• Aucun résultat trouvé

Sécurité et Services RéseauxPartie: Sécurité

N/A
N/A
Protected

Academic year: 2022

Partager "Sécurité et Services RéseauxPartie: Sécurité"

Copied!
20
0
0

Texte intégral

(1)

Sécurité et Services Réseaux Partie: Sécurité

Pr. Ghizlane ORHANOU

Master spécialisé : Informatique Appliquée Offshoring

Année Universitaire 2018-2019

2

L'art de la guerre

- Qui connaît l'autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril.

- Qui ne connaît pas l'autre mais se connaît lui- même, pour chaque victoire, connaîtra une défaite.

- Qui ne connaît ni l'autre ni lui-même, perdra inéluctablement toutes les batailles. »

Sun Tzu: L'art de la guerre.

G. Orhanou Master IAO

3

Objectifs du cours

Comprendre les différents concepts de base de la sécurité informatique.

Apprendre les bonnes pratiques et mécanismes de protection d’un système d’exploitation.

Connaître les mécanismes de base de la sécurité d’un réseau informatique.

G. Orhanou

Master IAO 4

Contenu du cours (1/2)

Chapitre 1 : Concepts de base de la sécurité

Principes et définitions générales

Système de gestion de la sécurité d’SI

Audit de sécurité informatique

Chapitre 2: Environnement de sécurité

Attaques informatiques classiques

Virologie informatique

G. Orhanou Master IAO

(2)

5

Contenu du cours (2/2)

Chapitre 3 : Sécurité des réseaux informatiques

Fonctionnement d'un Firewall

Fonctionnement d’un d’un IDS/IPS

Sécurité des protocoles (SSL/TLS, SSH)

Chapitre 4 : Sécurité des systèmes d’exploitation et Applications

Introduction à la sécurité des systèmes d’exploitation

Sécurité des plateformes Windows

Sécurité des plateformes Linux

Introduction à la sécurité des applications

G. Orhanou Master IAO

Travaux pratiques

TP1 : Audit de sécurité d’un système informatique

TP2 : Réalisation d’une attaque ARP Poisoning et MiTM

TP3: Sécurité de Linux

G. Orhanou 6

Master IAO

7

Plan

Introduction

Notions : Menace, Vulnérabilité, Risque

Objectifs de sécurité

Vue générale des mécanismes de protection

8

L’information

L’information constitue un élément essentiel dans le fonctionnement de toute

organisation.

Elle se présente sous trois formes :

les données

les connaissances

et les messages

(3)

9

Protection de l’information

La protection de l'information, c'est une démarche consciente qui se déploie au sein de l'entreprise étendue.

Définition CIGREF(*)

La protection de l'information est une démarche consciente visant à protéger, au sein de l'entreprise étendue, ce qui vaut la peine d'être protégé, tant au niveau des données que des supports d'information.

Cette démarche implique un système de gestion, une identification des informations sensibles, une analyse de risques, des acteurs, avec des rôles et responsabilités et un programme de réduction des risques.

(*) Le CIGREF, réseau de Grandes Entreprises françaises et européennes de tous les secteurs d'activité (banque, assurance, énergie, distribution, industrie, services...).

G. Orhanou

Master IAO 10

Système d'information - Définition

Un système d'information est un ensemble des moyens humains et matériels ayant pour finalité d'élaborer, traiter, stocker, acheminer, présenter ou détruire l'information.

G. Orhanou Master IAO

(Source : Instruction générale interministérielle sur la protection du secret et des informations concernant la défense nationale et la sûreté de l’État n° 1300/SGDN/

PSE/SSD du 25 août 2003 - Voir : Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale - NOR: PRMD1019225A)

11

Système d’information

un système d’information est la réunion des trois dimensions suivantes :

Ressources humaines et IT Management (Gestion) : Pour tout système d’information, on a besoin de

ressources humaines pour la gestion des processus et des tâches.

Données et Applications (Contenu) : Cette dimension définit le contenu du système d’information c’est-à-dire les données et les applications.

Infrastructure informatique (Contenant) :

L’infrastructure informatique est l’élément moteur d’un système d’information dans la mesure où elle assure son fonctionnement.

G. Orhanou

Master IAO 12

Système informatique

Un système informatique est un ensemble des moyens informatiques et de télécommunication ayant pour finalité d'élaborer, traiter, stocker, acheminer, présenter ou détruire des données.

(Source : Instruction générale interministérielle sur la protection du secret et des informations concernant la défense nationale et la sûreté de l’État n° 1300/SGDN/ PSE/SSD du 25 août 2003 - Voir : Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale - NOR: PRMD1019225A)

G. Orhanou Master IAO

(4)

Evolution des Systèmes informatiques

Les SI aujourd’hui:

Changent dynamiquement:

Intégration constante de nouveaux outils;

Mises à jour, réorganisations, …

Grande diversité dans la nature des informations (données financières, techniques, médicales, etc).

Se complexifient (hétérogénéité des systèmes),

S’interconnectent (en interne, mais aussi vers l’extérieur)

Les technologies évoluent (programmation orienté objet, agents intelligents, réseaux filaires, réseaux sans fils, etc) comme les menaces!!!

Master IAO G. Orhanou 13

Statistiques des types d’attaques

Source: http://hackmageddon.com/

G. Orhanou 14

Master IAO

Statistiques des types d’attaques

Source: http://hackmageddon.com/

15

Motivations des attaques

16 Source: http://hackmageddon.com/

(5)

Master IAO G. Orhanou 18

Master IAO G. Orhanou 19 20

Plan

Introduction

Notions : Menace, Vulnérabilité, Risque

Objectifs de sécurité

Vue générale des mécanismes de protection

G. Orhanou Master IAO

(6)

Menace

Vulnérabilité

Risque

G. Orhanou 21 Master IAO

Notion de menace

Les normes ISO/IEC 2700x traitant des risques liés aux systèmes d’information font référence à la notion de

«menace » (« threat») qui n’est pas véritablement définie sauf par ce qu’elle est capable de causer, à savoir:

« causer un dommage à des actifs tel que information, processus ou systèmes et donc aux organisations »

Texte d’origine: «A threat has the potential to harm assets such as information, processes, and systems and therefore organizations » selon l’ISO/IEC 27005.

G. Orhanou 22 Master IAO

23

Origines d’une menace

La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un système

informatique. Elle peut être le résultat de diverses actions en provenance de plusieurs origines :

Origine opérationnelle: Ces menaces sont liées à un état du système à un moment donné. Elles peuvent être le résultat:

d’un bogue logiciel (Buffer Overflows, Uncontrolled format string …etc.),

d’une erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL injection),

d’un dysfonctionnement de la logique de traitement ou d’une erreur de configuration

Origine physique: Elles peuvent être d’origine accidentelle, naturelle ou criminelle.

Origine humaine: Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la conception d’un système d’information ou au niveau de la manière dont on l’utilise.

24

Exemples de menaces

Les pirates et espions

Les virus, les vers

Les chevaux de troie

Les Spywares, les Spam

Les erreurs humaines

Pannes physiques

(7)

Menace

Vulnérabilité

Risque

G. Orhanou 25 Master IAO

Définition de vulnérabilité

dans les standards ISO 27000

La famille des standards ISO 27000, adoptée par de nombreuses organisations dans le monde, et reprise par de multiples standards fonctionnels et techniques, définit une vulnérabilité comme:

une faiblesse - au sein d’un actif ou groupe d’actifs - dont l’exploitation potentielle (par une menace) peut porter préjudice à l'organisation :

fuite d’informations confidentielles, image détériorée, perte de confiance des clients, non-respect de règlementations, baisse des revenus, réduction de la marge opérationnelle, etc.

G. Orhanou 26 Master IAO

27

Différents types de vulnérabilités

On distingue trois grandes familles de vulnérabilités:

Les vulnérabilités au niveau organisationnel (Management)

Les vulnérabilités au niveau physique

Les vulnérabilités au niveau technologique

G. Orhanou

Master IAO 28

Vulnérabilités au niveau organisationnel

Manque de maîtrise de la sécurité des systèmes d’information et de communication.

Mauvaise utilisation des moyens en place (ex. utilisation de mots de passe faibles).

Absence de procédures relatives à la sécurité des systèmes informatiques.

Manque d’information et de sensibilisation des utilisateurs.

Inadéquation entre la politique de sécurité et les risques.

Mauvaise organisation interne.

G. Orhanou Master IAO

(8)

29

Vulnérabilités au niveau physique

Non-redondance d’équipements ou serveurs informatiques.

Manque de contrôle d’accès aux éléments physiques.

Mauvaise conservation de supports de sauvegarde.

Mauvaise gestion des ressources.

Absence de gestion du câblage informatique.

G. Orhanou

Master IAO 30

Vulnérabilités au niveau technologique

Au niveau des systèmes d’exploitation:

Ex. Fiabilité des mises à jours et correctifs (patchs).

Au niveau applicatif:

Ex. Manque de mises à jours.

Au niveau du réseau:

Ex. Complexité des règles sur les pare-feux et les routeurs

G. Orhanou Master IAO

Le cycle de vie d’une vulnérabilité débute par sa découverte.

Dans le cas où une personne malveillante la découvre, elle va tenter de l’exploiter en développant un code spécifique appelé exploit (zero-day) en attendant que cette vulnérabilité devienne publique (remontée par des sociétés spécialisées en sécurité informatique, des éditeurs de logiciels, des cellules de veille, etc), soit qualifiée puis enfin corrigée.

ANSSI a publié un guide sur les vulnérabilités 0-day de «Prévention et bonnes pratiques »:

http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_vulnerabilites_0day.pdf

Dans le cas d’une vulnérabilité logicielle, l’éditeur devra fournir soit un correctif (patch) qui sera installé sur les systèmes vulnérables soit une nouvelle version du logiciel qui corrige la vulnérabilité.

31

Cycle de vie d’une vulnérabilité Cycle de vie d’une vulnérabilité

32

(9)

G. Orhanou 33

Master IAO 34

Lorsqu'une vulnérabilité a été publiée, le MITRE (http://www.mitre.org/) lui attribue un identifiant CVE (Common Vulnerabilities and Exposures). Cet identifiant permet d’identifier la vulnérabilité dans un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité.

G. Orhanou Master IAO

Quelques constatations!!

Le Gartner Group estime qu’en 2015, 80% des attaques réussies exploiteront des vulnérabilités connues.

Selon l’organisme OWASP (Open Web Application Security Project), en 2013, 97% des applications Web restent exposées à des vulnérabilités connues, et les principaux risques liés aux applications Web demeurent identiques, notamment les injections SQL qui permettent à un tiers malveillant de récupérer, voler, modifier ou détruire des informations sensibles par exemple dans une base de données.

L’étude DBIR (Data Breach Investigations Report) réalisée en 2012 par Verizon a révélé suite à « l’autopsie » de 855 incidents que 92%

des attaques étaient peu complexes, 79% étaient des cibles opportunistes et que 97% des infractions réussies auraient pu être évitées si la victime avait déployé entre autres des correctifs de sécurité et des mots de passe robustes.

Ces statistiques sont toujours d’actualité aujourd’hui.

G. Orhanou 35 Master IAO

Menace

Vulnérabilité

Risque

G. Orhanou 36 Master IAO

(10)

Définition d’un risque

Les méthodes de gestion de risques donnent rarement une définition formelle du risque. Les définitions se classent en deux grandes

catégories :

Les définitions du risque basées sur la notion de menace, associée ou non à des vulnérabilités

Les définitions du risque basées sur la notion de scénario

G. Orhanou 37 Master IAO

Il s’agit d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de

conséquences.

Définition : Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage.

38

Définition de risque

en fonction de menace et vulnérabilité

G. Orhanou Master IAO

39

Le risque en terme de sécurité est généralement caractérisé par l'équation suivante :

Traiter le risque, c’est prendre en compte les menaces et les

vulnérabilités et définir les contre-mesures nécessaires pour diminuer le risque.

Le risque est la probabilité qu’une menace particulière puisse exploiter une

vulnérabilité donnée du système.

Définition de risque

en fonction de menace et vulnérabilité

40

Risque

en fonction de menace et vulnérabilité

(11)

Le risque défini par un scénario

Il s’agit d’une vision dynamique du risque qui permet de décrire et de tenir compte d’enchaînements d’événements, de causes ou de conséquences.

Cette définition considère que le dommage subi et que la

description des circonstances de survenance du dommage subi par l’actif doivent faire partie de la définition du risque. Ces

circonstances peuvent recouvrir des notions de :

Lieux : par exemple, vol de media dans tel ou tel type de local

Temps : par exemple, action menée en dehors ou pendant des heures ouvrables

Processus ou étapes de processus : par exemple, altération de fichiers lors de la maintenance

Définition: Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir.

G. Orhanou 41 Master IAO

Exemples de relation :

Risque, Menace, Vulnérabilité

Menace Vulnérabilité Risque

Incendie Absence de détecteur

d'incendie Perte de données

Pirate ou employé mécontent

Login et mot de passe par

défaut Destruction

d'enregistrements au niveau de la base de données

Cheval de troie

de type spyware Vulnérabilité applicative permettant l'exécution de code à distance

Divulgation d'un secret industriel

Pirate tentant de lancer une Injection SQL

Manque de respect des bonnes pratiques de sécurité lors du développement du site web.

Compromission des données stockées dans la base de données.

G. Orhanou Master IAO

43

Plan

Introduction

Notions : Menace, Vulnérabilité, Risque

Objectifs de sécurité

Vue générale des mécanismes de protection

G. Orhanou Master IAO

Question:

Quelle est la différence entre la Cybersécurité

et la Sécurité de l’information?

Master IAO G. Orhanou 44

(12)

Master IAO G. Orhanou 45

Réponse

Cybersécurité présente environ 95% de la sécurité de l’information.

La seule différence est que “Sécurité de l’information” concerne aussi la sécurité de l’information contenue dans média non numérique (ex. papier), tandis que la

“Cybersécurité” se focalise sur l’information en format numérique uniquement.

Master IAO G. Orhanou 46

« Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ».

Définition de l’ANSSI (Agence nationale de la sécurité des systèmes d'information)

Définition de la Cybersécurité

G. Orhanou

Définition de la Cybersécurité

« Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ».

« La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense »,

Définition de l’ANSSI (Agence nationale de la sécurité des systèmes d'information)

48

(13)

Question:

Quelle est la différence entre la

« Sécurité » et la « Protection »?

Master IAO G. Orhanou 49

Sécurité vs Protection

« Sécurité »: fait référence aux problèmes d’ordre général, qui consistent à s’assurer que des

personnes non autorisées ne peuvent ni lire ni modifier des fichiers (ce qui inclut des aspects d’ordre technique, administratif, juridique ou politique).

« Protection »: fait référence aux mécanismes de protection propres à un système informatique que l’on utilise pour apporter cette sécurité, destiné à protéger les informations et le système.

Master IAO G. Orhanou 50

Besoins et services de sécurité

La sécurité dans les réseaux de communication est basée sur un ensemble de services destinés à:

Garantir la confidentialité et l’intégrité des messages transmis à travers le réseau.

Fournir l’authentification des utilisateurs et des services.

S’assurer de la non-répudiation par les utilisateurs.

S’assurer de la diponibilité (du non-déni) des services.

En fonction des besoins de l’application ou du système à protéger, on peut mettre en œuvre un ou plusieurs de ces services.

G. Orhanou 51 Master IAO

La triade C.I.A.

La sécurité repose sur 3 principes fondamentaux, regroupé au sein de la triade : C.I.A (Confidentiality, Integrity and Availability)

(Confidentialité, Intégrité, Disponibilité)

L’opposé de cette triade est : D.A.D (Disclosure, Alteration, Denial) (Divulgation, Altération, Déni)

G. Orhanou 52 Master IAO

(14)

La confidentialité: c’est le fait de s’assurer qu’une information est accessible uniquement par les entités qui ont le droit d’accéder à celle-ci.

Dans le cadre où il s’agit d’accéder à des données sensibles (données de l’armée, gouvernementales etc…) ce principe doit être nécessairement respecté.

Il est important de respecter ce principe : imaginez qu’un tiers arrive à obtenir la liste des cartes bancaires des clients d’une banque… Cela peut être extrêmement dommageable pour la banque ainsi que pour les clients.

La triade C.I.A. - Confidentialité

G. Orhanou 53 Master IAO

L’intégrité: permet de s’assurer que la donnée reste toujours intègre c’est-à-dire qu’elle n’a pas été modifiée par un tiers non autorisé. Ce principe devra être respecté tout au long de la vie de l’information (en stockage ou en transition à travers un réseau). Garantir l’intégrité d’une donnée, c’est garantir que la donnée est restée fiable depuis sa création.

Prenons le cas où un hacker arrive à s’introduire sur les comptes bancaires des clients d’une grande banque et dérobe de l’argent, il y a alors altération de la donnée ainsi qu’un préjudice financier (plus ou moins important suivant l’importance de l’attaque) pour la banque.

La triade C.I.A. - Intégrité

G. Orhanou 54 Master IAO

Taux de disponibilité Temps d’indisponibilité sur un an

90% 36 jours, 12 heures

98% 7 jours

99% 3 jours, 15 heures

99,9% 8 heures, 48 minutes

99,99% 53 minutes

99,999% 5 minutes

La disponibilité

C’est le fait de s’assurer que l’information soit toujours disponible peu importe le moment choisit.

La triade C.I.A. - Disponibilité

55

Autres Objectifs de la sécurité

L’authentification: consiste à présenter une preuve infalsifiable et vérifiable de l’identité de la personne et de sa qualité pour pouvoir être autorisé à accéder au

système.

Il existe quatre facteurs d'authentification classiques :

ce qu'il sait (ex. mot de passe, numéro d'identification personnel)

ce qu'il possède (ex. carte d'identité, carte à puce, certificat électronique, passeport, Téléphone portable, etc.)

ce qu'il est (ex. empreinte digitale, empreinte rétinienne)

ce qu'il sait faire (ex. geste, signature).

56

(15)

Autres Objectifs de la sécurité

La non répudiation:

permettant de garantir qu'une transaction ne peut être niée.

de s'assurer qu'un contrat, notamment un contrat signé via internet, ne peut être remis en cause par l'une des parties.

58

Plan

Introduction

Notions : Menace, Vulnérabilité, Risque

Objectifs de sécurité

Vue générale des mécanismes de protection

G. Orhanou Master IAO

Contexte et enjeux

Fournisseurs

Partenaires

Clients E-Clients

Régulateurs Organisme

publique

Entreprise

RSSI -Se protéger contre les

menaces

-Sécuriser les échanges,

-Protéger les données -Garantir la disponibilité du service

Être conforme -Protéger les données

-Garantir la disponibilité du service

-Respect des lois

Master IAO G. Orhanou 59

Système de management

de la sécurité des Systèmes d’Information

Une orientation stratégique:

Engagement et implication de la direction

Elaboration d’une politique de sécurité des systèmes d’information

Définition de la méthodologie associée à la gestion de la sécurité des systèmes d’information.

Choix d’un référentiel de conformité ( national, international ou propre à l’entreprise).

Obligation d’intégrer la sécurité dans tous les aspects liés au SI.

Master IAO G. Orhanou 60

(16)

Une orientation tactique/technique:

• Application du principe de l’amélioration continue:

Plan, Do , Check , Act

• Communication des tableaux de bord, rapports, points d’avancement périodiquement

Système de management

de la sécurité des Systèmes d’Information

Master IAO G. Orhanou 61

Processus de sécurisation

• La mise en place d’un SMSI (Système de Management de la Sécurité de l'Information) efficace obéit au modèle de qualité PDCA (Plan-Do-Check-Act) ou la roue de Deming issue du monde de la qualité.

Master IAO G. Orhanou 62

ISO 27001: Modèle PDCA

Phase Planifier (Plan): consiste à planifier les actions que l’entreprise va entreprendre en matière de sécurité:

Définir la politique et le périmètre de sécurité;

Identifier et évaluer les risques liés à la sécurité;

Sélectionner les mesures de sécurité à mettre en place.

Phase Développer (Do): met en place les objectifs fixés.

Elle se découpe en plusieurs étapes:

Etablir un plan de traitement des risques;

Déployer les mesures de sécurité;

Générer les indicateurs de performances et de conformité du SMSI aux spécifications

Former et sensibiliser le personnel

63

ISO 27001: Modèle PDCA

Phase Ajuster (Check): consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y réagir rapidement, grâce à:

Audits internes vérifiant la conformité et l’efficacité du SMSI;

Contrôle interne contrôlant le fonctionnement normal des processus;

Revues et réexamens garantissant l’adéquation permanente du SMSI avec son environnement.

Phase Contrôler (Act): met en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check:

Actions correctives;

Actions préventives;

Actions d’amélioration.

64

(17)

Techniques de sécurisation

Analyse et Gestion de risques

Réalisation d'Audits informatiques

Mise en place des mécanismes de protection

G. Orhanou 65

Master IAO

Analyse de risques

Activité constituant une étape de l'analyse de sécurité informatique, et qui consiste à:

identifier tous les risques informatiques auxquels est exposé l'actif informationnel de l'organisation, à le quantifier et à en déterminer l'importance relative.

apprécier l'importance des risques, acceptables ou non, au regard des impératifs de l'organisation.

à évaluer les pertes prévisionnelles, consécutives à certains événements caractérisés par leur probabilité d'occurrence ou leur proximité dans le temps.

G. Orhanou 66

Master IAO

67

Méthodes de gestion de risque

Il existe plusieurs méthodes de gestion de risque:

MELISA: Méthode d'auto audit développée par la DGA (Direction générale de l'Armement) et la DCN (Direction des constructions navales) en 1985.

MEHARI : Méthode développée par le CLUSIF (Club de la Sécurité Informatique Français) dans les années 1993.

EBIOS : méthode créée en 1995 par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) du Secrétariat général de la défense nationale de la France.

G. Orhanou

Master IAO 68

Méthodes de gestion de risque EBIOS

La méthode EBIOS se base sur le diagramme suivant :

G. Orhanou Master IAO

(18)

69

Audit d’un système d’information

C'est un examen critique qui permet de mettre en évidence d'éventuelles anomalies quant au fonctionnement des systèmes d'information et se distingue par son caractère ponctuel.

On distingue plusieurs types de missions d'audit :

Audit stratégique

Audit des applications

Audit de la sécurité informatique

Audit d'exploitation

Audit de la sécurité logique

Audit des coûts

Audit ....

G. Orhanou

Master IAO 70

Un audit de sécurité peut être effectué dans plusieurs buts :

Réagir à une attaque.

Se faire une bonne idée du niveau de sécurité du Système d’information.

Tester la mise en place effective de la PSSI (Politique de Sécurité du Système d’information).

Évaluer l’évolution de la sécurité (implique un audit périodique)

L’audit de sécurité des systèmes d’information permet dans tous les cas de vérifier la sécurité.

G. Orhanou Master IAO

Audit d’un système d’information

71

Audit technique

Concerne les composants techniques du SI et teste la maturité d'un système.

On distingue :

Les tests de vulnérabilités.

Les tests d'intrusion.

Les audits de code.

Normes d’audit d’un SI

Parmi les principales normes d’Audit d’un Système d’Information, on trouve:

ITIL (Information Technology Infrastructure Library )

C’est un ensemble d'ouvrages et de guides recensant les bonnes pratiques (« best practices ») pour le management du système d'information, édictées par l'Office public britannique du Commerce (OGC).

COBIT (Control Objectives for Information and Related Technology)

C’est un cadre de référence international basé sur l’observation des bonnes pratiques, en matière de gouvernance et de contrôle de l’IT.

La famille de norme ISO 27000

72

(19)

73

Normes d’audit d’un SI: ISO 27000

ISO/CEI 27000 : Introduction et vue globale de la famille des standards, ainsi qu'un glossaire des termes

communs

ISO/CEI 27001 : Standard de certification des SMSI

ISO/CEI 27002 : Guide des bonnes pratiques en SMSI

ISO/CEI 27003 : Guide d'implémentation d'un SMSI

ISO/CEI 27004 : Standard de mesures de management de la sécurité de l'information

ISO/CEI 27005 : Standard de gestion de risques liés à la sécurité de l'information

ISO/CEI 27006 : Guide de processus de certification et d'enregistrement

ISO/CEI 27007 : Guide directeur pour l'audit des SMSI

G. Orhanou Master IAO

Mécanismes de Protection

Il existe un ensemble de mécanismes de défense ou de protection. Les principaux sont les suivants:

Cryptographie

Coupe-feu (Firewall)

Système de Détection/Prévention d’Intrusion (IDS/IPS)

Solutions antivirales

Journalisation (logs)

Analyse de vulnérabilité (Audit de sécurité)

Mécanismes de protection de la mémoire

Etc.

Master IAO G. Orhanou 74

Différents Niveaux de sécurisation

Sensibilisation des utilisateurs aux problèmes de sécurité.

Sécurisation des données, des applications, des systèmes d'exploitation.

Sécurisation des infrastructures de télécommunication.

Sécurisation physique du matériel et des accès.

Master IAO G. Orhanou 75

Références

Hervé Schauer, “La gestion de risque pour la série de normes iSO 2700x”, La lettre Techniques de l’Ingénieur, n°7 – Juillet-Août 2007

“Gestion des incidents liés à la sécurité de l'information liés à la sécurité de l'information”, Conférence Internationale Management de la Sécurité de l'Information selon la norme ISO/IEC 27001, Paris, 25 avril 2012.

Julien Levrard , Présentation « Les processus d’un SMSI - Modèle de SMSI et retours d'expérience », Hervé Schauer Consultants (HSC) 2002-2012

« Gestion des incidents de sécurité », Document adopté par le Comité national sur la protection des renseignements personnels et la sécurité (CNPRPS), Québec, canada, 2003

Site de ITIL France: http://www.itilfrance.com

Hervé Schauer Consultants (HSC) 2002-2012: http://www.hsc.fr

76

Master IAO G. Orhanou

(20)

Références

Gestion des incidents de sécurité du système d'information, Clusif, 2011

http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF 2011 Gestion des Incidents.pdf

NIST SP800-61-rev1, Computer Security Incident Handling Guide, NIST, mars 2008

http://csrc.nist.gov/publications/nistpubs/800 61 rev1/SP800 61rev1.pdf

Christopher L. Jackson, « Network Security Auditing (Networking Technology: Security) », Cisco Press, 2010;

Peter G. Smith, «Linux Network Security », Charles River Media, 2005.

Richard Bejtlich, « The Tao of Network Security Monitoring: Beyond Intrusion Detection », Addison-Wesley Professional 2004;

« Ethical Hacking Student Guide », 2008.

Les numéros Hors-série du magazine MISC.

http://www.securite-informatique.gouv.fr/

http://www.securiteinfo.com

77

Master IAO G. Orhanou

Références

Documents relatifs

Nous sommes une entreprise industrielle active au niveau mondial, spécialisée dans le développement et la fabrication de composant pour les lignes de contact, la mise à la terre,

Certaines questions ont suscité des interprétations divergentes comme celle du statut juridique du canal de Corse au regard de la convention des Nations-Unies de Montego- Bay sur

Pourtant, malgré cette réglementation, les citoyens et les consommateurs considèrent que les nouvelles technologies représentent un danger pour leur vie privée, et le

Rue Henri Pointcaré Rue du Dr Louis Puis.. Parking

L’approche retenue à l’occasion de cette journée a pour ambition de croiser les regards de spécialistes des diverses branches du droit : droit international, droit

accuse réception du courrier d’information de sécurité sous référence SAFNT\19-001 et confirme en avoir pris connaissance et l’avoir diffusé au personnel

Un dispositif sensé être utilisé comme barrière physique qui servira de protection contre les effets d’une exposition environnementale (ex. : fluides corporels, gels) et/ou

1) Vous pouvez continuer d’utiliser votre ventilateur de réanimation avec la sortie ISG si une inspection du raccord conique femelle de 15 mm a été effectuée pour vérifier qu’il