Académique Documents
Professionnel Documents
Culture Documents
Intrus Intrus
interne externe
Principe Définition
Offre plusieurs niveaux de
Défense en protection contre les
profondeur menaces en plusieurs points
du réseau
Octroie à un utilisateur ou
une ressource les privilèges
Moindre
ou autorisations minimaux
privilège
nécessaires
à l'exécution d'une tâche
Surface d'attaque Réduit les points vulnérables
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
minimisée d'un réseau 6
Les normes de sécurité
informatique
BS 7799 / ISO 17799, ISO 27002 ,
ISO 27001, BS 7799-2
• Historique
• Pour qui ?
• Implantation
• Outils et logiciels
• 2. Organisation de la sécurité :
- organisation humaine, implication hiérarchique,
- notion de propriétaire d’une information et mode de
classification,
- évaluation des nouvelles informations,
- mode d’accès aux informations par une tierce partie,
- Répartition des responsabilités, groupes de travail, …
• 4. Sécurité du personnel
- contrats de travail, Sensibilisation à la sécurité,
implication dans la sécurité
• 5. Sécurité physique
- organisation des locaux et des accès,
- protection contre les risques physiques (incendies,
inondations...)
- systèmes de surveillance et d’alerte,
- sécurité des locaux ouverts et des documents
circulant.
• 7. Contrôle d'accès:
- Utilisateurs
- Définition des niveaux d’utilisateurs et de leur droit
d’accès,
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
Normes BS 7799, ISO 17799 et ISO 27002
- Gestion dans le temps des droits,
- Réseau
- Système d’exploitation
- Application
• 11. Conformité:
- dispositions réglementaires
- dispositions légales
- dispositions internes (Politique)
• Couverture de la norme;
• Éprouvée;
• Publique;
• Internationale;
• Image de marque associé à « la
qualité »
• Évolutive et souplesse (s’adapter aux
contextes);
• Disponibilité d’outils et de support.
Gestion de la Classification et
Intégrité Confidentialité
continuité contrôle des actifs
Information
Développement Sécurité du
et maintenance personnel
Disponibilité
1. Politique de
sécurité
2. Sécurité de
l’organisation
10. Conformité
Opérationnel
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
Normes ISO 27001, BS 7799-2
18 % 23 %
9%
35 %
6%
Autres : 9 %
Formation et sensibilisation Vos employés peuvent être le maillon faible dans la chaîne
de sécurité de votre organisation.
Définition
manière uniforme
Les " tests d'intrusion " ou " tests intrusifs " font partie de cette
catégorie d'audit.
Audit Niveau 2
Concerne les composants du système d´information :
validation d’une architecture de sécurité, test de
vulnérabilités internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web,
contrôle d´accès trivial...), etc…
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
53
L’audit Technique d’un périmètre de sécurité est préconisé
dans les situations typiques suivantes ( d’une manière
récurrente) :
3 Com
Audit Organisationnel et
Physique
Fin du cycle
d’Audit Normal
Identification des
Identification des vulnérabilités d’ordre
vulnérabilités depuis organisationnel et physique
Test Intrusif l’extérieur
Évaluation des risques
Détection régulière et
automatisée des Audit Technique
vulnérabilités et des
failles potentielles
Mise en place de la
solution de sécurité
Analyse de Risque
Délivrables de la phase d’AOP
Les rapports livrés à la fin de cette phase seront constitués des parties
suivantes :
Rapports d'audit couvrant les aspects suivants :
Rapport sur l’Étude de la situation existante en terme de sécurité
Contenu de la présentation
Déroulement de l’étape :
L’audit technique sera réalisé selon une succession de
phases respectant une approche méthodique allant de la
découverte et la reconnaissance du réseau audité jusqu’à la
réalisation des scénarios d’attaques expertes.
Le sondage des services réseau est une étape qui permet de savoir
quelles sont les ports ouverts sur les machines du réseau audité (ouverts,
fermés ou filtrés), et également permet d’analyser le trafic , reconnaître
les protocoles et les services prédominant au niveau du réseau auditer, le
taux d’utilisation , les flux inter-stations et plusieurs autres informations.
Permet de mesurer les vulnérabilités des parties les plus sensibles du réseau
local en opérant à partir d’une station de travail standard, dans des conditions
analogues à celles dont disposerait une personne mal-intentionnée travaillant
sur site (prestataires, collaborateurs, visiteurs, ...).
Nombre de vulnérabilités
d’ordre grave : 146
Nombre de vulnérabilités
d’ordre moyenne : 215
Nombre de vulnérabilités
d’ordre minime : 193
Cette opération est réalisée depuis le réseau externe du site audité (avec autorisation :
Une simulation de ces attaques pourra être réalisée à la demande) à partir de postes de
travail positionnés sur le réseau public (Internet) ou sur le réseau téléphonique dans
les mêmes conditions que celles dont pourrait disposer un pirate informatique.