Mise en place d’une politique Mise en place d’une politique
de sécurité de sécurité
Katell
Katell CornecCornec Gérald
Gérald PetitgandPetitgand
JeanJean--Christophe Christophe JaffryJaffry
CNAM Versailles
CNAM Versailles 22
Situation Situation
• •
Sujet du projetSujet du projet–– Politique de sécuritéPolitique de sécurité
• •
Les Intervenants et leurs rôlesLes Intervenants et leurs rôles–– ::
••K. K. CornecCornec Responsable informatiqueResponsable informatique
–– ::
••G. G. PetitgandPetitgand Chef de projetChef de projet
••JC JaffryJC Jaffry Expert sécuritéExpert sécurité
Mise en place d’une politique Mise en place d’une politique
de sécurité de sécurité
Cahier des charges Cahier des charges
Katell
Katell CornecCornec
CNAM Versailles
CNAM Versailles 44
Objectifs de l’entreprise Objectifs de l’entreprise
• •
Moderniser son système dModerniser son système d ’information ’information pour améliorer ses méthodes de travail pour améliorer ses méthodes de travail• •
Utilisation renforcée d’InternetUtilisation renforcée d’Internet• •
Nécessité de revoir la politique de sécurité Nécessité de revoir la politique de sécurité en coursen cours
Architecture existante
Architecture existante
CNAM Versailles
CNAM Versailles 66
Démarche de l’élaboration du Démarche de l’élaboration du
cahier des charges cahier des charges
• •
ContexteContexte• •
Etude des risquesEtude des risques• •
Définition du cahier des chargesDéfinition du cahier des charges• •
Définition des prioritésDéfinition des prioritésAttaques possibles Attaques possibles
• •
VirusVirus• •
Déni de serviceDéni de service• •
L’utilisation illicite de ressourcesL’utilisation illicite de ressources• •
La compromission du système La compromission du système d’informationd’information
CNAM Versailles
CNAM Versailles 88
Compromission du système
Compromission du système
d d ’information ’information
Impacts en cas d’incident Impacts en cas d’incident
• •
Corruption : Corruption : Cet impact concerne l’intégrité des Cet impact concerne l’intégrité des informationsinformations
• •
Vol : Vol : Le vol de service peut être une atteinte à la Le vol de service peut être une atteinte à laconfidentialité, comme dans le cas de lecture d’un fichier confidentialité, comme dans le cas de lecture d’un fichier confidentiel. Mais il peut également être un vol de
confidentiel. Mais il peut également être un vol de traitement ou de ressource
traitement ou de ressource
• •
Interruption : Interruption : L’interruption de service touche à la L’interruption de service touche à la disponibilitédisponibilité
• •
Duperie : Duperie : Consiste à tromper un service par une Consiste à tromper un service par une attaqueattaque
CNAM Versailles
CNAM Versailles 1010
Statistiques des attaques
Statistiques des attaques
Cahier des charges (1/2) Cahier des charges (1/2)
• •
AuthentificationAuthentification• •
AntivirusAntivirus• •
Sauvegarde des donnéesSauvegarde des données• •
Filtrage réseauFiltrage réseau• •
Surveillance du réseau et enregistrement Surveillance du réseau et enregistrement des incidentsdes incidents
CNAM Versailles
CNAM Versailles 1212
Cahier des charges (2/2) Cahier des charges (2/2)
• •
Cryptage des donnéesCryptage des données• •
Gestion des droitsGestion des droits• •
Filtrage des sites consultésFiltrage des sites consultés• •
Connexions distantesConnexions distantesMise en place d’une politique Mise en place d’une politique
de sécurité de sécurité
Proposition commerciale Proposition commerciale
Gérald
Gérald PetitgandPetitgand
CNAM Versailles
CNAM Versailles 1414
Proposition commerciale Proposition commerciale
• •
Présentation de l’entreprise «Présentation de l’entreprise « AtoutsoftAtoutsoft »»• •
Analyse des besoinsAnalyse des besoins• •
Satisfaction de la demandeSatisfaction de la demande• •
Déroulement du projetDéroulement du projet• •
La solution préconiséeLa solution préconiséePrésentation de l’entreprise «
Présentation de l’entreprise « Atoutsoft Atoutsoft » »
• •
« « AtoutsoftAtoutsoft » a » a quinze ans d’expériencequinze ans d’expérience• •
Ses spécialités sont les sécurisations des Ses spécialités sont les sécurisations desarchitectures réseaux et des systèmes d’information architectures réseaux et des systèmes d’information
• •
Un pôle «Un pôle « veille technologiqueveille technologique » pour être à la pointe » pour être à la pointe des nouvelles technologiesdes nouvelles technologies
• •
Une recherche perpétuelle pour avoir un temps Une recherche perpétuelle pour avoir un temps d’avance sur les piratesd’avance sur les pirates
• •
Des consultants seniors de terrainDes consultants seniors de terrainCNAM Versailles
CNAM Versailles 1616
Objectifs Objectifs
• •
Augmentation du niveau de sécuritéAugmentation du niveau de sécurité• •
Modification du réseau interneModification du réseau interne• •
Connexion à distance pour les commerciauxConnexion à distance pour les commerciaux• •
Accès Internet pour l’ensemble du personnelAccès Internet pour l’ensemble du personnel• •
Connexion sécurisée avec les clients et les Connexion sécurisée avec les clients et les fournisseurs (fournisseurs (ExtranetExtranet))
Besoins du client (1/3) Besoins du client (1/3)
• •
Séparation des différentes donnéesSéparation des différentes données• •
Installation de serveurs d’applications Installation de serveurs d’applicationspour faciliter les mises à jour de versions pour faciliter les mises à jour de versions
• •
Amélioration des authentificationsAmélioration des authentifications• •
Sauvegardes journalièresSauvegardes journalièresCNAM Versailles
CNAM Versailles 1818
Besoins du client (2/3) Besoins du client (2/3)
• •
Sécurisation des transactions effectuées Sécurisation des transactions effectuées par les commerciauxpar les commerciaux
• •
Surveillance du réseauSurveillance du réseau• •
Mise à jour quotidienne de l’antivirusMise à jour quotidienne de l’antivirus• •
Protection du systèmeProtection du systèmeBesoins du client (3/3) Besoins du client (3/3)
2 types de protection : 2 types de protection :
• • Protection physique Protection physique
• • Protection matériel et logiciel Protection matériel et logiciel
–– Matériel :Matériel :
• •
Réseau d’entrepriseRéseau d’entreprise–– Logiciel :Logiciel :
• •
AntivirusAntivirus• •
Continuité de serviceContinuité de serviceCNAM Versailles
CNAM Versailles 2020
Satisfaction de la demande Satisfaction de la demande
• •
Migration et récupération de l’architectureMigration et récupération de l’architecture• •
Un pareUn pare--feu installé sur une platefeu installé sur une plate--forme dédiéeforme dédiée• •
Pour les clients :Pour les clients :–– Norton Norton AntiVirusAntiVirus CorporateCorporate de de SymantecSymantec
–– Authentification commune, Single Authentification commune, Single SignSign On (SSO)On (SSO)
• •
Pour les serveurs :Pour les serveurs :–– Un module d'application SymantecUn module d'application Symantec EnterpriseEnterprise Security
Security Manager (ESM) pour serveurs WebManager (ESM) pour serveurs Web
Déroulement du projet Déroulement du projet
• •
Cette démarche s’articule en 4 phases :Cette démarche s’articule en 4 phases :–– DéfinirDéfinir
–– ConcevoirConcevoir –– RéaliserRéaliser
–– AccompagnerAccompagner
• •
Les interlocuteurs :Les interlocuteurs :–– Un chef de projet (M. PetitgandUn chef de projet (M. Petitgand)) –– Un expert sécurité (M. JaffryUn expert sécurité (M. Jaffry))
CNAM Versailles
CNAM Versailles 2222
Principaux avantages Principaux avantages
• •
Récupération de l’existantRécupération de l’existant• •
FirewallFirewall--1 NG1 NG édité par édité par CheckpointCheckpoint• •
Réduction des coûtsRéduction des coûts• •
Externalisation des réseaux d’accès à distanceExternalisation des réseaux d’accès à distance• •
Sécurité avancéeSécurité avancée• •
Administration centralisée Administration centraliséeÉtapes suivantes Étapes suivantes
• •
Après la présentation de nos solutions Après la présentation de nos solutions dans les grandes lignesdans les grandes lignes
• •
M. M. JaffryJaffry va vous présenter la partie va vous présenter la partie sécurité des paresécurité des pare--feuxfeux
CNAM Versailles
CNAM Versailles 2424
Mise en place d’une politique Mise en place d’une politique
de sécurité de sécurité
Pare Pare - - feu & VPN feu & VPN
JeanJean--Christophe Christophe JaffryJaffry
Mise en place d’une politique Mise en place d’une politique
de sécurité de sécurité
JeanJean--Christophe Christophe JaffryJaffry
CNAM Versailles
CNAM Versailles 2626
Pare Pare - - feu & Réseau privé virtuel feu & Réseau privé virtuel
• •
Introduction sur la sécuritéIntroduction sur la sécurité• •
Les pareLes pare--feuxfeux• •
Les réseaux privés virtuelsLes réseaux privés virtuels• •
Une protection optimaleUne protection optimaleIntroduction sur la sécurité Introduction sur la sécurité
• •
Les 7 piliers de la sécurité :Les 7 piliers de la sécurité :–– Contrôle d’accès systèmeContrôle d’accès système –– AuthentificationAuthentification
–– HabilitationsHabilitations –– Single Single SignSign OnOn –– IntégritéIntégrité
–– ConfidentialitéConfidentialité –– NonNon--répudiationrépudiation
CNAM Versailles
CNAM Versailles 2828
Qu’est ce qu’un pare
Qu’est ce qu’un pare - - feu ? feu ?
• •
«« C’est un système matériel ou logiciel qui C’est un système matériel ou logiciel qui permet aux entreprises de protéger le permet aux entreprises de protéger leréseau interne d’éventuelles intrusions en réseau interne d’éventuelles intrusions en
provenance des réseaux externes provenance des réseaux externes
(souvent Internet).
(souvent Internet). »»
Pourquoi utiliser un pare
Pourquoi utiliser un pare - - feu ? feu ?
• •
Quatre buts principaux :Quatre buts principaux :–– Maintenir des personnes dehorsMaintenir des personnes dehors
–– Maintenir des personnes à l’intérieurMaintenir des personnes à l’intérieur –– Contrôler les fluxContrôler les flux
–– Faciliter l’administration du réseauFaciliter l’administration du réseau
CNAM Versailles
CNAM Versailles 3030
Le fonctionnement d’un pare
Le fonctionnement d’un pare - - feu feu
• •
Un pareUn pare--feu contient un ensemble de feu contient un ensemble de règles prérègles pré--définies permettantdéfinies permettant ::
–– soit d’autoriser les communications ayant été soit d’autoriser les communications ayant été explicitement autorisées,
explicitement autorisées,
–– soit d’empêcher les échanges qui ont été soit d’empêcher les échanges qui ont été explicitement interdits.
explicitement interdits.
Les différents types de filtrages Les différents types de filtrages
• •
Le filtrage par adressesLe filtrage par adresses• •
Le filtrage par applicationsLe filtrage par applications• •
Le filtrage par paquetsLe filtrage par paquetsCNAM Versailles
CNAM Versailles 3232
Le pare
Le pare - - feu choisi : feu choisi :
CheckPoint
CheckPoint FW FW - - 1 NG 1 NG
• •
Ces principales fonctionnalités :Ces principales fonctionnalités :–– FirewallFirewall--11 –– FloodgateFloodgate--11
–– ConnectConnect ControlControl –– Console monitorConsole monitor
–– Réseau privé virtuelRéseau privé virtuel –– Translation d’adresseTranslation d’adresse –– Haute disponibilitéHaute disponibilité
–– Filtrage de contenuFiltrage de contenu
–– Bonne capacité de Bonne capacité de logginglogging……
Qu’est ce qu’un réseau privé Qu’est ce qu’un réseau privé
virtuel ? virtuel ?
• •
« Un réseau privé virtuel permet de « Un réseau privé virtuel permet de connecter de façon sécurisée un ou connecter de façon sécurisée un ouplusieurs ordinateur(s) distant(s) au plusieurs ordinateur(s) distant(s) au
travers d’une liaison non fiable (comme travers d’une liaison non fiable (comme
Internet), comme s’ils étaient sur le même Internet), comme s’ils étaient sur le même
réseau local.
réseau local. »»
CNAM Versailles
CNAM Versailles 3434
Fonctionnement d’un VPN Fonctionnement d’un VPN
• •
Un VPN repose sur un protocole appelé Un VPN repose sur un protocole appelé protocole de «protocole de « tunnelisationtunnelisation ».».
• •
Ce protocole permet aux données passantCe protocole permet aux données passant d’une extrémité du VPNd’une extrémité du VPN à l’autre d’être
à l’autre d’être
sécurisées par des sécurisées par des
algorithmes de algorithmes de
cryptographie.
cryptographie.
Les protocoles de
Les protocoles de tunnelisation tunnelisation
• •
PPTP : PPTP : PointPoint--toto--PointPoint TunnelingTunneling ProtocolProtocol• •
L2F : Layer L2F : Layer TwoTwo ForwardingForwarding• •
L2TP : Layer L2TP : Layer TwoTwo TunnelingTunneling ProtocolProtocol• •
IPSecIPSec : Internet : Internet ProtocolProtocol SecuritySecurityCNAM Versailles
CNAM Versailles 3636
Les avantages des réseaux Les avantages des réseaux
privés virtuels privés virtuels
• •
Réduction des coûtsRéduction des coûts• •
Externalisation des réseaux d’accès à Externalisation des réseaux d’accès à distancedistance
• •
Sécurité avancéeSécurité avancée• •
Prise en charge de protocole réseauPrise en charge de protocole réseau• •
Sécurité des adresses IPSécurité des adresses IPUne protection optimale Une protection optimale
• •
Beaucoup de sociétés proposent des offres Beaucoup de sociétés proposent des offres très complètes qui visent à intégrer de très complètes qui visent à intégrer deplus en plus de services de haut niveau.
plus en plus de services de haut niveau.
• •
Le rôle des pare-Le rôle des pare-feux évolue vers de feux évolue vers de l’applicatif en intégrant différentes l’applicatif en intégrant différentesfonctions (anti
fonctions (anti--virus, audit provirus, audit pro--actif, VPN, actif, VPN, contrôle des accès distants…)
contrôle des accès distants…)
CNAM Versailles
CNAM Versailles 3838