ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008 © 2008 SOLUZEN © 2008.

Slides:



Advertisements
Présentations similaires
Mais vous comprenez qu’il s’agit d’une « tromperie ».
Advertisements

Le Nom L’adjectif Le verbe Objectif: Orthogram
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
LES NOMBRES PREMIERS ET COMPOSÉS
[number 1-100].
Qualité du Premier Billot. 2 3 Défauts reliés à labattage.
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Licence pro MPCQ : Cours
Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
Le pluriel des noms
LA NOTATION SELON LE GENRE FORMATION INTER-AGENCES Facilitators name and title.
Présentation de lapplication Livret personnel de compétences.
Classe : …………… Nom : …………………………………… Date : ………………..
Les numéros
ACTIVITES Les fractions (10).
Est Ouest Sud 11 1 Nord 1 Laval Du Breuil, Adstock, Québec I-17-17ACBLScore S0417 Allez à 1 Est Allez à 4 Sud Allez à 3 Est Allez à 2 Ouest RndNE
Est Ouest Sud 11 1 Nord 1 RondeNE SO
Sud Ouest Est Nord Individuel 36 joueurs
Les identités remarquables
Les Prepositions.
Présentation de l’application « Livret personnel de compétences »
1 Louverture des économies Pour relâcher la contrainte des ressources productives.
La diapo suivante pour faire des algorithmes (colorier les ampoules …à varier pour éviter le « copiage ») et dénombrer (Entoure dans la bande numérique.
LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.
Journée détude régionale du 23 mai Lévaluation interne des établissements et services sociaux et médico-sociaux : Où en sommes-nous ? 1 Résultats.
2 1. Vos droits en tant quusagers 3 1. Vos droits en tant quusagers (suite) 4.
1 7 Langues niveaux débutant à avancé. 2 Allemand.
Mr: Lamloum Med LES NOMBRES PREMIERS ET COMPOSÉS Mr: Lamloum Med.
1 5 octobre 2011 / paw Présentation du 7 octobre 2011.
Application des algorithmes génétiques
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
1 Guide de lenseignant-concepteur Vincent Riff 27 mai 2003.
GRAM 1 CE2 Je sais transformer une phrase affirmative en phrase négative.
Le Concours de Conaissance Francais I novembre 2012.
Titre : Implémentation des éléments finis sous Matlab
1 Journée de regroupement des correspondants "Egalité et genre" - 21 novembre 2011 Rectorat de Rouen - SAIO - CD-HD Résultats scolaires, appréciations.
1 Conduite du changement LA CONDUITE DU CHANGEMENT.
Projet poker 1/56. Introduction Présentation de léquipe Cadre du projet Enjeux Choix du sujet 2.
LES NOMBRES PREMIERS ET COMPOSÉS
Cairn.info Chercher : Repérer : Progresser 13/01/ { } Revues et diffusion des savoirs scientifiques : retour d’expérience de Cairn.info
Détection d’intrusions
RACINES CARREES Définition Développer avec la distributivité Produit 1
DUMP GAUCHE INTERFERENCES AVEC BOITIERS IFS D.G. – Le – 1/56.
Tournoi de Flyball Bouin-Plumoison 2008 Tournoi de Flyball
Notre calendrier français MARS 2014
Année universitaire Réalisé par: Dr. Aymen Ayari Cours Réseaux étendus LATRI 3 1.
Titre : Implémentation des éléments finis en Matlab
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
C'est pour bientôt.....
1 INETOP
Veuillez trouver ci-joint
SUJET D’ENTRAINEMENT n°4
P.A. MARQUES S.A.S Z.I. de la Moussière F DROUE Tél.: + 33 (0) Fax + 33 (0)
LA GESTION COLLABORATIVE DE PROJETS Grâce aux outils du Web /03/2011 Académie de Créteil - Nadine DUDRAGNE 1.
MAGIE Réalisé par Mons. RITTER J-P Le 24 octobre 2004.
LUNDI – MARDI – MERCREDI – JEUDI – VENDREDI – SAMEDI – DIMANCHE
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
Traitement de différentes préoccupations Le 28 octobre et 4 novembre 2010.
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
1/65 微距摄影 美丽的微距摄影 Encore une belle leçon de Macrophotographies venant du Soleil Levant Louis.
* Source : Étude sur la consommation de la Commission européenne, indicateur de GfK Anticipations.
Nom:____________ Prénom: ___________
CALENDRIER-PLAYBOY 2020.
Exercice de vérification 1 p
Commission paritaire de suivi des opérations de reclassement repositionnement dans le cadre du droit d’option Statistiques novembre 2010.
Les Chiffres Prêts?
La formation des maîtres et la manifestation de la compétence professionnelle à intégrer les technologies de l'information et des communications (TIC)
1 Formation à l’usage éco-performant de votre pc 1 ère Partie.
Transcription de la présentation:

ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Participants Didier Drapeau, Soluzen 2 Participants Didier Drapeau, Soluzen Philipp Egli, Dreamlab Technologies SA Alexandre Fernandez-Toro, HSC © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Agenda Positionnement des Standards OSSTMM 3.0 Présentation de la methode Complementarité et Compatibilité avec l‘ISO 27001 Pause Mutualisation entre ITIL et ISO 27001 Convergence entre ITIL, ISO 27001 et OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

4 ITIL, ISO 27001, OSSTMM Pour un système d’information plus fiable et plus sûr Pourquoi ? (2001) Comment ? (2008) Avec l’ISO 20000 (ITIL)/27001 insuffisant car pas de garantie du niveau de sécurité Ce qu’offre l’OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Positionnement des Standards © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

6 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

ISO 27001 et OSSTMM dans la démarche globale de sécurité Diag./Audit initial Plan directeur Politique directives Certificat ISO27001 Projets Certificat OSSTMM Pare-feux PRA Stockage… Mise en œuvre Mise en conformité Contrôles © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Sommes nous protégés? © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Sommes nous protégés? OSSTMM 3.0 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

10 Sécurité parfaite... © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Sécurité parfaite... adaptée à la situation 11 Sécurité parfaite... adaptée à la situation © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM signification Open Source Security Testing Methodology Manual 12 OSSTMM signification Open Source Security Testing Methodology Manual © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM historique Depuis 2001 (Version actuelle 3.0) 13 OSSTMM historique Depuis 2001 (Version actuelle 3.0) Edité par ISECOM (Institute for Security and Open Methodologies) Concept pour « mesurer » la sécurité des systèmes operationels Scientifique (Transparence / Reproductibilité) Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

la méthode: Investigations 14 la méthode: Investigations © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

15 la méthode: Tests © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: Une métrique de sécurité, le RAV (Risk Assessment Value) 16 OSSTMM: Une métrique de sécurité, le RAV (Risk Assessment Value) Le calcul du RAV est composé de trois éléments Operational Security (OPSEC) (Porosité de l‘asset mesuré) Pour être operationel un système doit être ouvert aux communications ce qui le rend vulnérable Controls (Mesures de sécurité) Class A controls: 5 types de mesures qui sécurisent les interactions Class B controls: 5 types de mesures qui sécurisent les procesus Limitations „Vulnérabilités“ les classes de vulnérabilités © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

17 Balance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: OPSEC OPSEC (Dependant du vecteur d‘attaque) 18 OSSTMM: OPSEC OPSEC (Dependant du vecteur d‘attaque) Visibility: Les cibles visibles dans le périmètre. Exemple: Scan de serveurs qui donne leurs adresses IP Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts. Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web. © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: Controls A INTERACTIVE (Class A) Authentication: Mot de passe 19 OSSTMM: Controls A INTERACTIVE (Class A) Authentication: Mot de passe Indemnification: Bannière „Défense d‘entrer“ Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées. Subjugation (Renforcement): Redirection automatique des flux http vers https. Continuity: Load Balancing / Redondance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: Controls B PROCESS (Class B) 20 OSSTMM: Controls B PROCESS (Class B) Non-repudiation: Traces utilisateur Exemple: Log Files qui permet de déterminer l‘identité d‘un visiteur d‘un site web. Confidentiality: Encryption des données et des flux Privacy: Transactions au sein d‘une zone sécurisée sans chiffrement. Integrity: Checksum / Algorithme Alarm: IDS / Monitoring / Surveillance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: Limitations Limitations 21 OSSTMM: Limitations Limitations Vulnerability: Possibilité de contourner les mesures de sécurité. Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,) Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.) Exposure: Divulgation d‘informations Anomaly: Operations anormales Exemple: Serveur visible par intermittence sans raisons apparentes © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

ISECOM - RISK ASSESSMENT VALUES CALCULATION WORKSHEET 22 Outil de calcul du RAV ISECOM - RISK ASSESSMENT VALUES   OPSEC CALCULATION WORKSHEET Visibility 1 Porosity 54 Access 50 Total Controls 24 Trust 3 Class A Controls Class B Controls 21 Whole Coverage 4,44% Class A CONTROLS Missing True Coverage Authentication 53 True Coverage A 0,56% Indemnification True Coverage B 3,89% Resistance Missing Controls 516 Subjugation Missing Controls A 267 Continuity Missing Controls B 249 Class B Coverage Missing 95,56% Non-Repudiation Total # Limitations Confidentiality 2 52 Limitations Value Privacy Integrity 15 39 Vulnerability 3,75587486 Alarm Weakness 3,50650503 Concern 3,48144263 Exposure 1,00000000 LIMITATIONS Total Anomaly 3,42813479 Vulnerabilities 0,00000 Weaknesses RAV TOTALS Concerns 13,93136348 Exposures 5,67400519 Anomalies 0,00000000 Δ -8,25735829 RAV 90,95217542 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: RAV Avons nous calculé le risque avec le RAV? 23 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: RAV Avons nous calculé le risque avec le RAV? Non 24 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM et gestion de risques Avant application des mesures 25 OSSTMM et gestion de risques Avant application des mesures Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Matrice Impact - Probabilité 26 Matrice Impact - Probabilité © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Risque après les corrections 27 Risque après les corrections Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Pilotage Outils de calcul automatiques du RAV 28 Pilotage Outils de calcul automatiques du RAV © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Certification Par qui: ISECOM et Organisme Certificateur 29 Certification Par qui: ISECOM et Organisme Certificateur Quoi: Produits, services, Personnes Conditions: Maintien du RAV > 90 % Certification annuelle Recertification en cas de changement de périmètre Personnels certifiés: Testeur (OPST) Analyste (OPSA) Expert (OPSE) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Complémentarités OSSTMM / ISO 27001 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

ISO27001 : Pilotage & maîtrise des risques 31 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

ISO27001: Contrôles et mesure du niveau de sécurité 32 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Sécurité du système d’information: certification 33 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM vs ISO 27001 ISO 27001 Exigences OSSTMM Réponses 34 ISO 27001 Exigences OSSTMM Réponses 4.2.1.a : scope du SMSI Scope de l’audit: protection périmétrique d’un réseau (assets) 4.2.1.c: définition méthode d’analyse de risques Méthodologie OSSTMM Mode de calcul du RAV (%) : feuille de calcul 4.2.1.c.2: Critères d’acceptation risques et niveau de risques acceptables (5.1.f) % du RAV objectif défini par le propriétaire des assets > 90% alors certification possible (RAV reproductible et comparable) 4.2.1.d: identification des risques Assets testés: pare-feux… Vulnérabilités mesurées: mauvais paramétrage 4.2.1.e: analyse et évaluation des risques Résultats des tests (impacts mesurés): pénétration possible du réseau RAV détermine si risque acceptable 4.2.1.f: évaluer les options de traitement des risques Envisager mesures de sécurité: règles du pare-feu appropriées, doubler appliances… 4.2.1.g, h, i, j: sélection des mesures annexe A (17799) & SoA (déclaration d’applicabilité) Rapport d’audit & justification des mesures vs business © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

OSSTMM: vs ISO 27001 ISO 27001 Exigences OSSTMM 35 ISO 27001 Exigences OSSTMM 4.2.2 : mise en œuvre du SMSI Application des mesures issues de l’audit 4.2.3: surveillance et revues du SMSI Audits intermédiaires proactifs déterminés par valeur du RAV (décroissance niveau sécurité) 4.2.4: amélioration du SMSI Application des corrections issues de l’audit et re-calcul du RAV jusqu’à acceptable 4.3: documentations Rapport d’audit, feuille calcul RAV Logs des tests réalisés, 5.1: engagement du management Règles d’engagement, accord confidentialité, mandats (tests intrusion) 5.2: affectation des ressources Compétences Testeurs, analyste identifiés (IP sources…) Certifications OPST, OPSA… © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Questions / Pause © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Convergences 37 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Perspectives 38 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.