Documente Academic
Documente Profesional
Documente Cultură
Introduction
Sommaire - Introduction
Introduction
Quest ce que la scurit ? Quoi protger ? Pourquoi ? Contre qui ?
Qui croire ?
Comment protger ? La politique de scurit.
informatiques permettant de rduire au maximum les chances de fuites d'information, de modification de donnes ou de dtrioration des services. Elle consiste un trs grand nombre de mthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.
ces techniques dans le but d'lever le niveau de scurit d'un systme ou d'une architecture.
susceptible de nuire dans l'absolu La vulnrabilit reprsente le niveau d'exposition face la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en uvre en prvention de la
Quoi protger ?
L Information au sens large.
Voix et Vido Informations Non numrises Archives Scurit des systmes dinformation Scurit des Rseaux et changes
Scurit juridique
Quelle que soit la forme prise par linformation ou quels que soient les moyens par lesquels elle est transmise ou stocke, il faut quelle soit toujours protge de manire approprie.
LA SECURITE DE LINFORMATION
5
Seulement 40 50% des informations ncessaires pour faire fonctionner une entreprise sont enregistres sur des supports lectroniques
Les actifs sont caractriss par leur type et surtout par leur valeur
Actifs physiques
Serveurs informatiques, PC, portables, Matriels rseaux, PABX, units de climatisation.
Actifs dinformations
Fichiers de donnes, bases de donnes Procdures et manuels utilisateurs, archives.
Actifs applicatifs
Progiciels, logiciels spcifiques, Systmes dexploitation, outils de dveloppement, utilitaires.
Pourquoi protger ?
Linformation est une ressource stratgique, une matire
premire, elle est un atout pour celui qui la possde et donc attise souvent les convoitises Les S.I. facilitent laccs linformation
Ils grent de grandes quantits dinformation et peuvent la rende
manire anonyme et sans faire un seul mort La loi, la rglementation et lthique seront toujours en retard sur la technique Les individus se comportent rarement comme on lattend
Le comportement dun individu confront des situations inhabituelles
Pourquoi protger?
Les consquence retenir Vol dinformations et du savoir faire
Dans un contexte de haute technologie notamment
Atteinte limage de marque NASA, e-bay, Wanadoo, RSA, Indisponibilit du service e-business, Perte de temps et de moyen humains Remise en service, recherche des dgradations
Pertes financires ! Modification des montants de facture Perte dexploitation Erreurs de traitement
9
Contre qui ?
Les menaces
10
La menace - Dfinitions
Violation potentielle de la scurit - ISO-7498-2 Menace accidentelle
Menace dun dommage non intentionnel envers le SI Catastrophe naturelle, erreur dexploitation, pannes
Le vol
Obtention dinformations ou de ressources
La perturbation
Affaiblir le S.I.
Le sabotage
Mise hors service du S.I.
Le chantage
Gain financier, menace de sabotage,
12
Incendies, Foudre, Inondations, etc EDF, Fournisseurs de connectivit, Fournisseurs de matriels et de logiciels, Inconsciences et accidents (A ne pas ngliger !) o Provoqus par linattention ou le manque de formation des administrateurs ou des utilisateurs
Les fournisseurs
Catgories de menace
Espionnage, vol, perturbation, sabotage, fraude physique, accs illgitimes
Type dattaquants
Espions Particuliers (rare), Entreprises, Gouvernements Terroristes
14
Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accs illgitimes, Type dattaquants Militants Vandales Terroristes
15
Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accs illgitimes,
16
Catgorie de menace
Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accs illgitimes, Type dattaquant
Espions (concurrent ou pour le compte de) Crime Organis Intervenants Ont souvent accs des informations sensibles, et conservent souvent des fichiers de configuration,
17
Souvent lexpression dun employ brim ou licenci qui peut possd une trs bonne connaissance du SI
Catgorie de menace
Type dattaquant
Personnes extrieures en dsaccord avec lentit
Ont souvent une bonne connaissance de lentreprise Utilisateurs dpassant leurs prrogatives Administrateurs, informaticiens,
19
20
21
Classement
Comptence Temps Motivation
Forte
Forte Moyenne Faible Forte Moyenne Moyenne Forte
Fort
Faible Moyen Faible Faible Faible Faible Moyen
Moyenne
Forte Moyenne Faible Faible Moyenne Faible Faible
Un membre du personnel
Un stagiaire
22
Attaquer la victime
3
23
Se vanter
Dmarche intermdiaire
1
Collecter les Outils et se documenter Identifier la cible
3,5
24
Attaquer la victime
3,5
25
Attaquer la victime
Attaques
Attaque != Vulnrabilit
Attaque Action de malveillance consistant tenter de contourner les fonctions de scurit dun SI (ISO) Vulnrabilit Faiblesse ou faille dans les procdures de scurit, les contrles administratifs, les contrles internes dun systme, qui pourrait tre exploite pour obtenir un accs non autoris au SI, un de ses services, des informations ou la connaissance de leur existence et de permettre de porter atteinte la confidentialit, lintgrit et la disponibilit du SI et de ses informations
26
Vulnrabilits
Dans la conception Matriel Protocole Architecture (Systme, Rseau, ) Logiciel (OS, application, ) Dans limplmentation Matriel Protocole Architecture (Systme, rseau ) Logiciel (OS, application, ) Configuration, exploitation quipement (Routeurs, Firewalls, Serveur, ) Logiciel (OS, application, )
27
Attaques
Intrusions Vandalisme Denis de service (DOS) Vol dinformations Escroqueries
28
Attaques (1)
Intrusions
Recherche de mots de passe Dictionnaire coute du rseau Brute force Le Spoofing Les sniffers et scanners Les exploits
29
Attaques (2)
Vandalisme Destruction de fichiers Destruction de systmes Dfiguration de site Web
30
Attaques (3)
Denis de service (DOS)
Bombes logiques (virus) Le flood TCP-SYN Flooding Le Nuke
Le spamming
31
Attaques (4)
Vol dinformation
Suite une intrusion Interception coute Cryptanalyse
32
des informations de la part des utilisateurs par tlphone, courrier lectronique, courrier traditionnel ou contact direct
Exemple : Le message vocal du Prsident de Hewlett-
Packard son Directeur administratif et financier, o il voquait la fusion avec Compaq a t intercept et diffus travers lInternet. - Avril 2002 -
33
fonds des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.
34
ressources tlphoniques depuis lextrieur. Exemple : Le piratage du standard tlphonique de la Cit des Congrs de Nantes a dur trois journes : le montant de la facture de tlphone sest lev de 2 000 70 000 . - La Tribune fvrier 2002 -
35
pche, et phreaking
Technique frauduleuse utilise par les pirates informatiques
pour rcuprer des informations (gnralement bancaires) auprs d'internautes. Technique d'ingnierie sociale c'est--dire consistant exploiter non pas une faille informatique mais la faille humaine en dupant les internautes par le biais d'un courrier lectronique semblant provenir d'une entreprise de confiance.
36
personnes de faux concepts ou vhiculer de fausses rumeurs, La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ; La dgradation de l'image d'une personne ou bien d'une entreprise, L'incrdulit : force de recevoir de fausses alertes les usagers du rseau risquent de ne plus croire aux vraies.
37
Les virus
Programme informatique situ dans le corps
d'un autre, qui, lorsqu'on l'excute, se charge en mmoire et excute les instructions que son auteur a programm Diffrents types.
Les vers Les troyens Les bombes logiques
Les spywares
38
39
autre qui excute des commandes sournoises, et qui gnralement donne un accs la machine sur laquelle il est excut en ouvrant une porte drobe (en anglais backdoor
Vol de mots de passe Copie de donnes Excution daction nuisible
40
s'effectue un moment dtermin en exploitant la date du systme, le lancement d'une commande, ou n'importe quel appel au systme Gnralement utilises dans le but de crer un dni de service
Exemple la bombe logique Tchernobyl s'est active le 26 avril
1999
41
42
Taxon (biologie)
Unit formelle reprsente par un groupe dorganismes,
43
Outil
Attaque physique change dinformation Commande utilisateur Script, programme Toolkit Agent autonome Outil distribu Trappe
Vulnrabilit
Conception Implmentation Configuration
Action
Sonde Scanne Flood Authentifie Court-circuite Spoof Vol Modifie, copie, efface Dtruit
Cible
Compte utilisateur Processus Donne Ordinateur Rseau Composant du SI
Rsultat
Accs illgitime Divulgation dinformation Corruption dinformation Denis de service Vol de ressource Destruction de ressource
Objectif
Challenge, distraction Gain financier Gain stratgique Destruction Vengeance
44
Qui croire ?
Personne ! (mthode paranoaque)
Tout le monde nest pas mal intentionn Il existe des gens mal intentionns Il existe des gens bien intentionns mais irresponsables (Microsoft, ebay,) A qui fait-on confiance ? diteurs Partenaires Intervenants (SSII, intgrateurs, consultants, ) Sassurer quils sont aussi rigoureux que vous sur
la scurit
45
Comment protger ?
Pas de scurit
46
La politique de scurit ?
Cest un dispositif global dont la mise en uvre
assure que linformation peut tre partage dune faon qui garantit un niveau appropri de protection de cette information et des actifs lis. Toutes mthodes, techniques et outils concourant la protection linformation contre un large ventail de menaces afin :
De garantir la continuit dactivit de lentreprise, De rduire les dommages ventuels sur lactivit de
SERVICES DE SECURITE
48
Les mesures labores dans un plan de scurit peuvent-tre classes en deux familles : - avant sinistre : mesure de prvention - aprs sinistre : dtection, ralentissement, correction
REMARQUE
49
(Solution de scurit dUrgence) Mise en oeuvre dune batterie Doutils techniques, Pare-feux, anti-virus, VPN, SSL, anti-SPAM, etc Avantages: Dlais de mise en oeuvre, investissement uniquement Matriel/logiciel, Inconvnients: Donne un faux Sentiment de scurit.
Approche SSU
50
ISO 18044-gestion des incidents ISO 17944-systmes financiers ISO 18028-gestion des communications ISO 14516-scurit dans le e-commerce Etc
51
ISO 17799
ISO 15408
des T.I.C avant tout: Editeurs de logiciels, constructeurs dquipements Un catalogue des exigences fonctionnelles et dassurance de scurit, lments pour la spcification des exigences de scurit (cible de scurit, profil de protection), La description des 7 niveaux dassurance de lvaluation (EAL),
52
la scurit des T.I, Partie 2: Management et planification de la scurit des T.I, Partie 3: Techniques pour la gestion de la scurit des T.I, Partie 4: Slection de mesures de scurit, Partie 5: Guide pour la gestion de la Scurit du rseau.
53
la scurit des T.I, Partie 2: Management et planification de la scurit des T.I, Partie 3: Techniques pour la gestion de la scurit des T.I, Partie 4: Slection de mesures de scurit, Partie 5: Guide pour la gestion de la Scurit du rseau.
54
55
SECURITE DE LINFORMATI ON
56
management of IT Security,
Un
57
10%
Fonctionnels
10%
Oprationnels
58
Scurit et accs logiques, Dveloppement et gestion des volutions, Scurit et accs physiques,
80%
Conformit
Continuit dactivit
59
Il doit tre rvis et adapt priodiquement en prenant en compte lefficacit de ses mesures, le cot et limpact des contrles sur lactivit, les effets des volutions technologiques.
La scurit est une responsabilit partage par tous les membres de lquipe de direction: Cration dun comit de direction multifonction ddi pour assurer le pilotage de la scurit, Dfinit rles et responsabilits, les mthodes et procdures et soutient les initiatives de promotion et de communication interne. 60
Maintenir la scurit des moyens de traitement et des actifs accds par des tiers ou des sous-traitants,
Maintenir la scurit des informations lorsque la responsabilit du traitement des informations est externalise une autre organisation.
61
Lobjectif est de maintenir le niveau de protection adapt chaque actif dinformation en accord avec la politique de scurit: Tout actif important doit tre rpertori et allou un responsable nominatif, Linformation doit tre classifie en fonction du besoin, de la priorit et du degr de scurit. Les procdures de classification des informations doivent tre dfinies et couvrir la manipulation des informations sous forme physique aussi bien que lectronique, et pour les diffrentes activits de copie, stockage, transmission et destruction.
62
Lobjectif est de maintenir le niveau de protection adapt chaque actif dinformation en accord avec la politique de scurit: Tout actif important doit tre rpertori et allou un responsable nominatif, Linformation doit tre classifie en fonction du besoin, de la priorit et du degr de scurit. Les procdures de classification des informations doivent tre dfinies et couvrir la manipulation des informations sous forme physique aussi bien que lectronique, et pour les diffrentes activits de copie, stockage, transmission et destruction.
63
Sassurer que les utilisateurs ont t informs des risques et menaces concernant les informations,
Sassurer que les utilisateurs sont forms et quips pour appliquer la politique de sret lors de leurs activits normales, Minimiser les dommages en cas dincident ou de dysfonctionnement, Savoir capitaliser sur ces incidents et sadapter. 64
Prvenir les accs non autoriss, les dommages et les interfrences sur les informations, les activits et les locaux de lorganisation,
Prvenir la compromission ou le vol des informations ou des moyens de traitement.
65
Lobjectif est de: Assurer une exploitation correcte et sure des moyens de traitement, Minimiser les risques de pannes et leur impact, Assurer lintgrit et la disponibilit des informations, des traitements et des communications, Prvenir les dommages aux actifs et les interruptions de service, Prvenir les pertes, les modifications et les utilisations frauduleuses dinformations changes entre organisations. 66
Des services de dconnexion automatique en cas dinactivit, Une politique de rvision des mots de passe, Une hirarchisation du niveau daccs en fonction du degr de confidentialit des donnes.
68
Lobjectif est de: Assurer que la scurit soit incluse ds la phase de conception, Prvenir la perte, la modification ou la mauvaise utilisation des informations hberges par les systmes, Protger la confidentialit, lintgrit et la disponibilit des informations, Assurer que les projets et activits de maintenance sont conduits de manire sre, Maintenir la scurit des applications (logiciel et donnes). 69
Lobjectif est de dvelopper la capacit rpondre rapidement aux interruptions des activits critiques de lorganisation rsultant de pannes, dincidents, de sinistres ou e catastrophes. Une analyse des risques partir de divers scnarii de sinistre et une valuation de la criticit des applications permet dtablir diffrents plans de poursuite des oprations depuis le mode dgrad en cas de dysfonctionnement mineur jusqu la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grve,)
70
10 Conformit
Lefficacit des dispositifs de traabilit et de suivi des procdures en place: Journaux dactivit, pistes daudit, enregistrement de transactions,
71
toujours strictement le spectre de lISO 17799, Il peut par consquent tre ncessaire de retravailler les bases de connaissance de ces mthodes pour obtenir une couverture complte de la scurit de lInformation, La commission mthodes du Clusif a corrl la base de connaissance de MEHARI afin de couvrir lensemble des mesures de ISO 17799.
72
politique et les objectifs et pour atteindre ces objectifs (ISO guide 72). Les systmes de management sont utiliss dans les entreprises pour dvelopper leurs politiques et les mettre en application travers des objectifs et des cibles en utilisant:
Une organisation dans lentreprise, Des processus et des ressources associs, Des contrles et une mthode dvaluation, Des processus de rvision pour garantir que les anomalies sont
73
scurit de linformation comme un systme intgr appel un Information System Management System (ISMS). Mise en uvre dun vrai processus danalyse, dlaboration de contrle et dvolution dune politique de scurit en appliquant un concept bien connu en qualit, le modle PDCA.
74
75
BS 7799 Partie 2
ISO/IEC 18044
ISO/IEC 17799
EA7/03 ISO19011
EN45012
ISO G 73
76
La certification BS7799-2
A linstar de ISO 9000 pour le management de la
qualit, BS 7799-2 est la seule norme et certification qui existe actuellement pour les ISMS. Dfinit les conditions pour ltablissement, la mise en uvre et la documentation dun ISMS,
Dfinit les exigences de contrles pour la scurit devant tre mis
en application selon les besoins de diffrents organismes, Elle se compose de 10 chapitres de 127 contrles, Ncessite 2 tapes (audit de la documentation puis audit de limplmentation), En France, le COFRAC (Comit Franais dAccrditation et de Certification) peut valider un schma de certification BS 7799-2.
77