0 - Etat de L'art de La S Curit Informatique - Introduction - V 1.01

tat de lart de la
scurit informatique
Introduction
Auteurs :
Stphan GUIDARINI Consultant Senior
Sbastien DESSE Expert Rseaux et Scurit
Novembre Dcembre 2005
Version 1.01
Prsentation
Intervenants
Partie thorique :
Stphan GUIDARINI - STEDIA Consulting
Consultant Infrastructure et Scurit
Ancien lve du DESS Rseaux & Tlcoms
Partie pratique :
Sbastien DESSE - ITSEC
Ingnieur Rseaux et Scurit
Membre fondateur du GREPSSI
Groupe de Rflexion et dEchange sur les
Problmatiques lies la Scurit des Systmes
Version 1.01
Programme

Version 1.01
Programme Partie thorique

6 sessions thoriques
Session du 31/10/2005
Introduction la scurit informatique
Session du 07/11/2005
Scurit des rseaux (1er partie)
21/11/2005
Scurit des rseaux (2me partie)
28/11/2005
Scurit des contenus et changes
05/12/2005
Scurit des accs
12/12/2005
Scurit des systmes et services et conclusion
Version 1.01
Sommaire - Introduction
Introduction
Quest ce que la scurit ?
Quoi protger ?
Pourquoi ?
Contre qui ?
Qui croire ?
Comment protger ?
La politique de scurit.
Version 1.01
Quest ce que la scurit ?

La scurit recouvre l'ensemble de
techniques informatiques permettant de
rduire au maximum les chances de fuites
d'information, de modification de
donnes ou de dtrioration des services.
Elle consiste un trs grand nombre de
mthodes, de technologies,
d'architectures permettant d'atteindre un
certain niveau de protection.
Version 1.01
Quest ce que la scurit (2) ?

"Scuriser" consiste utiliser une ou plusieurs
de ces techniques dans le but d'lever le niveau
de scurit d'un systme ou d'une architecture.
La menace reprsente le type d'action susceptible de nuire

dans l'absolu
La vulnrabilit reprsente le niveau d'exposition face la
menace dans un contexte particulier.
Enfin la contre-mesure est l'ensemble des actions mises en
oeuvre en prvention de la menace.
Version 1.01
Quoi protger ?
L Information au sens large.
Voix et Vido
Informations
Non
numrises
Scurit des
systmes dinformation
Scurit des
Archives
Rseaux et changes
Scurit des
systmes
Scurit juridique
Scurit des
dveloppements
LA SECURITE DE LINFORMATION
Version 1.01
Quelle que soit la

forme
prise
par
linformation
ou
quels que soient les
moyens par lesquels
elle est transmise
ou stocke, il faut
quelle soit toujours
protge
de
manire approprie.
Seulement 40 50% des informations ncessaires pour faire fonctionner une

8
entreprise sont enregistres sur des supports lectroniques
Quoi protger (2) ?

Le triptyque DIC :
Disponibilit.
Garantir que les utilisateurs habilits ont accs
linformation et aux ressources associes au moment
voulu (pas daccs non autoris)
Intgrit.
Sauvegarder lexactitude et la fidlit de linformation et
des mthodes de traitement des donnes (pas de
modification non autorise).
Confidentialit
Garantir que seules les personnes habilites peuvent
accder linformation (pas de divulgation non
autorise).
Version 1.01
Quoi protger (3) ?

Les actifs.
Les actifs sont caractriss par leur type
et surtout par leur valeur
Actifs dinformations
Actifs physiques
Fichiers de donnes, bases de donnes

Procdures et manuels utilisateurs,
archives.
Serveurs informatiques, PC, portables,

Matriels rseaux, PABX, units de
climatisation.
Actifs applicatifs
Actifs lis la fourniture de

services
Progiciels, logiciels spcifiques,

Systmes dexploitation, outils de
dveloppement, utilitaires.

Version 1.01
Services gnraux (alimentation

lectrique, climatisation, etc)
10
Pourquoi protger ?
Linformation est une ressource stratgique, une matire
premire, elle est un atout pour celui qui la possde et
donc attise souvent les convoitises
Les S.I. facilitent laccs linformation
Ils grent de grandes quantits dinformation et peuvent la rende
accessible depuis nimporte quel point du globe
La destruction dun S.I. peut permettre danantir une

entit de manire anonyme et sans faire un seul mort
La loi, la rglementation et lthique seront toujours en
retard sur la technique
Les individus se comportent rarement comme on lattend
Le comportement dun individu confront des situations
inhabituelles et critiques est imprvisible
Version 1.01
11
Pourquoi protger?
Les consquence retenir
Vol dinformations et du savoir faire
Dans un contexte de haute technologie notamment
Atteinte limage de marque

NASA, e-bay, Wanadoo, RSA,
Indisponibilit du service
e-business,
Perte de temps et de moyen humains

Remise en service, recherche des dgradations
Tache TRES difficile, peut ncessiter des moyens normes
Pertes financires !
Modification des montants de facture
Perte dexploitation
Erreurs de traitement
Version 1.01
12
Contre qui ?
Les menaces
Les diffrents types de pirates
Les diffrentes arnaques et attaques
Les accidents et inconsciences

Version 1.01
13
La menace - Dfinitions
Violation potentielle de la scurit - ISO-7498-2
Menace accidentelle
Menace dun dommage non intentionnel envers le SI
Catastrophe naturelle, erreur dexploitation, pannes
Menace intentionnelle ou dlibre

Par opposition la prcdente, elle est le fait dun acte dlibr
Menace active
Menace de modification non autorise et dlibre de ltat du
systme
Dommage ou altration du SI
Menace Passive
Menace de divulgation non autorise des informations, sans que
ltat du SI soit modifi
coutes, lecture de fichiers,
Menace Physique
Menace lexistence ou ltat physique du SI
Sabotage, incendie volontaire, vol,

Version 1.01
14
Catgories de menaces
intentionnelles
Lespionnage
Obtention dinformations
Le vol
Obtention dinformations ou de ressources
La perturbation
Affaiblir le S.I.
Le sabotage
Mise hors service du S.I.
Le chantage
Gain financier, menace de sabotage,
La fraude physique (rcupration de bandes, listings, )

Les accs illgitimes (usurpation didentit)


Version 1.01
15
Origines / Attaquants (1)

Accidents
Type de menace
Menaces accidentelles (cf. dfinition)
Type dattaquants
La nature !
Incendies, Foudre, Inondations, etc
Les fournisseurs
EDF, Fournisseurs de connectivit, Fournisseurs de
matriels et de logiciels,
Agresseurs internes (La majorit des cas)

Inconsciences et accidents (A ne pas ngliger !)
Provoqus par linattention ou le manque de
formation des administrateurs ou des utilisateurs
Hors du cadre de cette prsentation

Version 1.01
16

Menaces caractre stratgiques
Type de menace
Menace intentionnelle active, passive et physique
Pour un tat
Le secret dfense et la sret de ltat
Le patrimoine scientifique, technique, conomique, diplomatique
La disponibilit des SI et le fonctionnement des institutions
Pour lentreprise
Informations concernant ses objectifs et son fonctionnement
Les clients, procds de fabrication, recherche et dveloppement
Catgories de menace
Espionnage, vol, perturbation, sabotage, fraude physique, accs
illgitimes
Type dattaquants
Espions
Particuliers (rare), Entreprises, Gouvernements
Terroristes
Version 1.01
17

Menace caractre idologique
Type de menace
Le combat pour les ides est incessant et peut tre le moteur
dactes les plus extrmes
Idologie politique, raciale, religieuse, conomique,
Catgorie de menace
Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accs illgitimes,
Type dattaquants
Militants
Vandales
Terroristes
Version 1.01
18

Menace caractre terroriste
Type de menace
Actions concourant dstabiliser lordre tabli
A caractre violant : destruction
A caractre insidieux : dsinformation, dtournements
Catgorie de menace
Espionnage, vol, perturbation, sabotage,
chantage, fraude physique, accs illgitimes,
Type dattaquants
Terroristes
Version 1.01
19

Menace caractre cupide
Type de menace
Gain pour lattaquant
Financier, technologique,
Pertes pour la victime

Entranant un gain pour lagresseur : parts de march, dstabilisation
du concurrent,
Catgorie de menace
Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accs illgitimes,
Type dattaquant
Espions (concurrent ou pour le compte de)
Crime Organis
Intervenants
Ont souvent accs des informations sensibles, et conservent souvent
des fichiers de configuration,

Version 1.01
20

Menace caractre ludique
Type de menace
Menace intentionnelle active
Dsir de samuser ou dapprendre
Cest la prouesse technique qui est mise en avant
Catgorie de menace
Vol, perturbation, sabotage, accs illgitimes,
Type dattaquant
Joyriders
Vandales
Collectionneurs
Version 1.01
Gnralement appels
Hackers ou Crackers
21

Menace caractre vengeur
Type de menace
galement un moteur dactes extrmes
Souvent lexpression dun employ brim ou licenci qui peut
possd une trs bonne connaissance du SI
Catgorie de menace
Vol, perturbation, sabotage, accs illgitimes,
Type dattaquant
Personnes extrieures en dsaccord avec lentit
Peur tre un client, un fournisseur, un intervenant,
Les employs malveillants ou aigris

Ont souvent une bonne connaissance de lentreprise
Utilisateurs dpassant leurs prrogatives
Administrateurs, informaticiens,
Version 1.01
22
Origines / Attaquants (Conclusion)

Conclusion
Liste non exhaustive
La menace peut tre composite
Plusieurs motivations (origines)
Cupide + Ludique, Idologique + Terroriste,
Plusieurs profils de pirate

Employ malveillant + Espion,
Les Hackers et Crackers monopolisent

lattention mais ne sont en ralit quune
composante de la problmatique de scurit !
Version 1.01
23
Contre qui ? - Critres

Comment caractriser les agresseurs ?
Leurs comptences techniques
Le temps qu'ils sont prts passer pour russir
Leurs motivations
Leurs moyens
Leurs connaissances pralables de la cible

Version 1.01
24
Classement
Comptence
Temps
Motivation
Un hacker / tudiant externe pour le plaisir
Forte
Fort
Moyenne
Un concurrent
Forte
Faible
Forte
Moyenne
Moyen
Moyenne
Un opportuniste
Faible
Faible
Faible
Un membre de socit de service
Forte
Faible
Faible
Un ancien membre du personnel
Moyenne
Faible
Moyenne
Un membre du personnel
Moyenne
Faible
Faible
Forte
Moyen
Faible
Un escroc (enjeu financier)
Un stagiaire

Version 1.01
25
Dmarche basique (Cracker)

1
Collecter les
Outils (logiciels)
Attaquer la
victime
3
Version 1.01
Se vanter
26
Dmarche intermdiaire
Collecter les
Outils et se
documenter
Collecter des
informations
3,5
Version 1.01
Identifier la
cible
Attaquer
la victime
27
Dmarche expert (Hacker)

Matrise des
concepts et outils
Identifier la
cible
Collecter des
informations
3,5
Version 1.01
Dvelopper
les outils
Attaquer
la victime
28
Attaques
Attaque != Vulnrabilit
Attaque
Action de malveillance consistant tenter de
contourner les fonctions de scurit dun SI (ISO)
Vulnrabilit
Faiblesse ou faille dans les procdures de
scurit, les contrles administratifs, les
contrles internes dun systme, qui pourrait tre
exploite pour obtenir un accs non autoris au
SI, un de ses services, des informations ou
la connaissance de leur existence et de permettre
de porter atteinte la confidentialit, lintgrit
et la disponibilit du SI et de ses informations
Version 1.01
29
Vulnrabilits
Dans la conception
Matriel
Protocole
Architecture (Systme, Rseau, )
Logiciel (OS, application, )
Dans limplmentation
Matriel
Protocole
Architecture (Systme, rseau )
Configuration, exploitation
quipement (Routeurs, Firewalls, Serveur, )
Version 1.01
30
Attaques
Intrusions
Vandalisme
Denis de service (DOS)
Vol dinformations
Escroqueries

Version 1.01
31
Attaques (1)
Intrusions
Recherche de mots de passe
Dictionnaire
coute du rseau
Brute force
Le Spoofing
Les sniffers et scanners
Les exploits
Version 1.01
32
Attaques (2)
Vandalisme
Destruction de fichiers
Destruction de systmes
Dfiguration de site Web

Version 1.01
33
Attaques (3)
Denis de service (DOS)
Bombes logiques (virus)
Le flood
TCP-SYN Flooding
Le Nuke
Le spamming
Denis de service distribu (DDOS)

Amplification des DOS
Version 1.01
34
Attaques (4)
Vol dinformation
Suite une intrusion
Interception
coute
Cryptanalyse

Version 1.01
35
Les principales escroqueries

Lingnierie sociale.
Il s'agit ainsi d'une technique consistant
obtenir des informations de la part des
utilisateurs par tlphone, courrier
lectronique, courrier traditionnel ou
contact direct
Exemple : Le message vocal du Prsident de HewlettPackard son Directeur administratif et financier, o il
voquait la fusion avec Compaq a t intercept et
diffus travers lInternet. - Avril 2002 -

Version 1.01
36
Les principales escroqueries

Le scam.
Pratique frauduleuse consistant
extorquer des fonds des internautes en
leur faisant miroiter une somme d'argent
dont ils pourraient toucher un
pourcentage.

Version 1.01
37
Les principales escroqueries (2)

Le phreaking.
Contraction des mots anglais phone (tlphone)
et freak (monstre) dsignant le piratage de lignes
tlphoniques
Technique frauduleuse permettant lutilisation gratuite
de ressources tlphoniques depuis lextrieur.
Exemple : Le piratage du standard tlphonique de la
Cit des Congrs de Nantes a dur trois journes : le
montant de la facture de tlphone sest lev de 2 000
70 000 . - La Tribune fvrier 2002 -

Version 1.01
38

Le phising.
Contraction des mots anglais fishing,
en franais pche, et phreaking
Technique frauduleuse utilise par les pirates
informatiques pour rcuprer des informations
(gnralement bancaires) auprs d'internautes.
Technique d'ingnierie sociale c'est--dire consistant
exploiter non pas une faille informatique mais la faille
humaine en dupant les internautes par le biais d'un
courrier lectronique semblant provenir d'une entreprise
de confiance.

Version 1.01
39

Le Hoax ou canular.
Courrier lectronique propageant une fausse information et
poussant le destinataire diffuser la fausse nouvelle tous
ses proches ou collgues.
Les consquences
L'engorgement des rseaux et des serveurs de messagerie,
Une dsinformation, c'est--dire faire admettre de
nombreuses personnes de faux concepts ou vhiculer de
fausses rumeurs,
La perte de temps, tant pour ceux qui lisent l'information, que
pour ceux qui la relaye ;
La dgradation de l'image d'une personne ou bien d'une
entreprise,
L'incrdulit : force de recevoir de fausses alertes les
usagers du rseau risquent de ne plus croire aux vraies.
Version 1.01
40
Les virus
Programme informatique situ dans le corps
d'un autre, qui, lorsqu'on l'excute, se charge
en mmoire et excute les instructions que
son auteur a programm
Diffrents types.
Les vers
Les troyens
Les bombes logiques
Les spywares

Version 1.01
41
Les virus (2)

Les vers.
Programme qui peut s'auto-reproduire et se
dplacer travers un rseau en utilisant les
mcanismes rseau, sans avoir rellement besoin
d'un support physique ou logique pour se
propager
Les vers actuels se propagent principalement
grce la messagerie grce des fichiers
attachs contenant des instructions permettant
de rcuprer l'ensemble des adresses de courrier
contenues dans le carnet d'adresse et en
envoyant des copies d'eux-mme tous ces
destinataires.
Version 1.01
42
Les virus (3)

Les chevaux de Troie.
Programme (en anglais trojan horse) cach
dans un autre qui excute des commandes
sournoises, et qui gnralement donne un
accs la machine sur laquelle il est
excut en ouvrant une porte drobe (en
anglais backdoor
Vol de mots de passe
Copie de donnes
Excution daction nuisible
Version 1.01
43
Les virus (4)

Les bombes.
Dispositifs programms dont le
dclenchement s'effectue un moment
dtermin en exploitant la date du systme,
le lancement d'une commande, ou
n'importe quel appel au systme
Gnralement utilises dans le but de
crer un dni de service
Exemple la bombe logique Tchernobyl s'est
active le 26 avril 1999
Version 1.01
44
Les virus (5)

Les spyware ou espiogiciels.
Programme charg de recueillir des informations
sur l'utilisateur de l'ordinateur sur lequel il est
install (on l'appelle donc parfois mouchard) afin
de les envoyer la socit qui le diffuse pour lui
permettre de dresser le profil des internautes
(profiling).
Keyloggers : Dispositif charg d'enregistrer les
frappes de touches du clavier et de les enregistrer,
l'insu de l'utilisateur. Il s'agit donc d'un dispositif
d'espionnage.
Version 1.01
45
Taxinomie dun incident

Taxinomie (ou Taxonomie)
Classification dlments selon des taxons
Taxon (biologie)
Unit formelle reprsente par un groupe
dorganismes, chaque niveau de la
classification.

Version 1.01
46
Incident
Attaque
vnement
Attaquant
Outil
Vulnrabilit
Action
Cible
Rsultat
Objectif
Terroriste
Attaque
physique
Conception
Sonde
Compte
utilisateur
Accs
illgitime
Challenge,
distraction
Espion
change
dinformation
Implmentation
Scanne
Processus
Divulgation
dinformation
Gain
financier
Crime
organis
Commande
utilisateur
Configuration
Flood
Donne
Corruption
dinformation
Gain
stratgique
Militant
Script,
programme
Authentifie
Ordinateur
Denis de
service
Destruction
Hacker
Toolkit
Court-circuite
Rseau
Vol de
ressource
Vengeance
Employ
Agent
autonome
Spoof
Composant
du SI
Destruction
de ressource
Cracker,
vandales
Outil
distribu
Vol
Trappe
Modifie,
copie, efface
Dtruit

Version 1.01
47
Qui croire ?
Personne ! (mthode paranoaque)
Tout le monde nest pas mal intentionn
Il existe des gens mal intentionns
Il existe des gens bien intentionns mais
irresponsables (Microsoft, ebay,)
A qui fait-on confiance ?

diteurs
Partenaires
Intervenants (SSII, intgrateurs, consultants, )
Sassurer quils sont aussi rigoureux que vous

sur la scurit
Version 1.01
48
Comment protger ?
Pas de scurit
Miser sur la discrtion
Scurit des systmes
Scurit du rseau
Sensibiliser et former le personnel
Aucun modle de scurit ne peut rsoudre
tous les problmes
Dfinir une politique de scurit
Dfinir une dmarche scurit
Version 1.01
49
La politique de scurit ?
Cest un dispositif global dont la mise en uvre
assure que linformation peut tre partage dune
faon qui garantit un niveau appropri de protection
de cette information et des actifs lis.
Toutes mthodes, techniques et outils concourant
la protection linformation contre un large ventail
de menaces afin :
De garantir la continuit dactivit de lentreprise,
De rduire les dommages ventuels sur lactivit de
lentreprise,
De maximiser le retour sur investissement des Systmes
dInformation.
Version 1.01
50
La politique de scurit (2).

Les domaines.

Version 1.01
51

La dmarche type.

Version 1.01
52

Les diffrentes approches.

Version 1.01
53

Les normes ISO concernant la scurit.

Version 1.01
54
Les normes ISO.

La norme ISO/IEC 15408
Certification internationale relative la scurit des
produits de technologies de linformation.
A destination des industriels du secteur des T.I.C avant
tout: Editeurs de logiciels, constructeurs dquipements
Un catalogue des exigences fonctionnelles et dassurance
de scurit,
lments pour la spcification des exigences de scurit
(cible de scurit, profil de protection),
La description des 7 niveaux dassurance de lvaluation
(EAL),

Version 1.01
55
Les normes ISO (2).

La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT
Security.
Partie 1: Concepts et modles pour
la scurit des T.I,
Partie 2: Management et planification
de la scurit des T.I,
Partie 3: Techniques pour la gestion
Partie 4: Slection de mesures de
scurit,
Partie 5: Guide pour la gestion de la
Scurit du rseau.

Version 1.01
56
Les normes ISO (2).

La norme ISO 13335.
ISO TR 13335: Guidelines for the management of IT
Security.
Partie 1: Concepts et modles pour
la scurit des T.I,
Partie 2: Management et planification
Partie 3: Techniques pour la gestion
Partie 4: Slection de mesures de
scurit,
Partie 5: Guide pour la gestion de la
Scurit du rseau.

Version 1.01
57
Les normes ISO (3)

ISO 17799
Standard international bas sur les bonnes pratiques
de la gestion de la scurit de linformation,
Une approche sappuyant sur la gestion de risques
pour dfinir une politique, des procdures et des
contrles appropris pour grer ces risques

Version 1.01
58
Les normes ISO (4)

Synthse.
LES NORMES DE SECURITE DE LINFORMATION AUJOURDHUI
SECURITE DE
LINFORMATI
ON
ISO 17799
Introduction
Contrles 17799
ISO 13335
Modle de Management
SECURITE
DES T.I.C
Risks management
Mesures de scurit

Version 1.01
59
La norme ISO 17799 (1)

ISO 17799 est :
Une norme internationale structure ddie la
scurit de linformation,
Un processus labor pour valuer, implmenter, maintenir
et grer la scurit de linformation,
Une srie de contrles bass sur les bonnes pratiques en
scurit de linformation,
Dvelopp par des industriels pour des industriels,
Pouvant sappuyer sur la norme IS0 13335: guidelines for
the management of IT Security,
Un processus quilibr entre scurit physique, technique,
procdurale et la scurit du personnel.
Version 1.01
60

ISO 17799 contient :
10 chapitres,
127 objectifs de contrle class en 3 familles :
Organisationnels
Politique de scurit,
Organisation de la scurit,
Continuit dactivit
10%
Fonctionnels
Rglementation et lois applicables,
Gestion des ressources humaines,
Oprationnels
10%
Scurit et accs logiques,

Dveloppement et gestion des volutions,
Scurit et accs physiques,
Version 1.01
80%
61

Les 10 chapitre de la norme :

Version 1.01
62
La norme ISO 17799 (4).

Politique de scurit
Lobjectif est, pour la direction, de:

Exprimer formellement la stratgie de scurit de lorganisation,
Communiquer clairement son appui sa mise en uvre.
Ce document soit tre approuv:
Il doit tre rvis et adapt priodiquement en prenant en compte lefficacit de
ses mesures, le cot et limpact des contrles sur lactivit, les effets des
volutions technologiques.
La scurit est une responsabilit partage par tous les membres de lquipe de
direction:
Cration dun comit de direction multifonction ddi pour assurer le pilotage
de la scurit,
Dfinit rles et responsabilits, les mthodes et procdures et soutient les
initiatives de promotion et de communication interne.
Version 1.01
63

Organisation de la scurit
Lobjectif est de:

Grer efficacement la scurit de linformation dans
lorganisation,
Maintenir la scurit des moyens de traitement et des
actifs accds par des tiers ou des sous-traitants,
Maintenir la scurit des informations lorsque la
responsabilit
du
traitement
des
informations
est
externalise une autre organisation.

Version 1.01
64

Classification et contrle des actifs
Lobjectif est de maintenir le niveau de protection adapt

chaque actif dinformation en accord avec la politique de scurit:
Tout actif important doit tre rpertori et allou un
responsable nominatif,
Linformation doit tre classifie en fonction du besoin, de
la priorit et du degr de scurit.
Les procdures de classification des informations doivent tre
dfinies et couvrir la manipulation des informations sous forme
physique aussi bien que lectronique, et pour les diffrentes
activits de copie, stockage, transmission et destruction.

Version 1.01
65

Classification et contrle des actifs
Lobjectif est de maintenir le niveau de protection adapt

chaque actif dinformation en accord avec la politique de scurit:
Tout actif important doit tre rpertori et allou un
responsable nominatif,
Linformation doit tre classifie en fonction du besoin, de
la priorit et du degr de scurit.
Les procdures de classification des informations doivent tre
dfinies et couvrir la manipulation des informations sous forme
physique aussi bien que lectronique, et pour les diffrentes
activits de copie, stockage, transmission et destruction.

Version 1.01
66

4
Scurit
lie au
personnel
Plus de 60% des incidents proviennent de lintrieur de lentreprise !

Lobjectif est de:
Rduire le risque derreur, de vol, de fraude ou de mauvais usage
des moyens de traitement,
Sassurer que les utilisateurs ont t informs des risques et
menaces concernant les informations,
Sassurer que les utilisateurs sont forms et quips pour
appliquer la politique de sret lors de leurs activits normales,
Minimiser
les
dysfonctionnement,
dommages
en
cas
dincident
ou
de
Savoir capitaliser sur ces incidents et sadapter.

Version 1.01
67

5
Scurit
physique et
de
lenvironnement
Lobjectif est de:
Prvenir les accs non autoriss, les dommages et les
interfrences sur les informations, les activits et les
locaux de lorganisation,
Prvenir la compromission ou le vol des informations ou
des moyens de traitement.

Version 1.01
68

6
Exploitation
et
rseaux
Lobjectif est de:

Assurer une exploitation correcte et sure des moyens de
traitement,
Minimiser les risques de pannes et leur impact,
Assurer lintgrit et la disponibilit des informations, des
traitements et des communications,
Prvenir les dommages aux actifs et les interruptions de service,
Prvenir les pertes, les modifications et les utilisations
frauduleuses dinformations changes entre organisations.
69
Version 1.01

7
Contrle
daccs
logiques
Lobjectif est de:

Grer et contrler laccs aux informations,
Prvenir les accs non autoriss,
Assurer la protection des systmes en rseau,
Dtecter les activits non autorises,
Assurer la scurit des informations lors des accs
mobiles ou distants.
Version 1.01
70

La politique de contrle comprend notamment:
Lenregistrement unique de chaque utilisateur,
Une procdure crite de dlivrance dun processus
dauthentification signe du responsable hirarchique,
Des services
dinactivit,
de
dconnexion
automatique
en
cas
Une politique de rvision des mots de passe,

Une hirarchisation du niveau daccs en fonction du
degr de confidentialit des donnes.

Version 1.01
71

8
Dveloppement
et maintenance
des systmes
Lobjectif est de:

Assurer que la scurit soit incluse ds la phase de conception,
Prvenir la perte, la modification ou la mauvaise utilisation des
informations hberges par les systmes,
Protger la confidentialit, lintgrit et la disponibilit des
informations,
Assurer que les projets et activits de maintenance sont conduits
de manire sre,
Maintenir la scurit des applications (logiciel et donnes).
Version 1.01
72

Continuit dactivit 9
Lobjectif est de dvelopper la capacit rpondre rapidement

aux interruptions des activits critiques de lorganisation rsultant
de pannes, dincidents, de sinistres ou e catastrophes.
Une analyse des risques partir de divers scnarii de
sinistre et une valuation de la criticit des applications
permet dtablir diffrents plans de poursuite des
oprations
depuis
le
mode
dgrad
en
cas
de
dysfonctionnement mineur jusqu la reprise dans un local
distant en cas de sinistre grave (incendie, attentat, grve,
)

Version 1.01
73

La conformit se dcline en 3 volets:
La conformit des procdures en place au regard de

la politique de scurit de lorganisation, cest dire
des dispositifs mis en place pour assurer les objectifs
de scurit dfinis par la Direction Gnrale,
10
Conformit
Le respect des lois et rglementations: Licences

logicielles,
proprit
intellectuelle,
rgles
de
manipulation des fichiers contenant des informations
touchant la confidentialit des personnes,
Lefficacit des dispositifs de traabilit et de suivi

des procdures en place: Journaux dactivit, pistes
daudit, enregistrement de transactions,

Version 1.01
74
Les mthodes de scurit.

Les plus connues en France sont MEHARI (Clusif),
EBIOS (DCSSI) et MARION (Clusif).
Ces mthodes ont leurs propres rfrentiels qui ne
couvrent pas toujours strictement le spectre de
lISO 17799,
Il peut par consquent tre ncessaire de
retravailler les bases de connaissance de ces
mthodes pour obtenir une couverture complte de
la scurit de lInformation,
La commission mthodes du Clusif a corrl la
base de connaissance de MEHARI afin de couvrir
lensemble des mesures de ISO 17799.
Version 1.01
75
Systme de Management de la
Scurit de lInformation.
Management System : Systme pour tablir la politique
et les objectifs et pour atteindre ces objectifs (ISO guide
72).
Les systmes de management sont utiliss dans les
entreprises pour dvelopper leurs politiques et les mettre
en application travers des objectifs et des cibles en
utilisant:
Une organisation dans lentreprise,
Des processus et des ressources associs,
Des contrles et une mthode dvaluation,
Des processus de rvision pour garantir que les anomalies sont
corriges et mettre en uvre des axes damlioration le cas chant.
Version 1.01
76
Scurit de lInformation (2).
Certaines organisations commencent aborder la
scurit de linformation comme un systme
intgr appel un Information System Management
System (ISMS).
Mise en uvre dun vrai processus danalyse,
dlaboration de contrle et dvolution dune
politique de scurit en appliquant un concept bien
connu en qualit, le modle PDCA.

Version 1.01
77
Modle PDCA.
MODELE PDCA
PLAN: Etablir les objectifs
conformment aux risques et aux
exigences de scurit,
DO: Implmenter et oprer les
fonctionnalits et procdures,
CHECK: Grer les incidents, les erreurs,
auditer,
ACT: Faire voluer la politique et les
moyens conformment aux besoins.

Version 1.01
78
Les normes pour construire un SMSI.

Version 1.01
79
La certification BS7799-2
A linstar de ISO 9000 pour le management de la qualit,
BS 7799-2 est la seule norme et certification qui existe
actuellement pour les ISMS.
Dfinit les conditions pour ltablissement, la mise en
uvre et la documentation dun ISMS,
Dfinit les exigences de contrles pour la scurit devant tre mis en
application selon les besoins de diffrents organismes,
Elle se compose de 10 chapitres de 127 contrles,
Ncessite 2 tapes (audit de la documentation puis audit de
limplmentation),
En France, le COFRAC (Comit Franais dAccrditation et de
Certification) peut valider un schma de certification BS 7799-2.

Version 1.01
80

0 - Etat de L'art de La S Curit Informatique - Introduction - V 1.01

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

0 - Etat de L'art de La S Curit Informatique - Introduction - V 1.01

Uploaded by

Copyright:

Available Formats

tat de lart de la

Novembre Dcembre 2005

Programme Partie thorique

Quest ce que la scurit ?

Quest ce que la scurit (2) ?

La menace reprsente le type d'action susceptible de nuire

Quelle que soit la

Seulement 40 50% des informations ncessaires pour faire fonctionner une

Quoi protger (2) ?

Quoi protger (3) ?

Fichiers de donnes, bases de donnes

Serveurs informatiques, PC, portables,

Actifs lis la fourniture de

Progiciels, logiciels spcifiques,

Novembre Dcembre 2005

Services gnraux (alimentation

La destruction dun S.I. peut permettre danantir une

Atteinte limage de marque

Perte de temps et de moyen humains

Novembre Dcembre 2005

Menace intentionnelle ou dlibre

Novembre Dcembre 2005

La fraude physique (rcupration de bandes, listings, )

Les accs illgitimes (usurpation didentit)

Novembre Dcembre 2005

Origines / Attaquants (1)

Agresseurs internes (La majorit des cas)

Hors du cadre de cette prsentation

Origines / Attaquants (2)

Origines / Attaquants (3)

Origines / Attaquants (4)

Origines / Attaquants (5)

Pertes pour la victime

Novembre Dcembre 2005

Origines / Attaquants (6)

Origines / Attaquants (7)

Les employs malveillants ou aigris

Origines / Attaquants (Conclusion)

Plusieurs profils de pirate

Les Hackers et Crackers monopolisent

Contre qui ? - Critres

Novembre Dcembre 2005

Un hacker / tudiant externe pour le plaisir

Un membre de socit de service

Un ancien membre du personnel

Un escroc (enjeu financier)

Novembre Dcembre 2005

Dmarche basique (Cracker)

Dmarche expert (Hacker)

Novembre Dcembre 2005

Novembre Dcembre 2005

Denis de service distribu (DDOS)

Novembre Dcembre 2005

Les principales escroqueries

Novembre Dcembre 2005

Les principales escroqueries

Novembre Dcembre 2005

Les principales escroqueries (2)

Novembre Dcembre 2005

Les principales escroqueries (3)

Novembre Dcembre 2005

Les principales escroqueries (4)

Novembre Dcembre 2005