Cours Ssiii PDF

Introduction
Etat des lieux

Les normes ISO 17799, ISO 27002
Cours 1 : Introduction `
a la S
ecurit
e des
Systèmes dInformation
Odile PAPINI
ESIL
Universit
e de la mediterran
ee
Odile.Papini@esil.univ-mrs.fr
http://odile.papini.perso.esil.univmed.fr/sources/SSI.html
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Plan du cours 1
1 Introduction
2 Etat des lieux
3 Les normes ISO 17799, ISO 27002
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Plan du cours
Introduction
Etat des lieux
Normes ISO 17799, ISO 27002
Panorama des menaces
Panorama des attaques
Politiques de s
ecurit
e
Contr
ole dacc
es
D
etection dintrusions
Biom
etrie
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
Syst`
eme dinformation (definition)
Le système dinformation comprend les mat eriels

informatiques et les
equipements p eriph
eriques, les logiciels
et microprogrammes, les algorithmes et sp ecifications
internes aux programmes, la documentation, les moyens de
transmission, les proc
edures, les donn ees et les informations
qui sont collect
ees, gard
ees, trait
ees, recherchees ou
transmises par ces moyens ainsi que les ressources humaines
qui les mettent en oeuvre.
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
S
ecurit
e:
protection contre les accidents

protection physique
qualite de lenvironnement
fiabilit
e des systèmes, pannes, tol erance de pannes
syst`
emes de secours, sauvegardes, maintenance
qualite de base des logiciels
confidentialite, int egrit
e, disponibilit
e
intrusion reseau
virus, piratage,
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
Linformation num
erique est vuln
erable
peut etre detruite, amputee, falsifiee, modifiee

pas doriginal, ni de copies mais des clones o` u la reproduction
est à lidentique
Linformation num
erique est volatile
peut etre ajustee, personnalisee

un document generique peut etre particularise pour un
destinataire specifique
un logiciel general peut etre ajuste selon le contexte ou cible
selon un usage specifique
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
s
ecurit
e des SSI : concepts cl
es
Fig.: source : W. Stallings & L. Brown

Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction : perimètre de la securite des SSI
Fig.: source : W. Stallings & L. Brown
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
les enjeux de la s
ecurit
e des SSI
matriser le traitement, le stockage, le transport de

linformation
valoriser les contenus
multimedia, logiciel, proprietes intellectuelles,
libre circulation des contenus
disseminer les oeuvres, retribuer les auteurs
asseoir la confiance dans lunivers num
erique
e-commerce, e-buisness, e-gouvernement,
s
ecuriser
les personnes (libertes, protection de dintimite)
les entreprises et organisations (prevention des risques)
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
S
ecurit
e:
norme ISO 27002 (ex ISO 17799 :2005) : decrit les differents items
a` couvrir dans le domaine de la securite des SSI
Qui est concern

e par la s
ecurit
e des SSI ?
les informaticiens
les dirigeants
les utilisateurs
tous les membres du groupe concern
es par le syst`
eme
dinformation
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
Pluridisciplinarit
e de la s
ecurit
e:

ethique
l
egislation
r`
eglementation
technique
m
ethodologie
normes
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
vuln
erabilit
e des syst`
emes dinformation
cohabitation de nouvelles et anciennes applications

interconnection de diff
erents SI
ouverture du SI vers lext
erieur (internet)
t
el
emaintenance, infog
erance
mobilit
e, nomadisme
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
origine des sinistres
attaques logiques
virus
malveillance
erreurs / n
egligence
catastrophes naturelles
terrorisme
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
pertes dues `
a des pbs de s
ecurit
e
Fig.: au niveau international (source : FBI 2006) (1)

Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
cons
equences :
fermeture de lentreprise
perte financi`
ere
perte de contrat
litige

Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
S
ecurit
e des SSI
enjeu
economique et social fondamental
aussi enjeu pour lint
egrit
e de la nation
d
efi permanent
les risques sont

enormes
mais(heureusement) il y a peu de sinistres (d
eclar
es)
cependant il faudrait anticiper : la s
ecurit
e a un co
ut
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
Mise en place dune politique de s

ecurit
e (PSI)
liens sensibles
menaces
impacts
mesures à adopter
55% des entreprises sont dotèes dune PSI (source : rapport

CLUSIF 2008)
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Etat des lieux : les entreprises
d
efinir une politique de s
ecurit
e:
aspects techniques
aspects humains
communiquer, sensibiliser :
aspects techniques
aspects humains
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
Mise en oeuvre dune politique de s

ecurit
e:
système dauthentification (biometrie, serveur dauthentification , )
chiffrement (PKI, mecanismes integres `
a des protocoles de
communication (IPsec), )
pare feux (firewall)
système anti-virus
outil de detection de failles de securite
système de detection dintrusions
système dexploitation securise

Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Introduction
technologies utilis
ees
Fig.: au niveau international (source : FBI 2006) (2)
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Etat des lieux
La s
ecurit
e en quelques chiffres :
sources CLUSIF, 2008
http ://www.clusif.asso.fr/
enquete realisee auprès de :

354 entreprises de plus de 200 salaries
194 collectivites locales, conseils, regionaux, generaux, mairies
de plus de 30 00 habitants
1139 internautes
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Etat des lieux : Methodologie de lenquete
norme ISO 27002(ex 17799) pour les entreprises et

collectivit
es :
thème 5 : politique de securite
thème 6 : organisation de la securite et moyens
thème 7 : gestion des risques lies à la securite des SI
thème 8 : securite des ressources humaines (charte, sensibilisation)
thème 10 : gestion des communications et des operations
thème 11 : controle des accès
thème 12 : acquisition, developpement et maintenance
thème 13 : gestion des incidents de securite
thème 14 : gestion de continuite
thème 15 : conformite (CNIL, audits, tableaux de bord)
thème 9 : securite physique non aborde
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Etat des lieux : methodologie de lenquete
th`
emes abord
es pour les internautes
caracterisation socioprofessionnelle et identification des outils

informatiques
usage de linformatique et dinternet à domicile
gestion des risques lies à la securite des SI
perception de la menace informatique, sensibilite aux risques et à la
securite, incidents rencontres
pratiques de securite mises en oeuvre (comportement, solutions
techniques)
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
secteurs dactivit
es
BTP
Commerce
Industrie
Services, banque, assurances
Transport
Telecoms
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
effectifs de l
echantillon
n : effectifs pourcentage
200 n 499 66%
500 n 999 19%
n > 1000 15%
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
rapport CLUSIF 2008 :
http ://www.clusif.asso.fr/fr/infos/event/conf080619
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Etat des lieux : les collectivites locales
collectivit
es locales
Mairies de plus de 30 000 habitants

Communautes dagglomeration de plus de 50 000 habitants
Communautes de communes de plus de 20 000 habitants
Conseils generaux
Conseils regionaux
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux

echantillon
collectivit
es pourcentage
mairies 34%
communaut
es de communes 32%
communaut
es dagglom
eration 20%
conseils g
en
eraux 11%
conseils r
egionaux 3%
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Etat des lieux : les internautes
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
S
ecurit
e
Que prot
eger ? Liste des biens `
a prot
eger
De quoi les prot

eger ? Liste des menaces
Quels sont les risques ? Liste des impacts et probabilit

es
Comment prot
eger
Liste des contre-mesures
lentreprise ?
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Normes internationales concernant la securit

e de
linformation les plus r
ecentes
norme ISO 17799 : differentes versions

norme ISO 17799 : 2005 de juin 2005 `
a juin 2007
norme ISO 27002 depuis juillet 2007
Titre de la norme ISO 27002 :
Code de bonnes pratiques pour la gestion de la s
ecurit
e
linformation
http ://www.iso.org/iso/iso catalogue/catalogue tc/
catalogue detail.htm ?csnumber=39612
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
La norme Norme ISO 17799
objectifs et recommandations pour la securite informatique
publiee en juin 2005
repondre aux preoccupations globales de securisation des

entites pour lensemble de leurs activites
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
ARCHITECTURE DE LA NORME ISO 17799
ORGANISATIONNEL
5 politique
de s
ecurit
e
6 organisation
de la s
ecurit
e
7 gestion des actifs
15 conformit
e 8 s
ecurit
e des
ressources humaines
11 contr
ole 9 s
ecurit
e physique
dacc`
es et environnementale
12 d
eveloppement et 10 gestion des communications 11 gestion 13 gestion
maintenance et de lexploitation de continuit
e des incidents
OPERATIONNEL
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
couverture th
ematique de la norme ISO 17799
la norme identifie des objectifs pour la securite informatique selon

3 critères :
confidentialit
e : absence de divulgation non autorisee
dinformations
int
egrit
e : prevention de modifications ou de suppressions
non autorisee dinformations
disponibilit
e : garantit laccès aux informations du système
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
les objectifs de s
ecurit
e sont regroup
es en 11 th`
ematiques :
politique de s
ecurit
e
organisation de la s
ecurit
e
classification et contr
ole du patrimoine informationnel
s
ecurit
e et ressources humaines
s
ecurit
e physique
gestion des op
erations et des communications
contr
ole dacc`
es
acquisition, d
eveloppement, maintenance
gestion des incidents
gestion de la continuit
e dactivit
e
conformit
eà la r`
eglementation interne et externe
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
S
ecurit
e
1) Que prot
eger ? Liste des biens `
a prot
eger
2) De quoi les prot

eger ? Liste des menaces
3) Quels sont les risques ? Liste des impacts et probabilit

es
4) Comment prot
eger
Liste des contre-mesures
lentreprise ?
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
mise oeuvre de la norme ISO 17799

etapes 1) - 3) : laissees aux entites (choix de methodologie)

etapes 4) : corps de la norme ISO 17799
Il est necessaire de :
didentifier les exigences legales et règlementaires

didentifier les enjeux de lentite et les attentes qui en
decoulent
de definir un perimètre de mise en application de la norme
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
analyse de risques
la norme ISO 17799 recense des modalit es et des règles pour

traiter les risques (reduire, transferer, prendre ou refuser les
risques)
la norme ISO 17799 recommande en compl ement une
analyse de risques, (sans preciser la methode)
les methodes reconnnues les plus connues (en France) :
MARION (CLUSIF) : https ://www.clusif.asso.fr/
MEHARI (CLUSIF) :
https ://www.clusif.asso.fr/fr/production/mehari
EBIOS (DCSSI) :
http ://www.ssi.gouv.fr/fr/confiance/ebios.html
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
norme ISO 17799 : outil de communication
r
ef
erentiel pour communiquer :
à linterieur de lentite (responsables, personnels)

à lexterieur de lentite (partenaires, clients)
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
De A sur quoi communiquer

direction g
en
erale besoin d etablir une politique de
s
ecurit e inspir
ee de lISO 17799
responsable toute lentit
e la sensibilisation
s
ecurit
e des services et des personnels
toute lentit
e le bien-fond e des mesures
de s ecuriteà mettre en place
direction g
en
erale la conformit e des mesures de
s
ecurite par rapport au
cadre de la norme
entit
e clients la coh erence de la d emarche
de securite avec
la norme ISO 17799
partenaires le bien-fond e dimposer des
exigences de s ecurit
e
coherentes avec ISO 17799
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
La Norme ISO 17799
la norme ISO 17799 nest pas une certification
certification :
delivree par un organisme independant

permet dattester la conformite dun produit, système, service
sappuie sur un audit
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Norme ISO 27002 en vigueur depuis juillet 2007

Titre de la norme ISO 27002 : Code de bonnes pratiques pour
la gestion de la s
ecurit
e linformation
evolution de la norme ISO 17799 :2005 pallie ses principales

insuffisances :
definition de niveaux de securite,
la methodologie danalyse et de gestion des risques
(norme ISO 27005),
la notion de plan daction,
la notion dindicateurs et de metriques de securite
(norme ISO 27004).
http ://www.iso.org/iso/iso catalogue/catalogue ics/catalogue
detail ics.htm ?csnumber=50297
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux

organisees sur 12 thèmes :
Chapitre 4 : Appreciation et traitement du risque.
Chapitre 5 : Politique de securite.
Chapitre 6 : Organisation de la securite de linformation.
Chapitre 7 : Gestion des biens.
Chapitre 8 : Securite liee aux ressources humaines.
Chapitre 9 : Securite physique et environnementale.
Chapitre 10 : Gestion des communications et de lexploitation.
Chapitre 11 : Controle daccès.
Chapitre 12 : Acquisition, developpement et maintenance des
systèmes dinformation.
Chapitre 13 : Gestion des incidents lies ` a la securite de
linformation.
Chapitre 14 : Gestion de la continuite dactivite.
Chapitre 15 : Conformite legale et reglementaire.
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Fig.: (source : Herve Schauer consultants)
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux

Odile PAPINI S
ecurit
e des Syst`
emes dInformation
Introduction
Etat des lieux
References pour les normes ISO 27004 et ISO 27005 :
http ://www.hsc.fr/ressources/presentations/cfssi-iso27-
intro/index.html.fr
Odile PAPINI S
ecurit
e des Syst`
emes dInformation

Cours Ssiii PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours Ssiii PDF

Uploaded by

Copyright:

Available Formats

Introduction

Etat des lieux

2 Etat des lieux

3 Les normes ISO 17799, ISO 27002

Le syst`eme dinformation comprend les mat eriels

protection contre les accidents

peut etre detruite, amputee, falsifiee, modifiee

peut etre ajustee, personnalisee

Fig.: source : W. Stallings & L. Brown

Introduction : perim`etre de la securite des SSI

Fig.: source : W. Stallings & L. Brown

matriser le traitement, le stockage, le transport de

Qui est concern

cohabitation de nouvelles et anciennes applications

origine des sinistres

Fig.: au niveau international (source : FBI 2006) (1)

les risques sont

Mise en place dune politique de s

55% des entreprises sont dot`ees dune PSI (source : rapport

Etat des lieux : les entreprises

Mise en oeuvre dune politique de s

Fig.: au niveau international (source : FBI 2006) (2)

Etat des lieux

enquete realisee aupr`es de :

Etat des lieux : Methodologie de lenquete

norme ISO 27002(ex 17799) pour les entreprises et

Etat des lieux : methodologie de lenquete

caracterisation socioprofessionnelle et identification des outils

Etat des lieux : les entreprises

Etat des lieux : les entreprises

200 n 499 66%

500 n 999 19%

n > 1000 15%

Etat des lieux : les entreprises

rapport CLUSIF 2008 :

Etat des lieux : les collectivites locales

Mairies de plus de 30 000 habitants

Etat des lieux : les collectivites locales

Etat des lieux : les collectivites locales

rapport CLUSIF 2008 :

Etat des lieux : les internautes

rapport CLUSIF 2008 :

Les normes ISO 17799, ISO 27002

De quoi les prot

Quels sont les risques ? Liste des impacts et probabilit

Les normes ISO 17799, ISO 27002

Normes internationales concernant la securit

norme ISO 17799 : differentes versions

La norme Norme ISO 17799

objectifs et recommandations pour la securite informatique

publiee en juin 2005

repondre aux preoccupations globales de securisation des

La norme Norme ISO 17799

ARCHITECTURE DE LA NORME ISO 17799

7 gestion des actifs

La norme Norme ISO 17799

la norme identifie des objectifs pour la securite informatique selon

La norme Norme ISO 17799

La norme Norme ISO 17799

2) De quoi les prot

3) Quels sont les risques ? Liste des impacts et probabilit

La norme Norme ISO 17799

mise oeuvre de la norme ISO 17799