Mars 2017 Politique de Sécurité Ionis-STM - David MARKOWICZ

Plan du Cours Introduction Définition d’une politique de sécurité Mise en œuvre d’une politique de sécurité Validation d’une politique de sécurité Gestion de la continuité d’activité Ionis-STM - David MARKOWICZ Mars 2017

Mars 2017 Introduction Ionis-STM - David MARKOWICZ

Introduction Système d’information (définition) Le système d’information comprend les matériels informatiques et les équipements périphériques, les logiciels et microprogrammes, les algorithmes et spécifications internes aux programmes, la documentation, les moyens de transmission, les procédures, les données et les informations qui sont collectées, gardées, traitées, recherchées ou transmises par ces moyens ainsi que les ressources humaines qui les mettent en œuvre. Ionis-STM - David MARKOWICZ Mars 2017

Introduction Sécurité : protection contre les accidents protection physique qualité de l’environnement Fiabilité des systèmes, pannes, tolérance de pannes Systèmes de secours, sauvegardes, maintenance Qualité de base des logiciels Confidentialité, intégrité, disponibilité intrusion réseau virus, piratage, · · · Ionis-STM - David MARKOWICZ Mars 2017

Introduction L’information numérique est vulnérable peut être détruite, amputée, falsifiée, modifiée pas d’original, ni de copies mais des clones où la reproduction est à l’identique L’information numérique est volatile peut être ajustée, personnalisée un document générique peut être particularisé pour un destinataire spécifique un logiciel général peut être ajusté selon le contexte ou ciblé selon un usage spécifique Ionis-STM - David MARKOWICZ Mars 2017

Sécurité des SSI : concepts clés Introduction Sécurité des SSI : concepts clés Ionis-STM - David MARKOWICZ Mars 2017

Introduction Ionis-STM - David MARKOWICZ Mars 2017

les enjeux de la sécurité des SSI Introduction les enjeux de la sécurité des SSI Maîtriser le traitement, le stockage, le transport de l’information valoriser les contenus Multimédia, logiciel, propriétés intellectuelles, · · · libre circulation des contenus disséminer les œuvres, rétribuer les auteurs asseoir la confiance dans l’univers numérique e-commerce, e-business, e-gouvernement, · · · Sécuriser les personnes (libertés, protection de d’intimité) les entreprises et organisations (prévention des risques) Ionis-STM - David MARKOWICZ Mars 2017

Qui est concerné par la sécurité des SSI ? Introduction Sécurité : norme ISO 27002 (ex ISO 17799 :2005) : décrit les différents items à couvrir dans le domaine de la sécurité des SSI Qui est concerné par la sécurité des SSI ? les informaticiens les dirigeants les utilisateurs tous les membres du groupe concernés par le système d’information Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité Mars 2017 Définition d’une politique de sécurité Ionis-STM - David MARKOWICZ

Définition d’une politique de sécurité Il s’agit de l’ensemble de lois, de règles et de pratiques qui régissent la façon dont l’information sensible et les autres ressources sont : Gérées Protégées Distribuées Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité Que protéger ? => Liste des biens à protéger De quoi les protéger ? => Liste des menaces Quels sont les risques ? => Liste des impacts et probabilités Comment protéger l’entreprise ? => Liste des contre-mesures Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité objectifs d’une politique de sécurité: Protéger le SI contre les menaces identifiées par l’analyse de risques plus précisément définir : les objectifs de sécurité décrivant les propriétés de : confidentialité Intégrité disponibilité l’état du système où ces propriétés sont vérifiées des règles de sécurité décrivant les moyens de modifier l’état de sécurité du système Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité les politiques de sécurité sont classées en 3 catégories : les politiques de sécurité internes les politiques de sécurité techniques les politiques de sécurité système Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité les politiques de sécurités internes aspects organisationnels Procédures sur la : Répartition des tâches et les responsabilités entre utilisateurs limitation du cumul de pouvoir Séparation de pouvoir dans une organisation Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité les politiques de sécurité techniques aspects matériels et logiciels procédures sur : le vol les catastrophes naturelles le feu, ··· Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité les politiques de sécurité système Spécifient l’ensemble des lois, des règlements et pratiques qui régissent la façon de : Gérer protéger diffuser les informations et les autres ressources sensibles au sein du SI Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité les politiques de sécurité système s’appuie sur politique d’identification : identifier de manière unique chaque utilisateur politique d’authentification : permet à l’utilisateur de prouver son identité politique d’autorisation : détermine les opérations légitimes qu’un utilisateur peut réaliser Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité Une politique de sécurité doit être bien définie cohérente complète Une politique de sécurité doit être mise en application : sensibilisation Simplicité (définition et implantation) Ionis-STM - David MARKOWICZ Mars 2017

Définition d’une politique de sécurité Une politique de sécurité doit être un document de référence adopté par tous. Différentes méthodes : MEHARI (Méthodologie Harmonisée d’Analyse de Risques) https://clusif.fr/mehari/ EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et- identification-des-objectifs-de-securite/ Ionis-STM - David MARKOWICZ Mars 2017

Mise en œuvre d’une politique de sécurité Mars 2017 Mise en œuvre d’une politique de sécurité Ionis-STM - David MARKOWICZ

Mise en œuvre d’une politique de sécurité choix des mécanismes les plus simples possibles permettant de protéger les ressources, de manière la plus efficace avec un coût acceptable Système d’authentification (biométrie, serveur d’authentification , · · · ) chiffrement (PKI, mécanismes intégrées à des protocoles de communication (IPsec), · · · ) pare feux (firewall) Système anti-virus outil de détection de failles de sécurité Système de détection d’intrusions système d’exploitation sécurisé ··· Ionis-STM - David MARKOWICZ Mars 2017

Mise en œuvre d’une politique de sécurité validation d’une politique de sécurité audit de sécurité par un tiers de confiance valide les moyens de protection mis en œuvre par rapport a` la politique de sécurité Vérifie que chaque règle de sécurité est correctement appliquée l’ensemble des dispositions forme un tout cohérent et sûr Ionis-STM - David MARKOWICZ Mars 2017

Validation d’une politique de sécurité Mars 2017 Validation d’une politique de sécurité Ionis-STM - David MARKOWICZ

Validation d’une politique de sécurité test d’une politique de sécurité test d’intrusion : éprouver les moyens de protection d’un SI en essayant de s’introduire dans le système en situation réelle deux méthodes : black box s’introduire dans le système sans aucune connaissance préalable de celui-ci (situation réelle) white box s’introduire dans le système en ayant connaissance de l’ensemble du système (éprouver au maximum le système) Ionis-STM - David MARKOWICZ Mars 2017

Validation d’une politique de sécurité test d’une politique de sécurité se fait avec l’accord de la hiérarchie le propriétaire du système doit donner une autorisation Dégâts possibles sur le système permet de sensibiliser le personnel ne permet pas de garantir la sécurité du système Ionis-STM - David MARKOWICZ Mars 2017

Validation d’une politique de sécurité gestion des incidents que faire après une attaque ? obtention de l’adresse du pirate et riposte ? extinction de l’alimentation de la machine ? Débranchement de la machine du réseau ? Réinstallation du système ? plan de continuité de l’activité Ionis-STM - David MARKOWICZ Mars 2017

Gestion de la continuité d’activité Mars 2017 Gestion de la continuité d’activité Ionis-STM - David MARKOWICZ

Gestion de la continuité d’activité Définition des responsabilités (à l’avance) constitution de preuves sur l’attaque ( en cas d’enquête judiciaire) datation de l’intrusion (degré de compromission de la machine) confinement de la compromission (éviter la propagation) sauvegarde (comparaison des données du système avec la sauvegarde) mise en place d’un plan de repli (continuité de service) plan de continuité de l’activité Ionis-STM - David MARKOWICZ Mars 2017

Gestion de la continuité d’activité politique de sauvegarde Définition des parties du SI à sauvegarder Disponibilité des sauvegardes politique des supports de sauvegarde organisation des sauvegardes réplication sur un site distant Ionis-STM - David MARKOWICZ Mars 2017