La Sécurité Des Systèmes d’Information Plan. Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas.

Slides:



Advertisements
Présentations similaires
La Sécurité Des Systèmes d’Information Plan. Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas.
Advertisements

Mise en place d’un système de détection d’intrusion Présenté par:  Elycheikh EL-MAALOUM  Zakaria ZEKHNINI  Mohammed RAZZOK Encadré par: : Mr. SEFRAOUI.
© Copyright Showeet.com Gestionnaire en Maintenance et Support Informatique (GMSI 38) Projet SAS.
Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
Les systèmes d'information 1- Une pratique quotidienne 2- Les données 3- Approche conceptuelle 4- Notion de serveur 5- Conception d'un système d'information.
Crypter vos communications : Open PGP : Pretty Good Privacy 14 Mai Ubuntu Natty install Party Michel Memeteau
Comment ça marche ? Les sciences pour répondre aux questions de notre société Santé Alimentation Énergie Habitat Sciences de l'Ingénieur.
Intégration de logiciels libres en entreprise Sommaire Présentation du groupe AlterWay2 Présentation de la société Argedis6 Présentation du projet Argedis8.
Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.
La Neutralité du Net - Net Neutrality -. Principe Fondamental Router sans tenir compte du contenu Ne pas privilégier une adresse Ne pas privilégier un.
Adopter le KM mix pour obtenir ou renforcer le leadership Préparé par: Ilham ELKORCHI Meriem NASIRI Mohammed BENMRAH Encadré par: Ouidad AMRANI.
Projet de formation en conduite de changement Laurent GIROD-ROUX / mars 2016.
LES TECHNIQUE DE CRYPTOGRAPHIE
Arnaud David Juriste Senior - Microsoft
Haute École Roi Baudouin CATÉGORIE ÉCONOMIQUE INFORMATIQUE DE GESTION
Mise en place d’un système de partage de fichiers
Equipe pédagogique: Comptabilité générale
Introduction aux Systèmes de Gestion de Bases de données
Les P G I Les Progiciels de Gestion Intégrés
Content Management System
Introduction à la cryptographie
Messagerie sécurisée Docteur Christophe BEZANSON (Unaformec)
Réf. CS&S/ISE/DFC/TES,xxxx/-/02
BILAN D’ACTIVITES SEMESTRIEL 2014
Chantier industriel Encaisseuse semi-automatique de chez CERMEX
Vers une nouvelle gouvernance de la donnée personnelle
Chiffrement de bout en bout
Sécurité Web Protocole HTTPS.
Centralisation de logs
2ème partie – mise en oeuvre
Maîtriser la qualité en conception
Amélioration de la qualité des forfaits
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
le plan de continuité d’activité ( le pca )
Green IT & Cloud L’empreinte écologique de vos actions numériques & règles juridiques. Désiré BRUCKMANN.
Les Pare-Feu.
Sécurité des réseaux (gestion et politique de sécurité) Présenté par : - Megherbi Aicha Ahlem 1.
Et la vie lycéenne Vous présentent.
Le système d’information dans l’organisation
P.Baracchini, La norme international OHSAS et la directive MSST Gérer la santé et la sécurité au travail.
Vuibert Systèmes d’information et management des organisations 6 e édition R. Reix – B. Fallery – M. Kalika – F. Rowe Chapitre 1 : La notion de système.
Le projet de loi relative au commerce électronique:
CYFORPRO Cyber Formation & Protection
GOUVERNANCE DES SYSTEMES D’INFORMATION IS governance.
1 IPSec : IP Security Protocole fournissant un mécanisme de sécurisation au niveau IP. RFC 2401 concernant IPSEC RFC 2402 concernant le mode AH (authentification)
Introduction en systèmes d’information et bases de données B.Shishedjiev -Introduction en BD 1.
INDICATEURS ET TABLEAUX DE BORD EN MAINTENANCE. Définitions Indicateur : chiffre significatif d’une situation économique pour une période donnée. Tableau.
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Amélioration de la qualité des forfaits Vers la démarche CMM.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
Directrice de la Conformité
LE RÉFÉRENTIEL LES 4 BLOCS DE COMPÉTENCES
Sécurité des réseaux ad hoc
La sécurité et le rôle du chef d’établissement
Mise en place d’une gestion de type ERP
La gestion des habilitations par le partenaire
Exposé de système / réseaux IR3
Bilan de projet pour [Nom du projet]
Nicolas BRESSAND SIT MAZAGAN 11/05/2016
PLATE FORME DE GESTION ÉLECTRONIQUE DE DOCUMENTS Présenté par: Amine LARIBI.
La collecte d’informations Présenté par: Boudries. S.
Qu'est-ce que l'audit de TI?
Module 1 : principes généraux I&L
La Sécurité Des Systèmes D’informations
ADMINISTRATION NUMERIQUE
Concepts et étapes Ateliers de formation à la mise en œuvre
Découpage du système d’information Présenté Par Monsieur Nzukam Nguiffo Guillaume Ingénieur statisticien.
Dridi Lobna 1 Couche Réseau II Réseau : Gestion de l’accès.
INFRASTRUCTURE À CLÉS PUBLIQUES || PUBLIC KEY INFRASTRUCTURE. | HISSEIN BANAYE HASSAN
1 Système de Management Intégré Professeur : Préparé par : Mme. El AOUFIR KHOUAKHI Daoud Mme. El AOUFIR KHOUAKHI Daoud MEGDOUBI Zouhair MEGDOUBI Zouhair.
Transcription de la présentation:

La Sécurité Des Systèmes d’Information Plan

Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas Pratiques

La Sécurité Des Systèmes d’Information Introduction

Copyright Définition Sécurité des SI= Protéger les biens et informations les plus précieuses pour l’entreprise

Copyright La Sécurité des SI Critères d’évaluation: Disponibilité Intégrité Confidentialité Traçabilité

Copyright Introduction Les risques Les objectifs Définition

Copyright Les Risques Mesurés par la combinaison d’une menace et des pertes qu’elles pourraient engendrées Plusieurs éléments: Méthode d’attaque Éléments menaçants Vulnérabilités des entités

Copyright Les Risques Attaque passive Attaque active Usurpation Répudiation Intrusion

Copyright Les Objectifs Protéger les données stockées ou en transit sur le réseau contre : modification (destruction) non autorisée utilisation frauduleuse divulgation non autorisée Sécuriser l’accès aux systèmes, services et données par : vérification de l’identité déclinée par le requérant gestion des droits d’accès et des autorisations

Sécurité des Systèmes d’Information Concepts et Technologies

Copyright Cryptographie Ensemble des techniques permettant de crypter / décrypter des messages Crypter : brouiller l’information, la rendre “incompréhensible” Décrypter : rendre le message compréhensible Emetteur Destinataire Message clair #¨^%!! §§ $ Message clair encryption décryption

Copyright Cryptographie: Clé Symétrique Même clé pour chiffrer et déchiffrer Avantages : facile à implémenter rapide

Copyright Cryptographie: Clé Asymétrique Chaque communicant possède une paire de clés associées : clé publique Kpb et clé privée Kpv Un message chiffré par l’une des clés ne peut pas être déchiffré par cette même clé mais peut être déchiffré par l’autre clé de la paire

Copyright Cryptographie La clé privée doit être conservée par son propriétaire Rien n’impose de la dévoiler à qui que ce soit La clé publique est diffusée sans restriction idéalement avec un niveau de diffusion comparable à l’annuaire téléphonique Aucun moyen pratique de déduire l’une des clés de la connaissance de l’autre clé

Copyright Cryptographie : Avantages Message chiffré avec la clé publique seul le propriétaire de la clé privée correspondante peut en prendre connaissance : confidentialité le receveur n’a aucune idée de l’expéditeur puisque la clé publique est accessible à tous

Copyright Cryptographie : Avantages Message chiffré avec la clé privée altération frauduleuse impossible car nécessite la connaissance de la clé privée : intégrité pas de confidentialité : la clé publique peut être utilisée par tous pour lire la clé privée dévoile l’identité de l’expéditeur propriétaire de la clé privée

Copyright Cryptographie : Inconvénients Algorithmes complexes et difficiles à implémenter Peu performant : long et gourmand en CPU  1000 plus lents que les algorithmes à clés symétriques Moins sûrs contre les attaques de « force brute » nécessite des clés plus longues que les algorithmes symétriques

Copyright Cryptographie: le Hashage Calcule un « condensé significatif » de taille fixe, quelque soit la taille d’origine irréversible : transformation inverse impossible déterministe : le même message produit le même résumé effets imprévisibles L’intégrité du résumé significatif est une garantie de l’intégrité du document d’origine c’est une « empreinte digitale » du document

Copyright Signature Electronique Propriétés : Ne peut être créée indépendamment Sa validité peut être vérifiée par tous la clé publique est accessible librement les algorithmes utilisés sont connus Elle révèle toute altération, frauduleuse ou accidentelle Falsification en principe impossible non-répudiation

Copyright PKI (Public Key Infrastructure) Ensemble des solutions techniques basées sur la cryptographie à clé publique Canal sécurisé inutile  tiers de confiance CA Signe clé publique Assure véracité des informations

Copyright PKI Confiance directe Modèle simple de confiance, l’utilisateur a confiance dans la validité de la clé car il sait d’où elle vient. Confiance hiérarchique ou “arbre” de confiance Le certificat est vérifié jusqu’à ce que le certificat de type root soit trouvé. Confiance décentralisée ou en réseau Cumule des deux modèles.

Copyright Complète les techniques de cryptographie par : Les contrôles d’accès réseau (machines, serveurs) sur les paramètres utilisés pour l’établissement des communications : adresses et ports, sens de la connexion FIREWALL Solutions et Dispositifs de Sécurisation : Sécurité Architecturale

Copyright Solutions et Dispositifs de Sécurisation : Sécurité Architecturale Des contrôles plus fins (et plus lourds) au niveau du flot de données émis ou reçu par une application serveur PROXY entre des clients et une application : exemple WEB proxy entre les browsers et le serveur WEB SAS applicatifs spécialisés pour certaines applications : serveurs FTP ou Telnet (proxy FTP, proxy Telnet)

Copyright Principaux standards : S/MIME (Secured Multipurpose Internet Mail Extensions) chiffrement et signature digitale (authentification et confidentialité) des messages électroniques et documents attachés au format MIME extension du standard d’interopérabilité MIME Solutions et dispositifs de sécurisation : Sécurité off-line

Copyright Solutions et dispositifs de sécurisation : Sécurité off-line PGP (Pretty Good Privacy) système de cryptographie hybride (clés symétriques et asymétriques) les données sont compressées puis chiffrées pour économiser l’espace disque. chaque utilisateur est sa propre autorité de certification XML (eXtensible Markup Language) Signature XML Encryption SecurBdF (Banque de France)

Copyright Protections assurées attaque passive attaque active usurpation (émetteur) répudiation (émetteur) protection de bout en bout Protections non assurées usurpation (récepteur) intrusion répudiation (récepteur) Solutions et dispositifs de sécurisation : Sécurité off-line

Copyright Principaux protocoles : SSL/TLS (Secured Socket Layer/ Transport Layer Security) SSH (Secured SHell) Protections assurées attaque passive attaque active usurpation Intrusion Protections non assurées répudiation protection de bout en bout Solutions et dispositifs de sécurisation : Sécurité de transport

La Sécurité des Systèmes d’Information P olitique de S écurité des S ystèmes d’ I nformation (PSSI)

Copyright Définition Ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information de l’organisme.

Copyright Principales étapes Audit Elaboration des règles Surveillance Actions

Copyright Audit Identifier / Classer les risques et leurs menaces: Quels sont les risques ? Quelle en est la probabilité ? Quels sont leurs impacts ? Identifier les besoins : État des lieux du SI

Copyright Les risques Répertoriés les risques encourus Estimer leur probabilité: Faible: menace peu de chance de se produire Moyenne: la menace est réelle Haute: la menace a de très grande chance de se produire Etudier leur impact (coût des dommages)

Copyright Elaboration de règles Règles et procédures pour répondre aux risques Allouer les moyens nécessaires

Copyright Surveillance Détecter les vulnérabilités du SI Se tenir informé des failles Etre réactifs …

Copyright Les Cibles des Failles de la Sécurité R&D Services financiers Marketing Réseaux de vente (! Distributeurs et clients trop bavards) Le service achat Le Personnel: sensibiliser l’ensemble du personnel, attention aux licenciés, mécontents …

Copyright Actions Définir les actions à entreprendre Et les personnes à contacter en cas de menace

Copyright Actions Simples à mettre en œuvre et pourtant pas toujours existantes ! Entrées et sorties contrôlées Surveiller et piéger les BD dans entreprise Méfiance au téléphone …

Copyright Acteurs & Rôles Pourquoi ? Quoi Qui ? Quand ? Comment ? Direction Générale Responsable SSI Responsable Fonctionnel Responsable Projet CHARTES REGLES GENERALES PROCESSUS & CONTROLES PROCEDURES OPTIONNELLES

Copyright Thèmes Classification et contrôle du patrimoine matériel et immatériel Rôle des personnes Protection des locaux et équipements Contrôle des accès et gestion des habilitations Gestion des communications et des opérations Développement et maintenance des systèmes d’information Continuité des activités Obligations légales

Copyright Réussite PSSI Etre simple et réaliste pour que tout le monde la comprenne et puisse la respecter Faire vivre

Copyright Stratégie PSSI doit faire partie intégrante de la stratégie de la société : défaut de sécurité coûte cher ! Inclure une notion générale de la sécurité reposant sur 4 points: Protection des applicatifs aux métiers du SI qualifiés de sensible Diminution des vulnérabilités Sécurité proprement dite du SI Continuité en cas de sinistre

Copyright Normes et Méthodes Normes = bonnes pratiques Méthodes = évaluation globale du SI en terme de: Risques Protection

Copyright Normes ISO : Approche processus (PDCA) 133 mesures base dans l’élaboration du plan ISO : découpage par thèmes

Copyright Méthodes Démarche structurée Obtenir une partie des éléments stratégiques

Copyright Méthodes Cobit: Control Objectives for Business and related Techonology Ebios: Expression des besoins et identification et des objectifs de sécurité Marion Mehari: Méthode harmonisée d’analyse des risques

Copyright Ebios Etude du contexte: éléments essentiels (ensemble d’entités de différents types) Expression des besoins: critères de sécurité  impact Etude des menaces: type/cause Expression des objectifs de sécurité Détermination des exigences de sécurité

Copyright ISMS (Information Security Management System) Application au domaine de la sécurité informatique de la roue de Deming Planifier Faire Vérifier(Ré)Agir

Copyright ISMS (Information Security Management System) Planifier: passer d’une posture réactive à proactive Faire: développer des processus en suivant un référentiel de sécurité Contrôler: audits et tests d’intrusion Agir: analyse des risques des besoins et enjeux

Copyright Cadre juridique Loi Sarbannes-Oxley Loi des libertés personnelles