manuel de sécurité si

MANUEL DE SÉCURITÉ SI

Présenté par : -ALAOUI Youssef

-SEMAN Fayçal

2

PLANEtude de synthèses bibliographiques relative au manuel de sécurité SI

Pré-requis relatifs à ISO 27001 & 27002 liés au sujet

L'étude de cas: la mise en œuvre de la réalisation appliquée au cas de l'ENSIAS

2

1

3

3

1. ETUDE DE SYNTHÈSE BIBLIOGRAPHIQUE RELATIVE

AU MANUEL DE SÉCURITÉ DES SYSTÈMES

D’INFORMATION

4

Tout d’abord, qu’entendons-nous par « sécurité des systèmes d’information » ?

Systèmes d’information:

L’information se présente sous trois formes : les données, les connaissances et les messages. On a l’habitude de désigner par « système d’information » l’ensemble des moyens techniques et humains qui permet de stocker, de traiter ou de transmettre l’information. De fait, on confond souvent, même si ce n’est pas très exact, la notion de « systèmes et réseaux informatiques » et celle de « systèmes d’information (SI) ». On dira donc qu’un système d’information est «

tout moyen dont le fonctionnement fait appel d’une façon ou d’une

autre à l’électricité et qui est destiné à élaborer, traiter, stocker,

acheminer, présenter ou détruire l’information » (AGI n°900/SGDN)

1. Etude de synthèse bibliographique

Source

5

Sécurité:

Le concept de sécurité des systèmes d’information recouvre un ensemble de méthodes, techniques et outils chargés de protéger les ressources d’un système d’information afin d’assurer :

– la disponibilité des services : les services (ordinateurs, réseaux, périphériques, applications…) et les informations (données, fichiers…) doivent être accessibles aux personnes autorisées quand elles en ont besoin ;

– la confidentialité des informations : les informations n’appartiennent pas à tout le monde ; seuls peuvent y accéder ceux qui en ont le droit ;

– l’intégrité des systèmes : les services et les informations (fichiers, messages…) ne peuvent être modifiés que par les personnes autorisées (administrateurs, propriétaires…).


Source

6

Politique de sécurité:

La « politique de sécurité » du laboratoire est l’expression de ces objectifs. Elle indique l’ensemble des mesures à prendre, des structures à définir et l’organisation à mettre en place afin :

– d’empêcher (ou tout au moins freiner) la détérioration, l’utilisation anormale ou la pénétration des systèmes et réseaux ;

– de détecter toute atteinte, malveillante ou non, à l’intégrité, la disponibilité et la confidentialité des informations ;

– d’intervenir afin d’en limiter les conséquences et, le cas échéant, poursuivre l’auteur du délit.


Source


Source 7

Réferentiels et méthodologies Exemple la norme ISO 27002:

8

Réferentiels et méthodologies*D’autres approches existent également parmi lesquelles nous citerons:i. La norme ISO 15408ii. EBIOSiii. La méthode MEHARIiv. COBITv. NERC-CIPvi. CNPIvii. API 1164 et AGA 12viii. ISA 99 (ex ISA SP 99)


Source

9

Sensibilisation à la sécurisation du système d’information et du patrimoine informationnel de l’entreprise :

Quelles sont les catégories de risques ? Les risques sont classés en quatre grandes catégories.

Celles-ci peuvent être découpées en fonction des dix usages détaillés au paragraphe suivant « risques associés aux usages » :

Vol d’informations Usurpation d’identité Intrusions et utilisation de ressources systèmes Mise hors service des systèmes et ressources informatiques.


Source

10

Sensibilisation à la sécurisation du système d’information et du patrimoine informationnel de l’entreprise :

Quelles sont les conséquences des risques ? De la perte de temps en passant par la possible perte de

confiance des clients et partenaires, une sécurité défaillante peut conduire à :

Une perte d’information et de données ; Une perte d’image ; Une mise en cause au plan légal ; Une remise en cause de vos assurances générales de perte

d’activité ou spécifiques couvrant le risque de dommage post attaque.

Selon le Gartner Group, 50 % des PME qui gèrent leur propre sécurité Internet font l’objet d’attaques diverses, et 60 % d’entre elles ignorent qu’elles ont été attaquées.


Source

11

EXEMPLE UNIVERSITÉ DE STAFFORDSHIRE: Leur manuel de sécurité de leur système d’information contient ces principaux points:

1.politique de sécurité 2.Sécurité de l’organisation 3.Classification et contrôle d’actifs 4.Sécurité du personnel 5.Sécurité physique et environnementale 6.Communication et gestion des opérations 7.Contrôle d’accès 8.Système de développement et maintenance 9.La continuité du business management 10.Conformité


Source

12

A TITRE D’EXEMPLE ON DÉTAILLE LES POINTS SUIVANTS :1.POLITIQUE DE SÉCURITÉ

5.SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE

8.SYSTÈME DE DÉVELOPPEMENT ET MAINTENANCE


13

1.POLITIQUE DE SÉCURITÉ OBJECTIF

L'objectif de sécurité de l'information est d'assurer la continuité du l’activité de l'Université et de minimiser les dommages liés aux incidents de sécurité .

POLITIQUE1 L'objectif de la politique est de protéger les actifs informationnels de l'Université de toutes les menaces , qu'elles soient internes ou externes , délibérée ou accidentelle ..2 La politique de sécurité de l'information a été approuvé par la direction de l'Université.3 la politique de l'Université veille à ce que :• L'information sera protégée contre tout accès non autorisé .• La confidentialité des renseignements sera assuré par la protection contre toute divulgation ou interruption intelligible .• Intégrité de l'information ( l'exactitude et l'exhaustivité ) sera maintenueen les protégeant contre toute modification non autorisée.

….. Pour plus de détail voir annexe 1


Source

14



Source

5.1 la sécurité des espaces:

Objectif: empêcher les accès non autorisés.

Les principales salles d’informatique sont considérées comme des zones sécurisées, elles sont physiquement sécurisées par des verrous appropriées et d’autre mesure de sécurité. Le personnel chargé de la surveillance doit les verrouiller lorsqu’elles ne sont pas occupées.

Les responsabilités du service de scolarité envers la protection des serveurs sont listées dans l’annexe 2

15



Source

5.2 la sécurité des équipements :

Objectif: Pour éviter toute perte, dommage ou compromis des actifs et à des pannes activités.

L’équipement des salles informatiques est conservé à une température et humidité contrôlées par un système de conditionnement d’air .

Les salles sont protégées contre le feu par des systèmes d’extinction d’incendies.

L'alimentation électrique dans les grandes salles informatiques est protégé par des systèmes UPS avec un générateur diesel testé hebdomadairement

16



Source

5.3 les contrôles généraux:

Objectif: éviter tout compromis ou vol d'informations .

Seules les personnes autorisées ont accès aux zones contenant les systèmes d'information sensibles.

Chaque membre du personnel doit garder son bureau informatique sécurisé.

Les services des technologies d’information veillent à ce que les ordinateurs dans les zones d’enseignement sont sécurisés.

17



Source

8.1 Exigences en matière de sécurité des systèmes :

Objectif: s'assurer que la sécurité est intégrée dans les systèmes d'information.

Une équipe est chargé de concevoir la sécurité dans le système, et de rédiger des rapports détaillés en faveur du groupe responsable de la sécurité des systèmes d’information.

18



Source

8.2 La sécurité des systèmes d'application:

Objectif: éviter la perte, la modification ou la mauvaise utilisation des données de l'utilisateur dans les systèmes d'application.

Des audits appropriés devraient être conçus dans l’application système y compris les documents rédigés par les utilisateurs . Ces derniers doivent inclure la validation des inputs data , du traitement interne, et des output data.

Pour plus d’information voir annexe 3

19



Source

8.3 contrôles cryptographiques:

Objectif: protéger la confidentialité, l'authenticité et l'intégrité des informations.

Les mots de passe sont cryptés avant d'être transmis au serveur .

Le chiffrement avec l'utilisation de PGP(logiciel de chiffrement et déchiffrement), est disponible sur demande pour tout envoie du courrier électronique et des pièces jointes.

20



Source

8.4 Sécurité du système de fichiers:

Objectif: s’assurer que les projets IT sont effectués d’une manière sécurisée.

L'accès au système de fichiers est limité au personnel des services informatiques chargés de gérer et de soutenir les différents serveurs

21



Source

8.5 Sécurité Dans les processus de développement et de soutien:

Objectif: assurer la sécurité des logiciels .

Changements apportés aux systèmes de gestion de l'Université sont autorisés par les cadres supérieurs, qui assurent que la sécurité. Des changements importantes sont détaillées dans un cahier des charges complet du logiciel .

22

2- PRÉ-REQUIS RELATIFS À ISO 27001 & 27002 LIÉS

AU MANUEL DE SÉCURITÉ SI

23

2.1.DANS LA NORME ISO 27001A.10 Gestion de l’exploitation et des télécommunications A.10.1 Procédures et responsabilités liées à l'exploitation A.10.1.4 Séparation des équipements de développement, d'essai et d’exploitation:

Mesure: Les équipements de développement, d'essai et d’exploitation doivent être séparés pour réduire les risques d’accès ou de changements non autorisés dans le système d’information en exploitation.

24

A.15 Conformité A.15.1 Conformité aux exigences légales A.15.1.1 Identification de la législation en vigueur

Mesure: Pour chaque système d’information et pour l’organisme, toutes les exigences légales, réglementaires et contractuelles en vigueur doivent être définies, documentées et mises à jour, ainsi que la procédure utilisée par l’organisme pour satisfaire à ces exigences.

2.1.DANS LA NORME ISO 27001

25

A.15.3 Prises en compte de l'audit du système d'information A.15.3.1 Contrôles de l’audit du système d’information

Mesure: Les exigences d’audit et les activités impliquant des contrôles des systèmes en exploitation doivent être planifiées de manière précise et doivent être le résultat d’un accord afin de réduire le plus possible le risque de perturbations des processus métier.

A.15.3.2 Protection des outils d’audit du système d’information

Mesure : L’accès aux outils d’audit du système d’information doit être protégé afin d’empêcher tous mauvais usage ou compromission éventuels.


26

15.3 Prises en compte de l’audit du système d’information Objectif: optimiser l’efficacité et réduire le plus possible l’interférence avec le/du processus d’audit du système d’information.

Il convient de prendre des mesures pour protéger les systèmes en exploitation et les outils d’audit lors des audits du système d’information.

De même, il est nécessaire de préserver l’intégrité et d’empêcher un mauvais usage des outils d’audit.


27

15.3.1 Contrôles de l’audit du système d’information

a) Mesure : Il convient que les exigences d’audit et les activités impliquant des contrôles des systèmes en exploitation soient planifiées de manière précise et qu’elles soient le résultat d’un accord afin de réduire le plus possible le risque de perturbations des processus métier.


28

15.3.1 Contrôles de l’audit du système d’information

b)Préconisations de mise en œuvre:a) il convient que les exigences d’audit soient définies avec la direction concernée;b) il convient de s’accorder sur le domaine d’application des contrôles et de le contrôler;c) il convient que les contrôles soient limités à un accès en lecture seule du logiciel et des données;d) il convient que tout accès, hormis en lecture seule, soit autorisé uniquement pour les copies isolées des fichiers système qui seront supprimées une fois l’audit terminé ou qu’une protection appropriée de ces fichiers soit apportée si la documentation de l’audit exige leur conservation;e) il convient d’identifier explicitement et de mettre à disposition les ressources destinées à l’exécution de ces contrôles;f) il convient d’identifier et de s’accorder sur les exigences liées à un traitement spécial ou supplémentaire;g) il convient de surveiller et de journaliser tous les accès afin de disposer d’une trace de référence; ilconvient de prendre en compte les traces de référence horodatées pour les données ou systèmes critiques;h) il convient de documenter toutes les procédures, exigences et responsabilités;i) il convient que la ou les personne(s) chargée(s) de l’audit ne soient pas impliquée(s) dans les activités vérifiées.


29

15.3.2 Protection des outils d’audit du système d’information:

a) Mesure: Il convient de protéger l’accès aux outils d’audit du système d’information afin d’empêcher tous mauvais usage ou compromission éventuels. b) Préconisations de mise en œuvre: Il convient que les outils d’audit du système d’information tels que les logiciels ou les fichiers de données soient séparés du système de développement et du système en exploitation et ne soient pas conservés dans la bandothèque ou les zones utilisateurs, à moins que ces outils soient dotés d’un niveau approprié de protection supplémentaire. c)Informations supplémentaires: Si un tiers est impliqué dans un audit, il existe un risque de mauvais usage par ce tiers des outils d’audit et des informations auxquelles cet organisme tiers accède. Il convient de prendre des mesures comme en 6.2.1 (pour apprécier les risques) et en 9.1.2 (pour limiter l’accès physique) pour éviter ce risque et toute conséquence telle que le changement immédiat des mots de passe divulgués aux commissaires aux comptes.


30

3- L'ÉTUDE DE CAS: LA MISE EN ŒUVRE DE LA

RÉALISATION APPLIQUÉE AU CAS DE L'ENSIAS

31

NOUS VOULONS PLUS D’EXPLICATION VU QUE LE MANUEL DE SÉCURITÉ SI ENGLOBE TOUT,

32

ANNEXE 1

33

ANNEXE 2

34

ANNEXE 3

manuel de sécurité si

Documents