La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI utilisée pour établir les tableaux de bord de la SSI Evaluer.

Présentations similaires


Présentation au sujet: "Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI utilisée pour établir les tableaux de bord de la SSI Evaluer."— Transcription de la présentation:

1 Approches pour lélaboration de documents PSSI

2 Niveaux de maturité Extraits de méthode du DCSSI utilisée pour établir les tableaux de bord de la SSI Evaluer le niveau de maturité SSI adéquat que devrait avoir votre SI, Idem pour le niveau effectifs (le réel) La différence indique – le chemin à parcourir le plan daction nécessaire De plus les deux évaluations servent à remplir les tableaux de bord dannée en année. Principes

3 Niveau de menace Niveau de vulnérabilités du système d'information 0123 Niveau d'attractivité Le niveau de vulnérabilité est déterminé par les questions de 7 à 9 Le niveau dattractivité par les questions de 5 à 6 Détermination du niveau de menace

4 Niveau de maturité SSI adéquat Niveau de menaces 0123 Niveau d'adhérence question pour déterminer le niveau dadhérence Niveau = valeur maximale des réponses. 5 questions pour le niveau de menaces (questions 5 à 9)

5

6 Gestion des risques de SSI (management du risque) Le risque de SSI est la combinaison dune menace (cause potentielle dun incident indésirable) scénario avec une certaine vraisemblance (un degré dincertitude) Méthode dattaque (action ou évènement accidentel, délibéré) Éléments menaçants (naturels, humains) susceptible de lutliser Vulnérabilité des entités (matériels, logiciels, organisations, personnes, …) (faiblesse dun bien, groupe de biens) et des pertes quelle peut engendrer estimées en termes datteinte des besoins de sécurité des éléments essentiels et des impacts induits sur lorganisme

7 Menaces : sources potentielles de problèmes) Vulnérabilité : faiblesse pouvant être « exploitée » de ce fait la menace devient plus concrète On doit faire le nécessaire afin de bien les connaître. Mais on ne peut pas grand-chose la plupart du temps. SSI = supprimer les vulnérabilités ou en empêcher leur exploitation éventuelle (diminuer les probabilités) sinon se préparer aux conséquences (réaction en cas dincident) Diminution du risque, et si trop coûteux par rapport aux dommages éventuels Accepter le risque résiduel, et être prêt à y faire face.

8 Communication relative au risque Lappréciation du risque (procéder régulièrement à lappréciation du risque) Traitement Refus du risque Optimisation du risque Transfert du risque Prise de risque Acceptation homologation Appréciation Analyse du risque Évaluation du risque Décrire le contexte Organisme Systèmes dInformation (SI) Éléments essentiels à protéger (+) (informations, fonctions, …) Entités sur lesquels ils reposent Les enjeux liés à la SSI Les contraintes à prendre en compte Exprimer les besoins de sécurité (*) pour (+) Disponibilité, Intégrité, Confidentialité Identifier les menaces et les caractériser en terme dopportunité (degré dincertitude) Confronter les menaces aux besoins de Sécurité (*) pour déterminer les riques.

9 Communication relative au risque Traitement du risque Traitement Refus du risque Optimisation du risque Transfert du risque Prise de risque Acceptation homologation Appréciation Analyse du risque Évaluation du risque Sélection et mise en œuvre des mesures visant un refus, une optimisation, un transfert ou une prise de risque 1) Identifier les objectifs de sécurité déterminer le mode de traitement (refus, …) On tient compte du contexte On ne parle pas encore de solutions 2) Déterminer les exigences de sécurité Pour satisfaire les objectifs ci-dessus Décrire la manière de traiter le risque Dissuasion, protection, détection, Récupération, restauration, Compensation, … 3) Spécification et mise en œuvre des mesures de sécurité visant à modifier le risque. A ce stade les risques ont été soit réduits soit transférés (à des tiers) soit subsistent (le résiduel).

10 Communication relative au risque Acceptation du risque Cas particuler du « risque résiduel » Traitement Refus du risque Optimisation du risque Transfert du risque Prise de risque Acceptation homologation Appréciation Analyse du risque Évaluation du risque Décision daccepter les risques traités. Une homologation de sécurité prononcée par une autorité présidant une commission dhomologation. Un dossier de sécurité en « soutien » contenant : études des risques, objectifs de sécurité, exigences de sécurité et la politique de sécurité.

11 Démarches possibles pour une PSSI 1.Une basée sur lutilisation des meilleures pratiques Guides de configuration, checklists, recommandations, … 2.Une basée sur lanalyse des risques, sans méthode particulière Travail basé sur lexpérience des acteurs. 3.Une basée sur la gestion structurée des risques Une démarche méthodologique style EBIOS Attention le coût nest pas le même! Il faut choisir une méthode adaptée à votre contexte et au niveau de maturité de la SSI dans votre entité. (existant ou souhaité)

12 EBIOS Expression de Besoins et Identification des Objectifs de Sécurité EBIOS va permettre de bâtir ou finaliser des documents : Schémas Directeur SSI, PSSI, plans dactions, documents stratégiques, … EBIOS est une méthode de gestion du risque Diffusée gratuitement par la DCSSI

13 EBIOS EBIOS = 5 grandes étapes : –Étude du contexte auquel doit sappliquer létude –Expression des besoins de sécurité, analyse de la sensibilité des données (D,I,C) niveau de protection requis –Étude des menaces, des vulnérabilités des risques doccurrence de lexploitation de ces vulnérabilités, –Identification des objectifs de sécurité, Refus du risque, optimisation, transfert ou prise de risque? Enjeux stratégique de lentité objectifs de sécurité, –Détermination des exigences de sécurité. vers le plan daction : principes, règles, outils, organisation, … Dissuasion, protection, détection, récupération, restauration, compensation,…

14 EBIOS EBIOS: très formel, très précis, mais lourd. Lappliquer à certaines parties du SI seulement ou appliquer seulement certaines étapes : Ex: –Une partie analyse de la sensibilité des données du niveau actuel de leur sécurité, du niveau cible, … –Une évaluation des menaces « réalistes », –Etc.

15 EBIOS : étape « expression des besoins de sécurité » Lanalyse de la sensibilité des données est le volet important de cette étape, Cette analyse sappuie sur des critères: – attributs qui vont servir de base à lévaluation du niveau de sécurité réel (actuel) et à déterminer celui souhaité. –Ils représentent les qualités que lon attend du fonctionnement du SI.

16 Disponibilité (fiabilité) garantie daccès quand on le demande (si « autorisé ») comportements réguliers, continus, prédictibles, assurer une qualité de service (perçue de lutilisateur) – performance garantie, (temps de réponses, bande passante, …). Redondance de serveurs, dinfrastructures réseau, … contrats de maintenance solides, présence continue déquipes, énergie secourue, sauvegardes régulières, stratégie de reprise en cas dincident, logiciels validés, … Pour élever le niveau de disponibilité

17 Intégrité Propriété dexactitude et de complétude des informations et des fonctions. –Absence de résultats incorrects ou incomplets (pour une fonction) –pas daltération des informations par des personnes non autorisées, –conservation des données sans dégradation dans le temps, –échange de données via le réseau sans altération, Pour élever le niveau dintégrité garantir la robustesse des contrôles daccès et de lauthentification veiller à la qualité des sauvegardes et des archivages chiffrer les flux réseaux, utilisation de logiciels « validés ».

18 Confidentialité (principalement des informations) Propriété de nêtre accessible quaux personnes autorisées Les données ne doivent pas être lues par des personnes ou des processus non autorisés. authentification forte, protection des fichiers (discrétionnaire), chiffrement éventuel des fichiers (sur portable notamment). protection des flux réseau (chiffrement) que seules les personnes habilitées manipulent les supports de sauvegarde. Pour élever le niveau de confidentialité

19 Attributs complémentaires (non EBIOS) –Comptabilité, traçabilité, … Capacité à retrouver lidentité et la liste des actions dun fauteur de trouble identification et authentification sérieuses des intervenants, Historique, journalisation des actions. –Non répudiation Capacité à apporter les preuves de lorigine et du contenu dune action un traitement « signé », signature de documents (stockés ou échangés) éventuellement existence de « tiers de confiance »

20 Échelle de besoins 0 Perte de confidentialité Sans conséquence Délai supérieur à 1 semaine Sans conséquence. Services non indispensables Perte dintégrité sans conséquence pour lentité. Vérification avant redémarrage simplement 1 Conséquences défavorables Aux intérêts de lentité. Cause de gêne. Mais alternative existe. Dégradation du service Conséquences défavorables aux intérêts. Diminution des capacités. Image de marque. 2 Conséquences dommageables. Ex: contrats remis en cause Délai > 2h et <=8h Conséquence dommageable Mais non vitale Conséquences dommageables pour les intérêts de lentité. Sanctions administratives, Pertes financières 3 Conséquences graves Ex: secrets défense. Délais entre 0 et <= 2h mise en péril de: – vies humaines –Existence société Conséquences graves Révocation de dirigeants, Pertes financières Restructuration, … confidentialitédisponibilitéintégrité

21 Pour chaque domaine « métier » une évaluation des besoins de sécurité G.F.C2233 Communication0222 Contrats2222 GRH Info. nominative 3133 Recherche et Dév. Technolog Pédagogie (contenus) 1222 domaineConf.DispoIntég. Niveau global

22 Identification des origines de menaces (méthodes dattaque à retenir) EBIOS explicite toute une panoplie de menaces dont il faut retenir que celles pertinentes pour lentité menant létude.

23 Sinistres physiques –Incendie, dégâts des eaux, –pollution, sinistre majeur, –Destruction de supports ou de matériels phénomènes naturels –Phénomène climatique, – sismique, – volcanique, – météorologique, –Crue Pertes de services essentiels –Défaillance climatisation, –Perte dalimentation énergétique –Perte de moyens de télécommunication Perturbation due aux rayonnements –Rayonnements électromagnétiques –Rayonnements thermiques –Impulsions électromagnétiques

24 Compromission des informations –Interceptions de signaux parasites compromettants –Espionnage à distance –écoute passive (Récupération dinformation dauthentification par ex.) –Vols: supports, matériels, documents, –Récupération déléments recyclés ou mis au rebus –Divulgation Inconsciemment (dans le TGV), en séminaire, … Volontairement (intérêts particuliers) –Information sans garantie dorigine Installation de logiciel sans preuve de lexacte origine et du sérieux Canulars, phishing, … –Piègeage du logiciel ou du matériel –Géolocalisation

25 Actions illicites –Utilisation illicite de matériel (site « warez », …) –Copie frauduleuse de logiciels –Utilisation de logiciels contrefaits ou copiés –Altération de données (action de piratage, via vers, virus, …) Usurpation de droits (pirates, concurrents, …) –Traitement illicite de données Défaillances techniques –Panne, dysfonctionnement matériel Saturation des systèmes informatiques Maintenance négligée –Dysfonctionnement logiciel –Atteinte à la maintenabilité du SI (absence documentation, …)

26 Actions illicites –Utilisation illicite de matériels –Copie frauduleuse de logiciels –Utilisation de logiciels contrefaits ou copiés –Altération de données –Traitement illicite de données Compromission des fonctions (facteurs humains) –Erreur dutilisation (sauvegarde, configurations, …) –Abus de droit (modification sans avertir, …) –Usurpation de droits –Reniement dactions –Atteinte à la disponibilité du personnel (personnels indispensables) –…

27 Quelles sont les vulnérabilités qui peuvent faire que ces menaces puissent être mises à exécution? Ebios classe les vulnérabilités par domaines Matériels Logiciels Réseau Personnel Physique (Site) Organisation Système Voir page 34 de la section 4 du guide EBIOS

28 Matériels –Absence de responsabilité –Pas de politique: dachat, de maintenance, de remplacement, … dinstallation, de configuration, dadministration, … de contrôle daccès et de protection des fichiers (données) de gestion des authentifications et des mots de passe particulièrement de gestion des autorisations (privilèges octroyés trop importants) de protection des informations sensibles (accès, chiffrement, …) –Matériels dont les spécificités ne sont pas pris en compte Absence de règles concernant les matériels transportables –Condition liées au placement physique non pris en compte Phénomènes naturels non pris en compte accès physiques non contrôlés (salles machines, bureaux, …) –absence de sauvegardes, archivage et de protection des supports –Pas de prise en compte des conditions dutilisation –pas de protection contre lécoute TEMPEST

29 Logiciels –Absence de politique concernant: la gestion des mots de passe, le contrôle des accès, la gestion des privilèges le contrôle de la protection des données, notamment leur intégrité –Lacunes concernant la qualité et lintégrité des logiciels : ajout de logiciels découte, cheval de Troie, fonction cachée en phase de développement récupération de logiciels depuis source non authentifiée Logiciels non évalués, développés uniquement en interne, –Conditions dutilisation du logiciel Conditions aux limites non prise en compte (matériel inadéquat, …) Pas de conservation des traces de traitement, pas de remontées des traces de dysfonctionnement, pas de procédure de maintenance, Documentation inexistante ou pas à jour, –Côté utilisateur Absence de formation à lutilisation du logiciel, utilisation complexe non intuitive, Insuffisance de compétence, –Par rapport au système Administration à distance avec des outils non chiffrés Absence de mise en œuvre des règles élémentaires de sécurité de base Système « grand public » aux bugs connues et déjà exploitées Possibilité dutilisation du système par des personnes non autorisées Plusieurs systèmes amorçables (Windows, Linux) Système pouvant être soumis à des requêtes mal formatées (buffer overflow),

30 réseau –Protection physique, qualité équipements Conditions (humidité, température, rayonnements, …) pas pris en compte, Sensibilité aux chutes de tension, micro-coupure, Mauvais dimensionnement, matériels obsolètes, … –Réseau « ouvert » : possibilité de pose déléments « pirates » (ex: keylogger physique), dérivation de circuit, Support et équipements accessibles à des personnes non autorisées, Présence de points découte illicites Émission de rayonnements parasites compromettants Écoute passive possible sur médium le permettant (Ethernet non commuté, WiFi, …) Absence de cloisonnement réseau (filtrage, journalisation) Possibilité daltérer une communication Absence de contrôle daccès robuste, présence de protocoles sans fonction dauthentification. Les relais nidentifient ni les sources ni les destinations (spoofing possible) –Défaut de supervision, maintenance, … Absence de maintenance locale ou à distance Absence de politique de traces, daudit, de métrologie Pas de politique visant à détecter les comportements suspects (détection dintrusion, …)

31 Personnel –Défaut en grande partie du à la direction concernant : Une organisation inadaptée, chaîne de responsabilité non identifiable, Méconnaissance de la PSSI, ou absence de soutien à lapplication de la PSSI, La classification des informations, les droits accordés en dehors du besoin légitime Le trop de responsabilité/charges de certaines personnes Climat social conflictuel, règles morales et déthique absentes, conditions de travail, Indisponibilité (absentéisme, …) Absence de procédure de transfert de compétence Absence de sensibilisation, formation: chartes, règles de protection de linformation, … Pas de stratégie de réaction en cas de sinistre majeur, pas de plan de reprise/continuité dactivité –Responsabilité des personnes Non respect des diverses consignes, des règles en général, du devoir de réserve, de la discrétion, Absence de vigilance, négligence, manque de professionnalisme Utilisation de logiciels sans garantie de leur origine, Pas de mise à jour des logiciels anti-virus, pare-feu, anti-malware,... Personne manipulable, crédule : obtention davantage contre action malveillante –Relatif aux infrastructures et services Choix technologique dépassé ou non pérenne, dimensionnement limite, Absence de suivi des incidents, Absence de procédure de gestion des situations durgence Pas de procédure de réaction et dinformation en cas de sinistre

32 Physique: site(s), locaux –Lieux Pas de prise en compte des rayonnements, pas de zonage TEMPEST, … Zone inondable, proximité sources de pollution ou dactivité industrielle ou site à risque Phénomène extrême météorologique possible Possibilité de capter les transmissions ou dobserver depuis lextérieur du site –Contrôle des accès: Pas de contrôle des accès au site ou aux locaux, (accès indirects existants), présence douvertures sur la voie publique Absence de contrôle des échanges avec lextérieur, Pas de journalisation des entrèes/sorties de personnes, … Pas de contrôle des habilitations, contrôle didentité, Pas de protection des accès aux équipements –Locaux Vieillissement, non étanchéité, risque dexplosion possible, Construction sans prise en compte des conditions climatiques, sismique,.. –Règles non prise en compte pour : la climatisation, lincendie, lénergie, les télécommunications

33 Organisation –Absence de PSSI (directives, consignes, procédures, règles, …) pas dimplication de la direction, déficit dorganisation de la chaîne de responsabilité –Absence didentification et de contrôle des biens sensibles –absence de sensibilisation, formation, veille technologique Pas de chartes, pas de formation minimum aux aspects juridiques, … Pas de suivi de lévolution des menaces et solutions de protection Manque dinformation sur les aspects légaux et règlementaires, –pas de stratégie (plan de reprise) en cas d incident majeur –Absence de règles de protection des données et de linfrastructure –Pas de politique des gestion des habilitations

34 Les systèmes et services (1) : –Echanges vers/depuis dautres systèmes Circulation en « clair » des échanges, ouverture trop grande sur lextérieur, Le système permet la divulgation dinformation sensible vers lextérieur, Absence de dispositif de filtrage, absence de contrôle anti-virus, anti-malware, … Possibilité de traiter des fonctions asynchrones du système (composants javascript) Possibilité dintroduire des logiciels hostiles (virus, vers, cheval de Troie, bombe logique, …) Absence de contrôle des contenus échangés Absence de gestion du contrôle des accès (habilitation, audit, supervision, … ) –Partie système Obsolescence du système, systèmes non standards, Règles dinstallation non suivies, le système permet un usage autre que celui prévu, extension de fonctions possible Possibilité de copier facilement des logiciels –Installation, configuration, administration, supervision Absence de suivi des procédures dinstallation et de maintenance (correctifs, …) Pas de vérification de lorigine des applicatifs, Possibilité dadministrer à distance avec des outils non chiffrés, Pas doutils de supervision Absence de mise en œuvre des règles de base applicables au système dexploitation etc.

35 Les systèmes et services (2): –Traces, audit Absence de politique daudit, de journalisation des évènements ou accès Pas de conservation/archivage de lhistorique –Utilisateur/administrateur Absence de responsabilité identifiée Insuffisance de compétence Manque de support/formation Absence de sensibilisation aux risques induits par le téléchargement de logiciels –Messagerie Le système permet le relayage, peut être administré à distance, Version obsolète des logiciels Absence de protection anti-virus, anti-spam, Pas dauthentification des émetteurs ni des destinataires Le serveur permet lémission automatique de messages Absence de limitation de la taille des pièces jointes –Intranet Pas de cloisonnement des réseaux de communication, Absence ou difficulté à gérer les privilèges daccès aux informations partagées Le système permet le stockage ou la modification dinformation sans authentification Présence de dispositif permettant de modifier ou installer des applications à distance Le dispositif permet dintroduire des logiciels hostiles –Portail externe Accès public au portail, pas didentification des requêtes Pas de conservation de lhistorique des activités Possibilité dimplanter des programmes pirates

36 Matériel et système (compléments) : –Non fermeture systématique de session après un temps dinactivité, –Pas de protection contre lécoute Tempest (pour poste classifiés) –Poste à la vue de tous (trains, avions, conférences, …) –Non surveillance des portables ou de supports (Vol) –Maintenances (télémaintenances) non contrôlées, –Amorçable par quiconque via disquette, CD-ROM, … –Absence de sauvegardes –Pas de politique de contrôle des contenus importés –Pas de configuration « restrictive » du système: Cloisonnement vis-à-vis extérieur (pare-feu, …), limitation services actifs Trop de logiciels installés sans preuve de besoins réels, Comptes « privilégiés » trop largement octroyés Manque de réactivité pour lapplication des correctifs de failles (patch de sécurité)

37 Des raisons (pas toujours des excuses) Manque de moyens (humains surtout) Méconnaissance –de la valeur des informations et de la valeur du patrimoine, –des menaces réelles et des conséquences potentielles. la sensibilisation pas encore « arrivée » Un « laxisme » involontaire à semi volontaire, Ça narrive quaux autres. On ne retient que : « la sécurité ça coûte cher »

38 Provenance « interne » ou locale 70% environ –Origine humaine (intentionnelle) Ancien personnel : ( vengeance, but lucratif, …), Stagiaire (espionnage, intérêt personnel, …), Télémaintenance, prestataire (intérêt de la concurrence, …) Personnes en place : esprit ludique, découverte, blocage, … –Origine accidentelle (non intentionnelle, laxisme) Erreurs de configuration, de surveillance, Évènements naturels: incendie, inondation. Provenance externe 20 à 30% –6 « malintentionnés » pour (chiffres de 1998) –Objectifs multiples: Plaisanter, perturber, abuser, casser limage de marque, faire chanter, … Voler, frauder, … Espionner (économie, militaire,…) Crime organisé, terrorisme, sabotage, déstabilisation, désinformation, … Origine des actes de malveillance, des erreurs, des accidents

39 Exemple dexploitation de vulnérabilités de niveau « informatique » Suivant le but poursuivi par « lacteur » de ces « attaques » les conséquences pourront être plus ou moins graves.

40 Exemples de scénarii (1) Ecoute de trames sur le réseau (Ethernet) –tout PC (poste individuel) peut le faire! –Recherche «séquence login » --> mot de passe –exploitation du compte –rebonds –constitution base de données des mots de passe pour utilisation ultérieure –PLUS GRAVE si mots de passe « super-utilisateur » –Noter que les mots de passe « volés » peuvent appartenir à des utilisateurs d une autre entreprise, université, etc ===>attaque site distant

41 Récupération des fichiers /etc/passwd –Puis essai de craquer les mots de passe cryptés avec dictionnaires, –Il suffit ensuite de se connecter avec les bonnes infos. –Une fois sur la machine en tant quutilisateur normal Prendre son temps pour « explorer » le système entier et donc Tenter de trouver les « bogues » permettant de passer super- utilisateur. Installer ce qu-il faut en « cheval de Troie » pour y revenir tranquillement. Même si lon peut caser ceci dans les exemples du passé, il faut cependant être très vigilant. Exemples de scénarii (2)

42 Exemples de scénarii (3) Recherche machines avec « bogues » –toute machine sur Internet peut le tenter Scan des machines ayant des ports ouverts, Repérage du type de système, version, etc, Puis détection des services en exploitation De leur niveau de patch des « bogues » possibles. –passage « super-utilisateur » –modification des commandes système ou installation de commandes cachées (« bombes logiques ») pour revenir plus tard

43 Exemples de scénarii (4) Cheval de Troie –logiciel « domaine public » avec cheval de Troie –piratage d un serveur FTP connu (simple défaut de protection des fichiers suffit) –dépose de ce logiciel sur ce serveur en échange d un logiciel classique –tout site récupérant ce logiciel est potentiellement en danger Nécessité de vérifier les empreintes des logiciels.

44 Exemples de scénarii (5) Messagerie –SPAM (mascarade d adresse phishing) –exploitation de « bogues » des produits « sendmail », « PosFix » ou « OutLook », … Déni de service –« fausses » connexions à rythme très rapide sur un port donné (service classique) d un serveur –le serveur ne répond plus pour les vrais utilisateurs Plantage à distance –exploitation de « bogues » (noyau du système)

45 Exemples de scénarii (6) Mascarade d adresse IP « IP spoofing » « Pollution » d un serveur FTP –répertoire à accès public –--> échange de logiciel/produits piratés –serveur FTP cible de sites « warez » « defacing » de sites web –Souvent du aux failles des programmes PHP –Également aux failles (de moins en moins) de IE-Microsoft Etc.

46 Exemples de scénarii (7) Plus propice au monde Windows –Virus –Exploitation des failles des macros Word,Excel, … –Exploitation failles IE –Installation de SPYWARE et de MALWARE


Télécharger ppt "Approches pour lélaboration de documents PSSI. Niveaux de maturité Extraits de méthode du DCSSI utilisée pour établir les tableaux de bord de la SSI Evaluer."

Présentations similaires


Annonces Google