Table des matières CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 CONCEPTION... 3 RÉALISATION... 3 ÉVALUATION ET CONTRÔLE... 3 AMÉLIORATION... 3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...3 LA PROTECTION DU POSTE DE TRAVAIL...3 Contrôle d'accès...3 SSO : Single Sign On...4 Anti-Virus...4 PROTECTION DU RÉSEAU LOCAL... 5 Serveur mandataire...5 Système Pare-feu ou Firewall...5 DMZ - Zone démilitarisée...5 Réseau Privé Virtuel (RPV)...6 NORMES ET MÉTHODES POUR SÉCURISER UN SI...6 NORME ISO 2700X... 6 Déclaration d Applicabilité...7 Principe de l'amélioration continue : modèle PDCA...8 MÉTHODE EBIOS... 8 MÉTHODE MEHARI... 9 RÉFÉRENTIEL COBIT... 10 PLANS D'ACTIVITÉS...10 PRA : Plan de Reprise d'activité...10 RTO : Recovery Time Objective...10 RPO : Recovery Point Objective...11 PCA - PCS...11 PCO...11 PCI - PSI...11 1/11 07-COURS_MSI_Securite_SI
Carte heuristique 2/11 07-COURS_MSI_Securite_SI
Politique de Sécurité A partir de l'analyse des risques, il faut définir le niveau d'exigence acceptable pour l'entreprise. Pour réduire les risques, on agit sur les vulnérabilités, ou on essaie de réduire l impact qu aurait l exploitation d une de ces vulnérabilités par une menace. Pour réduire l impact il faut mettre en place des mesures préventives et les coordonner dans le cadre d'une politique de sécurité. Conception Politique de sécurité L'étape de démarrage consiste à : s'assurer que le périmètre et le contexte du futur système sont correctement définis ; identifier, évaluer les risques et développer un plan permettant de les gérer ; rédiger un manuel de sécurité ; désigner une personne chargée de définir la politique de sécurité. Réalisation L étape de réalisation consiste principalement à appliquer les politiques définies dans le manuel de sécurité en : implantant les mesures techniques préventives ; en sensibilisant Direction et Employés. Évaluation et Contrôle Les systèmes d évaluation doivent avoir été décrits dans le manuel de sécurité. L objectif consiste à s assurer que les procédures mises en place fonctionnent comme prévu. Ces évaluations peuvent être de plusieurs types : vérifications régulières faites dans le cadre des activités quotidiennes ; contrôles automatiques réalisés avec des outils logiciels permettant de créer des rapports ; comparaison avec les autres organisations ; réalisation d audits formels planifiés (risk assessment) ; révision par la direction. Si les évaluations et les contrôles révèlent que certaines procédures sont inadéquates, il faut entreprendre des actions correctives. Amélioration Les actions qui auront été décidées à l étape précédente devront être mises en œuvre soit : au niveau du système de sécurité proprement dit, comme par exemple en nommant un(nouveau) responsable pour tout ou partie du système; au niveau des procédures opérationnelles qui en auront été déduites, comme par exemple par la mise en œuvre d une procédure de sauvegarde de données différentes (et évidemment plus adaptée); au niveau des outils, comme par exemple par l achat d un outil anti-virus. Les dispositifs techniques de protection La protection du poste de travail Contrôle d'accès L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne. Qualités d'un mot de passe 1. longueur comprise entre 6 et 8 caractères ; 3/11 07-COURS_MSI_Securite_SI
2. mot n'appartenant pas à un dictionnaire ; 3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères spéciaux «gilles» est un mauvais mot de passe. «G1i*l;e!» est un mot de passe sécuritaire Un mot de passe doit être changé fréquemment Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie ( empreinte digitale, reconnaissance du visage, reconnaissance de l'iris, ADN) SSO : Single Sign On Les services numériques accessibles par le web (intranet, courrier électronique, forums, agendas, applications spécifiques) se sont multipliés en quelques années. Chacun de ces services nécessitent une authentification. L'utilisation de techniques de synchronisation entre domaines d'authentification hétérogènes, permet la mise en oeuvre d'un compte unique (login / mot de passe) pour chaque utilisateur. La sécurisation de l'authentification devient donc primordiale. Il est également fortement souhaitable que les applications n'aient pas connaissance du mot de passe. Les mécanismes de SSO permettent l'authentification unique, utilisent des techniques assez semblables, à savoir : une centralisation de l'authentification sur un serveur qui est le seul à recueillir les mots de passe des utilisateurs, à travers un canal chiffré ; des redirections HTTP transparentes du navigateur client, depuis les applications vers le serveur d authentification, puis du serveur vers les applications. le passage d informations entre le serveur d authentification et les applications à l aide de cookies et/ou de paramètres CGI de requêtes HTTP (GET ou POST) Anti-Virus Implantation d'un serveur CAS (Central Authentication Service) Un logiciel antivirus fonctionne selon 2 modes : Si l utilisateur n'est pas déjà authentifié auprès du serveur CAS avant d'accéder à une ressource, son navigateur est redirigé vers le serveur CAS, qui lui propose un formulaire d'authentification. Lors de la soumission du formulaire par le navigateur au serveur CAS, si les informations fournies sont correctes, le serveur CAS délivre un «Ticket» au client, qui lui permettra ultérieurement de ne pas avoir à se ré-authentifier ; Le «Ticket» est le passeport de l utilisateur auprès d'un client CAS. Il est non re-jouable (ne peut être présenté qu'une seule fois au serveur CAS), limité à un seul client CAS et sa durée de vie est très limitée dans le temps (quelques secondes) le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche. Le mode dynamique : l'antivirus est «résident» et surveille en permanence l'activité du système d'exploitation, du réseau et de l'utilisateur. Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques : Recherche de signatures : un virus est caractérisé par une suite de bits (signature) consignés dans des bases de données. Avantage : très efficace sur des virus connus ; Inconvénient : nécessite une mise à jour très fréquente de la base des signatures 4/11 07-COURS_MSI_Securite_SI
Analyse heuristique : consiste à étudier des règles, des stratégies en vue d'étudier le comportement d'un programme. Avantage : peut détecter des virus encore inconnus Inconvénient : génère de nombreuses fausses alertes. Protection du réseau local Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière qui conjugue la combinaison de 2 applications logicielles, un serveur mandataire(proxy) d'une part et un pare-feu (firewall) d'autre part. Serveur mandataire Un serveur mandataire est une application qui sert d'intermédiaire entre un client et un serveur. Le client envoie sa requête au mandataire, qui la réémet en direction du serveur concerné. De même, la réponse du serveur est reçue par le mandataire qui la retransmet au client. Un proxy peut être configuré pour filtrer les requêtes. Un serveur mandataire assure les fonctions suivantes : Mémoriser les dernières pages consultées sur le Net ; Garder une trace des requêtes ; Analyser le contenu des documents pour détecter d'éventuels virus ; Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou interdire l'accès à certains services d'internet pour certains utilisateurs. Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots clès...) Interdire à tous les employés de consulter les sites contenant le mot clé «sexe». Système Pare-feu ou Firewall Un pare feu est un équipement conçu pour empêcher des individus extérieurs d accéder au Réseau Local. Un système pare-feu fait office de point d entrée sur un site, évalue les demandes de connexion à mesure qu il les reçoit. Il traite seulement celles qui proviennent de machines autorisées et supprime les requêtes en provenance des autres. La majorité des système pare-feu procèdent par filtrage de l adresse de source. Autoriser les ordinateurs extérieurs (quelle que soit leur adresse IP) à accéder au serveur Web de la zone démilitarisée. Autoriser les ordinateurs du réseau local à accéder aux serveurs web extérieurs Autoriser les ordinateurs du réseau local à accéder aux services de messagerie électroniques Interdire tous les autres services d'internet. DMZ - Zone démilitarisée La «zone démilitarisée» (DMZ) est un réseau intermédiaire tampon dans laquelle peuvent être installés les ordinateurs et applications devant pouvoir être accessibles à partir d'internet (les serveurs de services FTP et de pages WWW, par exemple). Cette technique permet de différencier les données confidentielles et sensibles, présentes sur le réseau local, des données «publiques» de l'entreprise. 5/11 07-COURS_MSI_Securite_SI
Réseau Privé Virtuel (RPV) Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est une solution technique qui assure l'authentification et la confidentialité des données échangées entre sites distants utilisant internet comme moyen de transmission. Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle communique en utilisant Internet. Un commercial itinérant est doté d'un ordinateur portable et via Internet doit pouvoir accéder à la base de données du siège social. Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise partenaire (entreprise B). Comme les données circulant sur Internet sont transmises en clair, les administrateurs réseau de l'entreprise A, vont paramétrer la fonction VPN sur les systèmes d'exploitation des serveurs et des postes de travail concernés. Si les postes sont utilisés par les salariés de l'entreprise A, on parlera d'intranet. Une coopération technique sera nécessaire pour paramétrer le VPN entre l'entreprise A et l'entreprise B. Cette liaison sécurisée (chiffrement des données transmises sur le réseau) sera désigné sous le terme d'extranet. Lorsqu'on établit une liaison sécurisée entre 2 machines distances en passant par Internet, on parle de tunnel VPN. Normes et Méthodes pour sécuriser un SI La démarche de sécurisation du système d'information doit passer par 4 étapes de définition : 1. périmètre à protéger (liste des biens sensibles) ; 2. nature des menaces ; 3. impact sur le système d'information ; 4. mesures de protection à mettre en place. Norme ISO 2700x La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information, publiée en 2005 par l'iso, dont le titre en français est Code de bonnes pratiques pour la gestion de la sécurité de l'information. L'ISO/CEI 27002 est un ensemble de 133 mesures dites «best practices» (bonnes pratiques en français), répartis en 11 domaines ; destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité de l'information (SMSI). La sécurité de l'information est définie au sein de la norme comme la «préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information». 6/11 07-COURS_MSI_Securite_SI
Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées dans ses relations avec un client. 1. Politique de sécurité 2. Organisation de la sécurité : organisation humaine, implication hiérarchique, notion de propriétaire d une information et mode de classification, évaluation des nouvelles informations, mode d accès aux informations par une tierce partie, cas de l externalisation des informations. 3. Classification et contrôle des biens 4. Sécurité du personnel 5. Sécurité physique organisation des locaux et des accès, protection contre les risques physiques (incendies, inondations...) systèmes de surveillance et d alerte, sécurité des locaux ouverts et des documents circulant. 6. Communication et exploitation: prise en compte de la sécurité dans les procédures de l entreprise, mise en œuvre des systèmes de sécurisation (anti-virus, alarmes..), 7. Contrôle d'accès: définition des niveaux d utilisateurs et de leur droit d accès, gestion dans le temps des droits, 8. Acquisition, développement et maintenance des systèmes 9. Gestion des incidents 10. Management de la continuité de service 11. Conformité: dispositions réglementaires dispositions légales dispositions internes (Politique) La norme comprend 6 domaines de processus : 1. Définir une politique de la sécurité des informations, 2. Définir le périmètre du Système de Management de la sécurité de l'information, 3. Réaliser une évaluation des risques liés à la sécurité, 4. Gérer les risques identifiés, 5. Choisir et mettre en oeuvre les contrôles, 6. Préparer un SoA ( "statement of applicability") ou Déclaration d Applicabilité (DdA) : Déclaration documentée décrivant les objectifs de sécurité, ainsi que les mesures appropriées et applicables au SMSI d'un organisme.» Déclaration d Applicabilité Une DdA doit inclure les informations suivantes : 1) les objectifs de sécurité et les mesures de sécurité sélectionnés et les raisons pour lesquelles ils ont été sélectionnés ; 2) les objectifs de sécurité et les mesures de sécurité actuellement mis en œuvre; 7/11 07-COURS_MSI_Securite_SI
3) l'exclusion des objectifs de sécurité et des mesures de sécurité spécifiés à l'annexe A et la justification de leur exclusion. Une note précise que la DdA fournit un résumé des décisions concernant le traitement du risque et que la justification des exclusions prévoit une contre-vérification qui permet d'assurer qu'aucune mesure n'a été omise par inadvertance. Formalisme d une Déclaration d Applicabilité La forme n est pas réellement imposée par le standard. On trouvera généralement les éléments suivants : Objectifs de sécurité et Mesures appropriées et applicables Tirés de l Annexe A de l ISO27001 ou d autres sources (référentiel national, référentiel interne, ) Leur statut Sélection ou exclusion Leur état de mise en œuvre par exemple : «cible» et «opérationnel» Comme ISO 9000, l ISO 27002 porte moins sur l efficacité des dispositions mises en place, que sur leur existence, et la mise en place d une boucle d amélioration (PDCA). Principe de l'amélioration continue : modèle PDCA Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe de l'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes : Plan : planifier, Do : mettre en œuvre, Check : vérifier, Act : améliorer. Après la définition des objectifs, des actions sont entreprises pour les atteindre. Ensuite, on vérifie la bonne qualité des résultats, puis on se fixe de nouveaux objectifs pour être toujours totalement efficace. Méthode EBIOS EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode établie par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'information) pour identifier les 8/11 07-COURS_MSI_Securite_SI
besoins de sécurité d'un système d'information. La DCSSI la présente comme un outil d'arbitrage au sein des directions générales. Elle s'organise en 4 étapes principales : étude du contexte expression des besoins étude des risques identification des objectifs de sécurité Elle se présente sous la forme d'une brochure téléchargeable et d'un logiciel dont l'obtention est gratuite. EBIOS s'intéresse à tous les types de risques : incendie, dégâts des eaux pollution accidents majeurs phénomène climatique, sismique, volcanique, météorologique, crue défaillance de la climatisation perte d'alimentation énergétique, des moyens de télécommunications rayonnements électromagnétiques, thermiques impulsions électromagnétiques (iem) interception de signaux parasites compromettants espionnage à distance, écoute passive vol de supports ou de documents, vol de matériels divulgation interne, divulgation externe panne matérielle, dysfonctionnement matériel, saturation du matériel dysfonctionnement logiciel destruction de matériels atteinte à la maintenabilité du système d'information informations sans garantie de l'origine piégeage du matériel utilisation illicite des matériels altération du logiciel, piégeage du logiciel copie frauduleuse de logiciels, utilisation de logiciels contrefaits ou copiés altération des données abus de droit, usurpation de droit reniement d'actions fraude atteinte à la disponibilité du personnel Méthode MEHARI La méthode MEHARI (MEthode Harmonisée d'analyse de RIsques) est proposée par le CLUSIF (Club de la Sécurité des Systèmes d'information Français). 9/11 07-COURS_MSI_Securite_SI
Elle est destinée à permettre l'évaluation des risques mais également le contrôle et la gestion de la sécurité de l'entreprise sur court, moyen et long terme, quelle que soit la répartition géographique du système d'information. La méthode MEHARI s'articule sur 3 types de plans : le PSS (Plan Stratégique de Sécurité) qui fixe les objectifs de sécurité et les métriques et qualifie le niveau de gravité des risques encourus, les POS (Plans Opérationnels de Sécurité) qui déterminent, par site ou entité géographique, les mesures de sécurité à mettre en place, tout en assurant la cohérence des actions choisies. le POE (Plan Opérationnel d'entreprise) qui permet le pilotage de la sécurité au niveau stratégique par la mise en place d'indicateurs et la remontée d'informations sur les scénarios les plus critiques. MEHARI remplace MARION, qui n'est plus développée. Référentiel COBIT Le référentiel de gouvernance des systèmes d'information COBIT couvre une bonne partie des domaines de l'iso 2700x. COBIT étant à vocation plus large, il gère l'information au travers un grand nombre de "critères" : Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité. Plans d'activités PCA PCS : Plan de Continuité d'activité ou de service assure la bonne marche d'un ou plusieurs processus vitaux de l'entreprise Avantages pallier les dysfonctionnements d'une application ou d'un défaillance matérielle limiter la perte de données au minimum acceptable par l'entreprise 10/11 07-COURS_MSI_Securite_SI
Offre mature et diversifiée pour les serveurs en grappe et les serveurs haute disponibilité Repose sur une architecture réservée au données faisant appel au SAN Storage Area Network Accès bas niveau aux disques mutualisation des ressources de stockage Inconvénients Coût pour atteindre la continuité de service est élevé Ne protège pas contre un sinistre majeur (incendie, explosion...) Etapes clés Nomination d'un chef de projet indépendant de la DSI Audit des activités critiques de l'entreprise Réalisation d'un document de synthèse Validation des niveaux d'exigence Elaboration d'un cahier des charges Choix d'un prestataire Formalisation du plan Phase de test et maintenance PCO : Plan de continuité organisationnel garantir la survie de l'entreprise PCI PSI : Plan de Continuité (Secours) Informatique vise à garantir le service minimum requis pour les SI PRA : Plan de Reprise d'activité doit assurer le démarrage des applications et des processus clés de l'entreprise Indicateurs RTO : Recovery Time Objective durée maximale d'interruption admissible Délai nécessaire entre l'arrêt de l'activité et la remise à disposition de l'informatique aux utilisateurs RPO : Recovery Point Objective durée maximum d'enregistrement des données qu'il est acceptable de perdre lors d'une panne degré de fraicheur des données Avantages Limitation dans le temps de l'indisponibilité des applications et de la perte de données Prévention des risques majeurs en assurant le basculement de tout ou partie du système informatique sur un site distant Inconvénients Demande un suivi régulier de processus Matériel et logiciel du site de secours évoluent avec le SI Système synchronisé limite la distance à 200 kms 11/11 07-COURS_MSI_Securite_SI