Emplacement du logo client

Quel audit de Scurit dans quel contexte ?

Herv Morizot
09 avril 2002
(herve.morizot@solucom.fr)

Agenda

Quel audit ? Selon quelle dmarche et avec quels outils ? Une "stratgie d'audit" Conclusion

09 Avril 2002

Quel audit ?

09 Avril 2002

Quel audit ? Quelques dfinitions ...

Audit  Mission d'examen et de vrification de la conformit (aux

rgles) d'une opration, d'une activit particulire ou de la situation gnrale d'une entreprise

Systme d'Information  Ensemble des moyens matriels, logiciels et

organisationnels qui permettent de recevoir, de stocker et de traiter l'information

Donc un audit ncessite :  Un primtre  Un rfrentiel  Une mthode  Des moyens et comptences
09 Avril 2002

Quel audit ? Les risques ...

Malversations et fraudes Divulgation, desinformation Sabotages (physiques et logiques) Engorgement, dnis de services, ...

Accidents
(incendie, dgts des eaux, )

Pannes

Erreurs
(conception, utilisation, exploitation)

...

- Particulirement variable selon les environnements 09 Avril 2002

Quel audit ? Des besoins trs varis ...

valuer / comparer Amliorer Sensibiliser Analyser, sur incident Certifier / prouver ...

09 Avril 2002

Quel audit ? Quel primtre (1/2) ?

Le primtre organisationnel et fonctionnel  Organisation de la scurit

La rpartition des responsabilits La sensibilisation / formation des intresss Contrle et audit

 Politique et les guides de scurit  Procdures de scurit  Respect de la lgislation en engagements contractuels La scurit physique Les procdures d'administration / exploitation  Gestion des habilitations / accs  Sauvegardes et secours La scurit des systmes et applications
09 Avril 2002

Quel audit ? Quel primtre (2/2) ?

Dtection d'intrusion

Filtrage d'URL

Contrle de contenu Anti-virus

Gestion de la priorit des flux

Chanes de liaison "services"

Accs entrant Messagerie VPN Authentification renforce Relais SMTP Serveurs proxy
Firewall

Internet

WEB / HTTP / FTP

Infrastructure rseau
Partenaires Public Postes nomades

Rseau Interne

RTC/RNIS

LS/FR

Routeurs

Commutateurs DMZ Serveurs publics

Serveurs internes

Analyse des logs

Administration des services

Supervision

Sauvegarde des configurations et des logs

09 Avril 2002

II Selon quelle dmarche et avec quels outils ?

09 Avril 2002

Selon quelle dmarche et avec quels outils ?

Pour auditer, il faut :  Un besoin clairement exprim  Un primtre bien dfini  Une mthode formelle ...  Des outils ...  Des moyens et des comptences  ...

09 Avril 2002

Selon quelle dmarche et outils ? Les mthodes (1/4)

Quelle mthode ?  Les mthodes "globales"

Mehari EBIOS Marion Melisa ...

 Les mthodes "propritaires"  Les auto - valuations ...  Les valuations / certification ...  Sans mthode formelle  ...

09 Avril 2002

Selon quelle dmarche et outils ? Les mthodes (2/4)

Les mthodes "globales"  Pourquoi une mthode ?

tre efficace tre crdible Se comparer ... C'est trop lourd ! C'est pas adapt ! C'est thorique (analyse et plan d'action) !

 Oui, mais

Les mthodes "propritaires"  Objectif : personnaliser et simplifier ...

09 Avril 2002

Selon quelle dmarche et outils ? Les mthodes (3/4)

Les auto-valuations  Lger  Excellent en sensibilisation

Implication des intresss

 Exige un rfrentiel rod (dtaill, clair, didactique, )  Demande confiance / engagement formel du "signataire"  Demande des contrles (alatoires, par priorit, ...)  Mais :

Difficile dans des environnements htrognes Les rsultats dpendent du "type de rpondant" Les plans d'actions sont aussi en majorit dcentraliser ...

09 Avril 2002

Selon quelle dmarche et outils ? Les mthodes (4/4)

Les valuations / certifications  Mandat d'un CESTI

Agrs par la DCSSI et accrdit par le COFRAC Encore orient "matriel" (chiffrement, cartes puce, ) Des conditions de dveloppement encore "floues" Un dmarrage lent (une poigne de CESTI en France)

Un avenir potentiellement prometteur (signature lectronique, )

 Ncessite des documents formels

Profil de protection Cible de scurit Cible d'valuation

09 Avril 2002

Selon quelle dmarche et outils ? Les outils (1/5)

Quels outils ?  Outils mthodologiques

Attention aux limites de l'automatisation !

 Rfrentiels de scurit  Tests de configuration ...  Tests de vulnrabilit ...  Tests d'intrusion ...  ...

09 Avril 2002

Selon quelle dmarche et outils ? Les outils (2/5)

Les rfrentiels de scurit  La Politique de scurit de l'entreprise  Les guides de scurit par environnement  Les normes applicables

ISO 17799

Pertinents pour dterminer le "rfrentiel" et les questionnaires associs

09 Avril 2002

Selon quelle dmarche et outils ? Les outils (3/5)

Les tests de configuration "systme"  Outils pour NT, W2K, UNIX, Mainframe (ESM de Symantec,
System Scanner de ISS, W2K, logiciels libres, )

 Ncessite de dfinir sa politique technique de scurit / pas

d'analyse de failles

 Diffrents modules sont disponibles (mots de passe,

protection d'accs, configuration LAN, niveaux de patchs, )

 Non intrusif, ni perturbateur  Modulaire et progressif  Ncessite une forte expertise pour la configuration
09 Avril 2002

Selon quelle dmarche et outils ? Les outils (4/5)

Les tests de vulnrabilits "rseaux"  Outils publics (Nessus, Satan, ) ou commerciaux (NetRecon
de Symantec, Internet Scanner de ISS, )

 Utilisent des bases de vulnrabilits et des bases de

recommandations

 Indiquent des vulnrabilits "potentielles" / potentiellement

intrusif

 Demande une adresse / plage(s) IP, domaine NT, ...  Ncessite une expertise  Utilis par les "hackers" ...
09 Avril 2002

Selon quelle dmarche et outils ? Les outils (5/5)

Les tests de vulnrabilits en ligne  Plthore d'offres en mode ASP  Vision externe uniquement et test de ractivit des quipes  Bases de vulnrabilits jour, compltes, Plug in
spcifiques

 Cot d'investissement "rduit"  Service "complet", rcurent, peu d'implication client  Chacun a sa mthode de restitution / notation  Intrusif possible mais non souhait  Rapports trs (trop ?) automatiss

09 Avril 2002

Prestations complmentaires ...

III

Une "stratgie" d'audit scurit

09 Avril 2002

Une stratgie d'audit (1/2)

valuation globale de la scurit du SI  Dans le cadre d'une r-organisation (rachat, refonte, )

Audit complet, indpendant, mthode "incontestable" Analyse des risques souhaitable

 Dans un cadre de consolidation globale de la scurit

(fonctionnels / techniques / juridiques)

Plan d'actions dtaill et "participatif" Audits rguliers large primtre Comparaison site site ou vis vis de "la profession" Mthode rigoureuse et applications rgulires Audits participatifs / auto valuation

 Dans le cadre d'une mise en cohrence de la scurit

 Dans le cadre d'une sensibilisation

 Dans le cadre d'une obligation (Administrations, )

09 Avril 2002

Une stratgie d'audit (2/2)

valuation "par composant" (projet, systme, )  valuer la scurit d'un composant du SI

Scurit d'un produit (objectif commercial / marketing)

Y valuation Critres Communs

Qualifier / recetter / labelliser /

Y Mthode interne / ISO 17799 / ...

 Analyser, sur incident

Sur mesure ... Ncessite une trs forte expertise technique

 ...

09 Avril 2002

Conclusion

09 Avril 2002

Conclusion

Le "sur mesure" est indispensable  Dfinir ses besoins et en dduire sa stratgie  Mettre en uvre les recommandations Approche technique ou fonctionnelle ?  Les outils automatiss sont utiles, voire indispensables  Oui mais

Ils offrent une photo un instant T mais pas dans le temps ni sur les cas "exceptionnels" Il faut les paramtrer et exploiter les rsultats Ils ne couvrent pas tout le primtre (organisation, procdures, juridiques, traitement des incidents, ) Ils ne sensibilisent pas

 Donc des audits "organisationnels", voire fonctionnels sont

aussi indispensables

Organisation / responsabilits, principes, procdures, analyse de risque, respect des obligations juridiques, ...

Une double comptence s'impose ...

09 Avril 2002