Secu Slides 14 PDF

Transféré par

Dominique Roduit
7 vues48 pages

Titre original

secu_slides_14.pdf

Copyright

© © All Rights Reserved

Formats disponibles

PDF, TXT ou lisez en ligne sur Scribd

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Droits d'auteur :

© All Rights Reserved
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
7 vues48 pages

Secu Slides 14 PDF

Titre original :

secu_slides_14.pdf

Transféré par

Dominique Roduit

Droits d'auteur :

© All Rights Reserved
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
sur 48

Revue de presse

! " # $

%%
& '( )*
+ %% %%

% " , -

'.( (((/$ ! //

Ph. Oechslin, Sécurité des Réseaux, 2017 1


/)
Objectifs

0 &
"1 '2(((

3 + 4$5

"1 .)(6
7

Ph. Oechslin, Sécurité des Réseaux, 2017 3


Mise en place de la sécurité

analyse de la situation

politique de sécurité
analyse des risques

valeurs mesures de sécurité

menaces
implémentation
risques
validation

Ph. Oechslin, Sécurité des Réseaux, 2017 4


1.4.1 Apprécaition des risques

8
9 Analyse des risques

valeurs
+
menaces

Rtotal = ∑ PM i Vi risques

Ph. Oechslin, Sécurité des Réseaux, 2017 5


Analyse qualitative

Ph. Oechslin, Sécurité des Réseaux, 2017 6


Politique de sécurité

; <
, %
politique de sécurité
% %
%
mesures de sécurité
+,
& !
implémentation

1 , <
"1 '2((( validation

Ph. Oechslin, Sécurité des Réseaux, 2017 7


Mesures de sécurité
"
%
+ ! + politique de sécurité
% = #% # $
+ %% # mesures de sécurité
+ % > ?

implémentation
% # @ # $
#A
validation
+

Ph. Oechslin, Sécurité des Réseaux, 2017 8


Implémentation

politique de sécurité
1
mesures de sécurité

implémentation

validation

Ph. Oechslin, Sécurité des Réseaux, 2017 9


Validation

politique de sécurité
8
mesures de sécurité

B implémentation
3 # +
+ @ ; validation

Ph. Oechslin, Sécurité des Réseaux, 2017 10


Validation (security gap)
security gap

Security Level
%%
7 100
90
7 80
70
60
50
40
+ 30
20
10
0
1 2 3 4 5 6 7 8 9
temps
real believed

Ph. Oechslin, Sécurité des Réseaux, 2017 11


1.4.2 Documents clés

Ph. Oechslin, Sécurité des Réseaux, 2017 12


Le règlement d’utilisation acceptable
!
% 7

,
9 # - # / >
7 % # # //

9
# # //
9 # %
$
9 7
C &
Ph. Oechslin, Sécurité des Réseaux, 2017 13
Standards / procédures
7 %
! % = #
# @ #A
7

% !
! %

Ph. Oechslin, Sécurité des Réseaux, 2017 14


Le plan de secours
#

<
% # @ #
# % #
<
% ! #
@ # ,
<
# # #

Ph. Oechslin, Sécurité des Réseaux, 2017 15


Plan de secours: reprise, continuation
B
B
<
< %%

! < ')+
% !
# 7
@ +
# %% 7

Ph. Oechslin, Sécurité des Réseaux, 2017 16


Organigrammes: généralités
% 7 : <
:
7 ! % :

+ % 7 !
% % 7 : + %

Ph. Oechslin, Sécurité des Réseaux, 2017 17


Organigrammes: exemples

Ph. Oechslin, Sécurité des Réseaux, 2017 18


Le responsable de la sécurité des systèmes
d’information: RSSI (CISO)

%
" 7 #

Ph. Oechslin, Sécurité des Réseaux, 2017 19


Normes et standards
"1 '2(!!
3 + 4$5

Ph. Oechslin, Sécurité des Réseaux, 2017 20


1.4.3 Normes ISO 270XX

ISO 27000
Vocabulaire
ISO 27008 ISO 27002
Audit de Bonnes
mesures pratiques

ISO 27007 ISO 27003


ISO 27001
Audit du Mise en place
SMSI
SMSI d’un SMSI

ISO 27006 ISO 27004


Certification Indicateurs
d’un SMSI et mesure
ISO 27005
Gestion des
risques

Ph. Oechslin, Sécurité des Réseaux, 2017 21


ISO 27001
"1 '2(( <

" % ! # ! #
"9" /
"9" < , % "9"
9: + "1 D((
%

Ph. Oechslin, Sécurité des Réseaux, 2017 22


ISO 27001
, <
%
& %
& %

<

& %
Ph. Oechslin, Sécurité des Réseaux, 2017 23
Modèle PDCA

Act
Plan
Maintenir et
Etablir le
Parties prenantes

améliorer

Parties prenantes
SMSI
le SMSI

Exigences Confiance

Do
Check
Mettre en
Réviser le
place
SMSI
le SMSI

Ph. Oechslin, Sécurité des Réseaux, 2017 24


ISO 27002
"1 '2(('<

B %
C ?
%
?
% <

Ph. Oechslin, Sécurité des Réseaux, 2017 25


ISO 27002
./
# !
E/ 1 %
1 # #
2/
# % %
6/ " ! +
B # #%
D/ " +,
F #

Ph. Oechslin, Sécurité des Réseaux, 2017 26


ISO 27002
(/ !
# # # % #
# # !#
# + % #
#

/ ?
! # #
# ? # ? 1"# ?
! % #

'/ B #
! # % #
, + # % + , #
#
Ph. Oechslin, Sécurité des Réseaux, 2017 27
ISO 27002
/

" #

)/

./ %
! # %
# % +

Ph. Oechslin, Sécurité des Réseaux, 2017 28


ISO 27002
<
<

3 ! <

B +
B <
+

Ph. Oechslin, Sécurité des Réseaux, 2017 29


ISO 27002: Exemple
10.4 Protection contre les codes malveillant et mobile

Objectif: protéger l’intégrité des logiciels et de l’information.

Des précautions sont requises pour prévenir et détecter


l’introduction de code malveillant et de code mobile non autorisé.

Les logiciels et les moyens de traitement de l’information sont


vulnérables à l’introduction de code malveillant comme les virus
informatiques, les vers de réseau, les chevaux de Troie et les
bombes logiques. Il convient d’informer les utilisateurs des dangers
des codes malveillants. Il convient que les responsables
introduisent des mesures, le cas échéant, pour prévenir, détecter et
supprimer les codes malveillants et contrôler le code mobile.

Ph. Oechslin, Sécurité des Réseaux, 2017 30


1.4.4 IT Grundschutz Kataloge
B %G
" + + % + @ ===/ /
<C ,
,#
+ 4

7 7 ,
7 %

Ph. Oechslin, Sécurité des Réseaux, 2017 31


Contenu (v.13, 2013)
E'
9
C & % # #A
9 1 # # ? #A
+
+ # # #A
B + @ # #%
)))
% H # % #
1 / # # //
#% #
9 # %

Ph. Oechslin, Sécurité des Réseaux, 2017 32


Contenu
7 D
+

% # , # !# #

9 +
, 7 %

Ph. Oechslin, Sécurité des Réseaux, 2017 33


Ph. Oechslin, Sécurité des Réseaux, 2017 34
Exemple d'une menace

T 5.57 Network analysis tools


If information transmitted in the network segment is not encrypted,
then it can be read as plain text with the help of network analysis
tools or "sniffers". It must be noted that these sniffer programs are
not always intended for use as "hacking software" since many
products used to manage networks include such a function.

Ph. Oechslin, Sécurité des Réseaux, 2017 35


Exemple d'une mesure
S 5.66 Use of TLS/SSL
Initiation responsibility: IT Security Officer, Head of IT
Implementation responsibility: User, Administrator
The most commonly used security protocol for web usage is the Transport Layer
Security/Secure Socket Layer (TLS/SSL). SSL was developed by Netscape. Newer versions
are referred to as TLS and have been standardised in various RFCs. TLS/SSL is supported by
all current browsers.
TLS/SSL can be used to secure connections in the following manner:
• by encrypting the contents of the connection,
• by checking the transmitted data for completeness and correctness,
• by checking the identity of the server, and
• by optionally checking the identity of the client.
TLS/SSL establishes a connection between the user's browser and the provider's server that is
then used to initially exchange the certificates with the public keys. An asymmetric encryption
method is then used to securely exchange a symmetric key. A symmetric method is then used
to encrypt the actual data transmission, because these methods can encrypt large amounts of
data quickly. A different symmetric key to be used as a session key is negotiated for every
transaction, and this key is then used to encrypt the connection.
Ph. Oechslin, Sécurité des Réseaux, 2017 36
Exemple d'une mesure, suite
S 5.66 Use of TLS/SSL
Review questions:
• Do the server and/or client products used support the use of a secure version of TLS/SSL?
• Has it been ensured that the clients and servers negotiate cryptographic algorithms and key
lengths conforming to the current state of the art and meeting the security requirements of
the organisation?
• Is the security policy of the particular certificate authority checked before security-critical
information is transmitted using a TLS/SSL-protected connection?
• Is adequate protection against malware and unauthorised active content also guaranteed

Ph. Oechslin, Sécurité des Réseaux, 2017 37


Catalogues: exemple d'un élément
I = 2
+ <JJ===/ / / J J3+ J3 + 4J 3 + 45
J + JK J J ( J ( ' '/+

<
+ <JJ / = / / / J " J 3 "5 J 3$ "5$ $ $ $
K D)(/ %L' .E9

Ph. Oechslin, Sécurité des Réseaux, 2017 38


Grundschutz Kataloge: discussion
3 + !
<

%
& &
+

Ph. Oechslin, Sécurité des Réseaux, 2017 39


1.4.5 Critères communs (ISO 15408)
, 7 "B
<
" %
, %
B % %
,
M <

Ph. Oechslin, Sécurité des Réseaux, 2017 40


CC: concepts
! , !
! % < %
!/ + % %
! < %
7 % #
%% %

%
7 & %
% = $ # $

Ph. Oechslin, Sécurité des Réseaux, 2017 41


Exigences fonctionelles
C
B
, +

% +
" ,9
,
% + ,%
4
", B
3 +J +

Ph. Oechslin, Sécurité des Réseaux, 2017 42


Exigences d’assurance
7 %
% <
% 9
, 1

% , "
3
8 ,B

Ph. Oechslin, Sécurité des Réseaux, 2017 43


CC: Niveaux d'assurance
: % !
7 <
B <C ,
B , % %
%
3 %

B '< " ,
NB , % +
N
N + +

Ph. Oechslin, Sécurité des Réseaux, 2017 44


CC: Niveaux d'assurances
B <9 + , > + @
N
N ?
B)< 9 + , # > =
N % %
N %
N
N
N %
B .< " % , >
B E< " % , % >
B 2< C , % >

Ph. Oechslin, Sécurité des Réseaux, 2017 45


CC: Exemples de produits
B )<
" " ! " '
M ! 2/
9"$I = (# " '( ' '
C. C =
9 % "O " '( E /(/)(( /( " @
1 '
B .
9 ? 3 " $" $('/ , + /(/

"
B E
, , 8 / /! E(' , 8

Ph. Oechslin, Sécurité des Réseaux, 2017 46


CC: Public cible

% -

+ ,

&
!/
! %

Ph. Oechslin, Sécurité des Réseaux, 2017 47


Comparaison
"1 '2(!!<
< # %
+
<

Ph. Oechslin, Sécurité des Réseaux, 2017 48

Vous aimerez peut-être aussi