s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot
Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s) de la sécurité ou de sinistres informatiques Attentes vis-à-vis de cet atelier
Les enjeux Tous les processus de l entreprise dépendent fortement de l informatique Multiplication des échanges et des interconnexions (EDI, Internet, E-mail) Besoin permanent d informations à jour Réactivité Valeur commerciale de l information
Les menaces Accident : incendie, inondation Panne matérielle Bug logiciel Erreur interne Piratage, vol de données Délinquance informatique Détournement du SI, usurpation d identité Virus
Origine des sinistres Erreur humaine Malveillance Accident / Panne Anomalie logicielle Erreur de manipulation Non respect de procédure Piratage : Virus Accident logique / physique interne / externe Panne, usure (support de données) Bug logiciel ou progiciel
Conséquences Données erronées Fuite de données confidentielles Indisponibilité du S.I. Perte d exploitation perte financière Perte de compétitivité Perte d image Responsabilité juridique : Fichiers de données personnelles Utilisation du réseau pour une attaque Recel involontaire
s é c u r i t é i n f o r m a t i q u e Définitions
Système d information Information Ce que l on transmet (les messages) Ce que l on stocke (les données) Ce que l on traite (les connaissances) Système d information «tout moyen destiné à saisir, élaborer, traiter, stocker, acheminer, présenter ou détruire l information» Données Moyens de les utiliser : matériel, logiciel, réseau
Critères de sécurité isponibilité ntégrité onfidentialité
Caractérisation d un risque Risque Un évènement pouvant empêcher de maintenir une situation ou d atteindre un objectif Potentialité Probabilité que le risque soit activé Impact importance des conséquences Gravité
Sécurité Réduire les risques Réduire la potentialité : prévenir les risques Réduire l impact : tolérance aux fautes Mesures de sécurité
s é c u r i t é i n f o r m a t i q u e Scénario de sinistre
Scénario de sinistre Système d information Est la cible de Menace (potentielle) Se concrétise par Agression / accident Provoque Dégâts Occasionnent Pertes
Scénario : le S.I. S.I. Cible de Menace Concrétisée par Agression Provoque Dégâts Occasionnent Pertes Matériel Réseaux et télécommunications Logiciels d infrastructure (O.S., services réseau, SGBD) Progiciels applicatifs Processus et procédures Ressources humaines
Scénario : les menaces S.I. Cible de Menace Concrétisée par Agression Provoque Le S.I. est vulnérable et soumis à des menaces potentielles, par exemple : Panne d un matériel Incendie Virus Attaque d un pirate Perte de données Dégâts Occasionnent Pertes Facteurs de menace mauvais climat social concurrence agressive mauvaise image publique
Scénario : l agression S.I. Cible de Menace Concrétisée par Agression Provoque Dégâts Occasionnent Pertes La menace se concrétise par une agression, une erreur, un accident : Un équipement tombe en panne Un incendie se déclenche Un virus arrive sur la messagerie Un pirate passe à l attaque Un utilisateur efface accidentellement des données
Scénario : les dégâts S.I. Cible de Menace Concrétisée par Agression Provoque Dégâts Occasionnent Pertes L agression / accident altère un critère de sécurité (Disponibilité, Intégrité, Confidentialité) d un élément du S.I. Une application ne fonctionne plus Des données confidentielles ont été volées Les données sont inexactes Un pirate à le contrôle d un PC
Scénario : les pertes S.I. Cible de Menace Concrétisée par Agression Provoque Dégâts Occasionnent Pertes Les dégâts sur le S.I. génèrent des pertes pour l entreprise Perte de production Les documents diffusés sont inexacts : perte d image L entreprise est assignée en justice pour diffusion de données personnelles.
Mesures de sécurité POTENTIALITE Structurelles Préventives Protection réduisent l exposition évitent la concrétisation limitent l ampleur S.I Cible de Menace Concrétisée par Agression Provoque IMPACT Palliatives Récupération réparent et atténuent limitent Dégâts Occasionnent Pertes
Les mesures structurelles S.I Cible de Menace Réduction de la potentialité Réduction de l exposition aux menaces Organisation de l entreprise Cloisonnement des locaux / des activités Faible dépendance au S.I. Sensibilisation du personnel Architecture du S.I. Centralisé / Réparti Contrôles d accès logique et physique Environnement de l entreprise Climat social Notoriété, image publique, discrétion
Les mesures préventives Menace Se concrétise par Agression Réduction de la potentialité Eviter la concrétisation des menaces Prévenir les accidents et les erreurs Maintenance préventive, surveillance Sensibilisation Dissuader les agresseurs Identification + Sanction Les agresseurs potentiel doivent être convaincus qu ils seront pris et punis Détecter les sinistres au plus tôt
Les mesures de protection Agression Provoque Dégâts Réduction d impact Limiter l ampleur des dégâts sur le S.I. Augmenter le niveau de l agression nécessaire Contrôle d accès, mots de passe robustes Qualité de l infrastructure physique Pare-feu sur les accès réseau, anti-virus Réduire les conséquences directes Robustesse du matériel Cloisonnement, redondance Détection incendie, extinction automatique Détection et intervention rapides
Les mesures palliatives Dégâts Occasionnent Pertes Réduction d impact Eviter que les dégâts ne pénalisent l entreprise Réduire les conséquences indirectes de l accident ou de l agression Dispositifs de secours Restauration des données Contrats de maintenance : remise en service rapide Mode dégradé Changement des codes de sécurité Plan de communication (vol de données sensibles, perte d image)
Les mesures de récupération Pertes Réduction du préjudice subi Transfert des pertes sur des tiers Assurances Récupération de dommages et intérêts (actions en justice) Réduction d impact
s é c u r i t é i n f o r m a t i q u e La nécessité d une démarche globale
Cherchez l erreur!
Pourquoi? Mettre les moyens là où ils sont nécessaires Eviter les «trous de sécurité» Gestion des priorités Définir le niveau de sécurité nécessaire : disponibilité : quel niveau? confidentialité : qu est-ce qui est confidentiel? Que faut-il sécuriser? Disponibilité Confidentialité Mettre en place les bonnes mesures
Une stratégie de sécurité Définir les critères (besoins) de sécurité Disponibilité Intégrité Confidentialité Evaluer les risques Identifier les objectifs de sécurité Niveau de réduction des risques Suivre et mesurer la sécurité du S.I. Le référentiel de l entreprise
s é c u r i t é i n f o r m a t i q u e Evaluation et Réduction des Risques Informatiques
Principe Inventorier, Décomposer, Quantifier Imaginer Classer Synthétiser Plan de sécurité
Etude du contexte : Etude du contexte les processus / fonctions clés de l entreprise les éléments du S.I. matériel réseaux et télécommunication Décomposition cellulaire fichiers / bases de données logiciels d infrastructure progiciels Prestataires / Contrats ressources humaines (informatique) Matrice d utilisation des ressources par les processus
besoin de sécurité Déterminer le besoin de sécurité : seuils d indisponibilité (mineure, grave, majeure) processus besoin d intégrité ressources informations en entrée des processus résultats produits par le processus besoin de confidentialité pour les données stockées ou échangées
les risques Enumérer les risques (scénarios de sinistre) par rapport aux menaces imaginables accidents, pannes, erreurs, malversations par rapport aux conséquences directes non-confidentialité d une donnée résultat d un traitement erroné indisponibilité d un matériel, d un logiciel
Quantifier les risques Potentialité Evaluation et notation Impact sur les critères de sécurité Gravité ⓿ risque négligeable ❶ risque faible ❷ risque important ❸ risque inadmissible (ne sera pas admis) ❹ risque insupportable (met en péril l entreprise)
mesures de sécurité Objectif Ramener tous les risques en dessous du seuil d intolérabilité Lister les mesures de sécurité applicables Evaluation du coût et des contraintes de mise en oeuvre
Mesures de sécurité Efficacité Couverture (processus/données sécurisés) Réduction de la gravité des risques Robustesse Résistance à une attaque pour la neutraliser Tolérance aux pannes exemple : sauvegarde sur disquette : efficace et peu robuste
Plan stratégique Mesures retenues (coût / efficacité Equilibre) Plan de mise en œuvre Moyens de vérifier l efficacité Vérification régulière de l adéquation du plan et des objectifs de sécurité
s é c u r i t é i n f o r m a t i q u e Mise en oeuvre
Le minimum vital Sécurité physique des locaux Sauvegardes / Plan de restauration Mots de passe, contrôle d accès Firewall sur accès externes Antivirus Charte interne
Sécurité à tous les niveaux Protection générale Mesures contre les menaces Sécurités des ressources du S.I. Sécurité des processus Structurelles Préventives Protection Palliatives Récupération S.I Menace Agression Dégâts Pertes
Exemple Cas de disques en miroir - critère de sécurité : disponibilité - mesure de protection Contrat de dépannage des disques - mesure palliative et préventive exemple : (hypothèse : MTBF = 3 ans ) Probabilité de la double panne ( pertes de données) Dépannage sous 1 semaine : 1/25.000 Dépannage sous 4 heures : 1/5.000.000
Alertes et vérifications Etre alerté dès qu un sinistre survient Vérifier le bon fonctionnement des mesures Outils d alertes Outils de contrôle & mesure
Précautions Attention aux «modes communs» Toujours mettre plusieurs contrôles complémentaires Vérifier régulièrement la sécurité, en remettant en cause les certitudes Systèmes automatiques pour une détection et des mesures rapides Complétés par des vérifications périodiques manuelles Etre imaginatif
Conseils de mise en oeuvre Sensibiliser tout le personnel Nommer des responsables par secteur qui s engagent sur les objectifs de sécurité La sécurité doit être un processus de l entreprise à part entière et itératif
s é c u r i t é i n f o r m a t i q u e Conclusions et perspectives
Une démarche qualité Sécurité => Qualité Qualité => Sécurité Toute entreprise est concernée par la sécurité, même si ses besoins sont faibles : les risques doivent être connus et acceptés
Et l information non informatisée? Le S.I. peut être étendu à : Dossiers «papier» Procédures manuelles Comment maîtriser leur sécurité? Informatique = augmentation des sources de risque Informatique = augmentation de la sécurité