Cours. Sécurité et cryptographie. Chapitre 4: Analyse de risques

Documents pareils
Connaître les Menaces d Insécurité du Système d Information

Symantec CyberV Assessment Service

La cartographie des risques outil fédérateur de pilotage: exemple d'application dans un groupement d'établissements. Marc MOULAIRE

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Panorama général des normes et outils d audit. François VERGEZ AFAI

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

Les enjeux de la sécurité informatique

Gestion des mises à jour logicielles

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Fonctionnalités HSE PILOT. Groupe QFI

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Rapport de certification PP/0002

Politique de gestion des risques

LA PROTECTION DES DONNÉES

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

LA PROTECTION DES DONNÉES

JOURNÉE THÉMATIQUE SUR LES RISQUES

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB

A vaya Global Services

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

La sécurité IT - Une précaution vitale pour votre entreprise

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

ACCOMPAGNER - Gestion de projet - Maintenance fonctionnelle - Méthodologie et bonnes pratiques - Reprise du réseau informatique

Modernisation et gestion de portefeuilles d applications bancaires

TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS?

Offering de sécurité technologique Sécurité des systèmes d'information

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

POLITIQUE EN MATIERE DE SANTE SECURITE AU TRAVAIL (SST)

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

L évolution du modèle de la sécurité des applications

La politique de sécurité

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

AUDIT CONSEIL CERT FORMATION

CATALOGUE DE FORMATION

HACCP Évolutions réglementaires et normatives

Opportunités s de mutualisation ITIL et ISO 27001

La gestion des risques en entreprise de nouvelles dimensions

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise

Sigma Consulting est un cabinet conseil spécialisé en management des organisations. Le Management en mode projet..2

Journée Mondiale de la Normalisation


i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Lignes directrices à l intention des praticiens

Les principes de la sécurité

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

ITIL V2. Historique et présentation générale

Préjudices, failles, vulnérabilités et menaces

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

La continuité des activités informatiques. Intégrer un PCA dans mon entreprise Prangins 17 Janvier 2008

ACCOMPAGNEMENT A LA CERTIFICATION ISO 9001 DE L AGENCE POUR LA RECHERCHE ET L INNOVATION EN CHAMPAGNE-ARDENNE - CARINNA

ISO/IEC Comparatif entre la version 2013 et la version 2005

Sécurité informatique: introduction

Les conséquences de Bâle II pour la sécurité informatique

Le Cloud Computing est-il l ennemi de la Sécurité?

curité des TI : Comment accroître votre niveau de curité

Modèle Cobit

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

La Sécurité des Données en Environnement DataCenter

Qu est-ce qu un système d Information? 1

Module 197 Développer et implanter un concept de gestion des versions et des configurations

Gestion des incidents

Club ISO Juin 2009

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Solutions McAfee pour la sécurité des serveurs

Outils et moyens pour implanter la continuité des opérations dans votre organisation

Vers un nouveau modèle de sécurisation

Gestion des incidents

Formations Techniques : Infrastructures Janvier - Mars 2009

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

ISO la norme de la sécurité de l'information

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Macroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope

L'infonuagique, les opportunités et les risques v.1

Bibliographie. Gestion des risques

DU RÉSEAU AU BIG DATA UNE OFFRE GLOBALE DE GESTION DE LA DONNÉE. Bruno Fleisch - Responsable Produits Tarik Hakkou Responsable du pôle «Data»

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

L'AUDIT DES SYSTEMES D'INFORMATION

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Programme d Assistance. o Mandat o Histoire. Stratégie. Objectifs d un Projet. Démonstration

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

Rapport de certification

Cabinet d Expertise en Sécurité des Systèmes d Information

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Introduction aux services de domaine Active Directory

MYTHES ET LEGENDES DES SERVICES DE CLOUD COMPUTING

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Catalogue des formations 2014 #CYBERSECURITY

Transcription:

Cours Sécurité et cryptographie Chapitre 4: Analyse de risques Hdhili M.H Cours sécurité et cryptographie 1

Plan Définitions et objectifs Méthodes d analyse de risques Méthode Méhari Méthode du NIST 8000-30 Méthode OWASP Conclusion 2

Définitions Vulnérabilité: Défaut ou faiblesse Menace: La possibilité qu une vulnérabilité soit exploitée Vraisemblance de la menace: La probabilité qu une vulnérabilité soit exploitée Attaques: Action malveillante exploitant des vulnérabilités Risque: Impact sur la mission de l entreprise 3

Objectifs Prendre de meilleures décisions basées sur des faits tangibles et mesurables. Investissement en équipement, personnel, formation, Avoir une meilleure protection des systèmes d information 4

Méthodes d analyse de risques MEHARI (janvier 2010: nouvelle version ) MEthode Harmonisée d Analyse des RIsquesq NIST 800-30 (juillet 2002) Risk Management Guide for Information Technology Systems MARION (1983) Méthode d'analyse de risques informatiques optimisée par niveau 1983 OCTAVE (1999) Operationally Critical Threat, Asset and Vulnerability Evaluation EBIOS Expression des Besoins et Identification des Objectifs de Sécurité OWASP Hdhili M. H Open Web Application Security Project Cours sécurité et cryptographie 5

MEHARI L analyse couvre: L identification des situations susceptibles de remettre en cause un des résultats attendus de l organisation Destruction ti de matériel, altération ti de données, perte de fichiers. L'évaluation : de la probabilité de telles situations potentialité de leurs conséquences possibles impact de leur caractère acceptable ou non gravité ié La détermination des mesures susceptibles de ramener chaque risque à un niveau acceptable 6

Impact (I) MEHARI l ampleur des conséquences d un événement possible : de1 (faible) à 4 (grave). Potentialité (P) la probabilité qu'un événement survienne effectivement: de 0 (nulle) à 4 (forte) Gravité (G) G= F( I, P). Sa valeur s obtient en utilisant une grille (table), qui doit être personnalisée par l'entreprise qui applique la méthode. Impact 4 0 3 4 4 4 Gravité Gav = f (I,P) (, 0 3 4 4 4 3 2 1 0 2 3 3 3 0 1 1 2 2 0 0 0 1 1 0 1 2 3 4 4 = Risques insupportables 3 = Risques inadmissibles 2 = Risques tolérés é Potentialité 7

NIST (800-30 ): objectif Décrire une méthodologie permettant de réaliser une analyse de risques pour des systèmes tenant compte de leur cycle de développement. Initiation Acquisition et le développement Implémentation Opération et maintenance Élimination 8

NIST (800-30 ): trois étapes générales Évaluation des risques Indentification et évaluation des risques et de leurs impacts Détermination des priorités de ces risques Recommandation de contre-mesures Atténuation des risques Classement par ordre de priorité des contre-mesures Implémentation et maintenance des contre-mesures Évolution et évaluation Évaluation continue du système au cours de son évolution 9

NIST (800-30 ): 9 étapes spécifiques Neuf étapes Caractérisation du système Identification des menaces Identification des vulnérabilités Analyse des fonctionnalités de sécurité Détermination de la vraisemblance Analyse des impacts Détermination des risques Recommandation des contre-mesures Documentation 10

NIST (800-30 ): 9 étapes spécifiques 11

NIST (800-30 ): 9 étapes spécifiques 12

NIST (800-30 ): 9 étapes spécifiques 13

Etape 1: caractérisation du système En utilisant des: Questionnaires, Entrevues, Revue de la documentation, Outils automatiques de balayage etc etc Définir les limites du système à évaluer Mission d affaire Acteurs usagers, administrateurs, Actifs informationnels criticité et sensitivité (intégrité, confidentialité et disponibilité) Exigence de sécurité Matériel Topologie, mécanismes de protection, Logiciel Flots d information Connectivité réseau Interfaces de programmation (API) Contrôle de gestion et Contrôle opérationnel Évaluer la tâche à accomplir et les efforts requis. Hdhili M. H Cours sécurité et cryptographie 14

Etape 2: identification des menaces (1) Identifier les sources de menaces: Naturelle Inondations, tremblements de terre, Environnementale Pollution, pannes électriques prolongées, fuites d eau, Humaine Erreurs humaines non-intentionnelles Actions malicieuses (2) Evaluer: Leurs motivations : Argent, Leurs moyens: technologique, 15

Étape 2 Identification des menaces 16

Étape 2 Identification des menaces 17

Étape 3 Identification des vulnérabilités Sources de vulnérabilités Humain Politiques de sécurité Architecture IT, logiciel Implémentation IT, logiciel Déploiement IT, configuration logicielle 18

Étape 4 Analyse des fonctionnalités Déterminer les fonctionnalités de sécurité Existantes Planifiées pour réduire ou éliminer la probabilité qu une source de menaces puisse utiliser une vulnérabilité. Fonctionnalité de sécurité: Techniques Logiciel et matériel: contrôle d accès, identification, authentification, chiffrement, Non-techniques Politiques de sécurité, é, procédures opérationnelles, o es, sécurité é du personnel, e sécurité physique, 19

Étape 4 Analyse des fonctionnalités Types de contrôle Prévenir les tentatives de violation de politiques de sécurité Contrôle d accès, chiffrement et authentification, IPS, Détecter les tentatives de violation de politiques de sécurité IPS, IDS, Réagir aux tentatives de violation de politiques de sécurité Firewall, IPS 20

Étape 5 Détermination de la vraisemblance La vraisemblance la probabilité qu une vulnérabilité soit exploitée par une source de menaces. Points à considérer pour déterminer la vraisemblance: Les aptitudes et la motivation d une source de menaces La nature de la vulnérabilité L existence et l efficacité d un moyen de contrôle 21

Étape 5 Détermination de la vraisemblance 22

Étape 6 Analyse des impacts L impact dépend de: La mission du système La criticité du système et des données La sensitivité du système et des données L impact se mesure sur les propriétés des actifs Intégrité Confidentialité Disponibilité Rapport d analyse d impact sur les affaires. Analyser de façon quantitative et qualitative la criticité et la sensitivité des différents actifs. 23

Étape 6 Analyse des impacts 24

Étape 7 Détermination des risques Pour chaque paire menace-vulnérabilité, le risque dépend de: La vraisemblance L impact Les mécanismes de protection installés Risque = Vraisemblance * Impact 25

Étape 7 Détermination des risques 26

Étape 8 Recommandations Déterminer les moyens de contrôle à mettre en place afin de réduire les risques identifiés à un niveau acceptable en tenant compte des points suivant: Efficacité Compatibilité avec le système Impact sur les opérations Coûts Politique organisationnelle Loi et réglementation 27

Étape 9 Documentation Rapport décrivant Les menaces et leurs sources (moyen et motivation) Les vulnérabilités Les risques et leur priorités Les recommandations devant être mise en place Sommaire Décrivant les principaux points les risques élevés 28

OWASP Spécifique aux risques des applications Web Dans OWASP Risque = Vraisemblance * Impact 5 étapes Étape 1: Identification du risque Étape 2: Estimation de la vraisemblance Étape 3: Estimation de l'impact Étape 4: Évaluation de la gravité du risque Étape 5: Choix d aspects à corriger 29

OWASP Etape 1: identification du risque Ciblesd attaques Sourc: The Web Hacking Incident Database (WHID) Report for 20100 30

OWASP Etape 1: identification du risque Objectifs d attaques Sourc: The Web Hacking Incident Database (WHID) Report for 20100 31

OWASP Etape 1: identification du risque Méthodes d attaques Sourc: The Web Hacking Incident Database (WHID) Report for 20100 32

OWASP Etape 1: identification du risque Vulnérab bilité exploitées Sourc: The Web Hacking Incident Database (WHID) Report for 20100 33

OWASP Étape 2: Estimation de la vraisemblance Objectif: Estimer la probabilité d'une attaque réussie Influencée par 2 types de facteurs: 1) Entités menaçantes: impact de la nature de l attaquant sur la vraisemblance d une attaque réussie. 2) Vulnérabilités: la vraisemblance d une découverte de la vulnérabilité et son exploitation par les entités menaçantes considérées dans 1) Chaque facteur a un ensemble d options notées sur 9 34

OWASP Étape 2: Estimation de la vraisemblance Facteurs en relation avec l entité menaçante: Niveau de Motivation Opportunités compétence d exploitation nécessitant Nature de la communauté menaçante (1) Aucune (3) certaines compétences (4)utilisateurs avancés (1) Peu ou pas de récompenses (4) récompense possible ( 0) accès complet ou ressources très coûteuses (4) des ressources et droits d accès spéciaux (2) Développeurs et administrateurs système (4) utilisateurs de l'intranet (6) compétences réseaux et logiciels i l (9) compétences de pénétration de sécurité (9) forte rentabilité (7) quelques ressources et droits d accès (9) aucun droit d accès et aucune ressource (5) partenaires (6) utilisateurs authentifiés (9) Utilisateurs Internet t 35

OWASP Étape 2: Estimation de la vraisemblance Facteurs en relation avec la vulnérabilité: Facilité de Facilité Disponibilité de Détection découverte d'exploitation l information d intrusion (1) pratiquement impossibleibl (3) difficile (7) Facile, (9) outils automatiques disponibles (1) Théorique (3) Difficile (1) information inconnue (1) détection active dans l application li i (5) facile (4) cachée (3) audit et révision (6) Évidente (8) audit sans (9) des outils révision automatiques (9) publique disponibles (9) absence d audit 36

OWASP Étape 2: Estimation de l impact Objectif: estimer l impact d'une attaque réussie lorsqu effectuée par un groupe d attaquant possibles. Influencée par 2 types de facteurs: 1)Impact technique : estimer l'ampleur de l'impact sur le système si la vulnérabilité est exploitée 2)Impact sur le domaine d affaires: découle de l'impact technique, mais nécessite une compréhension approfondie des priorités de l'entreprise Chaque facteur a un ensemble d options notées sur 9 37

OWASP Étape 2: Estimation de l impact Impact technique: Perte de confidentialité Perte d'intégrité Perte de disponibilité Perte de traçabilité (2) peu de données non-sensibles divulguées (6) peu de données critiques divulguées (7) nombreuses données critiques divulguées (9) toutes les données divulguées (1) peu de données légèrement corrompues (3) peu de données gravement corrompues (5) nombreuses données légèrement corrompues (7) nombreuses données gravement corrompues (9) toutes les données complètement corrompues (1) peu de services secondaires interrompus (5) peu de services importants interrompus (7) nombreux services de base interrompus (9) tous les services complètement interrompus (1) traçabilité complète (7) traçabilité probable (9) aucune traçabilité 38

OWASP Étape 2: Estimation de l impact Impact sur le domaine d affaires: Préjudice financier Atteinte à la réputation Non-conformité Atteinte à la vie privée (1) moins important que le coût requis pour fixer la vulnérabilité (3) effet minime sur les bénéfices annuels (7) effet significatif sur les bénéfices annuels (9) Faillite (1) dommages minimes (4) perte de grands comptes (5) chute d écart d acquisition (goodwill) (9) vaste dommages (2) violation mineure (5) violation flagrante (7) violation de haut niveau (3) un individu (5) des centaines de personnes (7) des milliers de personnes (9) des millions de personnes 39

OWASP Étape 2: Evaluation de la gravité du risque 40

OWASP Étape 2: Evaluation de la gravité du risque Étape 5: Choix d aspects à corriger 41

Conclusions L analyse de risque est une des plus importantes activités de la sécurité if informatique. i Elle permet de répertorier tous les risques auxquels les actifs critiques sont exposés et de les hiérarchiser. Cette analyse détermine ainsi i quels risques devront être traitésavec priorité i et quels risques seront acceptables sans aucune intervention. 42

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back