Cours 02 Politique

Politiques de scurit
Jean-Marc Robert
Gnie logiciel et des TI
Plan de la prsentation
Introduction
Analyse de risque
Politique de scurit
De sa dfinition son application
Exemples de politique de scurit

Politique de mots de passe Politique de confidentialit Politique de contrle daccs Politique dinstallation de logiciels
Jean-Marc Robert, ETS
MTI 719 - Politiques de scurit v1.1
Analyse de risque : la pierre angulaire

Lanalyse de risque a rpondu trois questions:
Quels sont les actifs devant tre protgs? Quels sont les impacts de la perte de ces actifs? Contre quelles menaces doivent-ils tre protgs?
Dterminer les risques auxquels un systme doit faire face!
Prioriser les risques auxquels doit faire face un systme dinformation
Politique de scurit
Dfinir les objectifs de scurit en fonction des risques prsents. Une politique de scurit est un document qui tablit comment une organisation planifie de protger ses actifs et datteindre les objectifs quelle sest donns.
Ce document donne les grandes lignes des actions et des principes devant tre suivis.
Attention: Il faut viter tout dtail de mise en uvre.

Par exemple, choix ou configuration de technologie.
Politique de scurit suite

Politique organisationnelle
Pourquoi et comment le programme de scurit sera mis en place au sein de lorganisation: motifs, objectifs, intervenants, etc.
Politique propre une activit

Politique dtaille se rapportant une activit importante.
Politique propre un systme

Politique dtaille se rapportant aux quipements, aux serveurs applicatifs, aux bases de donnes,
Types de politique
Politique rglementaire (Regulatory)
Se basant sur la rglementation dune industrie.
Bancaire : Gramm-Leach_Bliley Act (GLBA), 2001 (USA) Sant : Health Information Portability & Accountability (HIPAA), 1996 (USA)
Politique-conseil (Advisory)
Dfinissant les comportements et activits permis aux employs au sein de lentreprise ainsi que les sanctions possibles.
Politique informationnelle (Informative)

Jouant un rle ducationnel auprs des employs sur des sujets pointus.
Politique ou Politiques
Une politique globale Un ensemble de politiques indpendantes, mais cohrentes.
Chaque politique cible un sujet concis (une deux pages). Chaque politique est crite pour une audience cible. Chaque politique peut tre approuve indpendamment.
Politique : Sa naissance
La politique organisationnelle de scurit doit reflter les objectifs et les processus daffaires. Programme de scurit intgr (gouvernance)
Analyse de risque Politique de scurit
De ce fait, la politique doit avoir laval des dirigeants.
Politique : Son acceptation

Formation des employs
Justifier les politiques qui semblent contraignantes.
P. ex., montrer comment il est facile dcouvrir un mot de passe faible ou limpact dun programme malveillant (Trojan).
Communication continuelle Difficult: Manque de sensibilisation au Manque de sensibilisation.

Les usagers nont pas conscience quils doivent en faire beaucoup plus puisquils ont un impact important.
Organisation
Politique refltant bien lorganisation. Organisation agissant de faon cohrente.
Politique : Son application

Sans moyen de contrle, une politique ne demeure quun bout de papier (ou une suite de bits). Deux types de politiques
Techniques
Moyens techniques permettant de vrifier si une politique est respecte.
Comportementales
10
Politique : Sa rvaluation
Un politique pour les politiques! Les politiques doivent tre revues priodiquement (six mois?).
Rvaluation Mise jour
Divers intervenants de lentreprise.

Tout comme lanalyse de risque.
11
Politique : nonc vs Mise en uvre

nonc
Politique de scurit
Mise en uvre
Norme Note d'orientation Procdure
Lnonc et la mise en uvre doivent demeurer distincts pour faciliter la maintenance.
12
Mots de passe : Politique

Tous les usagers doivent avoir un identifiant unique et un mot de passe respectant la norme pour les mots de passe. Les usagers ne doivent partager leur mot de passe avec quiconque. Les mots de passe ne doivent pas tre crits de faon lisible pour des fins de mmorisation. Si un mot de passe semble tre compromis, il faut rapporter lvnement le plus tt possible et changer ce dernier sans laide de quiconque.
13
Mots de passe : Norme

Minimum de 8 caractres
Au moins une lettre minuscule Au moins une lettre majuscule Au moins un chiffre Au moins un caractre spcial ! ? : ; @ # $ % * ( ) [ ]
Doit tre chang tous les 60 jours Doit tre diffrent des 10 derniers mots de passe utiliss
14
Mots de passe : Note d'orientation

Une bonne faon de crer un mot de passe est dabrger une phrase de notre choix: Jaime 2 BD: Tintin et Astrix ! Cette phrase devient le mot de passe: Ja2B:T&A! Il est donc plus facile de se rappeler la phrase que le mot de passe.
15
Mots de passe : Procdure

Montrer comment changer un mot de passe.
CTRL-ALT-DEL
Onglet: Change Password
16
Une politique [Greene]

nonc Nomenclature
Catgorie, Nom, Version Approbation
Description
Objectifs Raison dtre Audience Politique Exceptions Actions disciplinaires
17
nonc
Introduction un ensemble de politiques.
Quest-ce qui a motiv la prsentation de ces politiques? Quelle est la ligne de pense qui a t suivie pour la dfinition de ces politiques? Comment ces politiques sintgrent-elles dans la culture de lorganisation?
Livrer un message clair au sujet de limportance de la scurit de linformation aux lecteurs de la politique.
18
Nomenclature
Catgorie
Domaine (ou sous-domaine) dapplication Scurit du personnel Ententes de confidentialit
Nom
Nom de lorganisation Nom du document
Version
Identificateur unique du document Numro de version Priode de validit
Approbation
Nom de la personne qui a approuv cette politique.
Jean-Marc Robert, ETS MTI 719 - Politiques de scurit v1.1 19
Description Objectifs
Quels sont les buts de cette politique?
Quest-ce que lon cherche faire en dfinissant cette politique?
La confidentialit des donnes de lorganisation est une des pierres angulaires de notre programme de scurit de linformation. Afin datteindre ce but, XYZ inc. demandera la signature dune entente de confidentialit toutes les personnes autorises utiliser ses systmes dinformation. Cette entente doit respecter les lois et les rglementations en vigueur ainsi que la convention collective. Quoi: Demander la signature dune entente de confidentialit de la part de tous les usagers autoriss.
Description Raison dtre

Pour quelle raison la politique a-t-elle t dveloppe? Comment la politique sera-t-elle mise en uvre dans les grandes lignes? Protger les actifs de lorganisation en informant clairement les employs de leur rle et de leurs responsabilits afin de conserver les informations de lorganisation confidentielles. Pourquoi: Protger les actifs de lorganisation. Comment: En informant les employs de leur rle et leurs responsabilits.
Description Audience
qui sadresse cette politique? La politique de confidentialit doit tre suivie par tous les employs de XYZ inc. ayant lautorisation daccder aux informations confidentielles de XYZ inc. Qui: Tous les employs autoriss accder aux informations confidentielles.
22
Description Politique
Description de la politique dtails de la mise en uvre. - Les employs doivent signer une entente de confidentialit avant quils soient autoriss accder aux informations confidentielles. - Les ententes sont revues avec les employs lorsquil y a un changement dans leur statut demploi ou leur contrat. - Les ententes sont conserves par le dpartement des ressources humaines.
23
Description Exceptions
Certaines situations demandent parfois un traitement particulier.
Sil y a trop dexceptions, la rgle initiale est
Inapproprie Perue ngativement pas importante, favoritisme Difficile appliquer et auditer
Le CISO peut dcider quun tiers ne soit pas oblig de signer une entente de confidentialit si le contrat avec celui-ci inclut dj une telle clause.
24
Description Action disciplinaire

Certaines situations demandent parfois de prendre des mesures disciplinaires envers les contrevenants.
Le niveau de la pnalit doit tre en fonction de la nature de linfraction.
Le non-respect de cette politique peut entraner des mesures disciplinaires qui pouvant aller jusquau congdiement de lemploy, lannulation du contrat liant XYZ inc. et un tiers. De plus, les individus peuvent tre poursuivis au civil ou au criminel.
25
Un politique pour tout [Diver]

1. Responsibilities Information Security and Audit Departments 2. Email and Internet Use 3. Ethics and Appropriate Use 4. Personnel / Administration 5. User Identification and Accountability 6. Managing Users Accounts 7. Authentication 8. Access Control 9. Authorization 10. Auditing 11. Physical 12. Hardware 13. Software 14. Incident Response 15. Intrusion Detection 16. Cryptography 17. Data Classification 18. System and Network Controls 19. Business Continuity / Disaster Recovery 20. Compliance Measurement 21. Change Management 22. Information Handling 23. Information Backup 24. Remote Access 25. Third Party/Service Provider Management 26. Network Connections 27. Instant Messaging 28. Web Conferencing 29. Voice Communications 30. Application Development
26
Un politique pour tout (bis) [Greene]

1. Security Policy 2. Organizational Security 3. Asset Classification and Control 4. Personnel Security 5. Physical and Environmental Security 6. Communications and Operations Management 7. Access Control 8. System Development and Maintenance 9. Business Continuity Management 10. Compliance
Cette approche est fidle la norme ISO 27002. Chaque catgorie devient donc une famille de politiques.
27
Un politique pour tout (rebis) [JMR]

1. Cration et gestion dun rseau scuris 2. Protection des donnes des titulaires de cartes de crdit 3. Mise jour dun programme de gestion des vulnrabilits 4. Mise en oeuvre de mesures de contrle daccs strictes 5. Surveillance et test rguliers des rseaux
Cette approche est fidle la norme PCI (Payment Card Industry) DSS (Data Security Standard). Chaque catgorie devient donc une famille de politiques.
28
Un politique pour tout!

Risque: Trop de politiques
Entreprise
Scurit physique Ressources humaines Recouvrement Contrle daccs
Usagers
Authentification Accs distance Utilisation de lInternet, du courriel et des messageries instantanes Tlchargement de logiciel ou tout autre document
Administrateurs rseau
Architecture rseau Accs rseau Audit
29
Politiques pour une PME [Greene]

Politique de confidentialit Politique de bonne utilisation des ressources Politique de lutilisation de lInternet Politique de lutilisation des courriels Politique de gestion des mots de passe Politique pour la protection des informations sensibles
Politique pour la protection contre les virus Politique pour laccs distance Politique pour le contrle des changements Politique sur la notification des incidents et la rponse ses incidents Politique pour les sauvegardes informatiques et les rcuprations de donnes
30
Politiques pour une PME Objectifs

Politique de confidentialit
Protger les informations de lentreprise contre la divulgation. Protger les informations dun tiers contre la divulgation. laborer une contre-mesure lgale en cas dune divulgation.
Politique de bonne utilisation des ressources

Dfinir ce qui est acceptable et ce qui ne lest pas pour les ressources de lentreprise. Sassurer que les ressources sont utilises de faon acceptable. Protger lentreprise contre les poursuites judiciaires, latteinte rputation et la compromission de ses systmes dues des utilisations inacceptables de ses ressources.
31

Politique de lutilisation de lInternet
Dfinir ce qui est acceptable et ce qui ne lest pas. Protger lentreprise contre les logiciels malveillants se propageant sur Internet. Limiter les risques associs linterconnexion du rseau de lentreprise et de lInternet.
Politique de lutilisation des courriels

Dfinir ce qui est acceptable et ce qui ne lest pas. Protger lentreprise contre les utilisations abusives. Exiger lutilisation du chiffrement pour les courriels confidentiels.
32

Politique sur la notification des incidents et la rponse ses incidents
tablir les responsabilits des usagers dans la notification des incidents. Dfinir les critres pour la rponse un incident. Exiger un plan dintervention pour rpondre aux incidents.
Politique de gestion des mots de passe

Exiger lutilisation de mots de passe confidentiels. Dfinir les caractristiques des mots de passe (norme) Informer les usagers que leurs mots de passe sont contrls.
33

Politique de la protection des informations sensibles
Dfinir la classification des informations sensibles. tablir les critres pour lidentification de ces classes. Dfinir le niveau de protection pour chacune de ces classes.
Politique pour la protection contre les virus

Exiger un moyen automatique de protection contre les logiciels malveillants, incluant un systme de patchs automatiques. tablir les responsabilits des divers intervenants pour assurer la protection contre les logiciels malveillants. Exiger une formation adquate pour les usagers.
34

Politique pour laccs distance
Dfinir les types daccs distance qui sont autoriss. Exiger que les accs distance soient autoriss. Dfinir les exigences pour la configuration des systmes utiliss pour ces accs distance.
Politique pour le contrle des changements

Exiger un processus de changement formel. tablir les responsabilits des divers intervenants dans ce processus. Dfinir la consquence de toute infraction face ce processus.
35

Politique pour les sauvegardes informatiques et les rcuprations de donnes
tablir les responsabilits des divers intervenants dans le processus de sauvegarde et le processus de rcupration. Dfinir les caractristiques du processus de sauvegarde. tablir les mcanismes de validation pour le processus de sauvegarde.
36
Quelques exemples de politiques!
37
Contrle daccs [Greene]

Objectif Afin de sassurer de la protection des informations sensibles, XYZ inc. doit mettre en place une politique de contrle daccs base sur les principes suivants : (1) interdiction par dfaut, (2) besoin de connatre et (3) moindre privilge. Raison dtre Dfinir clairement les contrles daccs aux systmes et aux ressources de XYZ inc. Audience Tout employ autoris accder aux informations sensibles de XYZ inc.
38
Contrle daccs suite

Politique Par dfaut, il est interdit daccder aux informations sensibles. Les permissions daccs sont accordes selon une classification cohrente des informations et des individus.
P. ex., le modle militaire public, confidentiel, secret, ultra-secret.
Les accs sont accords selon des objectifs daffaires prcis. Les accs sont accords de faon minimale afin datteindre les objectifs daffaires.
39
Contrle daccs suite

Politique (suite) Les autorisations daccs sont accordes par les propritaires des informations ou des ressources. Les contrles daccs des informations ou des ressources doivent tre revus au moins une fois par anne par leur propritaire. Exception Aucune.
40
Installation de logiciels
Objectif Rduire les risques qui sont associs lutilisation de logiciels illicites.
Ils peuvent contenir des logiciels malicieux (tels que des Chevaux de Troie) permettant des personnes malveillantes daccder un ordinateur. Ils peuvent contrevenir aux droits dauteurs, exposant ainsi lentreprise des poursuites judiciaires.
Raison dtre Dfinir clairement la liste des logiciels pouvant tre utilises par les employs de XYZ inc. Audience Tout employ utilisant un ordinateur de XYZ inc.
Installation de logiciels suite

Politique Les employs ne peuvent installer ou utiliser aucun logiciel nayant pas t autoris par dpartement TI de XYZ inc. Toute demande dinstallation dun nouveau logiciel doit tre autorise par le directeur du service concern. Le dpartement TI doit autoriser lutilisation dun logiciel.
Aprs la vrification de la licence dutilisation et du paiement des droits dutilisation appropri Aprs la vrification que le logiciel ne soit pas malveillant
Exception Aucune.
Rfrences
Sari Stern Greene, Security Policies and Procedures: Principles and Practices, Prentice-Hall, 2006. Scott Barman, Writing Information Security Policies, New Riders, 2002. Sorcha Diver, Information Security Policy A Development Guide for Large and Small Companies, SANS Institute, 2007 (http://tiny.cc/U85XB).
43

Cours 02 Politique

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours 02 Politique

Transféré par

Droits d'auteur :

Formats disponibles

Politiques de scurit

Exemples de politique de scurit

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Analyse de risque : la pierre angulaire

Dterminer les risques auxquels un systme doit faire face!

Prioriser les risques auxquels doit faire face un systme dinformation

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Attention: Il faut viter tout dtail de mise en uvre.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique de scurit suite

Politique propre une activit

Politique propre un systme

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique informationnelle (Informative)

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

De ce fait, la politique doit avoir laval des dirigeants.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique : Son acceptation

Communication continuelle Difficult: Manque de sensibilisation au Manque de sensibilisation.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique : Son application

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Divers intervenants de lentreprise.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Politique : nonc vs Mise en uvre

Lnonc et la mise en uvre doivent demeurer distincts pour faciliter la maintenance.

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Mots de passe : Politique

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Mots de passe : Norme

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Mots de passe : Note d'orientation

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Mots de passe : Procdure

Onglet: Change Password

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Une politique [Greene]

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Description Raison dtre

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1

Jean-Marc Robert, ETS

MTI 719 - Politiques de scurit v1.1