Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence GNU FDL. Vous pouvez copier, modifier des copies de cette page tant que cette note apparaît clairement.
ntic consultant Consultant des les domaines des systèmes d information Assistance à maitrise d ouvrage Sécurité des systèmes d information Evolution des architectures Déploiement d infrastructure Maitrise d œuvre Mise en œuvre des stratégies de sécurité Migration P.C.A. / P.R.A. Formation aux N.T.IC. Quels usages des NTIC pour l entreprise L intégration des NTIC dans l entreprise Les coûts et les retours sur investissements Optimisation des performances 2
Sommaire Les enjeux Présentation de la norme ISO 17799 / 27002 La démarche ISO 17799 au niveau de l entreprise Les 10 chapitres de la norme Les difficultés et les vulnérabilités Les solutions (parades) Synthèse 3
Quelques chiffres 1 ordinateur sur 5 connait une panne de disque dur pendant son exploitation 60% des données d'entreprise ne sont pas sauvegardées 70% des PME & PMI, touchées par un incident de sécurité majeur de leur système d'information, déposent leur bilan dans les 3 ans, soit le même ratio que pour le cas d un incendie important. En janvier 2003, le ver SQL Slammer a été le ver qui s'est propagé le plus rapidement dans l'histoire d'internet: le nombre d'ordinateurs infectés a doublé toutes les 8,5 secondes, après 10, minutes près de 90% des systèmes vulnérables étaient contaminés 4
Les objectifs Confidentialité Seuls les personnes habilitées peuvent accéder aux l informations. Intégrité Les données ne sont pas altérées ni altérables. Disponibilité Assurer l accès aux informations 5
La norme ISO 17799 Définit 10 chapitres (127 règles) qui constituent un guide de bonnes pratiques La norme définit Quoi faire mais pas Comment le faire ISO 27001 (certification) 6
La norme ISO 17799 0) Connaissance de l entreprise Métiers Organisation Partenaires Les applications informatiques Flux d information 1) Politique de sécurité Le management doit s impliquer dans la politique de sécurité Sécurité = Contraintes Arbitrages (financier, droits des utilisateurs, etc.) Document Politique de sécurité de l information (charte) 7
La norme ISO 17799 2) Organisation de la sécurité informatique L organisation interne de la sécurité (comité de gestion) Le contrôle des tiers Problématique Libre accès au réseau 24 h /24 7 j / 7 Généralement pas de traçabilité des connexions Possèdent les codes d administration Turn-over important Stagiaires Pas ou peu de prise en compte de la sécurité 1) Accès permanent (VPN) Solutions Gestion des baux de connexions et interface convivial Ecriture d un script pour désactiver les comptes des tiers toutes les nuits. 2) On-demand Ouverture de session par le client (interface type Web). Fermeture de la session automatique Logiciel type Inquero 8
La norme ISO 17799 3) Gestion des actifs Hiérarchiser l information Définir les responsabilités 9
La norme ISO 17799 Données vitales Hiérarchiser l information Données indispensables à la survie de l entreprise (bases de données production / facturation). Données confidentielles (DRH, le savoir faire) Données de l entreprise Données vitales Données de l entreprise Information Bureautique. Messagerie. Dossiers utilisateurs Archives Information Tout ce qui peut être recréé (téléchargement, documentations, etc.) ou perdu sans préjudice 10 10
La norme ISO 17799 Sauvegarde Sur Internet Centralisation et Organisation des données Data Data-v Bases de données Data-e Utilisateurs Data-i Photos DRH Documentation fournisseur Affaires en cours Affaires réalisées Archives Droit de lecture Groupe Commercial 11
La norme ISO 17799 4) Sécurité des ressources humaines Typologie des incidents de sécurité en entreprise Enquête CLUSIF 2005 Avant embauche (charte informatique) Lors du contrat (formation) Fin ou modification de contrat (mise à jour des droits) Intrusion accès sans fils Chantages, extorsion d'informatique Fraudes informatiques Intrusions systèmes Sabotages physiques Attaques de dénigrement 0 1 2 2 3 3 Attaques logiques ciblées 4 Divulgations Accidents physiques (incendies,...) 4 6 Série1 Evénements naturels (inondation, ) 8 Virus Panne interne 36 37 Vols Erreurs d'utilisation Pertes de services (électricité, télécom, etc.) 44 46 47 Erreurs de conception 58 0 10 20 30 40 50 60 70 12
La norme ISO 17799 5) Sécurité physique et environnementale (13 règles) Sécurité physique (contrôle d accès) Sécurité des équipements (alimentation électrique, climatisation, etc.) Destruction des équipements 13
5) Sécurité physique et environnementale Le vol de données Problématique Solutions Le savoir faire de l entreprise est de plus en plus numérisé Les données sont accessibles depuis «n importe où» (interne et externe) Les moyens de stockage sont multiples (Clé USB, WebMail, Téléphone Portable, etc.) et les Hiérarchiser et organiser les données Restreindre l utilisation des périphériques (port USB) Utilisation des stratégies de sécurité (local, GPO) Crypter les données Solution DLP ( Data Loss Prevention) capacités sont très importantes. 14
La norme ISO 17799 6) Gestion de la communication et de l exploitation (24 règles) Procédures d exploitation (documentation) Gestions des incidents Différentiation des environnements de développement (recettage) et de production Procédures de mise en production Planification (anticiper l augmentation de la charge) Politique et stratégie antivirales 15
Les codes malicieux Lexique Virus classique Virus Chevaux de Troie Malware Programmes malveillants Vers Spyware Spyware Logiciel espion Adware Publiciel Affiche des publicités Spam Hoax Phishing Pourriels Messages (emails) publicitaires non sollicités Canular Hameçonnage 16
La norme ISO 17799 6) Gestion de la communication et de l exploitation (24 règles) Gestion de la sécurité du réseau (intrusions) Utilisation d accessoires (ex : clés USB) Echanges d informations (cryptage) Commerce et déclarations en ligne (certificats) Sauvegardes Copie des données à l extérieur Automatisation de la procédure Conservation des générations Tests de restauration 17
La norme ISO 17799 7) Contrôle d accès à l information Limiter les droits des utilisateur en prenant en compte les exigences des affaires Procédure de connexion des terminaux (802.1x, mac address, NAP / NAC, etc.) Contrôle des accès au réseau depuis l extérieur (authentification forte) Séparation ou cloisonnement des réseaux (R&D, Production, Administratif, etc.) Gestion des mots de passe 18
7) Contrôle d accès à l information Gestion des mots de passe (pour un mot de passe de 8 caractères) Type de mot de passe Nbr de caractères Nbr de mots de passe Temps cracking Lexique (anglais) 8 carac. et + spécial 250000 < 1 seconde Casse minuscule 26 208827064576 9 heures Casse minuscule + 1 majuscule 26/spécial 1670616516608 3 jours Minuscule et majuscule 52 Lettres + chiffre 62 Caractères imprimables 95 53459728531456 6 jours 218340105584896 1 an 6634204312890620 30 ans Jeu de caractères ASCII 7 bits 128 72057594037927900 350 ans Source : www.klein.com/dvk/publications 1993 Outil de cracking : John The Ripper 19
7) Contrôle d accès à l information Gestion des mots de passe Recommandations Inciter les utilisateurs à choisir des mots de passe de longueur supérieure à 7 caractères Utiliser des chiffres et des majuscules Forcer l obligation de changer le mot de passe régulièrement (utilisation de GPO WS 2003 et 2008) Privilégier les logiciels qui supportent les annuaires d authentification type X500 / Ldap / Active Directory 20
7) Contrôle d accès à l information Wifi Séparer le réseau Invités et le réseau Entreprise Masquer le SSID Ne pas utiliser le cryptage Wep On retrouve ici l'outil wepcrack en action sur les packets capturés précédemment. Comme vous le remarquerez, sur la partie sélectionnée en blanc, wepcrack n'a mis que 5 secondes à trouver la clé wep qui est en rouge comme indiqué sur le bas de la fenêtre Utiliser le cryptage WPA ou WPA2 Rajouter le contrôle de l adresse Mac Centraliser la sécurité 21
7) Contrôle d accès à l information Passerelle d accès Internet Routeur Pare-feux (Firewall) U.T.M. (Traitement unifié des menaces) Partage de l accès internet Contrôle des paquets X X X X X X Prévention d intrusion (scénarios d attaques) X X Anti-virus Anti-spam Filtre URL X Coûts 200 / 400 A partir de 600 1/3 coût de maintenance annuelle A partir de 1 000 1/3 coût de maintenance annuelle 22
La norme ISO 17799 8) Développement et maintenance des systèmes Conformité des équipements (logiciels et matériels) Déroulement correcte des applications (spécifiques) Gestion des changements Applications des patchs de vulnérabilité (Windows Update) 23
La norme ISO 17799 9) Continuité d affaires Plan de Continuité d Activité (P.C.A). Plan de Reprise d Activité (P.R.A.). 24
9) Continuité d affaires (Petites causes, Grands effets) Mise en place d un Plan de Continuité d Activité (PCA) et d un Plan de reprise d activité (PRA). Principe Le système d information est mis à plat, pour chaque élément en cas de panne ou de dysfonctionnement : Quelles sont les applications, les services impactés? Quelle est la procédure de remise en service opérationnel? En combien de temps (RTO)? Avec quel niveau d information (RPO) Le RTO et le RPO sont-ils compatibles avec les contraintes de l entreprise? Si non, quelles sont les solutions? Ces solutions sont-elles envisageables? 25
La norme ISO 17799 11) Conformité Aux exigences légales (CNIL, information des représentants du personnel) De la mise en œuvre de la politique de sécurité (Audit) Ce que l on croit être mis en œuvre Ce qui est mis en œuvre Ce qui fonctionne Ce que l on devrait faire 26
Synthèse des recommandations Impliquer la direction de l entreprise, sensibiliser (charte informatique) et informer les utilisateurs Hiérarchiser et organiser les données Centraliser et administrer les outils (anti-virus, profil, GPO, etc.) Contrôler les sauvegardes (tests de restauration) Utiliser un anti-virus et un anti-spyware sur chaque poste du réseau et sur la passerelle Internet Contrôler l environnement physique Définir les droits des utilisateurs au plus proche de leurs besoins fonctionnels (VPN, R/O, R/W, etc.) Restreindre les droits des partenaires (connexion de type On Demand) Sécuriser les accès Wifi, ne pas se contenter du WEP. Mettre à jour régulièrement les logiciels (Serveur WSUS) Mise en œuvre d un Plan de Reprise d Activité (P.R.A.) ou d un Plan de Continuité d Activité (P.C.A.) Vérifier la conformité de la politique de sécurité (auditer) 27
Ntic consultant La sécurité des systèmes d information Questions? 28