Sécurité du Système d’Information ENSSAT Lannion, février 2007 Jean-Paul Le Guigner jplg@cru.fr www.cru.fr Le cours qui suit doit être adapté suivant le prisme par lequel on veut le voir : - simple citoyen utilisateur des TIC chez soi - employé utilisateur des moyens d’entreprise - employé impliqué dans les SI de l’entreprise - employé ayant des responsabilités de RSSI - ou encore + responsabilité juridique d’une entreprise D’autre part un cours de ce type doit être revu tous les ans au moins dans ses parties : - juridique  évolution du cadre juridique, jurisprudence, … - menaces internet et en corrélation les types de protections, produits, … - et l’évolution des fonctionnalités des produits de protection. Rappel sur stage possible en « Fédération d’identité »

Préambule Emploi des TIC généralisé Dépendance « totale » (pour le fonctionnement des entreprises) S’en passer  risque de disparaître du paysage. L’outil informatique est stratégique pour le fonctionnement de la recherche, de l’enseignement, de l’entreprise, des institutions, de la diffusion d’information, … Le CONTEXTE : Les TIC éléments fondamentaux du fonctionnement : centre nerveux des dispositifs industriels, commerciaux, militaires, … Ces technologies s’infiltrent partout (l’arrivée des RFID ne fait que renforcer leur position) L’interconnexion des différentes technologies entre elles et leur présence cumulées dans certains appareils (portables téléphoniques) ne font qu’accroître notre dépendance. La maîtrise des systèmes est de plus en plus difficile du fait de la complexité des technologies. Sécuriser le Système d’Information (SI) est une obligation

Terminologie Informatique : « information / automatique » mémoires, processeurs, réseaux, logiciels, .. Connotation très technique (?)  on y voit tout de suite l’informaticien  TIC : Technologies de l’Information et de la Communication Le SI : Système d’information ensemble des outils: matériels, systèmes, logiciels, infrastructures réseaux, les données, les procédures : stockage, traitements, transmission, diffusion, … les « hommes » Les processus fonctionnels ( procédures). Le SI = ensemble des ressources fonctionnelles, techniques et humaines qui permet de stocker, traiter et transmettre de l’information. Le Système d’information n’exclu donc pas au niveau technologie les technologies traditionnelles. http://www.volle.com/travaux/informatique.htm

SSI On parlera de SSI (Sécurisation des Systèmes d’Information) en considérant que sécurisation de l’outil informatique n’est qu’une facette de cette SSI et qu’elle ne suffit pas. Signaler cependant que la protection de l’outil informatique est un incontournable. Ce n’est pas suffisant, mais c’est une obligation Toute vulnérabilité de l’outil informatique peut s’avérer très néfaste!

Les enjeux (ou pourquoi la SSI?) Protection des données « importantes, stratégiques, sensibles » Patrimoine (scientifique, savoir-faire, fonctionnement, …) Respect : de la législation des réglementations et directives gouvernementales, de la vie privée (données à caractère personnel) (voir CNIL) de la liberté des personnes Image de marque vis-à-vis des partenaires, (confiance) Maîtrise des environnements (ne pas être la cause de préjudices) Continuité des services offerts et leur qualité, 1 . C’est une obligation. Voir l’importance que l’on y accorde 2 . Les contrats, conventions, les rentrées financières dépendent du sérieux dans ce domaine, 3 . Attention aux rebonds, 4 . Obligations vis-à-vis CNIL, et « des personnes » par exemple EDF, DDE, SNCF, Hôpitaux, 5 . D’une part une obligation gouvernementale et d’autre part une obligation vis-à-vis de l’organisme, entreprise 6 . La qualité et le sérieux du fonctionnement, éviter les pertes de temps, ne pas dégrader la confiance, … Rajouter ces questions concernant la perception du risque : À quel point sommes nous dépendants de notre SI pour atteindre nos objectifs stratégiques, À quel point sommes-nous exposés aux menaces pesant sur notre SI L’ordre des enjeux ci-dessus, et L’importance accordé à chacun d’eux va dépendre du profil de l’entreprise/organisme (le métier, les populations concernées, …).

SSI La SSI porte sur l’ensemble des composantes des SI : Les données, (l’information) Les environnements informatiques serveurs, postes de travail, supports de données, Les systèmes, les logiciels/progiciels, outils de développement, … les infrastructures de communication (équipements et services réseau) Les services annexes : énergie, climatisation, chauffage, éclairage, … Les personnes: compétences, savoir-faire, organisation, … Il est important de bien identifier tous les biens et d’affecter des propriétaires  Un inventaire est indispensable  Tout concourt à la continuité de l’activité de l’organisme et sa bonne marche voir ISO-27002 page 18, 19, 20, 21, 22 Responsabilité relative aux biens Inventaire des biens Propriété des biens Utilisation correcte des biens Règles d’utilisation de la messagerie électronique et d’Internet, appareils mobiles, Classification des informations En terme de valeur, d’exigences légales, de sensibilité (DIC) et de criticité Marquage et manipulation de l’information conformément au plan de classification Il convient « d’étiquetter les informations » De prévoir les procédures appropriées pour le traitement sécurisé, le stockage, la transmission, la déclassification, la destruction, … Le primordial c’est la protection des données (l’information) Y parvenir nécessite de protéger l’ensemble des éléments.

Les données La donnée  ressource du SI la plus névralgique : Une donnée peut matérialiser : la mémoire du fonctionnement de l’organisme finances, comptabilité, clients, fournisseurs, stocks, actifs, contrats, … l’organisationnel interne, procédures, … le patrimoine scientifique d’un laboratoire de recherche, le « savoir-faire » technologique d’une entreprise, le patrimoine culturel, une information à caractère personnel (vie privée). On peut remplacer du matériel, on peut changer de logiciel, modifier des procédures, etc. On peut même avoir des mouvements dans les compétences humaines (en perdre, …) Perdre des données peut s’avérer plus désastreux. Pour protéger les données de façon différenciée, appliquer des règles de classification: Vitales Stratégiques Sensibles Personnelles Ordinaires -- Sécuriser les données en priorité! Par défaut, une conscience limitée de la valeur des données, jusqu’à l’occurrence d’un incident majeur (incendie, vol de portable, écrasement de fichiers non sauvegardés, fuites ou altération d’informations, …)

Éléments de la démarche SSI Identifier, préciser, évaluer : les enjeux, (prioriser) Le niveau de sensibilité des ressources (fonction des enjeux), les menaces potentielles pesant sur ces ressources, Les vulnérabilités rendant les menaces réalisables, le risque qu’elle soient exploitées, (probabilité) Les conséquences  est-on prêt à assumer? Elaborer une politique et des plans de protection Organisation: moyens humains, procédures, règles,actions, … Solutions: outils, architectures, … Surveillance, détection, réaction, suivi et audit Mettre en œuvre des éléments de surveillance, détection d’incident, … Établir une stratégie de réaction et des moyens de redémarrage rapide, Prévoir le suivi la politique de sécurité, son audit éventuelle, … Les niveaux de sensibilité : Informations classifiées Secret défense Confidentiel défense Non classifiées mais sensibles Les résultats de la Recherche, du développement technologique Le patrimoine culturel dans une moindre mesure. Les informations à caractère personnel (vie privées, libertés individuelles) Les informations à caractère commercial (confidentialité requise, et intégrité) Appels d’offres, propositions commerciales, contrats, conventions, … Les données financières et comptables: non confidentielles peut-être, mais gros besoin d’intégrité La GRH peut être sensible: tout mouvement de personnel peut donner des indices sur une politique d’entreprise, Obligation d’intégrité des données

Le savoir c’est mieux La sécurité absolue n’existe pas Il y a toujours des risques, même si efforts de protection sérieux La SSI c’est de la gestion de risques Il faut identifier « ce que l’on risque » et assumer ce risque. Mais s’y préparer c’est mieux. Préparer le « scénario » incident une stratégie de réaction, des moyens pour redémarrer au plus vite. Sans logique, sans méthodologie, sans organisation, sans sensibilisation et responsabilisation des acteurs, sans formalisme (sans documents), …  pas de sécurité sérieuse. 1 . Il faut savoir proportionner les actions (moyens mis pour sécuriser) aux objectifs à atteindre. 2 . Connaître ce que l’on veut protéger, les menaces réelles, leur potentialité d’occurrence vue les vulnérabilités résiduelles, et quels risques on est prêt à assumer. Evaluer des impacts. 3 . Il faut prévoir le scénario « incident ».

Les acteurs de la SSI Tout le monde est concerné Direction, RSSI, …, Se prononcer sur les enjeux stratégiques, Soutenir les actions (arbitrages financiers) notamment la formation, Décisions pour l’organisation des compétences et responsabilités, MoA et MoE (développeurs) pour les applications et les services Les administrateurs (serveurs, postes, réseaux, …) Spécifications des règles d’administration, mise en œuvre, … Contrôles, audits internes, … Veille technologique, expertise, … Les utilisateurs : Comportements conformes aux règles décidées, Détection et remontée des anomalies, … Pour les entités de taille « respectable » préconiser une structure de pilotage de la SSI.

Schéma Directeur Les documents de la SSI Suivant la taille de l’institution/organisme/entreprise  un Schéma Directeur Pour les grandes orientations stratégiques Les enjeux à prendre en compte Les grandes lignes directrices des PSSI et des PSSI par laboratoire/établissement/filiale/… Prenant en compte les messages du SDirecteur Intégrant les spécificités des entités de base.

PSSI Les documents de la SSI Politique de la SSI (PSSI) Enjeux et orientations stratégiques en matière de SSI Fonction du profil métier de l’institution/entreprise Et des contraintes fonctionnelles et économiques Les grandes menaces qui pèsent sur le SI Analyse des risques recommandées Objectifs de sécurité retenus, (biens à protéger) Chaînes opérationnelles Organisation des responsabilités Identification des compétences Stratégie de réaction en cas d’incident, … Relation avec les structures spécialisées : CERTs, DCSSI, DST, … Politique: intentions et dispositions générales formelles exprimées par la Direction Dans les menaces : les backdoors de Windows (voir document CNRS) Pour PSSI voir document CAPSEC UNE PSSI doit inclure le périmètre d'étude et son contexte, - les enjeux et orientations stratégiques en matière de SSI, - les contraintes pesant sur l'organisme, - le référentiel de l'organisme, - l'échelle de besoins, - les besoins de sécurité des biens à protéger, - les grandes menaces qui pèsent sur le système d'information. Périmètre de la PSSI Présentation de l’organisme/entreprise Présentation de son SI, ses différents métiers, communautés, partenaires, prestataires, tutelles, … Présentation des systèmes, réseaux, …, Enjeux Politiques, image de marque, visibilité de l'organisme, crédibilité économiques, Contrats pouvant être dénoncés technique recherche spécifique et de pointe protection et maîtrise des résultats liés aux découvertes confidentialité et conservation des savoir-faire techniques Contraintes pesant sur l’organisme coût de la sécurité, nomadisme, mobilité, télétravail, … administratives : plusieurs tutelles, filiale de groupe (ayant son propre SI), … dépendance d’un schéma directeur plus global recherche et développement pointus (systèmes particuliers, infrastructures réseau particulières, …) accueil de personnes extérieures, stagiaires, … obligation de sous-traitances des applications, services, … obligation de disponibilité (obligation de résultats) normes qualité à respecter, maîtrise ou non des infrastructures, Les documents suivants peuvent être référencés par la PSSI, mais sont considérés comme des « référentiels » opérationnels.

Sensibilisation, information, formation Les documents de la SSI Sensibilisation, information, formation Chartes ou règlement intérieur pour la SSI Sensibilisation Types de menaces, risques encourus Contexte juridique (CNIL, différents régimes de droit, …) Obligations des utilisateurs (guides de bonne pratique) Support de cours pour administrateurs, … Organisation de la veille technologique en SSI Chartes : pour les administrateurs pour les personnels pour les étudiants (si école, université, …)  accompagné d’un guide JURIDIQUE si possible CNIL protection des données à caractère personnel, notices sites Web, … Notification des documents illicites gestion des traces et des logs LPPI : droit de copie

Documentations techniques Les documents de la SSI l’opérationnel: orientations techniques Les principes d’architectures retenus Domaines de confiance (ou zônes de confiance) Relations entre applicatifs, services, Séparation des communautés sur les réseaux La protection des accès Accès réseaux (filaire ou sans fil), nomades (distants) ou locaux Accès aux applications et services La protection des données (niveau stockage, niveau flux échangés) Les règles d’administration Serveurs (Unix, Windows), bases de données, Postes clients, Services applicatifs, messagerie, serveurs WEB, Des infrastructures et services réseaux, … La politique d’authentification (politique de la preuve) qui va avec la politique des traces Postes clients: voir les documents UREC Services réseaux : voir mon cours Services applicatifs :

Maintenance en condition opérationnelle Les documents de la SSI Maintenance en condition opérationnelle Politique des logs/traces (une obligation) Politique de métrologie, de supervision Contrôle du niveau réel de sécurité Check-list de vérification de l’application des règles Outils en complément : détections des intrusions/anomalies Contrôle des failles potentielles (scanners) Carnets de sécurité pour les applicatifs, Intégration de la SSI dans les contrats Audits, Processus de conservation des données de connexion à des fins de preuve (d’identification)

La SSI est un processus vivant, il faut donc une stratégie de révision des documents  régulièrement,  sur évènement significatif, incident, …,  si la veille technologique l’impose,  sur audit récurent des pratiques, si évolution des enjeux, si évolution des métiers de l’entreprise, …

Vous devez sécuriser le Système d’Information de votre entreprise, université, … Rien n’existe ou presque :  Par où commencer? Agir par des mesures Techniques et prendre le temps : de solliciter la direction pour une vraie organisation SSI de demander une évaluation des enjeux, de la sensibilité des données, des menaces, … déterminer le périmètre SSI, le profil des populations, leurs droits, leurs obligations, avoir une vision globale du Système d’Information. de préparer l’élaboration de la documentation formelle.

Ce sur quoi il faut agir en premier lieu : Serveurs : Application des règles d’administration « saines »: Unix, Windows Vérifier s’ils sont à niveau concernant les correctifs de sécurité Postes : Les protections contre les virus, les « SpyWare », contenus malveillants, … Mise en œuvre de garde barrières personnels, prise en compte du nomadisme (wifi local, voyages, maison-entreprise, …) La protection physique des locaux et des matériels accès, incendie, inondation, continuité électrique, … Politique de sauvegardes, de restauration, de reprise. Réseau : Architecture pertinente, séparation de communautés, Vérifier le degré d’ouverture vers l’extérieur, Identifier les services offerts (trop? Mal configurés?, …) Une réflexion approfondie pour l’élaboration d’une PSSI va avoir un impact sur les actions ci-dessus. Et on s’attaque aux aspects: organisation, sensibilisation, formation, recommandations, PSSI, …

L’organisationnel (Ministère de l’Éducation Nationale) (Enseignement Supérieur)

Proposition de chaîne organisationnel au Ministère de l’Education Nationale Chaîne fonctionnelle de la sécurité des systèmes d’information (SSI) Le premier ministre (Corresp.technique de la SSI) CTS SDS SI Les ministre et ministre délégué (Directions opérationelles) DPMA-DR-DT (Personne juridiquement responsable) PJR Recteur, Président d’université, Inspecteur Académique, Chef d’Établissement (Responsable de la SSI) RSSI Nommé par la PJR SGDN/DCSSI/CERT-A HFD (haut fonctionnaire de défense) IGI n° 901 FSSI (fonctionnaire de la SSI) AQSSI (autorité qualifiée pour la SSI) La SSI est traitée de façon opérationnelle à l’intérieur de la sphère académique : la PJR est l’autorité hiérarchique de l’entité est à ce titre responsable de la SSI le RSSI est nommé par la PJR scolaire : cf. courrier de F.Perret du 23/07/03 supérieur : existant depuis 1994 les CTS sont désignés par le RSSI L’administration centrale intervient dans la chaîne : pour la définition des orientations stratégiques et le pilotage global de la démarche SSI pour centraliser les alertes et mutualiser les moyens ASSI (agent de la SSI) Selon la recommandation interministérielle n° 901 sur la protection des systèmes d’information traitant des informations sensibles non classifiées de défense

Organisation sécurité; Enseignement Supérieur MENESR Proc. De la Rep. SGDN HFD DCSSI Cert-Renater Dst CertA Pj Jean-Paul Le Guigner Christian Claveleira Etablissements Rssi+ecorses RSSI (+ suppléant) relais internes

Le RSSI: doit bien connaître le fonctionnemement du SI, mais aussi Direction Le RSSI: doit bien connaître le fonctionnemement du SI, mais aussi bien connaître l’établissement, l’entreprise, et les enjeux liés à la sécurité. Service informatique Réseau de compétence: administrateurs systèmes et réseaux, administrateurs bases de données, Architectes du SI, …

Sensibilisation, formation, actions Pour tout personnel OBJECTIFS GENERAUX Connaissances informatiques élémentaires Principes de base - prudence dans les manipulations rigueur dans l'exécution application des recommandations et conformité à la charte - structure du système d’information - propriétés de la sécurité Connaissances des risques, Des menaces et des vulnérabilités

OBJECTIFS SPECIFIQUES Spécialiste informatique et réseaux Compétences, Formations,Comportements OBJECTIFS SPECIFIQUES RSSIs Spécialiste informatique et réseaux Connaissance de et participation à la politique de sécurité - animation de groupes, projets, - formalisation de dossiers, - connaissance générale des moyens techniques acquisition de réflexes au niveau des comportements, connaissance juridiques et institutionnelles - connaissance des moyens techno. (hardware, locigiels, services, …) - prise en compte dès le début de la mise en œuvre des moyens démarche méthodologique et logique, acquisition de réflexes aux niveaux: relations internes (hiérarchiques) surveillance régulière(détection) veille technologique propositions d’évolutions

Structures (gouvernementale) CNIL (Commission Nationales Informatique et Libertés) application de la loi de 78 contrôle des traitements nominatifs aide (personnes, organismes publics, …) DCSSI (Service Central de la Sécurité des Systèmes d’Information) dépend du SGDN (secrétariat général à la Défense Nationale) agréments pour matériel/logiciels de cryptographie, autorisation de commercialisation et d ’utilisation évalue les niveau de sécurité des « systèmes » réalise des audits, forme des experts prestations de formations lourdes et sensibilisations « pointues »

Structures (gouvernementale) Dépendant de la police judiciaire BCRBI : Brigade Centrale de Répression de la Criminalité informatique traite les affaires d ’intrusion informatique au niveau national Dépendant directement du Min. de l ’Intérieur DST : direction de la surveillance du territoire concernée par les affaire ayant une relation avec l’espionnage scientifique ou industriel. Se positionne en dehors du cadre judiciaire, et travaille en collaboration avec les « victimes ».

Relations avec les « Autorités » Judiciaires Ministère de l’intérieur DST BEFTI-BFMP OCLCTIC Gendarmerie Nationale SRPJ HFD CERT-A BEFTI-BFMP (préfecture de police): Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information. Dépend de la Direction Régionale de la PJ de Paris, avec extension possible de ses compétences au territoire entier. Enquêtes en milieu informatique (tout ce qui est numérique en fait), formation, sensibilisation. Intervient sur tout ce qui est piratage informatique, contrefaçon de logiciels, de bases de données, infractions aux fichiers nominatifs, fraudes téléphonique, etc. Contact: DST: un service de renseignement disposant de pouvoirs de police judiciaire spécialisée. Activités inspirées engagées ou soutenues par des puissance étrangères et de nature à menacer la sécurité du pays. Exerce une mission se rapportant à la défense. Contre espionnage, contre terrorisme, protection du patrimoine économique et scientifique. Prolifération des armes nucléaires, bactériologiques, chimiques et balistiques. Contact : voir présentation DST sur le site du Ministère de l’Intérieur Gendarmerie nationale : dépend pour son administration du ministère de la Défense et pour emploi du ministère de l’Intérieur. Les enquêtes sont menées sous contrôle du ministère de la justice. Compétent pour traiter de toute atteinte à y STAD. Travaille en étroite relation avec l’OCLCTIC. Contact: toute brigade de gendarmerie. Ou la direction nationale de la gendarmerie nationale (STRJD-NTECH) OCLCTIC: (Office Central de Lutte contre la Cybercriminalité liée au TIC) dépend de la Police nationale Contact: oclctic@interieur.gouv.fr Vocation interministérielle •Compétence nationale ! Centralisation et documentation ! Rôle opérationnel ! Prévention du phénomène criminel ! Analyse statistique •Lutte contre les phénomènes d’un caractère sensible et de dimension internationale Les Missions : Au plan national •La centralisation de l’information et la coordination •Les enquêtes de police judiciaire spécialisées à caractère sensible ou confidentiel, à portée nationale, ou internationale L’assistance technique, au profit des services centraux et locaux, - à l ’occasion de constatations ou de perquisitions, - lors des auditions. •La formation des ESCI Prévention du phénomène criminel : -Travaux de l’Observatoire de la sécurité des cartes de paiement -FBF, GIE CB, AFOM… -Signalement des contenus illicites sur Internet Les Missions Au plan international : •Point de contact national Interpol, assurant la gestion des messages du BCN, •Point de contact du G8 et participation au groupe de travail sur la criminalité high tech. •Commission Européenne – Expert Group, •Membre des groupes de travail d ’Interpol « High Tech Crime » et d ’Europol (AWF) MEN/MR Réglementation SGDN/DCSSI

Structures (non gouvernementale) CERTs (Computer Emergency Response Team) premier CERT créé suite à l ’affaire du « ver de l’Internet » en 1988 (le CERT-CC) nécessité de parer, prévenir des « bogues » existants dans les systèmes centralise les informations sur les incidents et les mesures de réactions diffuse l’information (validée) sur les corrections (patchs) à appliquer avertissent des « campagnes » d’attaques Plusieurs CERTs existent par grand organisme aux US : CIAC (DoE), NASIRC (NASA), ASSIST (DoD), par pays ailleurs (ex: AUSCERT (Australie, services payants) en France pour le moment ---> le CERTA, le CERT Renater et le CERT-IST En Europe ---> EURO-CERT FIRST (Forum of Incident Response and Security Team) les fédère

Coopération des CERTs en France CERT-Renater CERT-IST CERT-A Le CERT-Renater offre ses services aux sites connectés au réseau Renater (enseignement supérieur, recherche, éducation nationale, …) Le CERT-A est plutôt tournée vers les administrations (Ministère, administrations déconcentrées, …) Le CERT-IST vers l’industrie (grandes entreprises, PME/PMI)