Management des risques et sécurité de l’information Chapitre2: Stratégie et politique de sécurité 03/01/2016A. AISSA – ISSAT 2013/20141.

Slides:



Advertisements
Présentations similaires
Les Systèmes d’Information Financière Atelier conjoint ACBF / Banque Mondiale / AFRITAC de l’Ouest Gérer l’application dans le temps, sur les plans fonctionnel,
Advertisements

1 12 Niveaux de sécurité Atelier e-Sécurité – juin 2006.
Projet de Virtualisation dans le cadre d’un PCA/PRA
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Sécurité du Réseau Informatique du Département de l’Équipement
Etablir des procédures de vérification (Etape 11 / Principe 6)
Sommaire Introduction Les politiques de sécurité
Conception de la sécurité pour un réseau Microsoft
D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Les réseaux informatiques
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié
Le piratage informatique
Document d’accompagnement
Le management de l’entreprise
Sécurité Informatique Module 01
La revue de projet.
Les fonctions financières
MRP, MRP II, ERP : Finalités et particularités de chacun.
Gestion des risques Contrôle Interne
Les exigences de la norme ISO 14001
Administration système
Edition spéciale MBA MARH - PPA
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Montage Hors Tension BT
Guide de gestion environnementale dans l’entreprise industrielle
Management stratégique et management opérationnel
Tous les mercredis du 3 octobre au 19 décembre 2012
Cahier des charges des Connaissances nécessaires au salarié d’une entreprise de travaux agricoles et ruraux en matière de Qualité-Sécurité et Environnement.
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.
Place de l’audit dans la démarche qualité en hygiène hospitalière
Systèmes d’informations : Définition, Composantes, Rôles et Approches.
Urbanisation des SI Réalisé par: Kerai yassine kertiou ismail
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
Sécurité Les Virus Logiciels non sollicités et réalisant des opérations malveillantes ou destructrices Typologie –D’application :introduit par recopie.
Le management de l'IVVQ Processus techniques IVVQ
Introduction à la Sécurité Informatique
PRESENTATION SYSTEME QUALITE IM Projet
Management de la qualité
La norme international OHSAS et la directive MSST
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Initiation à la conception des systèmes d'informations
Management de la qualité
Hygiène Sécurité Conditions de Travail AVSC Nord de France
MODULE DE FORMATION À LA QUALITÉ
Sécurité et Internet Formation.
Offre de service Sécurité des systèmes d’information
Sites Pilotes Généralisation
MODULE DE FORMATION À LA QUALITÉ
Réalisé par : Mr. B.BENDIAF Mr. H.REHAB.
Séquence 4 : Contrôle Interne
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
CONSEIL f Indépendance Efficience Partage Mettez en œuvre un plan de prévention des risques sécuritaires et sanitaires pertinent au sein de votre entreprise.
ISO 31000: Vers un management global des risques
Martine Miny - MPInstitut - Référentiels et métiers de management de projet - Mastère IESTO - 9 février 2004 Référentiels et métiers de management de projet.
MAITRISE de la QUALITE des PROJETS
Système de Management Intégré
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
BTS IRIS Étude du référentiel. RÉCAPITULATIF PAR ACTIVITÉ DES TÂCHES réalisées en autonomie. Installation, exploitation, optimisation et maintenance T6.8Suivi.
Etre responsable à l’ère du numérique Domaine D2.
COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.
CONTENU DE L ’ISO Définition métrologie.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 0 Yannick bouchet.
Les outils de la lutte contre la corruption dans le secteur public
Transcription de la présentation:

Management des risques et sécurité de l’information Chapitre2: Stratégie et politique de sécurité 03/01/2016A. AISSA – ISSAT 2013/20141

I)Introduction II) Stratégie & politique de la sécurité des S.I. 03/01/2016A. AISSA – ISSAT 2013/20142 Plan Général

I- Introduction 1) Vision intégrée de la sécurité de l’information: Pour un SI efficace, chaque entité (état, entreprise ou individu) doit avoir une vision intégrée de sécurité de l’information, c’est-à-dire aux niveaux stratégique, tactique et opérationnel : 03/01/2016A. AISSA – ISSAT 2013/20143

I- Introduction 2) Niveau stratégique: La vision stratégique repose sur cinq éléments: 03/01/2016A. AISSA – ISSAT 2013/20144

I- Introduction 3) Niveau tactique: Le niveau tactique met en œuvre la vision stratégique par un processus itératif de sécurité: 03/01/2016A. AISSA – ISSAT 2013/20145

I- Introduction 4) Niveau opérationnel: C’est l’application au quotidien des diverses procédures de sécurité (contenue dans le SOP: service operating procedures), telles que:  Définition du domaine à protéger  Définition de l'architecture de sécurité (emploi de VPN, DMZ, Pare-feu,…)  Plan de réponse après incident et procédures de reprise ( Procédure pour empêcher que cela se renouvelle)  Suppression de la vulnérabilité, ou suppression de l'attaquant  Charte du bon comportement de l'employé  Procédures d'intégration et de départ des employés  Manière de mise à jour des logiciels  Définition des responsabilités (organigramme) 03/01/2016A. AISSA – ISSAT 2013/20146

03/01/2016A. AISSA – ISSAT 2013/20147 II- Stratégie la de sécurité 1) Objectifs de la stratégie de sécurité (1): - Présenter une démarche globale, pour la gestion et la maîtrise des risques de la sécurité de l’information. - Définir les cinq éléments d’une stratégie de sécurité efficace (qui sont: politique, outils de test,…). - Définir une politique de sécurité applicable et pouvant être opérationnelle. - Proposer une structure organisationnelle, pour la réalisation et la gestion de la sécurité (particulièrement orientée à la sécurité des réseaux informatiques).

03/01/2016A. AISSA – ISSAT 2013/20148 II- Stratégie de la sécurité 1bis) Objectifs de la stratégie de sécurité (2): - Exposer les phases d’élaboration d’un plan de secours & ses éléments constitutifs. - Diminuer la probabilité de voir des menaces se concrétiser. - Limiter le nombre d’atteintes/dysfonctionnements. - Être capable du retour à un fonctionnement normal (ou minimal) en cas de sinistre, à des coûts et délais acceptables.

03/01/2016A. AISSA – ISSAT 2013/20149 II- Stratégie de la sécurité 2) Les besoins à satisfaire par la stratégie: Assurer les services suivants aux informations:  Confidentialité (C): les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non- autorisé.  Authenticité et non-répudiation (R): l’identité de chaque acteur de la communication est vérifiée. De même, les acteurs impliqués dans la communication ne peuvent nier y avoir participé.  Intégrité (I): les données de la communication n’ont pas été altérées par autrui.  Disponibilité (A): les acteurs de la communication accèdent aux données dans de bonnes conditions.

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 3) Conditions de succès de la stratégie: - Implication de la direction dans son élaboration - Être simple, précise, compréhensible & applicable. - Gestion centralisée de toutes ses composantes. - Un niveau minimum garanti de confiance dans les systèmes, outils et personnes impliquées. - Contrôle et respect des clauses de sécurité définies. - Faire des audits, pour la vérification de la bonne conduite et de l’efficacité.

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (1): Politique de sécurité Mesures ou Mécanismes de défense/ de sécurité Procédures de gestion de la sécurité Personnels de décision et d’exploitation Outils de test de la sécurité

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (2): a) Politique de la sécurité: * S’interroger sur les points suivants: - De qui ou de quoi on veut se protéger ? - Quels sont les risques réellement encourus ? - Ces risques sont ils supportables? - Quel est le niveau actuel de la sécurité de l’entreprise? - Quel est le niveau de sécurité à atteindre ? - Quelles sont les contraintes effectives? - Quels sont les moyens disponibles? - Comment les mettre en œuvre?

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (3): a) Politique de la sécurité (2): * Détermination des normes générales de la sécurité (quel est le référentiel de sécurité: RGS v1.0,…?): * Stipulation des exigences de sécurité envers les partenaires externes.  Cela passe par l’inventaire complet de tous les éléments matériels, logiciels et humains qui interviennent dans la chaîne de sécurité.

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (3): b) Mesures de la sécurité (1): * Mesures Structurelles (propres à l’entreprise): - Visent à protéger les biens de l’entreprise - Ciblent des menaces potentielles, qui peuvent se concrétiser par des agressions * Mesures de dissuasion: - Procédures juridiques & administratives (GRH,…) - Ayant pour objectif d’éviter de voir se concrétiser des menaces

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (4): b) Mesures de la sécurité (2): * Mesures préventives: - Contrôle d’accès, détecteurs de virus,… - Empêchent l’aboutissement des agressions * Mesures de protection: - Détecteurs d’intrusion, d’incendie, d’erreur de transmissions,… - Permettent de se protéger des agressions ou d’en limiter l’ampleur

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (5): b) Mesures de la sécurité (3): * Mesures correctives: - Sauvegardes, plan de continuité, réparation,.. - Pallier ou réparer les dégâts engendrés (subis) * Mesures de récupération: - Assurances, actions en justice,… - Limiter les conséquences fâcheuses, consécutives à un sinistre

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (6): b) Mesures de la sécurité (4): Parmi les mécanismes/mesures de sécurité on cite:  Chiffrement des échanges d’information  Signature numérique et certification (preuve d'un fait, d'un droit accordé).  Contrôle d’accès et Authentification  Antivirus  Le pare-feu et détection d'intrusion  Journalisation ("logs")  Analyse des vulnérabilités ("security audit »)  Contrôle du routage  Horodatage : marquage sécurisé des instants significatifs.  Distribution sécurisée des clefs entre les entités concernées.

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (7): c) Procédures de gestion de la sécurité (1): * Phase1 (Orientations et choix du système de sécurité): - Mobiliser tout le personnel impliqué - Identifier les cibles, les menaces et les enjeux - Définir les niveaux de sécurité - Estimer la taille du système à mettre en place  Définition de la politique de sécurité

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (8): c) Procédures de gestion de la sécurité (2): * Phase2 (Mise en place des règles de sécurité, qui permettent d’atteindre les niveaux de sécurité fixés et ce dans): - Domaines physique et matériels - Données & logiciels - Développement d’applications - Documentation - Maintenance & exploitation - GRH

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (9): c) Procédures de gestion de la sécurité (3): * Phase3 (Gérer le quotidien et valider les mesures prises): - Tester les mesures de sécurité adoptée - Les valider ou les adapter, si nécessaire, en faisant des audits réguliers. - Actualiser le plan de secours

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (10): d) Outils de test de la sécurité: Ils englobent - Scanners & utilitaires - Outils pour forcer les mots de passe - Chevaux de Troie - Dispositifs de surveillance - Techniques de dissimulation - Dispositifs destructeurs

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (11): d) Outils de test de la sécurité: Englobent * Scanners & utilitaires (1): - Ils révèlent les faiblesses d’un réseau. - Permettent de renforcer le système de sécurité d’une façon immédiate. - Sont également utilisés par les hackers pour détecter les failles d’un système de sécurité. - Sont distribués librement sur Internet. - Permettent de localiser une machine, de détecter les programmes en exécution et détecter les failles.

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (12): d) Outils de test de la sécurité: Englobent * Scanners & utilitaires (2): - Sont différents des utilitaires réseau sous les systèmes d’exploitation (tels que Host, Traceroute, rusers, finger, showmount sous UNIX et Netscan Tools, Network tools, TCP/IP Surveyor sous WINDOWS). - Des exemples de scanners sont NSS (Network security scanner), STROBE et SATAN (Security Administor’s Tool for Analyzing Networks), JACAL et IDENT TCP SCAN.

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (13): d) Outils de test de la sécurité: Englobent * Outils pour forcer les mots de passe (1): - Tout programme qui permet de rechercher des mots de passe (déjouer leur protection) - Ces outils n’effectuent généralement aucun déchiffrage - Les mots de passe cryptés ne peuvent être décryptés - Sont gourmands en ressources du système ( RAM & disque dur)

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (14): d) Outils de test de la sécurité: Englobent * Outils pour forcer les mots de passe (2): - CRACK: trouve les mots de passe sous UNIX - CrackerJack: Mots de passe sous UNIX & DOS - Pacecrack95: Tourne sous Windows 95 - Qcrack - John the Ripper - Pcrack ( PerlCrack) - Hades,….

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (15): d) Outils de test de la sécurité: Englobent * Chevaux de Troie: - Difficiles à détecter - Dissimilés dans d’autres programmes - Peuvent toucher plusieurs machines à la fois - Ces attaques peuvent être fatales aux systèmes, dans certains cas. - Parmi les outils utilisés pour détecter ces chevaux: MD5, TripWire, TAMU, ATP, Hobgoblin,…

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (16): d) Outils de test de la sécurité: Englobent * Dispositifs matériels ou logiciels de surveillance contre les « Sniffers ». Les « sniffers » présentent une menaces car ils: -Peuvent capter les mots de passe -Intercepter l’échange d’informations -Peuvent être utilisés pour ouvrir une faille dans le système de sécurité d’un réseau voisin. -Ils peuvent être placés partout dans le réseau.

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (17): d) Outils de test de la sécurité: Englobent * Techniques de dissimulation d’identité: - Prendre la forme de fichier texte, image, son ou vidéo. - Les rétrovirus attaquent les antivirus et bloquent leur exécution et leur redémarrage - Les virus polymorphes changent leurs signatures à chaque nouvelle infection de fichier. - Les virus « hybrides » : Combinent les caractéristiques de nombreux autres virus informatiques (les virus Stuxnet et Flame).

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (18): d) Outils de test de la sécurité: Englobent * Dispositifs destructeurs: - Les dispositifs destructeurs sont utilisés pour paralyser, saturer ou détruire un système d'information. - Ils constituent l'espèce la plus nuisible dans le domaine de la sécurité car ils peuvent être la source de perte de données

03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (18): e) Personnel de décision et d’exploitation: - Tout le personnel d’un organisme est une composante essentielle de la réussite d’une politique de sécurité. - Le personnel de décision doit être impliqué dans la phase de définition de la politique de sécurité. - Le personnel d’exploitation doit se conformer à la politique de sécurité (i.e.: Longueur et fréquence de changement des mots de passe, usage des PC personnels sur le réseau de l’organisme,…) - Souvent une charte de l’exploitant est définie