SECURITE DES SYSTEMES D INFORMATION
COURS 2 ème partie
Sûreté ou sécurité? Sécurité : ensemble des éléments permettant d établir la confiance dans un système, un environnement, etc. (se sentir en sécurité) Sûreté : ensemble des éléments permettant d établir des certitudes de résultat, fonctionnement, etc. (être sûr de )
Des attaques liées aux technologies et au social Attaques Wifi / Bluetooth : écoute passive (eavesdroping), usurpation de point d'accès (rogue acess point), insertion de stations illégales (rogue client), utilisation de clients légaux ou usurpé (en IP phishing ou spoofing) en guise de cheval de Troie au sein du réseau Rootkits : un programme sournois dont la particularité est de contenir du code malveillant qu'il protège en se cachant. Cette dissimulation est totale : le programme n'apparaît ni dans la barre des tâches, ni dans le gestionnaire des tâches, ni dans l'explorateur.), keyloggers, robots et outils d économie souterraine Phishing massif, spamming massif Ingénierie social actif
Etat des lieux Conscience des besoins en sécurité (moyens, budgets et PSI*) Manque de moyens (budget, personnel qualifié, contraintes organisationnelles, réticences) De plus en plus de chartres informatiques dans les entreprises, mais peu de formation (35% des nouveaux arrivants) et sensibilisation (16%) * Politique de sécurité informatique
Incidents Toujours 2 grands facteurs visibles : erreurs et pertes/pannes Les autres restent apparemment marginaux Nota :l étude 2006 sort en fin 2007
Absence de continuité
Audit et sécurité 60% des entreprises appliquant des plans de sécurité réalisent au moins 1 audit sécurité par an parce que :
10 questions sécurité dans une grande entreprise française Créez-vous des mots de passe qui sont faciles à mémoriser par vos collaborateurs et difficiles à découvrir? Placez-vous un double de vos sauvegardes quotidiennes dans une pièce à l épreuve du feu et des dégâts des eaux? Essayez-vous vos sauvegardes pour vérifier qu elles sont complètes et utilisables? Éteignez-vous vos ordinateurs individuels, afin de les rendre inaccessibles, quand vous partez déjeuner et fermezvous vos bureaux? Vos ordinateurs portables sont-ils équipés d un système de verrou physique et de contrôle d accès aux données qui les rendent inutilisables en cas de perte ou de vol? Testez-vous les logiciels et les fichiers en provenance de l extérieur à l aide d antivirus mis à jour toutes les semaines? Sécurisez-vous vos connexions à Internet, à l aide d un firewall par exemple? Avant d effectuer des transactions bancaires sur Internet, évaluez-vous le mode de sécurisation proposé par le site marchand? Désignez-vous un homme sécurité dans votre entreprise? Disposez-vous d un plan de secours immédiatement opérationnel en cas de sinistre par virus, intrusion, erreur de manipulation, incident technique?
Notions et définitions de base
Notion de sécurité Sécurité (totale? ) = situation dans laquelle quelqu un ou quelque chose n est exposé à aucun danger, à aucun risque, en particulier d agression physique, d accidents, de vols ou de détériorations Sécurité = absence ou limitation des risques dans un domaine précis
Sécurité? Mais pour quoi? Dans le SI matériel logiciel données savoir et savoir-faire configurations Que peut-on supporter de : Perdre? (ou trouver non accessible) Être vu / Diffuser? Modifié / Falsifié? A l inverse, qu est-ce que l on ne peut accepter de voir perdu, diffusé, modifié?
Équilibrage des coûts Pertes maximales Zone sécurité Dépenses maximales Dépenses minimales applicables Pertes par non sécurité Dépenses de sécurité Dépenses maximales supportables Coût Minimum Pertes maximales supportables Niveau d équilibre Pertes minimales à gérer Pertes non protégeables
Méthodologies généralistes et concepts organisationnels
Méthodes Une méthode d étude et de gestion de la sécurité peut se décomposer en cinq grandes phases des plus classiques Une phase d analyse et diagnostic Une phase de choix et de préparation de ce que l on nomme un Schéma Directeur de Sécurité des Systèmes d Informations (SDSSI) Une phase de mise en œuvre des scénarios après tests Une phase de mise en œuvre d indicateurs de suivi et d un groupe de suivi des incidents et réactions aux sinistres Une phase de maintenance et d évolution des scénarios avec veille technologique et méthodologique
Acteurs de la sécurité Responsable sécurité informatique Responsable sécurité générale Responsable & groupe qualité Direction Utilisateurs Informaticiens
Implication des acteurs et moyens organisationnels
Démarche sécuritaire Analyse et diagnostic Recensement des risques % ressources Choix et orientations Spécifications des scénarios Préparation de SDSSI Tests, Choix, Mise en œuvre Plans actions et secours Réalisation du SDSSI* Indicateurs de suivi et de fiabilité des mesures de sécurité (MS) Suivi incidents, attaques, etc. Maintenance, évolution Intégration nouvelles règles, biens et contraintes. Veille Comité Pilotage et Suivi + Comité Sécurité + Comité Qualité Sensibilisation Formation Information Recherche/Sél. consultants et experts Recherche/Sél. prestataires et fournisseurs * SDSSI = Schéma Directeur de Sécurité des Systèmes d Information
Méthodes Anglo-saxonnes Cobit v3 (Control Objectives for Information and Related Technologies ) plus orienté outil de contrôle et de vérification que méthode réelle. Il indique ce qu il faut faire (QUOI) et non «comment faire». Mais il est organisé comme une méthode (phases de planification, d'acquisition, d'exploitation et de suivi). CRAMM v4 (CCTA Risk Analysis and Management Method) méthode d'origine britannique qui procède à une évaluation en 3 phases : identification des valeurs, analyse des risques et définition des mesures de sécurité (s appuie sur la norme britannique BS7799). Complète mais lourde (plus de 3.000 questions).
Méthodes françaises Ebios V.2006 (Expression des besoins et identification des objectifs de sécurité) Créée par la DCSSI (devenue ANSSI Agence de l administration française) Ebios vise à formaliser des objectifs de sécurité adaptés aux besoins du système audité comme de son contexte utilisable aussi pour une création. Mehari (Méthode harmonisée d'analyse de risques informatiques) Très complète, Mehari sert à: définir les objectifs, à analyser les risques et les vulnérabilités puis fournit un plan d'opération et des tableaux de bord. Suivie et mise à jour par le CLUSIF et issue des anciennes méthodes MARION, INCAS et MELISA réunies. MV3 (Melisa Version 3) MV3 est directement issue de Melisa (créée au sein de la DGA) et créée par CF6, rachetée par le groupe Telindus. Depuis, MV3 pourtant reconnue pour sa rapidité et sa souplesse est en perte de vitesse.
Normes ISO en TSI TRAVAUX ET ETUDE : ISO/IEC 7064:2003 Technologies de l'information -- Techniques de sécurité -- Systèmes de caractères de contrôle ISO 8372:1987 Traitement de l'information -- Modes opératoires d'un algorithme de chiffrement par blocs de 64 bits ISO/IEC 9796-2:2002 Technologies de l'information -- Techniques de sécurité -- Schémas de signature numérique rétablissant le message -- Partie 2: Mécanismes basés sur une factorisation entière ISO/IEC 9796-3:2000 Technologies de l'information -- Techniques de sécurité -- Schéma de signature numérique rétablissant le message -- Partie 3: Mécanismes basés sur les logarithmes discrets ISO/IEC 9797-1:1999 Technologies de l'information -- Techniques de sécurité -- Codes d'authentification de message (MAC) -- Partie 1: Mécanismes utilisant un cryptogramme bloc ISO/IEC 9797-2:2002 Technologies de l'information -- Techniques de sécurité -- Codes d'authentification de message (MAC) -- Partie 2: Mécanismes utilisant une fonction de hachage ISO/IEC 9798-1:1997 Technologies de l'information -- Techniques de sécurité -- Authentification d'entité -- Partie 1: Généralités ISO/IEC 9798-2:1999 Technologies de l'information -- Techniques de sécurité -- Authentification d'entité -- Partie 2: Mécanismes utilisant des algorithmes de chiffrement symétriques Etc. 3 comités d étude pour : Exigences, services de sécurité et directives Techniques et mécanismes de sécurité Critères d'évaluation de la sécurité ISO/IEC : Commission électrotechnique internationale de l ISO La norme ISO 27000 (ex-iso 17799, ex-bs 7799) propose des recommandations pour le démarrage, l'installation et la gestion de la politique de sécurité des informations ou du système d informations (POSI ou PSSI), sécurité des systèmes d'informations (SSI) de l'entreprise.
Etat des lieux d utilisation 20,00% 15,00% 10,00% 5,00% 0,00% BS7799-2 CRAMM V4 Aucune MEHARI OCTAVE ERSI MARS COBIT AD HOC BS7799 ISO/IEC MELISA MARION Taux d'utilisation des normes et méthodes d'organisation et d'évaluation de la sécurité du système d'information dans les entreprises françaises (réponses multiples) La norme internationale organisationnelle ISO 17799 tient autant d'importance que les méthodes dans la définition et l'évaluation de la politique de sécurité du système d'information 01.net décembre 2003.
Usage des méthodes GB Nom de la méthode Cobit V3 CRAMM V4 Ebios 1.02 Mehari MV3 Caractéristiques Analyse des risques Non Oui Oui Oui Oui Analyse des vulnérabilités Non Oui Oui Oui Oui Plan de sécurité Non Oui Oui Oui Oui Contrôle et vérification Oui Non Non Oui Oui Bilan de sécurité Non Non Non Oui Non Périmètre Adapaté à toutes les tailles d'entreprises Oui Oui Oui Oui Oui Conçu pour des environnements technologiques variés Oui Oui Oui Oui Oui Outils Scénarios de risques Non Oui Oui Oui Oui Questionnaires Oui Oui Oui Oui Oui Modèles (formulaires, grilles ) Oui Oui Oui Oui Oui Logiciel disponible Non Oui Non Oui Oui FR Logiciel Méhari Source : étude comparative menée par le secrétariat du conseil du Trésor du Québec, en novembre 2001
Normes sécurité Pour s assurer qu un produit ou système assure effectivement toutes les fonctions de sécurité nécessaires, il doit être soumis à une évaluation formelle basée sur des normes internationales rigoureuses et objectives définissant la méthodologie et les critères. Reconnaissance mutuelle des certificats : accord européen ITSEC/ITSEM (Information technology security evaluation criteria / methodology) France, Allemagne, UK au total 13 pays européens (tous niveaux) Critères Communs/ CEM (Criteria Evaluation Methodology) 13 pays Européens (tous niveaux) Reconnaissance mutuelle des certificats : accord mondial Situation à ce jour Evolutions prévues (aucun) ITSEC : Juin 1991 (bibliothèque de remise à jour annuelle) ITSEM : Juin 1995 Pas d évolution au niveau du concept Sera maintenu par le centre français de certification (SCSSI, Service Central de Sécurité des Systèmes d Information) 13 pays Européens + USA, Canada, Australie, Nvlle Zélande (niveaux EAL 1 à 4 uniquement) CC Version 1.0 : 1996 CC Version 2.0 : 1998 CC Version 2.1(ISO15408) : 1999 CEM Version 1.0 : 01/2000
Normes (suite) La CCITSE (Common Criteria for Information Technology Security Evaluation) est une série de critères d évaluation déterminée par les Agences de sécurité nationales de 14 différents (USA, Allemagne, Australie, Canada, Espagne, Finlande, France, Grèce, Italie, Israël, Norvège, Nouvelle-Zélande, Pays-Bas, et Royaume-Uni). Conçue pour gommer les différences techniques et conceptuelles entre les normes existantes dans l évaluation des produits et systèmes de sécurité. La certification EAL4 de critères communs exige une analyse approfondie du concept du produit et de sa méthodologie de développement, ainsi que de nombreux tests. Des produits tels que Symantec Enterprise Firewall 7.0, Microsoft Windows 2000 Server SP3, Moneo, NetScreen integrated firewall/vpn, etc. disposent de cette certification.
Points clefs d ISO 17799 Aspects organisationnels Politique de sécurité organisation Veille Mesures d audit Procédures Recensement des actifs conformité à la législation sécurité du personnel Politique d embauche Clauses de confidentialité, etc. Continuité d activité Aspects logiques Contrôle d accès Gestion des droits et mots de passe Etc. Développement et maintenance des systèmes communication et management opérationnel Gestion des sauvegardes, des journaux, des erreurs Protection contre les codes «malicieux» Séparation des responsabilités Aspects physiques Sécurité physique et environnementale Périmètre de sécurité Contrôle d accès physique Isolement des zones de livraisons et d accès clients Alimentation électrique Obligation de rangement (bureau principalement) Etc.
De ISO 17799 à ISO 2700x 27001 Mise en place d un SMSI ou Système de Management de la Sécurité de l'information S appuie sur les concepts de PDCA utilisé en norme qualité (Plan-Do-Check-Act) 27002 Ensemble de mesures (133) dites de «best practices» 27005 Gestion du risque en sécurité informatique (mise en œuvre de 27001)
AUDIT DE SECURITE L un des points clefs de l audit informatique reste l audit des réseaux et de la sécurité informatique. Pour ce faire, des méthodes, législations et normes, (utilisables dans d autres domaines que l audit de sécurité info) ont été créés et mises en place : Méthodes et Outils : Marion Mélisa MV3 Méhari 2007 Ebios 1.0.2 COBIT CRAMM v4 ITIL V3 etc. Normes : BS7799 (GB) et ISO 17799/27001 (sécurité TIC) ISO/CEI 13335 (management sécu TIC) BS1500 (Contrôle des processus via ITIL) Législation (qqs exemples ) Loi n 78-17 du 6/01/78 sur l'informatique, les fichiers, les Libertés Loi n 85-660 du 3/07/85 sur la protection des logiciels Loi n 88-19 du 5/01/88 relative à la fraude informatique Loi pour la confiance dans l économie numérique (LCEN) ou loi Fontaine
Extraits d ISO 27000 (anciennement 17799) Aspects organisationnels Politique de sécurité organisation Veille Mesures d audit Procédures Recensement des actifs conformité à la législation sécurité du personnel Politique d embauche Clauses de confidentialité, etc. Continuité d activité AspectAspects logiques Contrôle d accès Gestion des droits et mots de passe Etc. Développement et maintenance des systèmes communication et management opérationnel Gestion des sauvegardes, des journaux, des erreurs Protection contre les codes «malicieux» Séparation des responsabilités Aspects physiques Sécurité physique et environnementale Périmètre de sécurité Contrôle d accès physique Isolement des zones de livraisons et d accès clients Alimentation électrique Obligation de rangement (bureau principalement) Etc.