La Scurit Des

Systmes
dInformation
Plan
Copyright
Plan
Introduction

Concepts et Technologies

Politique de Scurit des Systmes
dInformation

Cas Pratiques

La Scurit Des
Systmes
dInformation
Introduction
Copyright
Dfinition
Scurit des SI=

Protger les biens et informations les plus
prcieuses pour lentreprise
Copyright
La Scurit des SI
Critres dvaluation:

Disponibilit

Intgrit

Confidentialit

Traabilit
Copyright
Introduction
Les risques

Les objectifs

Dfinition
Copyright
Les Risques
Mesurs par la combinaison dune menace et
des pertes quelles pourraient engendres

Plusieurs lments:
Mthode dattaque
lments menaants
Vulnrabilits des entits

Copyright
Les Risques
Attaque passive

Attaque active

Usurpation

Rpudiation

Intrusion
Copyright
Les Objectifs
Protger les donnes stockes ou en transit sur le
rseau contre :
modification (destruction) non autorise
utilisation frauduleuse
divulgation non autorise

Scuriser laccs aux systmes, services et
donnes par :
vrification de lidentit dcline par le requrant
gestion des droits daccs et des autorisations


Scurit des Systmes
dInformation
Concepts et Technologies
Copyright
Cryptographie
Ensemble des techniques permettant de crypter
/ dcrypter des messages

Crypter : brouiller linformation,
la rendre incomprhensible

Dcrypter : rendre le message comprhensible

Emetteur
Destinataire
Message
clair
#^%!! $
-@
Message
clair
encryption
dcryption
Copyright
Cryptographie: Cl
Symtrique
Mme cl pour chiffrer et dchiffrer

Avantages :
facile implmenter
rapide

Copyright
Cryptographie: Cl
Asymtrique
Chaque communicant possde une paire de
cls associes : cl publique Kpb et cl prive
Kpv

Un message chiffr par lune des cls
ne peut pas tre dchiffr par cette mme
cl
mais peut tre dchiffr par lautre cl de la
paire



Copyright
Cryptographie
La cl prive doit tre conserve par son
propritaire
Rien nimpose de la dvoiler qui que ce
soit

La cl publique est diffuse sans restriction
idalement avec un niveau de diffusion
comparable lannuaire tlphonique

Aucun moyen pratique de dduire lune des
cls de la connaissance de lautre cl

Copyright
Cryptographie : Avantages
Message chiffr avec la cl publique

seul le propritaire de la cl prive
correspondante peut en prendre
connaissance : confidentialit
le receveur na aucune ide de
lexpditeur puisque la cl publique
est accessible tous
Copyright
Cryptographie : Avantages
Message chiffr avec la cl prive

altration frauduleuse impossible car
ncessite la connaissance de la cl
prive : intgrit
pas de confidentialit : la cl publique
peut tre utilise par tous pour lire
la cl prive dvoile lidentit de
lexpditeur
propritaire de la cl prive


Copyright
Cryptographie : Inconvnients
Algorithmes complexes et difficiles
implmenter

Peu performant : long et gourmand en CPU
1000 plus lents que les algorithmes
cls symtriques

Moins srs contre les attaques de force
brute
ncessite des cls plus longues que les
algorithmes symtriques

Copyright
Cryptographie: le Hashage
Calcule un condens significatif de taille
fixe, quelque soit la taille dorigine
irrversible : transformation inverse
impossible
dterministe : le mme message produit le
mme rsum
effets imprvisibles

Lintgrit du rsum significatif est une
garantie de lintgrit du document dorigine
cest une empreinte digitale du document
Copyright
Signature Electronique
Proprits :
Ne peut tre cre indpendamment
Sa validit peut tre vrifie par tous
la cl publique est accessible librement
les algorithmes utiliss sont connus
Elle rvle toute altration, frauduleuse ou
accidentelle
Falsification en principe impossible
non-rpudiation



Copyright
PKI (Public Key Infrastructure)
Ensemble des solutions techniques bases sur
la cryptographie cl publique

Canal scuris inutile tiers de confiance CA
Signe cl publique
Assure vracit des informations
Copyright
PKI
Confiance directe
Modle simple de confiance, lutilisateur a
confiance dans la validit de la cl car il sait
do elle vient.

Confiance hirarchique ou arbre de confiance
Le certificat est vrifi jusqu ce que le
certificat de type root soit trouv.

Confiance dcentralise ou en rseau
Cumule des deux modles.

Copyright
Complte les techniques de cryptographie par :

Les contrles daccs rseau (machines, serveurs)
sur les paramtres utiliss pour ltablissement des
communications : adresses et ports, sens de la
connexion
FIREWALL
Solutions et Dispositifs de Scurisation :
Scurit Architecturale
Copyright
Solutions et Dispositifs de
Scurisation : Scurit Architecturale
Des contrles plus fins (et plus lourds) au niveau
du flot de donnes mis ou reu par une
application
serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
SAS applicatifs spcialiss pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)

Copyright
Principaux standards :

S/MIME (Secured Multipurpose Internet Mail
Extensions)
chiffrement et signature digitale (authentification et
confidentialit) des messages lectroniques et
documents attachs au format MIME
extension du standard dinteroprabilit MIME



Solutions et dispositifs de scurisation :
Scurit off-line
Copyright
Solutions et dispositifs de
scurisation : Scurit off-line
PGP (Pretty Good Privacy)
systme de cryptographie hybride (cls
symtriques et asymtriques)
les donnes sont compresses puis
chiffres pour conomiser lespace
disque.
chaque utilisateur est sa propre autorit
de certification

XML (eXtensible Markup Language)
Signature

XML Encryption

SecurBdF (Banque de France)

Copyright
Protections assures
attaque passive
attaque active
usurpation (metteur)
rpudiation (metteur)
protection de bout en bout

Protections non assures
usurpation (rcepteur)
intrusion
rpudiation (rcepteur)

Solutions et dispositifs de scurisation :
Scurit off-line
Copyright
Principaux protocoles :
SSL/TLS (Secured Socket Layer/ Transport Layer
Security)
SSH (Secured SHell)
Protections assures
attaque passive
attaque active
usurpation
Intrusion
Protections non assures
rpudiation
protection de bout en bout


Solutions et dispositifs de scurisation :
Scurit de transport
La Scurit des
Systmes
dInformation
Politique de Scurit des Systmes
dInformation (PSSI)
Copyright
Dfinition
Ensemble formalis dans un document applicable, des

directives, procdures, codes de conduite, rgles

organisationnelles et techniques, ayant pour objectif la

protection des systmes dinformation de lorganisme.

Copyright
Principales tapes
Audit

Elaboration des rgles

Surveillance

Actions
Copyright
Audit
Identifier / Classer les risques et leurs
menaces:
Quels sont les risques ?
Quelle en est la probabilit ?
Quels sont leurs impacts ?

Identifier les besoins :
tat des lieux du SI

Copyright
Les risques
Rpertoris les risques encourus

Estimer leur probabilit:
Faible: menace peu de chance de se
produire
Moyenne: la menace est relle
Haute: la menace a de trs grande chance
de se produire

Etudier leur impact (cot des dommages)
Copyright
Elaboration de rgles
Rgles et procdures pour rpondre aux
risques

Allouer les moyens ncessaires
Copyright
Surveillance
Dtecter les vulnrabilits du SI

Se tenir inform des failles

Etre ractifs
Copyright
Les Cibles des Failles de la
Scurit
R&D
Services financiers
Marketing
Rseaux de vente (! Distributeurs et clients trop bavards)
Le service achat
Le Personnel: sensibiliser lensemble
du personnel, attention aux licencis,
mcontents
Copyright
Actions
Dfinir les actions entreprendre

Et les personnes contacter en cas de
menace
Copyright
Actions
Simples mettre en uvre et pourtant
pas toujours existantes !

Entres et sorties contrles
Surveiller et piger les BD dans
entreprise
Mfiance au tlphone

Copyright
Acteurs & Rles
Pourquoi ?
Quoi
Qui ? Quand ?
Comment ?
Direction Gnrale
Responsable SSI
Responsable Fonctionnel
Responsable Projet
CHARTES
REGLES GENERALES
PROCESSUS & CONTROLES
PROCEDURES OPTIONNELLES
Copyright
Thmes
Classification et contrle du patrimoine matriel et immatriel

Rle des personnes

Protection des locaux et quipements

Contrle des accs et gestion des habilitations

Gestion des communications et des oprations

Dveloppement et maintenance des systmes dinformation

Continuit des activits

Obligations lgales
Copyright
Russite PSSI
Etre simple et raliste pour que tout le monde la
comprenne et puisse la respecter

Faire vivre


Copyright
Stratgie
PSSI doit faire partie intgrante de la stratgie
de la socit :
dfaut de scurit cote cher !

Inclure une notion gnrale de la scurit
reposant sur 4 points:
Protection des applicatifs aux mtiers du SI
qualifis de sensible
Diminution des vulnrabilits
Scurit proprement dite du SI
Continuit en cas de sinistre
Copyright
Normes et Mthodes
Normes = bonnes pratiques

Mthodes = valuation globale du SI en terme
de:
Risques
Protection
Copyright
Normes
ISO 27 001:
Approche processus (PDCA)
133 mesures base dans llaboration
du plan

ISO 17 799: dcoupage par thmes
Copyright
Mthodes
Dmarche structure

Obtenir une partie des lments stratgiques
Copyright
Mthodes
Cobit: Control Objectives for Business and
related Techonology

Ebios: Expression des besoins et identification
et des objectifs de scurit

Marion

Mehari: Mthode harmonise danalyse des
risques


Copyright
Ebios
Etude du contexte: lments essentiels
(ensemble dentits de diffrents types)

Expression des besoins: critres de scurit
impact

Etude des menaces: type/cause

Expression des objectifs de scurit

Dtermination des exigences de scurit

Copyright
ISMS (Information Security Management
System)
Application au domaine de la scurit
informatique de la roue de Deming

Planifier
Faire
Vrifier (R)Agir
Copyright
ISMS (Information Security Management
System)
Planifier: passer dune posture ractive
proactive

Faire: dvelopper des processus en suivant un
rfrentiel de scurit

Contrler: audits et tests dintrusion

Agir: analyse des risques des besoins et enjeux
Copyright
Cadre juridique
Loi Sarbannes-Oxley

Loi des liberts personnelles