La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Management des risques et sécurité de l’information Chapitre2: Stratégie et politique de sécurité 03/01/2016A. AISSA – ISSAT 2013/20141.

Publié parYves Charpentier Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Management des risques et sécurité de l’information Chapitre2: Stratégie et politique de sécurité 03/01/2016A. AISSA – ISSAT 2013/20141."— Transcription de la présentation:

1 Management des risques et sécurité de l’information Chapitre2: Stratégie et politique de sécurité 03/01/2016A. AISSA – ISSAT 2013/20141

2 I)Introduction II) Stratégie & politique de la sécurité des S.I. 03/01/2016A. AISSA – ISSAT 2013/20142 Plan Général

3 I- Introduction 1) Vision intégrée de la sécurité de l’information: Pour un SI efficace, chaque entité (état, entreprise ou individu) doit avoir une vision intégrée de sécurité de l’information, c’est-à-dire aux niveaux stratégique, tactique et opérationnel : 03/01/2016A. AISSA – ISSAT 2013/20143

4 I- Introduction 2) Niveau stratégique: La vision stratégique repose sur cinq éléments: 03/01/2016A. AISSA – ISSAT 2013/20144

5 I- Introduction 3) Niveau tactique: Le niveau tactique met en œuvre la vision stratégique par un processus itératif de sécurité: 03/01/2016A. AISSA – ISSAT 2013/20145

6 I- Introduction 4) Niveau opérationnel: C’est l’application au quotidien des diverses procédures de sécurité (contenue dans le SOP: service operating procedures), telles que:  Définition du domaine à protéger  Définition de l'architecture de sécurité (emploi de VPN, DMZ, Pare-feu,…)  Plan de réponse après incident et procédures de reprise ( Procédure pour empêcher que cela se renouvelle)  Suppression de la vulnérabilité, ou suppression de l'attaquant  Charte du bon comportement de l'employé  Procédures d'intégration et de départ des employés  Manière de mise à jour des logiciels  Définition des responsabilités (organigramme) 03/01/2016A. AISSA – ISSAT 2013/20146

7 03/01/2016A. AISSA – ISSAT 2013/20147 II- Stratégie la de sécurité 1) Objectifs de la stratégie de sécurité (1): - Présenter une démarche globale, pour la gestion et la maîtrise des risques de la sécurité de l’information. - Définir les cinq éléments d’une stratégie de sécurité efficace (qui sont: politique, outils de test,…). - Définir une politique de sécurité applicable et pouvant être opérationnelle. - Proposer une structure organisationnelle, pour la réalisation et la gestion de la sécurité (particulièrement orientée à la sécurité des réseaux informatiques).

8 03/01/2016A. AISSA – ISSAT 2013/20148 II- Stratégie de la sécurité 1bis) Objectifs de la stratégie de sécurité (2): - Exposer les phases d’élaboration d’un plan de secours & ses éléments constitutifs. - Diminuer la probabilité de voir des menaces se concrétiser. - Limiter le nombre d’atteintes/dysfonctionnements. - Être capable du retour à un fonctionnement normal (ou minimal) en cas de sinistre, à des coûts et délais acceptables.

9 03/01/2016A. AISSA – ISSAT 2013/20149 II- Stratégie de la sécurité 2) Les besoins à satisfaire par la stratégie: Assurer les services suivants aux informations:  Confidentialité (C): les données (et l'objet et les acteurs) de la communication ne peuvent pas être connues d’un tiers non- autorisé.  Authenticité et non-répudiation (R): l’identité de chaque acteur de la communication est vérifiée. De même, les acteurs impliqués dans la communication ne peuvent nier y avoir participé.  Intégrité (I): les données de la communication n’ont pas été altérées par autrui.  Disponibilité (A): les acteurs de la communication accèdent aux données dans de bonnes conditions.

10 03/01/2016A. AISSA – ISSAT 2013/201410 II- Stratégie de la sécurité 3) Conditions de succès de la stratégie: - Implication de la direction dans son élaboration - Être simple, précise, compréhensible & applicable. - Gestion centralisée de toutes ses composantes. - Un niveau minimum garanti de confiance dans les systèmes, outils et personnes impliquées. - Contrôle et respect des clauses de sécurité définies. - Faire des audits, pour la vérification de la bonne conduite et de l’efficacité.

11 03/01/2016A. AISSA – ISSAT 2013/201411 II- Stratégie de la sécurité 4) Les composantes de la stratégie (1): Politique de sécurité Mesures ou Mécanismes de défense/ de sécurité Procédures de gestion de la sécurité Personnels de décision et d’exploitation Outils de test de la sécurité

12 03/01/2016A. AISSA – ISSAT 2013/201412 II- Stratégie de la sécurité 4) Les composantes de la stratégie (2): a) Politique de la sécurité: * S’interroger sur les points suivants: - De qui ou de quoi on veut se protéger ? - Quels sont les risques réellement encourus ? - Ces risques sont ils supportables? - Quel est le niveau actuel de la sécurité de l’entreprise? - Quel est le niveau de sécurité à atteindre ? - Quelles sont les contraintes effectives? - Quels sont les moyens disponibles? - Comment les mettre en œuvre?

13 03/01/2016A. AISSA – ISSAT 2013/201413 II- Stratégie de la sécurité 4) Les composantes de la stratégie (3): a) Politique de la sécurité (2): * Détermination des normes générales de la sécurité (quel est le référentiel de sécurité: RGS v1.0,…?): http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/liste-des-documents-constitutifs-du-rgs-v1-0.html * Stipulation des exigences de sécurité envers les partenaires externes.  Cela passe par l’inventaire complet de tous les éléments matériels, logiciels et humains qui interviennent dans la chaîne de sécurité.

14 03/01/2016A. AISSA – ISSAT 2013/201414 II- Stratégie de la sécurité 4) Les composantes de la stratégie (3): b) Mesures de la sécurité (1): * Mesures Structurelles (propres à l’entreprise): - Visent à protéger les biens de l’entreprise - Ciblent des menaces potentielles, qui peuvent se concrétiser par des agressions * Mesures de dissuasion: - Procédures juridiques & administratives (GRH,…) - Ayant pour objectif d’éviter de voir se concrétiser des menaces

15 03/01/2016A. AISSA – ISSAT 2013/201415 II- Stratégie de la sécurité 4) Les composantes de la stratégie (4): b) Mesures de la sécurité (2): * Mesures préventives: - Contrôle d’accès, détecteurs de virus,… - Empêchent l’aboutissement des agressions * Mesures de protection: - Détecteurs d’intrusion, d’incendie, d’erreur de transmissions,… - Permettent de se protéger des agressions ou d’en limiter l’ampleur

16 03/01/2016A. AISSA – ISSAT 2013/201416 II- Stratégie de la sécurité 4) Les composantes de la stratégie (5): b) Mesures de la sécurité (3): * Mesures correctives: - Sauvegardes, plan de continuité, réparation,.. - Pallier ou réparer les dégâts engendrés (subis) * Mesures de récupération: - Assurances, actions en justice,… - Limiter les conséquences fâcheuses, consécutives à un sinistre

17 03/01/2016A. AISSA – ISSAT 2013/201417 II- Stratégie de la sécurité 4) Les composantes de la stratégie (6): b) Mesures de la sécurité (4): Parmi les mécanismes/mesures de sécurité on cite:  Chiffrement des échanges d’information  Signature numérique et certification (preuve d'un fait, d'un droit accordé).  Contrôle d’accès et Authentification  Antivirus  Le pare-feu et détection d'intrusion  Journalisation ("logs")  Analyse des vulnérabilités ("security audit »)  Contrôle du routage  Horodatage : marquage sécurisé des instants significatifs.  Distribution sécurisée des clefs entre les entités concernées.

18 03/01/2016A. AISSA – ISSAT 2013/201418 II- Stratégie de la sécurité 4) Les composantes de la stratégie (7): c) Procédures de gestion de la sécurité (1): * Phase1 (Orientations et choix du système de sécurité): - Mobiliser tout le personnel impliqué - Identifier les cibles, les menaces et les enjeux - Définir les niveaux de sécurité - Estimer la taille du système à mettre en place  Définition de la politique de sécurité

19 03/01/2016A. AISSA – ISSAT 2013/201419 II- Stratégie de la sécurité 4) Les composantes de la stratégie (8): c) Procédures de gestion de la sécurité (2): * Phase2 (Mise en place des règles de sécurité, qui permettent d’atteindre les niveaux de sécurité fixés et ce dans): - Domaines physique et matériels - Données & logiciels - Développement d’applications - Documentation - Maintenance & exploitation - GRH

20 03/01/2016A. AISSA – ISSAT 2013/201420 II- Stratégie de la sécurité 4) Les composantes de la stratégie (9): c) Procédures de gestion de la sécurité (3): * Phase3 (Gérer le quotidien et valider les mesures prises): - Tester les mesures de sécurité adoptée - Les valider ou les adapter, si nécessaire, en faisant des audits réguliers. - Actualiser le plan de secours

21 03/01/2016A. AISSA – ISSAT 2013/201421 II- Stratégie de la sécurité 4) Les composantes de la stratégie (10): d) Outils de test de la sécurité: Ils englobent - Scanners & utilitaires - Outils pour forcer les mots de passe - Chevaux de Troie - Dispositifs de surveillance - Techniques de dissimulation - Dispositifs destructeurs

22 03/01/2016A. AISSA – ISSAT 2013/201422 II- Stratégie de la sécurité 4) Les composantes de la stratégie (11): d) Outils de test de la sécurité: Englobent * Scanners & utilitaires (1): - Ils révèlent les faiblesses d’un réseau. - Permettent de renforcer le système de sécurité d’une façon immédiate. - Sont également utilisés par les hackers pour détecter les failles d’un système de sécurité. - Sont distribués librement sur Internet. - Permettent de localiser une machine, de détecter les programmes en exécution et détecter les failles.

23 03/01/2016A. AISSA – ISSAT 2013/201423 II- Stratégie de la sécurité 4) Les composantes de la stratégie (12): d) Outils de test de la sécurité: Englobent * Scanners & utilitaires (2): - Sont différents des utilitaires réseau sous les systèmes d’exploitation (tels que Host, Traceroute, rusers, finger, showmount sous UNIX et Netscan Tools, Network tools, TCP/IP Surveyor sous WINDOWS). - Des exemples de scanners sont NSS (Network security scanner), STROBE et SATAN (Security Administor’s Tool for Analyzing Networks), JACAL et IDENT TCP SCAN.

24 03/01/2016A. AISSA – ISSAT 2013/201424 II- Stratégie de la sécurité 4) Les composantes de la stratégie (13): d) Outils de test de la sécurité: Englobent * Outils pour forcer les mots de passe (1): - Tout programme qui permet de rechercher des mots de passe (déjouer leur protection) - Ces outils n’effectuent généralement aucun déchiffrage - Les mots de passe cryptés ne peuvent être décryptés - Sont gourmands en ressources du système ( RAM & disque dur)

25 03/01/2016A. AISSA – ISSAT 2013/201425 II- Stratégie de la sécurité 4) Les composantes de la stratégie (14): d) Outils de test de la sécurité: Englobent * Outils pour forcer les mots de passe (2): - CRACK: trouve les mots de passe sous UNIX - CrackerJack: Mots de passe sous UNIX & DOS - Pacecrack95: Tourne sous Windows 95 - Qcrack - John the Ripper - Pcrack ( PerlCrack) - Hades,….

26 03/01/2016A. AISSA – ISSAT 2013/201426 II- Stratégie de la sécurité 4) Les composantes de la stratégie (15): d) Outils de test de la sécurité: Englobent * Chevaux de Troie: - Difficiles à détecter - Dissimilés dans d’autres programmes - Peuvent toucher plusieurs machines à la fois - Ces attaques peuvent être fatales aux systèmes, dans certains cas. - Parmi les outils utilisés pour détecter ces chevaux: MD5, TripWire, TAMU, ATP, Hobgoblin,…

27 03/01/2016A. AISSA – ISSAT 2013/201427 II- Stratégie de la sécurité 4) Les composantes de la stratégie (16): d) Outils de test de la sécurité: Englobent * Dispositifs matériels ou logiciels de surveillance contre les « Sniffers ». Les « sniffers » présentent une menaces car ils: -Peuvent capter les mots de passe -Intercepter l’échange d’informations -Peuvent être utilisés pour ouvrir une faille dans le système de sécurité d’un réseau voisin. -Ils peuvent être placés partout dans le réseau.

28 03/01/2016A. AISSA – ISSAT 2013/201428 II- Stratégie de la sécurité 4) Les composantes de la stratégie (17): d) Outils de test de la sécurité: Englobent * Techniques de dissimulation d’identité: - Prendre la forme de fichier texte, image, son ou vidéo. - Les rétrovirus attaquent les antivirus et bloquent leur exécution et leur redémarrage - Les virus polymorphes changent leurs signatures à chaque nouvelle infection de fichier. - Les virus « hybrides » : Combinent les caractéristiques de nombreux autres virus informatiques (les virus Stuxnet et Flame).

29 03/01/2016A. AISSA – ISSAT 2013/201429 II- Stratégie de la sécurité 4) Les composantes de la stratégie (18): d) Outils de test de la sécurité: Englobent * Dispositifs destructeurs: - Les dispositifs destructeurs sont utilisés pour paralyser, saturer ou détruire un système d'information. - Ils constituent l'espèce la plus nuisible dans le domaine de la sécurité car ils peuvent être la source de perte de données

30 03/01/2016A. AISSA – ISSAT 2013/201430 II- Stratégie de la sécurité 4) Les composantes de la stratégie (18): e) Personnel de décision et d’exploitation: - Tout le personnel d’un organisme est une composante essentielle de la réussite d’une politique de sécurité. - Le personnel de décision doit être impliqué dans la phase de définition de la politique de sécurité. - Le personnel d’exploitation doit se conformer à la politique de sécurité (i.e.: Longueur et fréquence de changement des mots de passe, usage des PC personnels sur le réseau de l’organisme,…) - Souvent une charte de l’exploitant est définie

Télécharger ppt "Management des risques et sécurité de l’information Chapitre2: Stratégie et politique de sécurité 03/01/2016A. AISSA – ISSAT 2013/20141."

Présentations similaires

Les Systèmes d’Information Financière Atelier conjoint ACBF / Banque Mondiale / AFRITAC de l’Ouest Gérer l’application dans le temps, sur les plans fonctionnel,

Les Systèmes d’Information Financière Atelier conjoint ACBF / Banque Mondiale / AFRITAC de l’Ouest Gérer l’application dans le temps, sur les plans fonctionnel,
1 12 Niveaux de sécurité Atelier e-Sécurité – 19-20 juin 2006.

1 12 Niveaux de sécurité Atelier e-Sécurité – juin 2006.
Projet de Virtualisation dans le cadre d’un PCA/PRA

Projet de Virtualisation dans le cadre d’un PCA/PRA
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.

Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Etablir des procédures de vérification (Etape 11 / Principe 6)

Etablir des procédures de vérification (Etape 11 / Principe 6)
Sommaire Introduction Les politiques de sécurité

Sommaire Introduction Les politiques de sécurité
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité

La politique de Sécurité
Les réseaux informatiques

Les réseaux informatiques
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.

TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié

1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié
Le piratage informatique

Le piratage informatique
Document d’accompagnement

Document d’accompagnement
Le management de l’entreprise

Le management de l’entreprise
Sécurité Informatique Module 01

Sécurité Informatique Module 01
La revue de projet.

La revue de projet.

Présentations similaires

Annonces Google