Académique Documents
Professionnel Documents
Culture Documents
2 avril 2014
Ordre du jour
1.
2.
3.
4.
5.
6.
Conclusion
2
1. Prsentation des
confrenciers
Jacques Bergeron, CPA, CA, M. Sc, MBA, CISA, CISM, est le vrificateur gnral de la Ville de
Montral depuis 2009. ce titre, il coordonne trois directions daudit, notamment celle qui effectue
laudit des technologies de linformation et des tlcommunications. Auparavant, il a t professeur
invit HEC Montral o il a enseign, entre autres, le cours de contrle et scurit dans le
commerce lectronique, cours quil enseigne toujours dailleurs. Il a galement uvr au sein de
firmes rputes de professionnels en gestion des risques de linformation (Deloitte, RCGT, KPMG,
Groupe conseil GSR) o il a t responsable de mandats complexes relis la scurit de
linformation. M. Bergeron cumule plus de 25 annes dexprience dans la vrification et lvaluation
de la scurit et de contrles des technologies de linformation.
Courriel : jacques.bergeron@bvgmtl.ca
Robert Masse, CISSP, est conseiller senior en scurit de linformation et gestion de risques pour
sa propre firme Infisec. M. Masse possde plus de 15 annes d'exprience dans le conseil en
scurit de linformation et des technologies. Au cours de ces annes, il a dvelopp une capacit
danalyse et dexcution qui lui permet de vulgariser et de communiquer clairement des enjeux de
scurit complexes, de proposer des plans daction et den assurer lalignement avec les objectifs
stratgiques de lorganisation. M. Masse a galement uvr auprs de firmes rputes en scurit
de linformation telles que KPMG et Go Secure. Il participe divers vnements mdiatiques et
confrences travers le monde (RSA, NCFTA, PCI, etc.). Il est dailleurs frquemment cit par les
mdias comme expert rput en matire de scurit de linformation.
Courriel : rmasse@infisec.com
Personnel
+
Processus
+
Technologie
n
n
n
n
n
Scurit logique
Gestion des accs
et utilisation
1.1 Introduction,
porte et
approbation
Profils d'accs
1.2 Gestion de la
scurit
Scurit physique
Prvention, dtection
et protection
Dveloppement,
maintenance et
mise en place des
systmes
Exploitation
Rseau et
tlmatique
Emplacement des
installations
et du
matriel
Dveloppement,
acquisition et
mise en place
Horaires,
calendriers
et planification
Chiffrement et
transmission
scuritaire
Mots de passe
et ractivation
des codes d'accs
Contrle
des accs
physiques
Contrle
des
changements
Mesures de
manipulation
des rapports
1.4 Classification
de l'information
Suivi des
incidents
Matriel
informatique
Applications
supportes
par des fournisseurs
extermes
1.5 Programme
de sensibilisation
et de formation
Embauche,
dpart et
suivi du
personnel
Utilisation du
courrier
lectronique
Microinformatique
Gestion
des logiciels/
Droits d'auteur
Virus
Relve en
cas de
dsastre
Relve
informatique
Copies de
sauvegarde
Utilisation de
portatifs
Utilisation de
l'Internet
1.3 valuation
des risques
et menaces
Politiques
Politique
fonctionnelles
Organisation et
administration
de la scurit
Politique
corporative
Normes
Cadre normatif
Gestion
des
changements
Procdure
Procdure
Procdure
Procdure
Procdure
Procdure
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Formulaire
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Guide de rfrence
technique
Formulaires
Procdure
Guides
Procdure
Procdures
10
Mission organisationnelle
tat de la situation
actuelle
Adqua
tion
Risques intolrables
Plan directeur
Normes et
procdures
implanter
Outils
techniques
11
Manires de
faire et gestion
de la scurit
Arrive du
risque
Perte
dintgrit
12
Faiblesse
de contrle
Correction
Perte de
disponibilit
Matrise
du risque
Perte
dintgrit
Risque rsiduel
acceptable
ou non
13
Lultime scurit
14
15
La disponibilit
Lintgrit
La confidentialit
Sur la mission
Sur limage de lorganisme (rputation, confiance)
Sur la situation financire (pertes de revenus, dpenses
additionnelles)
Sur la scurit des usagers et des employs (atteinte aux
droits et liberts)
Sur la comptitivit
Sur les oprations (perturbations)
classifie
nSensible mais non classifie
nConfidentielle
nSecrte
nUltrasecrte
LIMITES?
17
DOCUMENT:
n
Document papier
Contenu
Formulaires manuels
Rapports manuels
Rapports/formulaires produits par le systme
Document lectronique
COMPOSANTES:
n
Classeur
Salle physique o sont situs les documents
Base de donnes
Systme dapplication
Systmes dexploitation et utilitaire
Rseaux de tlcommunication
Salles dquipement
(documents et composantes)
financire ou dopportunit
nAspects lgaux, contractuels
nPerte de productivit
nNon-respect dengagements
nDtrioration de la qualit de service
nPerte de confiance des clients
nAtteinte la scurit physique des personnes
nPerception mdiatique ngative
22
Niveau 2
Incidences dordre
administratif
Aucun impact sur limage ou la
mission
Niveau 3
Niveau 4
Incidences srieuses
Dommages srieux sur la
mission
Manquement aux obligations
Viabilit de lorganisation mise
en pril
Consquences sur le plan
humain ou financier
voulu
nComprend
24
Disponibilit
Niveau 1: IMPACT
FAIBLE
Documents, formulaires,
listes demploys
Statistiques dutilisation de
processus secondaires
Niveau 2: IMPACT
MOYEN
Niveau 3: IMPACT
GRAVE
Niveau 4: IMPACT
TRS GRAVE
Dossier patient
lectronique, infrastructure
des services essentiels,
systme de mesures
durgence, systme de
pagettes et de
communication interne
nAutant
26
Intgrit
Niveau 1: IMPACT
FAIBLE
Niveau 2: IMPACT
MOYEN
Rapports dactivits au
ministre, statistiques
dutilisation, informations de
planification, erreurs dans le
systme des paiements
Niveau 3: IMPACT
GRAVE
Niveau 4: IMPACT
TRS GRAVE
Informations mdicales de
premire ligne. Information
sur les allergies
Systmes de distribution en
eau potable
Systmes de transfert de
fonds lectronique/courtage
bancaire
nDroits
q
la vie prive
28
Confidentialit:Exemple pour le
domaine de la sant
Niveau 1: IMPACT
FAIBLE
Information de nature
publique. Aucun impact sur la
divulgation
Documents statistiques
gnraux
Documents publics
Niveau 2: IMPACT
MOYEN
Documents internes
Niveau 3: IMPACT
GRAVE
Niveau 4: IMPACT
TRS GRAVE
Profilage de la clientle
Consquences
Actions dlibres
Personnes de lintrieur
Personnes de lextrieur
Divulgation ou visionnement
dinformation confidentielle
Actions accidentelles
Modification non-autorise
ou errone dinformation
sensible
Personnes de lintrieur
Personnes de lextrieur
Problmes technologiques
ACTIFS
Dfauts dquipement
Dfauts de logiciel
Code malicieux
Destruction ou perte
dinformation importante
Problmes environnementaux
Accs interrompu
des systmes critiques
Dsastres naturels
Inondation, tremblement de terre
30
Menaces Contrles
q
Contrles structurels
n
Contrles spcifiques
n
n
n
Multiniveaux
Ne sont pas rattachs des risques spcifiques
Dmarche dlaboration
n Contrles
affectant la POTENTIALIT
MESURES
n VITENT
DE DISSUASION
la concrtisation de la menace
MESURES
DE PRVENTION
n EMPCHENT
MESURES
n LIMITENT
DE PROTECTION
lampleur de la dtrioration
Dmarche dlaboration
n Contrles
PALLIATIVES
n RPARENT
MESURES
n LIMITENT
DE RCUPRATION
les pertes
Par exemple :
q
Source de la menace
Action effectue
par la menace
Le garde-barrire (firewall)
permet deffectuer un Telnet
sur un serveur sur lequel le
compte invit nest pas
dsactiv
Le fournisseur du systme
dexploitation identifie des
vulnrabilits mais
lorganisation ninstalle pas
les correctifs suggrs
35
n
n
n
37
38
O mme il est possible de crer des sous-zones avec les serveurs (gardebarrires embarqus)
39
40
Responsabilits
Haute direction
Le propritaire de linformation
Utilisateur
Auditeur
42
n
n
43
n
n
n
n
45
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
48
Planification de
la scurit
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Planification de
la scurit
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
49
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Planification de
la scurit
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
lments considrer :
Protection des documents sensibles
Archivage
Accs physiques aux documents
Transport interne et externe des
documents
Disposition des documents
Etc.
50
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
Planification de
la scurit
lments considrer :
Codes daccs privilgis
Protection des tables sensibles
Options et paramtres de scurit
activs
Configuration scuritaire de la base
de donnes
Administration de la BD
51
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
Couche application
Planification de
la scurit
lments considrer :
Codes daccs privilgis
Tables daccs et sparation des
fonctions
Options de scurit actives et
valeurs
Paramtrage de lapplication
Contrle des changements
52
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
Couche serveur
Planification de
la scurit
lments considrer :
Codes daccs privilgis
Configuration scuritaire du serveur
(ports ouverts, services actifs)
Options de scurit actives et
valeurs
Mise jour du systme
dexploitation (patches, version)
Contrle des changements
Copies de sauvegarde, plan de
reprise, manipulation mdias
Anti-virus, etc.
53
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
Planification de
la scurit
lments considrer :
Codes daccs privilgis
Installation et configuration
scuritaires des quipements
rseau (routeurs, sans-fil, etc.)
Rgles du garde-barrire
Ports ouverts, services actifs
Options de scurit actives et
valeurs
Etc.
54
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
Planification de
la scurit
lments considrer :
Accs la salle informatique
Configuration de la salle
informatique
Accs au btiment
Protection par zone et contrles
daccs physiques aux locaux
Surveillance, alarme, etc.
55
Organisation de la scurit
Positionnement
Gouvernance
Programme de
sensibilisation
Contrles spcifiques
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
Planification de
la scurit
lments considrer :
Prsence dun plan
Caractre adquat du plan
(Analyse de risques et dimpacts)
Tests priodiques du plan
Mise jour du plan
Etc.
56
dfinition
nDiffrence entre chaque type de stratgies
nLa stratgie ascendante (bottom-up) = meilleur rapport cots-avantages
nCe que la stratgie offre
nCe que la stratgie noffre pas :
q
q
q
valuation exhaustive
Analyse de la mthodologie et des politiques
Stratgie descendante (top-down)
nIdale
58
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Contrles spcifiques
Planification de
la scurit
Bloc dinformation :
Dossier patient lectronique
D: 4, I: 4, C: 4
59
types de risques
nLes
61
62
63
64
66
Mthodologie de base
q
q
Nous identifions les actifs et les ressources qui sont importants pour
lorganisation
Nous les valuons en utilisant divers outils techniques
Exemples de rsultats :
q
q
q
67
Internet
Serveur web
Serveur web
Serveur de vrification
Serveur
Serveur
Serveur
Serveur
68
Recommandations,
Risque,
1,
Compte,par,dfaut,,factory,,de,RuggedOS!
!
Lquipement! rseau! possde! un! compte! cod!
permanent!qui!possde!un!mot!de!passe!prvisible.!
!
Le! dispositif! excute! RuggedOS! en! utilisant! le! compte!
!factory!! et! un! mot! de! passe! driv! de! ladresse!
matrielle! (MAC)! de! lappareil! (qui! est! visible! dans! la!
bannire! dauthentification! telnet).! Ceci! est! un! cas!
classique!de!porte!drobe.!
!
METTRE,,NIVEAU,LA,VERSION,ACTUELLE,
!
Mettre!!niveau!le!micrologiciel!(firmware)!RuggedOS!!la!
version!la!plus!rcente!selon!lavis!du!fabriquant.!
!
http://www.ruggedcom.com/productbulletin/rosK
securityKpage/!
!
CRITIQUE,
10.0,
1.2.3.4,
,
2,
Mot, de, passe, par, dfaut, du, ,IBM, Baseboard,
Management,Controller,,
!
Lhte! semble! excuter! IBM! Baseboard! Management!
Controller! (BMC),! qui! est! utilis! pour! la! gestion! horsK
bande.!Le!client!de!gestion!du!service!est!protg!par!un!
mot!de!passe!par!dfaut.!!
!
Nom!dutilisateur!par!dfaut!:!USERID!
Mot!de!passe!par!dfaut!:!PASSW0RD!
REMPLACER,LE,MOT,DE,PASSE,PAR,DFAUT,
!
Remplacer! le! mot! de! passe! par! dfaut! par! un! mot! de!
passe!complexe.!
!
!
CRITIQUE,
10.0,
1.2.3.4,
5.6.7.8,
,
3,
MS06[040,:,Excution,de,code,,distance,
!
Une! vulnrabilit! dans! le! service! Serveur! pourrait!
permettre!l'excution!de!code!!distance.!
!
L'hte! est! vulnrable! ! un! dbordement! de! mmoire!
tampon!dans!le!service!!Serveur!!qui!pourrait!permettre!
! un! attaquant! d'excuter! du! code! arbitraire! sur! l'hte!
avec!des!privilges!!SYSTME!.!
APPLIQUER,LE(S),CORRECTIF(S),
!
Microsoft! a! publi! un! ensemble! de! correctifs! pour!
Windows!2000,!XP!et!2003.!
!
http://technet.microsoft.com/enK
us/security/bulletin/ms06K040!
!
CRITIQUE,
10.0,
1.2.3.4,
69
Hte(s),affect(s),
71
Prparation
Collecte dinformations et analyse
n
n
Dtection de vulnrabilits
n
n
Outils rseau
Outils Web
Metasploit
Techniques connues et/ou propritaires (personnalises)
Exemples
72
Autres outils
q
q
Ingnierie sociale
Hameonnage
Exemples
q
q
q
Appels tlphoniques
Courriel dhameonnage
Bote outils dingnierie sociale
73
74
Prparation
Collecte dinformations et analyse
n
n
n
n
Google maps
Bing maps
Rle foncier
Qui accde physiquement au btiment, surveillance
Dtection de vulnrabilits
n
n
n
n
n
n
75
Intrusion
Exploitation des vulnrabilits dcouvertes
q Discussion du scnario de test dintrusion avec le client
q Sassurer que les procdures sont bien dfinies, par exemple la
carte sortie de prison
q Excution des tests sous supervision
q
Exemples
q
q
q
Technicien
Livreur de pizza
Mcanicien
76
Gestion de la scurit
Politiques
Normes
Procdures
Programme de
sensibilisation
Planification de
la scurit
Contrles spcifiques
Couche documents physiques
Couche base de donnes
Couche application
Couche serveur
Couche rseau interne/externe
Couche scurit physique
78
quoi sattendre
nAvantages/inconvnients
nIl est ncessaire dadopter une stratgie descendante (top-down) un
certain moment pour obtenir le soutien de la haute direction
nDe solides recommandations sont ncessaires pour prendre des
dcisions efficaces
nLes recommandations doivent tre ralistes pour lorganisation afin
quelles puissent tre mises en place avec succs
79
80
de cette stratgie
q
q
q
nAvantages
nInconvnients
q
de cette stratgie
de cette stratgie
nInconvnients
q
q
82
de cette stratgie
n
n
Rseaux
Systmes dexploitation (Unix, Windows)
Bases de donnes (Oracle, SQL Server)
Applications (SAP, Oracle financiers)
84
Sites Internet
Insecure.org
https://www.trustedsec.com/downloads/socialengineer-toolkit/
Spooftel (Tlphones)
http://www.spooftel.com/
http://www.tenable.com/products/nessus
http://www.acunetix.com/
http://www.metasploit.com/
http://www.oxid.it/cain.html
http://www.paterva.com/web6
http://ilektrojohn.github.io/creepy/
85
6. Conclusion
Bibliographie
n
n
n
n
n
n
n
87