Upload
faouzi-maddouri
View
61
Download
0
Embed Size (px)
Citation preview
Sécurité Informatique Politique de sécurité, de l’Analyse des risques vers la Sécurité Web
Mr Maddouri FaouziUniversitaire [INSAT]Auditeur Certifié ANSIConsultant Expert
[email protected]@yahoo.fr
Mr Maddouri Faouzi - Copyright 2016 © 2
Objectifs
Maîtrise de la démarche (Enjeux)Audit de sécuritéNormes Avoir une idée sur les outils logicielsAvoir une idée sur les architectures
sécurisées et leurs composants
Mr Maddouri Faouzi - Copyright 2016 © 3
Planning
Durée : 3h #Séances : 3 Pauses : 2x15mn Support : papier + documents numériques Méthodologie:
Notions et conceptsAteliers pratiquesPré évaluationPost-évaluation
Mr Maddouri Faouzi - Copyright 2016 © 4
Plan
Définitions SI (D+T+E+H) SII Sécurité, ISMS, RIAMS,
RSSI ROSI, AO, AP, AT, AR Menaces, Hacking,
cracking Aspects de la sécurité et
services Confidentialité Intégrité Disponibilité Non Répudiation
Solutions Techniques: Chiffrement Signature Numérique Identif./Authentification Solutions de Haute
disponibilité Redondance, Clustériser VPN
Solutions Organisationnelles Audit Analyse des risques Veuille et surveillance
Mr Maddouri Faouzi - Copyright 2016 © 5
Plan (suite)
Processus de sécurisation Audit Implémentation Analyse des
risques Modèle PDCA
Planifier Implémenter Vérifier Agir
Nécessités/Enjeux : vérification continue Approbation
externe (audit) Référentiels,
standards et normes
Méthodologies
Mr Maddouri Faouzi - Copyright 2016 © 6
Plan (suite)
Types d’audit Interne Externe Tierce partie
(accréditation) Niveaux d’audit
Organisationnel Physique Logique (technique)
Méthodologies d’audit MEHARI MARION eBIOS GAE
Méthodologies d’analyse de risques SASA
Mr Maddouri Faouzi - Copyright 2016 © 7
Plan (suite)
Cadre juridique Loi N° 5-2004, Fév 2004
Décret N°2004-1248, 1249 et 1250 du 25-Mai-2004 : Organisation de l'ANSI, Organisation de l'ANSI, Conditions de Certification Conditions de Certification des Auditeurs, et Systèmes des Auditeurs, et Systèmes Informatiques audiblesInformatiques audibles
Décret N°97-389 du 21-Fevrier-1997 modifié et N°1226 et 1227 du 31-Mai-2004 : Organisation et Organisation et fonctionnement des fonctionnement des archives nationalesarchives nationales
Loi organique N°2004-63 du 27-Juillet-2004 : Protection Protection des données a caractère des données a caractère personnelpersonnel
Normes ISO 19011 BS 7799BS 7799 ISO 17799 ISO 27001
QuestionnaireQuestionnaire
Mr Maddouri Faouzi - Copyright 2016 © 8
Plan (suite - Sécurité logique)
MenacesMenaces Codes malveillants :
Virus, Vers Bombes logiques Mochards/espiogiciels Cheval de Troi-troyen (back-
door) Spam Adwar
Attaques : Intrusions Deny Of Services (DoS) Usurpation Interposition Empoisonnement(spoofing) Espionnage/ecoute(sniffing)
Sources d’attaquesSources d’attaques ExterneExterne InterneInterne
VulnérabilitésVulnérabilités Défaillance IIS TCP three-way
handshake TCP Flood attack NFS i-noeud attack DoS et DDoS
Mr Maddouri Faouzi - Copyright 2016 © 9
Plan (suite - Sécurité logique)
Architectures de sécurité DMZ Intranet Extranet ZA
Réseau périphérique Réseau Partenaire Topologies Bastion
Cache et NAT/PAT SNAT et DNAT SPAT et DPAT
ACL VLAN’s Proxy, Reverse-Proxy,
pot de miel (honey Pots) Firewalls
Protocolaires/contenu Matériel/Logiciel
Sondes(IDS,HIDS,NIDS) Analyseurs Antivirus Supervision et analyse
réseau et logs système Mises à Jours AntiV+S.E.
Mr Maddouri Faouzi - Copyright 2016 © 10
Conclusion
Pas de sécurité absolue Pas sécurité définitive La sécurité est coûteuseCibler l’investissement de sécuritéMinimiser l’impact (durée+dommages) Le SI est en changement continue Les Menaces évoluent Les failles/vulnérabilités existent-se multiplientLa Sécurité est un travail continueNécessité d’un système de suivie : ISMS+RIAMS
Mr Maddouri Faouzi - Copyright 2016 © 11
Bibliographie-Webographie
Agence Tunisienne de la sécurité informatique www.ansi.tn
Club de la Sécurité de l'Information Français www.clusif.asso.fr
Club des développeurs francophones www.developpez.com
Cryptographie Théorie et pratique, Douglas
STINSON,Int. THOMSON Pub. Paris, 1996.
Cryptography in C and C++, Michael
Welschenbach,Apress, Berkely, 2001.
Sécurité Internet pour l’entreprise Pare-feux et au-delà, Terry Bernstein, Anish B. Bhimani, Eugene Schultz & Carol A. Siegel, WILEY. Paris, 1997.
Mr Maddouri Faouzi - Copyright 2016 © 12
Merci pour votre attention..
Bonne chasse..