Journées techniques de l Ouest

Transcription

1 Journées techniques de l Ouest La sécurité des systèmes d information Par Gilles BIZET gilles.bizet@aql.fr

2 [Sommaire] I. [La SSI, qu est ce que c est?] II. [Qu avons-nous à protéger?] III. [Comment se protéger?] IV. [Retours d expérience]

3 [ I. La SSI, qu est ce que c est?] I.1 [Le système d information] I.2 [La sécurité] I.3 [La sécurité des systèmes d information]

4 I.1 La SSI qu est ce que c est? Le système d information Système d information : organisation des activités consistant à acquérir, stocker, transformer, diffuser, exploiter, gérer... les informations Un des moyens techniques pour faire fonctionner un système d information est d utiliser un système informatique

5 I.2 La SSI qu est ce que c est? La sécurité Sécurité Se protéger des malveillances Sûreté Se protéger des accidents En pratique, la distinction n est pas aussi nette Le RSSI est souvent responsable des deux aspects

6 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Les systèmes informatiques sont au cœur des systèmes d information Ils sont devenus la cible de ceux qui convoitent l information Assurer la sécurité de l information implique d assurer la sécurité des systèmes informatiques Condition nécessaire mais non suffisante

7 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Confidentialité Disponibilité Seules les personnes habilitées peuvent accéder à l information On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système Intégrité et/ou On ne peut modifier les informations stockées dans le système qu'à l issue d'un acte légitime et volontaire On dispose d un moyen sûr pour détecter une violation de l intégrité + la Preuve (auditabilité, imputabilité)

8 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Virus Intégrité Disponibilité RESEAU Rayonnements confidentialité Attaques réseau Confidentialité (écoute) Intégrité (modification paquets) Disponibilité (saturation) Accès illicites (intrusion) confidentialité Intégrité Disponibilité A

9 I.3 La SSI qu est ce que c est? La sécurité des systèmes d information Les concepts Un SI gère des biens Qui sont sensibles à des menaces Liées à des vulnérabilités du SI Exploitées par des attaques Qui provoquent des dysfonctionnements Dont on évalue la probabilité et l impact Afin d estimer le risque R = P x I Ce qui permet de choisir les mesures adaptées Puis l audit permet de valider la pertinence des mesures vis-à-vis des exigences de sécurité définies pour sécuriser les biens sensibles Bâtiments, personnels, équipements, informations Accidents, erreurs, malveillances Internes ou externes Vulnérabilités intrinsèques, bugs, backdoors, DoS, divulgation d info, atteinte image, Assurance conformité Assurance efficacité

10 [ II. Qu avons-nous à protéger?] II.1 [Quels sont les biens?] II.2 [Quels sont les biens sensibles?] II.3 [Quels sont les enjeux?]

11 II.1 Qu avons-nous à protéger? Quels sont les biens? 4 grandes catégories Les personnels permanents, stagiaires, prestataires, partenaires, toute personne ayant accès au SI Les bâtiments Les biens matériels Équipements, Systèmes, réseaux, logiciels, Les biens immatériels données, connaissance, savoir-faire, brevets, toute information véhiculée sur les réseaux internes Administratifs Techniques Encadrement Informaticiens Enseignants Elèves Parents d élèves Partenaires Candidats aux concours Données personnelles Données relatives à l affectation Données relatives au statut Données médicales Données relatives aux diplômes Données relatives aux moyens

12 II.1 Qu avons-nous à protéger? Quels sont les biens sensibles? 4 niveaux de classification Très sensible : informations dont une atteinte peut provoquer une modification importante dans les structures et les capacités de l organisme, pouvant aller jusqu'à mettre en cause sa pérennité, Sensible : informations dont une atteinte peut amoindrir notablement les capacités de l organisme à plus ou moins longue échéance, Peu sensible : informations dont une atteinte peut provoquer une gêne dans le fonctionnement de l organisme, cette gêne pouvant ellemême provoquer une diminution des capacités de l'organisme, Pas sensible

13 II.1 Qu avons-nous à protéger? Quels sont les enjeux? Disponibilité On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système Les enjeux Enjeux humain Cotation 3 Intégrité On ne peut modifier les informations stockées dans le système qu'à l'issue d'un acte légitime et volontaire et/ou on dispose d un moyen sûr pour détecter une violation de l intégrité Confidentialité Enjeux financier Image de marque Enjeux métier 3- très sensible 2- sensible 1- peu sensible 0- Pas sensible Seules les personnes habilitées peuvent accéder à l information Enjeux légaux Quels sont les enjeux associés aux risques d atteinte à la disponibilité, l intégrité, la confidentialité des données considérées?

14 [ III. Comment se protéger?] III.1 III.2 III.3 [Définir son référentiel] [La sécurité technique] [La sécurité organisationnelle]

15 III.1 Comment se protéger? Définir son référentiel 1. La vision métier m qui définit le référentiel Vision métier Sensibilité intrinsèque du métier 2. La vision processus vision processus qui définit la sensibilité intrinsèque du processus Vision processus Sensibilité intrinsèque du processus 3. La vision projet qui définit la sensibilité pondérée du projet Vision projet Sensibilité pondérée des projets 4. La vision système qui permet l évaluation du risque Vision système Contre mesures Vulnérabilités résiduelles Risque = Probabilité x Impact

16 III.1 Comment se protéger? Définir son référentiel Les données du SI éducatif Données personnelles Données relatives aux diplômes Données médicales Données relatives à l affectation Données relatives au statut Les populations qui accèdent au SI éducatif Gestionnaires Administratifs, techniques, encadrement Enseignants Elèves Partenaires Parents d élèves Candidats inscrits Informaticiens + le cadre réglementaire (CNIL, DCSSI, TS101456, ) Les enjeux Enjeux humain Enjeux métier Enjeux financier Enjeux légaux Image de marque

17 III.2 Comment se protéger? La sécurité technique dans les projets Cahier des charges Spécification Conception Réalisation Besoins/ Menaces / Objectifs / Fonctions / Mécanismes/ Technologies Tests/ VABF Intégration Mise en service Politique sécurité Éléments sensibles Besoin de sécurité Objectifs de sécurité Rôle/Responsabilité des acteurs Fonctions { de sécurité Spécifications générales Spécifications détaillés DTV sécurité Mécanismes { de sécurité Vulnérabilités Documents de conceptions Matrice de traçabilité Validation des APIs externes Tests unitaires Tests d'intégration Règles de développement Rôle/Responsabilité des développeurs Tests de conformités DTV sécurité Formation Audit Veille

18 III.2 Comment se protéger? La sécurité technique dans les architectures Internet DMZ publique HTTP SMTP DNS HTTP etc Serveur Anti-virus FTP Firewall DNS Serveur Web Relais SMTP DNS externe SMTP Serveur SMTP DNS interne

19 III.2 Comment se protéger? La sécurité technique dans les produits De plus en plus d intégration de produits Comment avoir confiance? Confiance dans le constructeur, le fournisseur Confiance dans le produit Confiance par la qualité Confiance par l expertise ou l audit Confiance par l évaluation selon des critères normalisés Utiliser des produits évalués Utiliser des produits reconnus Faire expertiser les produits. Déterminer ses propres critères fixer des objectifs à l expertise Études comparatives Homologations Cautionnement Et les logiciels libres?

20 III.3 Comment se protéger? La sécurité organisationnelle un système d information sécurisé Répond à des objectifs de sécurité définis Intègre des moyens techniques de sécurité Est exploité dans un environnement lui-même sécurisé Par du personnel qualifié et sensibilisé aux objectifs de sécurité Organisé de façon cohérente et responsable Politique de sécurité Sécurité technique Sécurité physique Sécurité du personnel Sécurité de l organisation En conformité avec la législation Réglementation système d information système informatique

21 III.3 Comment se protéger? La sécurité organisationnelle La politique Elle définit les principes Identifie les catégories de biens sensibles Information, personnel, bâtiment, équipement, Et les objectifs de sécurité associés Confidentialité : Seules les personnes habilitées peuvent accéder à l'information Disponibilité : On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système Intégrité : On ne peut modifier les informations stockées dans le système qu'à l'issue d'un acte légitime et volontaire et/ou On dispose d un moyen sûr pour détecter une violation de l intégrité et introduit la démarche globale de sécurité Qui fait Quoi, Quand et Comment C est un référentiel document court et intangible Répond au Pourquoi

22 III.3 Comment se protéger? La sécurité organisationnelle - La sécurité du personnel Définit les missions impliquées dans la démarche globale de sécurité (DG, RSSI, ) Définit les réglementations internes Charte de sécurité Engagement de confidentialité Définit le plan de formation du personnel Définit les modalités de remontée d information sur les incidents de sécurité

23 III.3 Comment se protéger? La sécurité organisationnelle - La sécurité de l organisation Définit les rôles et responsabilités Définit la gestion des habilitations Définit les clauses de sécurité avec les partenaires Définit les clauses de sécurité avec les soustraitants

24 III.3 Comment se protéger? La sécurité organisationnelle - La réglementation Précise le cadre législatif Propriété intellectuelle Obligation de sauvegarde des informations Protection des droits des personnes Législation sur l utilisation de la cryptologie Définit la réglementation interne Port de badge, contrôle d accès, zones réservées, Charte de sécurité Engagement de confidentialité Clauses sécurité dans les contrats de travail

25 III.3 Comment se protéger? La sécurité organisationnelle - Notion de plan de progrès Indicateurs de progrès Réagir Amélioration des pratiques Prévoir Identification des objectifs Plan d'action Définition et mise en œuvre Faire Confiance Maîtrise Progrès Tableaux de bord Supervision et vérification Vérifier Audit sécurité

26 III.3 Comment se protéger? La sécurité organisationnelle - La démarche globale SSI POURQUOI? QUI, QUOI, QUAND? Référentiel Démarche globale Politique de sécurité COMMENT, AVEC QUOI? Démarche détaillée Guide Acteurs Fiches Activités Fiches Exemples Fiches Méthodes Fiches Thématiques Fiches acteurs Outils Guides PSI ISO17799 Méthodes EBIOS SSA Mehari Marion Evaluation ITSEC CC / ISO15408 Produits inclus AV, FW, SSO, routeurs, IGC, OS, SGBD Proxy Annuaires

27 [ IV. Retours d expérience ] IV.1 IV.2 IV.3 IV.4 IV.5 [Un outil l ISO17799] [Prospective] [Les qualités du RSSI] [Le coût de la sécurité] [Quelques informations]

28 IV.1 Retours d expérience La norme ISO17799 Historique Dérivée des British Standards 7799 Février Mai 1999 première version en février 1995 Certification C:Cure / UKAS Base du schéma de qualification des dernière version publiée en mai 1999 PSC pour la Signature Électronique (TS ) Schéma de certification BS 7799C:Cure en 1998 Accréditation des organismes certificateurs par le UKAS Part.1 The Code of Practice Part.2 Specifications for ISMS Première version de la norme ISO en décembre équivalent ISO/IEC à la BS Part.1 A quand la sortie de la norme? La BS7799 est la base du schéma Signature Décembre 2000, actuellement en révision Electronique Liste des certificats BS7799 ISO/IEC (ou ) Version Draft BS7799-2:2002 en novembre 2001?

29 IV.1 Retours d expérience La norme ISO17799 Part.1 : The Code of Practice - 10 chapitres recommandations 3 Politique Politique de de sécurité sécurité 4 Organisation Organisation de de la la sécurité sécurité 5 Classification Classification et et Contrôle Contrôle des des Biens Biens 6 Sécurité Sécurité et et Gestion Gestion du du personnel personnel 7 Sécurité Sécurité Physique Physique 8 Gestion Gestion des des Communications Communications et et des des Opérations Opérations 9 Contrôle Contrôle d accès d accès Développement Développement et et Maintenance Maintenance Plan Plan de de Continuité Continuité d activité d activité Conformité Conformité Définition Sécurité Procédures Sécurité Engagement Engagement de la la direction Inventaire Procédures Zones Définition Zones et direction Inventaire Définition et contrats et des contrats sécurisées et sécurisées responsabilités des Définition Contrôle Contrôle Spécifications Spécifications Conformité Conformité des des plan des plan accès accès responsabilités des biens de avec biens de avec rôles utilisateurs secours rôles utilisateurs de sécurité secours de sécurité sensibles la sensibles la travail travail et loi et loi et et de de reprise responsabilités Rédaction reprise d activité responsabilités d activité Rédaction d une d une PSI Contrôle Classification PSI Conformité Classification Equipements/Matériels Formation Planning Formation par Contrôle Sécurité Conformité Sécurité des des Planning avec avec accès accès développements développements par aux politique aux niveau politique niveau réseaux réseaux de de de de Communication Communication Gestion sensibilité et et information Gestion des sensibilité sécurité des sécurité habilitations habilitations information Responsabilités Responsabilités Contrôle Contrôles Antivirus Contrôle Chiffrement dans Principes Chiffrement Contrôles des Antivirus des Principes de dans accès accès la de révision la aux remontée aux remontée OS OS Programmation révision Programmation Clauses d information Clauses d information de de sécurité d audit sécurité d audit avec récurrent avec récurrent les les Contrôle Sauvegardes Sauvegardes partenaires partenaires et et logs Contrôle Cycle Cycle vie/process vie/process accès accès logs aux aux applications applications Clauses Clauses Gestion Gestion de de sécurité sécurité du du réseau réseau avec avec les les sous-traitants sous-traitants Supervision Supervision Supports Supports de de stockage stockage Nomadique Nomadique Echanges Echanges d information d information

30 IV.1 Retours d expérience La norme ISO17799 La BS7799 Part.2 Draft 2002 Une démarche calquée sur ISO9000: une check list de contrôles à effectuer N'est pas (pas encore) dans l'iso 17799

31 IV.1 Retours d expérience La norme ISO17799 L'ISO est un outil de mesure de progrès Plan de progrès selon l'iso17799 Compliance Business Continuity Planning System development & maintenance System Access Control Security policy Communications & operations management Security organisation Asset classification & control Personnel security Physical & environmental security Court terme Moyen terme

32 IV.1 Retours d expérience Les + Référentiel exhaustif et normalisé Approche très pragmatique Possibilité à terme d une certification (?) Les - La rédaction est criticable La norme est en révision Pas de méthodologie aujourd hui Pas de schéma défini La norme ISO17799

33 IV.2 Retours d expérience Prospectives L organisationnel est incontournable dans les démarches globales SSI La sécurité technique a beaucoup évolué (compétences, produits) Les mesures organisationnelles sont + pérennes et souvent moins coûteuses La sécurité profite de la qualité mise en œuvre dans les années 90 Mais il est encore trop peu pris en compte Les organismes/entreprises n ont pas de temps et peu d argent L audit ou la PSI sont souvent des démarches «alibis» Les RSSI sont souvent peu formés et manquent d expérience

34 IV.3 Retours d expérience Les qualités du RSSI Culture et curiosité technique Architecture, OS, BDD, réseau, produits de sécurité, Une bonne connaissance de ce qu est un projet informatique (cycle de développement, rôles MOA/MOE) la technique et les vulnérabilités évoluent Relationnel La SSI est transverse - beaucoup d interlocuteurs - rester humble Rigueur le RSSI doit montrer l exemple Reconnu dans l organisation Vision globale de l organisation Bonne connaissance des métiers de l organisme dans lequel il évolue Pouvoir de blocage (mais ne doit pas en abuser)

35 IV.3 Retours d expérience Le RSSI et les projets Il doit être consulté pour tout nouveau projet ou évolution d une application Il doit savoir s impliquer sans papillonner Il a intérêt à mettre au point une démarche pour la prise en compte de la SSI Il doit s appuyer sur le service qualité et savoir impliquer le chef de projet

36 IV.3 Retours d expérience Les erreurs à commettre Être celui qui dit toujours non et qui s en lave les mains Négliger les difficultés techniques Être excessivement paranoïaque Être le faire valoir Jouer le rôle du bouc émissaire S investir de manière inégale...

37 IV.4 Retours d expérience Le coût de la sécurité C est une bonne question à se poser lors de la phase de décision. Le coût de la sécurité doit être inférieur au coût potentiel de l insécurité. L aspect potentiel de l insécurité rend les prises de décision difficiles. C est une mauvaise question après sauf à remettre en cause les décisions prises. La sécurité est une fonctionnalité comme les autres. Le fait qu elle ne soit pas toujours considérée comme telle est un problème culturel.

38 IV.4 Retours d expérience Le coût de la sécurité COÛT DES PRODUITS COMPLEXITE DES SOLUTIONS MAINTENANCE ADMINISTRATION NIVEAU DE CONFIANCE VISE COÛT DE FORMATION ENJEUX Comme pour toute autre fonctionnalité...

39 IV.5 Retours d expérience Informations Des référentiels à suivre Critères Communs BS7799/ISO17799 TS SSA (Survival Systems Analysis ) SSE-CMM Les référentiels métier (Livre blanc, GSM-SAS, GMSIH, ) Quelques liens

40 Journées techniques de l Ouest Merci de votre attention Par Gilles BIZET gilles.bizet@aql.fr