Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parStanislas Leroy Modifié depuis plus de 7 années
1
Mars 2017 Politique de Sécurité Ionis-STM - David MARKOWICZ
2
Plan du Cours Introduction Définition d’une politique de sécurité
Mise en œuvre d’une politique de sécurité Validation d’une politique de sécurité Gestion de la continuité d’activité Ionis-STM - David MARKOWICZ Mars 2017
3
Mars 2017 Introduction Ionis-STM - David MARKOWICZ
4
Introduction Système d’information (définition) Le système d’information comprend les matériels informatiques et les équipements périphériques, les logiciels et microprogrammes, les algorithmes et spécifications internes aux programmes, la documentation, les moyens de transmission, les procédures, les données et les informations qui sont collectées, gardées, traitées, recherchées ou transmises par ces moyens ainsi que les ressources humaines qui les mettent en œuvre. Ionis-STM - David MARKOWICZ Mars 2017
5
Introduction Sécurité : protection contre les accidents
protection physique qualité de l’environnement Fiabilité des systèmes, pannes, tolérance de pannes Systèmes de secours, sauvegardes, maintenance Qualité de base des logiciels Confidentialité, intégrité, disponibilité intrusion réseau virus, piratage, · · · Ionis-STM - David MARKOWICZ Mars 2017
6
Introduction L’information numérique est vulnérable
peut être détruite, amputée, falsifiée, modifiée pas d’original, ni de copies mais des clones où la reproduction est à l’identique L’information numérique est volatile peut être ajustée, personnalisée un document générique peut être particularisé pour un destinataire spécifique un logiciel général peut être ajusté selon le contexte ou ciblé selon un usage spécifique Ionis-STM - David MARKOWICZ Mars 2017
7
Sécurité des SSI : concepts clés
Introduction Sécurité des SSI : concepts clés Ionis-STM - David MARKOWICZ Mars 2017
8
Introduction Ionis-STM - David MARKOWICZ Mars 2017
9
les enjeux de la sécurité des SSI
Introduction les enjeux de la sécurité des SSI Maîtriser le traitement, le stockage, le transport de l’information valoriser les contenus Multimédia, logiciel, propriétés intellectuelles, · · · libre circulation des contenus disséminer les œuvres, rétribuer les auteurs asseoir la confiance dans l’univers numérique e-commerce, e-business, e-gouvernement, · · · Sécuriser les personnes (libertés, protection de d’intimité) les entreprises et organisations (prévention des risques) Ionis-STM - David MARKOWICZ Mars 2017
10
Qui est concerné par la sécurité des SSI ?
Introduction Sécurité : norme ISO (ex ISO :2005) : décrit les différents items à couvrir dans le domaine de la sécurité des SSI Qui est concerné par la sécurité des SSI ? les informaticiens les dirigeants les utilisateurs tous les membres du groupe concernés par le système d’information Ionis-STM - David MARKOWICZ Mars 2017
11
Définition d’une politique de sécurité
Mars 2017 Définition d’une politique de sécurité Ionis-STM - David MARKOWICZ
12
Définition d’une politique de sécurité
Il s’agit de l’ensemble de lois, de règles et de pratiques qui régissent la façon dont l’information sensible et les autres ressources sont : Gérées Protégées Distribuées Ionis-STM - David MARKOWICZ Mars 2017
13
Définition d’une politique de sécurité
Que protéger ? => Liste des biens à protéger De quoi les protéger ? => Liste des menaces Quels sont les risques ? => Liste des impacts et probabilités Comment protéger l’entreprise ? => Liste des contre-mesures Ionis-STM - David MARKOWICZ Mars 2017
14
Définition d’une politique de sécurité
objectifs d’une politique de sécurité: Protéger le SI contre les menaces identifiées par l’analyse de risques plus précisément définir : les objectifs de sécurité décrivant les propriétés de : confidentialité Intégrité disponibilité l’état du système où ces propriétés sont vérifiées des règles de sécurité décrivant les moyens de modifier l’état de sécurité du système Ionis-STM - David MARKOWICZ Mars 2017
15
Définition d’une politique de sécurité
les politiques de sécurité sont classées en 3 catégories : les politiques de sécurité internes les politiques de sécurité techniques les politiques de sécurité système Ionis-STM - David MARKOWICZ Mars 2017
16
Définition d’une politique de sécurité
les politiques de sécurités internes aspects organisationnels Procédures sur la : Répartition des tâches et les responsabilités entre utilisateurs limitation du cumul de pouvoir Séparation de pouvoir dans une organisation Ionis-STM - David MARKOWICZ Mars 2017
17
Définition d’une politique de sécurité
les politiques de sécurité techniques aspects matériels et logiciels procédures sur : le vol les catastrophes naturelles le feu, ··· Ionis-STM - David MARKOWICZ Mars 2017
18
Définition d’une politique de sécurité
les politiques de sécurité système Spécifient l’ensemble des lois, des règlements et pratiques qui régissent la façon de : Gérer protéger diffuser les informations et les autres ressources sensibles au sein du SI Ionis-STM - David MARKOWICZ Mars 2017
19
Définition d’une politique de sécurité
les politiques de sécurité système s’appuie sur politique d’identification : identifier de manière unique chaque utilisateur politique d’authentification : permet à l’utilisateur de prouver son identité politique d’autorisation : détermine les opérations légitimes qu’un utilisateur peut réaliser Ionis-STM - David MARKOWICZ Mars 2017
20
Définition d’une politique de sécurité
Une politique de sécurité doit être bien définie cohérente complète Une politique de sécurité doit être mise en application : sensibilisation Simplicité (définition et implantation) Ionis-STM - David MARKOWICZ Mars 2017
21
Définition d’une politique de sécurité
Une politique de sécurité doit être un document de référence adopté par tous. Différentes méthodes : MEHARI (Méthodologie Harmonisée d’Analyse de Risques) EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) identification-des-objectifs-de-securite/ Ionis-STM - David MARKOWICZ Mars 2017
22
Mise en œuvre d’une politique de sécurité
Mars 2017 Mise en œuvre d’une politique de sécurité Ionis-STM - David MARKOWICZ
23
Mise en œuvre d’une politique de sécurité
choix des mécanismes les plus simples possibles permettant de protéger les ressources, de manière la plus efficace avec un coût acceptable Système d’authentification (biométrie, serveur d’authentification , · · · ) chiffrement (PKI, mécanismes intégrées à des protocoles de communication (IPsec), · · · ) pare feux (firewall) Système anti-virus outil de détection de failles de sécurité Système de détection d’intrusions système d’exploitation sécurisé ··· Ionis-STM - David MARKOWICZ Mars 2017
24
Mise en œuvre d’une politique de sécurité
validation d’une politique de sécurité audit de sécurité par un tiers de confiance valide les moyens de protection mis en œuvre par rapport a` la politique de sécurité Vérifie que chaque règle de sécurité est correctement appliquée l’ensemble des dispositions forme un tout cohérent et sûr Ionis-STM - David MARKOWICZ Mars 2017
25
Validation d’une politique de sécurité
Mars 2017 Validation d’une politique de sécurité Ionis-STM - David MARKOWICZ
26
Validation d’une politique de sécurité
test d’une politique de sécurité test d’intrusion : éprouver les moyens de protection d’un SI en essayant de s’introduire dans le système en situation réelle deux méthodes : black box s’introduire dans le système sans aucune connaissance préalable de celui-ci (situation réelle) white box s’introduire dans le système en ayant connaissance de l’ensemble du système (éprouver au maximum le système) Ionis-STM - David MARKOWICZ Mars 2017
27
Validation d’une politique de sécurité
test d’une politique de sécurité se fait avec l’accord de la hiérarchie le propriétaire du système doit donner une autorisation Dégâts possibles sur le système permet de sensibiliser le personnel ne permet pas de garantir la sécurité du système Ionis-STM - David MARKOWICZ Mars 2017
28
Validation d’une politique de sécurité
gestion des incidents que faire après une attaque ? obtention de l’adresse du pirate et riposte ? extinction de l’alimentation de la machine ? Débranchement de la machine du réseau ? Réinstallation du système ? plan de continuité de l’activité Ionis-STM - David MARKOWICZ Mars 2017
29
Gestion de la continuité d’activité
Mars 2017 Gestion de la continuité d’activité Ionis-STM - David MARKOWICZ
30
Gestion de la continuité d’activité
Définition des responsabilités (à l’avance) constitution de preuves sur l’attaque ( en cas d’enquête judiciaire) datation de l’intrusion (degré de compromission de la machine) confinement de la compromission (éviter la propagation) sauvegarde (comparaison des données du système avec la sauvegarde) mise en place d’un plan de repli (continuité de service) plan de continuité de l’activité Ionis-STM - David MARKOWICZ Mars 2017
31
Gestion de la continuité d’activité
politique de sauvegarde Définition des parties du SI à sauvegarder Disponibilité des sauvegardes politique des supports de sauvegarde organisation des sauvegardes réplication sur un site distant Ionis-STM - David MARKOWICZ Mars 2017
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.