Vous êtes sur la page 1sur 80

État de l’art de la

sécurité informatique
Introduction

Auteurs :
Stéphan GUIDARINI – Consultant Senior
Sébastien DESSE – Expert Réseaux et Sécurité
Novembre – Décembre 2005 1
Version 1.01
Présentation
 Intervenants
 Partie théorique :
 Stéphan GUIDARINI - STEDIA Consulting
Consultant Infrastructure et Sécurité
 Ancien élève du DESS Réseaux & Télécoms
 Partie pratique :
 Sébastien DESSE - ITSEC
 Ingénieur Réseaux et Sécurité
 Membre fondateur du GREPSSI
Groupe de Réflexion et d’Echange sur les
Problématiques liées à la Sécurité des Systèmes

Novembre – Décembre 2005 2


Version 1.01
Programme

Novembre – Décembre 2005 3


Version 1.01
Programme – Partie théorique
 6 sessions théoriques
 Session du 31/10/2005
 Introduction à la sécurité informatique
 Session du 07/11/2005
 Sécurité des réseaux (1er partie)
 21/11/2005
 Sécurité des réseaux (2ème partie)
 28/11/2005
 Sécurité des contenus et échanges
 05/12/2005
 Sécurité des accès
 12/12/2005
 Sécurité des systèmes et services et conclusion

Novembre – Décembre 2005 4


Version 1.01
Sommaire - Introduction
 Introduction
 Qu’est ce que la sécurité ?
 Quoi protéger ?
 Pourquoi ?
 Contre qui ?
 Qui croire ?
 Comment protéger ?
 La politique de sécurité.

Novembre – Décembre 2005 5


Version 1.01
Qu’est ce que la sécurité ?
 La sécurité recouvre l'ensemble de
techniques informatiques permettant de
réduire au maximum les chances de fuites
d'information, de modification de
données ou de détérioration des services.
 Elle consiste à un très grand nombre de
méthodes, de technologies,
d'architectures permettant d'atteindre un
certain niveau de protection.
Novembre – Décembre 2005 6
Version 1.01
Qu’est ce que la sécurité (2) ?
 "Sécuriser" consiste à utiliser une ou plusieurs
de ces techniques dans le but d'élever le niveau
de sécurité d'un système ou d'une architecture.

 La menace représente le type d'action susceptible de nuire


dans l'absolu
 La vulnérabilité représente le niveau d'exposition face à la
menace dans un contexte particulier.
 Enfin la contre-mesure est l'ensemble des actions mises en
oeuvre en prévention de la menace.

Novembre – Décembre 2005 7


Version 1.01
Quoi protéger ?
 L’« Information » au sens large.
Voix et Vidéo

Informations Sécurité des


Non
numérisées systèmes d’information
Quelle que soit la
forme prise par
Sécurité des
Archives l’information ou quels
Réseaux et échanges Sécurité des
que soient les moyens
systèmes
par lesquels elle est
transmise ou stockée,
Sécurité juridique Sécurité des il faut qu’elle soit
développements toujours protégée de
manière appropriée.
LA SECURITE DE L’INFORMATION

Novembre – Décembre 2005 Seulement 40 à 50% des informations nécessaires pour faire fonctionner une
8
entreprise sont enregistrées sur des supports électroniques
Version 1.01
Quoi protéger (2) ?
 Le triptyque DIC :
 Disponibilité.
 Garantir que les utilisateurs habilités ont accès à
l’information et aux ressources associées au moment
voulu (pas d’accès non autorisé)
 Intégrité.
 Sauvegarder l’exactitude et la fidélité de l’information et
des méthodes de traitement des données (pas de
modification non autorisée).
 Confidentialité
 Garantir que seules les personnes habilitées peuvent
accéder à l’information (pas de divulgation non
autorisée).

Novembre – Décembre 2005 9


Version 1.01
Quoi protéger (3) ?
 Les actifs.
 Les actifs sont caractérisés par leur type
et surtout par leur valeur
Actifs d’informations Actifs physiques

Fichiers de données, bases de données Serveurs informatiques, PC, portables,


Procédures et manuels utilisateurs, Matériels réseaux, PABX, unités de
archives. climatisation.

Actifs applicatifs Actifs liés à la fourniture de


services
Progiciels, logiciels spécifiques,
Systèmes d’exploitation, outils de Services généraux (alimentation
développement, utilitaires. Électrique, climatisation, etc…)…

Novembre – Décembre 2005 10


Version 1.01
Pourquoi protéger ?
 L’information est une ressource stratégique, une matière
première, elle est un atout pour celui qui la possède et
donc attise souvent les convoitises
 Les S.I. facilitent l’accès à l’information
 Ils gèrent de grandes quantités d’information et peuvent la rende
accessible depuis n’importe quel point du globe
 La destruction d’un S.I. peut permettre d’anéantir une
entité de manière anonyme et sans faire un seul mort
 La loi, la réglementation et l’éthique seront toujours en
retard sur la technique
 Les individus se comportent rarement comme on l’attend
 Le comportement d’un individu confronté à des situations
inhabituelles et critiques est imprévisible

Novembre – Décembre 2005 11


Version 1.01
Pourquoi protéger?
 Les conséquence à retenir
 Vol d’informations et du savoir faire
 Dans un contexte de haute technologie notamment
 Atteinte à l’image de marque
 NASA, e-bay, Wanadoo, RSA, …
 Indisponibilité du service
 e-business, …
 Perte de temps et de moyen humains
 Remise en service, recherche des dégradations
 Tache TRES difficile, peut nécessiter des moyens énormes
 Pertes financières !
 Modification des montants de facture …
 Perte d’exploitation
 Erreurs de traitement
Novembre – Décembre 2005 12
Version 1.01
Contre qui ?
 Les menaces
 Les différents types de pirates
 Les différentes arnaques et attaques
 Les accidents et inconsciences

Novembre – Décembre 2005 13


Version 1.01
La menace - Définitions
 « Violation potentielle de la sécurité » - ISO-7498-2
 Menace accidentelle
 Menace d’un dommage non intentionnel envers le SI
 Catastrophe naturelle, erreur d’exploitation, pannes
 Menace intentionnelle ou délibérée
 Par opposition à la précédente, elle est le fait d’un acte délibéré
 Menace active
 Menace de modification non autorisée et délibérée de l’état du
système
 Dommage ou altération du SI
 Menace Passive
 Menace de divulgation non autorisée des informations, sans que
l’état du SI soit modifié
 Écoutes, lecture de fichiers, …
 Menace Physique
 Menace l’existence ou l’état physique du SI
 Sabotage, incendie volontaire, vol, …
Novembre – Décembre 2005 14
Version 1.01
Catégories de menaces
intentionnelles
 L’espionnage
 Obtention d’informations
 Le vol
 Obtention d’informations ou de ressources
 La perturbation
 Affaiblir le S.I.
 Le sabotage
 Mise hors service du S.I.
 Le chantage
 Gain financier, menace de sabotage, …
 La fraude physique (récupération de bandes, listings, …)
 Obtention d’informations
 Les accès illégitimes (usurpation d’identité)
 Obtention d’informations

Novembre – Décembre 2005 15


Version 1.01
Origines / Attaquants (1)
 Accidents
 Type de menace
 Menaces accidentelles (cf. définition)
 Type d’attaquants
 La nature !
 Incendies, Foudre, Inondations, etc…
 Les fournisseurs
 EDF, Fournisseurs de connectivité, Fournisseurs de
matériels et de logiciels, …
 Agresseurs internes (La majorité des cas)
 Inconsciences et accidents (A ne pas négliger !)
 Provoqués par l’inattention ou le manque de
formation des administrateurs ou des utilisateurs
 Hors du cadre de cette présentation
Novembre – Décembre 2005 16
Version 1.01
Origines / Attaquants (2)
 Menaces à caractère stratégiques
 Type de menace
 Menace intentionnelle active, passive et physique
 Pour un état
 Le secret défense et la sûreté de l’état
 Le patrimoine scientifique, technique, économique, diplomatique
 La disponibilité des SI et le fonctionnement des institutions
 Pour l’entreprise
 Informations concernant ses objectifs et son fonctionnement
 Les clients, procédés de fabrication, recherche et développement
 Catégories de menace
 Espionnage, vol, perturbation, sabotage, fraude physique, accès
illégitimes …
 Type d’attaquants
Espions
 Particuliers (rare), Entreprises, Gouvernements
Terroristes
Novembre – Décembre 2005 17
Version 1.01
Origines / Attaquants (3)
 Menace à caractère idéologique
 Type de menace
 Menace intentionnelle active, passive et physique
 Le combat pour les idées est incessant et peut être le moteur
d’actes les plus extrêmes
 Idéologie politique, raciale, religieuse, économique, …
 Catégorie de menace
 Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accès illégitimes, …
 Type d’attaquants
 Militants
 Vandales
 Terroristes

Novembre – Décembre 2005 18


Version 1.01
Origines / Attaquants (4)
 Menace à caractère terroriste
 Type de menace
 Menace intentionnelle active, passive et physique
 Actions concourant à déstabiliser l’ordre établi
 A caractère violant : destruction
 A caractère insidieux : désinformation, détournements
 Catégorie de menace
 Espionnage, vol, perturbation, sabotage,
chantage, fraude physique, accès illégitimes, …
 Type d’attaquants
 Terroristes

Novembre – Décembre 2005 19


Version 1.01
Origines / Attaquants (5)
 Menace à caractère cupide
 Type de menace
 Menace intentionnelle active, passive et physique
 Gain pour l’attaquant
 Financier, technologique, …
 Pertes pour la victime
 Entraînant un gain pour l’agresseur : parts de marché, déstabilisation
du concurrent, …
 Catégorie de menace
 Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accès illégitimes, …
 Type d’attaquant
 Espions (concurrent ou pour le compte de)
Crime Organisé
 Intervenants
 Ont souvent accès à des informations sensibles, et conservent souvent
des fichiers de configuration, …
Novembre – Décembre 2005 20
Version 1.01
Origines / Attaquants (6)
 Menace à caractère ludique
 Type de menace
 Menace intentionnelle active
 Désir de s’amuser ou d’apprendre
 C’est la prouesse technique qui est mise en avant
 Catégorie de menace
 Vol, perturbation, sabotage, accès illégitimes, …
 Type d’attaquant
 « Joyriders » Généralement appelés
 Vandales Hackers ou Crackers
 Collectionneurs

Novembre – Décembre 2005 21


Version 1.01
Origines / Attaquants (7)
 Menace à caractère vengeur
 Type de menace
 Menace intentionnelle active, passive et physique
 Également un moteur d’actes extrêmes
 Souvent l’expression d’un employé brimé ou licencié qui peut
possédé une très bonne connaissance du SI
 Catégorie de menace
 Vol, perturbation, sabotage, accès illégitimes, …
 Type d’attaquant
 Personnes extérieures en désaccord avec l’entité
 Peur être un client, un fournisseur, un intervenant, …
 Les employés malveillants ou aigris
 Ont souvent une bonne connaissance de l’entreprise
 Utilisateurs dépassant leurs prérogatives
 Administrateurs, informaticiens, …
Novembre – Décembre 2005 22
Version 1.01
Origines / Attaquants (Conclusion)
 Conclusion
 Liste non exhaustive
 La menace peut être composite
 Plusieurs motivations (origines)
 Cupide + Ludique, Idéologique + Terroriste, …
 Plusieurs profils de pirate
 Employé malveillant + Espion, …
 Les Hackers et Crackers monopolisent
l’attention mais ne sont en réalité qu’une
composante de la problématique de sécurité !

Novembre – Décembre 2005 23


Version 1.01
Contre qui ? - Critères
 Comment caractériser les agresseurs ?
 Leurs compétences techniques
 Le temps qu'ils sont prêts à passer pour réussir
 Leurs motivations
 Leurs moyens
 Leurs connaissances préalables de la cible

Novembre – Décembre 2005 24


Version 1.01
Classement

Compétence Temps Motivation

Un hacker / étudiant externe pour le plaisir Forte Fort Moyenne


Un concurrent Forte Faible Forte
Un escroc (enjeu financier) Moyenne Moyen Moyenne
Un opportuniste Faible Faible Faible
Un membre de société de service Forte Faible Faible
Un ancien membre du personnel Moyenne Faible Moyenne
Un membre du personnel Moyenne Faible Faible

Un stagiaire Forte Moyen Faible

Novembre – Décembre 2005 25


Version 1.01
Démarche basique (Cracker)

Collecter les
1 Outils (logiciels)

Attaquer la
2 victime

3 Se vanter

Novembre – Décembre 2005 26


Version 1.01
Démarche intermédiaire

Collecter les
Identifier la
1 Outils et se
cible
documenter

Collecter des
2 informations 4

Attaquer
3,5 la victime
Novembre – Décembre 2005 27
Version 1.01
Démarche expert (Hacker)

Maîtrise des Identifier la


1 concepts et outils cible

Collecter des Développer


2 informations les outils 4

Attaquer
3,5 la victime
Novembre – Décembre 2005 28
Version 1.01
Attaques
 Attaque != Vulnérabilité
 Attaque
 Action de malveillance consistant à tenter de
contourner les fonctions de sécurité d’un SI (ISO)
 Vulnérabilité
 Faiblesse ou faille dans les procédures de
sécurité, les contrôles administratifs, les
contrôles internes d’un système, qui pourrait être
exploitée pour obtenir un accès non autorisé au
SI, à un de ses services, à des informations ou à
la connaissance de leur existence et de permettre
de porter atteinte à la confidentialité, à l’intégrité
et à la disponibilité du SI et de ses informations
Novembre – Décembre 2005 29
Version 1.01
Vulnérabilités
 Dans la conception
 Matériel
 Protocole
 Architecture (Système, Réseau, …)
 Logiciel (OS, application, …)
 Dans l’implémentation
 Matériel
 Protocole
 Architecture (Système, réseau …)
 Logiciel (OS, application, …)
 Configuration, exploitation
 Équipement (Routeurs, Firewalls, Serveur, …)
 Logiciel (OS, application, …)
Novembre – Décembre 2005 30
Version 1.01
Attaques
 Intrusions
 Vandalisme
 Denis de service (DOS)
 Vol d’informations
 Escroqueries

Novembre – Décembre 2005 31


Version 1.01
Attaques (1)
 Intrusions
 Recherche de mots de passe
 Dictionnaire
 Écoute du réseau
 « Brute force »
 Le « Spoofing »
 Les sniffers et scanners
 Les exploits

Novembre – Décembre 2005 32


Version 1.01
Attaques (2)
 Vandalisme
 Destruction de fichiers
 Destruction de systèmes
 Défiguration de site Web

Novembre – Décembre 2005 33


Version 1.01
Attaques (3)
 Denis de service (DOS)
 Bombes logiques (virus)
 Le « flood »
 TCP-SYN Flooding
 Le « Nuke »
 Le « spamming »
 Denis de service distribué (DDOS)
 Amplification des DOS

Novembre – Décembre 2005 34


Version 1.01
Attaques (4)
 Vol d’information
 Suite à une intrusion
 Interception
 Écoute
 Cryptanalyse

Novembre – Décembre 2005 35


Version 1.01
Les principales escroqueries
 L’ingénierie sociale.
 Il s'agit ainsi d'une technique consistant à
obtenir des informations de la part des
utilisateurs par téléphone, courrier
électronique, courrier traditionnel ou
contact direct
 Exemple : Le message vocal du Président de Hewlett-
Packard à son Directeur administratif et financier, où il
évoquait la fusion avec Compaq a été intercepté et
diffusé à travers l’Internet. » - Avril 2002 -

Novembre – Décembre 2005 36


Version 1.01
Les principales escroqueries
 Le scam.
 Pratique frauduleuse consistant à
extorquer des fonds à des internautes en
leur faisant miroiter une somme d'argent
dont ils pourraient toucher un
pourcentage.

Novembre – Décembre 2005 37


Version 1.01
Les principales escroqueries (2)
 Le phreaking.
 Contraction des mots anglais phone (téléphone)
et freak (monstre) désignant le piratage de lignes
téléphoniques
 Technique frauduleuse permettant l’utilisation gratuite
de ressources téléphoniques depuis l’extérieur.
 Exemple : Le piratage du standard téléphonique de la
Cité des Congrès de Nantes a duré trois journées : le
montant de la facture de téléphone s’est élevé de 2 000 €
à 70 000 €. » - La Tribune – février 2002 -

Novembre – Décembre 2005 38


Version 1.01
Les principales escroqueries (3)
 Le phising.
 Contraction des mots anglais «fishing»,
en français pêche, et «phreaking»
 Technique frauduleuse utilisée par les pirates
informatiques pour récupérer des informations
(généralement bancaires) auprès d'internautes.
 Technique d'«ingénierie sociale» c'est-à-dire consistant
à exploiter non pas une faille informatique mais la «faille
humaine» en dupant les internautes par le biais d'un
courrier électronique semblant provenir d'une entreprise
de confiance.

Novembre – Décembre 2005 39


Version 1.01
Les principales escroqueries (4)
 Le Hoax ou canular.
 Courrier électronique propageant une fausse information et
poussant le destinataire à diffuser la fausse nouvelle à tous
ses proches ou collègues.
 Les conséquences
 L'engorgement des réseaux et des serveurs de messagerie,
 Une désinformation, c'est-à-dire faire admettre à de
nombreuses personnes de faux concepts ou véhiculer de
fausses rumeurs,
La perte de temps, tant pour ceux qui lisent l'information, que
pour ceux qui la relaye ;
 La dégradation de l'image d'une personne ou bien d'une
entreprise,
 L'incrédulité : à force de recevoir de fausses alertes les
usagers du réseau risquent de ne plus croire aux vraies.

Novembre – Décembre 2005 40


Version 1.01
Les virus
 Programme informatique situé dans le corps
d'un autre, qui, lorsqu'on l'exécute, se charge
en mémoire et exécute les instructions que
son auteur a programmé
 Différents types.
 Les vers
 Les troyens
 Les bombes logiques
 Les spywares

Novembre – Décembre 2005 41


Version 1.01
Les virus (2)
 Les vers.
 Programme qui peut s'auto-reproduire et se
déplacer à travers un réseau en utilisant les
mécanismes réseau, sans avoir réellement besoin
d'un support physique ou logique pour se
propager
 Les vers actuels se propagent principalement
grâce à la messagerie grâce à des fichiers
attachés contenant des instructions permettant
de récupérer l'ensemble des adresses de courrier
contenues dans le carnet d'adresse et en
envoyant des copies d'eux-même à tous ces
destinataires.

Novembre – Décembre 2005 42


Version 1.01
Les virus (3)
 Les chevaux de Troie.
 Programme (en anglais trojan horse) caché
dans un autre qui exécute des commandes
sournoises, et qui généralement donne un
accès à la machine sur laquelle il est
exécuté en ouvrant une porte dérobée (en
anglais backdoor
 Vol de mots de passe
 Copie de données
 Exécution d’action nuisible

Novembre – Décembre 2005 43


Version 1.01
Les virus (4)
 Les bombes.
 Dispositifs programmés dont le
déclenchement s'effectue à un moment
déterminé en exploitant la date du système,
le lancement d'une commande, ou
n'importe quel appel au système
 Généralement utilisées dans le but de
créer un déni de service
 Exemple la bombe logique Tchernobyl s'est
activée le 26 avril 1999

Novembre – Décembre 2005 44


Version 1.01
Les virus (5)
 Les spyware ou espiogiciels.
 Programme chargé de recueillir des informations
sur l'utilisateur de l'ordinateur sur lequel il est
installé (on l'appelle donc parfois mouchard) afin
de les envoyer à la société qui le diffuse pour lui
permettre de dresser le profil des internautes
(profiling).
 Keyloggers : Dispositif chargé d'enregistrer les
frappes de touches du clavier et de les enregistrer,
à l'insu de l'utilisateur. Il s'agit donc d'un dispositif
d'espionnage.

Novembre – Décembre 2005 45


Version 1.01
Taxinomie d’un incident
 Taxinomie (ou Taxonomie)
 Classification d’éléments selon des taxons
 Taxon (biologie)
 Unité formelle représentée par un groupe
d’organismes, à chaque niveau de la
classification.

Novembre – Décembre 2005 46


Version 1.01
Incident
Attaque
Évènement

Attaquant Outil Vulnérabilité Action Cible Résultat Objectif

Attaque Compte Accès Challenge,


Terroriste Conception Sonde
physique utilisateur illégitime distraction
Échange Implémentation Divulgation Gain
Espion d’information Scanne Processus
d’information financier
Crime Commande Configuration Corruption Gain
utilisateur ‘Flood’ Donnée
organisé d’information stratégique
Script, Denis de
Militant programme Authentifie Ordinateur Destruction
service
Vol de
Hacker Toolkit Court-circuite Réseau Vengeance
ressource
Agent Composant Destruction
Employé ‘Spoof’
autonome du SI de ressource
Cracker, Outil
Vol
vandales… distribué
Modifie,
Trappe
copie, efface

Détruit
Novembre – Décembre 2005 47
Version 1.01
Qui croire ?
 Personne ! (méthode paranoïaque)
 Tout le monde n’est pas mal intentionné
 Il existe des gens mal intentionnés
 Il existe des gens bien intentionnés mais
irresponsables (Microsoft, ebay,…)
 A qui fait-on confiance ?
 Éditeurs
 Partenaires
 Intervenants (SSII, intégrateurs, consultants, …)
 S’assurer qu’ils sont aussi rigoureux que vous
sur la sécurité
Novembre – Décembre 2005 48
Version 1.01
Comment protéger ?
 Pas de sécurité
 Miser sur la discrétion
 Sécurité des systèmes
 Sécurité du réseau
 Sensibiliser et former le personnel
 Aucun modèle de sécurité ne peut résoudre
tous les problèmes
 Définir une politique de sécurité
 Définir une démarche sécurité

Novembre – Décembre 2005 49


Version 1.01
La politique de sécurité ?
 C’est un dispositif global dont la mise en œuvre
assure que l’information peut être partagée d’une
façon qui garantit un niveau approprié de protection
de cette information et des actifs liés.
 Toutes méthodes, techniques et outils concourant à
la protection l’information contre un large éventail
de menaces afin :
 De garantir la continuité d’activité de l’entreprise,
 De réduire les dommages éventuels sur l’activité de
l’entreprise,
 De maximiser le retour sur investissement des Systèmes
d’Information.

Novembre – Décembre 2005 50


Version 1.01
La politique de sécurité (2).
 Les domaines.

Novembre – Décembre 2005 51


Version 1.01
La politique de sécurité (3).
 La démarche type.

Novembre – Décembre 2005 52


Version 1.01
La politique de sécurité (4).
 Les différentes approches.

Novembre – Décembre 2005 53


Version 1.01
La politique de sécurité (5).
 Les normes ISO concernant la sécurité.

Novembre – Décembre 2005 54


Version 1.01
Les normes ISO.
 La norme ISO/IEC 15408
 Certification internationale relative à la sécurité des
produits de technologies de l’information.
 A destination des industriels du secteur des T.I.C avant
tout: Editeurs de logiciels, constructeurs d’équipements…
 Un catalogue des exigences fonctionnelles et d’assurance
de sécurité,
 Éléments pour la spécification des exigences de sécurité
(cible de sécurité, profil de protection),
 La description des 7 niveaux d’assurance de l’évaluation
(EAL),

Novembre – Décembre 2005 55


Version 1.01
Les normes ISO (2).
 La norme ISO 13335.
 ISO TR 13335: Guidelines for the management of IT
Security.
 Partie 1: Concepts et modèles pour
la sécurité des T.I,
 Partie 2: Management et planification
de la sécurité des T.I,
 Partie 3: Techniques pour la gestion
de la sécurité des T.I,
 Partie 4: Sélection de mesures de
sécurité,
 Partie 5: Guide pour la gestion de la
Sécurité du réseau.

Novembre – Décembre 2005 56


Version 1.01
Les normes ISO (2).
 La norme ISO 13335.
 ISO TR 13335: Guidelines for the management of IT
Security.
 Partie 1: Concepts et modèles pour
la sécurité des T.I,
 Partie 2: Management et planification
de la sécurité des T.I,
 Partie 3: Techniques pour la gestion
de la sécurité des T.I,
 Partie 4: Sélection de mesures de
sécurité,
 Partie 5: Guide pour la gestion de la
Sécurité du réseau.

Novembre – Décembre 2005 57


Version 1.01
Les normes ISO (3)
 ISO 17799
 Standard international basé sur les bonnes pratiques
de la gestion de la sécurité de l’information,
 Une approche s’appuyant sur la gestion de risques
pour définir une politique, des procédures et des
contrôles appropriés pour gérer ces risques

Novembre – Décembre 2005 58


Version 1.01
Les normes ISO (4)
 Synthèse.
LES NORMES DE SECURITE DE L’INFORMATION AUJOURD’HUI

ISO 17799
SECURITE DE
L’INFORMATI
Introduction
ON
Contrôles 17799

ISO 13335
SECURITE
Modèle de Management DES T.I.C
Risks management
Mesures de sécurité

Novembre – Décembre 2005 59


Version 1.01
La norme ISO 17799 (1)
 ISO 17799 est :
 Une norme internationale structurée dédiée à la
sécurité de l’information,
 Un processus élaboré pour évaluer, implémenter, maintenir
et gérer la sécurité de l’information,
 Une série de contrôles basés sur les bonnes pratiques en
sécurité de l’information,
 Développé par des industriels pour des industriels,
 Pouvant s’appuyer sur la norme IS0 13335: guidelines for
the management of IT Security,
 Un processus équilibré entre sécurité physique, technique,
procédurale et la sécurité du personnel.

Novembre – Décembre 2005 60


Version 1.01
La norme ISO 17799 (2)
 ISO 17799 contient :
 10 chapitres,
 127 objectifs de contrôle classé en 3 familles :
 Organisationnels
 Politique de sécurité,
 Organisation de la sécurité, 10%
 Continuité d’activité
 Fonctionnels
 Réglementation et lois applicables,
 Gestion des ressources humaines,
 Opérationnels 10%
 Sécurité et accès logiques,
 Développement et gestion des évolutions,
 Sécurité et accès physiques,
80%
Novembre – Décembre 2005 61
Version 1.01
La norme ISO 17799 (3)
 Les 10 chapitre de la norme :

Novembre – Décembre 2005 62


Version 1.01
La norme ISO 17799 (4).
Politique de sécurité 1

 L’objectif est, pour la direction, de:


 Exprimer formellement la stratégie de sécurité de l’organisation,
 Communiquer clairement son appui à sa mise en œuvre.

 Ce document soit être approuvé:


 Il doit être révisé et adapté périodiquement en prenant en compte l’efficacité de
ses mesures, le coût et l’impact des contrôles sur l’activité, les effets des
évolutions technologiques.

 La sécurité est une responsabilité partagée par tous les membres de l’équipe de
direction:
 Création d’un comité de direction multifonction dédié pour assurer le pilotage
de la sécurité,
 Définit rôles et responsabilités, les méthodes et procédures et soutient les
initiatives de promotion et de communication interne.
Novembre – Décembre 2005 63
Version 1.01
La norme ISO 17799 (5).
Organisation de la sécurité 2

 L’objectif est de:


 Gérer efficacement la sécurité de l’information dans
l’organisation,

 Maintenir la sécurité des moyens de traitement et des actifs


accédés par des tiers ou des sous-traitants,

 Maintenir la sécurité des informations lorsque la responsabilité


du traitement des informations est externalisée à une autre
organisation.

Novembre – Décembre 2005 64


Version 1.01
La norme ISO 17799 (6).
Classification et contrôle des actifs 3

 L’objectif est de maintenir le niveau de protection adapté à chaque actif


d’information en accord avec la politique de sécurité:
 Tout actif important doit être répertorié et alloué à un
responsable nominatif,
 L’information doit être classifiée en fonction du besoin, de la
priorité et du degré de sécurité.

 Les procédures de classification des informations doivent être définies et


couvrir la manipulation des informations sous forme physique aussi bien que
électronique, et pour les différentes activités de copie, stockage,
transmission et destruction.

Novembre – Décembre 2005 65


Version 1.01
La norme ISO 17799 (7).
Classification et contrôle des actifs 3

 L’objectif est de maintenir le niveau de protection adapté à chaque actif


d’information en accord avec la politique de sécurité:
 Tout actif important doit être répertorié et alloué à un
responsable nominatif,
 L’information doit être classifiée en fonction du besoin, de la
priorité et du degré de sécurité.

 Les procédures de classification des informations doivent être définies et


couvrir la manipulation des informations sous forme physique aussi bien que
électronique, et pour les différentes activités de copie, stockage,
transmission et destruction.

Novembre – Décembre 2005 66


Version 1.01
La norme ISO 17799 (8).
Sécurité
4 liée au
personnel

 Plus de 60% des incidents proviennent de l’intérieur de l’entreprise !

 L’objectif est de:

 Réduire le risque d’erreur, de vol, de fraude ou de mauvais usage des


moyens de traitement,

 S’assurer que les utilisateurs ont été informés des risques et menaces
concernant les informations,

 S’assurer que les utilisateurs sont formés et équipés pour appliquer la


politique de sûreté lors de leurs activités normales,

 Minimiser les dommages en cas d’incident ou de dysfonctionnement,

 Savoir capitaliser sur ces incidents et s’adapter.

Novembre – Décembre 2005 67


Version 1.01
La norme ISO 17799 (8).
5
Sécurité
physique et
de
l’environnement

 L’objectif est de:

 Prévenir les accès non autorisés, les dommages et les


interférences sur les informations, les activités et les locaux de
l’organisation,

 Prévenir la compromission ou le vol des informations ou des


moyens de traitement.

Novembre – Décembre 2005 68


Version 1.01
La norme ISO 17799 (9).
6
Exploitation
et
réseaux

 L’objectif est de:

 Assurer une exploitation correcte et sure des moyens de traitement,

 Minimiser les risques de pannes et leur impact,

 Assurer l’intégrité et la disponibilité des informations, des traitements et


des communications,

 Prévenir les dommages aux actifs et les interruptions de service,

 Prévenir les pertes, les modifications et les utilisations frauduleuses


d’informations échangées entre organisations.

Novembre – Décembre 2005 69


Version 1.01
La norme ISO 17799 (9).
7
Contrôle
d’accès
logiques

 L’objectif est de:

 Gérer et contrôler l’accès aux informations,

 Prévenir les accès non autorisés,

 Assurer la protection des systèmes en réseau,

 Détecter les activités non autorisées,

 Assurer la sécurité des informations lors des accès mobiles ou


distants.

Novembre – Décembre 2005 70


Version 1.01
La norme ISO 17799 (10).

 La politique de contrôle comprend notamment:

 L’enregistrement unique de chaque utilisateur,

 Une procédure écrite de délivrance d’un processus


d’authentification signée du responsable hiérarchique,

 Des services de déconnexion automatique en cas d’inactivité,

 Une politique de révision des mots de passe,

 Une hiérarchisation du niveau d’accès en fonction du degré de


confidentialité des données.

Novembre – Décembre 2005 71


Version 1.01
La norme ISO 17799 (11).
8
Développement
et maintenance
des systèmes

 L’objectif est de:

 Assurer que la sécurité soit incluse dès la phase de conception,

 Prévenir la perte, la modification ou la mauvaise utilisation des


informations hébergées par les systèmes,

 Protéger la confidentialité, l’intégrité et la disponibilité des informations,

 Assurer que les projets et activités de maintenance sont conduits de


manière sûre,

 Maintenir la sécurité des applications (logiciel et données).

Novembre – Décembre 2005 72


Version 1.01
La norme ISO 17799 (12).

Continuité d’activité 9

 L’objectif est de développer la capacité à répondre rapidement aux


interruptions des activités critiques de l’organisation résultant de pannes,
d’incidents, de sinistres ou e catastrophes.
 Une analyse des risques à partir de divers scénarii de sinistre et
une évaluation de la criticité des applications permet d’établir
différents plans de poursuite des opérations depuis le mode
dégradé en cas de dysfonctionnement mineur jusqu’à la reprise
dans un local distant en cas de sinistre grave (incendie, attentat,
grève,…)

Novembre – Décembre 2005 73


Version 1.01
La norme ISO 17799 (13).

 La conformité se décline en 3 volets:

 Le respect des lois et réglementations: Licences logicielles,


propriété intellectuelle, règles de manipulation des fichiers
contenant des informations touchant la confidentialité des
personnes, 10

Conformité
 La conformité des procédures en place au regard de la
politique de sécurité de l’organisation, c’est à dire des
dispositifs mis en place pour assurer les objectifs de sécurité
définis par la Direction Générale,

 L’efficacité des dispositifs de traçabilité et de suivi des


procédures en place: Journaux d’activité, pistes d’audit,
enregistrement de transactions,…

Novembre – Décembre 2005 74


Version 1.01
Les méthodes de sécurité.
 Les plus connues en France sont MEHARI (Clusif),
EBIOS (DCSSI) et MARION (Clusif).
 Ces méthodes ont leurs propres référentiels qui ne
couvrent pas toujours strictement le spectre de
l’ISO 17799,
 Il peut par conséquent être nécessaire de
retravailler les bases de connaissance de ces
méthodes pour obtenir une couverture complète de
la sécurité de l’Information,
 La commission « méthodes » du Clusif a corrélé la
base de connaissance de MEHARI afin de couvrir
l’ensemble des mesures de ISO 17799.
Novembre – Décembre 2005 75
Version 1.01
Système de Management de la
Sécurité de l’Information.
 Management System : Système pour établir la politique
et les objectifs et pour atteindre ces objectifs (ISO guide
72).
 Les systèmes de management sont utilisés dans les
entreprises pour développer leurs politiques et les mettre
en application à travers des objectifs et des cibles en
utilisant:
 Une organisation dans l’entreprise,
 Des processus et des ressources associés,
 Des contrôles et une méthode d’évaluation,
 Des processus de révision pour garantir que les anomalies sont
corrigées et mettre en œuvre des axes d’amélioration le cas échéant.

Novembre – Décembre 2005 76


Version 1.01
Système de Management de la
Sécurité de l’Information (2).
 Certaines organisations commencent à aborder la
sécurité de l’information comme un système
intégré appelé un Information System Management
System (ISMS).
 Mise en œuvre d’un vrai processus d’analyse,
d’élaboration de contrôle et d’évolution d’une
politique de sécurité en appliquant un concept bien
connu en qualité, le modèle PDCA.

Novembre – Décembre 2005 77


Version 1.01
Système de Management de la
Sécurité de l’Information (3).
 Modèle PDCA.

MODELE PDCA
PLAN: Etablir les objectifs
conformément aux risques et aux
exigences de sécurité,
DO: Implémenter et opérer les
fonctionnalités et procédures,
CHECK: Gérer les incidents, les erreurs,
auditer,
ACT: Faire évoluer la politique et les
moyens conformément aux besoins.

Novembre – Décembre 2005 78


Version 1.01
Système de Management de la
Sécurité de l’Information (4).
 Les normes pour construire un SMSI.

Novembre – Décembre 2005 79


Version 1.01
La certification BS7799-2
 A l’instar de ISO 9000 pour le management de la qualité,
BS 7799-2 est la seule norme et certification qui existe
actuellement pour les ISMS.
 Définit les conditions pour l’établissement, la mise en
œuvre et la documentation d’un ISMS,
 Définit les exigences de contrôles pour la sécurité devant être mis en
application selon les besoins de différents organismes,
 Elle se compose de 10 chapitres de 127 contrôles,
Nécessite 2 étapes (audit de la documentation puis audit de
l’implémentation),
 En France, le COFRAC (Comité Français d’Accréditation et de
Certification) peut valider un schéma de certification BS 7799-2.

Novembre – Décembre 2005 80


Version 1.01