La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Approches pour l’élaboration de documents PSSI

Présentations similaires


Présentation au sujet: "Approches pour l’élaboration de documents PSSI"— Transcription de la présentation:

1 Approches pour l’élaboration de documents PSSI
DCSSI: la SSI pour un organisme, une administration, doit être correctement adaptée aux risques auxquels il est soumis.

2 Niveaux de maturité Extraits de méthode du DCSSI utilisée pour établir les tableaux de bord de la SSI Principes Evaluer le niveau de maturité SSI adéquat que devrait avoir votre SI, Idem pour le niveau effectifs (le réel) La différence indique le chemin à parcourir  le plan d’action nécessaire De plus les deux évaluations servent à remplir les tableaux de bord d’année en année. 6 niveaux de maturité effective : 0: il n’y a pas de mise en œuvre, 1: la mise en œuvre est informelle (mise en œuvre de pratiques de base), 2: elle est planifiée et suivie (planification de la performance, performance disciplinée, vérification de la performance, suivi de la performance), 3: elle est définie (formalisée et d’application généralisée, utilisation d'un processus défini, mise en œuvre du processus défini, coordination des pratiques), 4: elle est contrôlée qualitativement (établissement de buts mesurables, gestion objective de la performance), 5: elle permet une amélioration continue (amélioration de la capacité organisationnelle, amélioration de l'efficacité du processus). 6 niveaux de maturité adéquate : 0: Non adhérence. Il n’y a pas de besoins de sécurité liés à la SSI. 1: Pilotage d’opportunité. Il est considèré que la SSI peut être traitée au cas par cas par des initiatives personnelles ou par des experts sans que cela nécessite une organisation particulière. 2: Pilotage par les meilleures pratiques. Conscience de la nécessité de se protéger compte tenu des informations traitées et de ses responsabilités. La perte ou la diffusion d’informations sensibles pourrait avoir un impact sur le fonctionnement. Cependant, compte tenu des ressources disponibles l’approche pratique est privilégiée et suffisante. Dans ce contexte, la SSI est organisée autour des meilleures pratiques et de l’état de l’art. 3: Normalisée. La SSI est une filière de compétence au sein de l’entité parce que l’environnement, les informations traitées, justifient un management SSI, des procédures techniques et organisationnelles. Dans ce contexte, les processus sont identifiés et formalisés, les utilisateurs sensibilisés. 4: Gérée par le risque. Les SI sont exposés à des environnements dangereux par exemple du fait des interconnexions ou de l’usage intensif de prestataires externes. Cette exposition et les informations traitées exigent une gestion dans le temps de la SSI, tout au long du cycle de vie des systèmes et les responsabilités doivent être identifiées. Des ressources sont consenties pour répondre à ces exigences. 5: Stratégique. Les SI sont au cœur des métiers et constituent un moyen vital pour le fonctionnement du ministère. Cela signifie que la sécurité des ces systèmes est stratégique.

3 Niveau de vulnérabilités du système d'information
Détermination du niveau de menace Le niveau d’attractivité par les questions de 5 à 6 Le niveau de vulnérabilité est déterminé par les questions de 7 à 9 Niveau de menace Niveau de vulnérabilités du système d'information 1 2 3 Niveau d'attractivité Question 5 – Comment décririez-vous l'environnement conjoncturel ? 0: Pas concurrentiel / menace d'agence gouvernementale inexistante 1: Peu concurrentiel / menace d'agence faible 2: Concurrentiel / menace d'agence classique 3: Concurrence féroce / menace d'agence majeure Question 6 – Le secteur d’activité est-il un secteur innovant, ou bien l’organisme dispose-t-il d’une avance technologique ? 0: Secteur non innovant / pas d’avance technologique 1: Secteur à faible innovation / avance technologique, mais peu significative 2: Secteur à forte innovation / avance technologique importante mais non déterminante 3: Secteur de type recherche exclusivement / avance technologique déterminante Question 7 – Quel est le niveau d’interconnexion du système 0: Système isolé 1: Système intranet ou connexions restreintes avec partenaires identifiés 2: Système de type extranet fortement interconnecté 3: Système sur Internet et /ou service sur Internet Question 8 – Quel est le niveau d’homogénéité du système d’information 0: Système très standardisé 1: Système peu hétérogène (ex : un système par type de service) 2: Système hétérogène (ex : achat laissé à l’initiative de chaque service) 3: Système fortement hétérogène Question 9 – typologie sous-traitance et ’exploitation du SI 0: Autonomie, l’organisme ne fait pas appel à la sous-traitance 1: Utilisation limitée de la sous-traitance et/ou mise en place d'éléments contractuels et de procédures rigoureuses concernant les personnels exploitants 2: Utilisation relativement importante de la sous-traitance et/ou mise en œuvre de clauses contractuelles spécifiques de "qualité" du personnel exploitant 3: Utilisation très importante de la sous-traitance et/ou aucune règle mise en place concernant les personnels exploitants

4 Niveau de maturité SSI adéquat
4 question pour déterminer le niveau d’adhérence Niveau = valeur maximale des réponses. 5 questions pour le niveau de menaces (questions 5 à 9) Niveau de maturité SSI adéquat Niveau de menaces 1 2 3 Niveau d'adhérence 4 5 Question 1 – Comment qualifieriez-vous votre système d’information ? 0: outil facilitant le travail sans intervenir directement dans les directions métiers 1: moyen d’avoir une vision transverse des processus et de l’organisation de l’organisme, il constitue une aide à la décision 2: outil de transformation organisationnelle et d’amélioration de la performance opérationnelle 3: outil indispensable au fonctionnement de l'organisation. Question 2 – Quel est l'effet de la perte du SI (indisponibilité) sur le fonctionnement ? 0: aucun effet sur le fonctionnement 1: effet faible, l’activité est faiblement déstabilisée puis s’autorégule 2: effet majeur, l’activité est fortement entravée dans l’attente d’un retour à la normale 3: effet bloquant, provoque l’arrêt de l’activité dans l’attente d’un retour du système d’information Question 3 – Quel est l'effet de la modification d’informations sur le fonctionnement ? 1: effet faible, ces modifications n’engendrent que peu de dysfonctionnements 2: effet majeur, dysfonctionnements importants, remettent en cause temporairement la poursuite de l’activité 3: effet bloquant, des dysfonctionnements majeurs (arrêt d’activité, blessures…) sont à craindre Question 4 – Quel est l'effet de la divulgation d’informations sur le fonctionnement ? 1: effet faible, la pérennité de l’activité est peu menacée, pas de risque juridique 2: effet majeur, la divulgation entraîne la perte d’un avantage concurrentiel important ou bien une perte de crédibilité importante ou encore, un risque juridique important existe (ex. : poursuites administratives) 3: effet bloquant, la survie de l’activité est remise en cause ou un risque juridique majeur existe (ex : poursuites pénales)

5 Les niveau de maturité pour les thèmes mentionnés
0: Inexistante. Pas de processus identifié pour la SSI. À ce niveau, il n’y a même pas de communication sur ce thème. 1: Initialisée au cas par cas. Prise de conscience de la problématique SSI. Pas de processus standardisés mais plus des approches individuelles au cas par cas. Management désordonné de la SSI : pas de méthode globale, une communication erratique. Pas de mesure permettant d’apprécier la valeur ajoutée de la sécurité dans les processus métiers. Pas d’évaluation interne. La SSI ne prend une certaine importance que lors d’incidents qui ont pu causer une perte ou une gêne. 2: Reproductible mais intuitive. La SSI est planifiée et suivie (planification de la performance, performance disciplinée, vérification de la performance, suivi de la performance). Prise de conscient de la nécessité de gestion de la SSI. La SSI est associée formellement aux modifications des SI, des organisations et des procédures. Il existe une implication au plus haut niveau de l’entité. La SSI participe à l’amélioration de processus clés qui sont surveillés et contrôlés. La formation n’est cependant pas organisée formellement et se limite à des initiatives individuelles. 3 Définie. L’entité a compris, accepté et assumé le besoin de SSI. Des indicateurs SSI mesurent l’atteinte d’objectifs de sécurité. Il existe une planification des aspects SSI incluse dans une vison stratégique. Les procédures sont normalisées, documentées et implémentées. Il existe une politique de communication sur les procédures et il existe des formations encore informelles. Bien que normalisées, les procédures ne sont pas très élaborées et restent le résultat de la formalisation de pratiques existantes. La plupart des processus sont surveillés mais les anomalies ne sont que très rarement traitées. Les responsabilités SSI sont identifiées. 4: Gérée et mesurable. La SSI est contrôlée qualitativement (établissement de buts mesurables, gestion objective de la performance), Chaque élément de la PSSI fait l'objet d'un indicateur avec une valeur précédente et un objectif à atteindre. Chaque indicateur est associé à une procédure. Toute procédure n'ayant pas atteint sont objectif est remise en cause. Les anomalies peuvent provoquer des révisions des procédures. 5 : Optimisée. Elle permet une amélioration continue (capacité organisationnelle, efficacité du processus). Tous les indicateurs possèdent une valeur précédente, un objectif final et un objectif à atteindre dans une période donnée. Les indicateurs déficients font l'objet d'une étude particulière. Les procédures sont régulièrement révisées. Les anomalies sont systématiquement intégrées dans le processus de révision des procédures. Chaque acteur SSI dispose de la liste des procédures avec ses indicateurs et valeurs à atteindre. Les responsabilités sont connues de tous.

6 Gestion des risques de SSI (management du risque)
Le risque de SSI est la combinaison d’une menace (cause potentielle d’un incident indésirable) scénario avec une certaine vraisemblance (un degré d’incertitude) Méthode d’attaque (action ou évènement accidentel, délibéré) Éléments menaçants (naturels, humains) susceptible de l’utliser Vulnérabilité des entités (matériels, logiciels, organisations, personnes, …) (faiblesse d’un bien, groupe de biens) et des pertes qu’elle peut engendrer estimées en termes d’atteinte des besoins de sécurité des éléments essentiels et des impacts induits sur l’organisme On peut aussi dire que le risque c’est la combinaison de la probabilité d’un événement et de ses conséquences. Les impacts peuvent être de différents ordres: pertes financières, atteinte au bon déroulement des activités, atteinte à l’image de marque, atteinte à la sécurité des personnels, pollutions, accidents (ferroviaire, aérien, routiers, …),

7 faiblesse pouvant être « exploitée »
On doit faire le nécessaire afin de bien les connaître. Mais on ne peut pas grand-chose la plupart du temps. Menaces : sources potentielles de problèmes) Vulnérabilité : faiblesse pouvant être « exploitée » de ce fait la menace devient plus concrète SSI = supprimer les vulnérabilités ou en empêcher leur exploitation éventuelle (diminuer les probabilités) sinon se préparer aux conséquences (réaction en cas d’incident) Diminution du risque, et si trop coûteux par rapport aux dommages éventuels  Accepter le risque résiduel, et être prêt à y faire face.

8 Communication relative
L’appréciation du risque (procéder régulièrement à l’appréciation du risque) Décrire le contexte Organisme Systèmes d’Information (SI) Éléments essentiels à protéger (+) (informations, fonctions, …) Entités sur lesquels ils reposent Les enjeux liés à la SSI Les contraintes à prendre en compte Exprimer les besoins de sécurité (*) pour (+) Disponibilité, Intégrité, Confidentialité Identifier les menaces et les caractériser en terme d’opportunité (degré d’incertitude) Confronter les menaces aux besoins de Sécurité (*) pour déterminer les riques. Communication relative au risque Appréciation Analyse du risque Évaluation du risque Traitement Refus du risque Optimisation du risque Transfert du risque Prise de risque Un Système d’information repose sur des éléments essentiels (informations, fonctions). Ceux-ci constituent la valeur ajoutée du SI pour l’organisme. Ces éléments essentiels sont liés à un ensemble d’entités de différents types : matériels, logiciels, réseaux, organisations, personnels, sites, … Chaque élément essentiel à un besoin de sécurité pour que le métier fonctionne correctement. Ce besoin s’exprime suivant des critères de sécurité: D, I, C. D’autres besoins de sécurité de l’information peuvent être: authenticité, imputabilité, non-répudiation, fiabilité, traçabilité. Dans « Caractériser les menaces » il faut inclure la notion de « vraisemblance d’une attaque » Acceptation homologation

9 Communication relative
Traitement du risque Sélection et mise en œuvre des mesures visant un refus, une optimisation, un transfert ou une prise de risque 1) Identifier les objectifs de sécurité déterminer le mode de traitement (refus, …) On tient compte du contexte On ne parle pas encore de solutions 2) Déterminer les exigences de sécurité Pour satisfaire les objectifs ci-dessus Décrire la manière de traiter le risque Dissuasion, protection, détection, Récupération, restauration, Compensation, … 3) Spécification et mise en œuvre des mesures de sécurité visant à modifier le risque. Communication relative au risque Appréciation Analyse du risque Évaluation du risque Traitement Refus du risque Optimisation du risque Transfert du risque Prise de risque 27002:page ix Un organisme doit impérativement identifier ses exigences en matière de sécurité. Elles proviennent de trois sources: appréciation du risque: fonction de la stratégie de l’organisme, objectifs généraux, … Identification des menaces, analyse des vulnérabilités et mesure de la vraisemblance de succès d’une attaque, voir l’impact potentiel. Exigences légales, statutaires, règlementaires et contractuels, ainsi que l’environnement socioculturel Les principes, objectifs et exigences métiers en matière traitement de l’information, fixés par l’organisme pour mener à bien ses activités. Concernant la mise en œuvre de mesures: mise en perspective des coûts des mesures et des dommages susceptibles de résulter de défaillance de mesures.  Décisions Un but: ramener le risque à un niveau acceptable Si pas de mesure  fonction des critères d’acceptation du risque fixés par l’organisme. Acceptation homologation A ce stade les risques ont été soit réduits soit transférés (à des tiers) soit subsistent (le résiduel).

10 Acceptation du risque Cas particuler du « risque résiduel »
Communication relative au risque Appréciation Analyse du risque Évaluation du risque Traitement Refus du risque Optimisation du risque Transfert du risque Prise de risque Décision d’accepter les risques traités. Une homologation de sécurité prononcée par une autorité présidant une commission d’homologation. Un dossier de sécurité en « soutien » contenant : études des risques, objectifs de sécurité, exigences de sécurité et la politique de sécurité. Acceptation homologation

11 Démarches possibles pour une PSSI
Une basée sur l’utilisation des meilleures pratiques Guides de configuration, checklists, recommandations, … Une basée sur l’analyse des risques, sans méthode particulière Travail basé sur l’expérience des acteurs. Une basée sur la gestion structurée des risques Une démarche méthodologique style EBIOS La catégorie 3 concerne l’analyse de risque mais également des enjeux, des menaces, … Dans cette catégorie 3 on peut trouver d’autres méthodes que EBIOS  MARION, MEHARI (voir le club clusif) Dans la catégorie 1 on peut trouver ISO17799, ISO15408 IL y a également une méthode appelée OCTAVE mis au point à l’université de Carnegie Mellon aux US. Attention le coût n’est pas le même! Il faut choisir une méthode adaptée à votre contexte et au niveau de maturité de la SSI dans votre entité. (existant ou souhaité)

12 Expression de Besoins et Identification des Objectifs de Sécurité
EBIOS Expression de Besoins et Identification des Objectifs de Sécurité EBIOS va permettre de bâtir ou finaliser des documents : Schémas Directeur SSI, PSSI, plans d’actions, documents stratégiques, … Méthode de gestion des risques SSI diffusée gratuitement par la DCSSI. EBIOS est une méthode de gestion du risque Diffusée gratuitement par la DCSSI

13 EBIOS EBIOS = 5 grandes étapes :
Étude du contexte auquel doit s’appliquer l’étude Expression des besoins de sécurité, analyse de la sensibilité des données (D,I,C) niveau de protection requis Étude des menaces, des vulnérabilités des risques d’occurrence de l’exploitation de ces vulnérabilités, Identification des objectifs de sécurité, Refus du risque, optimisation, transfert ou prise de risque? Enjeux stratégique de l’entité  objectifs de sécurité, Détermination des exigences de sécurité. vers le plan d’action : principes, règles, outils, organisation, … Dissuasion, protection, détection, récupération, restauration, compensation,… Problématique de la SSI : comment protéger l’information et les ressources. Avant le « comment »  quoi protéger et pourquoi? Il faut donc identifier les biens sensibles (les données, ressources, process) ainsi que leur niveau de sensibilité. Afin de mener un travail formel il est indispensable de le faire avec des critères, des échelles, … Ensuite identifier les menaces potentielles qui pèsent sur ces ressources, Les vulnérabilités qui pourraient être exploitées pour mettre ces menaces à exécution La probabilité de l’occurrence d’un tel évènement. Les enjeux stratégiques pour l’entité  les objectifs de sécurité  les principes  les règles

14 EBIOS EBIOS: très formel, très précis, mais lourd.
L’appliquer à certaines parties du SI seulement ou appliquer seulement certaines étapes : Ex: Une partie analyse de la sensibilité des données du niveau actuel de leur sécurité, du niveau cible, … Une évaluation des menaces « réalistes », Etc. Si EBIOS ne doit être appliquée qu’a une ou des parties du SI, il faut déterminer ces parties dans la première phase, l’étude du contexte.

15 EBIOS : étape « expression des besoins de sécurité »
L’analyse de la sensibilité des données est le volet important de cette étape, Cette analyse s’appuie sur des critères: attributs qui vont servir de base à l’évaluation du niveau de sécurité réel (actuel) et à déterminer celui souhaité. Ils représentent les qualités que l’on attend du fonctionnement du SI.

16 Disponibilité (fiabilité)
garantie d’accès quand on le demande (si « autorisé ») comportements réguliers, continus, prédictibles, assurer une qualité de service (perçue de l’utilisateur) performance garantie, (temps de réponses, bande passante, …). Pour élever le niveau de disponibilité Redondance de serveurs, d’infrastructures réseau, … contrats de maintenance solides, présence continue d’équipes, énergie secourue, sauvegardes régulières, stratégie de reprise en cas d’incident, logiciels validés, …

17 Intégrité Propriété d’exactitude et de complétude des informations et des fonctions. Absence de résultats incorrects ou incomplets (pour une fonction) pas d’altération des informations par des personnes non autorisées, conservation des données sans dégradation dans le temps, échange de données via le réseau sans altération, Pour élever le niveau d’intégrité garantir la robustesse des contrôles d’accès et de l’authentification veiller à la qualité des sauvegardes et des archivages chiffrer les flux réseaux, utilisation de logiciels « validés ». Authentification : preuve de l’identité de la personne accédant à la ressources, ou de l’origine d’un message, d’un document (fichier), …

18 Confidentialité (principalement des informations)
Propriété de n’être accessible qu’aux personnes autorisées Les données ne doivent pas être lues par des personnes ou des processus non autorisés. Pour élever le niveau de confidentialité authentification forte, protection des fichiers (discrétionnaire), chiffrement éventuel des fichiers (sur portable notamment). protection des flux réseau (chiffrement) que seules les personnes habilitées manipulent les supports de sauvegarde.

19 Attributs complémentaires (non EBIOS)
Comptabilité, traçabilité, … Capacité à retrouver l’identité et la liste des actions d’un fauteur de trouble identification et authentification sérieuses des intervenants, Historique, journalisation des actions. Non répudiation Capacité à apporter les preuves de l’origine et du contenu d’une action  un traitement « signé », signature de documents (stockés ou échangés) éventuellement existence de « tiers de confiance » Non répudiation: Garantir que l’émetteur ne peut nier impunément, Idem pour le destinataire. Imputabilité Authenticité

20 Échelle de besoins 1 2 3 confidentialité disponibilité intégrité
Perte de confidentialité Sans conséquence Délai supérieur à 1 semaine Sans conséquence. Services non indispensables Perte d’intégrité sans conséquence pour l’entité. Vérification avant redémarrage simplement 1 Conséquences défavorables Aux intérêts de l’entité. Cause de gêne. Mais alternative existe. Dégradation du service Conséquences défavorables aux intérêts. Diminution des capacités. Image de marque. 2 Conséquences dommageables. Ex: contrats remis en cause Délai > 2h et <=8h Conséquence dommageable Mais non vitale Conséquences dommageables pour les intérêts de l’entité. Sanctions administratives, Pertes financières 3 Conséquences graves Ex: secrets défense. Délais entre 0 et <= 2h mise en péril de: vies humaines Existence société Révocation de dirigeants, Restructuration, … Ici il faut parler des sinistres possibles Divulgation de l'existence de la fonction (grand public) Critère desécuritéConfidentialité Divulgation externe de l'informationCritère de sécuritéConfidentialité Divulgation externe de la fonctionCritère de sécuritéConfidentialité Divulgation interne de l'informationCritère de sécuritéConfidentialité Dégradation des performances de la fonctionCritère de sécuritéDisponibilité Inaccessibilité de l'informationCritère de sécuritéDisponibilité Interruption complète de la fonction (courte durée)Critère de sécuritéDisponibilité Interruption complète de la fonction (longue durée)Critère de sécuritéDisponibilité Perte totale de l'information (destruction)Critère de sécuritéDisponibilité Modification accidentelle de l'informationCritère de sécuritéIntégrité Modification délibérée de l'informationCritère de sécuritéIntégrité Résultats de la fonction incompletsCritère de sécuritéIntégrité Résultats de la fonction incorrectsCritère de sécuritéIntégrité IMPACTS Interruption de service Description- incapacité à fournir le service Perte d'avance technologique, technique Atteinte à la sécurité du personnel, des usagers Description- danger pour les personnels et / ou les usagers de l'organisme Pertes financièresPerte d'image de marque Description- perte de crédibilité de l'informatique en interne, perte de notoriété, exemple: Article de presse diffamatoire

21 Pour chaque domaine « métier » une évaluation des besoins de sécurité
Niveau global domaine Conf. Dispo Intég. G.F.C 2 3 Communication Contrats GRH Info. nominative 1 Recherche et Dév. Technolog. Pédagogie (contenus)

22 Identification des origines de menaces (méthodes d’attaque à retenir)
EBIOS explicite toute une panoplie de menaces dont il faut retenir que celles pertinentes pour l’entité menant l’étude. Les catégories de menaces qui sont explicitées dans les pages qui suivent peuvent être trouvées dans les documents EBIOS.

23 Pertes de services essentiels
Sinistres physiques Incendie, dégâts des eaux, pollution, sinistre majeur, Destruction de supports ou de matériels phénomènes naturels Phénomène climatique, ‘’ sismique, ‘’ volcanique, ‘’ météorologique, Crue Pertes de services essentiels Défaillance climatisation, Perte d’alimentation énergétique Perte de moyens de télécommunication Perturbation due aux rayonnements Rayonnements électromagnétiques Rayonnements thermiques Impulsions électromagnétiques Slide conforme EBIOS :

24 Compromission des informations
Interceptions de signaux parasites compromettants Espionnage à distance écoute passive (Récupération d’information d’authentification par ex.) Vols: supports, matériels, documents, Récupération d’éléments recyclés ou mis au rebus Divulgation Inconsciemment (dans le TGV), en séminaire, … Volontairement (intérêts particuliers) Information sans garantie d’origine Installation de logiciel sans preuve de l’exacte origine et du sérieux Canulars, phishing, … Piègeage du logiciel ou du matériel Géolocalisation Conforme EBIOS

25 Actions illicites Défaillances techniques
Utilisation illicite de matériel (site « warez », …) Copie frauduleuse de logiciels Utilisation de logiciels contrefaits ou copiés Altération de données (action de piratage, via vers, virus, …) Usurpation de droits (pirates, concurrents, …) Traitement illicite de données Défaillances techniques Panne, dysfonctionnement matériel Saturation des systèmes informatiques Maintenance négligée Dysfonctionnement logiciel Atteinte à la maintenabilité du SI (absence documentation, …) Conforme EBIOS

26 Compromission des fonctions (facteurs humains)
Actions illicites Utilisation illicite de matériels Copie frauduleuse de logiciels Utilisation de logiciels contrefaits ou copiés Altération de données Traitement illicite de données Compromission des fonctions (facteurs humains) Erreur d’utilisation (sauvegarde, configurations, …) Abus de droit (modification sans avertir, …) Usurpation de droits Reniement d’actions Atteinte à la disponibilité du personnel (personnels indispensables) Conforme EBIOS

27 Quelles sont les vulnérabilités qui peuvent
faire que ces menaces puissent être mises à exécution? Ebios classe les vulnérabilités par domaines Matériels Logiciels Réseau Personnel Physique (Site) Organisation Système Voir page 34 de la section 4 du guide EBIOS Introduire : Un événement lié à la sécurité des informations peut provenir de : Brèche possible dans la politique de sécurité Une défaillance/échec des mesures/moyens de protection, Ou une situation jusque là inconnue Dans tous les cas  re-apprécier les risques et modifier la PSSI et les types de mesures en conséquence.

28 Matériels Absence de responsabilité Pas de politique:
d’achat, de maintenance, de remplacement, … d’installation, de configuration, d’administration, … de contrôle d’accès et de protection des fichiers (données) de gestion des authentifications et des mots de passe particulièrement de gestion des autorisations (privilèges octroyés trop importants) de protection des informations sensibles (accès, chiffrement, …) Matériels dont les spécificités ne sont pas pris en compte Absence de règles concernant les matériels ‘trans’portables Condition liées au placement physique non pris en compte Phénomènes naturels non pris en compte accès physiques non contrôlés (salles machines, bureaux, …) absence de sauvegardes, archivage et de protection des supports Pas de prise en compte des conditions d’utilisation pas de protection contre l’écoute TEMPEST

29 Logiciels Absence de politique concernant:
la gestion des mots de passe, le contrôle des accès, la gestion des privilèges le contrôle de la protection des données, notamment leur intégrité Lacunes concernant la qualité et l’intégrité des logiciels : ajout de logiciels d’écoute, cheval de Troie, fonction cachée en phase de développement récupération de logiciels depuis source non authentifiée Logiciels non évalués, développés uniquement en interne, Conditions d’utilisation du logiciel Conditions aux limites non prise en compte (matériel inadéquat, …) Pas de conservation des traces de traitement, pas de remontées des traces de dysfonctionnement, pas de procédure de maintenance, Documentation inexistante ou pas à jour, Côté utilisateur Absence de formation à l’utilisation du logiciel, utilisation complexe non intuitive, Insuffisance de compétence, Par rapport au système Administration à distance avec des outils non chiffrés Absence de mise en œuvre des règles élémentaires de sécurité de base Système « grand public » aux bugs connues et déjà exploitées Possibilité d’utilisation du système par des personnes non autorisées Plusieurs systèmes amorçables (Windows, Linux) Système pouvant être soumis à des requêtes mal formatées (buffer overflow),

30 réseau Protection physique, qualité équipements Réseau « ouvert » :
Conditions (humidité, température, rayonnements, …) pas pris en compte, Sensibilité aux chutes de tension, micro-coupure, Mauvais dimensionnement, matériels obsolètes, … Réseau « ouvert » : possibilité de pose d’éléments « pirates » (ex: keylogger physique), dérivation de circuit, Support et équipements accessibles à des personnes non autorisées, Présence de points d’écoute illicites Émission de rayonnements parasites compromettants Écoute passive possible sur médium le permettant (Ethernet non commuté, WiFi, …) Absence de cloisonnement réseau (filtrage, journalisation) Possibilité d’altérer une communication Absence de contrôle d’accès robuste, présence de protocoles sans fonction d’authentification. Les relais n’identifient ni les sources ni les destinations (spoofing possible) Défaut de supervision, maintenance, … Absence de maintenance locale ou à distance Absence de politique de traces, d’audit, de métrologie Pas de politique visant à détecter les comportements suspects (détection d’intrusion, …)

31 Personnel Défaut en grande partie du à la direction concernant :
Une organisation inadaptée, chaîne de responsabilité non identifiable, Méconnaissance de la PSSI, ou absence de soutien à l’application de la PSSI, La classification des informations, les droits accordés en dehors du besoin légitime Le trop de responsabilité/charges de certaines personnes Climat social conflictuel, règles morales et d’éthique absentes, conditions de travail, Indisponibilité (absentéisme, …) Absence de procédure de transfert de compétence Absence de sensibilisation, formation: chartes, règles de protection de l’information, … Pas de stratégie de réaction en cas de sinistre majeur, pas de plan de reprise/continuité d’activité Responsabilité des personnes Non respect des diverses consignes, des règles en général, du devoir de réserve, de la discrétion, Absence de vigilance, négligence, manque de professionnalisme Utilisation de logiciels sans garantie de leur origine, Pas de mise à jour des logiciels anti-virus, pare-feu, anti-malware, ... Personne manipulable, crédule :  obtention d’avantage contre action malveillante Relatif aux infrastructures et services Choix technologique dépassé ou non pérenne, dimensionnement limite, Absence de suivi des incidents, Absence de procédure de gestion des situations d’urgence Pas de procédure de réaction et d’information en cas de sinistre

32 Physique: site(s), locaux
Lieux Pas de prise en compte des rayonnements, pas de zonage TEMPEST, … Zone inondable, proximité sources de pollution ou d’activité industrielle ou site à risque Phénomène extrême météorologique possible Possibilité de capter les transmissions ou d’observer depuis l’extérieur du site Contrôle des accès: Pas de contrôle des accès au site ou aux locaux, (accès indirects existants), présence d’ouvertures sur la voie publique Absence de contrôle des échanges avec l’extérieur, Pas de journalisation des entrèes/sorties de personnes, … Pas de contrôle des habilitations, contrôle d’identité, Pas de protection des accès aux équipements Locaux Vieillissement, non étanchéité, risque d’explosion possible, Construction sans prise en compte des conditions climatiques, sismique, .. Règles non prise en compte pour : la climatisation, l’incendie, l’énergie, les télécommunications

33 Organisation Absence de PSSI (directives, consignes, procédures, règles, …) pas d’implication de la direction, déficit d’organisation de la chaîne de responsabilité Absence d’identification et de contrôle des biens sensibles absence de sensibilisation, formation, veille technologique Pas de chartes, pas de formation minimum aux aspects juridiques, … Pas de suivi de l’évolution des menaces et solutions de protection Manque d’information sur les aspects légaux et règlementaires, pas de stratégie (plan de reprise) en cas d ’incident majeur Absence de règles de protection des données et de l’infrastructure Pas de politique des gestion des habilitations

34 Les systèmes et services (1) :
Echanges vers/depuis d’autres systèmes Circulation en « clair » des échanges, ouverture trop grande sur l’extérieur, Le système permet la divulgation d’information sensible vers l’extérieur, Absence de dispositif de filtrage, absence de contrôle anti-virus, anti-malware, … Possibilité de traiter des fonctions asynchrones du système (composants javascript) Possibilité d’introduire des logiciels hostiles (virus, vers, cheval de Troie, bombe logique, …) Absence de contrôle des contenus échangés Absence de gestion du contrôle des accès (habilitation, audit, supervision, … ) Partie système Obsolescence du système, systèmes non standards, Règles d’installation non suivies, le système permet un usage autre que celui prévu, extension de fonctions possible Possibilité de copier facilement des logiciels Installation, configuration, administration, supervision Absence de suivi des procédures d’installation et de maintenance (correctifs, …) Pas de vérification de l’origine des applicatifs, Possibilité d’administrer à distance avec des outils non chiffrés, Pas d’outils de supervision Absence de mise en œuvre des règles de base applicables au système d’exploitation etc.

35 Les systèmes et services (2):
Traces, audit Absence de politique d’audit, de journalisation des évènements ou accès Pas de conservation/archivage de l’historique Utilisateur/administrateur Absence de responsabilité identifiée Insuffisance de compétence Manque de support/formation Absence de sensibilisation aux risques induits par le téléchargement de logiciels Messagerie Le système permet le relayage, peut être administré à distance, Version obsolète des logiciels Absence de protection anti-virus, anti-spam, Pas d’authentification des émetteurs ni des destinataires Le serveur permet l’émission automatique de messages Absence de limitation de la taille des pièces jointes Intranet Pas de cloisonnement des réseaux de communication, Absence ou difficulté à gérer les privilèges d’accès aux informations partagées Le système permet le stockage ou la modification d’information sans authentification Présence de dispositif permettant de modifier ou installer des applications à distance Le dispositif permet d’introduire des logiciels hostiles Portail externe Accès public au portail, pas d’identification des requêtes Pas de conservation de l’historique des activités Possibilité d’implanter des programmes pirates

36 Matériel et système (compléments):
Non fermeture systématique de session après un temps d’inactivité, Pas de protection contre l’écoute Tempest (pour poste classifiés) Poste à la vue de tous (trains, avions, conférences, …) Non surveillance des portables ou de supports (Vol) Maintenances (télémaintenances) non contrôlées, Amorçable par quiconque via disquette, CD-ROM, … Absence de sauvegardes Pas de politique de contrôle des contenus importés Pas de configuration « restrictive » du système: Cloisonnement vis-à-vis extérieur (pare-feu, …), limitation services actifs Trop de logiciels installés sans preuve de besoins réels, Comptes « privilégiés » trop largement octroyés Manque de réactivité pour l’application des correctifs de failles (patch de sécurité)

37 Des raisons (pas toujours des excuses)
Manque de moyens (humains surtout) Méconnaissance de la valeur des informations et de la valeur du patrimoine, des menaces réelles et des conséquences potentielles. la sensibilisation pas encore « arrivée » Un « laxisme » involontaire à semi volontaire, Ça n’arrive qu’aux autres. On ne retient que : « la sécurité ça coûte cher » Voir page x 27002: Facteurs cruciaux de réussite Une politique, des objectifs et des activités relatives à la SSI cohérents avec les objectifs d’activité de l’organisme Une approche conforme avec la culture de l’organisme Le soutien et l’engagement de tous les niveaux de la Direction Une bonne compréhension des exigences en matière de SSI (évaluation et gestion des risques) Communication efficace afin de sensibiliser Définition de mesures adéquates pour la sensibilisation, la formation, la qualification Diffusion des lignes directrices sur la PSSI Mise en place d’un budget (moyens) dévolu à la SSI

38 Origine des actes de malveillance, des erreurs, des accidents
Provenance « interne » ou locale 70% environ Origine humaine (intentionnelle) Ancien personnel : (vengeance, but lucratif, …), Stagiaire (espionnage, intérêt personnel, …), Télémaintenance, prestataire (intérêt de la concurrence, …) Personnes en place : esprit ludique, découverte, blocage, … Origine accidentelle (non intentionnelle, laxisme) Erreurs de configuration, de surveillance, Évènements naturels: incendie, inondation. Provenance externe 20 à 30% 6 « malintentionnés » pour (chiffres de 1998) Objectifs multiples: Plaisanter, perturber, abuser, casser l’image de marque, faire chanter, … Voler, frauder, … Espionner (économie, militaire,…) Crime organisé, terrorisme, sabotage, déstabilisation, désinformation, …

39 Exemple d’exploitation de vulnérabilités de niveau « informatique »
Suivant le but poursuivi par « l’acteur » de ces « attaques » les conséquences pourront être plus ou moins graves.

40 Exemples de scénarii (1)
Ecoute de trames sur le réseau (Ethernet) tout PC (poste individuel) peut le faire! Recherche «séquence  login » --> mot de passe exploitation du compte rebonds constitution base de données des mots de passe pour utilisation ultérieure PLUS GRAVE si mots de passe « super-utilisateur » Noter que les mots de passe « volés » peuvent appartenir à des utilisateurs d ’une autre entreprise, université, etc ===>attaque site distant

41 Exemples de scénarii (2)
Récupération des fichiers /etc/passwd Puis essai de craquer les mots de passe cryptés avec dictionnaires, Il suffit ensuite de se connecter avec les bonnes infos. Une fois sur la machine en tant qu’utilisateur normal Prendre son temps pour « explorer » le système entier et donc Tenter de trouver les « bogues » permettant de passer super-utilisateur. Installer ce qu-il faut en « cheval de Troie » pour y revenir tranquillement. Même si l’on peut caser ceci dans les exemples du passé, il faut cependant être très vigilant.

42 Exemples de scénarii (3)
Recherche machines avec « bogues » toute machine sur Internet peut le tenter Scan des machines ayant des ports ouverts, Repérage du type de système, version, etc, Puis détection des services en exploitation De leur niveau de patch  des « bogues » possibles. passage « super-utilisateur » modification des commandes système ou installation de commandes cachées (« bombes logiques ») pour revenir plus tard

43 Exemples de scénarii (4)
Cheval de Troie logiciel « domaine public » avec cheval de Troie piratage d ’un serveur FTP connu (simple défaut de protection des fichiers suffit) dépose de ce logiciel sur ce serveur en échange d ’un logiciel classique tout site récupérant ce logiciel est potentiellement en danger  Nécessité de vérifier les empreintes des logiciels.

44 Exemples de scénarii (5)
Messagerie SPAM (mascarade d ’adresse  phishing) exploitation de « bogues » des produits « sendmail », « PosFix » ou « OutLook », … Déni de service « fausses » connexions à rythme très rapide sur un port donné (service classique) d ’un serveur le serveur ne répond plus pour les vrais utilisateurs Plantage à distance exploitation de « bogues » (noyau du système) Le SPAM(mascarade d’adresse) correspond au « PHISHING »  attirer l’utilisateur sur un site qui n’est pas celui que l’on croit être. Le plantage à distance n’est même plus intéressants pour les hackers ou pirates, cela ne rapporte rien. Par contre on trouvera le « defacement » de site WEB, et cela porte grand préjudice et détériore l’image de marque de l’entité touchée. Le déni de service reste une plaie et est toujours utilisé pour causer des dommages.

45 Exemples de scénarii (6)
Mascarade d ’adresse IP « IP spoofing » « Pollution » d ’un serveur FTP répertoire à accès public --> échange de logiciel/produits piratés serveur FTP cible de sites « warez » « defacing » de sites web Souvent du aux failles des programmes PHP Également aux failles (de moins en moins) de IE-Microsoft Etc. Le « defacing » est facilité par les failles trouvées au niveau des sites WEB dans les environnements IE, PHP, SQL, … Il est souvent la conséquence d’une volonté de vengeance, de désinformation ou de pression politique/religieuse.

46 Exemples de scénarii (7)
Plus propice au monde Windows Virus Exploitation des failles des macros Word,Excel, … Exploitation failles IE Installation de SPYWARE et de MALWARE Le malware va se traduire par : - l’installation de rootkit (des backdoor prêtes à agir dès un contact extérieur) - l’installation de keylogger qui vont « écouter » toutes les frappes au clavier et aussi toutes les commandes utilisateurs - des redirects automatiques vers des URLs « spoofés » et donc des vers des sites malveillants qui vont voler des mots de passe des données personnelles, … - les malware installés vont prendre tout leur temps (car bien dissimulés) pour tester les vulnérabilités de votre poste de travail et ça sans que vous le sachiez.  Il est d’ailleurs assez difficile de nettoyer un PC infesté de spyware et malware. Le mieux c’est d’éviter de les avoir !!


Télécharger ppt "Approches pour l’élaboration de documents PSSI"

Présentations similaires


Annonces Google