Documente Academic
Documente Profesional
Documente Cultură
Dominique PRESENT
I.U.T. de Marne la Vallée
1
Les éléments de la sécurité informatique
Sécurité informatique
A distance :
• le serveur de comptes (ou
contrôleur de domaine)
Profil
serveur utilisateur
de comptes Hub Ouverture de session
authentification Droits d’accès
Les questions à se poser : Routeur
• Qui à le droit d’utiliser rl’ordinateur
é se a u
?
• A quelles ressources locales
I n t e r nl’utilisateur
e t
doit-il avoir accès et avec quels droits ?
• A quels serveurs l’utilisateur doit-il avoir
accès ?
• A quelles ressources/services du serveur
l’utilisateur doit-il avoir accès et avec quels intranet
droits ? messagerie
• A quels services Internet l’utilisateur doit-il
accéder ?
2
La sécurité informatique : protéger des intrusions
s protéger des
Poste client :
• le parefeu personnel
accès illicites aux Parefeu
(personnal ifrewall) services personnel
Serveur :
• le routeur parefeu
(firewall)
serveur
de comptes Hub
Routeur Routeur
ré s e a u Parefeu
In te r n e t Routeur
Parefeu
Les questions à se poser :
• Quels services peut utiliser le client sur son
poste ?
• Quels clients peuvent accéder à un serveur ? intranet
• Quels services sont accessibles aux clients messagerie
internes ?
• Quels services sont accessibles à des clients
externes ?
serveur
de comptes Hub
Routeur
ré s e a u Parefeu
In te r n e t Routeur
Parefeu
3
La sécurité informatique : adapter l’infrastructure
s protéger des
Parefeu
accès physiques personnel
illicites
Hub
Routeur
ré s e a u Parefeu
In te r n e t Routeur
Parefeu
4
Construire une politique de sécurité : 12 thèmes
Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005,
Thème 1 - Organiser la sécurité de l'information : préciser les
rôles et responsabilités des gestionnaires, utilisateurs et
1-Organiser la fournisseurs de services. Détailler les mécanismes de sécurité
sécurité de à mettre en place pour assurer la sécurisation de l'accès des
l’information tiers aux informations et ressources de l’entreprise.
Thème 4 - Gérer les actifs informationnels : procéder à
4-Gérer les l'inventaire des données; leur déterminer un propriétaire; les
actifs catégoriser; déterminer leur niveau de protection et établir les
informationnels mesures de sécurité à mettre en place.
Thème 2 - Bâtir une politique de sécurité de l’information :
indiquer les éléments à considérer et le contenu de la
1-Organiser la politique de sécurité de l'information.
sécurité de Thème 3 - Gérer les risques de sécurité : analyser
l’information et évaluer les menaces, impacts et vulnérabilités
auxquels les données sont exposées et la probabilité
3-Gérer les 2-bâtir une de leur survenance. Déterminer les mesures de
risques de politique de sécurité pouvant être implantées pour réduire les
sécurité sécurité
risques et leur impact à un coût acceptable.
12-prévoir la Thème 12 - Prévoir la continuité des activités : décrire les façons
continuité des de faire pour élaborer un plan de continuité et de relève des
activités services, de même qu'un plan de sauvegarde des données et des
applications de votre entreprise.
5
Organiser la sécurité de l’information
Règles et pratiques
• Rôles et responsabilités :
– implanter des règles de conduite et partager les responsabilités entre les différents
intervenants de votre entreprise.
– définir les rôles et les responsabilités des personnes impliquées dans la sécurité des actifs
informationnels.
– Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprise
reposent sur :
• les gestionnaires qui en assurent la gestion ;
• les utilisateurs des actifs informationnels;
• les tiers, fournisseurs de services et contractuels.
– Le dirigeant de votre entreprise a comme responsabilités de :
• désigner un responsable de la sécurité des systèmes d'information (RSSI);
• valider la politique globale de sécurité, les orientations et les directives.
– Le comité de la sécurité de l'information doit :
• recommander les orientations et les directives au dirigeant de l’entreprise;
• approuver les standards, les pratiques et le plan d'action de la sécurité de l'entreprise;
• assurer le suivi du plan d'action de sécurité.
6
Bâtir une politique de sécurité implique l’entreprise
Thème 2
Contexte
Une politique de sécurité de l'information est un ensemble de documents émanant de la direction
de votre entreprise et indiquant les directives, procédures, lignes de conduite et règles
organisationnelles et techniques à suivre relativement à la sécurité de l'information et à sa
gestion. Une telle politique constitue un engagement et une prise de position claire et ferme
de la direction de protéger ses actifs informationnels.
Principe
Pour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut
vous servir de guide et de référence.
• Règles et politiques
– identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les actifs
informationnels de votre entreprise selon leur degré de sensibilité.
– protéger les informations et ressources considérées comme vitales ou importantes pour
votre entreprise, soit des :
– systèmes d'information (application, logiciel, etc.);
• éléments de l'infrastructure technologique (serveur, réseau de télécommunications,
réseau téléphonique, etc.);
• types de documents (contrat, procédure, plan, procédé de fabrication, etc.);
• installations (immeuble, local, etc.).
7
De la politique d’entreprise aux procédures
Niveau 1 : Politique globale
engagement et prise de position Niveau 1
ferme et claire de la direction de Politique globale
l'entreprise quant à la protection à
accorder aux actifs
informationnels.
Niveau 2 : Directives Niveau 2
mesures concrètes déterminant, la directives
façon de procéder en vue d'assurer
la sécurité des actifs
informationnels.
Elles peuvent porter,
par exemple, sur Niveau 3
l'utilisation d'Internet, du procédures Standards pratiques
courrier électronique ou
des écrans de veille.
Niveau 3 : Procédures, standards et bonnes pratiques
Procédures : décrivent en détail toutes les étapes d'un processus humain ou technologique
d'implantation ou d'opération d'une mesure de sécurité.
Standards : définissent les règles et mesures à respecter en attendant une normalisation par un
organisme officiel de normalisation.
Pratiques : assurent que les contrôles de sécurité ainsi que les processus de soutien nécessaires sont
implantés de façon constante et adéquate à travers l'entreprise.
8
Le VPN : un réseau privé à travers Internet
Un réseau virtuel privé (VPN) permet d’envoyer des données de manière
sécurisée entre les ordinateurs de deux domaines privés (LAN) à travers un
réseau d’opérateur (WAN).
Le VPN revient à créer un « tunnel privé » à travers un réseau d’opérateur
utilisant IP, comme Internet.
Internet
r é s e a u lo c a l
Routeur
Serveur
Routeur
r é s e a u " b r o c e l ia n "
LS
9
Client mobile : le VPN simplifie la
procédure
VPN POP
LS opérateur
POP RTC local client
opérateur Serveur
Routeur Internet
opérateur
télécom Routeur
Routeur
Prestataire
de service
ré s e a u lo c a l FAI
Routeur hôtel
Serveur de
connexion o p é ra te u r
R T C
Ligne
ADSL
Serveur VPN :
fournit la connexion Inter-réseau de transit :
Réseau public traversé
Internet
r é s e a u lo c a l
Routeur
Serveur
Routeur
r é s e a u " b r o c e l ia n "
tunnel : Chemin
des données
client VPN :
initie la connexion
10
Paramétrer authentification et cryptage sous XP
• Sous Windows XP, la configuration du paramétrage de l’authentification et de la
sécurité autorise des combinaisons ci-dessous :
Paramètres Protocoles
d’authentification d’authentification
autorisés
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
11