Management des risques et sécurité de l’information Chapitre2: Stratégie et politique de sécurité 03/01/2016A. AISSA – ISSAT 2013/20141
I)Introduction II) Stratégie & politique de la sécurité des S.I. 03/01/2016A. AISSA – ISSAT 2013/20142 Plan Général
I- Introduction 1) Vision intégrée de la sécurité de l’information: Pour un SI efficace, chaque entité (état, entreprise ou individu) doit avoir une vision intégrée de sécurité de l’information, c’est-à-dire aux niveaux stratégique, tactique et opérationnel : 03/01/2016A. AISSA – ISSAT 2013/20143
I- Introduction 2) Niveau stratégique: La vision stratégique repose sur cinq éléments: 03/01/2016A. AISSA – ISSAT 2013/20144
I- Introduction 3) Niveau tactique: Le niveau tactique met en œuvre la vision stratégique par un processus itératif de sécurité: 03/01/2016A. AISSA – ISSAT 2013/20145
I- Introduction 4) Niveau opérationnel: C’est l’application au quotidien des diverses procédures de sécurité (contenue dans le SOP: service operating procedures), telles que: Définition du domaine à protéger Définition de l'architecture de sécurité (emploi de VPN, DMZ, Pare-feu,…) Plan de réponse après incident et procédures de reprise ( Procédure pour empêcher que cela se renouvelle) Suppression de la vulnérabilité, ou suppression de l'attaquant Charte du bon comportement de l'employé Procédures d'intégration et de départ des employés Manière de mise à jour des logiciels Définition des responsabilités (organigramme) 03/01/2016A. AISSA – ISSAT 2013/20146
03/01/2016A. AISSA – ISSAT 2013/20147 II- Stratégie la de sécurité 1) Objectifs de la stratégie de sécurité (1): - Présenter une démarche globale, pour la gestion et la maîtrise des risques de la sécurité de l’information. - Définir les cinq éléments d’une stratégie de sécurité efficace (qui sont: politique, outils de test,…). - Définir une politique de sécurité applicable et pouvant être opérationnelle. - Proposer une structure organisationnelle, pour la réalisation et la gestion de la sécurité (particulièrement orientée à la sécurité des réseaux informatiques).
03/01/2016A. AISSA – ISSAT 2013/20148 II- Stratégie de la sécurité 1bis) Objectifs de la stratégie de sécurité (2): - Exposer les phases d’élaboration d’un plan de secours & ses éléments constitutifs. - Diminuer la probabilité de voir des menaces se concrétiser. - Limiter le nombre d’atteintes/dysfonctionnements. - Être capable du retour à un fonctionnement normal (ou minimal) en cas de sinistre, à des coûts et délais acceptables.
03/01/2016A. AISSA – ISSAT 2013/20149 II- Stratégie de la sécurité 2) Les besoins à satisfaire par la stratégie: Assurer les services suivants aux informations: Confidentialité (C): les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non- autorisé. Authenticité et non-répudiation (R): l’identité de chaque acteur de la communication est vérifiée. De même, les acteurs impliqués dans la communication ne peuvent nier y avoir participé. Intégrité (I): les données de la communication n’ont pas été altérées par autrui. Disponibilité (A): les acteurs de la communication accèdent aux données dans de bonnes conditions.
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 3) Conditions de succès de la stratégie: - Implication de la direction dans son élaboration - Être simple, précise, compréhensible & applicable. - Gestion centralisée de toutes ses composantes. - Un niveau minimum garanti de confiance dans les systèmes, outils et personnes impliquées. - Contrôle et respect des clauses de sécurité définies. - Faire des audits, pour la vérification de la bonne conduite et de l’efficacité.
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (1): Politique de sécurité Mesures ou Mécanismes de défense/ de sécurité Procédures de gestion de la sécurité Personnels de décision et d’exploitation Outils de test de la sécurité
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (2): a) Politique de la sécurité: * S’interroger sur les points suivants: - De qui ou de quoi on veut se protéger ? - Quels sont les risques réellement encourus ? - Ces risques sont ils supportables? - Quel est le niveau actuel de la sécurité de l’entreprise? - Quel est le niveau de sécurité à atteindre ? - Quelles sont les contraintes effectives? - Quels sont les moyens disponibles? - Comment les mettre en œuvre?
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (3): a) Politique de la sécurité (2): * Détermination des normes générales de la sécurité (quel est le référentiel de sécurité: RGS v1.0,…?): * Stipulation des exigences de sécurité envers les partenaires externes. Cela passe par l’inventaire complet de tous les éléments matériels, logiciels et humains qui interviennent dans la chaîne de sécurité.
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (3): b) Mesures de la sécurité (1): * Mesures Structurelles (propres à l’entreprise): - Visent à protéger les biens de l’entreprise - Ciblent des menaces potentielles, qui peuvent se concrétiser par des agressions * Mesures de dissuasion: - Procédures juridiques & administratives (GRH,…) - Ayant pour objectif d’éviter de voir se concrétiser des menaces
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (4): b) Mesures de la sécurité (2): * Mesures préventives: - Contrôle d’accès, détecteurs de virus,… - Empêchent l’aboutissement des agressions * Mesures de protection: - Détecteurs d’intrusion, d’incendie, d’erreur de transmissions,… - Permettent de se protéger des agressions ou d’en limiter l’ampleur
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (5): b) Mesures de la sécurité (3): * Mesures correctives: - Sauvegardes, plan de continuité, réparation,.. - Pallier ou réparer les dégâts engendrés (subis) * Mesures de récupération: - Assurances, actions en justice,… - Limiter les conséquences fâcheuses, consécutives à un sinistre
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (6): b) Mesures de la sécurité (4): Parmi les mécanismes/mesures de sécurité on cite: Chiffrement des échanges d’information Signature numérique et certification (preuve d'un fait, d'un droit accordé). Contrôle d’accès et Authentification Antivirus Le pare-feu et détection d'intrusion Journalisation ("logs") Analyse des vulnérabilités ("security audit ») Contrôle du routage Horodatage : marquage sécurisé des instants significatifs. Distribution sécurisée des clefs entre les entités concernées.
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (7): c) Procédures de gestion de la sécurité (1): * Phase1 (Orientations et choix du système de sécurité): - Mobiliser tout le personnel impliqué - Identifier les cibles, les menaces et les enjeux - Définir les niveaux de sécurité - Estimer la taille du système à mettre en place Définition de la politique de sécurité
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (8): c) Procédures de gestion de la sécurité (2): * Phase2 (Mise en place des règles de sécurité, qui permettent d’atteindre les niveaux de sécurité fixés et ce dans): - Domaines physique et matériels - Données & logiciels - Développement d’applications - Documentation - Maintenance & exploitation - GRH
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (9): c) Procédures de gestion de la sécurité (3): * Phase3 (Gérer le quotidien et valider les mesures prises): - Tester les mesures de sécurité adoptée - Les valider ou les adapter, si nécessaire, en faisant des audits réguliers. - Actualiser le plan de secours
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (10): d) Outils de test de la sécurité: Ils englobent - Scanners & utilitaires - Outils pour forcer les mots de passe - Chevaux de Troie - Dispositifs de surveillance - Techniques de dissimulation - Dispositifs destructeurs
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (11): d) Outils de test de la sécurité: Englobent * Scanners & utilitaires (1): - Ils révèlent les faiblesses d’un réseau. - Permettent de renforcer le système de sécurité d’une façon immédiate. - Sont également utilisés par les hackers pour détecter les failles d’un système de sécurité. - Sont distribués librement sur Internet. - Permettent de localiser une machine, de détecter les programmes en exécution et détecter les failles.
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (12): d) Outils de test de la sécurité: Englobent * Scanners & utilitaires (2): - Sont différents des utilitaires réseau sous les systèmes d’exploitation (tels que Host, Traceroute, rusers, finger, showmount sous UNIX et Netscan Tools, Network tools, TCP/IP Surveyor sous WINDOWS). - Des exemples de scanners sont NSS (Network security scanner), STROBE et SATAN (Security Administor’s Tool for Analyzing Networks), JACAL et IDENT TCP SCAN.
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (13): d) Outils de test de la sécurité: Englobent * Outils pour forcer les mots de passe (1): - Tout programme qui permet de rechercher des mots de passe (déjouer leur protection) - Ces outils n’effectuent généralement aucun déchiffrage - Les mots de passe cryptés ne peuvent être décryptés - Sont gourmands en ressources du système ( RAM & disque dur)
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (14): d) Outils de test de la sécurité: Englobent * Outils pour forcer les mots de passe (2): - CRACK: trouve les mots de passe sous UNIX - CrackerJack: Mots de passe sous UNIX & DOS - Pacecrack95: Tourne sous Windows 95 - Qcrack - John the Ripper - Pcrack ( PerlCrack) - Hades,….
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (15): d) Outils de test de la sécurité: Englobent * Chevaux de Troie: - Difficiles à détecter - Dissimilés dans d’autres programmes - Peuvent toucher plusieurs machines à la fois - Ces attaques peuvent être fatales aux systèmes, dans certains cas. - Parmi les outils utilisés pour détecter ces chevaux: MD5, TripWire, TAMU, ATP, Hobgoblin,…
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (16): d) Outils de test de la sécurité: Englobent * Dispositifs matériels ou logiciels de surveillance contre les « Sniffers ». Les « sniffers » présentent une menaces car ils: -Peuvent capter les mots de passe -Intercepter l’échange d’informations -Peuvent être utilisés pour ouvrir une faille dans le système de sécurité d’un réseau voisin. -Ils peuvent être placés partout dans le réseau.
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (17): d) Outils de test de la sécurité: Englobent * Techniques de dissimulation d’identité: - Prendre la forme de fichier texte, image, son ou vidéo. - Les rétrovirus attaquent les antivirus et bloquent leur exécution et leur redémarrage - Les virus polymorphes changent leurs signatures à chaque nouvelle infection de fichier. - Les virus « hybrides » : Combinent les caractéristiques de nombreux autres virus informatiques (les virus Stuxnet et Flame).
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (18): d) Outils de test de la sécurité: Englobent * Dispositifs destructeurs: - Les dispositifs destructeurs sont utilisés pour paralyser, saturer ou détruire un système d'information. - Ils constituent l'espèce la plus nuisible dans le domaine de la sécurité car ils peuvent être la source de perte de données
03/01/2016A. AISSA – ISSAT 2013/ II- Stratégie de la sécurité 4) Les composantes de la stratégie (18): e) Personnel de décision et d’exploitation: - Tout le personnel d’un organisme est une composante essentielle de la réussite d’une politique de sécurité. - Le personnel de décision doit être impliqué dans la phase de définition de la politique de sécurité. - Le personnel d’exploitation doit se conformer à la politique de sécurité (i.e.: Longueur et fréquence de changement des mots de passe, usage des PC personnels sur le réseau de l’organisme,…) - Souvent une charte de l’exploitant est définie