Management de la sécurité PAGE 7

LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE

Bimestriel - novembre/décembre2007 - 16€

Sécurité de la téléphonie sur IP

PAGE 46

Comment lutter efficacement contre les intrusions informatiques ?

Les multiples facettes du contrôle

d’accès au réseau d’entreprise PAGE 37 Microsoft Office SharePoint Serveur 2007 : les raisons-clés d’un succès PAGE 31

Management de la sécurité

PAGE 7

EN SAVOIR PLUS

Demandez le Livre Blanc rédigé par le Gartner Group et CAST sur ce thème :

« Information Series on Application Management » :

www.castsoftware.com/outsourcing Découvrez l’expérience de plusieurs sociétés utilisatrices de solutions d’Application Intelligence :

www.castsoftware.com/customers

ZOOM OUTSOURCING

L’AVIS DES DIRECTIONS INFORMATIQUES

Ministère des Finances Direction Générale des Impôts Nadine Chauvière

Sous-Directrice des SI de la DGI

« Les solutions d’Application Intelligence CAST nous aident à obtenir une meilleure visi- bilité de notre parc applicatif au travers de tableaux de bord composés d’indicateurs techniques objectifs afin de faciliter le dialogue avec les équipes et avec nos maîtrises d’ou- vrage. »

Groupe SFR Cegetel Eric Eteve

Directeur Informatique Centre Ingénierie Mobilité

« La solution CAST de gestion de la sous- traitance est un élément clé dans le système de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constaté une attention plus particulière apportée par les SSII à la qualité des livrables et à la fiabilité des chiffrages depuis qu’ils savent que nous pouvons facilement les auditer »

Framatome - Groupe AREVA Michel Fondeviole

DSI de Framatome-ANP

« CAST fournit des critères objectifs d’appré- ciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs nécessaires au suivi de l’évolution des appli- cations et constitue au sein de Framatome un outil de progrès partagé. »

L

es entreprises, devenues plus mûres vis-à-vis de l’outsourcing, sont désor- mais capables d’opérer des externali- sations plus stratégiques. On l’a récemment observé dans l’automobile avec Renault ou dans la grande distribution avec Carrefour.

Dans l’externalisation des applications métier, c’est surtout la volonté d’accroître l’efficacité opérationnelle de l’informatique qui est motrice : pouvoir fournir plus rapidement un service à valeur ajoutée aux utilisateurs et aux clients dans un contexte en perpétuelle évolution.

Comme dans n’importe quelle opération d’out- sourcing, le contrat liant le fournisseur est capi- tal, en particulier les SLAs. Néanmoins, les applications métier étant par nature soumises à de fréquents changements en cours de contrat, les seuls SLAs se révèlent vite insuffisants pour garantir la qualité de service et éviter les dérives de coûts.

C’est là que le bât blesse : l’externalisation des applications métier occasionne un risque de perte rapide de savoir-faire technologique et par conséquent critique. Vigilance et suivi sont de mise pour garder le contrôle de la qualité de service et éviter les dépendances par nature dangereuses.

L’externalisation réussie d’applications métier est donc le fruit d’une vision anticipatrice parta- gée avec le prestataire. Sont ainsi apparues des solutions dites d’Application Intelligence, basées sur une technologie avancée d’analyse de code source.

En fournissant des indicateurs techniques aux donneurs d’ordre, ces solutions permettent de piloter un parc applicatif sous-traité en temps réel, tant en terme de qualité, que de maintena- bilité et de coût. Résultat : le donneur d’ordre conserve la maîtrise intellectuelle de ses appli- cations métier et le contrôle de la relation avec son sous-traitant.

La valeur ajoutée de ce type de solutions d’Ap- plication Intelligence est visible à chaque étape d’une opération d’outsourcing, comme décrit ci-après.

Audit de l’existant et préparation des appels d’offres

• Déterminer les caractéristiques techniques du portefeuille applicatif existant avant de le sous-traiter

• Disposer d’informations de référence pour évaluer les propositions des sous-traitants

• Obtenir une image à l’instant t des applica- tions pour permettre un suivi dans le temps

Transfert vers le prestataire

• Réduire la phase d’acquisition de la connaissance pour entreprendre plus vite des tâches productives

• Diminuer le coût lié à la production d’une documentation exploitable et maintenable par le prestataire

Contrôle de la qualité et des coûts en cours de projet

• Suivre l’évolution de la maintenabilité et de la qualité pour éviter toute dérive

• Etre capable de valider la quantité et la qualité du travail facturé

• Etre en mesure de challenger le sous-trai- tant lors des négociations d’avenants

• Industrialiser les recettes techniques

Renouvellement de contrat, transfert ou ré-inter- nalisation

• Déterminer et qualifier les écarts entre la prestation prévue et les livrables recettés

• Disposer des informations techniques caractéristiques du portefeuille applicatif en fin de prestation

Le leader mondial de ce type de solutions est d’ailleurs un éditeur français, CAST. Reconnu par les analystes informatiques comme pré- curseur du marché, CAST compte plus 500 comptes utilisateurs de sa plate-forme d’Appli- cation Intelligence dans le monde.

La maîtrise des applications et des prestataires dans

une opération d’outsourcing

Cycle de vie d'une opération

d'Outsourcing

Suivi de projet Contrôle des coûts

Transfe esrt dnce csaonnais Fin de contrat Appels

d'offres

Recette techni

que

www.castsoftware.com

De la valeur ajoutée de l’Application

Intelligence pour piloter efficacement

un parc applicatif sous-traité

Edito

4 IT-expert n°70 - novembre/décembre 2007

Une fin d’année en fanfare

Après la consolidation applicative via le socle ERP, la même tendance sur les solutions déci- sionnelles a amené à s’interroger sur la gestion de la performance. En parallèle, l’économie oblige les entreprises à une meilleure gestion par la maîtrise de leurs dépenses et le suivi de leurs résultats financiers en temps réel. Résultat : le marché des logi- ciels EPM (Enterprise Performance Management) a connu une concentration sans précédent. Et qui a racheté ces spécialistes de la consolidation et de la planification financières ? Les leaders du marché logiciel : Oracle avec Hyperion, SAP via le rachat de Business Objects (ayant racheté Cartesis), et IBM en reprenant Cognos. Et bien entendu, Microsoft lance sa solution PerformancePoint Server 2007 en décem- bre.

Le virtuel se concrétise

Si 2007 a été l’année de la Business Intelligence, les dernières semai- nes annoncent une année 2008 sous le signe de la virtualisation. Citrix a racheté XenSource, Microsoft annonce sa solution Hyper-V pour Windows Server 2008 en février 2008, tandis que VMWare multiplie les annonces. En outre, Sun et IBM espèrent bien jouer un rôle sur ce seg- ment prometteur. Car la virtualisation favorise la consolidation des machines et l’utilisation optimale des ressources, étape fondamentale de la maîtrise des coûts informatiques, et plus encore alliée aux ser- veurs blades, autre évolution majeure.

Les serveurs virtuels indépendants inspirent également d’autres édi- teurs qui y voient un excellent moyen de proposer un environnement optimisé et performant pour les applications d’entreprise. En effet, la virtualisation permet de déployer des architectures à haute disponibi- lité (répartition de charge, mirroring…) à moindres frais. Parmi ces édi- teurs, on trouve BEA ou encore Oracle.

La clé passera par l’administration

La multiplication des machines virtuelles sur des serveurs physiques pose aussi la question du management de ces unités virtuelles et phy- siques, avec des possibilités de copier en quelques secondes un envi- ronnement vers un autre, qu’ils soient virtuels ou physiques… Bref, la prochaine bataille se déroulera aussi sur les solutions d’administration, autre vedette de l’année à venir.

Une cuvée 2008 décidément très animée !

José Diz Rédacteur en Chef

é dito

Editeur

Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allégot 92190 Meudon - FRANCE Tél. : 01 46 90 21 21 Fax. : 01 46 90 21 20 http ://www.it-expertise.com Email : redaction@it-expertise.com Rédacteur en chef

José Diz

Email : j.diz@it-expertise.com Directeur de publication Aurélie Magniez

Email : a.magniez@it-expertise.com Abonnements/Publicité

Email : abonnement@it-expertise.com Conception Graphique

C. Grande

Email : c.grande@it-expertise.com Imprimeur

Moutot Imprimeurs Parution

IT-expert - (ISSN 1270-4881) est un jour- nal édité 6 fois par an, par P & C France, sarl de presse au capital de 60 976,61€. Avertissement

Tous droits réservés. Toute reproduction intégrale ou partielle des pages publiées dans la présente publication sans l’auto- risation écrite de l’éditeur est interdite, sauf dans les cas prévus par les arti- cles 40 et 41 de la loi du 11 mars 1957.

© 1996 P&C France. Toutes les marques citées sont des marques déposées.

Les vues et opinions présentées dans cette publication sont exprimées par les auteurs à titre personnel et sont sous leur entière et unique responsabilité. Toute opinion, conseil, autre renseignement ou contenu exprimés n’engagent pas la res- ponsabilité de Press & Communication.

Abonnements 01 46 90 21 21

Prix pour 6 numéros (1 an) France ; U.E. : 89 €TTC

Dom TOM, Autres Pays : 128 €TTC Un bulletin d’abonnement se trouve en pages 35/36 de ce numéro.

Vous pouvez vous abonner sur http://www.it-expertise.com/

Abonnements/Default.aspx ou nous écrire à

abonnement@it-expertise.com

LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE

IT-expert n°70 - novembre/décembre 2007

Sommaire

Dossier

Management de la sécurité

La sécurisation d’un système d’information ne peut se contenter de firewalls et logiciels, aussi performants soient-ils. Les normes ISO 27000 définissent les étapes de mise en place d’un système de management de la sécurité de l’information (SMSI), et recommandent les meil- leures pratiques.

Technique

Comment lutter efficacement contre les intrusions informatiques ?

Après une explication des concepts d’IDS (Intrusion Detection System) et d’IPS (Intrusion Prevention System), l’auteur s’appuie sur son expérience en entreprise pour apporter des conseils afin de rendre des outils efficaces dans le cadre d’une politique globale de sécurité.

Actualités Internationales

Les informations marquantes d’éditeurs, de marchés, d’organisme de standardisation, de débats en cours et de tendances.

Quoi de Neuf Docteur ?

Microsoft Office SharePoint Serveur 2007 : les raisons-clés d’un succès

Consultant et formateur, l’auteur explique concrètement comment cette solution permet d’automatiser simplement les processus de l’entreprise, mais replace également l’utilisateur au centre du système d’information. Une approche métier proche des tendances actuelles en management d’entreprise.

Comment ça Marche ?

Les multiples facettes du contrôle d’accès au réseau d’entreprise

Agent persistants ou non persistants, scanner de vulnérabilités, mise en quarantaine…

autant d’éléments expliqués en détail dans cet article qui démontre schémas à l’appui l’intérêt du NAC (Network Access Control) et le rôle du chacun de ces éléments.

Livres

Microsoft Office SharePoint Server (MOSS) et Office 2007 par Pierre-Erol Giraudy et Sécurité Informatique – Principes et méthode par Laurent Bloch et Christophe Wolfhugel

Fenêtre sur cour

Interview d’Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts

« Il me semble qu’il est important qu’une personne soit dédiée à la sécurité au sein d’une entreprise afin de fédérer, diffuser et coordonner les actions de sécurité. »

Alain Bouillé parle de son métier de responsable de la sécurité des systèmes d’informa- tion (RSSI), et des appels d’offres sur ce marché. Il évoque également les travaux du groupe de travail qu’il pilote au CIGREF afin de constituer un tableau de bord sécurité, avec la définition de divers indicateurs-clés.

Rubrique à brac

Sécurité de la téléphonie sur IP

Après avoir listé et expliqué les diverses menaces liées à la téléphonie sur IP, l’auteur expli- que comment il est possible d’y remédier. Un article indispensable pour comprendre les apports et les risques d’une évolution incontournable.

7

20

28

31

37

43

44

46

Dossier & Interviews

Management de la sécurité

A l’heure où la dématérialisation des contenus s’accélère, la protection de l’information est plus que jamais déterminante pour la compétitivité et l’image de marque des entreprises.

Garantir la confidentialité et l’intégrité des don- nées, mais aussi la disponibilité des systèmes qui les manipulent et le respect des législations et réglementations, constitue un véritable enjeu stratégique.

Ce dossier propose un balayage des stratégies

actuelles de réponse à cet enjeu.

8 IT-expert n°70 - novembre/décembre 2007

Évolution de la menace : des Systèmes d’Information sous pression !

La place de plus en plus prépondérante des Systèmes d’Informa- tion dans tous les processus métiers a sensiblement augmenté la dépendance des entreprises vis-à-vis de leur SI. Cette évolution est corrélée à une plus large ouverture de l’entreprise au monde extérieur, qui implique directement une plus large ouverture des systèmes d’information (nomadisme des collaborateurs, inter- connexion avec des partenaires, accès des clients…). Les nou- velles stratégies de sourcing (externalisation, infogérance, off-shore) viennent encore renforcer les risques de perte de maî- trise de la sécurité. Enfin, de multiples lois et réglementation aug- mentent les exigences en matière de traçabilité, de protection des données personnelles, et de continuité d’activité pour cer- tains secteurs comme la banque et l’assurance ou la santé. Et les autorités de régulation ou de contrôle, comme la CNIL par exem- ple, se font de plus en plus présentes.

Cette augmentation de « l’exposition » aux risques liés à la sécu- rité des SI se produit malheureusement dans un contexte où la menace informatique s’accroît véritablement. Cette menace se professionnalise, avec une recherche ciblée de gains financiers ou d’avantage concurrentiel. L’usage généralisé de l’informatique augmente aussi la tentation pour les attaques d’origines interne.

Globalement, toutes les enquêtes montrent une croissance de la sinistralité déclarée.

Pour faire face à ces évolutions, les entreprises ont toutes aug- menté sensiblement leurs budgets consacrés à la sécurité des SI, et ont pris des mesures conservatoires souvent centrées sur la mise en place de dispositifs techniques (firewall, anti-virus, centre de backup…). Mais ces mesures ont des limites, et ne peuvent répondre à tous les problèmes. Elles sont souvent mal comprises par les Directions Générales qui voient surtout les contraintes qu’el- les amènent sans identifier clairement les risques business aux- quelles elles répondent. Pour sortir de ce dilemme, les Responsables de la Sécurité des SI (RSSI) doivent envisager de nouvelles réponses, plus globales, et plus compréhensibles par les responsables métiers et les Directions Générales.

Avec l’arrivée des normes de la famille ISO 27000, et surtout de sa « clé de voûte », l’ISO 27001, les RSSI disposent maintenant d’un outil pertinent pour concevoir une telle réponse. Examinons en détail les concepts et les apports de cette norme.

ISO 27001 : les clefs du management de la sécurité

La norme ISO 27001 décrit ce que doit être un système de mana- gement de la sécurité de l’information (SMSI) pertinent. Un SMSI recouvre l’ensemble des ressources mises en place pour organi- ser et gérer la sécurité au quotidien. Il englobe les différents docu- ments formalisant les règles de sécurité, ainsi que l’organisation associée (RSSI, correspondants sécurité, exploitants, instances de décision…). Le SMSI constitue donc un dispositif global de gouvernance de la sécurité de l’information. Il est important de noter qu’il est toujours défini pour un périmètre bien déterminé : toute l’entreprise, un métier ou un processus particulier, une application, un centre de production…

Comme les systèmes de management de la qualité (ISO 9000) et de l’environnement (ISO 14000), un SMSI ISO 27001 repose sur le cycle de progrès PDCA : Plan, Do, Check, Act, également appelé Roue de Deming. Ce cycle vise une amélioration continue reposant sur une logique simple : dire ce que l’on fait, faire ce que l’on a dit, puis contrôler et corriger ce qui ne va pas.

Le SMSI va également s’appuyer sur d’autres principes issus des normes ISO 9000 et notamment une approche par proces- sus : la norme préconise en effet que toutes les activités liées au SMSI soient conçues et formalisées sous la forme de processus.

Les porteurs et acteurs des différentes actions contribuant à la sécurité doivent donc être identifiés tout comme l’enchaînement

L’ISO 27001,

ou comment construire

un vrai système de management de la sécurité ?

ACT PLAN

DO

CHECK

L’ISO 27000 - Une nouvelle famille de normes

Issue des réflexions de groupes de travail internationaux dédiés au domaine de la sécurité de l’information, la famille des normes ISO 27000 est progressivement publiée depuis 2005. Nous pouvons distinguer trois types de normes dans cette grande famille.

Des normes certifiantes

Elles décrivent les exigences devant être respectées si l’on souhaite viser la certification et ainsi obtenir une reconnaissance externe. L’ISO 27001, norme de définition et de mise en place du Système de Management de la Sécurité de l’Information (SMSI), publiée en 2005, est le pilier du système. Elle s’inspire largement des travaux de l’organisme de normalisation Bri- tish Standard et de sa norme BS 7799-2 qui était déjà « certifiante » et largement diffusée au Royaume-Uni et en Asie. L’ISO 27006, qui définit les exigences s’appliquant aux organismes accrédités pour prononcer eux-mêmes la certification, entre aussi dans cette catégorie.

Des normes de recommandations

Ces normes proposent des bonnes pratiques à suivre pour définir le système de management et sélectionner les mesu- res de sécurité. La plus connue est la norme ISO 27002 (ancienne ISO 17799) qui décrit les mesures de sécurité en 39 objectifs et 133 mesures. Les normes ISO 27003 (guide de mise en œuvre), ISO 27004 (mesure de l’efficacité) et ISO 27005 (analyse de risques) actuellement en phase de conception apporteront des conseils sur la mise en œuvre du SMSI.

Des normes sectorielles et techniques

L’ISO prépare aussi des « SMSI sectoriels » en sélectionnant et en adaptant les contrôles devant être mis en œuvre pour certains types d’organismes. Un des secteurs les plus avancés est celui des télécommunications avec le projet de norme ISO 27011. La santé n’est pas en reste avec le projet de norme ISO 27799. La liste des normes ISO 27000 est loin d’être stabilisée, et les réflexions se poursuivent sur des thèmes comme la sécurité des réseaux ou la continuité d’activité par exemple.

Mise en place du SMSI ISO 27001

Accréditation des organismes de certification

ISO 27006

Code de bonnes pratiques ISO 27002

Terminologie ISO 27000

Implémentation du SMSI ISO 27003

Guide díaudits ISO 27007

Indicateurs et tableaux de bord ISO 27004

Gestion des risques ISO 27005

Normes métiers ISO 27xxx Exigences

Recommandations génériques

Recommandations sectorielles et techniques

2005 2006 2007 2008+

10 IT-expert n°70 - novembre/décembre 2007

des actions à mener pour chaque processus de sécurité. Tout le cycle de vie du SMSI (PDCA) doit lui-même être vu comme un processus englobant l’ensemble du dispositif. La norme ISO 27001 décrit grâce à ce processus les différentes étapes de la mise en place et du fonctionnement de la gouvernance de la sécurité de l’information.

Les politiques actuelles intègrent aussi très souvent des règles concernant la formalisation des procédures de sécurité, la réali- sation de contrôles ou l’enregistrement des journaux. Mais elles ne décrivent pas précisément les processus et moyens qui vont permettre de réaliser effectivement ces actions. La norme ISO 27001 propose en revanche d’intégrer ces éléments comme des fondements incontournables de la démarche sécurité :

1) Des processus de sécurité bien identifiés et formalisés (analyse de risques, gestion des incidents, sensibilisation, contrôles…).

2) Le contrôle systématique des éléments mis en œuvre via le SMSI.

3) La gestion efficiente de la documentation (création et mises à jour).

4) La gestion stricte des enregistrements pour permettre le contrôle des mesures de sécurité mises en place (par exemple : traces de tous les accès à un local sécurisé).

Notons que cet élément s’avère de plus en plus incontour- nable du fait des nouvelles réglementations légales (Sarba- nes-Oxley Act, LSF) ou sectorielles (Bâle II ou MiFID dans le milieu bancaire, Solvency II…).

Mais la véritable spécificité de la norme ISO 27001 par rapport aux autres systèmes de management, c’est qu’elle centre toute

la démarche sur l’analyse et la maîtrise des risques que fait peser la sécurité de l’information sur les activités « métiers » de l’entre- prise.

La majorité des politiques de sécurité formalisées dans le passé énonce déjà le principe d’une démarche sécurité alignée avec les risques encourus par l’entreprise. Pourtant, rares sont encore les cas où le RSSI dispose d’une vraie « cartographie des risques » globale et d’un plan d’actions justifié par ces risques. Souvent, les mesures de sécurité sont décidées et mises en œuvre direc- tement par les équipes de la DSI ou sont choisies en fonction de

« l’état de l’art » sans forcément sélectionner de manière objec- tive les mesures réellement les plus pertinentes. Les analyses de risques, quand elles existent, sont limitées tant en périmètre (un projet, une infrastructure sensible), qu’en terme de pertinence (faible implication des métiers).

L’ISO 27001 rend nécessaire la conduite d’une analyse de ris- ques dès la phase PLAN. La méthodologie d’analyse n’est pas imposée mais doit être définie au préalable et répondre à certai- nes contraintes : identification des processus et actifs critiques, identification des propriétaires, analyse des impacts, identifica- tion des menaces et des vulnérabilités, puis description et pon- dération des risques. Une telle démarche doit nécessairement impliquer les responsables métiers, seuls habilités à se pronon- cer sur les risques qui sont acceptables. Elle transforme donc les modes de gouvernances classiques, le RSSI se tournant d’avan- tage vers les métiers et les utilisateurs que vers les informati- ciens. Le RSSI devient un vrai « pivot » du dialogue entre les métiers et la DSI.

Une norme qui insiste juste là où le bât blesse aujourd’hui !

La norme ISO 27001 met en avant des thèmes aujourd’hui peu implémentés dans les entreprises : la systématisation de l’analyse des risques et le contrôle d’application de la politique de sécurité.

Analyse métier des risques SI

Politique de sécurité des SI

Plan díactions annuel

Procédures formalisées

Plan de sensibilisation

Plan de contrôle annuel

Tableaux de bord

Revue régulière avec la DG PLAN

DO

CHECK

ACT

25%

85%

72%

63%

51%

31%

50%

57%

Source Solucom : enquête auprès de 50 grandes entreprises et administrations.

Niveau de maturité des entreprises

Pourquoi adopter l’ISO 27001 ?

L’ISO 27001 propose des principes pertinents qui amènent un plus réel aux démarches d’amélioration de la sécurité. Elle apporte en effet :

• Une meilleure maîtrise des risques qui pèsent réellement sur les activités de l’entreprise.

• La garantie de mieux dimensionner le budget sécurité et surtout de l’affecter aux mesures les plus pertinentes.

• Une association plus systématique des acteurs métiers et du management aux décisions, et donc une meilleure acceptation des contraintes amenées par les mesures de sécurité.

• Un pilotage plus efficace des actions de traitement des ris- ques.

• La facilitation d’autres démarches liées à la sécurité de l’in- formation, comme par exemple la mise en conformité à Bâle II, à Sarbanes-Oxley ou aux lois informatique et liber- tés.

• La garantie de mieux répondre aux attentes des « audi- teurs » qui vont maintenant utiliser cette norme comme référence.

L’utilisation de l’ISO 27001 va par ailleurs renforcer la confiance du management dans la démarche entreprise par le RSSI et sa crédibilité. Elle offrira au RSSI un support plus efficace pour obte- nir les moyens dont il a besoin pour mener ses actions.

Plusieurs approches face aux normes : jusqu’où aller ?

La norme ISO 27001 peut, comme tout guide, être utilisée comme un recueil de bonnes idées dans lequel on peut piocher.

Mais elle ne donnera sa pleine efficacité que si les principes fon- dateurs qu’elle propose sont effectivement mis en œuvre. La question qui se pose alors, est de savoir jusqu’où aller dans la mise en œuvre de ces principes, avec deux grandes options pos- sibles :

1. Construire un ou plusieurs SMSI avec une véritable démarche de progrès PDCA, mais sans chercher la certification à court terme.

2. Chercher à obtenir rapidement une certification officielle et tirer ainsi parti au maximum de ce que la norme peut apporter.

Dans ce cas, comme nous le verrons plus loin, mieux vaut se fixer un périmètre raisonnable au départ.

En tout état de cause, le projet d’adoption de l’ISO 27001 devra trouver sa place au cœur de la gouvernance SI de l’entreprise. Il peut être porté par le RSSI, avec l’aide des équipes Qualité et des Risk Managers, mais doit être sponsorisé par la Direction. Il asso- ciera systématiquement les métiers liés au périmètre concerné et bien entendu les acteurs de la DSI, qui sont concernés au premier chef.

12 IT-expert n°70 - novembre/décembre 2007

La norme ISO 27001 arrive alors que les entreprises et les admi- nistrations ont déjà pour la plupart mis en place des premiers éléments de gouvernance de la sécurité et ont engagé de nom- breux chantiers d’amélioration. La décision d’appliquer les prin- cipes de l’ISO 27001 remet-elle en cause tout l’existant ? Comment entamer ce projet ISO 27001 ?

Par où commencer ?

Si l’on prend l’ISO 27001 au pied de la lettre, la première étape à mener est l’analyse de risques. Pour conduire cette action, le choix du « niveau de granularité » est lourd de conséquences.

Identifier tous les risques en analysant chaque micro processus de l’entreprise est une tâche de longue haleine. Se placer à un niveau très macroscopique permet d’aller beaucoup plus vite, mais donne des résultats beaucoup moins précis. Pour traiter ce dilemme et lancer la « boucle PDCA » dans un délai raisonna- ble, nous préconisons de mener en parallèle l’identification macroscopique des besoins de sécurité, réalisée sur la base d’in- terviews des principaux responsables métiers et de la Direction Générale, et une analyse des écarts entre les pratiques existan- tes et les principes et règles de la norme (i.e. les chapitres 4 à 8 de l’ISO 27001 et les 133 mesures de sécurité de l’ISO 27002), réa- lisée sur la base d’interviews du RSSI et des responsables SI (exploitants, architectes, chefs de projets…), d’une revue docu- mentaire et de visites de sites.

Ce travail initial permet d’identifier les grandes familles de ris- ques et les périmètres du SI sur lesquels les enjeux sont les plus forts. Il permet aussi de détecter les éléments manquants pour disposer d’un SMSI opérationnel et efficient. Le travail ainsi mené permet de définir et de faire valider la « stratégie du SMSI » par la Direction Générale. La stratégie du SMSI consiste à :

1) Fixer le périmètre du SMSI.

2) Formaliser une politique de sécurité de l’information et une organisation adéquate.

3) Définir un plan de maîtrise des risques argumenté identifiant les chantiers prioritaires.

Le plan de maîtrise des risques comporte plusieurs volets :

• Des chantiers de conformité ISO 27001 pour décliner les exigences de la norme. Une approche par processus de sécurité sera évidemment très pertinente (gestion des inci- dents, contrôle…).

• Des chantiers « ISO 27002 » comme par exemple le Plan de Continuité d’Activité, la gestion des identités et des accès (IAM), la gestion contractuelle des tiers…

Le processus de gestion des risques, défini par l’ISO 27005, est l’un des processus clés à mettre en place dans le cadre de ce plan de maîtrise des risques. Ce processus permet de préciser et de mettre à jour progressivement la « cartographie des risques » globale. Il permet aussi d’ajuster les contours et les priorités des chantiers de mise en conformité et de réorienter le SMSI dans la bonne direction si nécessaire. Le processus de gestion des ris- ques prévoira dans la plupart des cas une alimentation régulière de la cartographie des risques sur la base des analyses de ris- ques réalisées pour chaque projet SI et sur un travail progressif d’analyse détaillée des risques pour chaque processus métier.

L’analyse de risques, point focal de la démarche

L’analyse de risques constitue le point de départ d’une démarche ISO 27001. Pour autant, il s’agit d’un exercice complexe et sen- sible nécessitant un vrai appui de la direction ainsi qu’une métho- dologie et un plan de communication bien élaborés. Les difficultés à anticiper incluent :

• La définition des critères d’acceptation des risques (à par- tir de quel niveau l’entreprise ne peut accepter un risque).

ISO 27001 : la mise en œuvre

Stratégie du SMSI Politique de sécurité Plan de maîtrise des risques

Analyse de risques macro Analyse d'écart de la norme

Chantiers de mise en conformité ISO 27001/ISO 27002

DO

Processus de gestion des

ISO 27005 Ajustement

CHECK ACT

• La définition d’une grille d’impacts, nécessaire pour avoir des résultats homogènes. Cette grille doit être indiscutable : il est toujours difficile de faire admettre à un responsable que le processus dont il a la charge n’est pas le plus critique…

• Les enjeux liés aux périmètres croisés lorsqu’un risque ne concerne pas qu’une seule équipe ou un seul processus métier.

• La norme ne donne par ailleurs aucun guide, ni pour le choix du niveau de granularité à adopter, ni pour la défini- tion et la valorisation des types d’impacts. Seuls le bon sens et l’expertise peuvent permettre de faire des choix pertinents dans ce domaine.

Les 12 travaux du RSSI,

ou comment construire son SMSI…

Le travail de planification initial et de construction du SMSI ne va pas forcément remettre en cause tout l’existant. Il est possible dans la plupart des cas de s’appuyer sur les éléments pertinents déjà existants, notamment les politiques, les chartes, les directi- ves, mais aussi les procédures opérationnelles. Le schéma sui- vant décrit les éléments apportés par l’existant et les nouveaux éléments qui seront vraisemblablement à créer.

Le corps de la norme ISO 27001 est consacré à la création et au maintien du SMSI. Si certains sujets sont mis fortement en avant comme la formation et la sensibilisation, l’organisation, la gestion des ressources, la gestion des incidents ou les plans d’audits, toutes les mesures de sécurité évoquées dans l’ISO 27002 ne sont pas traitées en détail. Vu globalement, la mise en œuvre

L’ISO 27005 : Gestion des risques

La norme ISO 27005 (en version projet actuelle- ment) est un guide de mise en œuvre du processus de gestion des risques liés à la sécurité de l’infor- mation. Elle propose une méthodologie d’appré- ciation et de traitement des risques et complète ainsi les principes de la norme ISO 27001 qui établit le SMSI en s’appuyant sur l’analyse des risques.

La norme ISO 27005 s’inscrit dans la logique ver- tueuse du cycle PDCA initiée par la norme ISO 27001 tant par son objectif d’amélioration de la sécurité que par le cycle de vie de la gestion des risques qu’elle propose de mettre en place. Au- delà des apports méthodologiques qu’elle repré- sente pour la gestion des risques, elle est enrichie d’annexes qui forment un outillage conséquent pour leur appréciation et leur analyse. Pour autant, l’ISO 27005 ne constitue pas aujourd’hui une base de scénarios de risques suffisamment exhaustive pour être utilisée. L’aide d’une véritable méthodolo- gie d’analyse de risques (comme EBIOS ou MEHARI) et une expertise avancée restent néces- saires en complément.

Définition du périmètre

PLAN

DO

CHECK

&

ACT

Politique générale Directives & Chartes

Processus du SMSI Analyses de risques

Déclaration d'applicabilité (SoA)

Systématisation

Gestion des actifs Approche contrôle / PDCA Procédure

Systématisation

Gestion documentaire

Audits de conformité Mesures de l'efficacité

Plans de contrôles

Gestion de preuves

Existant Alignement sur les principes Certification

14 IT-expert n°70 - novembre/décembre 2007

d’un plan d’action d’amélioration de la sécurité s’apparente tout de même aux « 12 travaux d’Hercule ». Ce qu’il est donc très important de noter, c’est que l’analyse des risques doit permet- tre de définir les bonnes priorités dans la sélection et dans la conduite de ces chantiers.

L’ISO 27001 n’impose pas de structure documentaire. Le docu- ment de politique de sécurité de l’information pourra ainsi très bien regrouper les principes de la politique du SMSI, son périmè- tre, l’organisation du SMSI et les directives/procédures sur les- quelles la sécurité sera bâtie. Il pourra aussi être pertinent de consigner ces informations dans le manuel du SMSI, document maître du SMSI décrivant toute l’organisation mise en œuvre.

Dans la plupart des cas, les procédures de sécurité devront être complétées par une description des processus de sécurité. Ces processus précisent les règles applicables par une vision « orga- nisationnelle » des rôles et responsabilités. L’essentiel, c’est que tous les éléments qui composent le SMSI sont clairement iden- tifiés. Si certains documents ne s’appliquent que partiellement au SMSI, cela doit être indiqué explicitement. C’est notamment le rôle de la Déclaration d’Applicabilité (SoA) qui, même si elle n’est pas impérative en dehors d’une certification officielle, constitue un document très pertinent pour bâtir le SMSI.

La norme ISO 27003 devrait ensuite donner quelques guides pour aider à l’implémentation des mesures de sécurité. Annon- cée pour la fin 2008, cette norme sera un guide d’aide à l’implé- mentation du SMSI. Les premières versions de travail montrent une volonté forte de donner des conseils précis basés sur les meilleures pratiques rencontrées pour mettre en œuvre un SMSI.

Le document sera structuré en fonction de chaque étape du pro- cessus PLAN, DO, CHECK, ACT mais détaillera également la notion même de processus et abordera également les phases

amont (facteurs clés de succès, engagement du manage- ment…).

La rédaction de cette norme est un travail important et complexe mais si le résultat est à la hauteur des espérances, elle pourrait devenir incontournable pour tous les RSSI.

Mesurer l’efficacité du SMSI : les tableaux de bord de sécurité

Pour garantir l’efficacité du SMSI, il faut se doter de moyens de mesure représentatifs et cohérents. A travers la publication de tableaux de bord de sécurité, les porteurs du SMSI vont pouvoir à la fois mesurer cette efficacité, et communiquer vers les acteurs impliqués. Un bon indicateur est un compromis entre pertinence, complexité et pérennité. Pour construire des tableaux de bord, il faut à la fois :

• Reprendre et consolider les éléments qui existent déjà (souvent de nombreux indicateurs techniques issus des équipes d’exploitation).

• Mais aussi construire des éléments de haut niveau repré- sentatifs du SMSI dans son ensemble.

On retrouvera donc dans les indicateurs des éléments de mesure de chaque phase et notamment :

• De l’analyse de risques (PLAN) et du plan de traitement des risques (DO).

• De suivi des chantiers ISO 27001 et ISO 27002 (DO).

• Des contrôles et audits (CHECK).

• De suivi des actions correctrices et des recommandations des audits (ACT).

1/ Cartographie des risques et plan de maîtrise des risques 2/ Politique et gouvernance de la sécurité

3/ Sensibilisation et formation

4/ Insertion de la sécurité dans les projets 5/ Gestion des tiers

6/ Mise en conformité (SOX, CNIL…) 7/ Gestion opérationnelle de la sécurité 8/ Plan de continuité d’activité 9/ Gestion des identités et des accès 10/ Architectures de sécurité

11/ Plan de contrôle et d’audit 12/ Tableaux de bord ACT

PLAN

DO CHECK

Système de management de la

sécurité de líinformation (SMSI) ISO 27001

Les 12 travaux du RSSI

ISO 27000 et contrôle interne

La mise en œuvre des normes ISO 27000 implique un renforce- ment du contrôle interne. Ce renforcement est d’ailleurs mis en avant par toutes les démarches de gestion des risques qui consi- dèrent que seul un processus contrôlé régulièrement peut être considéré comme maîtrisé. La plupart des nouvelles réglementa- tions ont pour conséquence un renforcement du contrôle interne.

L’une des tâches essentielles de la phase CHECK consiste donc à élaborer et à mettre en œuvre un plan de contrôle qui définit l’ensemble des contrôles réalisés pour évaluer le niveau de maî- trise des processus de sécurité et l’efficacité du SMSI. Il combine des contrôles de premier niveau, réalisés par les acteurs opéra- tionnels, des contrôles de second niveau, réalisés par des

acteurs tels que le RSSI, ou encore des contrôles périodiques ou audits réalisés par des tiers indépendants, comme par exemple les équipes internes d’inspection.

Chaque mesure mise en œuvre doit en théorie faire l’objet d’un contrôle régulier. De manière plus pragmatique, c’est l’analyse des risques qui doit permettre de définir les points de contrôles prioritaires ainsi que l’effort à consacrer pour chaque type de contrôle.

COBIT, ITIL et ISO 27000

La plupart des DSI ont engagé des démarches de mise en appli- cation des référentiels de gouvernance des SI, les plus souvent cités étant COBIT, ITIL et CMMI. Se pose donc la question de la cohérence et de l’articulation de ces démarches avec l’ISO 27000.

Sans entrer en concurrence, ces différentes normes peuvent se compléter et permettre des économies d’échelle. Par exemple la mise en place de démarches CMMI et ITIL facilite la mise en œuvre des mesures de l’ISO 27002. Le COBIT, avec son approche de gestion des risques, est également une aide pour viser l’ISO 27001. Il envisage des types de risques plus larges que l’ISO 27000 (risques affectant l’efficacité, la fiabilité ou l’efficience du SI, en plus des critères plus orientés vers la sécurité telle que la confidentialité, l’intégrité, la disponibilité ou la conformité) mais les démarches restent fondamentalement proches.

En règle générale, on peut considérer que les normes ISO 27000 constituent un approfondissement sur les thèmes de la sécurité de l’information et de la gestion des risques, qui sont évoqués de manière plus succincte dans les autres référentiels.

Il faut d’ailleurs noter que la norme ISO 20000, issue d’ITIL,

« pointe » maintenant directement sur la norme ISO 27001 pour ce qui concerne le processus de gestion de la sécurité du SI.

L’ISO 27004

et les indicateurs de sécurité

Actuellement au stade final de normalisation, la norme ISO 27004 décrit les mécanismes de conception et de mesure des indicateurs de suivi du SMSI. Cette norme, très complète, contient beau- coup d‘informations sur ce qu’est une mesure, comment les collecter et calculer les différents indi- cateurs issus de ces données.

Suivant ensuite les différentes phases de la vie du SMSI (Plan, Do, Check, Act), la norme précise les actions qui devraient être conduites à chaque étape pour ce qui concerne les indicateurs. En annexe, la norme propose des fiches de description des indi- cateurs et également de nombreux exemples d’in- dicateurs avec les modes de calcul associés.

Trois pièges à éviter :

• Des indicateurs trop nombreux (au-delà d’une vingtaine).

• Des indicateurs sans identification d’objectifs à atteindre, donc difficiles à interpréter.

• Une industrialisation trop rapide : il vaut mieux valider que les indicateurs produits sont les bons avant d’industrialiser complètement.

COBIT

ISO27001 ISO9001 ISO20000-1

ISO27002

ITIL CMMI

Métiers Objectifs

Moyens SI

16 IT-expert n°70 - novembre/décembre 2007

La certification du SMSI par un organisme externe apporte une reconnaissance publique et internationale. Cette certification nécessite cependant des efforts importants qui doivent donc être justifiés par un réel besoin métier. La certification garantit de manière indépendante que le SMSI est conforme aux exigences spécifiées, qu’il est capable de réaliser de manière fiable les objectifs déclarés et qu’il est mis en œuvre de manière efficace.

Ses apports sont notamment :

1. Vis-à-vis des clients, des fournisseurs et des partenaires, la réponse à des demandes explicites des clients lors d’émis- sion d’appels d’offres requérant la certification, la maîtrise des coûts avec la réduction du nombre d’audits mandatés par des tiers ou encore le renforcement de l’image de mar- que de la société.

2. Pour l’entreprise, la capacité de mobiliser ses équipes der- rière un projet commun et visible, dans un objectif de plan- ning déterminé, et d’accélérer ainsi la démarche d’amélioration de la sécurité.

Mais viser la certification reste une cible ambitieuse nécessitant un bon niveau de maturité. C’est un projet à part entière néces- sitant un haut niveau de sponsoring. C’est aussi un engagement dans la durée, aussi bien dans la fourniture de moyens que dans l’amélioration continue. À la vue des efforts nécessaires, la certi- fication doit répondre à une demande explicite des métiers et de la direction de la société.

La certification dans le monde

Aujourd’hui, le niveau d’adoption de la certification ISO 27001 est très hétérogène d’un pays à l’autre. Certains sont très en avance, en particulier le Japon. D’autres (États-Unis, Inde…) sont en train de rattraper leur retard suite à la publication de l’ISO 27001 comme norme internationale. Fin août 2007, 2 323 certifications ISO 27001 ont été prononcées dans le monde. En France, quelques sociétés ont obtenu la certification. Agissant principalement sur le domaine des technologies de l’information, ces sociétés ont certifié des pro- cessus particuliers proches de leur cœur de métier.

La certification, une démarche encadrée et normalisée

Pour obtenir la certification, il est nécessaire de faire auditer son SMSI par un organisme de certification externe. La certification du SMSI ISO 27001 suit le même processus que celle des autres

systèmes de management tels que l’ISO 9001 et l’ISO 14001 (système de management environnemental). Les normes géné- riques d’audit sont complétées par des textes spécifiques au SMSI, en particulier la norme ISO 27006. L’organisation souhai- tant se faire certifier va tout d’abord contracter avec un orga- nisme de certification.

Ce contrat d’une durée de 3 ans va encadrer l’ensemble du cycle de la certification. L’organisme de certification va mandater des auditeurs certifiés pour réaliser les contrôles. Plusieurs types d’audits sont formellement identifiés : l’audit initial couvrant la totalité du périmètre, des audits de surveillance sur un périmètre plus restreint et l’audit de renouvellement.

La durée de l’audit est déterminée par la norme ISO 27006 et varie suivant le nombre et la taille des sites, le nombre de person- nes dans le périmètre et la complexité du SI. À titre d’exemple, il faut compter un peu moins de 30 jours d’audit pour une société de 10 000 employés.

Suite à cette phase de contractualisation, l’audit certifiant est ini- tié. Une première phase de vérification documentaire est réalisée avant d’enchaîner sur les visites de sites. Lors de cette opération, les auditeurs réalisent un ensemble de contrôles, techniques et organisationnels, pour vérifier que le SMSI « tourne », que les principes sélectionnés ont bien été mis en œuvre et que le sys- tème est pérenne.

La majorité des contrôles organisationnels nécessite la fourniture de preuves concrètes (comptes rendus de réunion, documents approuvés, listes de personnes ayant suivi les formations…). Les contrôles plus techniques sont vérifiés par la réalisation d’opéra- tions sur les systèmes (affichage des habilitations, vérification des correctifs…). De plus, certains contrôles par des interviews spontanées d’employés sont possibles.

Suite à l’audit, les auditeurs font parvenir leurs recommandations à l’organisme de certification qui approuve les résultats et peut délivrer le certificat officiel. En cas de désaccord avec les résul- tats, il est possible de poser des recours.

Les difficultés de la certification

Au-delà des points clés inhérents à la mise en place du SMSI (périmè- tre, analyse de risques et mesure de l’efficacité), les difficultés rencon- trées couramment lors des audits certifiant sont les suivantes :

• La gestion des enregistrements et des preuves demande des efforts importants de formalisation et de communica- tion. C’est sur cette base que les contrôles seront réalisés.

La certification ISO 27001

• La connaissance, sur le périmètre concerné, des principes et des règles de sécurité. Les auditeurs ne manqueront pas d’interroger aussi bien des responsables métiers que des employés, voire des prestataires, sur leur connais- sance des pratiques de sécurité.

Même si un problème sur ce point n’entraînait qu’une remarque de la part des auditeurs, il est difficile de garantir un sans-faute sur ce volet.

• La certification d’un SMSI n’ayant pas encore fait ses preu- ves. Même si cette pratique n’est pas recommandée, la norme autorise la certification d’un SMSI n’ayant pas encore réalisé un cycle de la boucle PDCA. La certification sera alors plus facile à obtenir mais les audits de renouvellement ne manqueront pas de vérifier que les actions de type CHECK et ACT sont réalisées. Le relâchement « naturel » suite à l’obten- tion de la certification pourrait alors être fatal.

La norme ISO/IEC 27001, première brique d’une grande famille de normes internationales consacrées à la sécurité des systèmes d’information, constitue une avancée majeure dans le mouve- ment de professionnalisation progressive des démarches de sécurité.

Elle formalise des principes essentiels qui vont permettre un ali- gnement progressif de la sécurité de l’information avec les meil- leures pratiques de management : pilotage par les risques, formalisation des processus, contrôle, amélioration continue…

Appelée à s’imposer, l’ISO 27000 est aussi pour les RSSI et les DSI un outil de communication efficace permettant d’asseoir la crédibilité et la cohérence des démarches d’amélioration de la sécurité, et de conforter et valoriser ces démarches vis-à-vis du top management. Avec la certification officielle, cette crédibilité deviendra même dans certains secteurs d’activité une reconnais- sance externe incontournable.

Il ne faut pourtant pas tout attendre de l’ISO 27000 : en aucun cas les normes n’aident à choisir le bon niveau de granularité et de détail pour conduire les analyses de risques. Elles n’aident pas non plus à sélectionner les mesures de sécurité adaptées au contexte et ne garantissent pas que les processus que vous allez définir seront les plus efficaces pour maîtriser vos risques. Comme dans le domaine de la qualité, les normes fixent des objectifs, proposent une méthodologie, mais seuls le bon sens et l’expertise assurent la pertinence des choix d’implémentation.

Le chemin à parcourir pour s’aligner complètement avec la norme et atteindre la certification ISO 27001 s’avérera souvent long, coû- teux et ambitieux. La certification officielle doit donc être réservée pour le moment aux organisations qui peuvent y trouver un apport direct pour leur cœur de métier.

Mais que cela n’empêche pas chaque entreprise d’appliquer dès maintenant les bons principes des normes, et d’accélérer ainsi leur démarche d’amélioration de la sécurité ! C’est en focalisant dans un premier temps l’attention sur le traitement des risques

CONCLUSION :

Adopter les principes dès aujourd’hui,

certifier sur opportunité !

majeurs que l’on pourra pleinement tirer partie des enseigne- ments des normes tout en se donnant un périmètre de travail raisonnable. Une fois ces risques majeurs maîtrisés, les cycles successifs de la boucle PDCA permettront d’élargir progressive- ment le périmètre des risques traités pour couvrir à terme l’en- semble du système d’information.

En résumé, appliquons dès aujourd’hui les bons principes de l’ISO 27000, mais visons la certification uniquement lorsque le jeu en vaut la chandelle !

Laurent BELLEFIN

Directeur des opérations sécurité du groupe Solucom.

A propos de Solucom

Solucom : Cabinet de conseil en gouvernance des SI et technologies, le groupe Solu- com rassemble plus de 500 consultants. Dans le domaine de la sécurité, Solucom accompagne les grandes entreprises dans la mise en place de leur politique de maî- trise des risques SI et dans le design de leurs architectures de sécurité. Le pôle sécurité du Groupe Solucom est fort de plus de 120 consultants intervenant sur les aspects suivants :

• cartographie des risques et conduite d’audits,

• formalisation des politiques et des organisations de management de la sécurité,

• élaboration de plans de continuité d’activité,

• conception des processus et des solutions de gestion des identités et des habilitations.

Pour compléter votre bibliothèque de référence technique,

commandez vite les anciens numéros*

d’IT-expert à tarif préférentiel !

IT-expert n°58

Novembre/Décembre 2005 DOSSIER : L’intégration de contenu, un problème bien réel

•Les JavaServer Faces face à Struts

•Sybase Adaptive Server Enterprise 15

•Informatique et téléphonie : à quand la convergence ?

IT-expert n°62

Juillet/Août 2006

DOSSIER : Panorama sur les techniques Agiles

•PHP5, une alternative à .NET et J2EE ?

•Eclipse : le Big Bang Callisto

•Test Driven Development

•Qui arrêtera Google ?

IT-expert n°61

Mai/Juin 2006

DOSSIER : Optimiser innovations et transformations en gérant le portefeuille de projets et d’applications

•Subversion : le grand départ ?

•L’accessibilité numérique

•Wi-Fi

IT-expert n°60

Mars/Avril 2006

DOSSIER : La qualité des applications développées en technologies objet

•L’industrialisation des développements au secours des échecs projets

•Environnements de Développement Intégrés

•Urbanisme des Systèmes d’Information versus Architecture d’Entreprise

•Contrôle d’accès au réseau

IT-expert n°63

Septembre/Octobre 2006 DOSSIER : La géolocalisation

•Géolocalisation, les techniques alternatives au GPS

•Le positionnement par GPS

•Géolocalisation, tout n’est pas permis…

•Recyclage des e-déchets

IT-expert n°67

Mai/juin 2007

DOSSIER : SOA, l’état de l’art

• SOA : Architectures & outils

• Imprimez moins, maîtrisez vos coûts !

• Qualité interne de ses logiciels : mythes et réalités

• L’univers étrange des unités d’œuvre

IT-expert n°66

Mars/Avril 2007

DOSSIER : Sécurité : Les applications, le talon d’Achille des entreprises

• RIA (Rich Internet Application) : définitions et panorama des solutions

• Gestion des droits numériques en entreprise avec RMS

• Un observatoire pour mesurer l’urba

• Les DRM : une introduction

IT-expert n°65

Janvier/Février 2007

DOSSIER : Web 2.0 entreprise, quelles réalités ?

•ITIL et ISO20000

•Logiciel libre

•Les wikis : définitions fonctionnelles et techniques

•Une approche structurée de la certification du réseau : l’audit automatique du réseau et la valida- tion des changements des configurations

IT-expert n°68

Juillet/Août 2007 DOSSIER : Le décisionnel

• Du décisionnel à la gestion de la performance

• La visualisation de l’information à des fins d’aide à la décision

• Les grandes étapes d’une chaîne d’ETL

• ITIL : entre meilleures pratiques et référentiel holistique

* Dans la limite des stocks disponibles

LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE

Je souhaite acheter les numéros suivants

Adresse d’expédition & de facturation

IT-expert n°64

Novembre/Décembre 2006 DOSSIER : Capital Immateriel

•Windows Vista : le nouveau système d’exploitation de Microsoft

•Les curseurs sous SQL Server

•Wimax

IT-expert n°59

Janvier/Février 2006

DOSSIER : Vers un standard pour le pilotage des coûts informatiques

•Contrôle des développements externalisés

& solutions de gouvernance

•K9a : une nouvelle grille de lecture pour la conduite agile de projets de systèmes d’information

•La guerre des processeurs aura-t-elle lieu ?

IT-expert n°69

Septembre/Octobre 2007 DOSSIER : Que peut-on offshorer dans une DSI ?

• La qualité intrinsèque des applications dans les contrats de service

• Le « backsourcing » : lorsque l’externalisation n’est pas utilisée avec précaution…

• Assurer le succès des projets avec la Tierce

Année 2005 N° 58

Année 2006 N° 59 N° 60 N° 61 N° 62 N° 63 N° 64

Pour commander les anciens numéros d’IT-expert, il vous suffit de nous renvoyer ce document à l’adresse suivante :

IT-Expert

3, rue Marcel Allégot - 92190 Meudon - France Tel : +33 (0)1 46 90 21 21 - Fax : +33 (0)1 46 90 21 20

Mme Mlle M.

Nom Prénom Société Fonction Adresse CP Ville E-mail Tél Fax

Chèque joint à l’ordre de Press & Communication France Règlement à réception de facture

Date :

Signature obligatoire :

Offre Spéciale

Tarifs TTC (TVA : 5,5 %)

1 exemplaire : 8 € 10 exemplaires : 60 € 5 exemplaires : 35 € Autre quantité :

Année 2007

N°65

N°66

N°67

N°68

N°69

Technique

20 IT-expert n°70 - novembre/décembre 2007

Comment lutter efficacement contre les intrusions informatiques ?

Selon le Gartner, d’ici 2010, les revenus des vendeurs de solutions de détection et/ou de prévention d’intrusion vont augmenter d’environ 30 %. Effet de mode ou réel intérêt des entreprises pour ces solutions ?

Les responsables informatiques doivent prendre conscience des problématiques associés à ces technologies, afin

de ne pas investir sur une infrastructure sous exploitée (ou mal exploitée) du fait des difficultés inhérentes à ces

solutions (nombre de fausses alertes trop importantes, complexité de mise en œuvre et de configuration, exigence

de suivi régulier des alertes…). Après un bref rappel sur les concepts liés à ces technologies. Nous tenterons de

comprendre quels sont les enjeux et les problématiques liés à l’intégration de ce type de solution au sein d’un sys-

tème d’information.

Concepts

Distinction IDS/IPS

Afin d’assurer la sécurité des données, de nombreux mécanismes de sécurité logique sont disponibles et implémentés au sein de ces systèmes d’information. Parmi la pléthore de systèmes qui permet- tent de filtrer et/ou de contrôler les flux (les divers mécanismes d’au- thentification, de filtrage au travers des pare-feu, etc.), des systèmes complémentaires ont été construits afin de pouvoir détecter les intrusions. Une intrusion est comme une action non autorisée (atta- que ou action malicieuse) effectuée par des personnes internes ou externes aux systèmes d’information surveillés. Ces systèmes ont évidemment évolué naturellement pour retrouver cette capacité de blocage ou de contrôle des flux au travers des mécanismes de pré- vention d’intrusion.

De manière générale, l’architecture d’un système de détection/pré- vention d’intrusion repose sur les composants suivants :

• La sonde de détection/prévention d’intrusion : elle est en charge de la capture, de l’analyse du trafic, de la remontée des alertes. Plusieurs sondes peuvent être mises en place sur un environnement à surveiller afin de le contrôler plus efficacement.

• Le serveur de centralisation des événements : il assure la consolidation des alertes remontées par les différentes son- des placées sur l’environnement surveillé. Un tel serveur est

pertinent dans le cas où plusieurs sondes sont mises en œuvre. Ce serveur est lié à une base de données : celle-ci a pour objectif de stocker l’ensemble des données traitées par les sondes.

• Une console de reporting : elle est en charge de la remontée des alertes auprès de l’administrateur de la solution et doit permettre de les afficher de manière pertinente et rapide au sein d’une interface graphique dédiée. Ces consoles sont généralement intégrées en natif au serveur de centralisation.

Le schéma suivant représente l’architecture globale d’un sys- tème de détection/prévention d’intrusion au sein d’un réseau à surveiller. Ce schéma synthétique montre des sondes disposées sur l’ensemble des quatre segments réseau du système :

• Le réseau utilisateur,

• La DMZ de serveurs,

• Le réseau d’administration,

• La DMZ Internet.

Le composant majeur de cette architecture correspond bien sûr à la sonde de détection/prévention d’intrusion. En effet, son rôle est de détecter, voire prévenir, automatiquement les intrusions qui peuvent survenir au sein d’un système d’information. Les autres composants jouent plutôt des rôles « support » pour le stockage et l’affichage. Les mécanismes de détection d’intrusion reposent principalement sur deux méthodes d’analyse du trafic :

Serveurs

Réseau d'administration Réseau utilisateurs

Sondes

Serveur de consolidation Console de reporting

Web

22 IT-expert n°70 - novembre/décembre 2007

• Analyse par signatures (Ce qui est interdit est connu) : les son- des possèdent une base de données d’attaques, définies for- mellement sous la forme de signatures. Elles comparent ensuite le flux capturé à l’ensemble de sa base de signature pour détecter une attaque connue.

• Analyse comportementale (Ce qui est interdit est inconnu) : les analyseurs disposent d’un modèle de comportement normal ou autorisé du système surveillé. Ces analyseurs comparent le flux capturé à l’ensemble de sa base de modèles pour détec- ter un flux inconnu, donc une attaque possible.

En complément à la détection d’intrusion, les nouveaux systè- mes englobent des mécanismes qui permettent de répondre automatiquement à une attaque identifiée en essayant de la blo- quer : cette fonctionnalité complémentaire correspond à la diffé- rence entre système de détection d’intrusion et système de prévention d’intrusion. Ces tentatives de blocage peuvent être effectuées de différentes manières :

• L’IPS bloque l’attaque, par exemple en fermant la connexion ou en filtrant tout accès à certains équipements,

• L’IPS change l’environnement surveillé au travers notamment de modification de configuration réseau,

• L’IPS modifie le contenu de l’attaque en remplaçant les paquets malicieux par des paquets sains.

Malgré les algorithmes implémentés ainsi que la puissance de ces systèmes, les problèmes rencontrés en détection d’intrusion depuis leur mise en œuvre sur le marché correspondent principa- lement aux trois points suivants :

• Le volume excessif d’alertes générées par les sondes qui, souvent, correspondent en effet à des fausses alertes : l’émission d’alertes en l’absence d’attaque représente près de 90 % des alertes,

• L’absence de surveillance régulière des alertes remontées par les sondes : étant donné le constat précédent, les organisa- tions ne mettent pas ou ne peuvent pas mettre en place de structure suffisante pour analyser les événements remontés par ces systèmes,

• L’augmentation des débits des réseaux comparée à la vitesse de traitement des équipements : l’objectif est d’analyser une quantité de trafic de plus en plus important et de la comparer à des bases de signatures de plus en plus détaillées.

Des sondes affectées à la surveillance du réseau ou du système

Indépendamment de la méthode d’analyse du trafic, il existe par ailleurs deux types de sondes selon la nature des informations surveillées. Ces deux catégories ne surveillent pas directement les mêmes informations, mais la complémentarité de ces deux composants reste un élément majeur dans le cadre de la mise en place d’un système global de détection d’intrusion.

Du réseau jusqu’à l’application

Les sondes réseaux sont chargées de capturer et d’analyser le trafic circulant sur un réseau déterminé et de détecter le trafic malveillant au sein de celui-ci. Le périmètre de détection des

sondes réseaux permet actuellement de couvrir les flux applica- tifs, transport et réseaux. En effet, les sondes réseau mettent à disposition des signatures qui permettent de rechercher des flux de ce type :

• L’analyse des flux applicatifs permet de détecter des attaques au niveau des protocoles de niveau applicatifs, tels que HTTP, DNS voire même concernant des requêtes vers des bases de données. A titre d’exemple, les règles listées ci-dessous sont des signatures utilisées par le logiciel de détection d’intrusion Snort (www.snort.org) et correspondent à :

- une signature relative à une attaque Oracle (exploitation d’une vulnérabilité dans la base de données Oracle XML) : alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 2100 (msg :"ORACLE XDB FTP UNLOCK overflow attempt";

flow :to_server; content :"UNLOCK"; depth :6;

pcre :"/^UNLOCK\s+\S+\s+\S{100}/sm";

reference :bugtraq,8375; reference :cve,2003-0727;

classtype :attempted-admin; sid :3526; rev :3;)

- une signature relative à une attaque SMTP (tentative de découverte de l’alias root sur un serveur sendmail) alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg :"SMTP expn root"; flow :to_server,established;

content :"expn"; nocase; content :"root"; nocase;

pcre :"/^expn\s+root/smi"; reference :arachnids,31;

reference :cve,1999-0531; reference :nessus,10249;

classtype :attempted-recon; sid :660; rev :10;)

• L’analyse des flux réseaux permet de détecter des attaques principalement au niveau des protocoles IP, ICMP ou IGMP. La règle suivante correspond à une signature relative à une ten- tative de ping généré par l’outil de scan nmap :

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg :"ICMP PING NMAP"; dsize :0; itype :8; refe- rence :arachnids,162; classtype :attempted-recon;

sid :469; rev :3;)

Des sondes dédiées au système

Les sondes système sont chargées de capturer un ensemble d’in- formations remontées par le système d’exploitation d’un équipe- ment ainsi que par les applications installées sur cet équipement.

De manière générale, les éléments analysés par ce type de son- des correspondent à :

• des logs systèmes (i.e. afin d’identifier des tentatives d’accès répétées),

• des processus en cours d’exécution afin de détecter, par exem- ple, la présence possible de virus ou programmes malveillants,

• des accès à certains fichiers et ressources critiques (bases de registre, notamment),

• des flux réseaux circulant de et vers l’équipement, et notam- ment au travers d’une surveillance des flux concernant des ports critiques tels que les ports NETBIOS, Microsoft-DS ou les ports applicatifs.