Revue de presse

! " # $

%%
& '( )*
+ %% %%

% " , -

'.( (((/$ ! //

Ph. Oechslin, Sécurité des Réseaux, 2017 1

/)
Objectifs

0 &
"1 '2(((

3 + 4$5

"1 .)(6
7

Ph. Oechslin, Sécurité des Réseaux, 2017 3

 Mise en place de la sécurité

analyse de la situation

politique de sécurité
analyse des risques

valeurs mesures de sécurité

menaces
implémentation
risques
validation

Ph. Oechslin, Sécurité des Réseaux, 2017 4

1.4.1 Apprécaition des risques

8
9 Analyse des risques

valeurs
+
menaces

Rtotal = ∑ PM i Vi risques

Ph. Oechslin, Sécurité des Réseaux, 2017 5

Analyse qualitative

Ph. Oechslin, Sécurité des Réseaux, 2017 6

Politique de sécurité

; <
, %
politique de sécurité
% %
%
mesures de sécurité
+,
& !
implémentation

1 , <
"1 '2((( validation

Ph. Oechslin, Sécurité des Réseaux, 2017 7

Mesures de sécurité
"
%
+ ! + politique de sécurité
% = #% # $
+ %% # mesures de sécurité
+ % > ?

implémentation
% # @ # $
#A
validation
+

Ph. Oechslin, Sécurité des Réseaux, 2017 8

Implémentation

politique de sécurité
1
mesures de sécurité

implémentation

validation

Ph. Oechslin, Sécurité des Réseaux, 2017 9

Validation

politique de sécurité
8
mesures de sécurité

B implémentation
3 # +
+ @ ; validation

Ph. Oechslin, Sécurité des Réseaux, 2017 10

Validation (security gap)
security gap

Security Level
%%
7 100
90
7 80
70
60
50
40
+ 30
20
10
0
1 2 3 4 5 6 7 8 9
temps
real believed

Ph. Oechslin, Sécurité des Réseaux, 2017 11

1.4.2 Documents clés

Ph. Oechslin, Sécurité des Réseaux, 2017 12

Le règlement d’utilisation acceptable
!
% 7

,
9 # - # / >
7 % # # //

9
# # //
9 # %
$
9 7
C &
Ph. Oechslin, Sécurité des Réseaux, 2017 13
Standards / procédures
7 %
! % = #
# @ #A
7

% !
! %

Ph. Oechslin, Sécurité des Réseaux, 2017 14

Le plan de secours
#

<
% # @ #
# % #
<
% ! #
@ # ,
<
# # #

Ph. Oechslin, Sécurité des Réseaux, 2017 15

Plan de secours: reprise, continuation
B
B
<
< %%

! < ')+
% !
# 7
@ +
# %% 7

Ph. Oechslin, Sécurité des Réseaux, 2017 16

Organigrammes: généralités
% 7 : <
:
7 ! % :

+ % 7 !
% % 7 : + %

Ph. Oechslin, Sécurité des Réseaux, 2017 17

Organigrammes: exemples

Ph. Oechslin, Sécurité des Réseaux, 2017 18

Le responsable de la sécurité des systèmes
d’information: RSSI (CISO)

%
" 7 #

Ph. Oechslin, Sécurité des Réseaux, 2017 19

Normes et standards
"1 '2(!!
3 + 4$5

Ph. Oechslin, Sécurité des Réseaux, 2017 20

1.4.3 Normes ISO 270XX

ISO 27000
Vocabulaire
ISO 27008 ISO 27002
Audit de Bonnes
mesures pratiques

ISO 27007 ISO 27003

ISO 27001
Audit du Mise en place
SMSI
SMSI d’un SMSI

ISO 27006 ISO 27004

Certification Indicateurs
d’un SMSI et mesure
ISO 27005
Gestion des
risques

Ph. Oechslin, Sécurité des Réseaux, 2017 21

ISO 27001
"1 '2(( <

" % ! # ! #
"9" /
"9" < , % "9"
9: + "1 D((
%

Ph. Oechslin, Sécurité des Réseaux, 2017 22

ISO 27001
, <
%
& %
& %

<

& %
Ph. Oechslin, Sécurité des Réseaux, 2017 23
Modèle PDCA

Act
Plan
Maintenir et
Etablir le
Parties prenantes

améliorer

Parties prenantes
SMSI
le SMSI

Exigences Confiance

Do
Check
Mettre en
Réviser le
place
SMSI
le SMSI

Ph. Oechslin, Sécurité des Réseaux, 2017 24

ISO 27002
"1 '2(('<

B %
C ?
%
?
% <

Ph. Oechslin, Sécurité des Réseaux, 2017 25

ISO 27002
./
# !
E/ 1 %
1 # #
2/
# % %
6/ " ! +
B # #%
D/ " +,
F #

Ph. Oechslin, Sécurité des Réseaux, 2017 26

ISO 27002
(/ !
# # # % #
# # !#
# + % #
#

/ ?
! # #
# ? # ? 1"# ?
! % #

'/ B #
! # % #
, + # % + , #
#
Ph. Oechslin, Sécurité des Réseaux, 2017 27
ISO 27002
/

" #

)/

./ %
! # %
# % +

Ph. Oechslin, Sécurité des Réseaux, 2017 28

ISO 27002
<
<

3 ! <

B +
B <
+

Ph. Oechslin, Sécurité des Réseaux, 2017 29

ISO 27002: Exemple
10.4 Protection contre les codes malveillant et mobile

Objectif: protéger l’intégrité des logiciels et de l’information.

Des précautions sont requises pour prévenir et détecter

l’introduction de code malveillant et de code mobile non autorisé.

Les logiciels et les moyens de traitement de l’information sont

vulnérables à l’introduction de code malveillant comme les virus
informatiques, les vers de réseau, les chevaux de Troie et les
bombes logiques. Il convient d’informer les utilisateurs des dangers
des codes malveillants. Il convient que les responsables
introduisent des mesures, le cas échéant, pour prévenir, détecter et
supprimer les codes malveillants et contrôler le code mobile.

Ph. Oechslin, Sécurité des Réseaux, 2017 30

1.4.4 IT Grundschutz Kataloge
B %G
" + + % + @ ===/ /
<C ,
,#
+ 4

7 7 ,
7 %

Ph. Oechslin, Sécurité des Réseaux, 2017 31

Contenu (v.13, 2013)
E'
9
C & % # #A
9 1 # # ? #A
+
+ # # #A
B + @ # #%
)))
% H # % #
1 / # # //
#% #
9 # %

Ph. Oechslin, Sécurité des Réseaux, 2017 32

Contenu
7 D
+

% # , # !# #

9 +
, 7 %

Ph. Oechslin, Sécurité des Réseaux, 2017 33

Ph. Oechslin, Sécurité des Réseaux, 2017 34
Exemple d'une menace

T 5.57 Network analysis tools

If information transmitted in the network segment is not encrypted,
then it can be read as plain text with the help of network analysis
tools or "sniffers". It must be noted that these sniffer programs are
not always intended for use as "hacking software" since many
products used to manage networks include such a function.

Ph. Oechslin, Sécurité des Réseaux, 2017 35

 Exemple d'une mesure
S 5.66 Use of TLS/SSL
Initiation responsibility: IT Security Officer, Head of IT
Implementation responsibility: User, Administrator
The most commonly used security protocol for web usage is the Transport Layer
Security/Secure Socket Layer (TLS/SSL). SSL was developed by Netscape. Newer versions
are referred to as TLS and have been standardised in various RFCs. TLS/SSL is supported by
all current browsers.
TLS/SSL can be used to secure connections in the following manner:
• by encrypting the contents of the connection,
• by checking the transmitted data for completeness and correctness,
• by checking the identity of the server, and
• by optionally checking the identity of the client.
TLS/SSL establishes a connection between the user's browser and the provider's server that is
then used to initially exchange the certificates with the public keys. An asymmetric encryption
method is then used to securely exchange a symmetric key. A symmetric method is then used
to encrypt the actual data transmission, because these methods can encrypt large amounts of
data quickly. A different symmetric key to be used as a session key is negotiated for every
transaction, and this key is then used to encrypt the connection.
Ph. Oechslin, Sécurité des Réseaux, 2017 36
 Exemple d'une mesure, suite
S 5.66 Use of TLS/SSL
Review questions:
• Do the server and/or client products used support the use of a secure version of TLS/SSL?
• Has it been ensured that the clients and servers negotiate cryptographic algorithms and key
lengths conforming to the current state of the art and meeting the security requirements of
the organisation?
• Is the security policy of the particular certificate authority checked before security-critical
information is transmitted using a TLS/SSL-protected connection?
• Is adequate protection against malware and unauthorised active content also guaranteed

Ph. Oechslin, Sécurité des Réseaux, 2017 37

Catalogues: exemple d'un élément
I = 2
+ <JJ===/ / / J J3+ J3 + 4J 3 + 45
J + JK J J ( J ( ' '/+

<
+ <JJ / = / / / J " J 3 "5 J 3$ "5$ $ $ $
K D)(/ %L' .E9

Ph. Oechslin, Sécurité des Réseaux, 2017 38

Grundschutz Kataloge: discussion
3 + !
<

%
& &
+

Ph. Oechslin, Sécurité des Réseaux, 2017 39

1.4.5 Critères communs (ISO 15408)
, 7 "B
<
" %
, %
B % %
,
M <

Ph. Oechslin, Sécurité des Réseaux, 2017 40

CC: concepts
! , !
! % < %
!/ + % %
! < %
7 % #
%% %

%
7 & %
% = $ # $

Ph. Oechslin, Sécurité des Réseaux, 2017 41

Exigences fonctionelles
C
B
, +

% +
" ,9
,
% + ,%
4
", B
3 +J +

Ph. Oechslin, Sécurité des Réseaux, 2017 42

Exigences d’assurance
7 %
% <
% 9
, 1

% , "
3
8 ,B

Ph. Oechslin, Sécurité des Réseaux, 2017 43

CC: Niveaux d'assurance
: % !
7 <
B <C ,
B , % %
%
3 %

B '< " ,
NB , % +
N
N + +

Ph. Oechslin, Sécurité des Réseaux, 2017 44

CC: Niveaux d'assurances
B <9 + , > + @
N
N ?
B)< 9 + , # > =
N % %
N %
N
N
N %
B .< " % , >
B E< " % , % >
B 2< C , % >

Ph. Oechslin, Sécurité des Réseaux, 2017 45

CC: Exemples de produits
B )<
" " ! " '
M ! 2/
9"$I = (# " '( ' '
C. C =
9 % "O " '( E /(/)(( /( " @
1 '
B .
9 ? 3 " $" $('/ , + /(/

"
B E
, , 8 / /! E(' , 8

Ph. Oechslin, Sécurité des Réseaux, 2017 46

CC: Public cible

% -

+ ,

&
!/
! %

Ph. Oechslin, Sécurité des Réseaux, 2017 47

Comparaison
"1 '2(!!<
< # %
+
<

Ph. Oechslin, Sécurité des Réseaux, 2017 48