tat de lart de la scurit informatique

Introduction

Sommaire - Introduction
Introduction
Quest ce que la scurit ? Quoi protger ? Pourquoi ? Contre qui ?

Qui croire ?
Comment protger ? La politique de scurit.

Quest ce que la scurit ?

La scurit recouvre l'ensemble de techniques

informatiques permettant de rduire au maximum les chances de fuites d'information, de modification de donnes ou de dtrioration des services. Elle consiste un trs grand nombre de mthodes, de technologies, d'architectures permettant d'atteindre un certain niveau de protection.

Quest ce que la scurit (2) ?

"Scuriser" consiste utiliser une ou plusieurs de

ces techniques dans le but d'lever le niveau de scurit d'un systme ou d'une architecture.

La menace reprsente le type d'action

susceptible de nuire dans l'absolu La vulnrabilit reprsente le niveau d'exposition face la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en uvre en prvention de la

Quoi protger ?
L Information au sens large.
Voix et Vido Informations Non numrises Archives Scurit des systmes dinformation Scurit des Rseaux et changes

Scurit des systmes

Scurit juridique

Scurit des dveloppements

Quelle que soit la forme prise par linformation ou quels que soient les moyens par lesquels elle est transmise ou stocke, il faut quelle soit toujours protge de manire approprie.

LA SECURITE DE LINFORMATION
5
Seulement 40 50% des informations ncessaires pour faire fonctionner une entreprise sont enregistres sur des supports lectroniques

Quoi protger (2) ?

Le trilogie DIC : Disponibilit. Garantir que les utilisateurs habilits ont accs linformation et aux ressources associes au moment voulu (pas daccs non autoris) Intgrit. Sauvegarder lexactitude et la fidlit de linformation et des mthodes de traitement des donnes (pas de modification non autorise). Confidentialit Garantir que seules les personnes habilites peuvent accder linformation (pas de divulgation non autorise).
6

Quoi protger (3) ?

Les actifs.

Les actifs sont caractriss par leur type et surtout par leur valeur
Actifs physiques
Serveurs informatiques, PC, portables, Matriels rseaux, PABX, units de climatisation.

Actifs dinformations
Fichiers de donnes, bases de donnes Procdures et manuels utilisateurs, archives.

Actifs applicatifs
Progiciels, logiciels spcifiques, Systmes dexploitation, outils de dveloppement, utilitaires.

Actifs lis la fourniture de services

Services gnraux (alimentation lectrique, climatisation, etc)

Pourquoi protger ?
Linformation est une ressource stratgique, une matire

premire, elle est un atout pour celui qui la possde et donc attise souvent les convoitises Les S.I. facilitent laccs linformation
Ils grent de grandes quantits dinformation et peuvent la rende

accessible depuis nimporte quel point du globe

La destruction dun S.I. peut permettre danantir une entit de

manire anonyme et sans faire un seul mort La loi, la rglementation et lthique seront toujours en retard sur la technique Les individus se comportent rarement comme on lattend
Le comportement dun individu confront des situations inhabituelles

et critiques est imprvisible

8

Pourquoi protger?
Les consquence retenir Vol dinformations et du savoir faire
Dans un contexte de haute technologie notamment

Atteinte limage de marque NASA, e-bay, Wanadoo, RSA, Indisponibilit du service e-business, Perte de temps et de moyen humains Remise en service, recherche des dgradations

Tache TRES difficile, peut ncessiter des moyens normes

Pertes financires ! Modification des montants de facture Perte dexploitation Erreurs de traitement
9

Contre qui ?
Les menaces

Les diffrents types de pirates

Les diffrentes arnaques et attaques Les accidents et inconsciences

10

La menace - Dfinitions
Violation potentielle de la scurit - ISO-7498-2 Menace accidentelle
Menace dun dommage non intentionnel envers le SI Catastrophe naturelle, erreur dexploitation, pannes

Menace intentionnelle ou dlibre

Par opposition la prcdente, elle est le fait dun acte dlibr Menace active Menace de modification non autorise et dlibre de ltat du systme o Dommage ou altration du SI Menace Passive Menace de divulgation non autorise des informations, sans que ltat du SI soit modifi o coutes, lecture de fichiers, Menace Physique Menace lexistence ou ltat physique du SI o Sabotage, incendie volontaire, vol,
11

Catgories de menaces intentionnelles

Lespionnage
Obtention dinformations

Le vol
Obtention dinformations ou de ressources

La perturbation
Affaiblir le S.I.

Le sabotage
Mise hors service du S.I.

Le chantage
Gain financier, menace de sabotage,

La fraude physique (rcupration de bandes, listings, )

Obtention dinformations

Les accs illgitimes (usurpation didentit)

Obtention dinformations

12

Origines / Attaquants (1)

Accidents Type de menace
Menaces accidentelles (cf. dfinition)

Type dattaquants La nature !

Incendies, Foudre, Inondations, etc EDF, Fournisseurs de connectivit, Fournisseurs de matriels et de logiciels, Inconsciences et accidents (A ne pas ngliger !) o Provoqus par linattention ou le manque de formation des administrateurs ou des utilisateurs

Les fournisseurs

Agresseurs internes (La majorit des cas)

Hors du cadre de cette prsentation

13

Origines / Attaquants (2)

Menaces caractre stratgiques Type de menace
Menace intentionnelle active, passive et physique Pour un tat Le secret dfense et la sret de ltat Le patrimoine scientifique, technique, conomique, diplomatique La disponibilit des SI et le fonctionnement des institutions Pour lentreprise Informations concernant ses objectifs et son fonctionnement Les clients, procds de fabrication, recherche et dveloppement

Catgories de menace
Espionnage, vol, perturbation, sabotage, fraude physique, accs illgitimes

Type dattaquants
Espions Particuliers (rare), Entreprises, Gouvernements Terroristes

14

Origines / Attaquants (3)

Menace caractre idologique Type de menace
Menace intentionnelle active, passive et physique Le combat pour les ides est incessant et peut tre le moteur

dactes les plus extrmes

Idologie politique, raciale, religieuse, conomique,

Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accs illgitimes, Type dattaquants Militants Vandales Terroristes
15

Origines / Attaquants (4)

Menace caractre terroriste Type de menace
Menace intentionnelle active, passive et physique Actions concourant dstabiliser lordre tabli

A caractre violant : destruction A caractre insidieux : dsinformation, dtournements

Catgorie de menace Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accs illgitimes,

Type dattaquants Terroristes

16

Origines / Attaquants (5)

Menace caractre cupide Type de menace
Menace intentionnelle active, passive et physique Gain pour lattaquant Financier, technologique, Pertes pour la victime Entranant un gain pour lagresseur : parts de march, dstabilisation du concurrent,

Catgorie de menace

Espionnage, vol, perturbation, sabotage, chantage, fraude physique, accs illgitimes, Type dattaquant
Espions (concurrent ou pour le compte de) Crime Organis Intervenants Ont souvent accs des informations sensibles, et conservent souvent des fichiers de configuration,

17

Origines / Attaquants (6)

Menace caractre ludique Type de menace
Menace intentionnelle active Dsir de samuser ou dapprendre

Cest la prouesse technique qui est mise en avant

Catgorie de menace Vol, perturbation, sabotage, accs illgitimes,

Type dattaquant Joyriders Vandales Collectionneurs
18

Gnralement appels Hackers ou Crackers

Origines / Attaquants (7)

Menace caractre vengeur Type de menace
Menace intentionnelle active, passive et physique
galement un moteur dactes extrmes

Souvent lexpression dun employ brim ou licenci qui peut possd une trs bonne connaissance du SI

Catgorie de menace

Vol, perturbation, sabotage, accs illgitimes,

Type dattaquant
Personnes extrieures en dsaccord avec lentit

Peur tre un client, un fournisseur, un intervenant,

Les employs malveillants ou aigris

Ont souvent une bonne connaissance de lentreprise Utilisateurs dpassant leurs prrogatives Administrateurs, informaticiens,

19

Origines / Attaquants (Conclusion)

Conclusion
Liste non exhaustive La menace peut tre composite Plusieurs motivations (origines) Cupide + Ludique, Idologique + Terroriste, Plusieurs profils de pirate Employ malveillant + Espion, Les Hackers et Crackers monopolisent lattention mais ne

sont en ralit quune composante de la problmatique de scurit !

20

Contre qui ? - Critres

Comment caractriser les agresseurs ?
Leurs comptences techniques Le temps qu'ils sont prts passer pour russir Leurs motivations Leurs moyens Leurs connaissances pralables de la cible

21

Classement
Comptence Temps Motivation

Un hacker / tudiant externe pour le plaisir

Un concurrent Un escroc (enjeu financier) Un opportuniste Un membre de socit de service Un ancien membre du personnel

Forte
Forte Moyenne Faible Forte Moyenne Moyenne Forte

Fort
Faible Moyen Faible Faible Faible Faible Moyen

Moyenne
Forte Moyenne Faible Faible Moyenne Faible Faible

Un membre du personnel
Un stagiaire

22

Dmarche basique (Cracker)

1
Collecter les Outils (logiciels)

Attaquer la victime

3
23

Se vanter

Dmarche intermdiaire
1
Collecter les Outils et se documenter Identifier la cible

Collecter des informations

3,5
24

Attaquer la victime

Dmarche expert (Hacker)

1
Matrise des concepts et outils Identifier la cible

Collecter des informations

Dvelopper les outils

3,5
25

Attaquer la victime

Attaques
Attaque != Vulnrabilit

Attaque Action de malveillance consistant tenter de contourner les fonctions de scurit dun SI (ISO) Vulnrabilit Faiblesse ou faille dans les procdures de scurit, les contrles administratifs, les contrles internes dun systme, qui pourrait tre exploite pour obtenir un accs non autoris au SI, un de ses services, des informations ou la connaissance de leur existence et de permettre de porter atteinte la confidentialit, lintgrit et la disponibilit du SI et de ses informations
26

Vulnrabilits
Dans la conception Matriel Protocole Architecture (Systme, Rseau, ) Logiciel (OS, application, ) Dans limplmentation Matriel Protocole Architecture (Systme, rseau ) Logiciel (OS, application, ) Configuration, exploitation quipement (Routeurs, Firewalls, Serveur, ) Logiciel (OS, application, )
27

Attaques
Intrusions Vandalisme Denis de service (DOS) Vol dinformations Escroqueries

28

Attaques (1)
Intrusions
Recherche de mots de passe Dictionnaire coute du rseau Brute force Le Spoofing Les sniffers et scanners Les exploits

29

Attaques (2)
Vandalisme Destruction de fichiers Destruction de systmes Dfiguration de site Web

30

Attaques (3)
Denis de service (DOS)
Bombes logiques (virus) Le flood TCP-SYN Flooding Le Nuke

Le spamming

Denis de service distribu (DDOS)

Amplification des DOS

31

Attaques (4)
Vol dinformation
Suite une intrusion Interception coute Cryptanalyse

32

Les principales escroqueries

Lingnierie sociale.
Il s'agit ainsi d'une technique consistant obtenir

des informations de la part des utilisateurs par tlphone, courrier lectronique, courrier traditionnel ou contact direct
Exemple : Le message vocal du Prsident de Hewlett-

Packard son Directeur administratif et financier, o il voquait la fusion avec Compaq a t intercept et diffus travers lInternet. - Avril 2002 -

33

Les principales escroqueries

Le scam.
Pratique frauduleuse consistant extorquer des

fonds des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage.

34

Les principales escroqueries (2)

Le phreaking. Contraction des mots anglais phone (tlphone) et freak (monstre) dsignant le piratage de lignes tlphoniques
Technique frauduleuse permettant lutilisation gratuite de

ressources tlphoniques depuis lextrieur. Exemple : Le piratage du standard tlphonique de la Cit des Congrs de Nantes a dur trois journes : le montant de la facture de tlphone sest lev de 2 000 70 000 . - La Tribune fvrier 2002 -

35

Les principales escroqueries (3)

Le phising.
Contraction des mots anglais fishing, en franais

pche, et phreaking
Technique frauduleuse utilise par les pirates informatiques

pour rcuprer des informations (gnralement bancaires) auprs d'internautes. Technique d'ingnierie sociale c'est--dire consistant exploiter non pas une faille informatique mais la faille humaine en dupant les internautes par le biais d'un courrier lectronique semblant provenir d'une entreprise de confiance.

36

Les principales escroqueries (4)

Le Hoax ou canular. Courrier lectronique propageant une fausse information et poussant le destinataire diffuser la fausse nouvelle tous ses proches ou collgues. Les consquences
L'engorgement des rseaux et des serveurs de messagerie, Une dsinformation, c'est--dire faire admettre de nombreuses

personnes de faux concepts ou vhiculer de fausses rumeurs, La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la relaye ; La dgradation de l'image d'une personne ou bien d'une entreprise, L'incrdulit : force de recevoir de fausses alertes les usagers du rseau risquent de ne plus croire aux vraies.

37

Les virus
Programme informatique situ dans le corps

d'un autre, qui, lorsqu'on l'excute, se charge en mmoire et excute les instructions que son auteur a programm Diffrents types.
Les vers Les troyens Les bombes logiques

Les spywares

38

Les virus (2)

Les vers. Programme qui peut s'auto-reproduire et se dplacer travers un rseau en utilisant les mcanismes rseau, sans avoir rellement besoin d'un support physique ou logique pour se propager Les vers actuels se propagent principalement grce la messagerie grce des fichiers attachs contenant des instructions permettant de rcuprer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-mme tous ces destinataires.

39

Les virus (3)

Les chevaux de Troie.
Programme (en anglais trojan horse) cach dans un

autre qui excute des commandes sournoises, et qui gnralement donne un accs la machine sur laquelle il est excut en ouvrant une porte drobe (en anglais backdoor
Vol de mots de passe Copie de donnes Excution daction nuisible

40

Les virus (4)

Les bombes.
Dispositifs programms dont le dclenchement

s'effectue un moment dtermin en exploitant la date du systme, le lancement d'une commande, ou n'importe quel appel au systme Gnralement utilises dans le but de crer un dni de service
Exemple la bombe logique Tchernobyl s'est active le 26 avril

1999

41

Les virus (5)

Les spyware ou espiogiciels. Programme charg de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est install (on l'appelle donc parfois mouchard) afin de les envoyer la socit qui le diffuse pour lui permettre de dresser le profil des internautes (profiling). Keyloggers : Dispositif charg d'enregistrer les frappes de touches du clavier et de les enregistrer, l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.

42

Taxinomie dun incident

Taxinomie (ou Taxonomie)
Classification dlments selon des taxons

Taxon (biologie)
Unit formelle reprsente par un groupe dorganismes,

chaque niveau de la classification.

43

Incident Attaque vnement Attaquant

Terroriste Espion Crime organis Militant Hacker Employ Cracker, vandales

Outil
Attaque physique change dinformation Commande utilisateur Script, programme Toolkit Agent autonome Outil distribu Trappe

Vulnrabilit
Conception Implmentation Configuration

Action
Sonde Scanne Flood Authentifie Court-circuite Spoof Vol Modifie, copie, efface Dtruit

Cible
Compte utilisateur Processus Donne Ordinateur Rseau Composant du SI

Rsultat
Accs illgitime Divulgation dinformation Corruption dinformation Denis de service Vol de ressource Destruction de ressource

Objectif
Challenge, distraction Gain financier Gain stratgique Destruction Vengeance

44

Qui croire ?
Personne ! (mthode paranoaque)

Tout le monde nest pas mal intentionn Il existe des gens mal intentionns Il existe des gens bien intentionns mais irresponsables (Microsoft, ebay,) A qui fait-on confiance ? diteurs Partenaires Intervenants (SSII, intgrateurs, consultants, ) Sassurer quils sont aussi rigoureux que vous sur

la scurit
45

Comment protger ?
Pas de scurit

Miser sur la discrtion

Scurit des systmes Scurit du rseau

Sensibiliser et former le personnel

Aucun modle de scurit ne peut rsoudre

tous les problmes

Dfinir une politique de scurit
Dfinir une dmarche scurit

46

La politique de scurit ?
Cest un dispositif global dont la mise en uvre

assure que linformation peut tre partage dune faon qui garantit un niveau appropri de protection de cette information et des actifs lis. Toutes mthodes, techniques et outils concourant la protection linformation contre un large ventail de menaces afin :
De garantir la continuit dactivit de lentreprise, De rduire les dommages ventuels sur lactivit de

lentreprise, De maximiser le retour sur investissement des Systmes dInformation.

47

La politique de scurit (2).

Les domaines.
ORGANISATION MANAGEMENT Management des actifs et des risques Dfinition des responsables dactifs Dfinition des rgles et procdures de scurit Dfinition et ralisation des contrles Sensibilisation et formation: Des utilisateurs Des managers Informaticiens PLAN DE CONTINUITE Gestion des sauvegardes Plan de secours Back-Up (physique et logique) Back-Up (physique, logique) Plan de crise SECURITE LOGIQUE Accs aux applications changes de donnes Applications SECURITE PHYSIQUE Protection des actifs matriels, locaux Protection incendies, etc. Contrle d accs, badges, etc.

SERVICES DE SECURITE

48

Les mesures labores dans un plan de scurit peuvent-tre classes en deux familles : - avant sinistre : mesure de prvention - aprs sinistre : dtection, ralentissement, correction

REMARQUE

La politique de scurit (3).

La dmarche type.

49

La politique de scurit (4).

Les diffrentes approches.
Approche franaise: CLUSIF Approche anglo-saxonne

Analyse des enjeux et des risques

Assez similaire une dmarche qualit, Plusieurs mthodologies disponibles: MEHARI, EBIOS, Avantages: Dveloppement de la culture du risque, implication du personnel, pertinence, Inconvnients: Cot (ressources humaines).

Approche par les bonnes pratiques

Recueil de procdures, fiches, Contrles, Le recueil le plus connu est ISO 17799, Avantages: Efficacit, exhaustivit, Inconvnients: Cot.

(Solution de scurit dUrgence) Mise en oeuvre dune batterie Doutils techniques, Pare-feux, anti-virus, VPN, SSL, anti-SPAM, etc Avantages: Dlais de mise en oeuvre, investissement uniquement Matriel/logiciel, Inconvnients: Donne un faux Sentiment de scurit.

Approche SSU

50

La politique de scurit (5).

Les normes ISO concernant la scurit.
ISO 13335

ISO 18044-gestion des incidents ISO 17944-systmes financiers ISO 18028-gestion des communications ISO 14516-scurit dans le e-commerce Etc

51

ISO 17799

ISO 15408

Les normes ISO.

La norme ISO/IEC 15408 Certification internationale relative la scurit des produits de technologies de linformation.
A destination des industriels du secteur

des T.I.C avant tout: Editeurs de logiciels, constructeurs dquipements Un catalogue des exigences fonctionnelles et dassurance de scurit, lments pour la spcification des exigences de scurit (cible de scurit, profil de protection), La description des 7 niveaux dassurance de lvaluation (EAL),

52

Les normes ISO (2).

La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modles pour

la scurit des T.I, Partie 2: Management et planification de la scurit des T.I, Partie 3: Techniques pour la gestion de la scurit des T.I, Partie 4: Slection de mesures de scurit, Partie 5: Guide pour la gestion de la Scurit du rseau.

53

Les normes ISO (2).

La norme ISO 13335. ISO TR 13335: Guidelines for the management of IT Security.
Partie 1: Concepts et modles pour

la scurit des T.I, Partie 2: Management et planification de la scurit des T.I, Partie 3: Techniques pour la gestion de la scurit des T.I, Partie 4: Slection de mesures de scurit, Partie 5: Guide pour la gestion de la Scurit du rseau.

54

Les normes ISO (3)

ISO 17799 Standard international bas sur les bonnes pratiques de la gestion de la scurit de linformation, Une approche sappuyant sur la gestion de risques pour dfinir une politique, des procdures et des contrles appropris pour grer ces risques

55

Les normes ISO (4)

Synthse.
LES NORMES DE SECURITE DE LINFORMATION AUJOURDHUI
ISO 17799 Introduction Contrles 17799

SECURITE DE LINFORMATI ON

ISO 13335 Modle de Management Risks management Mesures de scurit

SECURITE DES T.I.C

56

La norme ISO 17799 (1)

ISO 17799 est : Une norme internationale structure ddie la scurit de linformation,
Un processus labor pour valuer, implmenter, maintenir et grer

la scurit de linformation, de linformation,

Une srie de contrles bass sur les bonnes pratiques en scurit

Dvelopp par des industriels pour des industriels, Pouvant sappuyer sur la norme IS0 13335: guidelines for the

management of IT Security,
Un

processus quilibr entre scurit physique, technique, procdurale et la scurit du personnel.

57

La norme ISO 17799 (2)

ISO 17799 contient : 10 chapitres, 127 objectifs de contrle class en 3 familles :
Organisationnels

Politique de scurit, Organisation de la scurit, Continuit dactivit

10%

Fonctionnels

Rglementation et lois applicables, Gestion des ressources humaines,

10%

Oprationnels

58

Scurit et accs logiques, Dveloppement et gestion des volutions, Scurit et accs physiques,

80%

La norme ISO 17799 (3)

Les 10 chapitre de la norme :
Politique de scurit Organisation de la scurit 1 2 10 Classification et contrle des actifs 4 Scurit lie au personnel 5 Scurit physique et de lenvironnement 6 Exploitation et rseaux 7 Contrle daccs logiques 8 Dveloppement et maintenance des systmes 3

Conformit

Continuit dactivit
59

La norme ISO 17799 (4).

Politique de scurit
Lobjectif est, pour la direction, de:
Exprimer formellement la stratgie de scurit de lorganisation, Communiquer clairement son appui sa mise en uvre. Ce document soit tre approuv:

Il doit tre rvis et adapt priodiquement en prenant en compte lefficacit de ses mesures, le cot et limpact des contrles sur lactivit, les effets des volutions technologiques.
La scurit est une responsabilit partage par tous les membres de lquipe de direction: Cration dun comit de direction multifonction ddi pour assurer le pilotage de la scurit, Dfinit rles et responsabilits, les mthodes et procdures et soutient les initiatives de promotion et de communication interne. 60

La norme ISO 17799 (5).

Organisation de la scurit 2

Lobjectif est de: Grer efficacement lorganisation, la scurit de linformation dans

Maintenir la scurit des moyens de traitement et des actifs accds par des tiers ou des sous-traitants,
Maintenir la scurit des informations lorsque la responsabilit du traitement des informations est externalise une autre organisation.

61

La norme ISO 17799 (6).

Classification et contrle des actifs 3

Lobjectif est de maintenir le niveau de protection adapt chaque actif dinformation en accord avec la politique de scurit: Tout actif important doit tre rpertori et allou un responsable nominatif, Linformation doit tre classifie en fonction du besoin, de la priorit et du degr de scurit. Les procdures de classification des informations doivent tre dfinies et couvrir la manipulation des informations sous forme physique aussi bien que lectronique, et pour les diffrentes activits de copie, stockage, transmission et destruction.

62

La norme ISO 17799 (7).

Classification et contrle des actifs 3

Lobjectif est de maintenir le niveau de protection adapt chaque actif dinformation en accord avec la politique de scurit: Tout actif important doit tre rpertori et allou un responsable nominatif, Linformation doit tre classifie en fonction du besoin, de la priorit et du degr de scurit. Les procdures de classification des informations doivent tre dfinies et couvrir la manipulation des informations sous forme physique aussi bien que lectronique, et pour les diffrentes activits de copie, stockage, transmission et destruction.

63

La norme ISO 17799 (8).

4
Scurit lie au personnel

Plus de 60% des incidents proviennent de lintrieur de lentreprise !

Lobjectif est de: Rduire le risque derreur, de vol, de fraude ou de mauvais usage des moyens de traitement,

Sassurer que les utilisateurs ont t informs des risques et menaces concernant les informations,
Sassurer que les utilisateurs sont forms et quips pour appliquer la politique de sret lors de leurs activits normales, Minimiser les dommages en cas dincident ou de dysfonctionnement, Savoir capitaliser sur ces incidents et sadapter. 64

La norme ISO 17799 (8).

5 Scurit physique et de lenvironnement Lobjectif est de:

Prvenir les accs non autoriss, les dommages et les interfrences sur les informations, les activits et les locaux de lorganisation,
Prvenir la compromission ou le vol des informations ou des moyens de traitement.

65

La norme ISO 17799 (9).

6 Exploitation et rseaux

Lobjectif est de: Assurer une exploitation correcte et sure des moyens de traitement, Minimiser les risques de pannes et leur impact, Assurer lintgrit et la disponibilit des informations, des traitements et des communications, Prvenir les dommages aux actifs et les interruptions de service, Prvenir les pertes, les modifications et les utilisations frauduleuses dinformations changes entre organisations. 66

La norme ISO 17799 (9).

7 Contrle daccs logiques Lobjectif est de: Grer et contrler laccs aux informations, Prvenir les accs non autoriss, Assurer la protection des systmes en rseau, Dtecter les activits non autorises, Assurer la scurit des informations lors des accs mobiles ou distants.
67

La norme ISO 17799 (10).

La politique de contrle comprend notamment:
Lenregistrement unique de chaque utilisateur, Une procdure crite de dlivrance dun dauthentification signe du responsable hirarchique, processus

Des services de dconnexion automatique en cas dinactivit, Une politique de rvision des mots de passe, Une hirarchisation du niveau daccs en fonction du degr de confidentialit des donnes.

68

La norme ISO 17799 (11).

8 Dveloppement et maintenance des systmes

Lobjectif est de: Assurer que la scurit soit incluse ds la phase de conception, Prvenir la perte, la modification ou la mauvaise utilisation des informations hberges par les systmes, Protger la confidentialit, lintgrit et la disponibilit des informations, Assurer que les projets et activits de maintenance sont conduits de manire sre, Maintenir la scurit des applications (logiciel et donnes). 69

La norme ISO 17799 (12).

Continuit dactivit 9

Lobjectif est de dvelopper la capacit rpondre rapidement aux interruptions des activits critiques de lorganisation rsultant de pannes, dincidents, de sinistres ou e catastrophes. Une analyse des risques partir de divers scnarii de sinistre et une valuation de la criticit des applications permet dtablir diffrents plans de poursuite des oprations depuis le mode dgrad en cas de dysfonctionnement mineur jusqu la reprise dans un local distant en cas de sinistre grave (incendie, attentat, grve,)

70

La norme ISO 17799 (13).

La conformit se dcline en 3 volets:
Le respect des lois et rglementations: Licences logicielles, proprit intellectuelle, rgles de manipulation des fichiers contenant des informations touchant la confidentialit des personnes, La conformit des procdures en place au regard de la politique de scurit de lorganisation, cest dire des dispositifs mis en place pour assurer les objectifs de scurit dfinis par la Direction Gnrale,

10 Conformit

Lefficacit des dispositifs de traabilit et de suivi des procdures en place: Journaux dactivit, pistes daudit, enregistrement de transactions,

71

Les mthodes de scurit.

Les plus connues en France sont MEHARI (Clusif),

EBIOS (DCSSI) et MARION (Clusif).

Ces mthodes ont leurs propres rfrentiels qui ne couvrent pas

toujours strictement le spectre de lISO 17799, Il peut par consquent tre ncessaire de retravailler les bases de connaissance de ces mthodes pour obtenir une couverture complte de la scurit de lInformation, La commission mthodes du Clusif a corrl la base de connaissance de MEHARI afin de couvrir lensemble des mesures de ISO 17799.

72

Systme de Management de la Scurit de lInformation.

Management System : Systme pour tablir la

politique et les objectifs et pour atteindre ces objectifs (ISO guide 72). Les systmes de management sont utiliss dans les entreprises pour dvelopper leurs politiques et les mettre en application travers des objectifs et des cibles en utilisant:
Une organisation dans lentreprise, Des processus et des ressources associs, Des contrles et une mthode dvaluation, Des processus de rvision pour garantir que les anomalies sont
73

corriges et mettre en uvre des axes damlioration le cas chant.

Systme de Management de la Scurit de lInformation (2).

Certaines organisations commencent aborder la

scurit de linformation comme un systme intgr appel un Information System Management System (ISMS). Mise en uvre dun vrai processus danalyse, dlaboration de contrle et dvolution dune politique de scurit en appliquant un concept bien connu en qualit, le modle PDCA.

74

Systme de Management de la Scurit de lInformation (3).

Modle PDCA.
MODELE PDCA PLAN: Etablir les objectifs conformment aux risques et aux exigences de scurit, DO: Implmenter et oprer les fonctionnalits et procdures, CHECK: Grer les incidents, les erreurs, auditer, ACT: Faire voluer la politique et les moyens conformment aux besoins.

75

Systme de Management de la Scurit de lInformation (4).

Les normes pour construire un SMSI.
Spcifications de lISMS

BS 7799 Partie 2

ISO 13335 PD 3000 series on risk and selection of controls

Management des Incidents

ISO/IEC 18044

ISO/IEC 17799

ISO Guide 62 ISO9001

EA7/03 ISO19011

EN45012
ISO G 73

Normes et schmas nationaux

SMSI Guidelines (management des risques, choix des mesures de scurit)

SMSI Mesures de contrle

Certification de systme de management et organismes daccrdition (audit, procdures etc)

76

La certification BS7799-2
A linstar de ISO 9000 pour le management de la

qualit, BS 7799-2 est la seule norme et certification qui existe actuellement pour les ISMS. Dfinit les conditions pour ltablissement, la mise en uvre et la documentation dun ISMS,
Dfinit les exigences de contrles pour la scurit devant tre mis

en application selon les besoins de diffrents organismes, Elle se compose de 10 chapitres de 127 contrles, Ncessite 2 tapes (audit de la documentation puis audit de limplmentation), En France, le COFRAC (Comit Franais dAccrditation et de Certification) peut valider un schma de certification BS 7799-2.
77