La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Novembre – Décembre 2005 Version 1.01 1 État de lart de la sécurité informatique Introduction Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien.

Présentations similaires


Présentation au sujet: "Novembre – Décembre 2005 Version 1.01 1 État de lart de la sécurité informatique Introduction Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien."— Transcription de la présentation:

1

2 Novembre – Décembre 2005 Version État de lart de la sécurité informatique Introduction Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE – Expert Réseaux et Sécurité

3 Novembre – Décembre 2005 Version Présentation Intervenants Partie théorique : Stéphan GUIDARINI - STEDIA Consulting Consultant Infrastructure et Sécurité Ancien élève du DESS Réseaux & Télécoms Partie pratique : Sébastien DESSE - ITSEC Ingénieur Réseaux et Sécurité Membre fondateur du GREPSSI Groupe de Réflexion et dEchange sur les Problématiques liées à la Sécurité des Systèmes

4 Novembre – Décembre 2005 Version Programme

5 Novembre – Décembre 2005 Version Programme – Partie théorique 6 sessions théoriques Session du 31/10/2005 Introduction à la sécurité informatique Session du 07/11/2005 Sécurité des réseaux (1 er partie) 21/11/2005 Sécurité des réseaux (2 ème partie) 28/11/2005 Sécurité des contenus et échanges 05/12/2005 Sécurité des accès 12/12/2005 Sécurité des systèmes et services et conclusion

6 Novembre – Décembre 2005 Version Sommaire - Introduction Introduction Quest ce que la sécurité ? Quoi protéger ? Pourquoi ? Contre qui ? Qui croire ? Comment protéger ? La politique de sécurité.

7 Novembre – Décembre 2005 Version Quest ce que la sécurité ? La sécurité recouvre l'ensemble de techniques informatiques permettant de réduire au maximum les chances de fuites d'information, de modification de données ou de détérioration des services. Elle consiste à un très grand nombre de méthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.

8 Novembre – Décembre 2005 Version Quest ce que la sécurité (2) ? "Sécuriser" consiste à utiliser une ou plusieurs de ces techniques dans le but d'élever le niveau de sécurité d'un système ou d'une architecture. La menace représente le type d'action susceptible de nuire dans l'absolu La vulnérabilité représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.

9 Novembre – Décembre 2005 Version Quoi protéger ? LA SECURITE DE LINFORMATION Sécurité des systèmes dinformation Sécurité des Réseaux et échanges Sécurité des systèmes Sécurité juridique Sécurité des développements Voix et Vidéo Informations Non numérisées Archives Quelle que soit la forme prise par linformation ou quels que soient les moyens par lesquels elle est transmise ou stockée, il faut quelle soit toujours protégée de manière appropriée. Seulement 40 à 50% des informations nécessaires pour faire fonctionner une entreprise sont enregistrées sur des supports électroniques L« Information » au sens large.

10 Novembre – Décembre 2005 Version Quoi protéger (2) ? Le triptyque DIC : Disponibilité. Garantir que les utilisateurs habilités ont accès à linformation et aux ressources associées au moment voulu (pas daccès non autorisé) Intégrité. Sauvegarder lexactitude et la fidélité de linformation et des méthodes de traitement des données (pas de modification non autorisée). Confidentialité Garantir que seules les personnes habilitées peuvent accéder à linformation (pas de divulgation non autorisée).

11 Novembre – Décembre 2005 Version Quoi protéger (3) ? Les actifs. Les actifs sont caractérisés par leur type et surtout par leur valeur Actifs dinformations Fichiers de données, bases de données Procédures et manuels utilisateurs, archives. Actifs applicatifs Progiciels, logiciels spécifiques, Systèmes dexploitation, outils de développement, utilitaires. Actifs physiques Serveurs informatiques, PC, portables, Matériels réseaux, PABX, unités de climatisation. Actifs liés à la fourniture de services Services généraux (alimentation Électrique, climatisation, etc…)…

12 Novembre – Décembre 2005 Version Pourquoi protéger ? Linformation est une ressource stratégique, une matière première, elle est un atout pour celui qui la possède et donc attise souvent les convoitises Les S.I. facilitent laccès à linformation Ils gèrent de grandes quantités dinformation et peuvent la rende accessible depuis nimporte quel point du globe La destruction dun S.I. peut permettre danéantir une entité de manière anonyme et sans faire un seul mort La loi, la réglementation et léthique seront toujours en retard sur la technique Les individus se comportent rarement comme on lattend Le comportement dun individu confronté à des situations inhabituelles et critiques est imprévisible

13 Novembre – Décembre 2005 Version Pourquoi protéger? Les conséquence à retenir Vol dinformations et du savoir faire Dans un contexte de haute technologie notamment Atteinte à limage de marque NASA, e-bay, Wanadoo, RSA, … Indisponibilité du service e-business, … Perte de temps et de moyen humains Remise en service, recherche des dégradations Tache TRES difficile, peut nécessiter des moyens énormes Pertes financières ! Modification des montants de facture … Perte dexploitation Erreurs de traitement

14 Novembre – Décembre 2005 Version Contre qui ? Les menaces Les différents types de pirates Les différentes arnaques et attaques Les accidents et inconsciences

15 Novembre – Décembre 2005 Version La menace - Définitions « Violation potentielle de la sécurité » - ISO Menace accidentelle Menace dun dommage non intentionnel envers le SI Catastrophe naturelle, erreur dexploitation, pannes Menace intentionnelle ou délibérée Par opposition à la précédente, elle est le fait dun acte délibéré Menace active Menace de modification non autorisée et délibérée de létat du système Dommage ou altération du SI Menace Passive Menace de divulgation non autorisée des informations, sans que létat du SI soit modifié Écoutes, lecture de fichiers, … Menace Physique Menace lexistence ou létat physique du SI Sabotage, incendie volontaire, vol, …

16 Novembre – Décembre 2005 Version Catégories de menaces intentionnelles Lespionnage Obtention dinformations Le vol Obtention dinformations ou de ressources La perturbation Affaiblir le S.I. Le sabotage Mise hors service du S.I. Le chantage Gain financier, menace de sabotage, … La fraude physique (récupération de bandes, listings, …) Obtention dinformations Les accès illégitimes (usurpation didentité) Obtention dinformations

17 Novembre – Décembre 2005 Version Origines / Attaquants (1) Accidents Type de menace Menaces accidentelles (cf. définition) Type dattaquants La nature ! Incendies, Foudre, Inondations, etc… Les fournisseurs EDF, Fournisseurs de connectivité, Fournisseurs de matériels et de logiciels, … Agresseurs internes (La majorité des cas) Inconsciences et accidents (A ne pas négliger !) Provoqués par linattention ou le manque de formation des administrateurs ou des utilisateurs Hors du cadre de cette présentation

18 Novembre – Décembre 2005 Version Origines / Attaquants (2) Menaces à caractère stratégiques Type de menace Menace intentionnelle active, passive et physique Pour un état Le secret défense et la sûreté de létat Le patrimoine scientifique, technique, économique, diplomatique La disponibilité des SI et le fonctionnement des institutions Pour lentreprise Informations concernant ses objectifs et son fonctionnement Les clients, procédés de fabrication, recherche et développement Catégories de menace Espionnage, vol, perturbation, sabotage, fraude physique, accès illégitimes … Type dattaquants Espions Particuliers (rare), Entreprises, Gouvernements Terroristes

19 Novembre – Décembre 2005 Version Origines / Attaquants (3) Menace à caractère idéologique Type de menace Menace intentionnelle active, passive et physique Le combat pour les idées est incessant et peut être le moteur dactes les plus extrêmes Idéologie politique, raciale, religieuse, économique, … Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accès illégitimes, … Type dattaquants Militants Vandales Terroristes

20 Novembre – Décembre 2005 Version Origines / Attaquants (4) Menace à caractère terroriste Type de menace Menace intentionnelle active, passive et physique Actions concourant à déstabiliser lordre établi A caractère violant : destruction A caractère insidieux : désinformation, détournements Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accès illégitimes, … Type dattaquants Terroristes

21 Novembre – Décembre 2005 Version Origines / Attaquants (5) Menace à caractère cupide Type de menace Menace intentionnelle active, passive et physique Gain pour lattaquant Financier, technologique, … Pertes pour la victime Entraînant un gain pour lagresseur : parts de marché, déstabilisation du concurrent, … Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accès illégitimes, … Type dattaquant Espions (concurrent ou pour le compte de) Crime Organisé Intervenants Ont souvent accès à des informations sensibles, et conservent souvent des fichiers de configuration, …

22 Novembre – Décembre 2005 Version Origines / Attaquants (6) Menace à caractère ludique Type de menace Menace intentionnelle active Désir de samuser ou dapprendre Cest la prouesse technique qui est mise en avant Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, … Type dattaquant « Joyriders » Vandales Collectionneurs Généralement appelés Hackers ou Crackers

23 Novembre – Décembre 2005 Version Origines / Attaquants (7) Menace à caractère vengeur Type de menace Menace intentionnelle active, passive et physique Également un moteur dactes extrêmes Souvent lexpression dun employé brimé ou licencié qui peut possédé une très bonne connaissance du SI Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, … Type dattaquant Personnes extérieures en désaccord avec lentité Peur être un client, un fournisseur, un intervenant, … Les employés malveillants ou aigris Ont souvent une bonne connaissance de lentreprise Utilisateurs dépassant leurs prérogatives Administrateurs, informaticiens, …

24 Novembre – Décembre 2005 Version Origines / Attaquants (Conclusion) Conclusion Liste non exhaustive La menace peut être composite Plusieurs motivations (origines) Cupide + Ludique, Idéologique + Terroriste, … Plusieurs profils de pirate Employé malveillant + Espion, … Les Hackers et Crackers monopolisent lattention mais ne sont en réalité quune composante de la problématique de sécurité !

25 Novembre – Décembre 2005 Version Contre qui ? - Critères Comment caractériser les agresseurs ? Leurs compétences techniques Le temps qu'ils sont prêts à passer pour réussir Leurs motivations Leurs moyens Leurs connaissances préalables de la cible

26 Novembre – Décembre 2005 Version Classement Un hacker / étudiant externe pour le plaisirForteFortMoyenne Un concurrentForteFaibleForte Un escroc (enjeu financier)MoyenneMoyenMoyenne Un opportunisteFaible Un membre de société de serviceForteFaible Un ancien membre du personnelMoyenneFaibleMoyenne Un membre du personnel MoyenneFaible Un stagiaire ForteMoyenFaible CompétenceTempsMotivation

27 Novembre – Décembre 2005 Version Démarche basique (Cracker) Collecter les Outils (logiciels) Attaquer la victime Se vanter 1 2 3

28 Novembre – Décembre 2005 Version Démarche intermédiaire Collecter les Outils et se documenter Collecter des informations Attaquer la victime 1 2 3,5 4 Identifier la cible

29 Novembre – Décembre 2005 Version Démarche expert (Hacker) Maîtrise des concepts et outils Collecter des informations Attaquer la victime 1 2 3,5 4 Développer les outils Identifier la cible

30 Novembre – Décembre 2005 Version Attaques Attaque != Vulnérabilité Attaque Action de malveillance consistant à tenter de contourner les fonctions de sécurité dun SI (ISO) Vulnérabilité Faiblesse ou faille dans les procédures de sécurité, les contrôles administratifs, les contrôles internes dun système, qui pourrait être exploitée pour obtenir un accès non autorisé au SI, à un de ses services, à des informations ou à la connaissance de leur existence et de permettre de porter atteinte à la confidentialité, à lintégrité et à la disponibilité du SI et de ses informations

31 Novembre – Décembre 2005 Version Vulnérabilités Dans la conception Matériel Protocole Architecture (Système, Réseau, …) Logiciel (OS, application, …) Dans limplémentation Matériel Protocole Architecture (Système, réseau …) Logiciel (OS, application, …) Configuration, exploitation Équipement (Routeurs, Firewalls, Serveur, …) Logiciel (OS, application, …)

32 Novembre – Décembre 2005 Version Attaques Intrusions Vandalisme Denis de service (DOS) Vol dinformations Escroqueries

33 Novembre – Décembre 2005 Version Attaques (1) Intrusions Recherche de mots de passe Dictionnaire Écoute du réseau « Brute force » Le « Spoofing » Les sniffers et scanners Les exploits

34 Novembre – Décembre 2005 Version Attaques (2) Vandalisme Destruction de fichiers Destruction de systèmes Défiguration de site Web

35 Novembre – Décembre 2005 Version Attaques (3) Denis de service (DOS) Bombes logiques (virus) Le « flood » TCP-SYN Flooding Le « Nuke » Le « spamming » Denis de service distribué (DDOS) Amplification des DOS

36 Novembre – Décembre 2005 Version Attaques (4) Vol dinformation Suite à une intrusion Interception Écoute Cryptanalyse

37 Novembre – Décembre 2005 Version Les principales escroqueries Lingénierie sociale. Il s'agit ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct Exemple : Le message vocal du Président de Hewlett- Packard à son Directeur administratif et financier, où il évoquait la fusion avec Compaq a été intercepté et diffusé à travers lInternet. » - Avril

38 Novembre – Décembre 2005 Version Les principales escroqueries Le scam. Pratique frauduleuse consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.

39 Novembre – Décembre 2005 Version Les principales escroqueries (2) Le phreaking. Contraction des mots anglais phone (téléphone) et freak (monstre) désignant le piratage de lignes téléphoniques Technique frauduleuse permettant lutilisation gratuite de ressources téléphoniques depuis lextérieur. Exemple : Le piratage du standard téléphonique de la Cité des Congrès de Nantes a duré trois journées : le montant de la facture de téléphone sest élevé de à » - La Tribune – février

40 Novembre – Décembre 2005 Version Les principales escroqueries (3) Le phising. Contraction des mots anglais «fishing», en français pêche, et «phreaking» Technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes. Technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance.

41 Novembre – Décembre 2005 Version Les principales escroqueries (4) Le Hoax ou canular. Courrier électronique propageant une fausse information et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues. Les conséquences L'engorgement des réseaux et des serveurs de messagerie, Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs, La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ; La dégradation de l'image d'une personne ou bien d'une entreprise, L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de ne plus croire aux vraies.

42 Novembre – Décembre 2005 Version Les virus Programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé Différents types. Les vers Les troyens Les bombes logiques Les spywares

43 Novembre – Décembre 2005 Version Les virus (2) Les vers. Programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique pour se propager Les vers actuels se propagent principalement grâce à la messagerie grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.

44 Novembre – Décembre 2005 Version Les virus (3) Les chevaux de Troie. Programme (en anglais trojan horse) caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor Vol de mots de passe Copie de données Exécution daction nuisible

45 Novembre – Décembre 2005 Version Les virus (4) Les bombes. Dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système Généralement utilisées dans le but de créer un déni de service Exemple la bombe logique Tchernobyl s'est activée le 26 avril 1999

46 Novembre – Décembre 2005 Version Les virus (5) Les spyware ou espiogiciels. Programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (profiling). Keyloggers : Dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.

47 Novembre – Décembre 2005 Version Taxinomie dun incident Taxinomie (ou Taxonomie) Classification déléments selon des taxons Taxon (biologie) Unité formelle représentée par un groupe dorganismes, à chaque niveau de la classification.

48 Novembre – Décembre 2005 Version Attaquant Terroriste Espion Crime organisé Militant Employé Hacker Cracker, vandales… Cible Compte utilisateur Processus Donnée Ordinateur Réseau Composant du SI Action Sonde Scanne Flood Authentifie Spoof Court-circuite Vol Modifie, copie, efface Détruit Outil Attaque physique Échange dinformation Commande utilisateur Toolkit Script, programme Agent autonome Outil distribué Trappe Vulnérabilité Conception Implémentation Configuration Résultat Accès illégitime Divulgation dinformation Corruption dinformation Denis de service Vol de ressource Destruction de ressource Objectif Challenge, distraction Gain financier Gain stratégique Destruction Vengeance Attaque Incident Évènement

49 Novembre – Décembre 2005 Version Qui croire ? Personne ! (méthode paranoïaque) Tout le monde nest pas mal intentionné Il existe des gens mal intentionnés Il existe des gens bien intentionnés mais irresponsables (Microsoft, ebay,…) A qui fait-on confiance ? Éditeurs Partenaires Intervenants (SSII, intégrateurs, consultants, …) Sassurer quils sont aussi rigoureux que vous sur la sécurité

50 Novembre – Décembre 2005 Version Comment protéger ? Pas de sécurité Miser sur la discrétion Sécurité des systèmes Sécurité du réseau Sensibiliser et former le personnel Aucun modèle de sécurité ne peut résoudre tous les problèmes Définir une politique de sécurité Définir une démarche sécurité

51 Novembre – Décembre 2005 Version La politique de sécurité ? Cest un dispositif global dont la mise en œuvre assure que linformation peut être partagée dune façon qui garantit un niveau approprié de protection de cette information et des actifs liés. Toutes méthodes, techniques et outils concourant à la protection linformation contre un large éventail de menaces afin : De garantir la continuité dactivité de lentreprise, De réduire les dommages éventuels sur lactivité de lentreprise, De maximiser le retour sur investissement des Systèmes dInformation.

52 Novembre – Décembre 2005 Version La politique de sécurité (2). Les domaines.

53 Novembre – Décembre 2005 Version La politique de sécurité (3). La démarche type.

54 Novembre – Décembre 2005 Version La politique de sécurité (4). Les différentes approches.

55 Novembre – Décembre 2005 Version La politique de sécurité (5). Les normes ISO concernant la sécurité.

56 Novembre – Décembre 2005 Version Les normes ISO. La norme ISO/IEC Certification internationale relative à la sécurité des produits de technologies de linformation. A destination des industriels du secteur des T.I.C avant tout: Editeurs de logiciels, constructeurs déquipements… Un catalogue des exigences fonctionnelles et dassurance de sécurité, Éléments pour la spécification des exigences de sécurité (cible de sécurité, profil de protection), La description des 7 niveaux dassurance de lévaluation (EAL),

57 Novembre – Décembre 2005 Version Les normes ISO (2). La norme ISO ISO TR 13335: Guidelines for the management of IT Security. Partie 1: Concepts et modèles pour la sécurité des T.I, Partie 2: Management et planification de la sécurité des T.I, Partie 3: Techniques pour la gestion de la sécurité des T.I, Partie 4: Sélection de mesures de sécurité, Partie 5: Guide pour la gestion de la Sécurité du réseau.

58 Novembre – Décembre 2005 Version Les normes ISO (2). La norme ISO ISO TR 13335: Guidelines for the management of IT Security. Partie 1: Concepts et modèles pour la sécurité des T.I, Partie 2: Management et planification de la sécurité des T.I, Partie 3: Techniques pour la gestion de la sécurité des T.I, Partie 4: Sélection de mesures de sécurité, Partie 5: Guide pour la gestion de la Sécurité du réseau.

59 Novembre – Décembre 2005 Version Les normes ISO (3) ISO Standard international basé sur les bonnes pratiques de la gestion de la sécurité de linformation, Une approche sappuyant sur la gestion de risques pour définir une politique, des procédures et des contrôles appropriés pour gérer ces risques

60 Novembre – Décembre 2005 Version Les normes ISO (4) Synthèse. LES NORMES DE SECURITE DE LINFORMATION AUJOURDHUI ISO Introduction Contrôles ISO Modèle de Management Mesures de sécurité Risks management SECURITE DE LINFORMATI ON SECURITE DES T.I.C

61 Novembre – Décembre 2005 Version La norme ISO (1) ISO est : Une norme internationale structurée dédiée à la sécurité de linformation, Un processus élaboré pour évaluer, implémenter, maintenir et gérer la sécurité de linformation, Une série de contrôles basés sur les bonnes pratiques en sécurité de linformation, Développé par des industriels pour des industriels, Pouvant sappuyer sur la norme IS : guidelines for the management of IT Security, Un processus équilibré entre sécurité physique, technique, procédurale et la sécurité du personnel.

62 Novembre – Décembre 2005 Version La norme ISO (2) ISO contient : 10 chapitres, 127 objectifs de contrôle classé en 3 familles : Organisationnels Politique de sécurité, Organisation de la sécurité, Continuité dactivité Fonctionnels Réglementation et lois applicables, Gestion des ressources humaines, Opérationnels Sécurité et accès logiques, Développement et gestion des évolutions, Sécurité et accès physiques, 10% 80%

63 Novembre – Décembre 2005 Version La norme ISO (3) Les 10 chapitre de la norme :

64 Novembre – Décembre 2005 Version La norme ISO (4). Lobjectif est, pour la direction, de: Exprimer formellement la stratégie de sécurité de lorganisation, Communiquer clairement son appui à sa mise en œuvre. Politique de sécurité 1 Ce document soit être approuvé: Il doit être révisé et adapté périodiquement en prenant en compte lefficacité de ses mesures, le coût et limpact des contrôles sur lactivité, les effets des évolutions technologiques. La sécurité est une responsabilité partagée par tous les membres de léquipe de direction: Création dun comité de direction multifonction dédié pour assurer le pilotage de la sécurité, Définit rôles et responsabilités, les méthodes et procédures et soutient les initiatives de promotion et de communication interne.

65 Novembre – Décembre 2005 Version La norme ISO (5). Lobjectif est de: Gérer efficacement la sécurité de linformation dans lorganisation, Maintenir la sécurité des moyens de traitement et des actifs accédés par des tiers ou des sous-traitants, Maintenir la sécurité des informations lorsque la responsabilité du traitement des informations est externalisée à une autre organisation. Organisation de la sécurité 2

66 Novembre – Décembre 2005 Version La norme ISO (6). Lobjectif est de maintenir le niveau de protection adapté à chaque actif dinformation en accord avec la politique de sécurité: Tout actif important doit être répertorié et alloué à un responsable nominatif, Linformation doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité. Classification et contrôle des actifs 3 Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.

67 Novembre – Décembre 2005 Version La norme ISO (7). Lobjectif est de maintenir le niveau de protection adapté à chaque actif dinformation en accord avec la politique de sécurité: Tout actif important doit être répertorié et alloué à un responsable nominatif, Linformation doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité. Classification et contrôle des actifs 3 Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.

68 Novembre – Décembre 2005 Version La norme ISO (8). Plus de 60% des incidents proviennent de lintérieur de lentreprise ! Sécurité liée au personnel 4 Lobjectif est de: Réduire le risque derreur, de vol, de fraude ou de mauvais usage des moyens de traitement, Sassurer que les utilisateurs ont été informés des risques et menaces concernant les informations, Sassurer que les utilisateurs sont formés et équipés pour appliquer la politique de sûreté lors de leurs activités normales, Minimiser les dommages en cas dincident ou de dysfonctionnement, Savoir capitaliser sur ces incidents et sadapter.

69 Novembre – Décembre 2005 Version La norme ISO (8). Lobjectif est de: Prévenir les accès non autorisés, les dommages et les interférences sur les informations, les activités et les locaux de lorganisation, Prévenir la compromission ou le vol des informations ou des moyens de traitement. Sécurité physique et de lenvironnement 5

70 Novembre – Décembre 2005 Version La norme ISO (9). Lobjectif est de: Assurer une exploitation correcte et sure des moyens de traitement, Minimiser les risques de pannes et leur impact, Assurer lintégrité et la disponibilité des informations, des traitements et des communications, Prévenir les dommages aux actifs et les interruptions de service, Prévenir les pertes, les modifications et les utilisations frauduleuses dinformations échangées entre organisations. Exploitation et réseaux 6

71 Novembre – Décembre 2005 Version La norme ISO (9). Lobjectif est de: Gérer et contrôler laccès aux informations, Prévenir les accès non autorisés, Assurer la protection des systèmes en réseau, Détecter les activités non autorisées, Assurer la sécurité des informations lors des accès mobiles ou distants. Contrôle daccès logiques 7

72 Novembre – Décembre 2005 Version La norme ISO (10). La politique de contrôle comprend notamment: Lenregistrement unique de chaque utilisateur, Une procédure écrite de délivrance dun processus dauthentification signée du responsable hiérarchique, Des services de déconnexion automatique en cas dinactivité, Une politique de révision des mots de passe, Une hiérarchisation du niveau daccès en fonction du degré de confidentialité des données.

73 Novembre – Décembre 2005 Version La norme ISO (11). Lobjectif est de: Assurer que la sécurité soit incluse dès la phase de conception, Prévenir la perte, la modification ou la mauvaise utilisation des informations hébergées par les systèmes, Protéger la confidentialité, lintégrité et la disponibilité des informations, Assurer que les projets et activités de maintenance sont conduits de manière sûre, Maintenir la sécurité des applications (logiciel et données). Développement et maintenance des systèmes 8

74 Novembre – Décembre 2005 Version La norme ISO (12). Lobjectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de lorganisation résultant de pannes, dincidents, de sinistres ou e catastrophes. Une analyse des risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications permet détablir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnement mineur jusquà la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève,…) Continuité dactivité 9

75 Novembre – Décembre 2005 Version La norme ISO (13). La conformité se décline en 3 volets: Le respect des lois et réglementations: Licences logicielles, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes, La conformité des procédures en place au regard de la politique de sécurité de lorganisation, cest à dire des dispositifs mis en place pour assurer les objectifs de sécurité définis par la Direction Générale, Lefficacité des dispositifs de traçabilité et de suivi des procédures en place: Journaux dactivité, pistes daudit, enregistrement de transactions,… Conformité 10

76 Novembre – Décembre 2005 Version Les méthodes de sécurité. Les plus connues en France sont MEHARI (Clusif), EBIOS (DCSSI) et MARION (Clusif). Ces méthodes ont leurs propres référentiels qui ne couvrent pas toujours strictement le spectre de lISO 17799, Il peut par conséquent être nécessaire de retravailler les bases de connaissance de ces méthodes pour obtenir une couverture complète de la sécurité de lInformation, La commission « méthodes » du Clusif a corrélé la base de connaissance de MEHARI afin de couvrir lensemble des mesures de ISO

77 Novembre – Décembre 2005 Version Système de Management de la Sécurité de lInformation. Management System : Système pour établir la politique et les objectifs et pour atteindre ces objectifs (ISO guide 72). Les systèmes de management sont utilisés dans les entreprises pour développer leurs politiques et les mettre en application à travers des objectifs et des cibles en utilisant: Une organisation dans lentreprise, Des processus et des ressources associés, Des contrôles et une méthode dévaluation, Des processus de révision pour garantir que les anomalies sont corrigées et mettre en œuvre des axes damélioration le cas échéant.

78 Novembre – Décembre 2005 Version Système de Management de la Sécurité de lInformation (2). Certaines organisations commencent à aborder la sécurité de linformation comme un système intégré appelé un Information System Management System (ISMS). Mise en œuvre dun vrai processus danalyse, délaboration de contrôle et dévolution dune politique de sécurité en appliquant un concept bien connu en qualité, le modèle PDCA.

79 Novembre – Décembre 2005 Version Système de Management de la Sécurité de lInformation (3). Modèle PDCA. MODELE PDCA PLAN: Etablir les objectifs conformément aux risques et aux exigences de sécurité, DO: Implémenter et opérer les fonctionnalités et procédures, CHECK: Gérer les incidents, les erreurs, auditer, ACT: Faire évoluer la politique et les moyens conformément aux besoins.

80 Novembre – Décembre 2005 Version Système de Management de la Sécurité de lInformation (4). Les normes pour construire un SMSI.

81 Novembre – Décembre 2005 Version La certification BS A linstar de ISO 9000 pour le management de la qualité, BS est la seule norme et certification qui existe actuellement pour les ISMS. Définit les conditions pour létablissement, la mise en œuvre et la documentation dun ISMS, Définit les exigences de contrôles pour la sécurité devant être mis en application selon les besoins de différents organismes, Elle se compose de 10 chapitres de 127 contrôles, Nécessite 2 étapes (audit de la documentation puis audit de limplémentation), En France, le COFRAC (Comité Français dAccréditation et de Certification) peut valider un schéma de certification BS


Télécharger ppt "Novembre – Décembre 2005 Version 1.01 1 État de lart de la sécurité informatique Introduction Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien."

Présentations similaires


Annonces Google