Sécurité et Services Réseaux Partie: Sécurité
Pr. Ghizlane ORHANOU
Master spécialisé : Informatique Appliquée Offshoring
Année Universitaire 2018-2019
2
L'art de la guerre
- Qui connaît l'autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril.
- Qui ne connaît pas l'autre mais se connaît lui- même, pour chaque victoire, connaîtra une défaite.
- Qui ne connaît ni l'autre ni lui-même, perdra inéluctablement toutes les batailles. »
Sun Tzu: L'art de la guerre.
G. Orhanou Master IAO
3
Objectifs du cours
Comprendre les différents concepts de base de la sécurité informatique.
Apprendre les bonnes pratiques et mécanismes de protection d’un système d’exploitation.
Connaître les mécanismes de base de la sécurité d’un réseau informatique.
G. Orhanou
Master IAO 4
Contenu du cours (1/2)
Chapitre 1 : Concepts de base de la sécurité
Principes et définitions générales
Système de gestion de la sécurité d’SI
Audit de sécurité informatique
Chapitre 2: Environnement de sécurité
Attaques informatiques classiques
Virologie informatique
G. Orhanou Master IAO
5
Contenu du cours (2/2)
Chapitre 3 : Sécurité des réseaux informatiques
Fonctionnement d'un Firewall
Fonctionnement d’un d’un IDS/IPS
Sécurité des protocoles (SSL/TLS, SSH)
Chapitre 4 : Sécurité des systèmes d’exploitation et Applications
Introduction à la sécurité des systèmes d’exploitation
Sécurité des plateformes Windows
Sécurité des plateformes Linux
Introduction à la sécurité des applications
G. Orhanou Master IAO
Travaux pratiques
TP1 : Audit de sécurité d’un système informatique
TP2 : Réalisation d’une attaque ARP Poisoning et MiTM
TP3: Sécurité de Linux
G. Orhanou 6
Master IAO
7
Plan
Introduction
Notions : Menace, Vulnérabilité, Risque
Objectifs de sécurité
Vue générale des mécanismes de protection
8
L’information
L’information constitue un élément essentiel dans le fonctionnement de toute
organisation.
Elle se présente sous trois formes :
les données
les connaissances
et les messages
9
Protection de l’information
La protection de l'information, c'est une démarche consciente qui se déploie au sein de l'entreprise étendue.
Définition CIGREF(*)
La protection de l'information est une démarche consciente visant à protéger, au sein de l'entreprise étendue, ce qui vaut la peine d'être protégé, tant au niveau des données que des supports d'information.
Cette démarche implique un système de gestion, une identification des informations sensibles, une analyse de risques, des acteurs, avec des rôles et responsabilités et un programme de réduction des risques.
(*) Le CIGREF, réseau de Grandes Entreprises françaises et européennes de tous les secteurs d'activité (banque, assurance, énergie, distribution, industrie, services...).
G. Orhanou
Master IAO 10
Système d'information - Définition
Un système d'information est un ensemble des moyens humains et matériels ayant pour finalité d'élaborer, traiter, stocker, acheminer, présenter ou détruire l'information.
G. Orhanou Master IAO
(Source : Instruction générale interministérielle sur la protection du secret et des informations concernant la défense nationale et la sûreté de l’État n° 1300/SGDN/
PSE/SSD du 25 août 2003 - Voir : Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale - NOR: PRMD1019225A)
11
Système d’information
un système d’information est la réunion des trois dimensions suivantes :
Ressources humaines et IT Management (Gestion) : Pour tout système d’information, on a besoin de
ressources humaines pour la gestion des processus et des tâches.
Données et Applications (Contenu) : Cette dimension définit le contenu du système d’information c’est-à-dire les données et les applications.
Infrastructure informatique (Contenant) :
L’infrastructure informatique est l’élément moteur d’un système d’information dans la mesure où elle assure son fonctionnement.
G. Orhanou
Master IAO 12
Système informatique
Un système informatique est un ensemble des moyens informatiques et de télécommunication ayant pour finalité d'élaborer, traiter, stocker, acheminer, présenter ou détruire des données.
(Source : Instruction générale interministérielle sur la protection du secret et des informations concernant la défense nationale et la sûreté de l’État n° 1300/SGDN/ PSE/SSD du 25 août 2003 - Voir : Arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale - NOR: PRMD1019225A)
G. Orhanou Master IAO
Evolution des Systèmes informatiques
Les SI aujourd’hui:
Changent dynamiquement:
Intégration constante de nouveaux outils;
Mises à jour, réorganisations, …
Grande diversité dans la nature des informations (données financières, techniques, médicales, etc).
Se complexifient (hétérogénéité des systèmes),
S’interconnectent (en interne, mais aussi vers l’extérieur)
Les technologies évoluent (programmation orienté objet, agents intelligents, réseaux filaires, réseaux sans fils, etc) comme les menaces!!!
Master IAO G. Orhanou 13
Statistiques des types d’attaques
Source: http://hackmageddon.com/
G. Orhanou 14
Master IAO
Statistiques des types d’attaques
Source: http://hackmageddon.com/
15
Motivations des attaques
16 Source: http://hackmageddon.com/
Master IAO G. Orhanou 18
Master IAO G. Orhanou 19 20
Plan
Introduction
Notions : Menace, Vulnérabilité, Risque
Objectifs de sécurité
Vue générale des mécanismes de protection
G. Orhanou Master IAO
Menace
Vulnérabilité
Risque
G. Orhanou 21 Master IAO
Notion de menace
Les normes ISO/IEC 2700x traitant des risques liés aux systèmes d’information font référence à la notion de
«menace » (« threat») qui n’est pas véritablement définie sauf par ce qu’elle est capable de causer, à savoir:
« causer un dommage à des actifs tel que information, processus ou systèmes et donc aux organisations »
Texte d’origine: «A threat has the potential to harm assets such as information, processes, and systems and therefore organizations » selon l’ISO/IEC 27005.
G. Orhanou 22 Master IAO
23
Origines d’une menace
La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un système
informatique. Elle peut être le résultat de diverses actions en provenance de plusieurs origines :
Origine opérationnelle: Ces menaces sont liées à un état du système à un moment donné. Elles peuvent être le résultat:
d’un bogue logiciel (Buffer Overflows, Uncontrolled format string …etc.),
d’une erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL injection),
d’un dysfonctionnement de la logique de traitement ou d’une erreur de configuration
Origine physique: Elles peuvent être d’origine accidentelle, naturelle ou criminelle.
Origine humaine: Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la conception d’un système d’information ou au niveau de la manière dont on l’utilise.
24
Exemples de menaces
Les pirates et espions
Les virus, les vers
Les chevaux de troie
Les Spywares, les Spam
Les erreurs humaines
Pannes physiques
Menace
Vulnérabilité
Risque
G. Orhanou 25 Master IAO
Définition de vulnérabilité
dans les standards ISO 27000
La famille des standards ISO 27000, adoptée par de nombreuses organisations dans le monde, et reprise par de multiples standards fonctionnels et techniques, définit une vulnérabilité comme:
une faiblesse - au sein d’un actif ou groupe d’actifs - dont l’exploitation potentielle (par une menace) peut porter préjudice à l'organisation :
fuite d’informations confidentielles, image détériorée, perte de confiance des clients, non-respect de règlementations, baisse des revenus, réduction de la marge opérationnelle, etc.
G. Orhanou 26 Master IAO
27
Différents types de vulnérabilités
On distingue trois grandes familles de vulnérabilités:
Les vulnérabilités au niveau organisationnel (Management)
Les vulnérabilités au niveau physique
Les vulnérabilités au niveau technologique
G. Orhanou
Master IAO 28
Vulnérabilités au niveau organisationnel
Manque de maîtrise de la sécurité des systèmes d’information et de communication.
Mauvaise utilisation des moyens en place (ex. utilisation de mots de passe faibles).
Absence de procédures relatives à la sécurité des systèmes informatiques.
Manque d’information et de sensibilisation des utilisateurs.
Inadéquation entre la politique de sécurité et les risques.
Mauvaise organisation interne.
G. Orhanou Master IAO
29
Vulnérabilités au niveau physique
Non-redondance d’équipements ou serveurs informatiques.
Manque de contrôle d’accès aux éléments physiques.
Mauvaise conservation de supports de sauvegarde.
Mauvaise gestion des ressources.
Absence de gestion du câblage informatique.
G. Orhanou
Master IAO 30
Vulnérabilités au niveau technologique
Au niveau des systèmes d’exploitation:
Ex. Fiabilité des mises à jours et correctifs (patchs).
Au niveau applicatif:
Ex. Manque de mises à jours.
Au niveau du réseau:
Ex. Complexité des règles sur les pare-feux et les routeurs
G. Orhanou Master IAO
Le cycle de vie d’une vulnérabilité débute par sa découverte.
Dans le cas où une personne malveillante la découvre, elle va tenter de l’exploiter en développant un code spécifique appelé exploit (zero-day) en attendant que cette vulnérabilité devienne publique (remontée par des sociétés spécialisées en sécurité informatique, des éditeurs de logiciels, des cellules de veille, etc), soit qualifiée puis enfin corrigée.
ANSSI a publié un guide sur les vulnérabilités 0-day de «Prévention et bonnes pratiques »:
http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_vulnerabilites_0day.pdf
Dans le cas d’une vulnérabilité logicielle, l’éditeur devra fournir soit un correctif (patch) qui sera installé sur les systèmes vulnérables soit une nouvelle version du logiciel qui corrige la vulnérabilité.
31
Cycle de vie d’une vulnérabilité Cycle de vie d’une vulnérabilité
32
G. Orhanou 33
Master IAO 34
Lorsqu'une vulnérabilité a été publiée, le MITRE (http://www.mitre.org/) lui attribue un identifiant CVE (Common Vulnerabilities and Exposures). Cet identifiant permet d’identifier la vulnérabilité dans un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité.
G. Orhanou Master IAO
Quelques constatations!!
Le Gartner Group estime qu’en 2015, 80% des attaques réussies exploiteront des vulnérabilités connues.
Selon l’organisme OWASP (Open Web Application Security Project), en 2013, 97% des applications Web restent exposées à des vulnérabilités connues, et les principaux risques liés aux applications Web demeurent identiques, notamment les injections SQL qui permettent à un tiers malveillant de récupérer, voler, modifier ou détruire des informations sensibles par exemple dans une base de données.
L’étude DBIR (Data Breach Investigations Report) réalisée en 2012 par Verizon a révélé suite à « l’autopsie » de 855 incidents que 92%
des attaques étaient peu complexes, 79% étaient des cibles opportunistes et que 97% des infractions réussies auraient pu être évitées si la victime avait déployé entre autres des correctifs de sécurité et des mots de passe robustes.
Ces statistiques sont toujours d’actualité aujourd’hui.
G. Orhanou 35 Master IAO
Menace
Vulnérabilité
Risque
G. Orhanou 36 Master IAO
Définition d’un risque
Les méthodes de gestion de risques donnent rarement une définition formelle du risque. Les définitions se classent en deux grandes
catégories :
Les définitions du risque basées sur la notion de menace, associée ou non à des vulnérabilités
Les définitions du risque basées sur la notion de scénario
G. Orhanou 37 Master IAO
Il s’agit d’une vision « statique » des risques, au sens où les éléments pris en compte ne font pas intervenir la variable « temps » et ne permettent pas de décrire des enchaînements d’événements, de causes ou de
conséquences.
Définition : Le risque est la conjonction d’un actif, d’une menace susceptible de faire subir un dommage à cet actif et de vulnérabilités exploitées par la menace pour faire subir à l’actif ce dommage.
38
Définition de risque
en fonction de menace et vulnérabilité
G. Orhanou Master IAO
39
Le risque en terme de sécurité est généralement caractérisé par l'équation suivante :
Traiter le risque, c’est prendre en compte les menaces et les
vulnérabilités et définir les contre-mesures nécessaires pour diminuer le risque.
Le risque est la probabilité qu’une menace particulière puisse exploiter une
vulnérabilité donnée du système.
Définition de risque
en fonction de menace et vulnérabilité
40
Risque
en fonction de menace et vulnérabilité
Le risque défini par un scénario
Il s’agit d’une vision dynamique du risque qui permet de décrire et de tenir compte d’enchaînements d’événements, de causes ou de conséquences.
Cette définition considère que le dommage subi et que la
description des circonstances de survenance du dommage subi par l’actif doivent faire partie de la définition du risque. Ces
circonstances peuvent recouvrir des notions de :
Lieux : par exemple, vol de media dans tel ou tel type de local
Temps : par exemple, action menée en dehors ou pendant des heures ouvrables
Processus ou étapes de processus : par exemple, altération de fichiers lors de la maintenance
Définition: Le risque est la conjonction d’un actif, d’un type de dommage pouvant être subi par cet actif et de circonstances dans lesquelles ce dommage pourrait survenir.
G. Orhanou 41 Master IAO
Exemples de relation :
Risque, Menace, Vulnérabilité
Menace Vulnérabilité Risque
Incendie Absence de détecteur
d'incendie Perte de données
Pirate ou employé mécontent
Login et mot de passe par
défaut Destruction
d'enregistrements au niveau de la base de données
Cheval de troie
de type spyware Vulnérabilité applicative permettant l'exécution de code à distance
Divulgation d'un secret industriel
Pirate tentant de lancer une Injection SQL
Manque de respect des bonnes pratiques de sécurité lors du développement du site web.
Compromission des données stockées dans la base de données.
G. Orhanou Master IAO
43
Plan
Introduction
Notions : Menace, Vulnérabilité, Risque
Objectifs de sécurité
Vue générale des mécanismes de protection
G. Orhanou Master IAO
Question:
Quelle est la différence entre la Cybersécurité
et la Sécurité de l’information?
Master IAO G. Orhanou 44
Master IAO G. Orhanou 45
Réponse
Cybersécurité présente environ 95% de la sécurité de l’information.
La seule différence est que “Sécurité de l’information” concerne aussi la sécurité de l’information contenue dans média non numérique (ex. papier), tandis que la
“Cybersécurité” se focalise sur l’information en format numérique uniquement.
Master IAO G. Orhanou 46
« Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ».
Définition de l’ANSSI (Agence nationale de la sécurité des systèmes d'information)
Définition de la Cybersécurité
G. Orhanou
Définition de la Cybersécurité
« Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ».
« La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense »,
Définition de l’ANSSI (Agence nationale de la sécurité des systèmes d'information)
48
Question:
Quelle est la différence entre la
« Sécurité » et la « Protection »?
Master IAO G. Orhanou 49
Sécurité vs Protection
« Sécurité »: fait référence aux problèmes d’ordre général, qui consistent à s’assurer que des
personnes non autorisées ne peuvent ni lire ni modifier des fichiers (ce qui inclut des aspects d’ordre technique, administratif, juridique ou politique).
« Protection »: fait référence aux mécanismes de protection propres à un système informatique que l’on utilise pour apporter cette sécurité, destiné à protéger les informations et le système.
Master IAO G. Orhanou 50
Besoins et services de sécurité
La sécurité dans les réseaux de communication est basée sur un ensemble de services destinés à:
Garantir la confidentialité et l’intégrité des messages transmis à travers le réseau.
Fournir l’authentification des utilisateurs et des services.
S’assurer de la non-répudiation par les utilisateurs.
S’assurer de la diponibilité (du non-déni) des services.
En fonction des besoins de l’application ou du système à protéger, on peut mettre en œuvre un ou plusieurs de ces services.
G. Orhanou 51 Master IAO
La triade C.I.A.
La sécurité repose sur 3 principes fondamentaux, regroupé au sein de la triade : C.I.A (Confidentiality, Integrity and Availability)
(Confidentialité, Intégrité, Disponibilité)
L’opposé de cette triade est : D.A.D (Disclosure, Alteration, Denial) (Divulgation, Altération, Déni)
G. Orhanou 52 Master IAO
La confidentialité: c’est le fait de s’assurer qu’une information est accessible uniquement par les entités qui ont le droit d’accéder à celle-ci.
Dans le cadre où il s’agit d’accéder à des données sensibles (données de l’armée, gouvernementales etc…) ce principe doit être nécessairement respecté.
Il est important de respecter ce principe : imaginez qu’un tiers arrive à obtenir la liste des cartes bancaires des clients d’une banque… Cela peut être extrêmement dommageable pour la banque ainsi que pour les clients.
La triade C.I.A. - Confidentialité
G. Orhanou 53 Master IAO
L’intégrité: permet de s’assurer que la donnée reste toujours intègre c’est-à-dire qu’elle n’a pas été modifiée par un tiers non autorisé. Ce principe devra être respecté tout au long de la vie de l’information (en stockage ou en transition à travers un réseau). Garantir l’intégrité d’une donnée, c’est garantir que la donnée est restée fiable depuis sa création.
Prenons le cas où un hacker arrive à s’introduire sur les comptes bancaires des clients d’une grande banque et dérobe de l’argent, il y a alors altération de la donnée ainsi qu’un préjudice financier (plus ou moins important suivant l’importance de l’attaque) pour la banque.
La triade C.I.A. - Intégrité
G. Orhanou 54 Master IAO
Taux de disponibilité Temps d’indisponibilité sur un an
90% 36 jours, 12 heures
98% 7 jours
99% 3 jours, 15 heures
99,9% 8 heures, 48 minutes
99,99% 53 minutes
99,999% 5 minutes
La disponibilité
C’est le fait de s’assurer que l’information soit toujours disponible peu importe le moment choisit.
La triade C.I.A. - Disponibilité
55
Autres Objectifs de la sécurité
L’authentification: consiste à présenter une preuve infalsifiable et vérifiable de l’identité de la personne et de sa qualité pour pouvoir être autorisé à accéder au
système.
Il existe quatre facteurs d'authentification classiques :
ce qu'il sait (ex. mot de passe, numéro d'identification personnel)
ce qu'il possède (ex. carte d'identité, carte à puce, certificat électronique, passeport, Téléphone portable, etc.)
ce qu'il est (ex. empreinte digitale, empreinte rétinienne)
ce qu'il sait faire (ex. geste, signature).
56
Autres Objectifs de la sécurité
La non répudiation:
permettant de garantir qu'une transaction ne peut être niée.
de s'assurer qu'un contrat, notamment un contrat signé via internet, ne peut être remis en cause par l'une des parties.
58
Plan
Introduction
Notions : Menace, Vulnérabilité, Risque
Objectifs de sécurité
Vue générale des mécanismes de protection
G. Orhanou Master IAO
Contexte et enjeux
Fournisseurs
Partenaires
Clients E-Clients
Régulateurs Organisme
publique
Entreprise
RSSI -Se protéger contre les
menaces
-Sécuriser les échanges,
-Protéger les données -Garantir la disponibilité du service
Être conforme -Protéger les données
-Garantir la disponibilité du service
-Respect des lois
Master IAO G. Orhanou 59
Système de management
de la sécurité des Systèmes d’Information
Une orientation stratégique:
• Engagement et implication de la direction
• Elaboration d’une politique de sécurité des systèmes d’information
• Définition de la méthodologie associée à la gestion de la sécurité des systèmes d’information.
• Choix d’un référentiel de conformité ( national, international ou propre à l’entreprise).
• Obligation d’intégrer la sécurité dans tous les aspects liés au SI.
Master IAO G. Orhanou 60
Une orientation tactique/technique:
• Application du principe de l’amélioration continue:
Plan, Do , Check , Act
• Communication des tableaux de bord, rapports, points d’avancement périodiquement
Système de management
de la sécurité des Systèmes d’Information
Master IAO G. Orhanou 61
Processus de sécurisation
• La mise en place d’un SMSI (Système de Management de la Sécurité de l'Information) efficace obéit au modèle de qualité PDCA (Plan-Do-Check-Act) ou la roue de Deming issue du monde de la qualité.
Master IAO G. Orhanou 62
ISO 27001: Modèle PDCA
Phase Planifier (Plan): consiste à planifier les actions que l’entreprise va entreprendre en matière de sécurité:
Définir la politique et le périmètre de sécurité;
Identifier et évaluer les risques liés à la sécurité;
Sélectionner les mesures de sécurité à mettre en place.
Phase Développer (Do): met en place les objectifs fixés.
Elle se découpe en plusieurs étapes:
Etablir un plan de traitement des risques;
Déployer les mesures de sécurité;
Générer les indicateurs de performances et de conformité du SMSI aux spécifications
Former et sensibiliser le personnel
63
ISO 27001: Modèle PDCA
Phase Ajuster (Check): consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y réagir rapidement, grâce à:
Audits internes vérifiant la conformité et l’efficacité du SMSI;
Contrôle interne contrôlant le fonctionnement normal des processus;
Revues et réexamens garantissant l’adéquation permanente du SMSI avec son environnement.
Phase Contrôler (Act): met en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check:
Actions correctives;
Actions préventives;
Actions d’amélioration.
64
Techniques de sécurisation
Analyse et Gestion de risques
Réalisation d'Audits informatiques
Mise en place des mécanismes de protection
G. Orhanou 65
Master IAO
Analyse de risques
Activité constituant une étape de l'analyse de sécurité informatique, et qui consiste à:
identifier tous les risques informatiques auxquels est exposé l'actif informationnel de l'organisation, à le quantifier et à en déterminer l'importance relative.
apprécier l'importance des risques, acceptables ou non, au regard des impératifs de l'organisation.
à évaluer les pertes prévisionnelles, consécutives à certains événements caractérisés par leur probabilité d'occurrence ou leur proximité dans le temps.
G. Orhanou 66
Master IAO
67
Méthodes de gestion de risque
Il existe plusieurs méthodes de gestion de risque:
MELISA: Méthode d'auto audit développée par la DGA (Direction générale de l'Armement) et la DCN (Direction des constructions navales) en 1985.
MEHARI : Méthode développée par le CLUSIF (Club de la Sécurité Informatique Français) dans les années 1993.
EBIOS : méthode créée en 1995 par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) du Secrétariat général de la défense nationale de la France.
G. Orhanou
Master IAO 68
Méthodes de gestion de risque EBIOS
La méthode EBIOS se base sur le diagramme suivant :
G. Orhanou Master IAO
69
Audit d’un système d’information
C'est un examen critique qui permet de mettre en évidence d'éventuelles anomalies quant au fonctionnement des systèmes d'information et se distingue par son caractère ponctuel.
On distingue plusieurs types de missions d'audit :
Audit stratégique
Audit des applications
Audit de la sécurité informatique
Audit d'exploitation
Audit de la sécurité logique
Audit des coûts
Audit ....
G. Orhanou
Master IAO 70
Un audit de sécurité peut être effectué dans plusieurs buts :
Réagir à une attaque.
Se faire une bonne idée du niveau de sécurité du Système d’information.
Tester la mise en place effective de la PSSI (Politique de Sécurité du Système d’information).
Évaluer l’évolution de la sécurité (implique un audit périodique)
L’audit de sécurité des systèmes d’information permet dans tous les cas de vérifier la sécurité.
G. Orhanou Master IAO
Audit d’un système d’information
71
Audit technique
Concerne les composants techniques du SI et teste la maturité d'un système.
On distingue :
Les tests de vulnérabilités.
Les tests d'intrusion.
Les audits de code.
Normes d’audit d’un SI
Parmi les principales normes d’Audit d’un Système d’Information, on trouve:
ITIL (Information Technology Infrastructure Library )
C’est un ensemble d'ouvrages et de guides recensant les bonnes pratiques (« best practices ») pour le management du système d'information, édictées par l'Office public britannique du Commerce (OGC).
COBIT (Control Objectives for Information and Related Technology)
C’est un cadre de référence international basé sur l’observation des bonnes pratiques, en matière de gouvernance et de contrôle de l’IT.
La famille de norme ISO 27000
72
73
Normes d’audit d’un SI: ISO 27000
ISO/CEI 27000 : Introduction et vue globale de la famille des standards, ainsi qu'un glossaire des termes
communs
ISO/CEI 27001 : Standard de certification des SMSI
ISO/CEI 27002 : Guide des bonnes pratiques en SMSI
ISO/CEI 27003 : Guide d'implémentation d'un SMSI
ISO/CEI 27004 : Standard de mesures de management de la sécurité de l'information
ISO/CEI 27005 : Standard de gestion de risques liés à la sécurité de l'information
ISO/CEI 27006 : Guide de processus de certification et d'enregistrement
ISO/CEI 27007 : Guide directeur pour l'audit des SMSI
G. Orhanou Master IAO
Mécanismes de Protection
Il existe un ensemble de mécanismes de défense ou de protection. Les principaux sont les suivants:
Cryptographie
Coupe-feu (Firewall)
Système de Détection/Prévention d’Intrusion (IDS/IPS)
Solutions antivirales
Journalisation (logs)
Analyse de vulnérabilité (Audit de sécurité)
Mécanismes de protection de la mémoire
Etc.
Master IAO G. Orhanou 74
Différents Niveaux de sécurisation
Sensibilisation des utilisateurs aux problèmes de sécurité.
Sécurisation des données, des applications, des systèmes d'exploitation.
Sécurisation des infrastructures de télécommunication.
Sécurisation physique du matériel et des accès.
Master IAO G. Orhanou 75
Références
Hervé Schauer, “La gestion de risque pour la série de normes iSO 2700x”, La lettre Techniques de l’Ingénieur, n°7 – Juillet-Août 2007
“Gestion des incidents liés à la sécurité de l'information liés à la sécurité de l'information”, Conférence Internationale Management de la Sécurité de l'Information selon la norme ISO/IEC 27001, Paris, 25 avril 2012.
Julien Levrard , Présentation « Les processus d’un SMSI - Modèle de SMSI et retours d'expérience », Hervé Schauer Consultants (HSC) 2002-2012
« Gestion des incidents de sécurité », Document adopté par le Comité national sur la protection des renseignements personnels et la sécurité (CNPRPS), Québec, canada, 2003
Site de ITIL France: http://www.itilfrance.com
Hervé Schauer Consultants (HSC) 2002-2012: http://www.hsc.fr
76
Master IAO G. Orhanou
Références
Gestion des incidents de sécurité du système d'information, Clusif, 2011
http://www.clusif.fr/fr/production/ouvrages/pdf/CLUSIF 2011 Gestion des Incidents.pdf
NIST SP800-61-rev1, Computer Security Incident Handling Guide, NIST, mars 2008
http://csrc.nist.gov/publications/nistpubs/800 61 rev1/SP800 61rev1.pdf
Christopher L. Jackson, « Network Security Auditing (Networking Technology: Security) », Cisco Press, 2010;
Peter G. Smith, «Linux Network Security », Charles River Media, 2005.
Richard Bejtlich, « The Tao of Network Security Monitoring: Beyond Intrusion Detection », Addison-Wesley Professional 2004;
« Ethical Hacking Student Guide », 2008.
Les numéros Hors-série du magazine MISC.
http://www.securite-informatique.gouv.fr/
http://www.securiteinfo.com
77
Master IAO G. Orhanou