Les principes essentiels

Documents pareils
Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Connaître les Menaces d Insécurité du Système d Information

DECLARATION DES PERFORMANCES N 1

L'AUDIT DES SYSTEMES D'INFORMATION

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

La prise de conscience de la Cyber Sécurité est en hausse

Gestion des mises à jour logicielles

Les enjeux de la sécurité informatique

Entreprise. Gestion énergétique de votre parc informatique

Table des matières. Partie I CobiT et la gouvernance TI

COMPUTING. Jeudi 23 juin CLOUD COMPUTING I PRESENTATION

Leçon 12. Le tableau de bord de la gestion des stocks

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Modernisation et gestion de portefeuilles d applications bancaires

PUISSANCE ET SIMPLICITE. Business Suite

POITIERS le 28 Mars Règlement Produit Construction Le rôle des différents acteurs. Pascal BAR

curité des TI : Comment accroître votre niveau de curité

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Gestion des incidents

La reconquête de vos marges de manœuvre

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

ProCurve Manager Plus 2.2

Christophe Pagezy Directeur Général Mob:

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

tntswisspost.com TNT SWISS POST AG FACTURES Contrôle simple et traitement efficace THE PEOPLE NETWORK 1/6

INVETISSEMENTS, PRODUCTION, COMMERCIALISATION, EXPORTATION: FACILITES & CONTRAINTES. CAS DU GROUPE FALY EXPORT

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Les conséquences de Bâle II pour la sécurité informatique

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

M&S Automation. Analyse Statistiques Qualité. Ingénierie de l information. acquisition et stockage des données. analyse des données

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Listes de fournitures du secondaire pour la rentrée

DATE D'APPLICATION Octobre 2008

Rencontres Recherche Industrie IRIT - 26 Septembre Michel Kamel

CHAPITRE V SELECTION DES CONSULTANTS ET D AUTRES PRESTATAIRES DE SERVICES

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Meilleures pratiques de l authentification:

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

ÉTUDE DE L EFFICACITÉ DE GÉOGRILLES POUR PRÉVENIR L EFFONDREMENT LOCAL D UNE CHAUSSÉE

La sécurité informatique

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

ISO conformité, oui. Certification?

SAML et services hors web

ARKOON FAST360/5.0. Cible de sécurité Critères Communs Niveau EAL3+ Reference : ST_ARKOON_FAST360_50 Version 2.6 Date : 14/09/2011

Déploiement national de la carte d achat au CNRS

Optimisez vos environnements Virtualisez assurément

Rapport de certification

Revue de Presse ACIERNET Année 2014

Le premier objectif de Quickser est donc de proposer une solution avant tout source d économies et ce dans plusieurs domaines.

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Une protection ICT optimale. Du conseil à la gestion en passant par le développement et la mise en oeuvre

AUDIT CONSEIL CERT FORMATION

CIBLE DE SECURITE CSPN DE L APPLICATION TEOPAD POUR TERMINAUX MOBILES

Gestion du risque numérique

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

L'infonuagique, les opportunités et les risques v.1

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Fiche Technique. Cisco Security Agent

L UTILISATEUR, CIBLE DE TOUTES LES MENACES

Rapport de certification

Votre Réseau est-il prêt?

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

PREMIER MINISTRE Secrétariat Général de la Défense et la Sécurité Nationale Agence Nationale de Sécurité des Systèmes d Information GUIDE

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

La présentation qui suit respecte la charte graphique de l entreprise GMF

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Quelle place pour e-toile au cabinet du médecin?

StoneGate Firewall/VPN

IBM Tivoli Compliance Insight Manager

ISO la norme de la sécurité de l'information

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

Sécurité des systèmes informatiques Introduction

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Rapport de certification

Adopter une approche unifiée en matière d`accès aux applications

Autorité de Certification OTU

Gestion des Clés Publiques (PKI)

DEMANDE D'AUTORISATION D'EXPLOITATION D'UNE INSTALLATION DE STOCKAGE DE DÉCHETS INERTES. Au titre de l'article L du Code de l'environnement

INF4420: Sécurité Informatique

DEMATERIALISATION & ARCHIVAGE ELECTRONIQUE

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

L outil ou le processus?

Pour les entreprises de taille moyenne. Descriptif Produit Oracle Real Application Clusters (RAC)

Intranet de l Administration Tunisienne

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Mettre en place un accès sécurisé à travers Internet

Rapport de certification

Guide d Estimation Volumétrique des Logs

De protection des données dans SharePoint de l entreprise

Identité, sécurité et vie privée

«clustering» et «load balancing» avec Zope et ZEO

Transcription:

Sécurité informatique: Jean-Marc Robert Génie logiciel et des TI Les principes essentiels

Plan de la présentation Introduction Principes Fondements de la sécurité Gestion des risques Facilité d utilisation Capacité de résilience de résister aux attaques Réduction des vulnérabilités Conception en fonction d une grande connectivité Sommaire Jean-Marc Robert, ETS Les principes essentiels A08 2

Objectif Présenter une liste de principes de sécurité généralement acceptés devant être considérés lors de la phase de conception, de la phase de développement et de la phase opérationnelle de tous systèmes d information. Infrastructure TI (réseaux, ) Applications logicielles Jean-Marc Robert, ETS Les principes essentiels A08 3

Phases du développement logiciel Phase initiale Définition des objectifs et des besoins. Analyse de risque. Phases de conception et de développement Définition des spécifications de sécurité. Mise en œuvre de ces spécifications et des tests. Phase de déploiement de projet pilote Test du système dans un environnement opérationnel. Certification. Phase opérationnelle Mise à jour. Administration, assurance et audits. Phase de fin de vie Jean-Marc Robert, ETS Les principes essentiels A08 4

Fondements de la sécurité 1. Définir l ensemble des politiques de sécurité sur lequel devra reposer la sécurité. Définir les objectifs en fonction de la confidentialité, de l intégrité et de la disponibilité des actifs, en fonction de l imputabilité des actions et du niveau d assurance désiré. 2. Intégrer la sécurité au cœur même de l architecture globale. Intégrer la sécurité dans tout le cycle de vie du système. X. Éviter à tout pris de baser la sécurité sur le secret. Proscrire la notion de «security-by-obscurity». Jean-Marc Robert, ETS Les principes essentiels A08 5

Fondements de la sécurité 3. Clairement déterminer les limites physiques et logicielles du périmètre de sécurité devant être régi par l ensemble des politiques de sécurité. 4. S assurer que les concepteurs soient formés de façon adéquate pour traiter les problèmes de sécurité. Jean-Marc Robert, ETS Les principes essentiels A08 6

Gestion des risques 5. Réduire le risque à un niveau acceptable. Réduire l impact d une vulnérabilité. Réduire la vraisemblance d une attaque. 6. Supposer que toute interaction avec un tiers soit risquée. Que ce soit un système externe ou interne. Un système interne peut éventuellement être compromis et représenter un risque. 7. Identifier les compromis entre la réduction d un risque et l augmentation des coûts ou la perte d efficacité. Jean-Marc Robert, ETS Les principes essentiels A08 7

Gestion des risques 8. Mettre en place des mesures de sécurité appropriées aux besoins d affaire. 9. Protéger l information en tout temps. Lors de son traitement, de son stockage ou de sa transmission. 10. Développer au besoin des produits spécifiques. 11. Se protéger contre tous types d attaques. Attaques passives ou actives, locales ou distantes. Menaces internes ou externes. Jean-Marc Robert, ETS Les principes essentiels A08 8

Facilité d utilisation 12. Si possible, utiliser des normes de sécurité afin de faciliter la portabilité et l interopérabilité. Par exemple, ne jamais développer sa solution cryptographique. 13. Utiliser la bonne terminologie pour définir les spécifications. La comparaison entre les systèmes est simplifiée. Les critères communs (ISO/IEC 15408) sont un excellent exemple. Jean-Marc Robert, ETS Les principes essentiels A08 9

Facilité d utilisation 14. Concevoir un système pour qu il puisse être mis à jour simplement. L absence de toute réévaluation d un système peut mener à une fausse perception de sécurité et augmenter les risques sous-jacents. Les mécanismes de sécurité doivent être mis à jour au besoin sans nécessiter une nouvelle architecture. 15. Chercher à simplifier l utilisation d un système. Plus il est difficile de maintenir et d opérer un système, moins le système est efficace. Jean-Marc Robert, ETS Les principes essentiels A08 10

Capacité de résilience 16. Mettre en œuvre des mécanismes de protection basés sur plusieurs niveaux. Par exemple, un routeur, un pare-feu et un serveur mandataire (proxy server) filtrant les paquets. Sécurité en profondeur. 17. Limiter les impacts en cas d une attaque réussie. Limiter les points de défaillance uniques. Définir des procédures de reprise. 18. Fournir l assurance qu un système continue de résister aux attaques connues et répertoriées. Effectuer une veille technologique et des audits. Jean-Marc Robert, ETS Les principes essentiels A08 11

Capacité de résilience 19. Limiter ou contenir les vulnérabilités. Processus de développement, outils adéquats, veille technologique. 20. Isoler les actifs critiques pouvant être utilisés par des tiers. Par exemple, zone démilitarisée. 21. Déployer des mécanismes de sécurité à la frontière entre les systèmes. Déterminer les flots d information. S assurer de contrôler l accès aux actifs critiques. Jean-Marc Robert, ETS Les principes essentiels A08 12

Capacité de résilience 22. Mettre en place des mécanismes d audit pour détecter toutes utilisations frauduleuses et permettre d enquêter dans ces cas. 23. Mettre en place des plans de continuité et de reprise pour s assurer de la disponibilité d un système. Jean-Marc Robert, ETS Les principes essentiels A08 13

Réduction des vulnérabilités 24. Rechercher la simplicité d un système. 25. Minimiser les éléments d un système devant être sécurisés. 26. Mettre en œuvre le principe de moindre privilège. Y. Mettre en place la séparation des privilèges. Jean-Marc Robert, ETS Les principes essentiels A08 14

Réduction des vulnérabilités 27. Ne pas développer des mécanismes de sécurité inutiles. 28. S assurer qu un système s arrête (volontairement ou involontairement panne) dans un état sécurisé ou qu il soit éliminé de façon sécurisée. 29. Identifier et prévenir les erreurs couramment observées. Jean-Marc Robert, ETS Les principes essentiels A08 15

Conception en fonction d une connectivité 30. Mettre en œuvre l ensemble des politiques de sécurité en utilisant des mécanismes distribués. 31. Mettre en place des mécanismes de sécurité tenant compte des multiples domaines se chevauchant. 32. Authentifier les usagers afin de s assurer d un contrôle d accès approprié. Usagers internes et usagers provenant de l extérieur du domaine. 33. Utiliser des identifiants uniques pour permettre la traçabilité. Jean-Marc Robert, ETS Les principes essentiels A08 16

Sommaire Adapté du document NIST SP 800-27 Jean-Marc Robert, ETS Les principes essentiels A08 17

Basé sur le document du NIST SP800-27 Jean-Marc Robert, ETS Les principes essentiels A08 18

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back