Principes de base et aspects techniques

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Normes ISO27001 / ISO27002 Principes de base et aspects techniques Benjamin Arnault Benjamin Arnault <Benjamin.Arnault@hsc.fr>

2 ISO Présentation Les normes de la famille ISO27X ISO Exemples concerts Serveur Web Journaux Pare-feu Conclusion 2

3 ISO ISO/IEC 27001:2005 Objectif Spécifier les exigences pour Mettre en place Exploiter Améliorer Un système de management de la sécurité de l'information (SMSI) documenté Même approche que la norme ISO 9001 dans le domaine de la qualité 3

4 Système de management Un système de management est un système permettant De définir une politique D'établir des objectifs D'atteindre ces objectifs Situation actuelle Politique Objectifs 4

5 En pratique Système de management Pour atteindre des objectifs, la politique se traduit par des mesures de sécurité Mesures de sécurité sélectionnées lors de l'appréciation des risques à la suite de la phase de traitement du risque Politique Mesures techniques Mesures organisationnelles Objectifs 5

6 Système de management : PDCA Organisation Système de Management Planification Parties Prenantes Action Correction Exigences Satisfaction Vérification Parties Prenantes 6

7 Système de management : apports Apports d un système de management Oblige à adopter de bonnes pratiques Augmente donc la fiabilité de l organisme dans la durée De façon pérenne Comme un système de management est auditable Il apporte la confiance aux parties prenantes 7

8 Sécurité de l'information La sécurité de l information entend assurer La confidentialité L'intégrité La disponibilité des actifs sensibles de l'entreprise. Autres critères 8 Authenticité= authentification + intégrité Imputabilité, auditabilité, traçabilité Non répudiation Preuve Etc.

9 Les normes de la famille ISO27 ISO Audit de mesures ISO Vocabulaire ISO Mesures de sécurité ISO Audit de SMSI ISO SMSI ISO Implémentation ISO Certification de SMSI ISO Gestion de risque ISO Indicateurs 9

10 ISO27001 Les normes de la famille ISO27 Exigences pour un SMSI ISO27006 Exigences pour les organismes de certification 10

11 ISO27000 Les normes de la famille ISO27 Principes et vocabulaire ISO27002 à 8 : Guides de bonnes pratiques Mesures de sécurité Mise en place de SMSI, Audit de SMSI / des mesures de sécurité Indicateurs Appréciation de risque 11

12 ISO Objectif de la norme Recommandations ou exigences en sécurité Reprennent les recommandations classiques des experts en sécurité Certaines mesures sont très générales et d'autres très précises Certaines mesures sont applicables à tout l'organisme, d'autres à un actif particulier (exemple : serveur ou application) Donnent des recommandations parfois très larges pouvant inclure d'autres mesures de sécurité de la norme Aucune obligation d'implémentation 12

13 Structure générale 11 articles 39 objectifs de sécurité 133 mesures de sécurité 5: Politique du SMSI 6: Sécurité organisationnelle 7: Classification et contrôle des actifs 11: Contrôle d'accès 15: Conformité 8: Sécurité du personnel 9: Sécurité physique et 13: Gestion des environnementale incidents 10: Gestion des 12: Maintenance et communications 14: Gestion de développement et de l exploitation la continuité 13

14 Usages de la norme Pour l'implémentation de mesures de sécurité Usage principal de la norme Conseils pour la mise en place Permet de ne pas oublier de mesures importantes lors de la sélection Pour les tableaux de bord Usage très répandu Approche très pragmatique Pour les audits Les conclusions font référence à la norme Espéranto de la sécurité 14

15 Parallèle avec la norme ISO ISO Ne traite pas des systèmes de management Pas de spécification du modèle PDCA Usage de l'expression IL CONVIENT Aucune obligation d application Pas de certification ISO Traite des systèmes de management Modèle PDCA Usage du verbe DOIT ETRE Certification possible Application de tous les articles 4 à 8 obligatoire 15

16 Le lien entre ISO27001 et ISO27002 L'appréciation de risque Phase de planification (ISO27001) Prend en compte Les objectifs de sécurité déduits des exigences métier Validés par la direction Légitimise Les mesures de sécurité mises en place Lien entre la direction et les opérationnels sécurité 16

17 Le lien entre ISO27001 et ISO27002 Gérer le risque par une appréciation du risque Vraisemblance MENACE cible exploite ACTIF VULNERABILITE possède Conséquences 17

18 Le lien entre ISO27001 et ISO27002 Traitement du risque Transférer le risque Éviter le risque Maintenir le risque Réduire du risque à un niveau acceptable Réduction de risque Sélectionner les objectifs de sécurité et les mesures de sécurité Doivent être choisies dans l'annexe A de la norme ISO Liste de mesures Reprise dans la norme ISO

19 Apports des normes à la technique L'appréciation des risques permet D'identifier les actifs d'information Patrimoine informationnel Bien sensibles Ce qui est important pour l'entreprise D'identifier les besoins de sécurité de ses actifs Confidentialité Intégrité Disponibilité Ce qui doit être assuré 19

20 Apports des normes à la technique L'appréciation des risques permet De maîtriser les risques Les identifier Les estimer Ce qui doit être surveillé De construire un plan de traitement des risques Évaluer les risques Déterminer la priorité de traitement des risques Ce qui assure la bonne mise en place de mesures de sécurité 20

21 Exemple 1 Serveur Web Contexte : test d'intrusion interne Serveurs Web Hébergeant des sites institutionnels et commerciaux Découverte d'un serveur Web déjà compromis Relais IRC psybnc installé sur la machine! Ce serveur est un serveur de test Récemment mis en place Son niveau de sécurité est différent des autres serveurs Compte avec mot de passe faible Droit de s'y connecter depuis Internet 21

22 Actifs sensibles Exemple 1 Analyse de la situation Serveurs Web de production Actif moins sensible Serveur de test Aucune donnée sensible sur le serveur La nécessité de protéger de telles machines De l'extérieur De l'intérieur Ainsi, elles sont placées DMZ 22

23 Exemple 1 Le problème! Mais Un serveur de test est moins sensible qu'un serveur de production Et il n'a pas été protégé de la même façon Or il côtoie les serveurs de production! L'environnement des serveurs de production n'a pas été réévalué De nouveaux risques apparaissent Risque de rebond du serveur de test vers les serveurs de production 23

24 Exemple 1 PDCA et risques Une appréciation des risques suit le modèle PDCA Une seconde itération aurait mis en évidence Le changement d'environnement des serveurs de production La nécessité d'action : application d'une mesure de sécurité Retrait du serveur de test de la DMZ des serveurs de production Placement dans un environnement dédié A Séparation des équipements de développement, d'essai et d'exploitation 24

25 Exemple 2 Les journaux Contexte d'enquête post-incident Infection de la majorité des systèmes Windows Découverte de l'infection par l'administrateur du pare-feu Tentatives de connexions directes vers Internet Un vendredi soir à 21h! La console d'administration Antivirus non surveillée Alertes apparues à 12h non prises en compte 25

26 Actifs sensibles Exemple 2 Analyse de la situation Les systèmes Windows (postes clients et serveurs) Nécessité de supervision du SI Supervision en temps réel du pare-feu L'administrateur système reçoit un mail avec les alertes antivirales Il regarde lorsqu'il a le temps Mais comme personne n'a le temps... Les ressources de supervision orientés réseau Les besoins de surveillance n'ont pas été définis pour les actifs sensibles 26

27 Exemple 2 La mesure est appliquée? La mesure de sécurité qu'est la supervision sécurité est appliquée Mais son périmètre n'est pas en correspondance avec les actifs sensibles Problème de calibration de la mesure de sécurité 27

28 Exemple 2 Le bon choix Une appréciation des risques aurait mis en évidence Les besoins de traçabilité au niveau des systèmes En particulier pour les clients antivirus Et donc les forts besoins de supervision au niveau du serveur antivirus Le périmètre aurait été adéquat L'infection aurait pu être empêchée ou ralentie 28

29 Exemple 3 Le pare-feu Contexte : Audit de pare-feu Pare-feu assure la segmentation du réseau Au moyen de règles de filtrage Des règles sont ajoutées régulièrement Pour des nouveaux réseaux Pour des nouvelles applications Pour des tests Administré par une équipe compétente qui connaît parfaitement le produit Mais, il y a de plus en plus de règles... 29

30 Exemple 3 Analyse de la situation Nécessité de protéger les systèmes sensibles Par filtrage réseau A Cloisonnement des réseaux Le nombre important de règles rend l'administration difficile Beaucoup de règles inutilisées sont toujours présentes Tests achevés Applications qui n'existent plus Souvent très laxistes Allow Any Any vers une certaine machine L'objectif de protection réseau n'est plus atteint 30

31 Exemple 3 Le modèle PDCA Remédier à ce problème avec le PDCA Planifier Agir Identifier les flux autorisés Formaliser une liste des règles Configurer le pare-feu Vérifier S'assurer que les règles présentes dans le pare-feu sont cohérentes avec la liste des règles Corriger Si ce n'est pas le cas, modifier la liste des règles ou la configuration 31

32 Exemple 3 Conclusion Vérifier la cohérence de l'application de la mesure de sécurité Permet de traiter des règles problématiques Supprimer des règles obsolètes ou contradictoires Affiner les règles existantes Réduit les risques de flux non autorisés Contrevenant à la politique de sécurité 32

33 Synthèse La norme ISO Concilie les mesures techniques et organisationnelles mises en place avec les objectifs de sécurité de la direction Permet de Suivre l'évolution du SI et du nuage de menaces associé Se focaliser sur l'essentiel et de calibrer les mesures Maintenir le niveau de sécurité avec le PDCA Les actions en matière de sécurité sont orientées par les vrais risques pas par des actions au jour le jour. 33

34 Pour aller plus loin... Management de la sécurité de l'information par Alexandre Fernandez-Toro Aux éditions Eyrolles 34