HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

Documents pareils
Menaces et sécurité préventive

dans un contexte d infogérance J-François MAHE Gie GIPS

Introduction sur les risques avec l'informatique «industrielle»

Vers un nouveau modèle de sécurité

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Prestations d audit et de conseil 2015

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Les risques HERVE SCHAUER HSC

Les clauses «sécurité» d'un contrat SaaS

Sécurité du cloud computing

Sécurité des Postes Clients

La sécurité applicative

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Traitement des Données Personnelles 2012

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Gestion des identités

Sécurité des Systèmes d Information

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Mobilité et sécurité

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Projet Sécurité des SI

La sécurité des données hébergées dans le Cloud

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Gestion des incidents

Cadre commun de la sécurité des systèmes d information et de télécommunications

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Les clauses sécurité dans un contrat de cloud

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

1 LE L S S ERV R EURS Si 5

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

En savoir plus pour bâtir le Système d'information de votre Entreprise

La sécurité IT - Une précaution vitale pour votre entreprise

Créer un tableau de bord SSI

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Service Cloud Recherche

Sécurité des applications Retour d'expérience

Indicateur et tableau de bord

Les ressources numériques

Solutions McAfee pour la sécurité des serveurs

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Virtualisation et Sécurité

Sécurité des données en télétravail

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

Qu est-ce qu un système d Information? 1

Politique et charte de l entreprise INTRANET/EXTRANET

Panorama général des normes et outils d audit. François VERGEZ AFAI

Spécialiste Systèmes et Réseaux

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Citrix XenApp 7.5 Concepts et mise en oeuvre de la virtualisation d'applications

Montrer que la gestion des risques en sécurité de l information est liée au métier

Forfait Informatique libérez votre entreprise de ses contraintes informatiques

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Gestion des Incidents SSI

Sécurité des entrepôts de données dans le Cloud Un SaaS pour le cryptage des données issues d un ETL

L analyse de risques avec MEHARI

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Contractualiser la sécurité du cloud computing

1. Notre société. Présentation de notre société. Nos activités Les solutions informatiques. - Audit et Conseil :

Catalogue «Intégration de solutions»

PANORAMA ET RISQUES DE L OUVERTURE DES SI MODERNES

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

AUDIT CONSEIL CERT FORMATION

pour Une étude LES DÉFIS DES DSI Avril 2013

Recommandations sur le Cloud computing

Retour sur investissement en sécurité

Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Gestion des utilisateurs et Entreprise Etendue

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

International Master of Science System and Networks Architect

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Aspects juridiques des tests d'intrusion

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Présentation d'un Réseau Eole +

Initiation à la sécurité

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

PASSI Un label d exigence et de confiance?

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Sécurité et Consumérisation de l IT dans l'entreprise

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Infrastructure Management

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet La gouvernance de la sécurité étendue Raphaël Marichez Raphaël Marichez <Raphael.Marichez@hsc.fr>

Plan Besoins et typologies observés Quelques risques induits observés Techniques Organisationnels Pistes de réponses par l'exemple Conclusion Evolutions Quelques conseils Les transparents seront disponibles sur www.hsc.fr 2/27

Typologies observées Le SI de l'entreprise étendue (1 : au sein de l'entreprise) Fonctions dites «de siège» Centralisation de l'information (fichiers, annuaires...) => Création d'intranets «Groupe» => GPO Groupe Besoins du métier Obligations légales (logs) Dématérialisation (archivages, facturation...) => Interconnexions entre SI indépendants => Partenaires, ou clients-fournisseurs 3/27

Typologies observées Le SI de l'entreprise étendue (2 : mobilité des utilisateurs) Sur un même site => Contournement des DSI : Sans-fil, switchs, clés USB, Bluetooth... Entre les sites de l'entreprise => Création de backbones «Groupe» (VPN/MPLS, cloisonnés) Partout sur internet => Points d'accès VPN => Contournement des DSI : GoogleApps, GoogleCode, Blackberry... 4/27 Chez soi => Conflit professionnel / personnel et vulnérabilité du poste de travail => Contrôle d'accès se déplace du physique vers le logique

Typologies observées Le SI de l'entreprise étendue (3 : sous-traitance) Spécialisation du métier (hébergement, infogérance...) Etre conforme aux normes de sécurité ou exigences des contrats => Externalisation Réduction du coût marginal lié à l'infrastructure (bâtiment, clim...) => Mutualisation (voire virtualisation) Principalement trois typologies Prestations Service fourni par une filiale Service fourni par un GIE (centre de «services partagés»...) Augmenter encore le facteur d'échelle + disponibilité => Cloud (storage, computing) Retour sur investissement? 5/27

Risques induits observés Sécurité technique (1) Déplacement du contrôle d'accès du physique vers le logique/virtuel «Solutions d'administration à distance»... «de postes nomades» Poste client nomade : augmentation des menaces A cause du travail à domicile (ou dans les lieux publics) Course des mises à jour => Authentification forte, tokens, cartes à puce... => GPO fortes sur la forêt Active Directory (penser à la hotline! ) 6/27

Risques induits observés Sécurité technique (2) Déplacement du contrôle d'accès du physique vers le logique/virtuel Habitudes de la sécurité physique (industries, usines, entrepôts...) Sans-fil Limitations des équipements (ex.: lecteurs de codes barres) Terminaux non connectés, mais avec des ports USB... SCADA accessibles en VPN (au mieux), RTC (au pire) Virtualisation Certitude du cloisonnement du système sous-jacent? Mutualisation Surface d'exposition Colocation : dommage colatéraux (ex. : serveurs d'envoi de mails) 7/27

Risques induits observés Sécurité technique (3) Déplacement du contrôle d'accès du physique vers le logique/virtuel Sous-traitance Télémaintenance, infogérance RTC Comptes partagés 8/27

Risques induits observés Sécurité technique (4) Complexité de l'infrastructure (1) Niveaux successifs d'empilement Interconnexions de réseaux virtuels Conflits d'adressages => NAT (traduction d'adresses réseaux) partout => traçabilité des accès? Continuité d'activité : retour à la normale? Tout-IP Flux restés ouverts sur les pare-feux Téléphonie / LAN Scanneur / sécurité incendie 9/27

Risques induits observés Sécurité technique (5) Complexité de l'infrastructure (2) 10/27 Demain (?) : tout HTTP Contournement des filtres actuels Création de protocoles de niveau 3 puis 4 dans XML/HTTP Rappels TCP : débuts en 1974, dernières failles en... 2009 (MS09-048) Encore très peu audité / auditable Milieux industriels surtout AEX cfixml «The potential annual savings for capital facility industries are millions of dollars [citation needed]» PRODML (secteur de l'énergie) => Filtrage HTTP, validation XML => Firewalls XML!!

Risques induits observés Sécurité organisationnelle (1) Responsabilités : qui fait quoi? Dé-responsabilisation des propriétaires des informations Mutualisation Au mieux : exigences de sécurité spécifiées par écrit Quid des audits? Au pire : rien du tout Traçabilité PCA 11/27

Risques induits observés Assurer la continuité d'activité 12/27

Risques induits observés Sécurité organisationnelle (2) Dilution des risques sur les intervenants Facile d'être conforme aux normes ou aux contrats en externalisant Titrisation du risque : contrats Risques portés par des tiers Pyramide des risques «Produits structurés» relaismsg.minefi.gouv.fr[194.250.149.46] said: 554 Service unavailable; Client host [129.104.xx.xx] blocked using relays.ordb.org; ordb.org was shut down on December 18, 2006. Please remove from your mailserver. 13/27

Risques induits observés Sécurité organisationnelle (3) Perte de maîtrise Sauvegardes externalisées... plusieurs fois Scans de vulnérabilités qui ne trouvent rien 16:24:17 ipt: [hnpt] in drop: SRC=10.40.250.12 (...) DPT=554 (...) 16:24:17 ipt: [hnpt] in drop: SRC=10.40.250.12 (...) DPT=22 (...) 16:24:17 ipt: in accept: SRC=10.40.250.12 (...) DPT=80 (...) 16:24:17 ipt: in accept: SRC=10.40.250.12 (...) DPT=443 (...) 16:24:17 ipt: [hnpt] in drop: SRC=10.40.250.12 (...) DPT=256 (...) 16:24:17 ipt: in drop: SRC=10.40.250.12 (...) DPT=113 (...) 16:24:17 ipt: in accept: SRC=10.40.250.12 (...) DPT=25 (...) 16:24:17 ipt: [hnpt] in drop: SRC=10.40.250.12 (...) DPT=389 (...) 16:24:17 ipt: in drop: SRC=10.40.250.12 (...) DPT=9090 (...) 16:24:17 ipt: in accept: SRC=10.40.250.12 (...) DPT=53 (...) 16:24:17 ipt: in drop: SRC=10.40.250.12 (...) DPT=1723 (...) 16:24:17 ipt: in drop: SRC=10.40.250.12 (...) DPT=3389 (...) 16:24:17 ipt: [hnpt] in drop: SRC=10.40.250.12 (...) DPT=144 (...) 16:24:17 ipt: in now banned: SRC=10.40.250.12 (...) DPT=29 (...) 16:24:17 ipt: in was banned: SRC=10.40.250.12 (...) DPT=1527 (...) 16:24:17 ipt: in was banned: SRC=10.40.250.12 (...) DPT=581 (...) 16:24:17 ipt: in was banned: SRC=10.40.250.12 (...) DPT=10005 (...) 14/2716:24:17 ipt: Copyright in was Hervé banned: Schauer Consultants SRC=10.40.250.12 2000-2009 - Reproduction (...) DPT=68 Interdite (...)

Risques induits observés Scans de vulnérabilités qui ne trouvent rien Interesting ports on serv.si.intra (10.20.103.12): Not shown: 1234 filtered ports PORT STATE SERVICE VERSION 25/tcp open smtp? 53/tcp open domain? 80/tcp open http? 443/tcp open https? Too many fingerprints match this host to give specific OS details Summary: No known vulnerability No information leak on version or OS Excellent security level 15/27 Date Etat Action 22/02/2009 KO http httpd.conf: ServerTokens Prod 23/03/2009 OK 21/04/2009 OK 21/05/2009 OK 22/06/2009 OK 21/07/2009 OK

Risques induits observés Sécurité organisationnelle (5) : parenthèse légale Réponse aux réquisitions judiciaires Recherche de la responsabilité Traçabilité Informatique et Libertés Flux trans-frontières : déclarations obligatoires Sous-traitance : contractualiser les exigences de sécurité Intranets groupes et localisation des données Compétences des tribunaux éloignés Différences culturelles : Recherche de preuves... dans des sauvegardes off-shore... chez des anciens prestataires dont on avait oublié l'existence! Poursuites pour «destruction d'information» 16/27

Pistes de réponses : gestion de risques Première piste : via la gestion de risques SI Gestion de risques est plus globale que «appréciation de risques» Gérer les risques liés aux tiers! => audits des tiers => actions d'amélioration => commercial, gestion de projet, conduite du changement... Retour sur investissement? => Piloter les actions d'amélioration 17/27

Pistes de réponses : pilotage Deuxième piste : pilotage de la SSI Cas 1 : Service partagé (ex. : GIE) Rôle : décideur + maîtrise d'oeuvre S'audite lui-même, éventuellement par un tiers (dans le meilleur des cas) Audit interne = à l'initiative de l'audité ; pas d'obligation d'agir Conséquences Peut ne pas appliquer les règles de sécurité du Groupe Si un «client» du Groupe demande un dispositif de sécurité : Soit il ne se passe rien (le GIE n'étant pas moteur) Soit il émet des propositions -> devis -> facturation interne Relation client-fournisseur non saine 18/27

Pistes de réponses : pilotage Cas 1 : Service partagé (ex. : GIE) Finalement 19/27 Le GIE est-il chargé de la MoE de la SSI? Si oui, est-ce normal qu'il refacture? Moyens de pressions des «clients» internes au Groupe? Cas grave qui remonte au Groupe (piratage, test très démonstratif...) Peu satisfaisant Filialiser le GIE, voire le vendre Scinder le GIE Pilotage et audit versus MoE opérationnelle Nécessite des moyens réels fournis par le groupe : Moyens humains et financiers pour la MoE Autorité du pilotage et de l'audit

Pistes de réponses : pilotage Cas 2 : Sites autonomes (ex. : MEN, recherche, CNRS...) Forte centralisation : PSSI globale et déclinée Auditeur indépendant = ANSSI (ex-dcssi) Pilotage et ressources propres à chaque site Hétérogénéité : des niveaux de sécurité des solutions retenues (produits, fournisseurs...) Coordination via des correspondants sécurité locaux 20/27

Pistes de réponses : pilotage Cas 2 : Sites autonomes (ex. : MEN, recherche, CNRS...) Risques Surcoût important (ré-inventer la roue) Avantage : limitation du périmètre éventuellement compromis Inconvénient : diversité => plus facile de trouver au moins une faille => fort risque d'atteinte à l'image de marque (institutions) => une information bien protégée ici ne l'est plus ailleurs => audit plus difficile Manque de moyens locaux Politique globale qui dévie de la réalité du terrain Solution : volonté politique SSI à haut niveau (=> secteur public) 21/27

Pistes de réponses : pilotage Cas 3 : Groupe et filiales Politique Groupe : les «bonnes pratiques SSI» Idées utopiques : consultants, DG, décideurs loin de la SSI. Vus dans les contrats : «Le prestataire assurera 0% d'intrusions réussies» «Le client validera en amont toutes les habilitations pour l'accès à ses informations» «Tous les mots de passe seront changés tous les deux mois» «Le prestataire assurera la traçabilité de tous les accès aux SI» «... assurera 100% de disponibilité» Part pour validation à DG Groupe Validation refusée et on recommence... 22/27

Pistes de réponses : pilotage Cas 3 : Groupe et filiales Finalement : politique jamais appliquée Entités locales agissent indépendamment (cf cas 2) Résultat : «best-effort» Risques Mise en oeuvre PCA en faisant appel aux autres entités avec des niveaux de sécurité différents! 23/27

Pistes de réponses : pilotage Cas 3 : Groupe et filiales Solution : Trouver le «plus petit dénominateur commun» des règles locales Améliorer progressivement si nécessaire (suite à appréciation de risque) = Plan de traitement du risque qui doit déjà planifier les ressources 24/27

Evolutions Conclusion Implication de tiers MoE déléguée Gestion (ou management, pilotage...) des tiers nécessaire! Britanniques et japonais en avance Modèle également appliqué : à la continuité d'activité, aux données personnelles, à la qualité, l'environnement, la santé/sécurité au travail... 25/27

Conclusion Quelques conseils Prenez connaissance de ce qu'offrent les référentiels existants Même si ce n'est pas pour les mettre en place Systèmes de gestion de... / Systèmes de management de... Continuité d'activité : future ISO 22301 Données personnelles : BS 10012 Qualité : ISO 9001, environnement : ISO 14001 Sécurité et santé du personnel au travail : OHSAS 18001 Bien sûr la SSI, ISO 27001 Pour des bonnes pratiques / pour un tableau de bord Echangez, partagez vos expériences, faites-vous aider Etudiez le positionnement du RSSI Ses responsabilités pénales en dépendent : Autorité, moyens, compétence 26/27

Conclusion Quelques conseils Besoin d'adhésion de la DG : trois pistes Rattachement du RSSI à la DG Tableaux de bord (ISO 27001/27002 étant standard) Sensibilisez : attendre un incident grave, tests d'intrusion démonstratifs... Elaborez les objectifs de sécurité avec la DG S'appuyer sur l'éventuel PCA (analyse d'impacts déjà réalisée) Déduisez-en une appréciation de risques (réaliste) Préalable : étude des vulnérabilités Audit technique et organisationnel qui ne porte pas son nom Ne pas oublier les tiers! Proposez un plan de traitement des risques (réaliste) avec charges Soyez vigilants avec les tiers : tant en tant que client que fournisseur 27/27

Conclusion Questions? Raphael.Marichez@hsc.fr www.hsc.fr HSC à Strasbourg : prochaine formation ISO 27001 Lead Implementer du 22 au 26 février 2010 28/27

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back