La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Sécurité Des Systèmes d’Information Plan. Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas.

Présentations similaires


Présentation au sujet: "La Sécurité Des Systèmes d’Information Plan. Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas."— Transcription de la présentation:

1 La Sécurité Des Systèmes d’Information Plan

2 Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas Pratiques

3 La Sécurité Des Systèmes d’Information Introduction

4 Copyright Définition Sécurité des SI= Protéger les biens et informations les plus précieuses pour l’entreprise

5 Copyright La Sécurité des SI Critères d’évaluation: Disponibilité Intégrité Confidentialité Traçabilité

6 Copyright Introduction Les risques Les objectifs Définition

7 Copyright Les Risques Mesurés par la combinaison d’une menace et des pertes qu’elles pourraient engendrées Plusieurs éléments: Méthode d’attaque Éléments menaçants Vulnérabilités des entités

8 Copyright Les Risques Attaque passive Attaque active Usurpation Répudiation Intrusion

9 Copyright Les Objectifs Protéger les données stockées ou en transit sur le réseau contre : modification (destruction) non autorisée utilisation frauduleuse divulgation non autorisée Sécuriser l’accès aux systèmes, services et données par : vérification de l’identité déclinée par le requérant gestion des droits d’accès et des autorisations

10 Sécurité des Systèmes d’Information Concepts et Technologies

11 Copyright Cryptographie Ensemble des techniques permettant de crypter / décrypter des messages Crypter : brouiller l’information, la rendre “incompréhensible” Décrypter : rendre le message compréhensible Emetteur Destinataire Message clair #¨^%!! §§ $ ££-@ Message clair encryption décryption

12 Copyright Cryptographie: Clé Symétrique Même clé pour chiffrer et déchiffrer Avantages : facile à implémenter rapide

13 Copyright Cryptographie: Clé Asymétrique Chaque communicant possède une paire de clés associées : clé publique Kpb et clé privée Kpv Un message chiffré par l’une des clés ne peut pas être déchiffré par cette même clé mais peut être déchiffré par l’autre clé de la paire

14 Copyright Cryptographie La clé privée doit être conservée par son propriétaire Rien n’impose de la dévoiler à qui que ce soit La clé publique est diffusée sans restriction idéalement avec un niveau de diffusion comparable à l’annuaire téléphonique Aucun moyen pratique de déduire l’une des clés de la connaissance de l’autre clé

15 Copyright Cryptographie : Avantages Message chiffré avec la clé publique seul le propriétaire de la clé privée correspondante peut en prendre connaissance : confidentialité le receveur n’a aucune idée de l’expéditeur puisque la clé publique est accessible à tous

16 Copyright Cryptographie : Avantages Message chiffré avec la clé privée altération frauduleuse impossible car nécessite la connaissance de la clé privée : intégrité pas de confidentialité : la clé publique peut être utilisée par tous pour lire la clé privée dévoile l’identité de l’expéditeur propriétaire de la clé privée

17 Copyright Cryptographie : Inconvénients Algorithmes complexes et difficiles à implémenter Peu performant : long et gourmand en CPU  1000 plus lents que les algorithmes à clés symétriques Moins sûrs contre les attaques de « force brute » nécessite des clés plus longues que les algorithmes symétriques

18 Copyright Cryptographie: le Hashage Calcule un « condensé significatif » de taille fixe, quelque soit la taille d’origine irréversible : transformation inverse impossible déterministe : le même message produit le même résumé effets imprévisibles L’intégrité du résumé significatif est une garantie de l’intégrité du document d’origine c’est une « empreinte digitale » du document

19 Copyright Signature Electronique Propriétés : Ne peut être créée indépendamment Sa validité peut être vérifiée par tous la clé publique est accessible librement les algorithmes utilisés sont connus Elle révèle toute altération, frauduleuse ou accidentelle Falsification en principe impossible non-répudiation

20 Copyright PKI (Public Key Infrastructure) Ensemble des solutions techniques basées sur la cryptographie à clé publique Canal sécurisé inutile  tiers de confiance CA Signe clé publique Assure véracité des informations

21 Copyright PKI Confiance directe Modèle simple de confiance, l’utilisateur a confiance dans la validité de la clé car il sait d’où elle vient. Confiance hiérarchique ou “arbre” de confiance Le certificat est vérifié jusqu’à ce que le certificat de type root soit trouvé. Confiance décentralisée ou en réseau Cumule des deux modèles.

22 Copyright Complète les techniques de cryptographie par : Les contrôles d’accès réseau (machines, serveurs) sur les paramètres utilisés pour l’établissement des communications : adresses et ports, sens de la connexion FIREWALL Solutions et Dispositifs de Sécurisation : Sécurité Architecturale

23 Copyright Solutions et Dispositifs de Sécurisation : Sécurité Architecturale Des contrôles plus fins (et plus lourds) au niveau du flot de données émis ou reçu par une application serveur PROXY entre des clients et une application : exemple WEB proxy entre les browsers et le serveur WEB SAS applicatifs spécialisés pour certaines applications : serveurs FTP ou Telnet (proxy FTP, proxy Telnet)

24 Copyright Principaux standards : S/MIME (Secured Multipurpose Internet Mail Extensions) chiffrement et signature digitale (authentification et confidentialité) des messages électroniques et documents attachés au format MIME extension du standard d’interopérabilité MIME Solutions et dispositifs de sécurisation : Sécurité off-line

25 Copyright Solutions et dispositifs de sécurisation : Sécurité off-line PGP (Pretty Good Privacy) système de cryptographie hybride (clés symétriques et asymétriques) les données sont compressées puis chiffrées pour économiser l’espace disque. chaque utilisateur est sa propre autorité de certification XML (eXtensible Markup Language) Signature XML Encryption SecurBdF (Banque de France)

26 Copyright Protections assurées attaque passive attaque active usurpation (émetteur) répudiation (émetteur) protection de bout en bout Protections non assurées usurpation (récepteur) intrusion répudiation (récepteur) Solutions et dispositifs de sécurisation : Sécurité off-line

27 Copyright Principaux protocoles : SSL/TLS (Secured Socket Layer/ Transport Layer Security) SSH (Secured SHell) Protections assurées attaque passive attaque active usurpation Intrusion Protections non assurées répudiation protection de bout en bout Solutions et dispositifs de sécurisation : Sécurité de transport

28 La Sécurité des Systèmes d’Information P olitique de S écurité des S ystèmes d’ I nformation (PSSI)

29 Copyright Définition Ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information de l’organisme.

30 Copyright Principales étapes Audit Elaboration des règles Surveillance Actions

31 Copyright Audit Identifier / Classer les risques et leurs menaces: Quels sont les risques ? Quelle en est la probabilité ? Quels sont leurs impacts ? Identifier les besoins : État des lieux du SI

32 Copyright Les risques Répertoriés les risques encourus Estimer leur probabilité: Faible: menace peu de chance de se produire Moyenne: la menace est réelle Haute: la menace a de très grande chance de se produire Etudier leur impact (coût des dommages)

33 Copyright Elaboration de règles Règles et procédures pour répondre aux risques Allouer les moyens nécessaires

34 Copyright Surveillance Détecter les vulnérabilités du SI Se tenir informé des failles Etre réactifs …

35 Copyright Les Cibles des Failles de la Sécurité R&D Services financiers Marketing Réseaux de vente (! Distributeurs et clients trop bavards) Le service achat Le Personnel: sensibiliser l’ensemble du personnel, attention aux licenciés, mécontents …

36 Copyright Actions Définir les actions à entreprendre Et les personnes à contacter en cas de menace

37 Copyright Actions Simples à mettre en œuvre et pourtant pas toujours existantes ! Entrées et sorties contrôlées Surveiller et piéger les BD dans entreprise Méfiance au téléphone …

38 Copyright Acteurs & Rôles Pourquoi ? Quoi Qui ? Quand ? Comment ? Direction Générale Responsable SSI Responsable Fonctionnel Responsable Projet CHARTES REGLES GENERALES PROCESSUS & CONTROLES PROCEDURES OPTIONNELLES

39 Copyright Thèmes Classification et contrôle du patrimoine matériel et immatériel Rôle des personnes Protection des locaux et équipements Contrôle des accès et gestion des habilitations Gestion des communications et des opérations Développement et maintenance des systèmes d’information Continuité des activités Obligations légales

40 Copyright Réussite PSSI Etre simple et réaliste pour que tout le monde la comprenne et puisse la respecter Faire vivre

41 Copyright Stratégie PSSI doit faire partie intégrante de la stratégie de la société : défaut de sécurité coûte cher ! Inclure une notion générale de la sécurité reposant sur 4 points: Protection des applicatifs aux métiers du SI qualifiés de sensible Diminution des vulnérabilités Sécurité proprement dite du SI Continuité en cas de sinistre

42 Copyright Normes et Méthodes Normes = bonnes pratiques Méthodes = évaluation globale du SI en terme de: Risques Protection

43 Copyright Normes ISO 27 001: Approche processus (PDCA) 133 mesures base dans l’élaboration du plan ISO 17 799: découpage par thèmes

44 Copyright Méthodes Démarche structurée Obtenir une partie des éléments stratégiques

45 Copyright Méthodes Cobit: Control Objectives for Business and related Techonology Ebios: Expression des besoins et identification et des objectifs de sécurité Marion Mehari: Méthode harmonisée d’analyse des risques

46 Copyright Ebios Etude du contexte: éléments essentiels (ensemble d’entités de différents types) Expression des besoins: critères de sécurité  impact Etude des menaces: type/cause Expression des objectifs de sécurité Détermination des exigences de sécurité

47 Copyright ISMS (Information Security Management System) Application au domaine de la sécurité informatique de la roue de Deming Planifier Faire Vérifier(Ré)Agir

48 Copyright ISMS (Information Security Management System) Planifier: passer d’une posture réactive à proactive Faire: développer des processus en suivant un référentiel de sécurité Contrôler: audits et tests d’intrusion Agir: analyse des risques des besoins et enjeux

49 Copyright Cadre juridique Loi Sarbannes-Oxley Loi des libertés personnelles


Télécharger ppt "La Sécurité Des Systèmes d’Information Plan. Copyright Plan Introduction Concepts et Technologies Politique de Sécurité des Systèmes d’Information Cas."

Présentations similaires


Annonces Google