer et contrôler l’accès aux informations, Prévenir les accès non autorisés, Assurer la protection des systèmes en réseau, Détecter les activités non autorisées, Assurer la sécurité des informations lors des accès mobiles ou distants.

71 La norme ISO 17799 (10). La politique de contrôle comprend notamment:
L’enregistrement unique de chaque utilisateur, Une procédure écrite de délivrance d’un processus d’authentification signée du responsable hiérarchique, Des services de déconnexion automatique en cas d’inactivité, Une politique de révision des mots de passe, Une hiérarchisation du niveau d’accès en fonction du degré de confidentialité des données.

72 La norme ISO 17799 (11). 8 Développement et maintenance des systèmes
L’objectif est de: Assurer que la sécurité soit incluse dès la phase de conception, Prévenir la perte, la modification ou la mauvaise utilisation des informations hébergées par les systèmes, Protéger la confidentialité, l’intégrité et la disponibilité des informations, Assurer que les projets et activités de maintenance sont conduits de manière sûre, Maintenir la sécurité des applications (logiciel et données).

73 Continuité d’activité
La norme ISO (12). Continuité d’activité 9 L’objectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de l’organisation résultant de pannes, d’incidents, de sinistres ou e catastrophes. Une analyse des risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications permet d’établir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnement mineur jusqu’à la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève,…)

74 La norme ISO 17799 (13). La conformité se décline en 3 volets:
10 La conformité se décline en 3 volets: Le respect des lois et réglementations: Licences logicielles, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes, La conformité des procédures en place au regard de la politique de sécurité de l’organisation, c’est à dire des dispositifs mis en place pour assurer les objectifs de sécurité définis par la Direction Générale, L’efficacité des dispositifs de traçabilité et de suivi des procédures en place: Journaux d’activité, pistes d’audit, enregistrement de transactions,…

75 Les méthodes de sécurité.
Les plus connues en France sont MEHARI (Clusif), EBIOS (DCSSI) et MARION (Clusif). Ces méthodes ont leurs propres référentiels qui ne couvrent pas toujours strictement le spectre de l’ISO 17799, Il peut par conséquent être nécessaire de retravailler les bases de connaissance de ces méthodes pour obtenir une couverture complète de la sécurité de l’Information, La commission « méthodes » du Clusif a corrélé la base de connaissance de MEHARI afin de couvrir l’ensemble des mesures de ISO

76 Système de Management de la Sécurité de l’Information.
Management System : Système pour établir la politique et les objectifs et pour atteindre ces objectifs (ISO guide 72). Les systèmes de management sont utilisés dans les entreprises pour développer leurs politiques et les mettre en application à travers des objectifs et des cibles en utilisant: Une organisation dans l’entreprise, Des processus et des ressources associés, Des contrôles et une méthode d’évaluation, Des processus de révision pour garantir que les anomalies sont corrigées et mettre en œuvre des axes d’amélioration le cas échéant.

77 Système de Management de la Sécurité de l’Information (2).
Certaines organisations commencent à aborder la sécurité de l’information comme un système intégré appelé un Information System Management System (ISMS). Mise en œuvre d’un vrai processus d’analyse, d’élaboration de contrôle et d’évolution d’une politique de sécurité en appliquant un concept bien connu en qualité, le modèle PDCA.

78 Système de Management de la Sécurité de l’Information (3).
Modèle PDCA. MODELE PDCA PLAN: Etablir les objectifs conformément aux risques et aux exigences de sécurité, DO: Implémenter et opérer les fonctionnalités et procédures, CHECK: Gérer les incidents, les erreurs, auditer, ACT: Faire évoluer la politique et les moyens conformément aux besoins.

79 Système de Management de la Sécurité de l’Information (4).
Les normes pour construire un SMSI.

80 La certification BS7799-2 A l’instar de ISO 9000 pour le management de la qualité, BS est la seule norme et certification qui existe actuellement pour les ISMS. Définit les conditions pour l’établissement, la mise en œuvre et la documentation d’un ISMS, Définit les exigences de contrôles pour la sécurité devant être mis en application selon les besoins de différents organismes, Elle se compose de 10 chapitres de 127 contrôles, Nécessite 2 étapes (audit de la documentation puis audit de l’implémentation), En France, le COFRAC (Comité Français d’Accréditation et de Certification) peut valider un schéma de certification BS

Télécharger ppt "État de l’art de la sécurité informatique"

Présentations similaires

La place accordée à l’expression des salariés sur leur travail et leurs conditions de travail dans l’entreprise Résultats sondage exclusif CSA/ANACT.

La place accordée à l’expression des salariés sur leur travail et leurs conditions de travail dans l’entreprise Résultats sondage exclusif CSA/ANACT.
Mais vous comprenez qu’il s’agit d’une « tromperie ».

Mais vous comprenez qu’il s’agit d’une « tromperie ».
Résultats du 1 er Baromètre 2012 des DI Cloud Computing et Sécurité Etat des lieux – Nouvelles tendances Juin 2012 1.

Résultats du 1 er Baromètre 2012 des DI Cloud Computing et Sécurité Etat des lieux – Nouvelles tendances Juin
Faculté des Sciences de la Santé

Faculté des Sciences de la Santé
Distance inter-locuteur

Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août 2007 www.cornil.com.

1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
L'installation et la diffusion 1 LInstallation et la Diffusion.

L'installation et la diffusion 1 LInstallation et la Diffusion.
des Structures de Santé

des Structures de Santé
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Www.coursmix.com Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.

Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
Sommaire Introduction Les politiques de sécurité

Sommaire Introduction Les politiques de sécurité
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité

La politique de Sécurité
Les réseaux informatiques

Les réseaux informatiques
l'approche ergonomique

l'approche ergonomique
Les virus informatiques

Les virus informatiques
23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.

23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.
Www.GestSIS.ch 1 5 octobre 2011 / paw Présentation du 7 octobre 2011.

1 5 octobre 2011 / paw Présentation du 7 octobre 2011.

Présentations similaires

Annonces Google