La sécurité des systèmes d information

Transcription

1 Ntic consultant La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence GNU FDL. Vous pouvez copier, modifier des copies de cette page tant que cette note apparaît clairement.

2 ntic consultant Consultant des les domaines des systèmes d information Assistance à maitrise d ouvrage Sécurité des systèmes d information Evolution des architectures Déploiement d infrastructure Maitrise d œuvre Mise en œuvre des stratégies de sécurité Migration P.C.A. / P.R.A. Formation aux N.T.IC. Quels usages des NTIC pour l entreprise L intégration des NTIC dans l entreprise Les coûts et les retours sur investissements Optimisation des performances 2

3 Sommaire Les enjeux Présentation de la norme ISO / La démarche ISO au niveau de l entreprise Les 10 chapitres de la norme Les difficultés et les vulnérabilités Les solutions (parades) Synthèse 3

4 Quelques chiffres 1 ordinateur sur 5 connait une panne de disque dur pendant son exploitation 60% des données d'entreprise ne sont pas sauvegardées 70% des PME & PMI, touchées par un incident de sécurité majeur de leur système d'information, déposent leur bilan dans les 3 ans, soit le même ratio que pour le cas d un incendie important. En janvier 2003, le ver SQL Slammer a été le ver qui s'est propagé le plus rapidement dans l'histoire d'internet: le nombre d'ordinateurs infectés a doublé toutes les 8,5 secondes, après 10, minutes près de 90% des systèmes vulnérables étaient contaminés 4

5 Les objectifs Confidentialité Seuls les personnes habilitées peuvent accéder aux l informations. Intégrité Les données ne sont pas altérées ni altérables. Disponibilité Assurer l accès aux informations 5

6 La norme ISO Définit 10 chapitres (127 règles) qui constituent un guide de bonnes pratiques La norme définit Quoi faire mais pas Comment le faire ISO (certification) 6

7 La norme ISO ) Connaissance de l entreprise Métiers Organisation Partenaires Les applications informatiques Flux d information 1) Politique de sécurité Le management doit s impliquer dans la politique de sécurité Sécurité = Contraintes Arbitrages (financier, droits des utilisateurs, etc.) Document Politique de sécurité de l information (charte) 7

8 La norme ISO ) Organisation de la sécurité informatique L organisation interne de la sécurité (comité de gestion) Le contrôle des tiers Problématique Libre accès au réseau 24 h /24 7 j / 7 Généralement pas de traçabilité des connexions Possèdent les codes d administration Turn-over important Stagiaires Pas ou peu de prise en compte de la sécurité 1) Accès permanent (VPN) Solutions Gestion des baux de connexions et interface convivial Ecriture d un script pour désactiver les comptes des tiers toutes les nuits. 2) On-demand Ouverture de session par le client (interface type Web). Fermeture de la session automatique Logiciel type Inquero 8

9 La norme ISO ) Gestion des actifs Hiérarchiser l information Définir les responsabilités 9

10 La norme ISO Données vitales Hiérarchiser l information Données indispensables à la survie de l entreprise (bases de données production / facturation). Données confidentielles (DRH, le savoir faire) Données de l entreprise Données vitales Données de l entreprise Information Bureautique. Messagerie. Dossiers utilisateurs Archives Information Tout ce qui peut être recréé (téléchargement, documentations, etc.) ou perdu sans préjudice 10 10

11 La norme ISO Sauvegarde Sur Internet Centralisation et Organisation des données Data Data-v Bases de données Data-e Utilisateurs Data-i Photos DRH Documentation fournisseur Affaires en cours Affaires réalisées Archives Droit de lecture Groupe Commercial 11

12 La norme ISO ) Sécurité des ressources humaines Typologie des incidents de sécurité en entreprise Enquête CLUSIF 2005 Avant embauche (charte informatique) Lors du contrat (formation) Fin ou modification de contrat (mise à jour des droits) Intrusion accès sans fils Chantages, extorsion d'informatique Fraudes informatiques Intrusions systèmes Sabotages physiques Attaques de dénigrement Attaques logiques ciblées 4 Divulgations Accidents physiques (incendies,...) 4 6 Série1 Evénements naturels (inondation, ) 8 Virus Panne interne Vols Erreurs d'utilisation Pertes de services (électricité, télécom, etc.) Erreurs de conception

13 La norme ISO ) Sécurité physique et environnementale (13 règles) Sécurité physique (contrôle d accès) Sécurité des équipements (alimentation électrique, climatisation, etc.) Destruction des équipements 13

14 5) Sécurité physique et environnementale Le vol de données Problématique Solutions Le savoir faire de l entreprise est de plus en plus numérisé Les données sont accessibles depuis «n importe où» (interne et externe) Les moyens de stockage sont multiples (Clé USB, WebMail, Téléphone Portable, etc.) et les Hiérarchiser et organiser les données Restreindre l utilisation des périphériques (port USB) Utilisation des stratégies de sécurité (local, GPO) Crypter les données Solution DLP ( Data Loss Prevention) capacités sont très importantes. 14

15 La norme ISO ) Gestion de la communication et de l exploitation (24 règles) Procédures d exploitation (documentation) Gestions des incidents Différentiation des environnements de développement (recettage) et de production Procédures de mise en production Planification (anticiper l augmentation de la charge) Politique et stratégie antivirales 15

16 Les codes malicieux Lexique Virus classique Virus Chevaux de Troie Malware Programmes malveillants Vers Spyware Spyware Logiciel espion Adware Publiciel Affiche des publicités Spam Hoax Phishing Pourriels Messages ( s) publicitaires non sollicités Canular Hameçonnage 16

17 La norme ISO ) Gestion de la communication et de l exploitation (24 règles) Gestion de la sécurité du réseau (intrusions) Utilisation d accessoires (ex : clés USB) Echanges d informations (cryptage) Commerce et déclarations en ligne (certificats) Sauvegardes Copie des données à l extérieur Automatisation de la procédure Conservation des générations Tests de restauration 17

18 La norme ISO ) Contrôle d accès à l information Limiter les droits des utilisateur en prenant en compte les exigences des affaires Procédure de connexion des terminaux (802.1x, mac address, NAP / NAC, etc.) Contrôle des accès au réseau depuis l extérieur (authentification forte) Séparation ou cloisonnement des réseaux (R&D, Production, Administratif, etc.) Gestion des mots de passe 18

19 7) Contrôle d accès à l information Gestion des mots de passe (pour un mot de passe de 8 caractères) Type de mot de passe Nbr de caractères Nbr de mots de passe Temps cracking Lexique (anglais) 8 carac. et + spécial < 1 seconde Casse minuscule heures Casse minuscule + 1 majuscule 26/spécial jours Minuscule et majuscule 52 Lettres + chiffre 62 Caractères imprimables jours an ans Jeu de caractères ASCII 7 bits ans Source : Outil de cracking : John The Ripper 19

20 7) Contrôle d accès à l information Gestion des mots de passe Recommandations Inciter les utilisateurs à choisir des mots de passe de longueur supérieure à 7 caractères Utiliser des chiffres et des majuscules Forcer l obligation de changer le mot de passe régulièrement (utilisation de GPO WS 2003 et 2008) Privilégier les logiciels qui supportent les annuaires d authentification type X500 / Ldap / Active Directory 20

21 7) Contrôle d accès à l information Wifi Séparer le réseau Invités et le réseau Entreprise Masquer le SSID Ne pas utiliser le cryptage Wep On retrouve ici l'outil wepcrack en action sur les packets capturés précédemment. Comme vous le remarquerez, sur la partie sélectionnée en blanc, wepcrack n'a mis que 5 secondes à trouver la clé wep qui est en rouge comme indiqué sur le bas de la fenêtre Utiliser le cryptage WPA ou WPA2 Rajouter le contrôle de l adresse Mac Centraliser la sécurité 21

22 7) Contrôle d accès à l information Passerelle d accès Internet Routeur Pare-feux (Firewall) U.T.M. (Traitement unifié des menaces) Partage de l accès internet Contrôle des paquets X X X X X X Prévention d intrusion (scénarios d attaques) X X Anti-virus Anti-spam Filtre URL X Coûts 200 / 400 A partir de 600 1/3 coût de maintenance annuelle A partir de /3 coût de maintenance annuelle 22

23 La norme ISO ) Développement et maintenance des systèmes Conformité des équipements (logiciels et matériels) Déroulement correcte des applications (spécifiques) Gestion des changements Applications des patchs de vulnérabilité (Windows Update) 23

24 La norme ISO ) Continuité d affaires Plan de Continuité d Activité (P.C.A). Plan de Reprise d Activité (P.R.A.). 24

25 9) Continuité d affaires (Petites causes, Grands effets) Mise en place d un Plan de Continuité d Activité (PCA) et d un Plan de reprise d activité (PRA). Principe Le système d information est mis à plat, pour chaque élément en cas de panne ou de dysfonctionnement : Quelles sont les applications, les services impactés? Quelle est la procédure de remise en service opérationnel? En combien de temps (RTO)? Avec quel niveau d information (RPO) Le RTO et le RPO sont-ils compatibles avec les contraintes de l entreprise? Si non, quelles sont les solutions? Ces solutions sont-elles envisageables? 25

26 La norme ISO ) Conformité Aux exigences légales (CNIL, information des représentants du personnel) De la mise en œuvre de la politique de sécurité (Audit) Ce que l on croit être mis en œuvre Ce qui est mis en œuvre Ce qui fonctionne Ce que l on devrait faire 26

27 Synthèse des recommandations Impliquer la direction de l entreprise, sensibiliser (charte informatique) et informer les utilisateurs Hiérarchiser et organiser les données Centraliser et administrer les outils (anti-virus, profil, GPO, etc.) Contrôler les sauvegardes (tests de restauration) Utiliser un anti-virus et un anti-spyware sur chaque poste du réseau et sur la passerelle Internet Contrôler l environnement physique Définir les droits des utilisateurs au plus proche de leurs besoins fonctionnels (VPN, R/O, R/W, etc.) Restreindre les droits des partenaires (connexion de type On Demand) Sécuriser les accès Wifi, ne pas se contenter du WEP. Mettre à jour régulièrement les logiciels (Serveur WSUS) Mise en œuvre d un Plan de Reprise d Activité (P.R.A.) ou d un Plan de Continuité d Activité (P.C.A.) Vérifier la conformité de la politique de sécurité (auditer) 27

28 Ntic consultant La sécurité des systèmes d information Questions? 28