Lascuritdelinformationetlesaudi

La scurit de linformation
et les auditeurs internes :

Positionnement, enjeux et stratgies
daudit pour des rsultats efficaces
2 avril 2014
Ordre du jour
1.
Prsentation des confrenciers
2.
Bases de la scurit de linformation et enjeux lis celle-ci
3.
Rle des responsables de la gouvernance
4.
Dimensions oublies de la scurit par les organisations
5.
Stratgies daudit possibles de la scurit de linformation :

5.1 Stratgie du haut vers le bas ( top-down ) : valuation de la gouvernance et de
la gestion de la scurit de linformation, valuation des risques, revue des
processus de gestion de la scurit, analyse de vulnrabilits spcifiques
5.2 Stratgie du bas vers le haut ( bottom-up ) : tests de scnarios de risques
spcifiques, valuation des vulnrabilits, tests dintrusion logique et physique,
ingnierie sociale, analyse causale des rsultats
5.3 Comparaison des deux stratgies (avantages, limites et inconvnients) et
prsentation des liens entre elles
5.4 Qualifications et outils ncessaires pour les auditeurs internes
6.
Conclusion
2
1. Prsentation des
confrenciers
1. Prsentation des confrenciers

n
Jacques Bergeron, CPA, CA, M. Sc, MBA, CISA, CISM, est le vrificateur gnral de la Ville de
Montral depuis 2009. ce titre, il coordonne trois directions daudit, notamment celle qui effectue
laudit des technologies de linformation et des tlcommunications. Auparavant, il a t professeur
invit HEC Montral o il a enseign, entre autres, le cours de contrle et scurit dans le
commerce lectronique, cours quil enseigne toujours dailleurs. Il a galement uvr au sein de
firmes rputes de professionnels en gestion des risques de linformation (Deloitte, RCGT, KPMG,
Groupe conseil GSR) o il a t responsable de mandats complexes relis la scurit de
linformation. M. Bergeron cumule plus de 25 annes dexprience dans la vrification et lvaluation
de la scurit et de contrles des technologies de linformation.
Courriel : jacques.bergeron@bvgmtl.ca
Robert Masse, CISSP, est conseiller senior en scurit de linformation et gestion de risques pour
sa propre firme Infisec. M. Masse possde plus de 15 annes d'exprience dans le conseil en
scurit de linformation et des technologies. Au cours de ces annes, il a dvelopp une capacit
danalyse et dexcution qui lui permet de vulgariser et de communiquer clairement des enjeux de
scurit complexes, de proposer des plans daction et den assurer lalignement avec les objectifs
stratgiques de lorganisation. M. Masse a galement uvr auprs de firmes rputes en scurit
de linformation telles que KPMG et Go Secure. Il participe divers vnements mdiatiques et
confrences travers le monde (RSA, NCFTA, PCI, etc.). Il est dailleurs frquemment cit par les
mdias comme expert rput en matire de scurit de linformation.
Courriel : rmasse@infisec.com
2. Les bases de la scurit

de linformation et les
enjeux lis celle-ci
2.1 La scurit de linformation

n
Personnel
+
Processus
+
Technologie

A. LE PERSONNEL
q
q
q
Les politiques, normes et procdures de scurit influencent

lattitude des utilisateurs et leur comportement
De plus, le programme de sensibilisation est galement un
facteur qui influence lattitude des utilisateurs
Les politiques, normes et procdures devraient galement :
Influencer le comportement du personnel informatique
Amliorer leur faon de faire

B. LES PROCESSUS
Les politiques, normes et procdures peuvent guider les faons de
faire
q Elles constituent des lignes directrices sur ce qui est obligatoire ou
non
q Elles permettent dencadrer les processus de scurit tels que :
q
n
n
n
n
n
La cration de codes daccs

La dfinition des profils daccs
La dfinition de la protection des serveurs, des rpertoires et des ressources
La journalisation et la revue des activits
La gestion quotidienne de la scurit par les intervenants concerns
Scurit logique
Gestion des accs
et utilisation
1.1 Introduction,
porte et
approbation
Profils d'accs
1.2 Gestion de la
scurit
Scurit physique
Prvention, dtection
et protection
Dveloppement,
maintenance et
mise en place des
systmes
Exploitation
Rseau et
tlmatique
Emplacement des
installations
et du
matriel
Dveloppement,
acquisition et
mise en place
Horaires,
calendriers
et planification
Chiffrement et
transmission
scuritaire
Mots de passe
et ractivation
des codes d'accs
Contrle
des accs
physiques
Contrle
des
changements
Mesures de
manipulation
des rapports
Gestion des accs

distance
et mcanisme
d'authentification
1.4 Classification
de l'information
Suivi des
incidents
Matriel
informatique
Applications
supportes
par des fournisseurs
extermes
1.5 Programme
de sensibilisation
et de formation
Embauche,
dpart et
suivi du
personnel
Utilisation du
courrier
lectronique
Microinformatique
Gestion
des logiciels/
Droits d'auteur
Virus
Relve en
cas de
dsastre
Relve
informatique
Copies de
sauvegarde
Utilisation de
portatifs
Utilisation de
l'Internet
1.3 valuation
des risques
et menaces
Politiques
Politique
fonctionnelles
Organisation et
administration
de la scurit
Politique
corporative
Normes
Cadre normatif
Gestion
des
changements
1.6 Utilisation des

actifs
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Formulaires
Procdure
Guides
Procdure
Procdures
1.7 Dfinition des

termes

C. LES TECHNOLOGIES
Choix et configuration des quipements
q Les politiques, normes et procdures influencent la qualit de la
scurit des implantations technologiques
Par exemple, des guides de configuration technique pour chaque type de plateq
forme permettent dassurer une standardisation des implantations
10
Mission organisationnelle
Classification des actifs
tat de la situation
actuelle
Analyse des menaces
Adqua
tion
Risques intolrables
Plan directeur
Normes et
procdures
implanter
Outils
techniques
11
Manires de
faire et gestion
de la scurit
2.2 La relation entre menaces, impacts,

vulnrabilits et risque
Menace
ACTIF
INFORMATIONNEL
Vulnrabilits dans
les contrles
Perte de
confidentialit
Perte de
disponibilit
Arrive du
risque
Perte
dintgrit
12
Faiblesse
de contrle
2.2 La relation entre menaces, impacts,

vulnrabilits et risque
Menace
ACTIF
INFORMATIONNEL
Correction des
contrles
Perte de
confidentialit
Correction
Perte de
disponibilit
Matrise
du risque
Perte
dintgrit
Risque rsiduel
acceptable
ou non
13
Lultime scurit
14
2.3 Le processus de classification
tapes qui permettent dattribuer chaque actif

informationnel (document ou composante) qui
soutient le processus daffaires un libell
q
qui reflte limportance de lactif informationnel pour la ralisation

de la mission de lorganisation et du processus daffaires
La classification des actifs seffectue en fonction

des processus daffaires
q
en tenant compte de limportance de chaque actif
15

n
La classification seffectue sur trois aspects:
La disponibilit
Lintgrit
La confidentialit
Il sagit de dterminer quels seraient les impacts dune

perte dintgrit, de disponibilit et de confidentialit lie
lactif pour lorganisation, en particulier:
Sur la mission
Sur limage de lorganisme (rputation, confiance)
Sur la situation financire (pertes de revenus, dpenses
additionnelles)
Sur la scurit des usagers et des employs (atteinte aux
droits et liberts)
Sur la comptitivit
Sur les oprations (perturbations)

LES COTES DE CLASSIFICATION
nNon
classifie
nSensible mais non classifie
nConfidentielle
nSecrte
nUltrasecrte
LIMITES?
17
2.3 Quest-ce quun actif

informationnel
On retient deux notions: Document et
composantes:
DOCUMENT:
n
Document papier
Contenu
Formulaires manuels
Rapports manuels
Rapports/formulaires produits par le systme
Document lectronique
Enregistrement dans un fichier
PEUVENT TRE REGROUPS DANS UN

BLOC DINFORMATION
2.3 Quest-ce quun actif

informationnel
On retient deux notions: Document et composantes:
COMPOSANTES:
n
Qui supportent le document papier
Classeur
Salle physique o sont situs les documents
Qui supportent le document lectronique
Base de donnes
Systme dapplication
Systmes dexploitation et utilitaire
Rseaux de tlcommunication
Salles dquipement
2.3 Prparation lexercice de

classification
n
Quels sont les dtenteurs principaux (ou

PROPRITAIRE DE LINFORMATION)?
Un
dtenteur principal est le premier

responsable de linformation manipule dans
son unit administrative
Comment les reconnatre?
Qui peut autoriser le changement dun
systme dinformation?
Qui peut autoriser la divulgation dune
information?
Qui peut approuver les accs une
information ou une fonctionnalit
dun systme?
2.3 Prise de linventaire des

actifs informationnels
n
n
La meilleure faon: Systmatisation

Quels sont les actifs informationnels les plus importants pour chacun
des processus daffaires?
Donc:
Comprendre la chane de traitement peut aider identifier les actifs

informationnels
n
(documents et composantes)
Inventaire des documents et des composantes:

Description graphique ou narrative du processus daffaires
Tenir compte de lentreposage des documents dans les SERVEURS
ET fichiers de donnes
Cet inventaire doit tre complet et systmatique

LES CRITRES DIMPACT
nPerte
financire ou dopportunit
nAspects lgaux, contractuels
nPerte de productivit
nNon-respect dengagements
nDtrioration de la qualit de service
nPerte de confiance des clients
nAtteinte la scurit physique des personnes
nPerception mdiatique ngative
22

Niveau 1
Bas : impact non significatif

Incidences minimales
Limites un secteur
administratif
Niveau 2
Incidences dordre
administratif
Aucun impact sur limage ou la
mission
Moyen : impact limit un

secteur
Incidences sur limage, le

fonctionnement et les
oprations dun secteur
Consquences mineures sur des
Impact mineur sur la mission
tiers
Niveau 3
lev : impact grave

Incidences sur ltablissement
et les tiers
Niveau 4
Trs lev : impact trs grave

Consquences trs srieuses
Incidences graves sur la
continuit dopration et sur les
tiers
23
Incidences srieuses
Dommages srieux sur la
mission
Manquement aux obligations
Viabilit de lorganisation mise
en pril
Consquences sur le plan
humain ou financier

LA DISPONIBILIT DE LINFORMATION
nLinformation
ou un systme doit tre accessible et utilisable en temps
voulu
nComprend
la notion de performance (dgradation)
24
Disponibilit
Niveau 1: IMPACT
FAIBLE
Acceptable que le systme ne soit

pas disponible pendant une
priode prolonge (+48h)
Documents, formulaires,
listes demploys
Statistiques dutilisation de
processus secondaires
Niveau 2: IMPACT
MOYEN
La priode de non disponibilit

pourrait tre leve mais au-del
de cette priode, les impacts
seraient notables (4-48h)
Systme de grand livre,

reporting au ministre,
procdures internes,
documents administratifs,
comptes payer, courriel,
site Internet, systme de
prise de rendez-vous
Niveau 3: IMPACT
GRAVE
Une courte priode

dindisponibilit est permise mais
au-del de cette priode, la
mission serait srieusement
affecte (moins de 4 h)
Nutrition, index patient, et

services auxiliaires aux
soins, tels la pharmacie, la
radiologie
Paiement aux bnficiaires
Niveau 4: IMPACT
TRS GRAVE
Aucune priode dindisponibilit

nest permise
Dossier patient
lectronique, infrastructure
des services essentiels,
systme de mesures
durgence, systme de
pagettes et de
communication interne

LINTGRIT DE LINFORMATION
nProprit
dune information ou dune technologie qui nest ni modifie,

ni altre, ni dtruite dune faon errone ou non autorise
nLinformation doit tre complte, exacte et autorise. Elle doit tre non
modifiable et non altrable
q
q
Linformation doit tre exacte (conforme) ce quelle doit reprsenter

Linformation doit tre complte (intgrale/exhaustive)
Tous les documents sont prsents
n Lensemble des champs dinformation ncessaires sont complts
(Les contrles dapplication permettent habituellement datteindre ces objectifs)
n
Linformation inscrite/enregistre doit tre autorise
nAutant
pour les transactions que les dpts de donnes

nLintgrit doit tre maintenue dans le temps
26
Intgrit
Niveau 1: IMPACT
FAIBLE
Les informations peuvent tre

compromises sans
rpercussions
Organigrammes, listes des

employs, rapports internes
Niveau 2: IMPACT
MOYEN
Les informations pourraient

tre compromises mais des
impacts limits lis limage
Rapports dactivits au
ministre, statistiques
dutilisation, informations de
planification, erreurs dans le
systme des paiements
Niveau 3: IMPACT
GRAVE
Si les informations seraient

compromises, des impacts
significatifs sur la qualit des
soins et sur limage de
ltablissement
Erreurs dans le systme des

menus, erreurs dans le
systme des commandes,
fraudes financires
Niveau 4: IMPACT
TRS GRAVE
La sant et la scurit des

personnes est compromise.
Consquences juridiques et
mdicales
Informations mdicales de
premire ligne. Information
sur les allergies
Systmes de distribution en
eau potable
Systmes de transfert de
fonds lectronique/courtage
bancaire

LA CONFIDENTIALIT DE LINFORMATION
nProprit
que possde une donne ou une information dont laccs et

lutilisation sont rservs des personnes ou entits dsignes et
autorises
nLinformation dtenue ou conserve par une organisation ne doit pas
tre accessible ou divulgue aux personnes non autorises ou des fins
non prvues
q
La divulgation de linformation est effectue des personnes autorises

selon les rgles tablies par lorganisation
nDroits
q
la vie prive
Linformation personnelle doit tre protge et ntre collecte et servir

qu des fins strictement limites
28
Confidentialit:Exemple pour le
domaine de la sant
Niveau 1: IMPACT
FAIBLE
Information de nature
publique. Aucun impact sur la
divulgation
Documents statistiques
gnraux
Documents publics
Niveau 2: IMPACT
MOYEN
Information de nature interne.

Impact limit sur limage de
ltablissement
Documents internes
Niveau 3: IMPACT
GRAVE
Information assujettie aux lois.

Impact important sur la
rputation des individus et de
ltablissement
Information stratgique
Documents contenants des

renseignements personnels
Documents sur les soins et
traitements
Rapports denqutes
Documents sur le personnel
(salaires et autres)
Renseignements fiscaux
Niveau 4: IMPACT
TRS GRAVE
Information assujettie aux lois.

Impact trs important sur la
rputation des individus et
tablissement
Renseignements sur des

diagnostics mdicaux
particuliers
Renseignements sur le pass
dun patient
Profilage de la clientle
2.4 Les types de menaces et les

consquences
Source de menaces
Consquences
Actions dlibres
Personnes de lintrieur
Personnes de lextrieur
Divulgation ou visionnement
dinformation confidentielle
Actions accidentelles
Modification non-autorise
ou errone dinformation
sensible
Personnes de lintrieur
Personnes de lextrieur
Problmes technologiques
ACTIFS
Dfauts dquipement
Dfauts de logiciel
Code malicieux
Destruction ou perte
dinformation importante
Problmes environnementaux
Accs interrompu
des systmes critiques
Alimentation lectrique, bris de

conduite deau, incendie
Dsastres naturels
Inondation, tremblement de terre
30
2.5 Logique derrire la dmarche

n
Menaces Contrles
q
Contrles structurels
n
Ce quon appelle les CONTRLES ORGANISATIONNELS

q
q
Contrles spcifiques
n
Ce quon appelle les CONTRLES OPRATIONNELS

q
q
n
n
Multiniveaux
Ne sont pas rattachs des risques spcifiques
Peuvent tre oprationnels ou techniques

Rattachs un ou des blocs dinformation, donc des risques spcifiques
Menaces Contrles affectant la potentialit de

matrialisation de la menace
Menaces Contrles rduisant les impacts de la
menace une fois celle-ci survenue
31
Dmarche dlaboration
n Contrles
affectant la POTENTIALIT
MESURES
n VITENT
DE DISSUASION
la concrtisation de la menace
MESURES
DE PRVENTION
n EMPCHENT
MESURES
n LIMITENT
laboutissement dune agression
DE PROTECTION
lampleur de la dtrioration
Dmarche dlaboration
n Contrles
rduisant limpact (une fois la

matrialisation de la menace)
MESURES
PALLIATIVES
n RPARENT
MESURES
n LIMITENT
et ATTNUENT les dgats
DE RCUPRATION
les pertes
2.6 Identification des vulnrabilits

n
Une vulnrabilit est :

q
q
Une faiblesse de mesure de contrle

Labsence de mesure de contrle visant prvenir,
dtecter ou corriger la matrialisation de la menace
Par exemple :
q
Une menace dintrusion de lexterne est probable et son

impact potentiel est lev
Un contrle prventif A serait la prsence dun mur coupefeu
n Un contrle dtectif B serait la prsence dun outil de
dtection des intrusions
n Un contrle correctif C serait la prsence dune norme et
dune procdure de gestion des incidents
n
Labsence dun ou de plusieurs de ces contrles pourrait

constituer une vulnrabilit
34
2.6 Identification des vulnrabilits

Vulnrabilit
Source de la menace
Action effectue
par la menace
Les codes utilisateurs

demploys qui ont quitt ne
sont pas dtruits
Un employ qui a quitt

lorganisation
Accs distance au rseau

de lorganisation et aux
donnes confidentielles
Le garde-barrire (firewall)
permet deffectuer un Telnet
sur un serveur sur lequel le
compte invit nest pas
dsactiv
Personnes non autorises

de diffrents types
(employs qui ont quitt,
hackers, cybercriminels)
Utilisation du service Telnet

de lextrieur et accs des
fichiers de lorganisation en
utilisant le compte invit ou
en escaladant avec des
privilges plus levs
Le fournisseur du systme
dexploitation identifie des
vulnrabilits mais
lorganisation ninstalle pas
les correctifs suggrs
Personnes non autorises

de diffrents types
(employs qui ont quitt,
hackers, cybercriminels)
Exploitation depuis lexterne

des vulnrabilits du
systme dexploitation et
accs des fichiers
sensibles
35
2.6 Les tapes de la gestion

du risque
n
n
Classification des actifs informationnels

Comprhension des tapes et traitements du systme
dinformation
Identification des menaces (vnements potentiels) pour

chaque activit en relation avec les systmes critiques de
lentreprise
n
n
n
Diagramme technique et fonctionnel

Dcomposition en activits et tapes
Menaces internes (erreurs, actes volontaires)

Menaces externes (erreurs, actes volontaires)
Revue des mesures actuelles de protection

valuation des risques rsiduels
Plan daction pour les carts
2.7 Les zones de scurit rseau
37
2.7 Les zones de scurit rseau - la

zone dmilitarise
n
Zone tampon dun rseau dentreprise, situe

entre le rseau local et Internet, derrire le
garde-barrire, qui correspond un rseau
intermdiaire regroupant des serveurs publics
(Web, courriel) et dont le but est dviter
toute connexion directe avec le rseau interne
et de prvenir celui-ci de toute attaque
extrieure depuis le Web
38

n
Trois zones peuvent tre cres :

q
q
Zone 1 : Internet et le milieu extrieur haut risque

Zone 2 : la DMZ risque modr
n
O mme il est possible de crer des sous-zones avec les serveurs (gardebarrires embarqus)
Zone 3 : le rseau local scuris
39
40
3. Le rle des responsables

de la gouvernance
3.1 Rles et responsabilits

Rle
Responsabilits
Haute direction
Dtient la responsabilit ultime de la scurit de

linformation. Dfinit la politique de scurit et la
vision en matire de scurit. Dfinit la culture de
scurit. Alloue les ressources humaines et
financires. Fais la promotion de la scurit
Officier de la scurit de linformation
Dtient la responsabilit fonctionnelle de la scurit

de linformation pour lensemble de lorganisation
Le propritaire de linformation
Dtermine la classification des informations dont il

est responsable
Gardien des donnes (Custodian)
Assure la protection logique et physique de

linformation
Utilisateur
Excute les instructions de la scurit de

linformation durant son travail quotidien
Auditeur
Fait laudit de ltat de la scurit de linformation et

rapporte les anomalies importantes la haute
direction
42
3.2 La reddition de comptes de lauditeur

interne
n
n
n
Lauditeur interne a la responsabilit de donner

lassurance la direction de latteinte des objectifs
de scurit et de mentionner les menaces/
vulnrabilits qui peuvent causer prjudice
lorganisation
Standard IPPF 2130.A1
Dterminer jusqu quel niveau lauditeur doit
descendre (porte de lintervention) en fonction
des ressources dont il dispose
43
4. Les dimensions oublies

de la scurit par les
organisations
4. Les dimensions oublies

n
n
n
n
n
La ncessit de considrer la scurit de

linformation de multiples niveaux :
organisationnel, humain, technique, physique
Le fait de penser scurit lors du
dveloppement dun systme
La scurit des documents papier
La sensibilisation des utilisateurs
Le rle du propritaire de linformation
45
5. Les stratgies daudit

possibles de la scurit
de linformation
5.1 La stratgie du haut

vers le bas
5.1 La stratgie du haut vers le bas

Contrles organisationnels
Organisation de la scurit
Positionnement
Gouvernance
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
48
Planification de
la scurit

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Planification de
la scurit
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
49

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Planification de
la scurit
Bloc dinformation :
D: 4, I: 4, C: 4
Couche documents physiques
lments considrer :
Protection des documents sensibles
Archivage
Accs physiques aux documents
Transport interne et externe des
documents
Disposition des documents
Etc.
50

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
D: 4, I: 4, C: 4
Couche base de donnes
Planification de
la scurit
lments considrer :
Codes daccs privilgis
Protection des tables sensibles
Options et paramtres de scurit
activs
Configuration scuritaire de la base
de donnes
Administration de la BD
51

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
D: 4, I: 4, C: 4

Couche application
Planification de
la scurit
lments considrer :
Tables daccs et sparation des
fonctions
Options de scurit actives et
valeurs
Paramtrage de lapplication
Contrle des changements
52

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
D: 4, I: 4, C: 4

Couche application
Couche serveur
Planification de
la scurit
lments considrer :
Configuration scuritaire du serveur
(ports ouverts, services actifs)
valeurs
Mise jour du systme
dexploitation (patches, version)
Contrle des changements
Copies de sauvegarde, plan de
reprise, manipulation mdias
Anti-virus, etc.
53

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
D: 4, I: 4, C: 4

Couche application
Couche serveur
Couche rseau interne/externe
Planification de
la scurit
lments considrer :
Installation et configuration
scuritaires des quipements
rseau (routeurs, sans-fil, etc.)
Rgles du garde-barrire
Ports ouverts, services actifs
valeurs
Etc.
54

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
D: 4, I: 4, C: 4

Couche
Couche
rseauapplication
interne/externe
Couche serveur
Couche scurit physique
Planification de
la scurit
lments considrer :
Accs la salle informatique
Configuration de la salle
informatique
Accs au btiment
Protection par zone et contrles
daccs physiques aux locaux
Surveillance, alarme, etc.
55

Politiques
Normes
Procdures
Positionnement
Gouvernance
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
D: 4, I: 4, C: 4

Couche application
Couche serveur
Planification de
la scurit
lments considrer :
Prsence dun plan
Caractre adquat du plan
(Analyse de risques et dimpacts)
Tests priodiques du plan
Mise jour du plan
Etc.
Plan de relve informatique

Plan de continuit des affaires
56
5.2 La stratgie du bas vers

le haut (ou la stratgie
tactique)
5.2 La stratgie du bas vers le haut

MISE EN CONTEXTE
nNotre
dfinition
nDiffrence entre chaque type de stratgies
nLa stratgie ascendante (bottom-up) = meilleur rapport cots-avantages
nCe que la stratgie offre
nCe que la stratgie noffre pas :
q
q
q
valuation exhaustive
Analyse de la mthodologie et des politiques
Stratgie descendante (top-down)
nIdale
pour budget limit

nPermet des rsultats rapides et oprationnels
nvalue scnarios de risques/menaces spcifiques
58
5.2 La stratgie du bas vers le haut

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Planification de
la scurit
Bloc dinformation :
D: 4, I: 4, C: 4

Couche application
Couche serveur
Stratgie du bas vers le haut

Analyse des vulnrabilits
Tests dintrusion physique et logique

59
5.2.1 Scnarios de risques

DFINITION DES RISQUES
nDiffrents
q
q
q
q
types de risques
Risque pour la confidentialit

Risque pour lintgrit
Risque pour la disponibilit
Risque pour la rputation (souvent ignor)
nLes
risques sont nots sur une chelle de 1 25

nRisque = probabilit (1-5) X impact (1-5)
nQuest-ce qui est le plus important pour la direction de lentreprise?
nDfinir les risques de base
nDfinir les scnarios
61

DFINITION DES SCNARIOS DE RISQUES
nUne
fois les risques identifis, nous dveloppons les scnarios

nLes scnarios de risques comprennent :
q
q
q
q
Les acteurs (employs, pirates informatiques)

Type de menace (malicieuse)
vnement (vol, divulgation)
Actif ou ressource (donnes personnelles)
62

EXEMPLES
nEst-ce
que quelquun peut fournir quelques exemples pour son

organisation?
63

EXEMPLES
nQuelques
exemples avec lesquels jai travaill
64
5.2.2 valuation des

vulnrabilits
5.2.2 valuation des vulnrabilits

n
n
n
n
n
n
Quest-ce quune valuation des vulnrabilits

Quest-ce que cet outil peut offrir ou non
Lanalyse de vulnrabilits est la premire tape
pour valuer la scurit de linfrastructure
Pas de piratage , seulement de lanalyse
Offre une vue densemble
Idale comme premire valuation
66

n
Mthodologie de base
q
q
Nous identifions les actifs et les ressources qui sont importants pour
lorganisation
Nous les valuons en utilisant divers outils techniques
Exemples de rsultats :
q
q
q
Mot de passe faible ou par dfaut

Erreurs de configuration
Absence de correctifs de scurit (patch)
67
Internet
Serveur web
Serveur web
Serveur de vrification
Serveur
Serveur
Serveur
Serveur
68

Observations,
Recommandations,
Risque,
1,
Compte,par,dfaut,,factory,,de,RuggedOS!
!
Lquipement! rseau! possde! un! compte! cod!
permanent!qui!possde!un!mot!de!passe!prvisible.!
!
Le! dispositif! excute! RuggedOS! en! utilisant! le! compte!
!factory!! et! un! mot! de! passe! driv! de! ladresse!
matrielle! (MAC)! de! lappareil! (qui! est! visible! dans! la!
bannire! dauthentification! telnet).! Ceci! est! un! cas!
classique!de!porte!drobe.!
!
METTRE,,NIVEAU,LA,VERSION,ACTUELLE,
!
Mettre!!niveau!le!micrologiciel!(firmware)!RuggedOS!!la!
version!la!plus!rcente!selon!lavis!du!fabriquant.!
!
http://www.ruggedcom.com/productbulletin/rosK
securityKpage/!
!
CRITIQUE,
10.0,
1.2.3.4,
,
2,
Mot, de, passe, par, dfaut, du, ,IBM, Baseboard,
Management,Controller,,
!
Lhte! semble! excuter! IBM! Baseboard! Management!
Controller! (BMC),! qui! est! utilis! pour! la! gestion! horsK
bande.!Le!client!de!gestion!du!service!est!protg!par!un!
mot!de!passe!par!dfaut.!!
!
Nom!dutilisateur!par!dfaut!:!USERID!
Mot!de!passe!par!dfaut!:!PASSW0RD!
REMPLACER,LE,MOT,DE,PASSE,PAR,DFAUT,
!
Remplacer! le! mot! de! passe! par! dfaut! par! un! mot! de!
passe!complexe.!
!
!
CRITIQUE,
10.0,
1.2.3.4,
5.6.7.8,
,
3,
MS06[040,:,Excution,de,code,,distance,
!
Une! vulnrabilit! dans! le! service! Serveur! pourrait!
permettre!l'excution!de!code!!distance.!
!
L'hte! est! vulnrable! ! un! dbordement! de! mmoire!
tampon!dans!le!service!!Serveur!!qui!pourrait!permettre!
! un! attaquant! d'excuter! du! code! arbitraire! sur! l'hte!
avec!des!privilges!!SYSTME!.!
APPLIQUER,LE(S),CORRECTIF(S),
!
Microsoft! a! publi! un! ensemble! de! correctifs! pour!
Windows!2000,!XP!et!2003.!
!
http://technet.microsoft.com/enK
us/security/bulletin/ms06K040!
!
CRITIQUE,
10.0,
1.2.3.4,
69
Hte(s),affect(s),
5.2.3 Tests dintrusion
5.2.3 Test dintrusion

n
n
n
Le test dintrusion pousse les choses un peu plus

loin
Lorsquune vulnrabilit est dcouverte, nous
lexploitons pour obtenir un accs
Il existe deux types de tests dintrusion : logique et
physique
71
5.2.3 Test dintrusion - logique

n
Quatre tapes gnrales :

q
q
Prparation
Collecte dinformations et analyse
n
n
Dtection de vulnrabilits
n
n
Outils rseau
Outils Web
Tentative dintrusion (exploitation)

n
n
Google est votre ami

Intelligence open source
Metasploit
Techniques connues et/ou propritaires (personnalises)
Exemples
72
5.2.3 Test dintrusion - logique

n
Autres outils
q
q
Ingnierie sociale
Hameonnage
Exemples
q
q
q
Appels tlphoniques
Courriel dhameonnage
Bote outils dingnierie sociale
73
5.2.3 Test dintrusion - physique

n
n
n
Mme concept que les tests logiques

Le but est de trouver les vulnrabilits ou les
failles dans la scurit physique
Exploitation des vulnrabilits
74

n
Quatre tapes principales

q
q
Prparation
Collecte dinformations et analyse
n
n
n
n
Google maps
Bing maps
Rle foncier
Qui accde physiquement au btiment, surveillance
Dtection de vulnrabilits
n
n
n
n
n
n
Est-ce que le technicien est mis lpreuve?

Est-ce quil y a de la construction dans le btiment?
Est-ce que les gens valident les cartes didentit?
Comment les visiteurs sont-ils escorts?
Est-ce que les cartes daccs peuvent tre dupliques?
Est-ce que les gens prennent des pauses pour fumer en empruntant les
portes de ct/arrire?
75

n
Intrusion
Exploitation des vulnrabilits dcouvertes
q Discussion du scnario de test dintrusion avec le client
q Sassurer que les procdures sont bien dfinies, par exemple la
carte sortie de prison
q Excution des tests sous supervision
q
Exemples
q
q
q
Technicien
Livreur de pizza
Mcanicien
76
5.2.4 Analyse causale des

rsultats
5.2.4 Analyse causale des rsultats

Positionnement
Gouvernance
Politiques
Normes
Procdures
Programme de
sensibilisation
Planification de
la scurit
Contrles spcifiques
Couche application
Couche serveur
Les rsultats peuvent vouloir dire :

Manque de sensibilisation
Gouvernance dfaillante
Manque de budgets
Manque de structure et de
documentation (politiques, normes,
procdures)
dautres vulnrabilits prvoir!

78

LES RSULTATS
n
quoi sattendre
nAvantages/inconvnients
nIl est ncessaire dadopter une stratgie descendante (top-down) un
certain moment pour obtenir le soutien de la haute direction
nDe solides recommandations sont ncessaires pour prendre des
dcisions efficaces
nLes recommandations doivent tre ralistes pour lorganisation afin
quelles puissent tre mises en place avec succs
79

LES RSULTATS
nExemples
q
q
q
Le vrificateur gnral se pointe

Le client affirme quil fait rgulirement des tests et que tout devrait tre
conforme
Nous trouvons toujours des problmes
n
Pourquoi reviennent-ils toujours?
80
5.3 Comparaison des

stratgies
5.3 Comparaison des stratgies

Stratgie du haut bas
nAvantages
q
q
de cette stratgie
q
q
q
nAvantages
Stratgie complte dvaluation des

vulnrabilits
Stratgie structure
nInconvnients
q
Stratgie du bas haut

q
q
de cette stratgie
Ressources importantes demandes

(humaines et montaires)
Expertise pointue requise pour
chaque couche
Utilisation de check-list
Rsultats peuvent tre longs obtenir
de cette stratgie
Rsultats probants et rapides

Permet doffrir des exemples concrets
et souvent spectaculaires la
direction
Permet de sensibiliser davantage le
personnel et la direction sur
limportance des vulnrabilits
Notorit de lauditeur rehausse
nInconvnients
q
q
82
de cette stratgie
Demande des connaissances

techniques pousses
Tient compte uniquement de
certaines dimensions de la scurit,
souvent de nature technique
5.4 Qualifications et outils

ncessaires
5.4.1 Qualifications ncessaires

n
n
Connaissance des concepts de scurit

Connaissances techniques
q
q
q
q
n
n
Rseaux
Systmes dexploitation (Unix, Windows)
Bases de donnes (Oracle, SQL Server)
Applications (SAP, Oracle financiers)
Habilets pour effectuer de lingnierie sociale

plus que simplement des checklists
84
5.4.2 Outils ncessaires

Outils
Sites Internet
Insecure.org
Plusieurs outils gratuits ou payants de dtection de

vulnrabilits, craquage de mots de passe, etc.
Social Engineering Toolkit

(hameonnage)
https://www.trustedsec.com/downloads/socialengineer-toolkit/
Spooftel (Tlphones)
http://www.spooftel.com/
Nessus (outil de vrification de

vulnrabilit)
http://www.tenable.com/products/nessus
Acunetix (outil de vrification de

vulnrabilit de Web)
http://www.acunetix.com/
Metasploit (outil de pntration)
http://www.metasploit.com/
Cain & Abel (outil de pntration)
http://www.oxid.it/cain.html
Maltego (outil de recherche)
http://www.paterva.com/web6
Cree.py (outil de recherche)
http://ilektrojohn.github.io/creepy/
85
6. Conclusion
Bibliographie
n
n
n
n
n
n
n
Institute of Internal Auditors, GTAG-Information Security

Governance , Floride, 2010, 22 p.
Beaver, K., Why Good Security Testing Tools Matter ,
Internal Auditor, octobre 2007
Bowen, P. et al., Information Security Guide for Government
Executives , NIST, MD, 2007,19 p.
Bowen et al., Information Security Handbook: A Guide for
Managers , NIST, MD, 2006, 178 p.
Buckley, S., Data Classification , Internal Auditor, mars 2011
Buckley, S., Is Security Falling by the Wayside? , Internal
Auditor, juin 2012
Internal Auditors, Tone at the Top , no 53, dcembre 2011
87

Lascuritdelinformationetlesaudi

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Lascuritdelinformationetlesaudi

Transféré par

Droits d'auteur :

Formats disponibles

La scurit de linformation

et les auditeurs internes :

Prsentation des confrenciers

Bases de la scurit de linformation et enjeux lis celle-ci

Rle des responsables de la gouvernance

Dimensions oublies de la scurit par les organisations

Stratgies daudit possibles de la scurit de linformation :

1. Prsentation des confrenciers

2. Les bases de la scurit

2.1 La scurit de linformation

2.1 La scurit de linformation

Les politiques, normes et procdures de scurit influencent

2.1 La scurit de linformation

La cration de codes daccs

Gestion des accs

1.6 Utilisation des

1.7 Dfinition des

2.1 La scurit de linformation

forme permettent dassurer une standardisation des implantations

Classification des actifs

Analyse des menaces

2.2 La relation entre menaces, impacts,

2.2 La relation entre menaces, impacts,

2.3 Le processus de classification

tapes qui permettent dattribuer chaque actif

qui reflte limportance de lactif informationnel pour la ralisation

La classification des actifs seffectue en fonction

en tenant compte de limportance de chaque actif

2.3 Le processus de classification

La classification seffectue sur trois aspects:

Il sagit de dterminer quels seraient les impacts dune

2.3 Le processus de classification

2.3 Quest-ce quun actif

Enregistrement dans un fichier

PEUVENT TRE REGROUPS DANS UN

2.3 Quest-ce quun actif

Qui supportent le document papier

Qui supportent le document lectronique

2.3 Prparation lexercice de

Quels sont les dtenteurs principaux (ou

dtenteur principal est le premier

2.3 Prise de linventaire des

La meilleure faon: Systmatisation

Comprendre la chane de traitement peut aider identifier les actifs

Inventaire des documents et des composantes:

2.3 Le processus de classification

2.3 Le processus de classification

Bas : impact non significatif

Moyen : impact limit un

Incidences sur limage, le

lev : impact grave

Trs lev : impact trs grave

2.3 Le processus de classification

ou un systme doit tre accessible et utilisable en temps

la notion de performance (dgradation)

Acceptable que le systme ne soit

La priode de non disponibilit

Systme de grand livre,

Une courte priode

Nutrition, index patient, et

Aucune priode dindisponibilit

2.3 Le processus de classification

dune information ou dune technologie qui nest ni modifie,