Sécurité Internet

3,013 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,013
On SlideShare
0
From Embeds
0
Number of Embeds
224
Actions
Shares
0
Downloads
227
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Sécurité Internet

  1. 1. Audit sécurité Sommaire La gestion de la sécurité vue par un standard e-SCM de Sourcing Gestion des risques – Définition ISO Sécurité (Le SI au cœur du Business) Typologie des incidents de sécurité Pratiques de nature à augmenter les risques Budget – Priorisation Le processus Analyse des risques (cartographie) Au-delà de l’audit, ProximIT apporte de l’expertise sur : o PRA : Plan de reprise d’activité o Tableau de bord sécurité o Votre charte Informatique o La CNIL
  2. 2. Audit sécurité e-SCMLa gestion de la sécurité vue par un standard e-SCM de Sourcing(eSourcing Capability Model for Client Organizations) / Outils d’évaluation etdamélioration des aptitudes des clients à gérer les relations fournisseurs deservices (CL) / Idem versus fournisseur (SP) pour Service Provider  Identifier et gérer activement les menaces qui pèsent sur une entreprise (ou autre) de façon à lui permettre d’être en capacité d’atteindre ses objectifs et ses exigences Business  Une attention particulière doit être portée à :  L’intégrité (la donnée doit être garantie)  La confidentialité (l’accès des données aux bonnes personnes)  La disponibilité (infrastructure / Service / continuité)  Pour couvrir ce domaine, il faut :  Avoir une politique de gestion des risques  Gérer les risques liés à l’engagement (contrat)  Sécuriser la prestation  Adopter un plan de reprise d’activité  Se conformer à la réglementation
  3. 3. Audit sécuritéGestion des risques – Définition ISOLa gestion des risques est définie par l’ISO comme l’ensemble des activitéscoordonnées visant à diriger et piloter un organisme vis-à-vis du risque.On dégage en général trois finalités à la gestion des risques pour les SI : 1. Améliorer la sécurisation des systèmes d’information. 2. Justifier le budget alloué à la sécurisation du système d’information. 3. Prouver la crédibilité du système d’information à l’aide des analyses effectuées.On estime qu’il existe plus de 200 méthodes de gestion des risques. Cette multiplicitéentraîne une très grande diversité dans les approches des risques de sécurité.Exemple : EBIOS ou MÉHARI, permet d’apprécier ses besoins intrinsèques desécurité et d’ordonner les priorités de mise en œuvre de plans relatifs
  4. 4. Audit sécurité Liste des normes ISO pour la sécurité de l’informationISO 27000 : Série de normes dédiées à la sécurité de linformation ISO/CEI 27001 : Système de Management de la Sécurité de lInformation (SMSI) — Exigences ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de linformation (anciennement ISO/CEI 17799) ISO/CEI 27003 : Système de Management de la Sécurité de lInformation (SMSI) — Guide dimplémentation ISO/CEI 27004 : Mesure de la gestion de la sécurité de linformation ISO/CEI 27005 : Gestion du risque en sécurité de linformation ISO/CEI 27006 : Exigences pour les organismes réalisant laudit et la certification de Systèmes de Management de la Sécurité de lInformation (SMSI) ISO/CEI 27007 : Guide pour laudit de Systèmes de Management de la Sécurité de lInformation (SMSI). ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de linformation relative à la santé en utilisant lISO/CEI 27002
  5. 5. Audit sécuritéSécurité (Le Business au cœur de l’information) Avec un sentiment de dépendance à linformatique toujours en hausse, les entreprises continuent d’avancer dans la prise en compte de la Sécurité des Systèmes d’Information (SSI). Toutefois, les changements concrets se font à petits pas…Les chiffres cités dans cette présentation sont essentiellement des extraits durapport officiel du Clusif (Club pour la sécurité de l’information français) 2010
  6. 6. Audit sécurité saisie, Exploitatio n du système,… Coupure électricité, eau télécom Indispo système Inondation, tempê teTypologie des incidentsde sécurité (Clusif 2010) Si un risque est avéré (100%), ce n ’est plus un risque mais un problème. Le traitement de la situation est différent. Destruction manuelle de données, déni de service, bombe logique, % des entreprises ayant répondues que ce type d’incident était un « problème » IMPORTANT
  7. 7. Audit sécuritéPratiques de nature àaugmenter les risques
  8. 8. Audit sécuritéBudget - PriorisationBien que de plus en plus conscients des risques liés à la sécurité, la priorité desentreprises dans un contexte économique « compliqué », n’est pas dansl’augmentation du budget associé à la sécurité.Les budgets « stagnent » Priorisation
  9. 9. Audit sécurité« Equation du risque » RISQUE = MENACE * VULNÉRABILITÉ * IMPACTLa gestion des risques se compose de trois blocs interdépendants : l’organisation cible de l’étude, définie par ses assets (ressource ayant de la valeur pour l’entreprise) et ses besoins de sécurité / identification des assets les risques pesant sur les assets les mesures prises ayant pour but de traiter les risques et donc d’assurer un certain niveau de sécurité. Les contrôles sont de deux types : o Sur la menace ou la vulnérabilité, afin de limiter la cause du risque o Sur l’impact, afin de limiter la conséquence du risque.
  10. 10. Audit sécurité Le processus Le processus suivant est habituellement appliqué dans les méthodes pratiques de gestion des risques. • vise à spécifier les Identification besoins en termes de des assets confidentialité, intégrité et disponibilité des assets• Identifier périmètre• Identification des Détermination assets business des objectifs constituant la valeur de l’organisation, Analyse des• puis les assets risques système (cartographie) • le cœur de la Définition des • Ici sont définis les choix démarche de gestion exigences de des risques techniques des solutions de sécurité sécurité • permettra de réduire Sélection des les risques identifiés contrôles Implémentation des contrôles
  11. 11. Audit sécuritéAnalyse des risques (cartographie)Elle a pour finalité l’identification et l’estimation de chaquecomposante du risque (menace/vulnérabilité/impact), afin d’évaluerle risque et d’apprécier son niveau, dans le but de prendre desmesures adéquatesIl y a deux grandes écoles pour l’identification des risques :  soit en réalisant un audit du système et de ses différents acteurs  soit à partir de bases de connaissances prédéfiniesEn pratique, il se révèle difficile de donner des valeurs absolues eton se contente bien souvent d’une échelle de valeurs relatives.
  12. 12. Audit sécurité Analyse des risques ScénariosD’une manière générale, on considèreque : Les risques ayant une occurrence et un impact faible sont négligeables. Les risques ayant une forte occurrence et un impact important ne doivent pas exister, autrement une remise en cause des activités de l’entreprise est nécessaire Les risques ayant une occurrence forte et un impact faible sont acceptés, leur coût est généralement inclus dans les coûts opérationnels de l’organisation (acceptation du risque). Les risques ayant une occurrence faible et un impact lourd sont à transférer. Ils peuvent être couverts par une assurance ou un tiers (transfert du risque). Enfin, les autres risques, en général majoritaires, sont traités au cas par cas et sont au centre du processus de gestion des risques ; l’objectif, étant de diminuer les risques en les rapprochant au maximum de l’origine de l’axe (allègement du risque à l’aide de contrôles).
  13. 13. Audit sécuritéCartographie des risques : Exemple 1 Inondation 2 Vol de matériel 3 Attaque logique 4 Sabotage physique 5 Incendie Perte de services 6 essentiels 7 Panne d’origine interne
  14. 14. Audit sécuritéAnalyse des risques : Budget à associer aux prises de risques
  15. 15. Audit sécuritéOn constate que : Des audits de sécurité : 25% des entreprises n’en font pas …, Les PRA (Plan de Reprise d’Activité)  33% (-7% vs 2008) des entreprises ne disposent pas d’un plan de continuité d’activité pour traiter les crises majeures ! Tableau de bord de la sécurité informatique : 34% seulement en disposent Une charte sécurité / des règles élémentaires… Des « obligations CNIL » : en légère progression par rapport à 2008
  16. 16. Audit sécuritéPRA : Plan de reprise d’activité (1/1)Un plan de reprise dactivité (Disaster Recovery Plan ou DRP) permetdassurer, en cas de crise majeure ou importante dun centreinformatique, la reconstruction de son infrastructure et la remise en routedes applications supportant lactivité dune organisation.La durée maximale dinterruption admissible, en anglais RecoveryTime Objective (RTO) constitue le temps maximal acceptable durantlequel une ressource (généralement informatique) peut ne pas êtrefonctionnelle après une interruption majeure de serviceLe RTO est considéré en conjonction avec le Recovery Point Ojbective (RPO)qui quantifie la capacité de reprise sur sauvegarde de la ressource.
  17. 17. Audit sécuritéTableau de bord sécurité (1/4)Quels objectifs ? Que veut-on mesurer ?  Le niveau d’exposition / attaques / menaces ?  Le niveau de vulnérabilités résiduelles ?  Le nombre d’incidents de sécurité identifiés ?  L’évolution de la couverture des risques ?  Le niveau de déploiement d’une PSSI ?  L’état d’avancement des plans d’actions ?  Le niveau de conformité aux règlements et autres standards (SOX, PCI DSS,  ISO2700x, etc.) ? Vers qui veut-on communiquer ?  La DG ? (Indicateurs stratégiques)  La DSI ?  Les métiers ? (indicateurs opérationnels)  Les corps d’audit et d’inspection ? A quelle fréquence ?  Hebdomadaire ? Mensuelle ? Trimestrielle ? Annuelle ?
  18. 18. Audit sécuritéTableau de bord sécurité (2/4)Quels indicateurs ? On peut partir de zéro et faire une séance de… brainstorming ! Mais il est plus efficace d’utiliser les référentiels existants comme l’ISO17799 (future ISO27002)  Il s’agit de définir des grandes familles d’indicateurs, …..pas forcément d’utiliser les recommandations de l’ISO comme carcan  Une fois les familles (domaines et sous-domaines ISO) retenues, identifier deux ou trois indicateurs pertinents par sous-famille Ne pas dépasser une trentaine (maximum) d’indicateurs
  19. 19. Audit sécuritéTableau de bord sécurité (3/4)Exemples d’indicateurs % de serveurs conformes, basés sur des masters homologués sécurisés (d’où proportion de machines à migrer, ex: Windows NT 4.0) % de postes de travail conformes (sous contrôle DSI) % d’antivirus activés et à jour des signatures Nb de partage de fichiers avec des permissions d’accès en lecture générale / nb de partages (domaine bureautique / domaine production) Nb de documents classifiés confidentiels et stockés non chiffrés Nb d’alertes de sécurité traitées par le Service Desk Nb d’alertes de sécurité critiques remontées par les IDS (Intrusion Detection System) ou système de détection dintrusion Nb de correctifs appliqués sur le parc / nb de correctifs diffusés par les éditeurs (développeurs) présents sur le parc % de projets lancés prenant en compte les normes de sécurité de l’entreprise % de serveurs secourus (reprise sur incident majeur) % de serveurs sauvegardés % d’équipements critiques redondés Nb de comptes génériques / nb de comptes total % d’accès prestataires (TMA) sécurisés (authentification individuelle, …) % de serveurs configurés par outil de gestion de parc (cf CMDB – ITIL) Etc…
  20. 20. Audit sécurité Suivi global des indicateurs sur les 12 derniers mois Tableau de bord sécurité (4/4) Le tableau de bord de sécurité est un instrument de communication privilégié pour le RSSI Vs DSI Vs DG Evolution des Interruptions de Serviceapplicatif/exploitation (prévues ou non) sur les douze derniers m ois Sa conception nécessite de la réflexion et sa 25000 production a un coût, mais le jeu en vaut la chandelle20000 Répartition applicatif/exploitation (prévues ou non) : cum ul 12 derniers m ois15000 IS applicatif IS exploitation 6%10000 IS indéterminées 20% 5000 IS applicatif IS exploitation IS indéterminées 0 ai l ar ov n p Ju Ja Se 74% M M N Exemple : indicateurs opérationnels
  21. 21. Audit sécuritéUne charte sécurité : (1/3)Quels objectifs ? Créer un outil juridique (opposable à un utilisateur) et pédagogique (sensibilisation) au sein du système d’information; Définir les règles de bonne utilisation des ressources informatiques de l’entreprise :  Protection du patrimoine informationnel de l’entreprise, des données personnelles des utilisateurs, des ressources informatiques;  Respect des dispositions légales et des règles de déontologies en vigueur;
  22. 22. Audit sécurité Une charte sécurité : (2/3)La charte protège l’espace individuel de chacun au sein de l’entreprise et l’entreprise d’une mauvaise utilisation deson outil informatique, ceci en toute transparence : Responsabilités : En utilisant l’outil informatique de l’entreprise, les personnes physiques et morales (l’entreprise) ont une responsabilité civile et pénale (au-delà d’être un utilisateur responsable), Activités interdites : utilisation de documents inconvenants et illégaux, Utilisation extra professionnelle des ressources informatiques, copie et utilisation des logiciels piratés, gaspillage des ressources informatiques, accords en ligne sans autorisation préalable ; Vie privée / vie professionnelle :  Les ressources informatiques sont mises à disposition des utilisateurs par la société pour un usage professionnel et interdit d’utilisation à toute autre personne non habilité (jeux sur Internet à titre familial).  La Société considèrera comme personnel et non professionnel le seul courrier électronique indiquant « personnel » dans l’objet du message ou stocké dans un dossier de la messagerie intitulé « personnel ». Ce principe est applicable aux répertoires et fichiers marqués comme « personnels » dans l’Explorateur Windows. Messagerie électronique : Il est interdit d’ouvrir une pièce jointe dans un message dun émetteur inconnu ou avec un objet douteux (.exe, .gif,.com…), pour prévenir lintroduction dintrus et la diffusion de virus à l’insu, il est demandé de le détruire immédiatement. Accès à Internet : La Société n’assume aucune responsabilité sur l’utilisation d’Internet et notamment en ce qui concerne le contenu des sites visités. Le partage d’espace disque est interdit (Peer-to-Peer).
  23. 23. Audit sécuritéUne charte sécurité : (3/3) Forums : l’inscription à des forums à titre privé avec l’adresse mail de l’entreprise est interdite. De même l’inscription à des forums sensibles doit se faire avec une adresse mail anonyme (Hotmail et en dehors du réseau Société). Réseaux sociaux : l’utilisateur ne doit pas faire référence à son employeur actuel ou à tout sujet professionnel et doit éviter de donner des informations privées pouvant être utilisées comme mots de passe dans les systèmes de la société (nom de jeune fille de la mère…) ; Surveillance : l’entreprise peut techniquement surveiller la navigation sur Internet et toute activité au sein du système d’information dans le respect de la charte et de la CNIL (Commission Nationale Informatique et Liberté); Mots de passe : Les utilisateurs disposent de droits d’accès et de mots de passe qui sont personnels et ne peuvent être en aucun cas transmis à des tiers non autorisés. Propriétaire de l’information : Le propriétaire d’une information doit la classifier dans une des catégories suivantes :  Non classifié  Sensible (pouvant entrainer des dommages irréversibles pour l’entreprise en cas de perte de confidentialité, intégrité, trace)Et la protéger conformément à la politique de sécurité en accord avec le service informatique (chiffrement, mots depasse, transport à l’extérieur …) Utilisateurs d’informations nomades : utilisateur ayant extrait un fichier d’un poste fixe ou serveur de données stocké sur un support nomade (ordinateur portable, Smartphone, clé USB, DVD, support papier…). Tout support hébergeant un fichier sensible doit obligatoirement être chiffré conformément à la politique de sécurité et en accord avec le service informatique.
  24. 24. Audit sécuritéC.N.I.L. : (1/4)Pourquoi faire ?La Commission nationale de l’informatique et des libertés est chargée de veiller à ceque l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identitéhumaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles oupubliques. Elle exerce ses missions conformément à la loi du 6 janvier 1978 modifiée le 6août 2004.Qu’est-ce qu’une donnée personnelle ?Il s’agit selon la loi, de toute information relative à une personne physique identifiée oususceptible de l’être, directement ou indirectement, par référence à un numérod’identification (ex : n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sontpropres (ex : nom et prénom, date de naissance, éléments biométriques, empreintedigitale, ADN...)
  25. 25. Audit sécurité C.N.I.L. : (2/4) Les 5 principes à respecter1°) le principe de finalité: Les données à caractère personnel ne peuvent être recueillies ettraitées que pour un usage déterminé et légitime.« Un autocommutateur ne doit pas être utilisé pour surveiller les utilisateurs » Tout détournement de finalité est passible de sanctions pénales de finalité est passible desanctions pénales2°) le principe de proportionnalité et de pertinence des données:Seules doivent être traitées les informations pertinentes et nécessaires au regard desobjectifs poursuivis. « le n° de sécurité sociale n’est pas utile à un recrutement »3°) le principe d’une durée limitée de conservation des données :Les informations ne peuvent être conservées de façon indéfinies dans le systèmed’information. Une durée de conservation précise doit être déterminée en fonction de lafinalité du fichier. « cinq ans pour la paie, un mois vidéosurveillance… »
  26. 26. Audit sécurité C.N.I.L. : (3/4) Les 5 principes à respecter ?4°) le principe de sécurité et de confidentialité des données :L’employeur est astreint à une obligation de sécurité et doit prendre les mesures nécessairespour garantir la confidentialité des données . « mesures de contrôles d’accès: politique de mots de passe… »les données personnelles ne doivent être accessibles qu’aux personnes habilitées (interne:RH, paie…/externe: inspection du travail, police…)5°) le principe du respect des droits des personnes :Information des personnes: clairement informées des objectifs poursuivis, du caractèreobligatoire ou facultatif de leurs réponses, des destinataires, des modalités d’exercice deleurs droits conformément à la CNIL (ci-dessous).Droits d’accès et de rectification: toute personne peut demander au détenteur du fichier delui communiquer toutes informations la concernant et de faire rectifier ou supprimer touteinformation erronée.« dossier professionnel… »
  27. 27. Audit sécurité C.N.I.L. : (4/4)Déclaration Simplifiée ou Normale / Le correspondant informatique et Libertés et libertés (CIL)
  28. 28. Merci Christophe Nouhauchristophe.nouhau@proximit.fr | www.proximit.fr

×