La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système dinformation plus fiable et plus.

Présentations similaires


Présentation au sujet: "© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système dinformation plus fiable et plus."— Transcription de la présentation:

1 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système dinformation plus fiable et plus sûr 30. Janvier 2008

2 2 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Participants 2 Didier Drapeau, Soluzen Philipp Egli, Dreamlab Technologies SA Alexandre Fernandez-Toro, HSC

3 3 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Agenda 3 Positionnement des Standards OSSTMM 3.0 – Présentation de la methode – Complementarité et Compatibilité avec lISO Pause Mutualisation entre ITIL et ISO Convergence entre ITIL, ISO et OSSTMM

4 4 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ITIL, ISO 27001, OSSTMM Pour un système dinformation plus fiable et plus sûr – Pourquoi ? (2001) – Comment ? (2008) Avec lISO (ITIL)/27001 – insuffisant car pas de garantie du niveau de sécurité – Ce quoffre lOSSTMM 4

5 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Positionnement des Standards

6 6 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN 6

7 7 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ISO et OSSTMM dans la démarche globale de sécurité 7 Diag./Audit initial Plan directeur Pare-feux PRA Stockage … Mise en œuvre Projets Certificat ISO27001 Mise en conformité Contrôles Certificat OSSTMM Politique directives

8 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Sommes nous protégés?

9 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Sommes nous protégés? OSSTMM 3.0

10 10 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Sécurité parfaite... 10

11 11 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Sécurité parfaite... adaptée à la situation 11

12 12 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM signification 12 Open Source Security Testing Methodology Manual

13 13 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM historique 13 Depuis 2001 (Version actuelle 3.0) Edité par ISECOM (Institute for Security and Open Methodologies) Concept pour « mesurer » la sécurité des systèmes operationels Scientifique (Transparence / Reproductibilité) Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg)

14 14 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN la méthode: Investigations 14

15 15 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN la méthode: Tests 15

16 16 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: Une métrique de sécurité, le RAV (Risk Assessment Value) Le calcul du RAV est composé de trois éléments Operational Security (OPSEC) (Porosité de lasset mesuré) – Pour être operationel un système doit être ouvert aux communications ce qui le rend vulnérable Controls (Mesures de sécurité) – Class A controls: 5 types de mesures qui sécurisent les interactions – Class B controls: 5 types de mesures qui sécurisent les procesus Limitations Vulnérabilités – les classes de vulnérabilités 16

17 17 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Balance 17

18 18 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: OPSEC OPSEC (Dependant du vecteur dattaque) – Visibility: Les cibles visibles dans le périmètre. Exemple: Scan de serveurs qui donne leurs adresses IP – Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts. – Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web. 18

19 19 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: Controls A INTERACTIVE (Class A) – Authentication: Mot de passe – Indemnification: Bannière Défense dentrer – Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées. – Subjugation (Renforcement): Redirection automatique des flux http vers https. – Continuity: Load Balancing / Redondance 19

20 20 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: Controls B PROCESS (Class B) – Non-repudiation: Traces utilisateur Exemple: Log Files qui permet de déterminer lidentité dun visiteur dun site web. – Confidentiality: Encryption des données et des flux – Privacy: Transactions au sein dune zone sécurisée sans chiffrement. – Integrity: Checksum / Algorithme – Alarm: IDS / Monitoring / Surveillance 20

21 21 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: Limitations Limitations – Vulnerability: Possibilité de contourner les mesures de sécurité. – Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,) – Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.) – Exposure: Divulgation dinformations – Anomaly: Operations anormales Exemple: Serveur visible par intermittence sans raisons apparentes 21

22 22 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Outil de calcul du RAV 22 ISECOM - RISK ASSESSMENT VALUES OPSEC CALCULATION WORKSHEET Visibility 1 Porosity54 Access 50 Total Controls24 Trust 3 Class A Controls3 Class B Controls21 Whole Coverage4,44% Class A CONTROLS MissingTrue Coverage4,44% Authentication 1 53True Coverage A0,56% Indemnification 0 54True Coverage B3,89% Resistance 1 53Missing Controls516 Subjugation 0 54Missing Controls A267 Continuity 1 53Missing Controls B249 Class B Coverage Missing95,56% Non-Repudiation 1 53Total # Limitations0 Confidentiality 2 52Limitations Value0 Privacy 2 52 Integrity 15 39Vulnerability3, Alarm 1 53Weakness3, Concern3, Exposure1, LIMITATIONS TotalAnomaly3, Vulnerabilities 0 0,00000 Weaknesses 0 0,00000 RAV TOTALS Concerns 0 0,00000 OPSEC13, Exposures 0 0,00000 CONTROLS5, Anomalies 0 0,00000 LIMITATIONS0, Δ-8, RAV90,

23 23 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: RAV 23 Avons nous calculé le risque avec le RAV?

24 24 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: RAV 24 Avons nous calculé le risque avec le RAV? Non

25 25 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM et gestion de risques Avant application des mesures 25 Impact Téléphonie

26 26 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Matrice Impact - Probabilité 26

27 27 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Risque après les corrections 27 Impact Téléphonie

28 28 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN 28 Pilotage Outils de calcul automatiques du RAV

29 29 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Certification 29 Par qui: ISECOM et Organisme Certificateur Quoi: Produits, services, Personnes Conditions: – Maintien du RAV > 90 % – Certification annuelle – Recertification en cas de changement de périmètre Personnels certifiés: – Testeur (OPST) – Analyste (OPSA) – Expert (OPSE)

30 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Complémentarités OSSTMM / ISO 27001

31 31 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ISO27001 : Pilotage & maîtrise des risques 31

32 32 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ISO27001: Contrôles et mesure du niveau de sécurité 32

33 33 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Sécurité du système dinformation: certification 33

34 34 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM vs ISO ISO Exigences OSSTMM Réponses a : scope du SMSIScope de laudit: protection périmétrique dun réseau (assets) c: définition méthode danalyse de risquesMéthodologie OSSTMM Mode de calcul du RAV (%) : feuille de calcul c.2: Critères dacceptation risques et niveau de risques acceptables (5.1.f) % du RAV objectif défini par le propriétaire des assets > 90% alors certification possible (RAV reproductible et comparable) d: identification des risquesAssets testés: pare-feux… Vulnérabilités mesurées: mauvais paramétrage e: analyse et évaluation des risquesRésultats des tests (impacts mesurés): pénétration possible du réseau RAV détermine si risque acceptable f: évaluer les options de traitement des risques Envisager mesures de sécurité: règles du pare- feu appropriées, doubler appliances… g, h, i, j: sélection des mesures annexe A (17799) & SoA (déclaration dapplicabilité) Rapport daudit & justification des mesures vs business

35 35 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN OSSTMM: vs ISO ISO Exigences OSSTMM Exigences : mise en œuvre du SMSIApplication des mesures issues de laudit 4.2.3: surveillance et revues du SMSIAudits intermédiaires proactifs déterminés par valeur du RAV (décroissance niveau sécurité) 4.2.4: amélioration du SMSIApplication des corrections issues de laudit et re- calcul du RAV jusquà acceptable 4.3: documentationsRapport daudit, feuille calcul RAV Logs des tests réalisés, 5.1: engagement du managementRègles dengagement, accord confidentialité, mandats (tests intrusion) 5.2: affectation des ressources Compétences Testeurs, analyste identifiés (IP sources…) Certifications OPST, OPSA…

36 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Questions / Pause

37 37 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Convergences 37

38 38 © 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN Perspectives 38


Télécharger ppt "© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système dinformation plus fiable et plus."

Présentations similaires


Annonces Google