Chapitre 8 : La sécurité dans les SI. 2 Objectifs du chapitre Comprendre laspect global de la sécurité des SI Comprendre laspect global de la sécurité

Chapitre 8 :Chapitre 8 :La sécurité dans les SILa sécurité dans les SI

22

Objectifs du chapitreObjectifs du chapitre Comprendre l’aspect global de la Comprendre l’aspect global de la

sécurité des SIsécurité des SI Savoir ce qu’est un plan de secoursSavoir ce qu’est un plan de secours Connaître les bases de la sécurité Connaître les bases de la sécurité

physique et logiquephysique et logique Connaître quelques mesures de Connaître quelques mesures de

sécuritésécurité

33

Plan du chapitre Plan du chapitre 1.1. Les enjeu de la sécurité Les enjeu de la sécurité

• 1.11.1 Notion de sinistreNotion de sinistre• 1.2 1.2 Notion de risquesNotion de risques

2.2. Concept de sécurité des SIConcept de sécurité des SI 3. 3. Assurer la continuité d’exploitation Assurer la continuité d’exploitation

: le plan de secours: le plan de secours 4. La démarche sécurité4. La démarche sécurité 5. Les mesures de sécurité5. Les mesures de sécurité

• 5.15.1 En interneEn interne• 5.2 5.2 Dans les communications externesDans les communications externes

44

Plan du chapitre Plan du chapitre 1.1. Les enjeu de la sécurité Les enjeu de la sécurité





55

IntroductionIntroduction L'objectif de la L'objectif de la sécurité des systèmes sécurité des systèmes

d'informationd'information est de garantir qu'aucun préjudice est de garantir qu'aucun préjudice ne puisse mettre en péril la ne puisse mettre en péril la pérennité pérennité de de l'entreprise. Cela consiste à diminuer la l'entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en normal à des coûts et des délais acceptables en cas de sinistrecas de sinistre

La sécurité ne permet pas directement de gagner La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre. Ce n'est rien de l'argent mais évite d'en perdre. Ce n'est rien d'autre qu'une d'autre qu'une stratégie préventivestratégie préventive..

La gestion de la sécurité est spécifique à la La gestion de la sécurité est spécifique à la structure organisationnelle de l'entreprise et structure organisationnelle de l'entreprise et dépend de sa stratégie. Il existe donc autant de dépend de sa stratégie. Il existe donc autant de politiques, de procédures, d'outils de sécurité que politiques, de procédures, d'outils de sécurité que d'entreprises et de besoins sécuritaires. d'entreprises et de besoins sécuritaires.

66

Plan du chapitre Plan du chapitre 1.1. Les enjeu de la sécuritéLes enjeu de la sécurité





77

Notion de sinistreNotion de sinistre

Un sinistre est :Un sinistre est :

« la détérioration notable des « la détérioration notable des fonctionnalités d’un SI »fonctionnalités d’un SI »

Un sinistre est possible car un SI est Un sinistre est possible car un SI est vulnérablevulnérable

Le préalable au sinistre est Le préalable au sinistre est «l’agression »«l’agression »

88






99

4 classes de risques4 classes de risques

Classe 1 : les accidentsClasse 1 : les accidents• Incendie, inondation, pannes techniquesIncendie, inondation, pannes techniques

Classe 2 : les erreursClasse 2 : les erreurs• Erreur de saisie manuelle de Erreur de saisie manuelle de

l’informationl’information• Erreur de conception et de réalisation Erreur de conception et de réalisation

des logiciels (bugs)des logiciels (bugs)

1010

4 classes de risques4 classes de risques

Classe 3 : les malveillancesClasse 3 : les malveillances• Vol, fraudes, sabotage, piratageVol, fraudes, sabotage, piratage• IndiscrétionsIndiscrétions• Attaques virales Attaques virales • Détournement de biensDétournement de biens

Classe 4 : les risques diversClasse 4 : les risques divers• Grève, départ du personnel spécialiséGrève, départ du personnel spécialisé

1111

Les risques encourus proviennent Les risques encourus proviennent donc de 2 sources :donc de 2 sources :• Risques externesRisques externes• Risques internes Risques internes

1212






1313

La sécurité des SI est un concept à La sécurité des SI est un concept à deux dimensionsdeux dimensions• Dimension technique (informatique)Dimension technique (informatique)• Dimension organisationnelle, Dimension organisationnelle,

managériale et humainemanagériale et humaine

1414

La politique de sécurité correspond à La politique de sécurité correspond à ce que l’entreprise met en œuvre ce que l’entreprise met en œuvre pour assurer la sécurité du SI.pour assurer la sécurité du SI.

L’important est d’assurer la L’important est d’assurer la continuité de l’exploitation c’est-à-continuité de l’exploitation c’est-à-dire du fonctionnement de dire du fonctionnement de l’entreprise.l’entreprise.

1515

2 aspects dans la sécurité :2 aspects dans la sécurité :• Préventif : réduire le degré de Préventif : réduire le degré de

vulnérabilitévulnérabilité• Curatif : mesures de récupération, Curatif : mesures de récupération,

mesures palliativesmesures palliatives

1616

Concrètement il s’agit de :Concrètement il s’agit de :• Mettre en place tous les moyens de Mettre en place tous les moyens de

prévention, de détection des agressions prévention, de détection des agressions afin d’éviter les sinistresafin d’éviter les sinistres

• Mettre en place tous les moyens pour Mettre en place tous les moyens pour limiter l’impact d’un sinistre si celui-ci limiter l’impact d’un sinistre si celui-ci doit avoir lieudoit avoir lieu

1717

La gestion de la sécurité se fait dans La gestion de la sécurité se fait dans un univers incertainun univers incertain• Les sinistres résultent de causes Les sinistres résultent de causes

diverses et parfois de combinaisons de diverses et parfois de combinaisons de causes difficilement prévisiblescauses difficilement prévisibles

1818

Cela signifie que la sécurité doit être Cela signifie que la sécurité doit être abordée dans un contexte global :abordée dans un contexte global :• La sensibilisation des utilisateurs La sensibilisation des utilisateurs

aux problèmes de sécuritéaux problèmes de sécurité • La sécurité des télécommunications La sécurité des télécommunications • La sécurité logique : données et La sécurité logique : données et

programmesprogrammes • La sécurité physique : locaux, La sécurité physique : locaux,

infrastructures, matériels infrastructures, matériels

1919






2020

Assurer la continuité d’exploitationAssurer la continuité d’exploitation

La sécurité absolue ne peut pas être La sécurité absolue ne peut pas être garantie. Il faut donc anticiper garantie. Il faut donc anticiper l'arrivée de tels sinistres en ayant l'arrivée de tels sinistres en ayant prévu un prévu un plan de continuité plan de continuité d'entreprised'entreprise. Lors de la survenance . Lors de la survenance de tel sinistre et dans la panique et de tel sinistre et dans la panique et le stress, il est évidemment trop tard le stress, il est évidemment trop tard pour se demander qui fait quoi, où et pour se demander qui fait quoi, où et comment ? comment ?

2121

Assurer la continuité d’exploitationAssurer la continuité d’exploitation Pour ce faire, le plan de Pour ce faire, le plan de

continuité d'entreprise est continuité d'entreprise est composé :composé :

de mesures de prévention, pour de mesures de prévention, pour diminuer la probabilité d'occurrence diminuer la probabilité d'occurrence d'une défaillance, d'une défaillance,

de mesures de détection et de de mesures de détection et de réaction, en ayant de bon réflexe, réaction, en ayant de bon réflexe,

de de plans de secoursplans de secours, pour diminuer , pour diminuer les conséquences du sinistre. les conséquences du sinistre.

2222

Il n'est pas seulement composé des Il n'est pas seulement composé des moyens de secoursmoyens de secours. .

Il doit comprendre une Il doit comprendre une structure de structure de gestion de crisegestion de crise, la , la planification des planification des différentes actionsdifférentes actions prêtes à être prêtes à être exécutées et des exécutées et des procédures procédures formalisées. formalisées.

Les plans de secoursLes plans de secours

2323

Un plan de secours se décompose Un plan de secours se décompose en différents plans :en différents plans :

1. un plan de gestion et de 1. un plan de gestion et de communication de crise, communication de crise,

Composition des plans de secoursComposition des plans de secours

2424

2. un 2. un PCAPCA (plan de continuité d'activité) (plan de continuité d'activité) par métiers de l'entreprise, pouvant par métiers de l'entreprise, pouvant nécessiter un site de repli hébergeant nécessiter un site de repli hébergeant les activités prioritaires. les activités prioritaires. Le plan de continuité se constitue en Le plan de continuité se constitue en quatre volets :quatre volets :

l’établissement d’une liste de scénarios l’établissement d’une liste de scénarios d’incidents envisageables (de la panne d’incidents envisageables (de la panne disque au tremblement de terre), disque au tremblement de terre),

la rédaction des procédures de secours, la rédaction des procédures de secours, la mise en place des moyens et dispositions la mise en place des moyens et dispositions

définis, définis, le contrôle permanent de la pertinence et de le contrôle permanent de la pertinence et de

l’efficacité des scénarios. l’efficacité des scénarios.


2525

3. un plan de retour à une situation 3. un plan de retour à une situation normale. normale.


2626

Ces plans doivent être Ces plans doivent être déclinésdéclinés en en fonction des sinistresfonction des sinistres qu'ils doivent qu'ils doivent pallier. pallier.

Un plan de secours " viral " n'aura pas les Un plan de secours " viral " n'aura pas les mêmes caractéristiques qu'un plan de mêmes caractéristiques qu'un plan de secours " inondation ".secours " inondation ".


2727






2828

Démarche sécuritéDémarche sécurité Utilisation d’une méthode Utilisation d’une méthode En France : Méthode M.A.R.I.O.NEn France : Méthode M.A.R.I.O.NMARION =MARION =Méthode Méthode d’Analyse des d’Analyse des Risques Risques Informatiques et d’Informatiques et d’Optimisation par Optimisation par NiveauxNiveaux

2929

Démarche sécurité : MARIONDémarche sécurité : MARION1. Analyse des

risques

2. Expression du risque maximum

admissible3. Analyse des

moyens de la sécurité

4. Evaluation des contraintes

5. Choix des moyens

Protection, prévention

6. Plan d’orientation

3030

1. Quels risques encourt-on ? (par 1. Quels risques encourt-on ? (par types, par fonction…)types, par fonction…)

2. Peut on supporter ce risque ? 2. Peut on supporter ce risque ? Quelle perte peut supporter Quelle perte peut supporter l’entreprise sans remettre en cause l’entreprise sans remettre en cause sa pérennité ?sa pérennité ?

3. Quelle est actuellement la qualité 3. Quelle est actuellement la qualité de notre sécurité ? (questionnaire de notre sécurité ? (questionnaire d’audit)d’audit)

3131

4. Quelles sont les contraintes 4. Quelles sont les contraintes majeures à respecter ? techniques majeures à respecter ? techniques (liées aux bâtiments par ex) (liées aux bâtiments par ex) humaines (motivation, formation par humaines (motivation, formation par ex) financières (coût)ex) financières (coût)

3232

5. Comment améliorer la sécurité en 5. Comment améliorer la sécurité en fonction des contraintes ? But : fonction des contraintes ? But : trouver la solution optimale trouver la solution optimale (prévention/protection) en efficacité (prévention/protection) en efficacité et en coût. et en coût.

6. Quel schéma d’action mettre en 6. Quel schéma d’action mettre en œuvre ? A partir des résultats de œuvre ? A partir des résultats de l’étape 5 les orientations retenues l’étape 5 les orientations retenues sont mises en forme en termes de sont mises en forme en termes de budgets, de planning, de solution budgets, de planning, de solution technique technique Ce document : Ce document : expression de la politique de sécurité expression de la politique de sécurité de l’entreprise.de l’entreprise.

3333






3434

Mesures de sécuritéMesures de sécurité

Il est très difficile de lister l’ensemble Il est très difficile de lister l’ensemble des mesures possibles.des mesures possibles.

On peut se donner quelques pistes de On peut se donner quelques pistes de réflexion grâce à une analyse par réflexion grâce à une analyse par décomposition successive décomposition successive

3535

Analyse par décomposition Analyse par décomposition (exemple)(exemple)

Vulnérabilité (voie d’accès à une ressource du système)

Voie d’accès physiqueVoie d’accès logique

(données, programmes)

Aux

locaux

Aux ressources

dans les locaux

Aux ressources hors des locaux

Violation des droits d’accès

Usurpation des droits d’accès

3636

Analyse par décomposition Analyse par décomposition (exemple)(exemple)

Auteur de l’agression

Nature Individu

Incendie Eaux AutresMalveillance Erreurs

Jeux Vengeance Gain

3737






3838


A l’intérieur de l’entreprise :A l’intérieur de l’entreprise :

Dans ses locauxDans ses locaux

Dans ses processus Dans ses processus

Dans son organisation Dans son organisation

3939


Sécurité physique des ressourcesSécurité physique des ressources• Locaux adaptésLocaux adaptés• Protection incendie et eaux rigoureuseProtection incendie et eaux rigoureuse• Sécurisation des accès aux locaux : Sécurisation des accès aux locaux :

badge, serrure, Biométriebadge, serrure, Biométrie• Détecteurs d’intrusion, radars, alarmesDétecteurs d’intrusion, radars, alarmes• Back-up : sauvegarde de données Back-up : sauvegarde de données

permettant une récupération (à faire permettant une récupération (à faire régulièrement !!!)régulièrement !!!)

• Utilisation d’un onduleur Utilisation d’un onduleur

4040


Sécurité logique (données et Sécurité logique (données et programmes)programmes)• Firewall (pare feu)Firewall (pare feu)• AppliancesAppliances• Identification des utilisateurs par mots Identification des utilisateurs par mots

de passe (changés périodiquement)de passe (changés périodiquement)• Gestion des accès réseaux Gestion des accès réseaux

4141


Sécurité logique (données et Sécurité logique (données et programmes)programmes)• Confidentialité par chiffrement Confidentialité par chiffrement • Contrôle des erreurs de saisie Contrôle des erreurs de saisie

(procédures de vérification dans le (procédures de vérification dans le logiciel)logiciel)

• Antivirus, anti-spam, anti-spyware, Antivirus, anti-spam, anti-spyware,

4242


Sécurité généraleSécurité générale• Séparation des fonctions (principe Séparation des fonctions (principe

FONDAMENTAL du contrôle interne)FONDAMENTAL du contrôle interne)• Garantie sur la compétence et la Garantie sur la compétence et la

moralité des individus recrutés moralité des individus recrutés • Opérer la rotation des individus sur les Opérer la rotation des individus sur les

postespostes• Action de formation sur la sécuritéAction de formation sur la sécurité

4343


AssuranceAssurance• Couverture des risques classiques Couverture des risques classiques

(incendie, dégâts des eaux…)(incendie, dégâts des eaux…)• Couvertures des pertes d’exploitation, Couvertures des pertes d’exploitation,

des frais de reconstitution d’informationdes frais de reconstitution d’information Infogérance de la sécuritéInfogérance de la sécurité

• Transfert du risque à une société Transfert du risque à une société spécialisée spécialisée

4444


Et à dans les relations-échanges avec Et à dans les relations-échanges avec l’extérieur (clients, administrations, l’extérieur (clients, administrations, fournisseurs, banques…) ? fournisseurs, banques…) ?

4545






4646


VPNVPN PKI (public key infrastructure) : PKI (public key infrastructure) :

Structure (matériel + logiciel + Structure (matériel + logiciel + homme et/ou prestataire extérieur) homme et/ou prestataire extérieur) qui gère le cryptage, le décryptage qui gère le cryptage, le décryptage et la signature électronique des et la signature électronique des informations échangés via un réseau informations échangés via un réseau de communication de communication

4747

Dans les échanges il y a un double Dans les échanges il y a un double besoin :besoin :• Besoin de confidentialité sur le réseau Besoin de confidentialité sur le réseau • Besoin d’intégrité du message (le Besoin d’intégrité du message (le

message est bien celui d’origine) et de message est bien celui d’origine) et de garantie de l’émetteur garantie de l’émetteur

4848

Le chiffrement par clé publique et Le chiffrement par clé publique et privéeprivée

Pour une entreprise, un logiciel de Pour une entreprise, un logiciel de chiffrement génère 2 clés (2 algorithmes chiffrement génère 2 clés (2 algorithmes mathématiques) qui sont liées l’une à mathématiques) qui sont liées l’une à l’autre : l’une est publique (diffusée à tout l’autre : l’une est publique (diffusée à tout le monde) et l’autre est privée le monde) et l’autre est privée (confidentielle et conservée par (confidentielle et conservée par l’entreprise) ; l’entreprise) ;

L’émetteur du message dispose de la clé L’émetteur du message dispose de la clé publique ; le message est ensuite codée publique ; le message est ensuite codée grâce à la clé publique qui présente la grâce à la clé publique qui présente la particularité de ne pouvoir être décodée particularité de ne pouvoir être décodée seulement par la clé privéeseulement par la clé privée

4949

Le certificat de sécuritéLe certificat de sécurité

Certificat de sécurité : Document qui sert à Certificat de sécurité : Document qui sert à faire transiter la clé publique d’une faire transiter la clé publique d’une organisation vers un utilisateur. organisation vers un utilisateur.

A quoi il sert ? : Il permet d’assurer que la A quoi il sert ? : Il permet d’assurer que la clé publique que l’on se procure est bien clé publique que l’on se procure est bien celle du destinataire à qui on veut celle du destinataire à qui on veut envoyer un message.envoyer un message.

Le certificat de toute organisation est Le certificat de toute organisation est délivré par une autorité de certificationdélivré par une autorité de certification

5050

La signature électroniqueLa signature électronique

Empreinte (haché ou condensé) : Résultat Empreinte (haché ou condensé) : Résultat de l’application d’une fonction de l’application d’une fonction mathématique sur le message (comme la mathématique sur le message (comme la clé RIB mais en plus perfectionné). Ce clé RIB mais en plus perfectionné). Ce résultat représente la résultat représente la signature numériquesignature numérique du documentdu document

Ce résultat est transmis par chiffrement au Ce résultat est transmis par chiffrement au destinataire qui n’a plus qu’à comparer destinataire qui n’a plus qu’à comparer l’empreinte transmise et l’empreinte réelle l’empreinte transmise et l’empreinte réelle qu’il calcule lui mêmequ’il calcule lui même

5151

La confidentialité du message est La confidentialité du message est préservée par le chiffrementpréservée par le chiffrement

l’intégrité et l’émetteur du message l’intégrité et l’émetteur du message sont validés par la signature sont validés par la signature électroniqueélectronique

5252

Les objectifs du chapitre sont ils Les objectifs du chapitre sont ils atteints ?atteints ?

Comprendre l’aspect global de la Comprendre l’aspect global de la sécurité des SIsécurité des SI

Savoir ce qu’est un plan de secoursSavoir ce qu’est un plan de secours Connaître les bases de la sécurité Connaître les bases de la sécurité

physique et logiquephysique et logique Connaître quelques mesures de Connaître quelques mesures de

sécuritésécurité

Documents

Chapitre 8 : La sécurité dans les SI. 2 Objectifs du chapitre Comprendre laspect global de la sécurité des SI Comprendre laspect global de la sécurité