Академический Документы
Профессиональный Документы
Культура Документы
Systmes
dInformation
Plan
Copyright
Plan
Introduction
Concepts et Technologies
Politique de Scurit des Systmes
dInformation
Cas Pratiques
La Scurit Des
Systmes
dInformation
Introduction
Copyright
Dfinition
Scurit des SI=
Protger les biens et informations les plus
prcieuses pour lentreprise
Copyright
La Scurit des SI
Critres dvaluation:
Disponibilit
Intgrit
Confidentialit
Traabilit
Copyright
Introduction
Les risques
Les objectifs
Dfinition
Copyright
Les Risques
Mesurs par la combinaison dune menace et
des pertes quelles pourraient engendres
Plusieurs lments:
Mthode dattaque
lments menaants
Vulnrabilits des entits
Copyright
Les Risques
Attaque passive
Attaque active
Usurpation
Rpudiation
Intrusion
Copyright
Les Objectifs
Protger les donnes stockes ou en transit sur le
rseau contre :
modification (destruction) non autorise
utilisation frauduleuse
divulgation non autorise
Scuriser laccs aux systmes, services et
donnes par :
vrification de lidentit dcline par le requrant
gestion des droits daccs et des autorisations
Scurit des Systmes
dInformation
Concepts et Technologies
Copyright
Cryptographie
Ensemble des techniques permettant de crypter
/ dcrypter des messages
Crypter : brouiller linformation,
la rendre incomprhensible
Dcrypter : rendre le message comprhensible
Emetteur
Destinataire
Message
clair
#^%!! $
-@
Message
clair
encryption
dcryption
Copyright
Cryptographie: Cl
Symtrique
Mme cl pour chiffrer et dchiffrer
Avantages :
facile implmenter
rapide
Copyright
Cryptographie: Cl
Asymtrique
Chaque communicant possde une paire de
cls associes : cl publique Kpb et cl prive
Kpv
Un message chiffr par lune des cls
ne peut pas tre dchiffr par cette mme
cl
mais peut tre dchiffr par lautre cl de la
paire
Copyright
Cryptographie
La cl prive doit tre conserve par son
propritaire
Rien nimpose de la dvoiler qui que ce
soit
La cl publique est diffuse sans restriction
idalement avec un niveau de diffusion
comparable lannuaire tlphonique
Aucun moyen pratique de dduire lune des
cls de la connaissance de lautre cl
Copyright
Cryptographie : Avantages
Message chiffr avec la cl publique
seul le propritaire de la cl prive
correspondante peut en prendre
connaissance : confidentialit
le receveur na aucune ide de
lexpditeur puisque la cl publique
est accessible tous
Copyright
Cryptographie : Avantages
Message chiffr avec la cl prive
altration frauduleuse impossible car
ncessite la connaissance de la cl
prive : intgrit
pas de confidentialit : la cl publique
peut tre utilise par tous pour lire
la cl prive dvoile lidentit de
lexpditeur
propritaire de la cl prive
Copyright
Cryptographie : Inconvnients
Algorithmes complexes et difficiles
implmenter
Peu performant : long et gourmand en CPU
1000 plus lents que les algorithmes
cls symtriques
Moins srs contre les attaques de force
brute
ncessite des cls plus longues que les
algorithmes symtriques
Copyright
Cryptographie: le Hashage
Calcule un condens significatif de taille
fixe, quelque soit la taille dorigine
irrversible : transformation inverse
impossible
dterministe : le mme message produit le
mme rsum
effets imprvisibles
Lintgrit du rsum significatif est une
garantie de lintgrit du document dorigine
cest une empreinte digitale du document
Copyright
Signature Electronique
Proprits :
Ne peut tre cre indpendamment
Sa validit peut tre vrifie par tous
la cl publique est accessible librement
les algorithmes utiliss sont connus
Elle rvle toute altration, frauduleuse ou
accidentelle
Falsification en principe impossible
non-rpudiation
Copyright
PKI (Public Key Infrastructure)
Ensemble des solutions techniques bases sur
la cryptographie cl publique
Canal scuris inutile tiers de confiance CA
Signe cl publique
Assure vracit des informations
Copyright
PKI
Confiance directe
Modle simple de confiance, lutilisateur a
confiance dans la validit de la cl car il sait
do elle vient.
Confiance hirarchique ou arbre de confiance
Le certificat est vrifi jusqu ce que le
certificat de type root soit trouv.
Confiance dcentralise ou en rseau
Cumule des deux modles.
Copyright
Complte les techniques de cryptographie par :
Les contrles daccs rseau (machines, serveurs)
sur les paramtres utiliss pour ltablissement des
communications : adresses et ports, sens de la
connexion
FIREWALL
Solutions et Dispositifs de Scurisation :
Scurit Architecturale
Copyright
Solutions et Dispositifs de
Scurisation : Scurit Architecturale
Des contrles plus fins (et plus lourds) au niveau
du flot de donnes mis ou reu par une
application
serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
SAS applicatifs spcialiss pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)
Copyright
Principaux standards :
S/MIME (Secured Multipurpose Internet Mail
Extensions)
chiffrement et signature digitale (authentification et
confidentialit) des messages lectroniques et
documents attachs au format MIME
extension du standard dinteroprabilit MIME
Solutions et dispositifs de scurisation :
Scurit off-line
Copyright
Solutions et dispositifs de
scurisation : Scurit off-line
PGP (Pretty Good Privacy)
systme de cryptographie hybride (cls
symtriques et asymtriques)
les donnes sont compresses puis
chiffres pour conomiser lespace
disque.
chaque utilisateur est sa propre autorit
de certification
XML (eXtensible Markup Language)
Signature
XML Encryption
SecurBdF (Banque de France)
Copyright
Protections assures
attaque passive
attaque active
usurpation (metteur)
rpudiation (metteur)
protection de bout en bout
Protections non assures
usurpation (rcepteur)
intrusion
rpudiation (rcepteur)
Solutions et dispositifs de scurisation :
Scurit off-line
Copyright
Principaux protocoles :
SSL/TLS (Secured Socket Layer/ Transport Layer
Security)
SSH (Secured SHell)
Protections assures
attaque passive
attaque active
usurpation
Intrusion
Protections non assures
rpudiation
protection de bout en bout
Solutions et dispositifs de scurisation :
Scurit de transport
La Scurit des
Systmes
dInformation
Politique de Scurit des Systmes
dInformation (PSSI)
Copyright
Dfinition
Ensemble formalis dans un document applicable, des
directives, procdures, codes de conduite, rgles
organisationnelles et techniques, ayant pour objectif la
protection des systmes dinformation de lorganisme.
Copyright
Principales tapes
Audit
Elaboration des rgles
Surveillance
Actions
Copyright
Audit
Identifier / Classer les risques et leurs
menaces:
Quels sont les risques ?
Quelle en est la probabilit ?
Quels sont leurs impacts ?
Identifier les besoins :
tat des lieux du SI
Copyright
Les risques
Rpertoris les risques encourus
Estimer leur probabilit:
Faible: menace peu de chance de se
produire
Moyenne: la menace est relle
Haute: la menace a de trs grande chance
de se produire
Etudier leur impact (cot des dommages)
Copyright
Elaboration de rgles
Rgles et procdures pour rpondre aux
risques
Allouer les moyens ncessaires
Copyright
Surveillance
Dtecter les vulnrabilits du SI
Se tenir inform des failles
Etre ractifs
Copyright
Les Cibles des Failles de la
Scurit
R&D
Services financiers
Marketing
Rseaux de vente (! Distributeurs et clients trop bavards)
Le service achat
Le Personnel: sensibiliser lensemble
du personnel, attention aux licencis,
mcontents
Copyright
Actions
Dfinir les actions entreprendre
Et les personnes contacter en cas de
menace
Copyright
Actions
Simples mettre en uvre et pourtant
pas toujours existantes !
Entres et sorties contrles
Surveiller et piger les BD dans
entreprise
Mfiance au tlphone
Copyright
Acteurs & Rles
Pourquoi ?
Quoi
Qui ? Quand ?
Comment ?
Direction Gnrale
Responsable SSI
Responsable Fonctionnel
Responsable Projet
CHARTES
REGLES GENERALES
PROCESSUS & CONTROLES
PROCEDURES OPTIONNELLES
Copyright
Thmes
Classification et contrle du patrimoine matriel et immatriel
Rle des personnes
Protection des locaux et quipements
Contrle des accs et gestion des habilitations
Gestion des communications et des oprations
Dveloppement et maintenance des systmes dinformation
Continuit des activits
Obligations lgales
Copyright
Russite PSSI
Etre simple et raliste pour que tout le monde la
comprenne et puisse la respecter
Faire vivre
Copyright
Stratgie
PSSI doit faire partie intgrante de la stratgie
de la socit :
dfaut de scurit cote cher !
Inclure une notion gnrale de la scurit
reposant sur 4 points:
Protection des applicatifs aux mtiers du SI
qualifis de sensible
Diminution des vulnrabilits
Scurit proprement dite du SI
Continuit en cas de sinistre
Copyright
Normes et Mthodes
Normes = bonnes pratiques
Mthodes = valuation globale du SI en terme
de:
Risques
Protection
Copyright
Normes
ISO 27 001:
Approche processus (PDCA)
133 mesures base dans llaboration
du plan
ISO 17 799: dcoupage par thmes
Copyright
Mthodes
Dmarche structure
Obtenir une partie des lments stratgiques
Copyright
Mthodes
Cobit: Control Objectives for Business and
related Techonology
Ebios: Expression des besoins et identification
et des objectifs de scurit
Marion
Mehari: Mthode harmonise danalyse des
risques
Copyright
Ebios
Etude du contexte: lments essentiels
(ensemble dentits de diffrents types)
Expression des besoins: critres de scurit
impact
Etude des menaces: type/cause
Expression des objectifs de scurit
Dtermination des exigences de scurit
Copyright
ISMS (Information Security Management
System)
Application au domaine de la scurit
informatique de la roue de Deming
Planifier
Faire
Vrifier (R)Agir
Copyright
ISMS (Information Security Management
System)
Planifier: passer dune posture ractive
proactive
Faire: dvelopper des processus en suivant un
rfrentiel de scurit
Contrler: audits et tests dintrusion
Agir: analyse des risques des besoins et enjeux
Copyright
Cadre juridique
Loi Sarbannes-Oxley
Loi des liberts personnelles