Vous êtes sur la page 1sur 49

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Cours 1 : Introduction ` a la S ecurit e des Syst` emes dInformation


Odile PAPINI
ESIL Universit e de la m editerran ee Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/SSI.html

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Plan du cours 1

Introduction

Etat des lieux

Les normes ISO 17799, ISO 27002

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Plan du cours

Introduction Etat des lieux Normes ISO 17799, ISO 27002 Panorama des menaces Panorama des attaques Politiques de s ecurit e Contr ole dacc es D etection dintrusions Biom etrie
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction

Syst` eme dinformation (d enition)

Le syst` eme dinformation comprend les mat eriels informatiques et les equipements p eriph eriques, les logiciels et microprogrammes, les algorithmes et sp ecications internes aux programmes, la documentation, les moyens de transmission, les proc edures, les donn ees et les informations qui sont collect ees, gard ees, trait ees, recherch ees ou transmises par ces moyens ainsi que les ressources humaines qui les mettent en oeuvre.
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction

S ecurit e:

protection contre les accidents protection physique qualit e de lenvironnement abilit e des syst` emes, pannes, tol erance de pannes syst` emes de secours, sauvegardes, maintenance qualit e de base des logiciels condentialit e, int egrit e, disponibilit e intrusion r eseau virus, piratage,
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
Linformation num erique est vuln erable peut etre d etruite, amput ee, falsi ee, modi ee pas doriginal, ni de copies mais des clones o` u la reproduction est ` a lidentique Linformation num erique est volatile peut etre ajust ee, personnalis ee un document g en erique peut etre particularis e pour un destinataire sp ecique un logiciel g en eral peut etre ajust e selon le contexte ou cibl e selon un usage sp ecique
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
s ecurit e des SSI : concepts cl es

Fig.: source : W. Stallings & L. Brown


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction : p erim` etre de la s ecurit e des SSI

Fig.: source : W. Stallings & L. Brown


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
les enjeux de la s ecurit e des SSI ma triser le traitement, le stockage, le transport de linformation valoriser les contenus
multim edia, logiciel, propri et es intellectuelles, libre circulation des contenus diss eminer les oeuvres, r etribuer les auteurs

asseoir la conance dans lunivers num erique


e-commerce, e-buisness, e-gouvernement,

s ecuriser
les personnes (libert es, protection de dintimit e) les entreprises et organisations (pr evention des risques)
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
S ecurit e: norme ISO 27002 (ex ISO 17799 :2005) : d ecrit les di erents items a ` couvrir dans le domaine de la s ecurit e des SSI Qui est concern e par la s ecurit e des SSI ?

les informaticiens les dirigeants les utilisateurs tous les membres du groupe concern es par le syst` eme dinformation
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction

Pluridisciplinarit e de la s ecurit e: ethique l egislation r` eglementation technique m ethodologie normes

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction

vuln erabilit e des syst` emes dinformation

cohabitation de nouvelles et anciennes applications interconnection de di erents SI ouverture du SI vers lext erieur (internet) t el emaintenance, infog erance mobilit e, nomadisme

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction

origine des sinistres

attaques logiques virus malveillance erreurs / n egligence catastrophes naturelles terrorisme

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
pertes dues ` a des pbs de s ecurit e

Fig.: au niveau international (source : FBI 2006) (1)


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction

cons equences :

fermeture de lentreprise perte nanci` ere perte de contrat litige

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
S ecurit e des SSI

enjeu economique et social fondamental aussi enjeu pour lint egrit e de la nation d e permanent

les risques sont enormes mais(heureusement) il y a peu de sinistres (d eclar es) cependant il faudrait anticiper : la s ecurit e a un co ut

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
Mise en place dune politique de s ecurit e (PSI)

liens sensibles menaces impacts mesures ` a adopter

55% des entreprises sont dot` ees dune PSI (source : rapport CLUSIF 2008)

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les entreprises


d enir une politique de s ecurit e:

aspects techniques aspects humains

communiquer, sensibiliser :

aspects techniques aspects humains


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
Mise en oeuvre dune politique de s ecurit e:
syst` eme dauthentication (biom etrie, serveur dauthentication , ) chirement (PKI, m ecanismes int egr es ` a des protocoles de communication (IPsec), ) pare feux (rewall) syst` eme anti-virus outil de d etection de failles de s ecurit e syst` eme de d etection dintrusions syst` eme dexploitation s ecuris e

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Introduction
technologies utilis ees

Fig.: au niveau international (source : FBI 2006) (2)


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux

La s ecurit e en quelques chires : sources CLUSIF, 2008 http ://www.clusif.asso.fr/

enqu ete r ealis ee aupr` es de : 354 entreprises de plus de 200 salari es 194 collectivit es locales, conseils, r egionaux, g en eraux, mairies de plus de 30 00 habitants 1139 internautes

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : M ethodologie de lenqu ete


norme ISO 27002(ex 17799) pour les entreprises et collectivit es :
th` eme 5 : politique de s ecurit e th` eme 6 : organisation de la s ecurit e et moyens th` eme 7 : gestion des risques li es ` a la s ecurit e des SI th` eme 8 : s ecurit e des ressources humaines (charte, sensibilisation) th` eme 10 : gestion des communications et des op erations th` eme 11 : contr ole des acc` es th` eme 12 : acquisition, d eveloppement et maintenance th` eme 13 : gestion des incidents de s ecurit e th` eme 14 : gestion de continuit e th` eme 15 : conformit e (CNIL, audits, tableaux de bord) th` eme 9 : s ecurit e physique non abord e
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : m ethodologie de lenqu ete

th` emes abord es pour les internautes


caract erisation socioprofessionnelle et identication des outils informatiques usage de linformatique et dinternet ` a domicile gestion des risques li es ` a la s ecurit e des SI perception de la menace informatique, sensibilit e aux risques et ` a la s ecurit e, incidents rencontr es pratiques de s ecurit e mises en oeuvre (comportement, solutions techniques)

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les entreprises

secteurs dactivit es BTP Commerce Industrie Services, banque, assurances Transport T el ecoms

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les entreprises


eectifs de l echantillon

n : eectifs 200 n 499

pourcentage 66%

500 n 999

19%

n > 1000

15%

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les entreprises

rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/conf080619

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les collectivit es locales

collectivit es locales Mairies de plus de 30 000 habitants Communaut es dagglom eration de plus de 50 000 habitants Communaut es de communes de plus de 20 000 habitants Conseils g en eraux Conseils r egionaux

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les collectivit es locales


echantillon

collectivit es mairies communaut es de communes communaut es dagglom eration conseils g en eraux conseils r egionaux
Odile PAPINI

pourcentage 34% 32% 20% 11% 3%


S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les collectivit es locales

rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/conf080619

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Etat des lieux : les internautes

rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/conf080619

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002


S ecurit e
Que prot eger ?
Liste des biens ` a prot eger

De quoi les prot eger ?

Liste des menaces

Quels sont les risques ?

Liste des impacts et probabilit es

Comment prot eger lentreprise ?


Liste des contre-mesures

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002


Normes internationales concernant la s ecurit e de linformation les plus r ecentes

norme ISO 17799 : di erentes versions norme ISO 17799 : 2005 de juin 2005 ` a juin 2007 norme ISO 27002 depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la s ecurit e linformation
http ://www.iso.org/iso/iso catalogue/catalogue tc/ catalogue detail.htm ?csnumber=39612
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799

objectifs et recommandations pour la s ecurit e informatique publi ee en juin 2005 r epondre aux pr eoccupations globales de s ecurisation des entit es pour lensemble de leurs activit es

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799


ARCHITECTURE DE LA NORME ISO 17799 ORGANISATIONNEL
5 politique de s ecurit e

6 organisation de la s ecurit e

7 gestion des actifs

15 conformit e

8 s ecurit e des ressources humaines

11 contr ole dacc` es

9 s ecurit e physique et environnementale

12 d eveloppement et maintenance

10 gestion des communications et de lexploitation

11 gestion de continuit e

13 gestion des incidents

OPERATIONNEL
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799


couverture th ematique de la norme ISO 17799

la norme identie des objectifs pour la s ecurit e informatique selon 3 crit` eres : condentialit e : absence de divulgation non autoris ee dinformations int egrit e : pr evention de modications ou de suppressions non autoris ee dinformations disponibilit e : garantit lacc` es aux informations du syst` eme
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799


les objectifs de s ecurit e sont regroup es en 11 th` ematiques :
politique de s ecurit e organisation de la s ecurit e classication et contr ole du patrimoine informationnel s ecurit e et ressources humaines s ecurit e physique gestion des op erations et des communications contr ole dacc` es acquisition, d eveloppement, maintenance gestion des incidents gestion de la continuit e dactivit e conformit e` a la r` eglementation interne et externe
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799


S ecurit e
1) Que prot eger ?
Liste des biens ` a prot eger

2) De quoi les prot eger ?

Liste des menaces

3) Quels sont les risques ?

Liste des impacts et probabilit es

4) Comment prot eger lentreprise ?


Liste des contre-mesures

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799


mise oeuvre de la norme ISO 17799

etapes 1) - 3) : laiss ees aux entit es (choix de m ethodologie) etapes 4) : corps de la norme ISO 17799

Il est n ecessaire de : didentier les exigences l egales et r` eglementaires didentier les enjeux de lentit e et les attentes qui en d ecoulent de d enir un p erim` etre de mise en application de la norme
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799


analyse de risques la norme ISO 17799 recense des modalit es et des r` egles pour traiter les risques (r eduire, transf erer, prendre ou refuser les risques) la norme ISO 17799 recommande en compl ement une analyse de risques, (sans pr eciser la m ethode) les m ethodes reconnnues les plus connues (en France) : MARION (CLUSIF) : https ://www.clusif.asso.fr/ MEHARI (CLUSIF) : https ://www.clusif.asso.fr/fr/production/mehari EBIOS (DCSSI) : http ://www.ssi.gouv.fr/fr/conance/ebios.html
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799

norme ISO 17799 : outil de communication

r ef erentiel pour communiquer : a lint ` erieur de lentit e (responsables, personnels) a lext ` erieur de lentit e (partenaires, clients)

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799


De A direction g en erale toute lentit e toute lentit e direction g en erale sur quoi communiquer besoin d etablir une politique de s ecurit e inspir ee de lISO 17799 la sensibilisation des services et des personnels le bien-fond e des mesures de s ecurit e` a mettre en place la conformit e des mesures de s ecurit e par rapport au cadre de la norme la coh erence de la d emarche de s ecurit e avec la norme ISO 17799 le bien-fond e dimposer des exigences de s ecurit e coh erentes avec ISO 17799

responsable s ecurit e

entit e

clients

partenaires

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

La Norme ISO 17799

la norme ISO 17799 nest pas une certication

certication : d elivr ee par un organisme ind ependant permet dattester la conformit e dun produit, syst` eme, service sappuie sur un audit

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002


Norme ISO 27002 en vigueur depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la s ecurit e linformation evolution de la norme ISO 17799 :2005 pallie ses principales insusances : d enition de niveaux de s ecurit e, la m ethodologie danalyse et de gestion des risques (norme ISO 27005), la notion de plan daction, la notion dindicateurs et de m etriques de s ecurit e (norme ISO 27004).
http ://www.iso.org/iso/iso catalogue/catalogue ics/catalogue detail ics.htm ?csnumber=50297
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002


organis ees sur 12 th` emes : Chapitre 4 : Appr eciation et traitement du risque. Chapitre 5 : Politique de s ecurit e. Chapitre 6 : Organisation de la s ecurit e de linformation. Chapitre 7 : Gestion des biens. Chapitre 8 : S ecurit e li ee aux ressources humaines. Chapitre 9 : S ecurit e physique et environnementale. Chapitre 10 : Gestion des communications et de lexploitation. Chapitre 11 : Contr ole dacc` es. Chapitre 12 : Acquisition, d eveloppement et maintenance des syst` emes dinformation. Chapitre 13 : Gestion des incidents li es ` a la s ecurit e de linformation. Chapitre 14 : Gestion de la continuit e dactivit e. Chapitre 15 : Conformit e l egale et r eglementaire.
Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002

Odile PAPINI

S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002

Fig.: (source : Herv e Schauer consultants)


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002

Fig.: (source : Herv e Schauer consultants)


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002

Fig.: (source : Herv e Schauer consultants)


Odile PAPINI S ecurit e des Syst` emes dInformation

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Les normes ISO 17799, ISO 27002

R ef erences pour les normes ISO 27004 et ISO 27005 : http ://www.hsc.fr/ressources/presentations/cfssi-iso27intro/index.html.fr

Odile PAPINI

S ecurit e des Syst` emes dInformation