Institut Supérieur d'Informatique S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI La Sécurité et l’audit des Systèmes Intelligents MONCEF TEMANI Directeur I.S.I Laboratoire L I 3 Moncef.temani@fst.rnu.tn 25/03/2017 Institut Supérieur d'Informatique

LA SECURITE DES SYSTEMES INTELLIGENTS I- INTRODUCTION II- LES VIRUS EN INFORMATIQUE III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITE VI- LES METHODES D’ANALYSE V- CONCLUSION 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique I-INTRODUCTION 1 Les systèmes informatiques et les réseaux sont devenus, de nos jours: . une composante essentielle de tout système d'information. . avec le développement technique et l'ouverture de ces réseaux sur Internet ont permis d'accroître considérablement: - la capacité de traitement - la capacité de stockage -de transfert des données les systèmes d'information sont plus vulnérables : -aux accidents -maladresses - erreurs -malveillances internes et externes.   25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique I-INTRODUCTION 2 Les risques possibles peuvent être de deux types: Les risques physiques (incendies, dégâts des eaux, vols, sabotages humains dus aux accés non autorisés…) Donc une Solution de Sécurité Physique 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique I-INTRODUCTION Les risques logiques (virus, piratage, altération ou destruction de données,…). Donc une solution de Sécurité Logique. La gravité de ces risques réside essentiellement dans les pertes d’informations (parfois irréparables). D'où la nécessité de sécuriser les systèmes informatiques en mettant en œuvre des mesures de sécurité efficaces.   25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique I-INTRODUCTION 3 Ces mesures de sécurité doivent contenir : un ensemble de lois, règles mécanismes capables de gérer et protéger les ressources sensibles de l'entreprise, en tenant compte des aspects: .Organisationnels .Techniques .Physiques.   25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique I-INTRODUCTION 4 Mettre en œuvre ces mesures correspond à répondre aux questions suivantes : -   que doit-on protéger ? -  contre qui et contre quoi doit-on se protéger -  quels sont les moyens à mettre en œuvre pour se protéger, en tenant compte des contraintes budgétaires et organisationnelles?  - comment réagir en cas d'attaques ?   Le but de cet exposé est de présenter quelques aspects dynamiques et efficaces, permettant d'établir et de mettre en œuvre des mesures de sécurité adéquates. R 25/03/2017 Institut Supérieur d'Informatique

Solution de sécurité Physique IL s’agit de compléter le dispositif de sécurité existant par l’instauration des systèmes suivants: Détection et d’extinction d’incendie (salle machines) Détection et de contrôle d’accès automatique. Détection et d’évacuation d’eau à la salle d’ordinateur. R 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique VI- CONCLUSION La sécurité des systèmes intelligents est un processus continu, plutôt qu’un objectif à atteindre une seule fois . En fait, la sécurité doit évoluer dans le temps , en s’adaptant aux changements technologiques , aux nouvelles exigences du métier de l’entreprise , ainsi qu’aux changements quotidiens, tant financiers et humains que techniques. R 25/03/2017 Institut Supérieur d'Informatique

LA SECURITE DE SYSTEMES INTELLIGENTS I- INTRODUCTION II- LES VIRUS EN INFORMATIQUE III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITE VI- METHODES D’ANALYSE V- CONCLUSION 25/03/2017 Institut Supérieur d'Informatique

Les virus en Informatique Définitions Qu'est-ce qu'un virus ? Comment fonctionne un virus ? Comment se propage un virus ? Qu'est-ce qu'un anti-virus ? Détection d’un virus? Protection contre les virus? Exemple de virus R 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Definitions (virus) Qu'est-ce qu'un virus ? Un virus est un programme exécutable qui, par définition, se réplique et s'attache à d'autres éléments et ce de manière transparente à l'utilisateur. Un virus n'est pas autonome. Il a besoin d'un programme hôte qui en s'exécutant va permettre au virus de se répliquer et s'attacher à de nouveaux éléments. C'est ce qu'on appelle la propagation du virus. 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Définitions (suite) La plupart des virus informatiques -se contentent de se répliquer sans avoir d'effets visibles.* -certains ont en plus une activité particulière qui peut être nocive telle que: .l'affichage à l'écran d'un message .la destruction de fichiers spécifiques ou le formatage du disque. -Mais même les virus sans effet destructeur sont nuisibles : . occupent de l'espace disque .occupent de l'espace mémoire .peuvent ralentir la machine. R 25/03/2017 Institut Supérieur d'Informatique

Les virus en Informatique Définitions Qu'est-ce qu'un virus ? Comment fonctionne un virus ? Comment se propage un virus ? Exemples Qu'est-ce qu'un anti-virus ? Détection d’un virus? Protection contre les virus? Exemple de virus R 25/03/2017 Institut Supérieur d'Informatique

Comment fonctionne un virus Deux principaux types de virus existent et diffèrent par leur moyen de réplication : Les virus de fichiers s'attachent à un fichier, généralement exécutable. Cependant certains fichiers de données peuvent contenir du code, tels que des macros, qui peuvent eux-même véhiculer un virus. Les virus de boot attaquent le programme de démarrage qui se trouve sur le premier secteur du disque. Les virus de ce type s'exécutent donc à chaque démarrage de la machine. Les virus mixtes possèdent à la fois les propriétés des virus de fichiers et celles des virus de boot. R 25/03/2017 Institut Supérieur d'Informatique

Comment se propage un virus ? Un virus de fichier infecte d'autres fichiers quand le programme auquel il est attaché est exécuté. Il peut donc se propager à travers des fichiers copiés sur une disquette ou téléchargés à partir d’un réseau. Un virus de boot se loge dans un ordinateur quand ce dernier est démarré à partir d'une disquette infectée par un virus de boot. Contrairement au virus de fichier, ce type de virus ne peut pas se propager à travers un réseau. Un virus mixte se loge dans le secteur de démarrage du disque à partir d'un fichier infecté qui peut se trouver sur le disque même. Et inversement, le secteur de boot infecté par un virus peut lui même infecter des fichiers sur le disque. R 25/03/2017 Institut Supérieur d'Informatique

Qu'est-ce qu'un anti-virus ? Un anti-virus est un programme qui permet de : détecter la présence de virus supprimer les virus Certains anti-virus peuvent en plus prévenir l’infection. Les scanners de virus détectent la présence de virus: dans les fichiers dans le secteur de démarrage. dans la mémoire Un premier type de scanner utilise une base de données comportant les caractéristiques des virus qu'il détecte (il s'agit de chaînes de caractères particulières représentant des fragments de code du virus et appelées signatures). Ce type de scanner ne peut détecter que les virus qu'il connaît. 25/03/2017 Institut Supérieur d'Informatique

Qu'est-ce qu'un anti-virus ? (suite) Un premier type de scanner utilise une base de données comportant les caractéristiques des virus qu'il détecte .Ce type de scanner ne peut détecter que les virus qu'il connaît. Un second type de scanners, plus intelligent, essaye d'utiliser des heuristiques pour détecter des fragments de code correspondants à des actions anormales (le formatage du disque dur ,et détecte même les virus inconnus). 25/03/2017 Institut Supérieur d'Informatique

Qu'est-ce qu'un anti-virus ? (suite2) La suppression des virus : n'est pas toujours possible sans endommager les fichiers originaux. outre l'utilisation d'un anti-virus, il est nécessaire de sauvegarder régulièrement les fichiers importants. La prévention contre les virus se fait : en détectant les différents fichiers en interdisant la modification de fichiers exécutables qui peuvent servir de programmes hôtes pour les virus. R 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Détection d’un virus? Quels sont les symptômes d'infection par un virus ? Beaucoup de gens attribuent les actions de destruction (destruction de fichiers, formatage de disques durs, etc.) aux virus. (dégâts dus à d’autres causes comme les fausses manipulations de l'utilisateur). Certaines anomalies doivent susciter des doutes chez l'utilisateur, on peut citer notamment : un ralentissement des performances de l’ordinateur la modification de la taille des fichiers exécutables des erreurs d'exécution de programmes fichiers soient endommagés La meilleure solution pour détecter des virus avant qu'ils ne causent des dégâts est de scanner le disque dur régulièrement à l'aide d'un anti-virus mis à jour fréquemment. R   25/03/2017 Institut Supérieur d'Informatique

Protection contre les virus? Comment se protéger contre les virus ? La meilleure façon de se protéger contre les virus consiste à employer des moyens : l’utilisation régulière d’anti-virus l’archivage régulier des données importantes Le programme anti-virus doit être: mis à jour régulièrement. Utilisé à chaque installation de nouveaux prog. utilisé régulièrement, afin que le scanner détecte le plus tôt possible l'existence de virus utilisé le plus souvent lorsque l'on copie un fichier à partir d’une disquette ou à travers un réseau R 25/03/2017 Institut Supérieur d'Informatique

Exemple de virus (exemple1) Fiche d'identité : Kournikova Virus Nom : VBS/KALAMAR.A Mode d'infection : résident en mémoire Moyen de transmission : Email, se propage moyennant Microsoft Outlook Plate-forme: Windows 9x et Windows NT Détails : Le virus se propage à travers l'e-mail, il envoie une copie de lui-même à toutes les adresses qui figurent dans le carnet d'adresses de Microsoft Outlook. sujet : Here you have, ;o) contenu: Hi: Check This! pièce jointe : AnnaKournikova.jpg.vbs Antidotes : Mettez à jour vos antivirus et soyez vigilents 25/03/2017 Institut Supérieur d'Informatique

Exemple de virus (exemple2) Fiche d'identité : TROJ_NAVIDAD.A Nom : TROJ_NAVIDAD.A Dégâts causés : affiche des messages, empêche un bon fonctionnement du PC Mode d'infection : résident en mémoire Moyen de transmission : Email, se propage moyennant Microsoft Outlook Plate-forme: Windows 9x et Windows NT Détails: Depuis quelques jours, on note la propagation rapide de TROJ_NAVIDAD.A qui est un virus de type ver qui se propage par courrier électronique en se servant de Microsoft Outlook. Le virus utilise un message existant et s'y attache avec le nom de fichier NAVIDAD.EXE . En même temps qu'il s'exécute, il rend l'ordinateur inutilisable. Antidotes: Vous pouvez utiliser l'utilitaire fix_navidad2.zip pour restaurer l'état initial de la machine infectée R 25/03/2017 Institut Supérieur d'Informatique

LA SECURITE DES SYSTEMES INTELLIGENTS FIN DE L’EXPOSE _--------- MERCI 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITE La démarche proposée se base sur l'analyse des risques encourus par l'entreprise, elle se compose des étapes suivantes : -  Phase préparatoire - Analyse des ressources critiques de l’entreprise - Analyse des risques encourus   -Elaboration d'un Plan de sécurité - Exécution du plan de sécurité                     - Contrôle et suivi 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITE -  Phase préparatoire vise essentiellement: à sensibiliser les décideurs aux différents aspects de la sécurité et à les inciter à désigner un responsable de la sécurité au sein de l'entreprise et à mettre en place un comité pour mener l'analyse. Donc :La phase de préparation de l’établissement du plan de sécurité                  25/03/2017 Institut Supérieur d'Informatique

III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITE - Analyse des ressources critiques de l'entreprise permet : de découvrir et d'évaluer la gravité des risques encourus par l'entreprise. déterminer les ressources critiques (à protéger) (données,applications,ordinateurs,réseaux,bâtiments) Exemple: pas de conséquences graves valeur=0(res non critique) Conséquences peu graves valeur=1(ressource peu c) 25/03/2017 Institut Supérieur d'Informatique

III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITE -Analyse des risques encourus consiste à: définir les scénarios de risques qui: menacent les ressources de l’entreprise lui causent des pertes d’informations effectuer une évaluation quantitatives des scénarios de risques déjà recensés. Indiquer le niveau de tolérance au risque (décision interne) 25/03/2017 Institut Supérieur d'Informatique

III- DEMARCHE A SUIVRE POUR Suite L’ELABORATION D’UN PLAN DE SECURITE -Elaboration d'un Plan de sécurité permet à l'entreprise: d'établir les mesures de sécurité qui répondent à ses besoins et de planifier leur mise en œuvre. - Exécution du plan de sécurité d'exécuter d'une manière optimale les mesures de sécurité établies au niveau du plan de sécurité.  - Contrôle et suivi : permet : de contrôler l'efficacité des mesures de sécurité mises en œuvre (Tableau de bord de la sécurité) de les améliorer en tenant compte de l'évolution technologique. R 25/03/2017 Institut Supérieur d'Informatique

VI- METHODES D’ANALYSE I- Méthode d’analyse de risques: MARION Conçue 1983-1984, par des assureurs (évaluation des risques des lients avnt contrat d’assurance.) Basée sur des données statistiques (sur les assureeurs) Basée sur des scénarios de menaces. Mesure les risques en pertes financières Dominante disponibilté, s’applique à l’informatique de gestion 25/03/2017 Institut Supérieur d'Informatique

VI- METHODES D’ANALYSE suite II-Méthode d’analyse de risque : MELISA Conçue vers 1983-1984, par la défense, pour évaluer la vulnérabilité des systèmes d’informations Basée sur des données d’experts A dominante confidentialité et disponibilité R 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique 25/03/2017 Institut Supérieur d'Informatique

Politique de sécurité (2) S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة Politique de sécurité (2)

Institut Supérieur d'Informatique S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Sommaire Chapitre 1 Quel Audit? Chapitre 2 Selon quelle démarche et avec quels outils? Chapitre 3 Une stratégie d’audit de sécurité de l’entreprise Chapitre 4 Conclusion 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Chapitre 1: Quel Audit? I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Réglementation en Tunisie Définitions Enjeux et objectifs Risques Périmètre 25/03/2017 Institut Supérieur d'Informatique

Réglementation en Tunisie I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI La circulaire de monsieur le Premier Ministre N°51 du 30 Novembre 2001 portant sur l’obligation de l’audit de sécurité au moins une fois par an Création de « l’Agence Nationale de la Sécurité Informatique » Soumise à la tutelle du Ministère chargé des technologies de la communication Mission: contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics ou privés, notamment: Veiller à l’exécution des réglementations relatives à l’obligation de l’audit périodique de la sécurité du SI 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Définitions I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Audit Mission d’examen et de vérification de la conformité (aux règles) d’une opération, d’une activité particulière ou de la situation générale d’une entreprise Système d’information Ensemble des moyens matériels, logiciels et organisationnels qui permettent de recevoir, de stoker et de traiter l’information Donc un audit nécessite Un périmètre Un référentiel Une méthode Des moyens et compétences 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Enjeux et objectifs I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Pour maintenir son avantage compétitif de manière durable, l’entreprise doit: Assurer la disponibilité de ses outils, et particulièrement de son outil informatique Assurer l’intégrité de l’information stockée dans son système d’information Préserver la confidentialité de l’information La sécurité informatique se fixe l’objectif suivant: protéger les actifs informatiques de l’entreprise contre les risques <actifs=informations, applications, systèmes, ressources humaines> 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Risques I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Le Risque Le fait qu’un événement puisse empêcher de Maintenir une situation donnée et Maintenir un objectif dans des conditions fixées Satisfaire une finalité programmée 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Risques I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI 3 types de Risques Exposition naturelle Intention de l’agresseur Possibilité de sinistre 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Risques I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Divulgation des informations Accidents (incendie, dégâts des eaux,..) Malversations et fraudes Pannes Erreurs (utilisation, exploitation,..) Attaques (tendance actuelle) Particulièrement variables selon les environnements  25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Périmètre I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Le périmètre organisationnel et fonctionnel  Organisation de la sécurité La répartition des responsabilités La sensibilisation Contrôle  Politique et les guides de sécurité  Procédures de sécurité 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Périmètre I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI La sécurité physique Lutte anti-incendie, dégâts des eaux Contrôle des accès Sauvegarde et archivage des documents 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Périmètre I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI La sécurité des systèmes  Matériels (postes de travail et serveurs)  Logiciels de base  Lutte antivirale La sécurité des réseaux  Matériels (routeurs, concentrateurs,..)  Contrôle des accès logiques  Lignes de transmissions La sécurité des applications/bases de données 25/03/2017 Institut Supérieur d'Informatique

Chapitre 2:Selon quelle démarche et avec quels outils? I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Définitions La norme ISO17799/BS7799 Les méthodes Les méthodes globales Les méthodes propriétaires Sans méthode Les outils Outils méthodologiques Référentiel Tests de configuration Tests de vulnérabilités 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Définitions I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Norme code de bonnes pratiques de sécurité du système d’information : Va du général (l’organisation, politique générale de sécurité, etc..) au détail (gestion de mot de passe, contrôle d’accès,etc..)  Liste les mesures à prendre, mais n’explique pas la façon de les mettre en œuvre 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Définitions I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Méthode sert à évaluer les pratiques de l’entreprise -par rapport à un référentiel- face aux risques auxquelles elle s’expose et propose des parades adaptées Norme et méthode sont complémentaires Pas de méthode sans norme 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI La norme ISO17799/BS7799 ISO17799 Défini des objectifs et des recommandations concernant la sécurité de l’information Norme globale à tout type d’organisme Historique ISO17799 Groupe britannique ayant produit BS7799:1995, puis BS7799-1:1999 La première partie de BS7799 a été soumise deux fois en procédure fast track à l’ISO Elle a été acceptée en décembre 2000 et publiée sous le numéro ISO 17799:2000 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique La norme ISO17799/BS7799 I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Usage l’application de la norme ISO 17799 peut être le résultat d’une série d’étapes schématisées comme suit: Le corps de la norme ISO 17799 décrit la quatrième étape ‘’quoi faire ‘’ sans pour autant préciser ‘’comment le faire’’ 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les méthodes I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les méthodes globales Cobit Cramm Ebios MEHARI Mv3  Se présentent sous forme de documents (questionnaires) Les réponses à ces questions servent à dresser la cartographie des pratiques de sécurité 25/03/2017 Institut Supérieur d'Informatique

Les méthodes globales : comparatif des cinq méthodes d’audit I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les méthodes globales : comparatif des cinq méthodes d’audit Nom de la méthode Cobit v3 CRAMM v4 Ebios 1.0.2 Mehari MV3 Caractéristiques Analyse des risques Non Oui Analyse des vulnérabilités Plan de sécurité Contrôle et vérification Bilan de sécurité Périmètre Adapté à toutes les tailles d’entreprise Conçu pour des environnements Technologiques divers Outils Questionnaires Modèles (formulaires, grilles..) Logiciel disponible 25/03/2017 Institut Supérieur d'Informatique

Les méthodes globales: La méthode MEHARI I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les méthodes globales: La méthode MEHARI Développée par la commission Méthodes du CLUSIF Méthode d’analyse des ressources: mesurer l’impact du sinistre Classifier les ressources selon des seuils de gravité définis sur une échelle de 1 à 4 Gravité = f (I,P) 4 = Risques insupportables 3 = Risques inadmissibles 2 = Risques tolérés I: Impact P: Potentialité Impact 4 3 2 1 0 1 2 3 4 Potentialité 25/03/2017 Institut Supérieur d'Informatique

Les méthodes globales: La méthode MEHARI I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI causes conséquences 25/03/2017 Institut Supérieur d'Informatique

Les méthodes globales: La méthode MEHARI I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les méthodes globales: La méthode MEHARI Traiter les risques : en se basant sur un référentiel (ISO17799, base de connaissances Mehari) Définir une politique de sécurité Etablir une charte de management: Droits et devoirs du personnel de l’Entreprise Etablir un plan de sécurité Etablir un Bilan de sécurité 25/03/2017 Institut Supérieur d'Informatique

Les méthodes propriétaires I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Objectifs personnaliser et simplifier adapter à l’environnement de l’entreprise obtenir une visibilité des risques et un plan d’actions en un laps de temps restreint Plus pragmatique Un luxe pour le RSSI 25/03/2017 Institut Supérieur d'Informatique

Les méthodes propriétaires I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les méthodes propriétaires Démarches modifier une méthode formelle combiner les apports de plusieurs méthodes formelles Sélection d’un sous ensemble de questions adapté au métier de l’entreprise L’expérience du consultant qui fait la différence 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Sans méthode I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Se limite à: Des tests des vulnérabilités automatisés Des tests d’intrusions réseaux sécuriser un serveur ou un réseau est une chose Mais sécuriser un SI d’une entreprise est beaucoup plus compliqué 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les outils I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les outils méthodologiques attention aux limites de l’automatisation (Risicare pour Mehari, caliis, etc..) Les référentiels de sécurité la politique de sécurité de l’entreprise les guides de sécurité par environnement les normes applicables (ISO17799,…) 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les outils I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les tests de configuration Otuils pour Windows, Unix System Scanner de ISS, (logiciel commercial) Tripwire (logiciel libre) Nécessitent de définir une politique technique de sécurité /pas d’analyse de failles Non intrusifs, non perturbateurs Nécessitent une forte expertise pour la configuration 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les outils I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les tests de vulnérabilités Outils public (Nessus, Satan,…) ou commerciaux (Internet Scanner de ISS,…) Indiquent des vulnérabilités potentielles/potentiellement intrusif Demandent une adresse /plage(s) IP Utilisés par les ‘’hackers’’ Nécessitent une forte expertise 25/03/2017 Institut Supérieur d'Informatique

Chapitre 3: Une stratégie d’audit de sécurité de l’entreprise I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Chapitre 3: Une stratégie d’audit de sécurité de l’entreprise Construire une stratégie d’audit Les différentes approches d’audit Une approche adaptée à l’entreprise Présentation Périmètre Démarche Apports 25/03/2017 Institut Supérieur d'Informatique

Construire une stratégie d’audit I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Construire une stratégie d’audit Evaluation globale de la sécurité du SI Dans le cadre d’une réorganisation ( rachat, refonte,…) Audit complet, indépendant Dans un cadre de consolidation globale de la sécurité Analyse des risques ( fonctionnels/techniques/juridiques) Plan d’action détaillé Audits réguliers à large périmètre Dans le cadre d’une mise en cohérence de la sécurité Comparaison site à site ou vis-à-vis de la profession Méthode rigoureuse et applications régulières Dans le cadre d’une sensibilisation Audits participatifs / auto évaluation 25/03/2017 Institut Supérieur d'Informatique

Construire une stratégie d’audit I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Construire une stratégie d’audit Evaluation par composant (projet, système,…) Evaluer la sécurité d’un composant du SI Sécurité d’un produit Qualifier/recetter/.. Analyser, sur incident Sur mesure Nécessite une très forte expertise technique 25/03/2017 Institut Supérieur d'Informatique

Les différentes approches I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Les différentes approches Audit de vérification Analyser l’état d’un système et/ou d’un réseau du point de vue: organisation, architecture, configuration, exploitation et compétences Audit d’agrément Vérifier l’état du système vis-à-vis d’un référentiel existant Audit intrusif Rechercher les failles par un point donné du réseau (utilisation des outils d’intrusions) Simuler des attaques: tests d’intrusion depuis l’extérieur Elles ne sont pas exclusives 25/03/2017 Institut Supérieur d'Informatique

Une approche adaptée à l’entreprise : Présentation I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Une approche adaptée à l’entreprise : Présentation Les méthodes formelles (Mehari, Cobit,etc..) Lourdes Reservées aux grands comptes Les méthodes Propriétaires Souples Peuvent ne pas couvrir tout le périmètre Dépendent étroitement de l’auditeur Une approche plus adaptée à l’entreprise (Banque, Assurance, PME/PMI, etc..) Assiste l’auditeur, précise et pragmatique 25/03/2017 Institut Supérieur d'Informatique

Une approche adaptée à l’entreprise : Périmètre I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Une approche adaptée à l’entreprise : Périmètre Les composantes du système d’information le matériel (PC, serveurs, réseaux) les logiciels (OS, gestion réseau, gestion sécurité) les données (sécurité, sauvegarde,archivage) l’architecture (C/S, intranet, extranet, Internet) le personnel (les utilisateurs, les administrateurs, les développeurs) la documentation (procédures d’installation, procédures de restauration, politique de sécurité, plan de sécurité) 25/03/2017 Institut Supérieur d'Informatique

Une approche adaptée à l’entreprise : Périmètre I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Une approche adaptée à l’entreprise : Périmètre Les menaces  Accidentelles pannes dysfonctionnement incendie dégâts des eaux coupure électrique  Intentionnelles vol d’informations modification de données d’importance capitale vol et destruction des matériels 25/03/2017 Institut Supérieur d'Informatique

Une approche adaptée à l’entreprise : Périmètre I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Une approche adaptée à l’entreprise : Périmètre Les attaques par outils automatisés Destruction par virus, ver, bombes logicielles Intrusion par cheval de troie Intrusion par portes dérobées Espionnage d’analyse de trafic Intrusion par bogues logiciels Exploitation des accès non sécurisés Déni de service Surveillance des messageries d’entreprises Man in the Middle 25/03/2017 Institut Supérieur d'Informatique

Une approche adaptée à l’entreprise :Démarche I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Une approche adaptée à l’entreprise :Démarche La méthode est basée sur le référentiel ISO17799 et l’expérience des consultants, appliquée en cinq phases: Phase1: Définition/validation du périmètre de sécurité et des enjeux (entretiens) Phase2: Identifications des menaces Phase3: Identifications des vulnérabilités Entretiens techniques, consultation de documents Récupération des configurations Tests d’intrusion automatisés (outils du logiciel libre, outils commerciaux) Phase4: Analyse du risque par recoupement des phases 1 à 3 Phase5: Etablissement des recommandations (logique/organisationnel/physique) Elaboration d’une solution technique 25/03/2017 Institut Supérieur d'Informatique

Une approche adaptée à l’entreprise : Démarche I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Une approche adaptée à l’entreprise : Démarche Principaux résultats Définition des moyens de sécurité couvrant les aspects technique physique et organisationnel Définition d’une politique de sécurité interne le cas échéant Principales fournitures Rapport d’audit avec préconisations d’améliorations Estimation du coût de la solution technique à acquérir Présentation au management de l’entreprise Charge de travail de trois à huit semaines, selon la taille de l’entreprise (architecture SI, BD, réseau, serveurs, personnel) un consultant et un/deux ingénieurs 25/03/2017 Institut Supérieur d'Informatique

Une approche adaptée à l’entreprise : Apports I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI Une approche adaptée à l’entreprise : Apports Convivialité les RSSI sont plus sensibles à leur vision du risque qu’à une conformité à une méthode ou à une norme appréciée par les responsables (management de l’entreprise, RSSI) garantit une implication des intéressés dans le constat et la mise en œuvre des actions correctrices Performance complète (organisationnel et technique) parades plus adaptées (tient compte de nouveau mode de fonctionnement de l’entreprise) offre une solution technique optimale en terme d’architecture et outils Coût faible coût (délais et charges: réduits) évite d’investir dans des outils qui protègeraient d’un risque de faible impact 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Chapitre 4: Conclusion I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI L’audit reste: une affaire de méthode une prestation interne, même lorsque les tests d’intrusion se font de l’extérieur L’audit est récurrent (1fois/1 ou 2 ans) les risques se développent le niveau de sécurité appliqué au SI est dynamique Résultat de l’audit peut être contredit par le moindre changement du SI 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Chapitre 4:Conclusion I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI L’audit: Approche technique ou fonctionnelle ? les outils automatisés sont utiles, voire indispensables Oui mais Ils offrent une photo à un instant t mais pas dans le temps Ils ne couvrent pas tout le périmètre (organisation, procédures, traitement des incidents,…) Ils ne sensibilisent pas Donc des audits ‘’organisationnels’’, voire fonctionnels sont aussi indispensables Une double compétence s’impose… Le problème de certification de l’auditeur se pose… 25/03/2017 Institut Supérieur d'Informatique

I N S T I T U T S U P E R I E U R INFORMATIQUE الـمعهـد العـالـي للإعـلامــيـة ISI L’Audit Interne et les Nouvelles Technologies de l’Information et de Communication Merci Audit de sécurité du système d'information de l'entreprise 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les Solutions pour Isoler et Protéger Les Réseaux 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Sommaire Les solutions pour isoler et protéger vos Réseaux : La solution logiciels antivirus & proxy antivirus La solution routeur filtrant La solution Firewall Comment protéger vos données: la cryptographie 25/03/2017 Institut Supérieur d'Informatique

La Solution: Se Protéger Logiciels d’AntiVirus, Proxy Antivirus FireWall (Pare-feu) Architecture du réseau (DMZ) Les solutions routeurs: Les routeurs filtrants Les serveurs Proxy (serveur mandataires), reverse proxy, le masquage d’adresse Solution de cryptage des données Outils de détection des intrusions Outils de test de vulnérabilité des SI Audit de sécurité 25/03/2017 Institut Supérieur d'Informatique

La Solution: Se Protéger Et ne jamais perdre de vue qu’aucun système n’est sûr à 100%. Les exploits des pirates et autres programmeurs très talentueux de virus et de techniques de piratages le prouvent chaque jour un peu plus. 25/03/2017 Institut Supérieur d'Informatique

D’ou Viennent les Intrusions ? Internet Votre Réseau Sur Utilisateurs (virus, trojan, bugs OS) Sur Serveurs (Deni de service) Routeur/Firewall Via réseaux partenaires (intrusion) Partenaires Via Clients (intrusion) 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique La Solution Logiciels Anti-Virus & Proxy Anti-Virus 25/03/2017 Institut Supérieur d'Informatique

Les Virus: La Protection Globale Internet Sur Serveurs de messagerie Routeur/Firewall Votre Réseau Sur Clients (Disquette & CD) Sur Clients (HTTP,FTP) 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les Virus Rien de fondamentalement nouveau avec l’Internet Sauf que: Les créateurs de virus bénéficient d’un moyen de transport idéal et à grande échelle Les premiers virus de l’Internet sont généralement véhiculés par la messagerie ( les attachements de fichiers sont particulièrement « pratique » pour diffuser un virus ) Les Trojans Horses (chevaux de troi) : une nouvelle race de virus Microsoft est souvent le premier visé 25/03/2017 Institut Supérieur d'Informatique

Les Différents Types de Virus Les Virus Classiques Les Virus Macro Les Vers ou Virus de Messagerie (Worm) 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les Virus Classiques Les virus classiques se transmettent par disquette Disque Dur Un virus classique est un programme exécutable qui s’installe sur votre ordinateur à votre insu. Il se cache dans le secteur de démarrage de vos disques et disquettes. Lorsque vous allumez le micro, le virus se charge et se reproduit en infectant les disques durs et disquettes 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Les Virus Macro Les virus macros « s’attrapent » en ouvrant un document infecté. Fichier Word Fichier Word Fichier Word Fichier Word Ils s’attachent aux documents des logiciels proposant un langage de macro-commandes comme Word ou Excel. Le virus se reproduit alors en infectant les autres documents au fur et à mesure qu’ils sont ouverts. 25/03/2017 Institut Supérieur d'Informatique

Les Vers ou Virus de Messagerie Le ver se reproduit de manière automatique Internet Pirate Email Dés que l’utilisateur ouvre le fichier, le virus va non seulement infecter le PC sur lequel il se trouve, mais aussi s’autoexpédier par courrier électronique lors de la première connexion sur Internet, en utilisant le logiciel de messagerie et les adresses E-mail stockées dans le carnet 25/03/2017 Institut Supérieur d'Informatique

Les Symptômes d’Infection Le micro refuse de démarrer Des fichiers disparaissent Certains documents sont modifiés Des messages ou des images bizarres s’affichent Le clavier est souvent verrouillé De la musique ou des sons bizarres s’entend ça rame, le micro ralentit ! Sans logiciel spécialisé, il n’est pas toujours facile de diagnostiquer la présence d’un virus 25/03/2017 Institut Supérieur d'Informatique

Des Conseils pour Limiter les Risques et les Dégâts Ne démarrez pas votre PC avec une disquette dans le lecteur Sauvegardez vos documents Faites un diagnostic fiable Réglez le niveau de sécurité d’Internet Explorer et Netscape 25/03/2017 Institut Supérieur d'Informatique

Logiciels/Proxy AntiVirus Acquérir un logiciel antivirus très répondu Utiliser toujours la dernière version Installer le logiciel dans chaque poste de votre réseau Installer un Proxy anti-virus qui se charge d’analyser les fichiers entrant avant de les envoyer sur le réseau interne: Ouvrir les fichiers entrant (fichiers compressés également) afin de détecter la présence de Virus 25/03/2017 Institut Supérieur d'Informatique

Anti-virus attaché au serveur Alternative: Antivirus de type Proxy / CVP Un Exemple Logiciel: Anti-virus sur Messagerie Anti-virus attaché au serveur : Flux infecté Internet : Flux purgé Votre Réseau Routeur/Firewall Serveur Messagerie & Anti-Virus Inconvénient: le virus arrive jusqu’au serveur 25/03/2017 Institut Supérieur d'Informatique

Internet Le Serveur Proxy Anti-Virus Votre Réseau Routeur/Firewall Web Serveur SMTP Votre Réseau Routeur/Firewall Client Web Proxy Anti-virus & http & ftp Serveurs Messagerie : Flux infecté : Flux purgé 25/03/2017 Institut Supérieur d'Informatique

Internet Le Filtrage de Type Content Vectoring Protocol Votre Réseau Serveur Web Serveur SMTP Votre Réseau Routeur/Firewall CVP Client Web Proxy Anti-virus Serveurs Messagerie : Flux infecté : Flux purgé 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Toujours se Souvenir Que: Le filtrage « au vol » doit être rapide pour les services Web et FTP Une détection virus pour la messagerie est possible mais il faut décompresser les messages avant de pouvoir détecter et purger La détection des virus dans les flux d’information chiffrée de type SSL et S/MIME n’est possible que sur le poste client Le mode proxy est à préférer au mode CVP 25/03/2017 Institut Supérieur d'Informatique

Conclusion: Deux Protections Complémentaires Internet Logiciel Antivirus: Une protection sur les clients Votre Réseau Serveurs Sur Clients (Disquette & CD) Proxy Anti-virus Une protection sur les flux réseaux (http, ftp, smtp) RR 25/03/2017 Institut Supérieur d'Informatique

La Solution Firewall (Pare-feu, Coupe-feu) 25/03/2017 Institut Supérieur d'Informatique

Qu’est ce qu’un Firewall Internet Il sert à plusieurs choses : protége le réseau interne contre les tentatives d’intrusion provenant de l’extérieur limite et vérifie les connexions provenant du réseau interne vers extérieur restreint l’accès à un point précis empêche les agresseurs de s’approcher de vos autres défenses restreint la sortie à un point précis 25/03/2017 Institut Supérieur d'Informatique

Qu’est ce qu’un Firewall Internet Un firewall est le plus souvent installé au point où votre réseau interne protégé est connecté à l’Internet. Logiquement, un firewall est un séparateur, un limiteur, un analyseur. Ses implémentations physiques varient selon les sites. Il s’agit la plupart du temps d’un ensemble de composants matériels : un routeur, un ordinateur hôte, ou une combinaison d’ordinateurs, de routeurs et de réseaux avec des logiciels appropriés. Il existe diverses façons de configurer cet équipement, la configuration dépendent de la politique, du budget et de l’activité du site considéré. 25/03/2017 Institut Supérieur d'Informatique

Que peut faire un Firewall Un Firewall est au centre des décisions de sécurité Un Firewall peut renforcer le règlement de sécurité Un Firewall peut facilement enregistrer l’activité Internet Un Firewall limite votre exposition 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique La Solution Firewall Réseau à protéger Réseau X Firewall Réseau Y Filtrage sur protocoles de communication Filtrage sur applications (Web, FTP, TelNet…), blocages des URL… Filtrage sur les utilisateurs Fichier logs et statistiques d’utilisation Gestion possible de réseaux complexes (VPN, DMZ, …) Interface conviviale 25/03/2017 Institut Supérieur d'Informatique

La Solution Firewall - Internet Accès sécurisé et transparent aux serveurs de l’Internet Internet ISP Routeur Routeur LAN Privé Firewall Routeur 25/03/2017 Institut Supérieur d'Informatique

La Solution Firewall « Protection des serveurs » Clients Serveurs Firewall 25/03/2017 Institut Supérieur d'Informatique

La Solution Proxy Serveur (Serveur Mandataire) LAN privé Proxy Server Internet Firewall Filtrage applicatif (HTTP, FTP, …) Nécessite une connexion utilisateur par type de service difficile si l’application n’est pas supporté par le proxy Optimise la bande passante vers l’Internet en mettant en cache (disque) les informations consultées de l’Internet Filtrage efficace des sites autorisés / interdits Masquage d’adresse: une adresse unique pour les clients Authentification de tous les utilisateurs du LAN 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique Proxy / Reverse Proxy « Le Proxy se fait passer pour le client » Le réseau à risque Votre réseau Proxy Serveur Serveur Firewall « Le Reverse Proxy se fait passer pour le serveur » Votre réseau Reverse Proxy Le réseau à risque Serveur Firewall 25/03/2017 Institut Supérieur d'Informatique

Institut Supérieur d'Informatique La Solution Globale « Diviser pour mieux régner » Anti-Virus Proxy Applications Firewall Réseau Transport TCP-UDP Routeur filtrant Réseau logique IP-ICMP « Dédier pour mieux résister » R Switch filtrant Réseau physique 25/03/2017 Institut Supérieur d'Informatique