More Related Content Similar to Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web (20) Politique de sécurité pour les entreprises : de l'analyse de risque vers la sécurité web1. Sécurité Informatique
Politique de sécurité, de l’Analyse des risques
vers la Sécurité Web
Mr Maddouri Faouzi
Universitaire [INSAT]
Auditeur Certifié ANSI
Consultant Expert
Faouzi.Maddouri@yahoo.frFaouzi.Maddouri@yahoo.fr
2. Mr Maddouri Faouzi - Copyright 2016 © 2
Objectifs
Maîtrise de la démarche (Enjeux)
Audit de sécurité
Normes
Avoir une idée sur les outils logiciels
Avoir une idée sur les architectures
sécurisées et leurs composants
3. Mr Maddouri Faouzi - Copyright 2016 © 3
Planning
Durée : 3h
#Séances : 3
Pauses : 2x15mn
Support : papier + documents numériques
Méthodologie:
Notions et concepts
Ateliers pratiques
Pré évaluation
Post-évaluation
4. Mr Maddouri Faouzi - Copyright 2016 © 4
Plan
Définitions
SI (D+T+E+H)
SII
Sécurité, ISMS, RIAMS,
RSSI
ROSI, AO, AP, AT, AR
Menaces, Hacking,
cracking
Aspects de la sécurité et
services
Confidentialité
Intégrité
Disponibilité
Non Répudiation
Solutions Techniques:
Chiffrement
Signature Numérique
Identif./Authentification
Solutions de Haute
disponibilité
Redondance, Clustériser
VPN
Solutions Organisationnelles
Audit
Analyse des risques
Veuille et surveillance
5. Mr Maddouri Faouzi - Copyright 2016 © 5
Plan (suite)
Processus de
sécurisation
Audit
Implémentation
Analyse des
risques
Modèle PDCA
Planifier
Implémenter
Vérifier
Agir
Nécessités/Enjeux :
vérification continue
Approbation
externe (audit)
Référentiels,
standards et
normes
Méthodologies
6. Mr Maddouri Faouzi - Copyright 2016 © 6
Plan (suite)
Types d’audit
Interne
Externe
Tierce partie
(accréditation)
Niveaux d’audit
Organisationnel
Physique
Logique (technique)
Méthodologies
d’audit
MEHARI
MARION
eBIOS
GAE
Méthodologies
d’analyse de risques
SASA
7. Mr Maddouri Faouzi - Copyright 2016 © 7
Plan (suite)
Cadre juridique
Loi N° 5-2004, Fév 2004
Décret N°2004-1248, 1249 et
1250 du 25-Mai-2004 :
Organisation de l'ANSI,Organisation de l'ANSI,
Conditions de CertificationConditions de Certification
des Auditeurs, et Systèmesdes Auditeurs, et Systèmes
Informatiques audiblesInformatiques audibles
Décret N°97-389 du 21-
Fevrier-1997 modifié et
N°1226 et 1227 du 31-Mai-
2004 : Organisation etOrganisation et
fonctionnement desfonctionnement des
archives nationalesarchives nationales
Loi organique N°2004-63 du
27-Juillet-2004 : ProtectionProtection
des données a caractèredes données a caractère
personnelpersonnel
Normes
ISO 19011
BS 7799BS 7799
ISO 17799
ISO 27001
QuestionnaireQuestionnaire
8. Mr Maddouri Faouzi - Copyright 2016 © 8
Plan (suite - Sécurité logique)
MenacesMenaces
Codes malveillants :
Virus, Vers
Bombes logiques
Mochards/espiogiciels
Cheval de Troi-troyen (back-
door)
Spam
Adwar
Attaques :
Intrusions
Deny Of Services (DoS)
Usurpation
Interposition
Empoisonnement(spoofing)
Espionnage/ecoute(sniffing)
Sources d’attaquesSources d’attaques
ExterneExterne
InterneInterne
VulnérabilitésVulnérabilités
Défaillance IIS
TCP three-way
handshake
TCP Flood attack
NFS i-noeud attack
DoS et DDoS
9. Mr Maddouri Faouzi - Copyright 2016 © 9
Plan (suite - Sécurité logique)
Architectures de sécurité
DMZ
Intranet
Extranet
ZA
Réseau périphérique
Réseau Partenaire
Topologies Bastion
Cache et NAT/PAT
SNAT et DNAT
SPAT et DPAT
ACL
VLAN’s
Proxy, Reverse-Proxy,
pot de miel (honey Pots)
Firewalls
Protocolaires/contenu
Matériel/Logiciel
Sondes(IDS,HIDS,NIDS)
Analyseurs Antivirus
Supervision et analyse
réseau et logs système
Mises à Jours AntiV+S.E.
10. Mr Maddouri Faouzi - Copyright 2016 © 10
Conclusion
Pas de sécurité absolue
Pas sécurité définitive
La sécurité est coûteuse
Cibler l’investissement de sécurité
Minimiser l’impact (durée+dommages)
Le SI est en changement continue
Les Menaces évoluent
Les failles/vulnérabilités existent-se multiplient
La Sécurité est un travail continue
Nécessité d’un système de suivie : ISMS+RIAMS
11. Mr Maddouri Faouzi - Copyright 2016 © 11
Bibliographie-Webographie
Agence Tunisienne de la
sécurité informatique
www.ansi.tn
Club de la Sécurité de
l'Information Français
www.clusif.asso.fr
Club des développeurs
francophones
www.developpez.com
Cryptographie Théorieet
pratique, Douglas
STINSON,Int. THOMSON Pub.
Paris, 1996.
Cryptography in C and
C++, Michael
Welschenbach,Apress,
Berkely, 2001.
Sécurité Internet pour
l’entreprise Pare-feux et
au-delà, Terry Bernstein,
Anish B. Bhimani, Eugene
Schultz & Carol A. Siegel,
WILEY. Paris, 1997.