La Sécurité Des Systèmes d’Information Plan
Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas Pratiques
La Sécurité Des Systèmes d’Information Introduction
Copyright Définition Sécurité des SI= Protéger les biens et informations les plus précieuses pour l’entreprise
Copyright La Sécurité des SI Critères d’évaluation: Disponibilité Intégrité Confidentialité Traçabilité
Copyright Introduction Les risques Les objectifs Définition
Copyright Les Risques Mesurés par la combinaison d’une menace et des pertes qu’elles pourraient engendrées Plusieurs éléments: Méthode d’attaque Éléments menaçants Vulnérabilités des entités
Copyright Les Risques Attaque passive Attaque active Usurpation Répudiation Intrusion
Copyright Les Objectifs Protéger les données stockées ou en transit sur le réseau contre : modification (destruction) non autorisée utilisation frauduleuse divulgation non autorisée Sécuriser l’accès aux systèmes, services et données par : vérification de l’identité déclinée par le requérant gestion des droits d’accès et des autorisations
Sécurité des Systèmes d’Information Concepts et Technologies
Copyright Cryptographie Ensemble des techniques permettant de crypter / décrypter des messages Crypter : brouiller l’information, la rendre “incompréhensible” Décrypter : rendre le message compréhensible Emetteur Destinataire Message clair #¨^%!! §§ $ Message clair encryption décryption
Copyright Cryptographie: Clé Symétrique Même clé pour chiffrer et déchiffrer Avantages : facile à implémenter rapide
Copyright Cryptographie: Clé Asymétrique Chaque communicant possède une paire de clés associées : clé publique Kpb et clé privée Kpv Un message chiffré par l’une des clés ne peut pas être déchiffré par cette même clé mais peut être déchiffré par l’autre clé de la paire
Copyright Cryptographie La clé privée doit être conservée par son propriétaire Rien n’impose de la dévoiler à qui que ce soit La clé publique est diffusée sans restriction idéalement avec un niveau de diffusion comparable à l’annuaire téléphonique Aucun moyen pratique de déduire l’une des clés de la connaissance de l’autre clé
Copyright Cryptographie : Avantages Message chiffré avec la clé publique seul le propriétaire de la clé privée correspondante peut en prendre connaissance : confidentialité le receveur n’a aucune idée de l’expéditeur puisque la clé publique est accessible à tous
Copyright Cryptographie : Avantages Message chiffré avec la clé privée altération frauduleuse impossible car nécessite la connaissance de la clé privée : intégrité pas de confidentialité : la clé publique peut être utilisée par tous pour lire la clé privée dévoile l’identité de l’expéditeur propriétaire de la clé privée
Copyright Cryptographie : Inconvénients Algorithmes complexes et difficiles à implémenter Peu performant : long et gourmand en CPU 1000 plus lents que les algorithmes à clés symétriques Moins sûrs contre les attaques de « force brute » nécessite des clés plus longues que les algorithmes symétriques
Copyright Cryptographie: le Hashage Calcule un « condensé significatif » de taille fixe, quelque soit la taille d’origine irréversible : transformation inverse impossible déterministe : le même message produit le même résumé effets imprévisibles L’intégrité du résumé significatif est une garantie de l’intégrité du document d’origine c’est une « empreinte digitale » du document
Copyright Signature Electronique Propriétés : Ne peut être créée indépendamment Sa validité peut être vérifiée par tous la clé publique est accessible librement les algorithmes utilisés sont connus Elle révèle toute altération, frauduleuse ou accidentelle Falsification en principe impossible non-répudiation
Copyright PKI (Public Key Infrastructure) Ensemble des solutions techniques basées sur la cryptographie à clé publique Canal sécurisé inutile tiers de confiance CA Signe clé publique Assure véracité des informations
Copyright PKI Confiance directe Modèle simple de confiance, l’utilisateur a confiance dans la validité de la clé car il sait d’où elle vient. Confiance hiérarchique ou “arbre” de confiance Le certificat est vérifié jusqu’à ce que le certificat de type root soit trouvé. Confiance décentralisée ou en réseau Cumule des deux modèles.
Copyright Complète les techniques de cryptographie par : Les contrôles d’accès réseau (machines, serveurs) sur les paramètres utilisés pour l’établissement des communications : adresses et ports, sens de la connexion FIREWALL Solutions et Dispositifs de Sécurisation : Sécurité Architecturale
Copyright Solutions et Dispositifs de Sécurisation : Sécurité Architecturale Des contrôles plus fins (et plus lourds) au niveau du flot de données émis ou reçu par une application serveur PROXY entre des clients et une application : exemple WEB proxy entre les browsers et le serveur WEB SAS applicatifs spécialisés pour certaines applications : serveurs FTP ou Telnet (proxy FTP, proxy Telnet)
Copyright Principaux standards : S/MIME (Secured Multipurpose Internet Mail Extensions) chiffrement et signature digitale (authentification et confidentialité) des messages électroniques et documents attachés au format MIME extension du standard d’interopérabilité MIME Solutions et dispositifs de sécurisation : Sécurité off-line
Copyright Solutions et dispositifs de sécurisation : Sécurité off-line PGP (Pretty Good Privacy) système de cryptographie hybride (clés symétriques et asymétriques) les données sont compressées puis chiffrées pour économiser l’espace disque. chaque utilisateur est sa propre autorité de certification XML (eXtensible Markup Language) Signature XML Encryption SecurBdF (Banque de France)
Copyright Protections assurées attaque passive attaque active usurpation (émetteur) répudiation (émetteur) protection de bout en bout Protections non assurées usurpation (récepteur) intrusion répudiation (récepteur) Solutions et dispositifs de sécurisation : Sécurité off-line
Copyright Principaux protocoles : SSL/TLS (Secured Socket Layer/ Transport Layer Security) SSH (Secured SHell) Protections assurées attaque passive attaque active usurpation Intrusion Protections non assurées répudiation protection de bout en bout Solutions et dispositifs de sécurisation : Sécurité de transport
La Sécurité des Systèmes d’Information P olitique de S écurité des S ystèmes d’ I nformation (PSSI)
Copyright Définition Ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information de l’organisme.
Copyright Principales étapes Audit Elaboration des règles Surveillance Actions
Copyright Audit Identifier / Classer les risques et leurs menaces: Quels sont les risques ? Quelle en est la probabilité ? Quels sont leurs impacts ? Identifier les besoins : État des lieux du SI
Copyright Les risques Répertoriés les risques encourus Estimer leur probabilité: Faible: menace peu de chance de se produire Moyenne: la menace est réelle Haute: la menace a de très grande chance de se produire Etudier leur impact (coût des dommages)
Copyright Elaboration de règles Règles et procédures pour répondre aux risques Allouer les moyens nécessaires
Copyright Surveillance Détecter les vulnérabilités du SI Se tenir informé des failles Etre réactifs …
Copyright Les Cibles des Failles de la Sécurité R&D Services financiers Marketing Réseaux de vente (! Distributeurs et clients trop bavards) Le service achat Le Personnel: sensibiliser l’ensemble du personnel, attention aux licenciés, mécontents …
Copyright Actions Définir les actions à entreprendre Et les personnes à contacter en cas de menace
Copyright Actions Simples à mettre en œuvre et pourtant pas toujours existantes ! Entrées et sorties contrôlées Surveiller et piéger les BD dans entreprise Méfiance au téléphone …
Copyright Acteurs & Rôles Pourquoi ? Quoi Qui ? Quand ? Comment ? Direction Générale Responsable SSI Responsable Fonctionnel Responsable Projet CHARTES REGLES GENERALES PROCESSUS & CONTROLES PROCEDURES OPTIONNELLES
Copyright Thèmes Classification et contrôle du patrimoine matériel et immatériel Rôle des personnes Protection des locaux et équipements Contrôle des accès et gestion des habilitations Gestion des communications et des opérations Développement et maintenance des systèmes d’information Continuité des activités Obligations légales
Copyright Réussite PSSI Etre simple et réaliste pour que tout le monde la comprenne et puisse la respecter Faire vivre
Copyright Stratégie PSSI doit faire partie intégrante de la stratégie de la société : défaut de sécurité coûte cher ! Inclure une notion générale de la sécurité reposant sur 4 points: Protection des applicatifs aux métiers du SI qualifiés de sensible Diminution des vulnérabilités Sécurité proprement dite du SI Continuité en cas de sinistre
Copyright Normes et Méthodes Normes = bonnes pratiques Méthodes = évaluation globale du SI en terme de: Risques Protection
Copyright Normes ISO : Approche processus (PDCA) 133 mesures base dans l’élaboration du plan ISO : découpage par thèmes
Copyright Méthodes Démarche structurée Obtenir une partie des éléments stratégiques
Copyright Méthodes Cobit: Control Objectives for Business and related Techonology Ebios: Expression des besoins et identification et des objectifs de sécurité Marion Mehari: Méthode harmonisée d’analyse des risques
Copyright Ebios Etude du contexte: éléments essentiels (ensemble d’entités de différents types) Expression des besoins: critères de sécurité impact Etude des menaces: type/cause Expression des objectifs de sécurité Détermination des exigences de sécurité
Copyright ISMS (Information Security Management System) Application au domaine de la sécurité informatique de la roue de Deming Planifier Faire Vérifier(Ré)Agir
Copyright ISMS (Information Security Management System) Planifier: passer d’une posture réactive à proactive Faire: développer des processus en suivant un référentiel de sécurité Contrôler: audits et tests d’intrusion Agir: analyse des risques des besoins et enjeux
Copyright Cadre juridique Loi Sarbannes-Oxley Loi des libertés personnelles