la sécurité des systèmes d´information - irisa.fr · le système d´information] i.2 [la...

Par Gilles [email protected]

Journées techniques de l´Ouest

La sécurité des systèmes d´information

18 décembre 2002

I. [La SSI, quést ce que cést ?]

II. [Quávons-nous à protéger ?]

III. [Comment se protéger ?]

IV. [Retours d’expérience]

[[Sommaire]]

18 décembre 2002

[ [ I. La SSI, quést ce que cést ?]]

I.1 [Le système dínformation]

I.2 [La sécurité]I.3 [La sécurité des systèmes dínformation]

18 décembre 2002

I.1 La SSI quést ce que cést ?Le système dínformation

Un des moyens techniques pour faire fonctionner un système d’information est

d’utiliser un système informatique

Système dínformation :organisation des activités consistant

à acquérir, stocker, transformer, diffuser, exploiter, gérer... les informations

18 décembre 2002

I.2 La SSI qu´est ce que c´est ?La sécurité

Sécurité Se protéger des malveillances

Sûreté Se protéger des accidents

En pratique, la distinction n’est pas aussi nette Le RSSI est souvent responsable

des deux aspects

18 décembre 2002

I.3 La SSI quést ce que cést ?La sécurité des systèmes dínformation

Les systèmes informatiques sont au cœur des systèmes dínformation

Ils sont devenus la cible de ceux qui convoitent l’information

Assurer la sécurité de l’information implique d’assurer la sécurité des systèmes informatiques

Condition nécessaire mais non suffisante

18 décembre 2002


Confidentialité Seules les personnes habilitéespeuvent accéder à línformation

Disponibilité On ne peut entraver ou neutraliserles fonctions de délivrance del'information du système

Intégrité On ne peut modifier les informationsstockées dans le système qu'à líssued'un acte légitime et volontaire

et/ou On dispose d’un moyen sûr pour détecter une violation de líntégrité

+ la Preuve (auditabilité, imputabilité)

18 décembre 2002


AAttaques réseau

Confidentialité (écoute)Intégrité (modification paquets)Disponibilité (saturation)

Accès illicites (intrusion)confidentialitéIntégritéDisponibilité

Rayonnementsconfidentialité

RESEAU

VirusIntégritéDisponibilité

18 décembre 2002


Les concepts– Un SI gère des biens– Qui sont sensibles à des menaces– Liées à des vulnérabilités du SI– Exploitées par des attaques– Qui provoquent des dysfonctionnements– Dont on évalue la probabilité et l’impact– Afin d’estimer le risque– Ce qui permet de choisir les mesures adaptées

Puis l’audit permet de valider la pertinence des mesures vis-à-vis des exigences de sécurité définies pour sécuriser les biens sensibles

Bâtiments, personnels, équipements, informations

Accidents, erreurs, malveillances

Vulnérabilités intrinsèques, bugs,

backdoors, …

Assurance conformitéAssurance efficacité

Internes ou externes DoS, divulgation

d’info, atteinte image, …

R = P x I

18 décembre 2002

[ [ II. Qu´avons-nous à protéger ?]]

II.1 [Quels sont les biens ?]

II.2 [Quels sont les biens sensibles ?]

II.3 [Quels sont les enjeux ?]

18 décembre 2002

II.1 Qu´avons-nous à protéger ?Quels sont les biens ?

4 grandes catégories– Les personnels

• permanents, stagiaires, …• prestataires, partenaires, …• toute personne ayant accès au SI

– Les bâtiments – Les biens matériels

• Équipements, • Systèmes, réseaux, logiciels, …

– Les biens immatériels • données,• connaissance, savoir-faire, brevets, …• toute information véhiculée

sur les réseaux internes

AdministratifsTechniquesEncadrement Informaticiens EnseignantsElèvesParents d´élèvesPartenairesCandidats aux concours…

Données personnellesDonnées relatives à l´affectationDonnées relatives au statutDonnées médicalesDonnées relatives aux diplômesDonnées relatives aux moyens…

18 décembre 2002

II.1 Quávons-nous à protéger ?Quels sont les biens sensibles ?

4 niveaux de classification

Très sensible : informations dont une atteinte peut provoquer une modification importante dans les structures et les capacités de lórganisme, pouvant aller jusqu'à mettre en cause sa pérennité,

Sensible : informations dont une atteinte peut amoindrir notablement les capacités de lórganisme à plus ou moins longue échéance,

Peu sensible : informations dont une atteinte peut provoquer une gêne dans le fonctionnement de lórganisme, cette gêne pouvant elle-même provoquer une diminution des capacités de l'organisme,

Pas sensible

18 décembre 2002

II.1 Quávons-nous à protéger ?Quels sont les enjeux ?

Disponibilité

On ne peut entraver ou neutraliser les fonctions de délivrance de l'information du système

IntégritéOn ne peut modifier les informations stockées dans le système qu'à l'issue d'un acte légitime et volontaire et/ou on dispose d’un moyen sûr pour détecter une violation de l’intégrité

Confidentialité

Seules les personnes habilitées peuvent accéder à línformation

Les enjeux

Enjeux humain

Enjeux financier

Image de marque

Enjeux métier

Enjeux légaux

Cotation

3- très sensible

2- sensible

1- peu sensible

0- Pas sensible

0

1 2

3

Quels sont les enjeux Quels sont les enjeux associés aux risques associés aux risques

dátteinte à la disponibilité, líntégrité, la confidentialité dátteinte à la disponibilité, líntégrité, la confidentialité des données considérées ?des données considérées ?

18 décembre 2002

[ [ III. Comment se protéger ?]]

III.1 [Définir son référentiel]

III.2 [La sécurité technique]

III.3 [La sécurité organisationnelle]

18 décembre 2002

III.1 Comment se protéger ?Définir son référentiel

VisionVision systèmesystèmeContre mesuresContre mesuresVulnérabilités résiduellesVulnérabilités résiduelles

RisqueRisque ==Probabilité x ImpactProbabilité x Impact

4. La vision systvision systèèmeme qui permet l´évaluation du risque

Vision métierVision métierSensibilitéSensibilitéintrinsèqueintrinsèquedu métierdu métier

1. La vision mvision méétier tier qui définit le référentiel

Vision projetVision projet Sensibilité Sensibilité pondéréepondéréedes projetsdes projets

3. La vision projetvision projet qui définit la sensibilitépondérée du projet

Vision processusVision processus SensibilitéSensibilitéintrinsèqueintrinsèquedu processusdu processus

2. La vision processusvision processus qui définit la sensibilitéintrinsèque du processus

18 décembre 2002

III.1 Comment se protéger ?Définir son référentiel

Les populations qui accèdent au SI éducatif

Gestionnaires Administratifs, techniques, encadrement

InformaticiensPartenaires

Enseignants

…

Elèves

Parents d´élèves Candidats inscrits

+ le cadre réglementaire (CNIL, DCSSI, TS101456, …)

Les données du SI éducatif

Données personnelles Données relatives aux diplômes

Données relatives au statutDonnées relatives à l´affectation

Données médicales

…

Les enjeux

Enjeux humain

Enjeux légaux

Enjeux métier

Image de marque

Enjeux financier

18 décembre 2002

III.2 Comment se protéger ?La sécurité technique dans les projets

Mécanismesde sécurité

{

Fonctionsde sécurité{

SpécificationSpécification ConceptionConception RéalisationRéalisation Tests/Tests/VABFVABF IntégrationIntégration Mise en Mise en

serviceserviceCahier desCahier des

chargescharges

FormationAuditVeille

DTV sécurité

Spécifications généralesSpécifications détaillés

Éléments sensibles

Rôle/Responsabilité des acteurs

Objectifs de sécuritéBesoin de sécurité

Politique sécurité

DTV sécurité

Matrice de traçabilitéValidation des APIs externes

VulnérabilitésDocuments de conceptions

Règles de développementRôle/Responsabilité des développeurs

Besoins Objectifs Fonctions Mécanismes Technologies/ / / /Menaces /

Tests de conformitésTests d'intégrationTests unitaires

18 décembre 2002

III.2 Comment se protéger ?La sécurité technique dans les architectures

Serveur SMTP

Firewall

HTTPSMTP

SMTP

HTTPetc

DNS

DNS

Serveur Anti-virus

Relais SMTP DNS externeServeur Web

DMZ publique

DNS interne

FTP

Internet

18 décembre 2002

III.2 Comment se protéger ?La sécurité technique dans les produits

De plus en plus d´intégration de produits

Comment avoir confiance ?– Confiance dans le constructeur, le fournisseur– Confiance dans le produit– Confiance par la qualité– Confiance par l’expertise ou l´audit– Confiance par l’évaluation selon des critères normalisés

Utiliser des produits évalués

Utiliser des produits reconnus

Faire expertiser les produits.– Déterminer ses propres critères– fixer des objectifs à l’expertise

Et les logiciels libres ?

Études comparativesHomologationsCautionnement

18 décembre 2002

III.3 Comment se protéger ?La sécurité organisationnelle

un système dínformation sécurisé– Répond à des objectifs de sécurité définis– Intègre des moyens techniques de sécurité– Est exploité dans un environnement lui-même

sécurisé– Par du personnel qualifié et sensibilisé aux

objectifs de sécurité– Organisé de façon cohérente et responsable– En conformité avec la législation Réglementation

Sécurité physique

Sécurité technique

Politique de sécurité

Sécurité de lórganisation

Sécurité du personnel

système dínformation ≠≠≠≠ système informatique

18 décembre 2002

III.3 Comment se protéger ?La sécurité organisationnelle – La politique

Elle définit les principes– Identifie les catégories de biens sensibles

• Information, personnel, bâtiment, équipement, …

– Et les objectifs de sécurité associés• Confidentialité : Seules les personnes habilitées peuvent

accéder à l'information• Disponibilité : On ne peut entraver ou neutraliser les

fonctions de délivrance de l'information du système• Intégrité : On ne peut modifier les informations stockées

dans le système qu'à l'issue d'un acte légitime et volontaire et/ou On dispose d’un moyen sûr pour détecter une violation de l’intégrité

et introduit la démarche globale de sécurité– Qui fait Quoi, Quand et Comment

C´est un référentiel – document court et intangibleRépond au Pourquoi

18 décembre 2002

III.3 Comment se protéger ?La sécurité organisationnelle - La sécurité du personnel

Définit les missions impliquées dans la démarche globale de sécurité (DG, RSSI, …)

Définit les réglementations internes– Charte de sécurité– Engagement de confidentialité

Définit le plan de formation du personnel

Définit les modalités de remontée d´information sur les incidents de sécurité

18 décembre 2002

III.3 Comment se protéger ?La sécurité organisationnelle - La sécurité de l´organisation

Définit les rôles et responsabilités

Définit la gestion des habilitations

Définit les clauses de sécurité avec les partenaires

Définit les clauses de sécurité avec les sous-traitants

18 décembre 2002

III.3 Comment se protéger ?La sécurité organisationnelle - La réglementation

Précise le cadre législatif– Propriété intellectuelle– Obligation de sauvegarde des informations– Protection des droits des personnes– Législation sur l´utilisation de la cryptologie

Définit la réglementation interne– Port de badge, contrôle d´accès, zones réservées, …– Charte de sécurité– Engagement de confidentialité– Clauses sécurité dans les contrats de travail

18 décembre 2002

III.3 Comment se protéger ?La sécurité organisationnelle - Notion de plan de progrès

RéagirAmélioration

despratiques

Faire

Définition et mise en œuvre

Vérifier

Supervisionet

vérification

PrévoirIdentification

des objectifs

ConfianceMaîtriseProgrès

Audit sécurité

Tableaux de bord

Indicateurs de progrès

Plan d'action

18 décembre 2002

III.3 Comment se protéger ?La sécurité organisationnelle - La démarche globale SSI

Démarche globaleQUI, QUOI, QUAND?

Démarche détailléeCOMMENT, AVEC QUOI?

RéférentielPOURQUOI?

FichesActivités

FichesExemples

FichesMéthodes

FichesThématiques

Fiches acteurs

Politique de sécurité

Guide Acteurs

OutilsGuidesPSIISO17799

MéthodesEBIOSSSAMehariMarion

EvaluationITSECCC / ISO15408

Produits inclusAV, FW, SSO, routeurs,IGC, OS, SGBDProxyAnnuaires

18 décembre 2002

[ [ IV. Retours d’expérience ]]

IV.1 [Un outil – l´ISO17799]

IV.2 [Prospective]

IV.3 [Les qualités du RSSI]

IV.4 [Le coût de la sécurité]

IV.5 [Quelques informations]

18 décembre 2002

IV.1 Retours d’expérience La norme ISO17799

Historique– Dérivée des British Standards 7799

• première version en février 1995 • dernière version publiée en mai 1999• Schéma de certification C:Cure en 1998• Accréditation des organismes certificateurs par le

UKAS

– Première version de la norme ISO 17799 en décembre 2000 - équivalent à la BS Part.1

– La BS7799 est la base du schéma Signature Electronique

– Liste des certificats BS7799

BS 7799Part.1 The Code of Practice Part.2 Specifications for ISMS

ISO/IEC 17799 (ou 17799-1)

•Février 1995 - Mai 1999 •Certification C:Cure / UKAS•Base du schéma de qualification des PSC pour la Signature Électronique (TS 101456)

Décembre 2000, actuellement en révision

Version Draft BS7799-2:2002 en novembre 2001

ISO/IEC 17799-2

?A quand la sortie de la norme ?

18 décembre 2002


Part.1 : The Code of Practice - 10 chapitres - 127 recommandations

3 Politique de sécurité

4 Organisation de la sécurité

5 Classification et Contrôle des Biens

6 Sécurité et Gestion du personnel

7 Sécurité Physique

8 Gestion des Communications et des Opérations

9 Contrôle d’accès

10 Développement et Maintenance

11 Plan de Continuité d’activité

12 Conformité

33 Politique de sécuritéPolitique de sécurité

44 Organisation de la sécuritéOrganisation de la sécurité

55 Classification et Contrôle des BiensClassification et Contrôle des Biens

66 Sécurité et Gestion du personnelSécurité et Gestion du personnel

77 Sécurité PhysiqueSécurité Physique

88 Gestion des Communications et des Gestion des Communications et des OpérationsOpérations

99 Contrôle d’accèsContrôle d’accès

1010 Développement et MaintenanceDéveloppement et Maintenance

1111 Plan de Continuité d’activitéPlan de Continuité d’activité

1212 ConformitéConformité

Engagement de la direction

Rédaction d’une PSI

Communication et information

Principes de révision

Engagement de la directionEngagement de la direction

Rédaction d’une PSIRédaction d’une PSI

Communication et informationCommunication et information

Principes de révisionPrincipes de révision

Définition des rôles et responsabilités

Gestion des habilitations

Clauses de sécurité avec les partenaires

Clauses de sécurité avec les sous-traitants

Définition des rôles et Définition des rôles et responsabilitésresponsabilités

Gestion des habilitationsGestion des habilitations

Clauses de sécurité avec les Clauses de sécurité avec les partenairespartenaires

Clauses de sécurité avec les Clauses de sécurité avec les soussous--traitantstraitants

Inventaire des biens sensibles

Classification par niveau de sensibilité

Inventaire des biens sensiblesInventaire des biens sensibles

Classification par niveau de Classification par niveau de sensibilitésensibilité

Sécurité et contrats de travail

Formation

Responsabilités dans la remontée d’information

Sécurité et contrats de travailSécurité et contrats de travail

FormationFormation

Responsabilités dans la remontée Responsabilités dans la remontée d’informationd’information

Zones sécurisées

Equipements/Matériels

Contrôles

Zones sécuriséesZones sécurisées

EquipementsEquipements/Matériels/Matériels

ContrôlesContrôles

Procédures et responsabilités

Planning

Antivirus

Sauvegardes et logs

Gestion du réseau

Supports de stockage

Echanges d’information

Procédures et responsabilitésProcédures et responsabilités

PlanningPlanning

AntivirusAntivirus

Sauvegardes et Sauvegardes et logslogs

Gestion du réseauGestion du réseau

Supports de stockageSupports de stockage

Echanges Echanges d’informationd’information

Contrôle des accès utilisateurs

Contrôle des accès aux réseaux

Contrôle des accès aux OS

Contrôle des accès aux applications

Supervision

Nomadique

Contrôle des accès utilisateursContrôle des accès utilisateurs

Contrôle des accès aux réseauxContrôle des accès aux réseaux

Contrôle des accès aux OSContrôle des accès aux OS

Contrôle des accès aux Contrôle des accès aux applicationsapplications

SupervisionSupervision

NomadiqueNomadique

Spécifications de sécurité

Sécurité des développements

Chiffrement

Cycle de vie/Process

Spécifications de sécuritéSpécifications de sécurité

Sécurité des développementsSécurité des développements

ChiffrementChiffrement

Cycle de vie/Cycle de vie/ProcessProcess

Définition du plan de secours et de reprise d’activité

Définition du plan de secours et Définition du plan de secours et de reprise d’activitéde reprise d’activité

Conformité avec la loi

Conformité avec la politique de sécurité

Programmation d’audit récurrent

Conformité avec la loiConformité avec la loi

Conformité avec la politique de Conformité avec la politique de sécuritésécurité

Programmation d’audit récurrentProgrammation d’audit récurrent

18 décembre 2002


La BS7799 Part.2 – Draft 2002– Une démarche calquée sur ISO9000:2000

– + une check list de contrôles à effectuer

N'est pas (pas encore) dans l'ISO 17799

18 décembre 2002


L'ISO est un outil de mesure de progrès

Plan de progrès selon l'ISO17799

0

1

2

3Security policy

Security organisation

Asset classification &control

Personnel security

Physical & environmentalsecurity

Communications &operations management

System Access Control

System development &maintenance

Business ContinuityPlanning

Compliance

Court termeMoyen terme

18 décembre 2002


Les +– Référentiel exhaustif et normalisé– Approche très pragmatique– Possibilité à terme d’une certification (?)

Les -– La rédaction est criticable– La norme est en révision– Pas de méthodologie aujourd’hui– Pas de schéma défini

18 décembre 2002

L’organisationnel est incontournable dans les démarches globales SSI– La sécurité technique a beaucoup évolué (compétences,

produits)– Les mesures organisationnelles sont + pérennes et

souvent moins coûteuses– La sécurité profite de la qualité mise en œuvre dans les

années 90

Mais il est encore trop peu pris en compte– Les organismes/entreprises n’ont pas de temps et peu

d’argent – L’audit ou la PSI sont souvent des démarches « alibis »– Les RSSI sont souvent peu formés et manquent

d’expérience

IV.2 Retours d’expérience Prospectives

18 décembre 2002

Culture et curiosité technique – Architecture, OS, BDD, réseau, produits de sécurité, …– Une bonne connaissance de ce qu’est un projet informatique (cycle de

développement, rôles MOA/MOE)– la technique et les vulnérabilités évoluent

Relationnel – La SSI est transverse - beaucoup dínterlocuteurs - rester humble

Rigueur– le RSSI doit montrer l’exemple

Reconnu dans lórganisation– Vision globale de lórganisation– Bonne connaissance des métiers de lórganisme dans lequel il évolue– Pouvoir de blocage (mais ne doit pas en abuser)

IV.3 Retours d’expérience Les qualités du RSSI

18 décembre 2002

Il doit être consulté pour tout nouveau projet ou évolution d’une application

Il doit savoir s’impliquer sans papillonner

Il a intérêt à mettre au point une démarche pour la prise en compte de la SSI

Il doit s’appuyer sur le service qualité et savoir impliquer le chef de projet

IV.3 Retours d’expérience Le RSSI et les projets

18 décembre 2002

Être celui qui dit toujours non et qui s’en lave les mains…

Négliger les difficultés techniques

Être excessivement paranoïaque

Être le faire valoir

Jouer le rôle du bouc émissaire

S’investir de manière inégale

...

IV.3 Retours d’expérience Les erreurs à commettre

18 décembre 2002

C’est une bonne question à se poser lors de la phase de décision.– Le coût de la sécurité doit être inférieur au coût potentiel

de l’insécurité. L’aspect potentiel de l’insécurité rend les prises de décision difficiles.

C’est une mauvaise question après sauf à remettre en cause les décisions prises.– La sécurité est une fonctionnalité comme les autres. Le

fait qu ’elle ne soit pas toujours considérée comme telle est un problème culturel.

IV.4 Retours d’expérience Le coût de la sécurité

18 décembre 2002

IV.4 Retours d’expérience Le coût de la sécurité

MAINTENANCE

ADMINISTRATION

ENJEUX

Comme pour toute autre fonctionnalité...Comme pour toute autre fonctionnalité...

COMPLEXITE DES SOLUTIONS

NIVEAU DE CONFIANCE VISE

COÛT DES PRODUITS

COÛT DE FORMATION

18 décembre 2002

Des référentiels à suivre– Critères Communs– BS7799/ISO17799– TS101456– SSA (Survival Systems Analysis )– SSE-CMM– Les référentiels métier (Livre blanc, GSM-SAS, GMSIH, …)

Quelques liens– www.scssi.gouv.fr – www.atica.fr – www.cru.fr– www.sei.cmu.edu – www.clusif.asso.fr

IV.5 Retours d’expérience Informations

Par Gilles [email protected]

Journées techniques de l´Ouest

Merci de votre attention