Sécurité informatique

Transcription

1 Sécurité informatique Dominique PRESENT I.U.T. de Marne la Vallée Trois principaux risques menacent la PME Aujourd hui, les pannes des systèmes d information coûtent cher aux entreprises. Exemple : panne d'une journée et demie pour une société logistique, dont les ordinateurs coordonnent notamment des expéditions de produits réfrigérés à travers le monde. Pertes : de l'heure. la panne électrique ou de réseau : installer un système d'alimentation sans coupure. À partir de centaines d uros, il fournit une réserve d'une demi-heure - tout juste le temps de sauvegarder et de copier les fichiers cruciaux - à quatre heures - peut-être ce qu'il faut pour terminer la journée. les virus, vers, chevaux de Troie : Installer des pare-feu (firewall) ; Contrôler l accès aux ressources (profils utilisateurs, serveurs de comptes, contrôleurs de domaines, ) les menaces de l'intérieur même des PME :.Selon l'étude mondiale sur la sécurité de l'information (Ernst & Young), les risques liés aux technologies de l'information proviennent majoritairement de l'insouciance, de l'ignorance ou de la malhonnêteté des employés. Informer les utilisateurs des risques ; Edicter des règles et procédures claires et simples ; Contrôler les accès interdits et faire remonter les incidents 1

2 Les éléments de la sécurité informatique Sécurité informatique Règles et procédures Éléments logiciels et matériels Architecture informatique Architecture de sauvegarde Usages des matériels Usages des logiciels et ervices Règles de contrôle antivirus x s parefeux Segmentation des réseaux Regroupement des serveurs Zones «démilitarisées» Serveur de sauvegarde Supports des données Protection des données sauvegardées La sécurité informatique : gérer les utilisateurs Localement : le profil utilisateur s Droits d accès Aux ressources A distance : le serveur de comptes (ou contrôleur de domaine) serveur de comptes authentification Les questions à se poser : Qui à le droit d utiliser l ordinateur? r é s e a u A quelles ressources locales I n t e r nl utilisateur e t doit-il avoir accès et avec quels droits? A quels serveurs l utilisateur doit-il avoir accès? A quelles ressources/services du serveur l utilisateur doit-il avoir accès et avec quels droits? A quels services Internet l utilisateur doit-il accéder? Hub messagerie Profil utilisateur Ouverture de session Droits d accès intranet 2

3 La sécurité informatique : protéger des intrusions Poste client : le parefeu personnel (personnal ifrewall) s protéger des accès illicites aux services personnel Serveur : le routeur parefeu (firewall) r é s e a u I n t e r n e t serveur de comptes Les questions à se poser : Quels services peut utiliser le client sur son poste? Quels clients peuvent accéder à un serveur? Quels services sont accessibles aux clients internes? Quels services sont accessibles à des clients externes? Hub messagerie intranet La sécurité informatique : adapter l architecture s comment regrouper les serveurs personnel r é s e a u I n t e r n e t serveur de comptes Les questions à se poser : Quels serveurs doivent être protégés? Comment segmenter le réseau pour placer les éléments de sécurité? Quelles attaques sont à prendre en compte? Hub messagerie intranet 3

4 La sécurité informatique : adapter l infrastructure s protéger des accès physiques illicites personnel Hub r é s e a u I n t e r n e t Les questions à se poser : Quels locaux protégés sont à prévoir? Quelles attaques sont à prendre en compte? Comment doit-on sécuriser l accès des locaux? serveur de comptes messagerie intranet la sécurité de l information : un plan d action Contexte La sécurité de l'information est l'ensemble des mesures de sécurité prises par votre entreprise pour préserver la confidentialité, l'intégrité et la disponibilité de l'information. La sécurité de l'information englobe l'ensemble des systèmes d'exploitation, réseaux de télécommunication, logiciels, applications, documents, de même que la sécurité physique des lieux et des équipements. Principe La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2005 indique comment assurer la sécurité de l'information. Il faut, selon ISO 17799:2005, définir ses objectifs de sécurité: identifier les menaces, déterminer les vulnérabilités et procéder à l analyse des risques identifiés (sensibilité des informations de l entreprise, impact économique des sinistres potentiels, probabilité de leur survenance et coût des mesures proposées. La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir et améliorer le système de gestion de la sécurité de l'information (SGSI). Le modèle suggéré utilise une démarche d'amélioration continue qui comprend quatre étapes récurrentes : Planifier : définir le périmètre du SGSI, bâtir la politique de sécurité de l'information, procéder à l'évaluation des risques, préparer le plan d'action. Réaliser : mettre en place le plan d'action, sensibiliser et former le personnel. Vérifier : s assurer que les mesures de sécurité sont efficaces, effectuer le contrôle des procédures, évaluer la fiabilité des données, réaliser périodiquement des audits du SGSI. Agir : mettre en place des mesures correctives et de prévention appropriées, implanter les améliorations du SGSI qui ont été identifiées. 4

5 Construire une politique de sécurité : 12 thèmes Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005, Thème 1 - Organiser la sécurité de l'information : préciser les rôles et responsabilités des gestionnaires, utilisateurs et 1-Organiser la fournisseurs de services. Détailler les mécanismes de sécurité sécurité de à mettre en place pour assurer la sécurisation de l'accès des l information tiers aux informations et ressources de l entreprise. Thème 4 - Gérer les actifs informationnels : procéder à 4-Gérer les l'inventaire des données; leur déterminer un propriétaire; les actifs catégoriser; déterminer leur niveau de protection et établir les informationnels mesures de sécurité à mettre en place. Thème 2 - Bâtir une politique de sécurité de l information : indiquer les éléments à considérer et le contenu de la 3-Gérer les risques de sécurité 1-Organiser la sécurité de l information 12-prévoir la continuité des activités politique de sécurité de l'information. Thème 3 - Gérer les risques de sécurité : analyser et évaluer les menaces, impacts et vulnérabilités auxquels les données sont exposées et la probabilité de leur survenance. Déterminer les mesures de sécurité pouvant être implantées pour réduire les risques et leur impact à un coût acceptable. Thème 12 - Prévoir la continuité des activités : décrire les façons de faire pour élaborer un plan de continuité et de relève des services, de même qu'un plan de sauvegarde des données et des applications de votre entreprise. 2-bâtir une politique de sécurité La politique de sécurité : gérer les incidents Thème 10 - Gérer l'acquisition, le développement et l'entretien des systèmes : indiquer les règles de sécurité à observer dans l'acquisition, le développement, l'implantation d'applications et de logiciels. Thème 7 - Assurer la sécurité physique et environnementale : préciser les mesures à mettre en place pour sécuriser le matériel et éviter les accès non autorisés dans les locaux. Thème 11 - Gérer les incidents de sécurité : indiquer les comportements à adopter lors de la détection d'un incident de sécurité; mettre en place un processus de gestion des incidents de sécurité. Thème 5 - Assurer la sécurité des ressources humaines : indiquer au personnel les bonnes pratiques à utiliser et faire un bon usage de leur équipement informatique. 10-Gérer l acquisition, le développement et l entretien des systèmes 7-Assurer la sécurité physique et environnemental Thème 6 Vérifier la conformité : s assurer1-organiser la que les règles et procédures sont bien sécurité de appliquées et qu elles sont aux normes l information 9-Gérer les communications et les opérations 12-prévoir la continuité des activités 6-Vérifier la conformité 11-Gérer les incidents de sécurité 5-Assurer la sécurité des ressources humaines 8-Contrôler les accès 5

6 Organiser la sécurité de l information Règles et pratiques Rôles et responsabilités : implanter des règles de conduite et partager les responsabilités entre les différents intervenants de votre entreprise. définir les rôles et les responsabilités des personnes impliquées dans la sécurité des actifs informationnels. Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprise reposent sur : les gestionnaires qui en assurent la gestion ; les utilisateurs des actifs informationnels; les tiers, fournisseurs de services et contractuels. Le dirigeant de votre entreprise a comme responsabilités de : désigner un responsable de la sécurité des systèmes d'information (RSSI); valider la politique globale de sécurité, les orientations et les directives. Le comité de la sécurité de l'information doit : recommander les orientations et les directives au dirigeant de l entreprise; approuver les standards, les pratiques et le plan d'action de la sécurité de l'entreprise; assurer le suivi du plan d'action de sécurité. Organiser la sécurité de l information Le responsable de la sécurité coordonne la sécurité de l'information. À cet effet, il doit : élaborer et assurer le suivi et la mise à jour périodique du plan d'action; communiquer au personnel, aux clients et partenaires de l'entreprise les orientations de sécurité de l'information; veiller au respect de la politique de sécurité de l'information ainsi qu'à la protection des renseignements personnels et sensibles; informer périodiquement le comité de l'état d'avancement des dossiers. Le propriétaire d'un actif informationnel doit : assurer la gestion de la sécurité de son actif informationnel; autoriser et répondre de l'utilisation, par les utilisateurs, clients et partenaires, des données ou informations dont il est propriétaire; veiller à ce que les mesures de sécurité appropriées soient élaborées, mises en places et appliquées. Gestion des accès des utilisateurs externes Le responsable de la sécurité doit contrôler les accès par des tiers aux infrastructures de traitement de l'information de l entreprise, évaluer les risques, valider les mesures à appliquer et les définir sous forme de contrat avec le tiers en question. Dans le cas de sous-traitance le contrat établit les clauses sur les mesures et procédures de sécurité pour les systèmes d'information, réseaux, infrastructures technologiques, informations ou données sensibles. Il inclut également les règles d habilitation pour le personnel devant avoit accès à de l'information sensible ou confidentielle. 6

7 Bâtir une politique de sécurité implique l entreprise Thème 2 Contexte Une politique de sécurité de l'information est un ensemble de documents émanant de la direction de votre entreprise et indiquant les directives, procédures, lignes de conduite et règles organisationnelles et techniques à suivre relativement à la sécurité de l'information et à sa gestion. Une telle politique constitue un engagement et une prise de position claire et ferme de la direction de protéger ses actifs informationnels. Principe Pour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut vous servir de guide et de référence. Règles et politiques identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les actifs informationnels de votre entreprise selon leur degré de sensibilité. protéger les informations et ressources considérées comme vitales ou importantes pour votre entreprise, soit des : systèmes d'information (application, logiciel, etc.); éléments de l'infrastructure technologique (serveur, réseau de télécommunications, réseau téléphonique, etc.); types de documents (contrat, procédure, plan, procédé de fabrication, etc.); installations (immeuble, local, etc.). Une politique de sécurité conduit à des procédures La politique de sécurité de l'information devra contenir les éléments suivants : confirmer l'engagement de la direction; désigner une personne responsable de la sécurité de l'information; identifier ce qui doit être protégé; identifier contre qui et quoi vous devez être protégé; inclure des considérations de protection de l'information; encadrer l'utilisation des actifs informationnels; tenir compte de la conservation, de l'archivage et de la destruction de l'information; tenir compte de la propriété intellectuelle; prévoir la réponse aux incidents et préparer une enquête, s'il y a lieu; informer vos utilisateurs que les actes illégaux sur les informations et ressources de l'entreprise sont interdits. La pratique recommandée pour l'élaboration d'une politique de sécurité repose sur les éléments suivants : une politique globale; des directives; des procédures, standards et bonnes pratiques. 7

8 De la politique d entreprise aux procédures Niveau 1 : Politique globale engagement et prise de position ferme et claire de la direction de l'entreprise quant à la protection à accorder aux actifs informationnels. Politique globale Niveau 2 : Directives mesures concrètes déterminant, la façon de procéder en vue d'assurer directives la sécurité des actifs informationnels. Elles peuvent porter, par exemple, sur l'utilisation d'internet, du courrier électronique ou procédures Standards pratiques des écrans de veille. Niveau 1 Niveau 2 Niveau 3 Niveau 3 : Procédures, standards et bonnes pratiques Procédures : décrivent en détail toutes les étapes d'un processus humain ou technologique d'implantation ou d'opération d'une mesure de sécurité. Standards : définissent les règles et mesures à respecter en attendant une normalisation par un organisme officiel de normalisation. Pratiques : assurent que les contrôles de sécurité ainsi que les processus de soutien nécessaires sont implantés de façon constante et adéquate à travers l'entreprise. Protéger les actifs informationnels : les 3 étapes Étape 1 : Déterminer les actifs informationnels à catégoriser Faire un inventaire des actifs informationnels regroupés par : système d information; élément de l'infrastructure technologique (serveur, réseau de télécommunication, réseau téléphonique, etc.); type de document (contrat, procédure, plan, etc.) ; environnement physique (immeuble, local ). Attribuer un propriétaire, une catégorie et une valeur à chaque actif informationnel (les actifs informationnels à catégoriser sont ceux pour lesquels une atteinte à la sécurité peut avoir des conséquences négatives pour votre entreprise). Étape 2 : Catégoriser les actifs informationnels Donner des valeurs (élevée, moyenne ou basse) aux attributs disponibilité (D), intégrité (I) et confidentialité (C) selon le contexte d'utilisation des actifs informationnels de l'entreprise. Les contextes d'utilisation retenus sont : les postes autonomes ou mobiles, le réseau fermé et le réseau ouvert. Il est recommandé d'effectuer après cette étape une évaluation et une analyse des risques. Étape 3 : Déterminer les mesures de sécurité à appliquer pour protéger les actifs informationnels Indiquer les mesures de sécurité qui à appliquer, à partir du contexte d utilisation de chaque actif. Cette étape est répétée autant de fois qu i l y a d'actifs à catégoriser. 8

9 Le VPN : un réseau privé à travers Internet Un réseau virtuel privé (VPN) permet d envoyer des données de manière sécurisée entre les ordinateurs de deux domaines privés (LAN) à travers un réseau d (WAN). Le VPN revient à créer un «tunnel privé» à travers un réseau d utilisant IP, comme Internet. Internet r é s e a u lo c a l Serveur r é s e a u " b r o c e l ia n " les données suivent toutes le même chemin les données peuvent être cryptées IUT de Marne la Vallée politique de sécurité de l'information D. PRESENT Extranet : VPN ou LS, une question de coût VPN LS POP télécom Internet LS POP télécom ré s e a u lo c a l Serveur ré s e a u " b ro c e l ia n " o p é ra te u r té lé c o m LS Liaison spécialisée : bande passante garantie pas de qualité de service sécurité à préciser IUT de Marne la Vallée VPN : bande passante non garantie qualité de service possible sécurité par cryptage politique de sécurité de l'information D. PRESENT 9

10 Client mobile : le VPN simplifie la procédure POP VPN LS POP RTC local Internet télécom Prestataire de service ré s e a u lo c a l FAI Serveur de connexion hôtel Ligne ADSL o p é ra te u r R T C VPN : service VPN + RTC local débit 56Kb/s pas de coût de maintenance IUT de Marne la Vallée client Serveur ADSL : accès Wi-Fi haut débit pas de coût de maintenance Prestataire : prestataire + RTC débit 56Kb/s pas de coût de maintenance politique de sécurité de l'information serveur propre : connexion RTC débit 56Kb/s maintenance du serveur de connexion D. PRESENT Architecture : serveur, tunnel et protocoles protocole de Tunneling : crypte et encapsule les données échangées entre le serveur et le client par l un des principaux protocoles L2TP/IPsec, SSL ou PPTP connexion VPN : connexion établie entre le serveur et le client Serveur VPN : fournit la connexion Inter-réseau de transit : Réseau public traversé Internet r é s e a u lo c a l Serveur r é s e a u " b r o c e l ia n " tunnel : Chemin des données client VPN : initie la connexion IUT de Marne la Vallée politique de sécurité de l'information D. PRESENT 10

11 Paramétrer authentification et cryptage sous XP Sous Windows XP, la configuration du paramétrage de l authentification et de la sécurité autorise des combinaisons ci-dessous : validation Cryptage requis Authentification : protocoles Mise en oeuvre Exiger un mot de passe non CHAP ; MS-CHAP ; MS-CHAP v2 Cryptage optionnel Exiger un mot de passe oui CHAP ; MS-CHAP ; MS-CHAP v2 Cryptage éxigé Carte à puce Carte à puce non oui EAP/TLS EAP/TLS Cryptage optionnel Cryptage éxigé Pour L2TP, le cryptage utilise IPSec Pour PPTP, le cryptage utilise MPPE (Microsoft Point-To-Point Encryption) avec des clés de 40 bits à 128 bits Les données sont cryptées uniquement si l authentification CHAP ou EAP est négocié CHAP v2 et EAP/TLS sont des protocoles d authentification mutuelle (client et serveur vérifient leur identité) Le paramétrage sous Windows XP Les paramètres d ouverture de session sont utilisés pour l authentification Paramètres d authentification Protocoles d authentification autorisés 11