La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité du Système dInformation Jean-Paul Le Guigner ENSSAT Lannion, février 2007 Rappel sur stage possible en « Fédération didentité

Présentations similaires


Présentation au sujet: "Sécurité du Système dInformation Jean-Paul Le Guigner ENSSAT Lannion, février 2007 Rappel sur stage possible en « Fédération didentité"— Transcription de la présentation:

1 Sécurité du Système dInformation Jean-Paul Le Guigner ENSSAT Lannion, février 2007 Rappel sur stage possible en « Fédération didentité »

2 Préambule Emploi des TIC généralisé Dépendance « totale » (pour le fonctionnement des entreprises) Sen passer risque de disparaître du paysage. Loutil informatique est stratégique pour le fonctionnement de la recherche, de lenseignement, de lentreprise, des institutions, de la diffusion dinformation, … Sécuriser le Système dInformation (SI) est une obligation

3 Terminologie Informatique : « information / automatique » –mémoires, processeurs, réseaux, logiciels,.. –Connotation très technique (?) on y voit tout de suite linformaticien TIC : Technologies de lInformation et de la Communication Le SI : Système dinformation –ensemble des outils: matériels, systèmes, logiciels, infrastructures réseaux, –les données, –les procédures : stockage, traitements, transmission, diffusion, … –les « hommes » –Les processus fonctionnels ( procédures).

4 SSI On parlera de SSI ( Sécurisation des Systèmes dInformation) en considérant que sécurisation de loutil informatique nest quune facette de cette SSI et quelle ne suffit pas.

5 Les enjeux (ou pourquoi la SSI?) 1.Protection des données « importantes, stratégiques, sensibles » Patrimoine (scientifique, savoir-faire, fonctionnement, …) 2.Respect : de la législation des réglementations et directives gouvernementales, de la vie privée (données à caractère personnel) (voir CNIL) de la liberté des personnes 3.Image de marque vis-à-vis des partenaires, (confiance) 4.Maîtrise des environnements (ne pas être la cause de préjudices) 5.Continuité des services offerts et leur qualité, Lordre des enjeux ci-dessus, et Limportance accordé à chacun deux va dépendre du profil de lentreprise/organisme (le métier, les populations concernées, …).

6 SSI La SSI porte sur lensemble des composantes des SI : Les données, (linformation) Les environnements informatiques serveurs, postes de travail, supports de données, Les systèmes, les logiciels/progiciels, outils de développement, … les infrastructures de communication (équipements et services réseau) Les services annexes : énergie, climatisation, chauffage, éclairage, … Les personnes: compétences, savoir-faire, organisation, … Le primordial cest la protection des données (linformation) Y parvenir nécessite de protéger lensemble des éléments. Il est important de bien identifier tous les biens et daffecter des propriétaires Un inventaire est indispensable

7 Les données La donnée ressource du SI la plus névralgique : Une donnée peut matérialiser : la mémoire du fonctionnement de lorganisme finances, comptabilité, clients, fournisseurs, stocks, actifs, contrats, … lorganisationnel interne, procédures, … le patrimoine scientifique dun laboratoire de recherche, le « savoir-faire » technologique dune entreprise, le patrimoine culturel, une information à caractère personnel (vie privée). Par défaut, une conscience limitée de la valeur des données, jusquà loccurrence dun incident majeur (incendie, vol de portable, écrasement de fichiers non sauvegardés, fuites ou altération dinformations, …)

8 Éléments de la démarche SSI Identifier, préciser, évaluer : –les enjeux, (prioriser) –Le niveau de sensibilité des ressources (fonction des enjeux), –les menaces potentielles pesant sur ces ressources, –Les vulnérabilités rendant les menaces réalisables, –le risque quelle soient exploitées, (probabilité) –Les conséquences est-on prêt à assumer? Elaborer une politique et des plans de protection –Organisation: moyens humains, procédures, règles,actions, … –Solutions: outils, architectures, … Surveillance, détection, réaction, suivi et audit –Mettre en œuvre des éléments de surveillance, détection dincident, … –Établir une stratégie de réaction et des moyens de redémarrage rapide, –Prévoir le suivi la politique de sécurité, son audit éventuelle, …

9 Le savoir cest mieux 1.La sécurité absolue nexiste pas Il y a toujours des risques, même si efforts de protection sérieux 2.La SSI cest de la gestion de risques –Il faut identifier « ce que lon risque » et assumer ce risque. –Mais sy préparer cest mieux. 3.Préparer le « scénario » incident une stratégie de réaction, des moyens pour redémarrer au plus vite. Sans logique, sans méthodologie, sans organisation, sans sensibilisation et responsabilisation des acteurs, sans formalisme (sans documents), … pas de sécurité sérieuse.

10 Les acteurs de la SSI Tout le monde est concerné –Direction, RSSI, …, Se prononcer sur les enjeux stratégiques, Soutenir les actions (arbitrages financiers) notamment la formation, Décisions pour lorganisation des compétences et responsabilités, –MoA et MoE (développeurs) pour les applications et les services –Les administrateurs (serveurs, postes, réseaux, …) Spécifications des règles dadministration, mise en œuvre, … Contrôles, audits internes, … Veille technologique, expertise, … –Les utilisateurs : Comportements conformes aux règles décidées, Détection et remontée des anomalies, … Pour les entités de taille « respectable » préconiser une structure de pilotage de la SSI.

11 Schéma Directeur Suivant la taille de linstitution/organisme/entreprise un Schéma Directeur Pour les grandes orientations stratégiques Les enjeux à prendre en compte Les grandes lignes directrices des PSSI et des PSSI par laboratoire/établissement/filiale/… Prenant en compte les messages du SDirecteur Intégrant les spécificités des entités de base. Les documents de la SSI

12 PSSI Politique de la SSI (PSSI) –Enjeux et orientations stratégiques en matière de SSI Fonction du profil métier de linstitution/entreprise Et des contraintes fonctionnelles et économiques –Les grandes menaces qui pèsent sur le SI Analyse des risques recommandées –Objectifs de sécurité retenus, (biens à protéger) –Chaînes opérationnelles Organisation des responsabilités Identification des compétences –Stratégie de réaction en cas dincident, … –Relation avec les structures spécialisées : CERTs, DCSSI, DST, … Les documents suivants peuvent être référencés par la PSSI, mais sont considérés comme des « référentiels » opérationnels. Les documents de la SSI

13 Sensibilisation, information, formation –Chartes ou règlement intérieur pour la SSI –Sensibilisation Types de menaces, risques encourus Contexte juridique (CNIL, différents régimes de droit, …) Obligations des utilisateurs (guides de bonne pratique) –Support de cours pour administrateurs, … –Organisation de la veille technologique en SSI Les documents de la SSI

14 Documentations techniques lopérationnel: orientations techniques –Les principes darchitectures retenus Domaines de confiance (ou zônes de confiance) Relations entre applicatifs, services, Séparation des communautés sur les réseaux –La protection des accès Accès réseaux (filaire ou sans fil), nomades (distants) ou locaux Accès aux applications et services –La protection des données (niveau stockage, niveau flux échangés) –Les règles dadministration Serveurs (Unix, Windows), bases de données, Postes clients, Services applicatifs, messagerie, serveurs WEB, Des infrastructures et services réseaux, … Les documents de la SSI

15 Maintenance en condition opérationnelle –Politique des logs/traces (une obligation) –Politique de métrologie, de supervision –Contrôle du niveau réel de sécurité Check-list de vérification de lapplication des règles Outils en complément : –détections des intrusions/anomalies –Contrôle des failles potentielles (scanners) –Carnets de sécurité pour les applicatifs, –Intégration de la SSI dans les contrats –Audits, Les documents de la SSI

16 La SSI est un processus vivant, il faut donc une stratégie de révision des documents régulièrement, sur évènement significatif, incident, …, si la veille technologique limpose, sur audit récurent des pratiques, si évolution des enjeux, si évolution des métiers de lentreprise, …

17 Vous devez sécuriser le Système dInformation de votre entreprise, université, … Rien nexiste ou presque : Par où commencer? Agir par des mesures Techniques et prendre le temps : de solliciter la direction pour une vraie organisation SSI de demander une évaluation des enjeux, de la sensibilité des données, des menaces, … déterminer le périmètre SSI, le profil des populations, leurs droits, leurs obligations, avoir une vision globale du Système dInformation. de préparer lélaboration de la documentation formelle.

18 –Serveurs : Application des règles dadministration « saines »: Unix, Windows Vérifier sils sont à niveau concernant les correctifs de sécurité –Postes : Les protections contre les virus, les « SpyWare », contenus malveillants, … Mise en œuvre de garde barrières personnels, prise en compte du nomadisme (wifi local, voyages, maison-entreprise, …) –La protection physique des locaux et des matériels accès, incendie, inondation, continuité électrique, … –Politique de sauvegardes, de restauration, de reprise. –Réseau : Architecture pertinente, séparation de communautés, Vérifier le degré douverture vers lextérieur, Identifier les services offerts (trop? Mal configurés?, …) Ce sur quoi il faut agir en premier lieu : Et on sattaque aux aspects: organisation, sensibilisation, formation, recommandations, PSSI, …

19 Lorganisationnel (Ministère de lÉducation Nationale) (Enseignement Supérieur)

20 Chaîne fonctionnelle de la sécurité des systèmes dinformation (SSI) Proposition de chaîne organisationnel au Ministère de lEducation Nationale Selon la recommandation interministérielle n° 901 sur la protection des systèmes dinformation traitant des informations sensibles non classifiées de défense Le premier ministre (Corresp.technique de la SSI) CTS SDS SI Les ministre et ministre délégué (Directions opérationelles) DPMA-DR-DT (Personne juridiquement responsable) PJR Recteur, Président duniversité, Inspecteur Académique, Chef dÉtablissement (Responsable de la SSI) RSSI Nommé par la PJR HFD (haut fonctionnaire de défense) IGI n° 901 SGDN/DCSSI/CERT-A FSSI (fonctionnaire de la SSI) AQSSI (autorité qualifiée pour la SSI) ASSI (agent de la SSI)

21 MENESR Organisation sécurité; Enseignement Supérieur Proc. De la Rep. Dst Pj Etablissements RSSI (+ suppléant) relais internes HFD DCSSI Rssi+ecorses Cert-Renater Jean-Paul Le Guigner Christian Claveleira CertA SGDN

22 Le RSSI: doit bien connaître le fonctionnemement du SI, mais aussi bien connaître létablissement, lentreprise, et les enjeux liés à la sécurité. Réseau de compétence: administrateurs systèmes et réseaux, administrateurs bases de données, Architectes du SI, … Direction Service informatique

23 Sensibilisation, formation, actions OBJECTIFS GENERAUX - structure du système dinformation - propriétés de la sécurité Principes de base - prudence dans les manipulations - rigueur dans l'exécution - application des recommandations et conformité à la charte Connaissances informatiques élémentaires Connaissances des risques, Des menaces et des vulnérabilités Pour tout personnel

24 OBJECTIFS SPECIFIQUES RSSIs - Connaissance de et participation à la politique de sécurité - animation de groupes, projets, - formalisation de dossiers, - connaissance générale des moyens techniques - acquisition de réflexes au niveau des comportements, - connaissance juridiques et institutionnelles Spécialiste informatique et réseaux - connaissance des moyens techno. (hardware, locigiels, services, …) - prise en compte dès le début de la mise en œuvre des moyens -démarche méthodologique et logique, -acquisition de réflexes aux niveaux: - relations internes (hiérarchiques) - surveillance régulière(détection) - veille technologique - propositions dévolutions Compétences, Formations,Comportements

25 Structures (gouvernementale) CNIL (Commission Nationales Informatique et Libertés) –application de la loi de 78 –contrôle des traitements nominatifs –aide (personnes, organismes publics, …) DCSSI (Service Central de la Sécurité des Systèmes dInformation) –dépend du SGDN (secrétariat général à la Défense Nationale) –agréments pour matériel/logiciels de cryptographie, autorisation de commercialisation et d utilisation –évalue les niveau de sécurité des « systèmes » –réalise des audits, forme des experts –prestations de formations lourdes et sensibilisations « pointues »

26 Structures (gouvernementale) Dépendant de la police judiciaire –BCRBI : Brigade Centrale de Répression de la Criminalité informatique traite les affaires d intrusion informatique au niveau national Dépendant directement du Min. de l Intérieur –DST : direction de la surveillance du territoire concernée par les affaire ayant une relation avec lespionnage scientifique ou industriel. Se positionne en dehors du cadre judiciaire, et travaille en collaboration avec les « victimes ».

27 Relations avec les « Autorités » Ministère de lintérieur DST OCLCTIC BEFTI-BFMP SRPJ Autorités Judiciaires SGDN/DCSSI CERT-A MEN/MR HFD Réglementation Gendarmerie Nationale

28 Structures (non gouvernementale) CERTs (Computer Emergency Response Team) –premier CERT créé suite à l affaire du « ver de lInternet » en 1988 (le CERT-CC) –nécessité de parer, prévenir des « bogues » existants dans les systèmes –centralise les informations sur les incidents et les mesures de réactions –diffuse linformation (validée) sur les corrections (patchs) à appliquer –avertissent des « campagnes » dattaques Plusieurs CERTs existent –par grand organisme aux US : CIAC (DoE), NASIRC (NASA), ASSIST (DoD), –par pays ailleurs (ex: AUSCERT (Australie, services payants) –en France pour le moment ---> le CERTA, le CERT Renater et le CERT-IST En Europe ---> EURO-CERT FIRST (Forum of Incident Response and Security Team) les fédère

29 Coopération des CERTs en France CERT- Renater CERT-IST CERT-A


Télécharger ppt "Sécurité du Système dInformation Jean-Paul Le Guigner ENSSAT Lannion, février 2007 Rappel sur stage possible en « Fédération didentité"

Présentations similaires


Annonces Google