1Novembre – Décembre 2005 Version 1.01
État de l’art de la sécurité informatique
Introduction
Auteurs :
Stéphan GUIDARINI – Consultant Senior
Sébastien DESSE – Expert Réseaux et Sécurité
2Novembre – Décembre 2005 Version 1.01
Présentation
Intervenants Partie théorique :
Stéphan GUIDARINI - STEDIA Consulting Consultant Infrastructure et Sécurité Ancien élève du DESS Réseaux & Télécoms
Partie pratique : Sébastien DESSE - ITSEC Ingénieur Réseaux et Sécurité Membre fondateur du GREPSSI
Groupe de Réflexion et d’Echange sur les Problématiques liées à la Sécurité des Systèmes
3Novembre – Décembre 2005 Version 1.01
Programme Introduction Quoi protéger ? Contre qui ? Pourquoi ? Qui croire ? Comment protéger ? Quelle politique de sécurité ?
Sécurité des réseaux Généralités Sécurité niveau 1 Sécurité niveau 2 Commutateurs Sans fil sécurité niveau 3 Généralités Protocoles de routage Firewall Sécurité niveau 7 Relais applicatifs Filtres applicatifs Détection d'intrusions Network IDS
Sécurité des contenus & échanges Introduction à la cryptographie Utilisation de la cryptographie PPP/PPTP/L2TP IPSEC TSL/SSL SHTTP S/MIME Les Infrastructures à clef publique (PKI) PGP La réglementation
Sécurité des accès Authentification Mots de passe – Authentification forte – Single Sign On RADIUS - TACACS/TACACS+ - Kerberos 802.1x, Sécurité Wifi (WEP, WPA, etc.)
Sécurité des systèmes et des applications Généralités Sécurité en environnement Microsoft Sécurité en environnement Unix Détection d'intrusions au niveau système Virus, Vers et chevaux de Troie
Conclusion Synthèse Les dix commandements Sources d’information
4Novembre – Décembre 2005 Version 1.01
Programme – Partie théorique
6 sessions théoriques Session du 31/10/2005
Introduction à la sécurité informatique Session du 07/11/2005
Sécurité des réseaux (1er partie) 21/11/2005
Sécurité des réseaux (2ème partie) 28/11/2005
Sécurité des contenus et échanges 05/12/2005
Sécurité des accès 12/12/2005
Sécurité des systèmes et services et conclusion
5Novembre – Décembre 2005 Version 1.01
Sommaire - Introduction
Introduction Qu’est ce que la sécurité ? Quoi protéger ? Pourquoi ? Contre qui ? Qui croire ? Comment protéger ? La politique de sécurité.
6Novembre – Décembre 2005 Version 1.01
Qu’est ce que la sécurité ?
La sécurité recouvre l'ensemble de techniques informatiques permettant de réduire au maximum les chances de fuites d'information, de modification de données ou de détérioration des services.
Elle consiste à un très grand nombre de méthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.
7Novembre – Décembre 2005 Version 1.01
Qu’est ce que la sécurité (2) ?
"Sécuriser" consiste à utiliser une ou plusieurs de ces techniques dans le but d'élever le niveau de sécurité d'un système ou d'une architecture.
La menace représente le type d'action susceptible de nuire dans l'absolu
La vulnérabilité représente le niveau d'exposition face à la menace dans un contexte particulier.
Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.
8Novembre – Décembre 2005 Version 1.01
Quoi protéger ?
LA SECURITE DE L’INFORMATIONLA SECURITE DE L’INFORMATION
Sécurité des Sécurité des
systèmes d’informationsystèmes d’information
Sécurité des Sécurité des
Réseaux et échangesRéseaux et échanges Sécurité des Sécurité des
systèmessystèmes
Sécurité juridiqueSécurité juridique Sécurité des Sécurité des
développementsdéveloppements
Voix et Vidéo
InformationsNon
numérisées
Archives
Quelle que soit la forme prise par l’information ou quels que soient les moyens par lesquels elle est transmise ou stockée, il faut qu’elle soit toujours protégée de manière appropriée.
Seulement 40 à 50% des informations nécessaires pour faire fonctionner une entreprise sont enregistrées sur des supports
électroniques
L’« Information » au sens large.
9Novembre – Décembre 2005 Version 1.01
Quoi protéger (2) ?
Le triptyque DIC : Disponibilité.
Garantir que les utilisateurs habilités ont accès à l’information et aux ressources associées au moment voulu (pas d’accès non autorisé)
Intégrité. Sauvegarder l’exactitude et la fidélité de l’information et
des méthodes de traitement des données (pas de modification non autorisée).
Confidentialité Garantir que seules les personnes habilitées peuvent
accéder à l’information (pas de divulgation non autorisée).
10Novembre – Décembre 2005 Version 1.01
Quoi protéger (3) ?
Les actifs. Les actifs sont caractérisés par leur type
et surtout par leur valeur
Actifs d’informations
Fichiers de données, bases de donnéesProcédures et manuels utilisateurs,
archives.
Actifs applicatifs
Progiciels, logiciels spécifiques,Systèmes d’exploitation, outils de
développement, utilitaires.
Actifs physiques
Serveurs informatiques, PC, portables, Matériels réseaux, PABX, unités de
climatisation.
Actifs liés à la fourniture deservices
Services généraux (alimentationÉlectrique, climatisation, etc…)…
11Novembre – Décembre 2005 Version 1.01
Pourquoi protéger ?
L’information est une ressource stratégique, une matière première, elle est un atout pour celui qui la possède et donc attise souvent les convoitises
Les S.I. facilitent l’accès à l’information Ils gèrent de grandes quantités d’information et peuvent la rende
accessible depuis n’importe quel point du globe La destruction d’un S.I. peut permettre d’anéantir une
entité de manière anonyme et sans faire un seul mort La loi, la réglementation et l’éthique seront toujours en
retard sur la technique Les individus se comportent rarement comme on l’attend
Le comportement d’un individu confronté à des situations inhabituelles et critiques est imprévisible
12Novembre – Décembre 2005 Version 1.01
Pourquoi protéger? Les conséquence à retenir
Vol d’informations et du savoir faire Dans un contexte de haute technologie notamment
Atteinte à l’image de marque NASA, e-bay, Wanadoo, RSA, …
Indisponibilité du service e-business, …
Perte de temps et de moyen humains Remise en service, recherche des dégradations
Tache TRES difficile, peut nécessiter des moyens énormes
Pertes financières ! Modification des montants de facture … Perte d’exploitation Erreurs de traitement
13Novembre – Décembre 2005 Version 1.01
Contre qui ?
Les menaces Les différents types de pirates Les différentes arnaques et attaques Les accidents et inconsciences
14Novembre – Décembre 2005 Version 1.01
La menace - Définitions « Violation potentielle de la sécurité » - ISO-7498-2
Menace accidentelle Menace d’un dommage non intentionnel envers le SI
Catastrophe naturelle, erreur d’exploitation, pannes
Menace intentionnelle ou délibérée Par opposition à la précédente, elle est le fait d’un acte délibéré Menace active
Menace de modification non autorisée et délibérée de l’état du système
Dommage ou altération du SI Menace Passive
Menace de divulgation non autorisée des informations, sans que l’état du SI soit modifié
Écoutes, lecture de fichiers, … Menace Physique
Menace l’existence ou l’état physique du SI Sabotage, incendie volontaire, vol, …
15Novembre – Décembre 2005 Version 1.01
Catégories de menaces intentionnelles
L’espionnage Obtention d’informations
Le vol Obtention d’informations ou de ressources
La perturbation Affaiblir le S.I.
Le sabotage Mise hors service du S.I.
Le chantage Gain financier, menace de sabotage, …
La fraude physique (récupération de bandes, listings, …) Obtention d’informations
Les accès illégitimes (usurpation d’identité) Obtention d’informations
16Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (1) Accidents
Type de menace Menaces accidentelles (cf. définition)
Type d’attaquants La nature !
Incendies, Foudre, Inondations, etc… Les fournisseurs
EDF, Fournisseurs de connectivité, Fournisseurs de matériels et de logiciels, …
Agresseurs internes (La majorité des cas) Inconsciences et accidents (A ne pas négliger !)
Provoqués par l’inattention ou le manque de formation des administrateurs ou des utilisateurs
Hors du cadre de cette présentation
17Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (2) Menaces à caractère stratégiques
Type de menace Menace intentionnelle active, passive et physique Pour un état
Le secret défense et la sûreté de l’état Le patrimoine scientifique, technique, économique, diplomatique La disponibilité des SI et le fonctionnement des institutions
Pour l’entreprise Informations concernant ses objectifs et son fonctionnement Les clients, procédés de fabrication, recherche et développement
Catégories de menace Espionnage, vol, perturbation, sabotage, fraude physique, accès
illégitimes … Type d’attaquants
Espions Particuliers (rare), Entreprises, Gouvernements
Terroristes
18Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (3)
Menace à caractère idéologique Type de menace
Menace intentionnelle active, passive et physique Le combat pour les idées est incessant et peut être le
moteur d’actes les plus extrêmes Idéologie politique, raciale, religieuse, économique, …
Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accès illégitimes, … Type d’attaquants
Militants Vandales Terroristes
19Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (4)
Menace à caractère terroriste Type de menace
Menace intentionnelle active, passive et physique Actions concourant à déstabiliser l’ordre établi
A caractère violant : destruction A caractère insidieux : désinformation, détournements
Catégorie de menace Espionnage, vol, perturbation, sabotage,
chantage, fraude physique, accès illégitimes, … Type d’attaquants
Terroristes
20Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (5) Menace à caractère cupide
Type de menace Menace intentionnelle active, passive et physique Gain pour l’attaquant
Financier, technologique, … Pertes pour la victime
Entraînant un gain pour l’agresseur : parts de marché, déstabilisation du concurrent, …
Catégorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accès illégitimes, … Type d’attaquant
Espions (concurrent ou pour le compte de)Crime Organisé Intervenants
Ont souvent accès à des informations sensibles, et conservent souvent des fichiers de configuration, …
21Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (6)
Menace à caractère ludique Type de menace
Menace intentionnelle active Désir de s’amuser ou d’apprendre
C’est la prouesse technique qui est mise en avant
Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, …
Type d’attaquant « Joyriders » Vandales Collectionneurs
Généralement appelés
Hackers ou Crackers
22Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (7) Menace à caractère vengeur
Type de menace Menace intentionnelle active, passive et physique Également un moteur d’actes extrêmes
Souvent l’expression d’un employé brimé ou licencié qui peut possédé une très bonne connaissance du SI
Catégorie de menace Vol, perturbation, sabotage, accès illégitimes, …
Type d’attaquant Personnes extérieures en désaccord avec l’entité
Peur être un client, un fournisseur, un intervenant, …
Les employés malveillants ou aigris Ont souvent une bonne connaissance de l’entreprise Utilisateurs dépassant leurs prérogatives Administrateurs, informaticiens, …
23Novembre – Décembre 2005 Version 1.01
Origines / Attaquants (Conclusion)
Conclusion Liste non exhaustive La menace peut être composite
Plusieurs motivations (origines) Cupide + Ludique, Idéologique + Terroriste, …
Plusieurs profils de pirate Employé malveillant + Espion, …
Les Hackers et Crackers monopolisent l’attention mais ne sont en réalité qu’une composante de la problématique de sécurité !
24Novembre – Décembre 2005 Version 1.01
Contre qui ? - Critères
Comment caractériser les agresseurs ? Leurs compétences techniques Le temps qu'ils sont prêts à passer pour réussir Leurs motivations Leurs moyens Leurs connaissances préalables de la cible
25Novembre – Décembre 2005 Version 1.01
Classement
Un hacker / étudiant externe pour le plaisir Forte Fort Moyenne
Un concurrent Forte Faible Forte
Un escroc (enjeu financier) Moyenne Moyen Moyenne
Un opportuniste Faible Faible Faible
Un membre de société de service Forte Faible Faible
Un ancien membre du personnel Moyenne Faible Moyenne
Un membre du personnel Moyenne Faible Faible
Un stagiaire Forte Moyen Faible
Compétence Temps Motivation
26Novembre – Décembre 2005 Version 1.01
Démarche basique (Cracker)
Collecter lesOutils (logiciels)
Attaquer lavictime
Se vanter
1
2
3
27Novembre – Décembre 2005 Version 1.01
Démarche intermédiaire
Collecter lesOutils et se documenter
Collecter desinformations
Attaquerla victime
1
2
3,5
4
Identifier lacible
28Novembre – Décembre 2005 Version 1.01
Démarche expert (Hacker)
Maîtrise desconcepts et outils
Collecter desinformations
Attaquerla victime
1
2
3,5
4Développer
les outils
Identifier lacible
29Novembre – Décembre 2005 Version 1.01
Attaques Attaque != Vulnérabilité Attaque
Action de malveillance consistant à tenter de contourner les fonctions de sécurité d’un SI (ISO)
Vulnérabilité Faiblesse ou faille dans les procédures de
sécurité, les contrôles administratifs, les contrôles internes d’un système, qui pourrait être exploitée pour obtenir un accès non autorisé au SI, à un de ses services, à des informations ou à la connaissance de leur existence et de permettre de porter atteinte à la confidentialité, à l’intégrité et à la disponibilité du SI et de ses informations
30Novembre – Décembre 2005 Version 1.01
Vulnérabilités Dans la conception
Matériel Protocole Architecture (Système, Réseau, …) Logiciel (OS, application, …)
Dans l’implémentation Matériel Protocole Architecture (Système, réseau …) Logiciel (OS, application, …)
Configuration, exploitation Équipement (Routeurs, Firewalls, Serveur, …) Logiciel (OS, application, …)
31Novembre – Décembre 2005 Version 1.01
Attaques
Intrusions Vandalisme Denis de service (DOS) Vol d’informations Escroqueries
32Novembre – Décembre 2005 Version 1.01
Attaques (1)
Intrusions Recherche de mots de passe
Dictionnaire Écoute du réseau « Brute force »
Le « Spoofing » Les sniffers et scanners Les exploits
33Novembre – Décembre 2005 Version 1.01
Attaques (2)
Vandalisme Destruction de fichiers Destruction de systèmes Défiguration de site Web
34Novembre – Décembre 2005 Version 1.01
Attaques (3)
Denis de service (DOS) Bombes logiques (virus) Le « flood »
TCP-SYN Flooding
Le « Nuke » Le « spamming »
Denis de service distribué (DDOS) Amplification des DOS
35Novembre – Décembre 2005 Version 1.01
Attaques (4)
Vol d’information Suite à une intrusion Interception Écoute Cryptanalyse
36Novembre – Décembre 2005 Version 1.01
Les principales escroqueries
L’ingénierie sociale. Il s'agit ainsi d'une technique consistant à
obtenir des informations de la part des utilisateurs par téléphone, courrier électronique, courrier traditionnel ou contact direct Exemple : Le message vocal du Président de Hewlett-
Packard à son Directeur administratif et financier, où il évoquait la fusion avec Compaq a été intercepté et diffusé à travers l’Internet. » - Avril 2002 -
37Novembre – Décembre 2005 Version 1.01
Les principales escroqueries
Le scam. Pratique frauduleuse consistant à
extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.
38Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (2)
Le phreaking. Contraction des mots anglais phone (téléphone)
et freak (monstre) désignant le piratage de lignes téléphoniques Technique frauduleuse permettant l’utilisation gratuite
de ressources téléphoniques depuis l’extérieur. Exemple : Le piratage du standard téléphonique de la
Cité des Congrès de Nantes a duré trois journées : le montant de la facture de téléphone s’est élevé de 2 000 €
à 70 000 €. » - La Tribune – février 2002 -
39Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (3)
Le phising. Contraction des mots anglais «fishing»,
en français pêche, et «phreaking» Technique frauduleuse utilisée par les pirates
informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.
Technique d'«ingénierie sociale» c'est-à-dire consistant à exploiter non pas une faille informatique mais la «faille humaine» en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance.
40Novembre – Décembre 2005 Version 1.01
Les principales escroqueries (4)
Le Hoax ou canular. Courrier électronique propageant une fausse information et
poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.
Les conséquences L'engorgement des réseaux et des serveurs de messagerie, Une désinformation, c'est-à-dire faire admettre à de
nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs,
La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ;
La dégradation de l'image d'une personne ou bien d'une entreprise,
L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de ne plus croire aux vraies.
41Novembre – Décembre 2005 Version 1.01
Les virus
Programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé
Différents types. Les vers Les troyens Les bombes logiques Les spywares
42Novembre – Décembre 2005 Version 1.01
Les virus (2) Les vers.
Programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique pour se propager
Les vers actuels se propagent principalement grâce à la messagerie grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.
43Novembre – Décembre 2005 Version 1.01
Les virus (3)
Les chevaux de Troie. Programme (en anglais trojan horse) caché
dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor Vol de mots de passe Copie de données Exécution d’action nuisible
44Novembre – Décembre 2005 Version 1.01
Les virus (4)
Les bombes. Dispositifs programmés dont le
déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système
Généralement utilisées dans le but de créer un déni de service Exemple la bombe logique Tchernobyl s'est
activée le 26 avril 1999
45Novembre – Décembre 2005 Version 1.01
Les virus (5)
Les spyware ou espiogiciels.Programme chargé de recueillir des informations
sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (profiling).
Keyloggers : Dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.
46Novembre – Décembre 2005 Version 1.01
Taxinomie d’un incident
Taxinomie (ou Taxonomie) Classification d’éléments selon des taxons
Taxon (biologie) Unité formelle représentée par un groupe
d’organismes, à chaque niveau de la classification.
47Novembre – Décembre 2005 Version 1.01
Attaquant
Terroriste
Espion
Crimeorganisé
Militant
Employé
Hacker
Cracker,vandales…
Cible
Compteutilisateur
Processus
Donnée
Ordinateur
Réseau
Composantdu SI
Action
Sonde
Scanne
‘Flood’
Authentifie
‘Spoof’
Court-circuite
Vol
Modifie,copie, efface
Détruit
Outil
Attaquephysique
Échanged’information
Commandeutilisateur
Toolkit
Script,programme
Agentautonome
Outildistribué
Trappe
Vulnérabilité
Conception
Implémentation
Configuration
Résultat
Accèsillégitime
Divulgationd’information
Corruptiond’information
Denis deservice
Vol deressource
Destruction de ressource
Objectif
Challenge,distraction
Gainfinancier
Gainstratégique
Destruction
Vengeance
AttaqueIncident
Évènement
48Novembre – Décembre 2005 Version 1.01
Qui croire ?
Personne ! (méthode paranoïaque) Tout le monde n’est pas mal intentionné
Il existe des gens mal intentionnés Il existe des gens bien intentionnés mais
irresponsables (Microsoft, ebay,…) A qui fait-on confiance ?
Éditeurs Partenaires Intervenants (SSII, intégrateurs, consultants, …)
S’assurer qu’ils sont aussi rigoureux que vous sur la sécurité
49Novembre – Décembre 2005 Version 1.01
Comment protéger ?
Pas de sécurité Miser sur la discrétion Sécurité des systèmes Sécurité du réseau Sensibiliser et former le personnel Aucun modèle de sécurité ne peut résoudre
tous les problèmes Définir une politique de sécurité Définir une démarche sécurité
50Novembre – Décembre 2005 Version 1.01
La politique de sécurité ?
C’est un dispositif global dont la mise en œuvre assure que l’information peut être partagée d’une façon qui garantit un niveau approprié de protection de cette information et des actifs liés.
Toutes méthodes, techniques et outils concourant à la protection l’information contre un large éventail de menaces afin : De garantir la continuité d’activité de l’entreprise, De réduire les dommages éventuels sur l’activité de
l’entreprise, De maximiser le retour sur investissement des Systèmes
d’Information.
51Novembre – Décembre 2005 Version 1.01
La politique de sécurité (2). Les domaines.
SERVICESDE SECURITE
Les mesures élaborées dans un plan de sécurité peuvent-être classées en deux familles :- avant sinistre : mesure de prévention- après sinistre : détection, ralentissement, correction
ORGANISATIONMANAGEMENT
• Management des actifs et des risques
• Définition des responsables d’actifs
• Définition des règles et procédures de sécurité
• Définition et réalisation des contrôles
• Sensibilisation et formation:
Des utilisateurs Des managers Informaticiens
SECURITE PHYSIQUE
• Protection desactifs matériels,locaux
• Protection incendies, etc.
• Contrôle d ’accès, badges, etc.
REMARQUE
SECURITELOGIQUE
PLAN DE CONTINUITE
• Gestion des sauvegardes• Plan de secours• Back-Up
(physiqueet logique)
• Back-Up(physique,
logique)• Plan de crise
• Accès aux applications• Échanges de données• Applications
52Novembre – Décembre 2005 Version 1.01
La politique de sécurité (3).
La démarche type.
53Novembre – Décembre 2005 Version 1.01
La politique de sécurité (4).
Les différentes approches.
Analyse des enjeux et des risques
•Assez similaire à une démarchequalité,
• Plusieurs méthodologies disponibles: MEHARI , EBI OS,…
• Avantages: Développement de la culture du risque, implication dupersonnel, pertinence,
• I nconvénients: Coût (ressources humaines).
Approche par les bonnespratiques
•Recueil de procédures, fiches,Contrôles,
• Le recueil le plus connu estI SO 17799,
• Avantages: Effi cacité, exhaustivité,
• I nconvénients: Coût.
Approche SSU(Solution de sécurité d’Urgence)
•Mise en oeuvre d’une batterieD’outils techniques,
• Pare- feux, anti- virus, VPN,SSL, anti- SPAM, etc…
• Avantages: Délais de mise enoeuvre, investissement uniquementMatériel/ logiciel,
• I nconvénients: Donne un faux Sentiment de sécurité.
Approche française: CLUSIF
Approche anglo- saxonne
54Novembre – Décembre 2005 Version 1.01
La politique de sécurité (5).
Les normes ISO concernant la sécurité.ISO 13335
ISO 17799 ISO 15408
ISO 18044-gestion des incidentsISO 17944-systèmes financiers
ISO 18028-gestion des communicationsISO 14516-sécurité dans le e-commerce
Etc…
55Novembre – Décembre 2005 Version 1.01
Les normes ISO.
La norme ISO/IEC 15408 Certification internationale relative à la sécurité des
produits de technologies de l’information.
A destination des industriels du secteur des T.I.C avant tout: Editeurs de logiciels, constructeurs d’équipements…
Un catalogue des exigences fonctionnelles et d’assurance de sécurité,
Éléments pour la spécification des exigences de sécurité (cible de sécurité, profil de protection),
La description des 7 niveaux d’assurance de l’évaluation (EAL),
56Novembre – Décembre 2005 Version 1.01
Les normes ISO (2).
La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT
Security.
Partie 1: Concepts et modèles pour la sécurité des T.I, Partie 2: Management et planification de la sécurité des T.I, Partie 3: Techniques pour la gestion de la sécurité des T.I, Partie 4: Sélection de mesures de sécurité, Partie 5: Guide pour la gestion de la Sécurité du réseau.
57Novembre – Décembre 2005 Version 1.01
Les normes ISO (2).
La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT
Security.
Partie 1: Concepts et modèles pour la sécurité des T.I, Partie 2: Management et planification de la sécurité des T.I, Partie 3: Techniques pour la gestion de la sécurité des T.I, Partie 4: Sélection de mesures de sécurité, Partie 5: Guide pour la gestion de la Sécurité du réseau.
58Novembre – Décembre 2005 Version 1.01
Les normes ISO (3)
ISO 17799Standard international basé sur les bonnes pratiques
de la gestion de la sécurité de l’information, Une approche s’appuyant sur la gestion de risques
pour définir une politique, des procédures et des contrôles appropriés pour gérer ces risques
59Novembre – Décembre 2005 Version 1.01
Les normes ISO (4)
Synthèse.
LES NORMES DE SECURITE DE L’INFORMATION AUJOURD’HUILES NORMES DE SECURITE DE L’INFORMATION AUJOURD’HUI
ISO 17799ISO 17799Introduction
Contrôles 17799
ISO 13335ISO 13335Modèle de Management
Mesures de sécurité
Risks management
SECURITE DE L’INFORMATI
ON
SECURITE DES T.I.C
60Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (1)
ISO 17799 est : Une norme internationale structurée dédiée à la
sécurité de l’information, Un processus élaboré pour évaluer, implémenter, maintenir
et gérer la sécurité de l’information,
Une série de contrôles basés sur les bonnes pratiques en sécurité de l’information,
Développé par des industriels pour des industriels,
Pouvant s’appuyer sur la norme IS0 13335: guidelines for the management of IT Security,
Un processus équilibré entre sécurité physique, technique, procédurale et la sécurité du personnel.
61Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (2)
ISO 17799 contient : 10 chapitres, 127 objectifs de contrôle classé en 3 familles :
Organisationnels Politique de sécurité, Organisation de la sécurité, Continuité d’activité
Fonctionnels Réglementation et lois applicables, Gestion des ressources humaines,
Opérationnels Sécurité et accès logiques, Développement et gestion des évolutions, Sécurité et accès physiques,
10%
10%
80%
62Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (3)
Les 10 chapitre de la norme :
Politique de sécurité 1Politique de sécurité 1
Organisation de la sécurité 2Organisation de la sécurité 2
Classification et contrôle des actifs 3Classification et contrôle des actifs 3
Sécuritéliée au
personnel
4
Sécuritéliée au
personnel
4Sécurité
physique etde
l’environnement
5Sécurité
physique etde
l’environnement
5
Continuité d’activité 9Continuité d’activité 9
Confo
rmité
10
Confo
rmité
10
Exploitationet
réseaux
6
Exploitationet
réseaux
6
Contrôled’accèslogiques
7
Contrôled’accèslogiques
7
Développementet maintenancedes systèmes
8
Développementet maintenancedes systèmes
8
63Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (4).
L’objectif est, pour la direction, de:
Exprimer formellement la stratégie de sécurité de l’organisation, Communiquer clairement son appui à sa mise en œuvre.
Politique de sécurité 1
Ce document soit être approuvé:
Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité de ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des évolutions technologiques.
La sécurité est une responsabilité partagée par tous les membres de l’équipe de direction:
Création d’un comité de direction multifonction dédié pour assurer le pilotage de la sécurité, Définit rôles et responsabilités, les méthodes et procédures et soutient les initiatives de promotion et de communication interne.
64Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (5).
L’objectif est de:
Gérer efficacement la sécurité de l’information dans l’organisation,
Maintenir la sécurité des moyens de traitement et des actifs accédés par des tiers ou des sous-traitants,
Maintenir la sécurité des informations lorsque la responsabilité du traitement des informations est externalisée à une autre organisation.
Organisation de la sécurité 2
65Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (6).
L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un responsable nominatif, L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité.
Classification et contrôle des actifs 3
Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.
66Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (7).
L’objectif est de maintenir le niveau de protection adapté à chaque actif d’information en accord avec la politique de sécurité:
Tout actif important doit être répertorié et alloué à un responsable nominatif, L’information doit être classifiée en fonction du besoin, de la priorité et du degré de sécurité.
Classification et contrôle des actifs 3
Les procédures de classification des informations doivent être définies et couvrir la manipulation des informations sous forme physique aussi bien que électronique, et pour les différentes activités de copie, stockage, transmission et destruction.
67Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
Plus de 60% des incidents proviennent de l’intérieur de l’entreprise !
Sécuritéliée au
personnel
4
L’objectif est de:
Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des moyens de traitement,
S’assurer que les utilisateurs ont été informés des risques et menaces concernant les informations,
S’assurer que les utilisateurs sont formés et équipés pour appliquer la politique de sûreté lors de leurs activités normales,
Minimiser les dommages en cas d’incident ou de dysfonctionnement,
Savoir capitaliser sur ces incidents et s’adapter.
68Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (8).
L’objectif est de:
Prévenir les accès non autorisés, les dommages et les interférences sur les informations, les activités et les locaux de l’organisation,
Prévenir la compromission ou le vol des informations ou des moyens de traitement.
Sécuritéphysique et
de l’environnement
5
69Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (9).
L’objectif est de:
Assurer une exploitation correcte et sure des moyens de traitement,
Minimiser les risques de pannes et leur impact,
Assurer l’intégrité et la disponibilité des informations, des traitements et des communications,
Prévenir les dommages aux actifs et les interruptions de service,
Prévenir les pertes, les modifications et les utilisations frauduleuses d’informations échangées entre organisations.
Exploitationet
réseaux
6
70Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (9).
L’objectif est de:
Gérer et contrôler l’accès aux informations,
Prévenir les accès non autorisés,
Assurer la protection des systèmes en réseau,
Détecter les activités non autorisées,
Assurer la sécurité des informations lors des accès mobiles ou distants.
Contrôled’accèslogiques
7
71Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (10).
La politique de contrôle comprend notamment:
L’enregistrement unique de chaque utilisateur,
Une procédure écrite de délivrance d’un processus d’authentification signée du responsable hiérarchique,
Des services de déconnexion automatique en cas d’inactivité,
Une politique de révision des mots de passe,
Une hiérarchisation du niveau d’accès en fonction du degré de confidentialité des données.
72Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (11).
L’objectif est de:
Assurer que la sécurité soit incluse dès la phase de conception,
Prévenir la perte, la modification ou la mauvaise utilisation des informations hébergées par les systèmes,
Protéger la confidentialité, l’intégrité et la disponibilité des informations,
Assurer que les projets et activités de maintenance sont conduits de manière sûre,
Maintenir la sécurité des applications (logiciel et données).
Développementet maintenancedes systèmes
8
73Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (12).
L’objectif est de développer la capacité à répondre rapidement aux interruptions des activités critiques de l’organisation résultant de pannes, d’incidents, de sinistres ou e catastrophes.
Une analyse des risques à partir de divers scénarii de sinistre et une évaluation de la criticité des applications permet d’établir différents plans de poursuite des opérations depuis le mode dégradé en cas de dysfonctionnement mineur jusqu’à la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grève,…)
Continuité d’activité 9
74Novembre – Décembre 2005 Version 1.01
La norme ISO 17799 (13).
La conformité se décline en 3 volets:
Le respect des lois et réglementations: Licences logicielles, propriété intellectuelle, règles de manipulation des fichiers contenant des informations touchant la confidentialité des personnes,
La conformité des procédures en place au regard de la politique de sécurité de l’organisation, c’est à dire des dispositifs mis en place pour assurer les objectifs de sécurité définis par la Direction Générale,
L’efficacité des dispositifs de traçabilité et de suivi des procédures en place: Journaux d’activité, pistes d’audit, enregistrement de transactions,…
Con
form
ité
10
75Novembre – Décembre 2005 Version 1.01
Les méthodes de sécurité.
Les plus connues en France sont MEHARI (Clusif), EBIOS (DCSSI) et MARION (Clusif).
Ces méthodes ont leurs propres référentiels qui ne couvrent pas toujours strictement le spectre de l’ISO 17799,
Il peut par conséquent être nécessaire de retravailler les bases de connaissance de ces méthodes pour obtenir une couverture complète de la sécurité de l’Information,
La commission « méthodes » du Clusif a corrélé la base de connaissance de MEHARI afin de couvrir l’ensemble des mesures de ISO 17799.
76Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information.
Management System : Système pour établir la politique et les objectifs et pour atteindre ces objectifs (ISO guide 72).
Les systèmes de management sont utilisés dans les entreprises pour développer leurs politiques et les mettre en application à travers des objectifs et des cibles en utilisant:
Une organisation dans l’entreprise, Des processus et des ressources associés, Des contrôles et une méthode d’évaluation, Des processus de révision pour garantir que les anomalies sont
corrigées et mettre en œuvre des axes d’amélioration le cas échéant.
77Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (2).
Certaines organisations commencent à aborder la sécurité de l’information comme un système intégré appelé un Information System Management System (ISMS).
Mise en œuvre d’un vrai processus d’analyse, d’élaboration de contrôle et d’évolution d’une politique de sécurité en appliquant un concept bien connu en qualité, le modèle PDCA.
78Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (3).
Modèle PDCA.
MODELE PDCA
PLAN: Etablir les objectifs conformément aux risques et aux exigences de sécurité,DO: Implémenter et opérer les fonctionnalités et procédures,CHECK: Gérer les incidents, les erreurs, auditer,ACT: Faire évoluer la politique et les moyens conformément aux besoins.
79Novembre – Décembre 2005 Version 1.01
Système de Management de la Sécurité de l’Information (4).
Les normes pour construire un SMSI.Spécifications de l’I SMS
BS 7799 Partie 2
SMSI Guidelines (management des risques, choix des mesures
de sécurité)
ISO 13335 ISO/IEC 18044
Management des Incidents
PD 3000 serieson risk and selection of
controls
SMSI Mesures de contrôle
ISO/ IEC 17799
Certification de système de management et organismes
d’accrédition (audit, procédures etc)
ISO Guide 62 EA7/03
ISO G 73
EN45012
ISO19011ISO9001
Normes et schémas nationaux
Certification de système de management et organismes
d’accrédition (audit, procédures etc)
ISO Guide 62 EA7/03
ISO G 73
EN45012
ISO19011ISO9001
Normes et schémas nationaux
80Novembre – Décembre 2005 Version 1.01
La certification BS7799-2
A l’instar de ISO 9000 pour le management de la qualité, BS 7799-2 est la seule norme et certification qui existe actuellement pour les ISMS.
Définit les conditions pour l’établissement, la mise en œuvre et la documentation d’un ISMS,
Définit les exigences de contrôles pour la sécurité devant être mis en application selon les besoins de différents organismes,
Elle se compose de 10 chapitres de 127 contrôles, Nécessite 2 étapes (audit de la documentation puis audit de
l’implémentation), En France, le COFRAC (Comité Français d’Accréditation et de
Certification) peut valider un schéma de certification BS 7799-2.