Principes de sécurité Ref. : SP800-27 rev A Qui suis-je ? Principes de sécurité Ref. : SP800-27 rev A Aujourd’hui Principes & lessons Mot de passe Gestion des sessions Semaine d’évaluation Votre devoir ? 17 principes couverts Non couvert par les questions: 11-13-16-17-19-20-22 24 à 32
Qui suis-je ? Il est important d’avoir une bonne compréhension des nouvelles menaces, d’effectuer une veille technologique et des audits. Principe 18 : Fournir l’assurance qu’un système continue de résister aux attaques connues et répertoriées. Effectuer une veille technologique et des audits.
Qui suis-je ? La plupart des organisations dépendent de manière significative sur les systèmes d'information distribués. Ces systèmes distribuent de l'information à la fois dans leur propre organisation et à d'autres organisations . Pour que la sécurité soit efficace dans de tels environnements , les concepteurs de programmes de sécurité devraient … ? Principe 12 : Si possible, utiliser des normes et standards de sécurité afin de faciliter la portabilité et l’interopérabilité. Par exemple, ne jamais développer sa solution cryptographique. compatibilité entre application (p.ex certificat (s-mine) entre fournisseurs différent. SIEM pour récupération syslog, etc.)
Qui suis-je ? Je permets de : Maintenir la responsabilité et la traçabilité d'un utilisateur ou d'un processus. Attribuer des droits spécifiques à un utilisateur ou un processus individuel. Prévoir la non-répudiation. Appliquer les décisions de contrôle d'accès. Empêcher les utilisateurs non autorisés de passer pour un utilisateur autorisé. Principe 33 : Utiliser des identifiants uniques pour permettre la traçabilité.
Qui suis-je ? Je permets d’aller chercher le support de l’organisation pour mettre en place une sécurité de l’information. Je définis également les objectifs de sécurité ainsi que les rôles et responsabilités de la sécurité de l’information au sein de l’organisation. Principe 1 : Politique de sécurité Définir l’ensemble des politiques de sécurité sur lequel devra reposer la sécurité. Définir les objectifs en fonction de la confidentialité, de l’intégrité et de la disponibilité des actifs, en fonction de l’imputabilité des actions et du niveau d’assurance désiré.
Qui suis-je ? L’élimination de tous les risques n’est pas nécessairement rentable. Une analyse coûts-avantages devrait être effectuée pour chaque contrôle proposé. Dans certains cas, les avantages d'un système plus sécurisé ne peuvent pas justifier les coûts directs et indirects. Les avantages comprennent plus que la prévention de la perte monétaire; par exemple, les contrôles peuvent être essentiels pour maintenir la confiance du public. Il peut également être nécessaire de modifier ou d'ajuster les objectifs de sécurité due à d'autres exigences opérationnelles. Principe 5 :Réduire le risque à un niveau acceptable. Réduire l’impact d’une vulnérabilité. Réduire la vraisemblance d’une attaque. Principe 7 : Identifier les compromis entre la réduction d’un risque et l’augmentation des coûts ou la perte d’efficacité.
Qui suis-je ? Sans ce principe, il est à la fois difficile et coûteux de mettre en œuvre des mesures de sécurité correctement et avec succès après qu’un système a été mis en production. Principe 2 : Intégrer la sécurité au cœur même de l’architecture globale. Intégrer la sécurité dans tout le cycle de vie du système.
Qui suis-je ? Un système qui communique avec d’autres tiers, que ce soit des systèmes ou des utilisateurs ne peut pas considérer que les contrôles de ces tiers sont de confiance. Principe 6 : Supposer que toute interaction avec un tiers soit risquée. Que ce soit un système externe ou interne. Un système interne peut éventuellement être compromis et représenter un risque.
Qui suis-je ? Parfois, les composants pris sur étagère, soit ceux fabriqués en série et non pour un projet en particulier ne permettent pas d’atteindre les objectifs de sécurité. Principe 10 : Développer au besoin des produits spécifiques. attention au One Size Fit All
Qui suis-je ? Les menaces sont en constantes évolutions. Un mécanisme de sécurité qui est efficace en 2011 ne l’ait pas forcément en 2016. Ce faisant, chaque mécanisme de sécurité devrait être en mesure de soutenir la migration vers une nouvelle technologie ou mise à jour de nouvelles fonctionnalités. Principe 14 : Concevoir un système pour qu’il puisse être mis à jour simplement. L’absence de toute réévaluation d’un système peut mener à une fausse perception de sécurité et augmenter les risques sous-jacents. Les mécanismes de sécurité doivent être mis à jour au besoin sans nécessiter une nouvelle architecture.
Qui suis-je ? Une politique de sécurité de l’information régit un ensemble spécifique d'informations et de technologies de l'information qui peuvent traverser les frontières physiques définies dans des politiques de sécurité physique. De plus, il peut arriver qu’une seule machine ou serveur puisse accueillir à la fois des accès publics et de l'information sensibles. Principe 3 : Clairement déterminer les limites physiques et logicielles du périmètre de sécurité devant être régi par l’ensemble des politiques de sécurité.
Qui suis-je ? Un système d’information peut traiter, stocker et communiquer de l’information. Chacune de ses actions peut comprendre des vulnérabilités. Principe 9 : Protéger l’information en tout temps. Lors de son traitement, de son stockage ou de sa transmission.
Qui suis-je ? Une maintenance et une exploitation complexes d’un contrôle de sécurité , demande plus de formation, sont souvent moins efficaces et sont plus propices aux erreurs. Principe 15 : Chercher à simplifier l’utilisation d’un système. Plus il est difficile de maintenir et d’opérer un système, moins le système est efficace.
Qui suis-je ? Permet le maintien du fonctionnement d'une organisation en cas de catastrophe ou d'interruption de service prolongée qui affecte la mission de l'organisation. Principe 23 : Mettre en place des plans de continuité et de reprise pour s’assurer de la disponibilité d’un système.
Qui suis-je ? Identifier les interfaces externes du système d’information. Identifier les endroits où l’information entre et sort du système d’information. Identifier les ports, protocoles, les services qui sont requis pour le système d’information Etc. Principe 21: Déployer des mécanismes de sécurité à la frontière entre les systèmes. Déterminer les flots d’information. S’assurer de contrôler l’accès aux actifs critiques.
Qui suis-je ? Il est risqué de supposer que l’équipe de développeurs connaît les bonnes pratiques sécuritaires de développement et sait comment développer des logiciels sécurisés. Principe 4 : S’assurer que les concepteurs soient formés de façon adéquate pour traiter les problèmes de sécurité.
Qui suis-je ? Les besoins de sécurité des TI ne sont pas uniformes. Les concepteurs de systèmes et les professionnels de la sécurité devraient tenir compte des différents besoins. Ce faisant, la mise en œuvre des solutions d'assurance moins élevée avec des coûts moindres pour protéger les systèmes moins critiques et des solutions d'assurance plus élevés pour protéger les systèmes plus critiques. Principe 8 : Mettre en place des mesures de sécurité appropriées aux besoins d’affaire.