1 12 Niveaux de sécurité Atelier e-Sécurité – juin 2006

Le développement de la confiance numérique se promeut en adressant des réformes dans une variété de domaines que le peu grouper comme suit: I.Cadre légal et exécution des lois. II.Suivi externe des pratiques et usages de la e-sécurité III.Coopération entre le secteur privé et publique IV.Suivi interne: mise en place de la sécurité dans les organisations Les 4 piliers de la sécurité

Mise en place de la sécurité dans les organisations 12 niveaux de sécurité Fait partie dune approche coordonnée de la gestion des risques opérationnelles Principes de base de la sécurité –des attaques et pertes sont inévitables –un réseau est aussi sécurisé que sont maillon le plus faible

12 niveaux pour plus de sécurité 1. Gestion des Risques 2. Cyber-Intelligence 3. Contrôle dAccess / Authentification 4. Firewalls 5. Filtre actif de contenu 6. Système de détection dIntrusion (IDS) 7. Scanners de Virus 8. Cryptographie 9. Administration adéquate des systèmes 10. Test de Vulnérabilité 11. Logiciel de gestion des référentiels dutilisations 12. Continuité des opérations/Plan daction lors dincident

1. Gestion des risques Phase I: Référentiel des ressources et des niveaux de risques Phase II: Identification des vulnérabilité de linfrastructure et des interdépendances des risques Phase III: Préparation dun plan de continuité

2. Cyber-intelligence Mise en place dune unité danalystes expérimenté dont lobjectif est de collecter et danalyser des informations de sources variées concernant les menaces, vulnérabilités, incidents et mesures de préventions, puis de fournir des rapports spécifiques visant à se prévenir dun incident avant quil ne se produise.

3. Contrôle dAccess / Authentification Les organisations peuvent utiliser une variété de solutions de contrôle daccès et dauthentification des utilisateurs. Généralement, trois principes éléments peuvent appliqués: –Un élément que lutilisateurs connaît (mot de passe, PIN) –Un élément que lutilisateur possède (smart card, clé/token, carte ATM) –Un élément que lutilisateur est (caractéristique biometric, tel que empreinte digitale ou rétinienne)

4. Firewalls Le rapport coût-bénéfice dun firewall dépend notamment de 4 facteurs: –Le type de connectivité –Le niveau de bande passante –Le nombre de passerelles (gateways) –les compétences de ladministrateur système

5. Filtre actif de contenu But: éviter les contenus pouvant contenir des virus, cheval de Troie, ver ou autre par la mise en place dune charte et des procédures décrivant une utilisation appropriée du réseau Au niveau dun browser, le filtre actif de contenu peut être utiliser pour empêcher laccès à certains sites « dangereux » ou non autorisé par la charte Au niveau des courriels, des un filtre actifs peut empêcher des messages contenant des virus ou autres, ou des contenus inappropriés au vu de la charte.

6. Système de détection dIntrusion (SDI) Une intrusion est un comportement suspicieux qui peut indiquer une activité malicieuse de quelquun cherchant à pénétrer illégalement sur un système, ou daccéder à des données auxquels il/elle net pas autorisé. Un système de détection dintrusion soit être suivi 24h sur 24h. afin de pleinement bénéficier de ses services. De plus, un DSI doit être installé à lintérieur du firewall et doit surveiller uniquement le trafic opérant à lintérieur du périmètre du firewall.

7. Scanners de Virus Les vers, cheval de Troie, Virus sont tous des véhicules pour déployer une attaque sur un système. Les scanners de virus sont aujourdhui indispensables afin de contrer les risques liés à ces attaques. La définition des virus soit mis à jour très régulièrement.

8. Cryptographie La cryptographie est utilisée pour protéger des messages en transit ou stockés sur un support de données. Les différentes méthodes associées à la cryptographies incluent six types de base de : –Symmetric (secret) Key Encryption. –Asymmetric (public/private) Key Encryption. –One Way Hash Functions. –Message Authentication Codes. –Digital Signatures. –Random Number Generators. En utilisant la méthode appropriée, la cryptographie se révèle être une protection efficace.

9. Administration adéquate des systèmes La mise en place et la gestion de la sécurité repose sur les politiques et procédures, la technologie, et les compétences humaines. Ladministrateur a un rôle prépondérant afin de non seulement mettre en place un niveau de sécurité adéquat, mais de maintenir et gérer un niveau de sécurité acceptable. De fait, les administrateurs de la sécurité doivent se sentir responsabilisé par rapport à ces tâches critiques et faire respecter la politique de sécurité qui doit faire lobjet dune revue régulière.

10. Test de Vulnérabilité Implique la connaissance préalable de certaines faiblesses dun systèmes dinformation ou dun réseau afin dessayer de gagner accès aux ressources en évitant les protection dauthentification normales. Le test permet de vérifier si la politique et les mesures de sécurité sont mise en places et sont efficaces afin de pour protéger les ressources de lorganisation). Une organisation pourra vérifier si: –son firewall et son système de détection dintrusion – les procédures mises en place permettent aux administrateurs de détecter et dagir adéquatement à une intrusion –Davantage de formation est nécessaire, et qui doit compléter ses connaissances

11. Logiciel de gestion des référentiels Les référentiels de sécurité gouvernent les accès interne et externe au réseau pour chaque technologie. Ces référentiels de sécurité doivent être mise à jour régulièrement afin dévoluer avec les développements du réseau ou autres nouveautés technologiques. Pour ce faire, une organisation doit être en mesure de répondre au questions suivantes: –Qui est responsable de la mise à de ces référentiels? –Est-ce que les connaissances de ces personnes sont à niveaux avec les nouveaux développements? –Participent-ils/elles à des formations, ateliers sur la sécurité? –Quels sont les mécanismes pour mettre à jour ces référentiels? Considérant que ladoption dune bonne sécurité est une combinaison de différent éléments y compris humain, une politique de sécurité et sa mise en œuvre se doit dêtre dynamique. Certains logiciels peuvent être utilisées afin d gérer ces règles dutilisation, et prévenir un utilisation abusive des systèmes et ressources concernées.

12. Continuité des opérations Une organisation a besoin dêtre en mesure de réagir et de se rétablir promptement après incident de sécurité. De fait, les mesures suivantes sont généralement attendues: –Plan de continuité des opérations (technique et organisationnel) –Mécanismes pour la collecte, le partage et la résolution des incidents de sécurité –Mécanismes afin de corriger les faiblesses enregistrées Afin de sassurer du succès de la mission de léquipe chargé de la réponse aux incidents, la Direction est concernée en premier et a la responsabilité de fournir: –Le leadership –Les outils –Le personnel –Les ressources financières