Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
1
Sécurité informatique
Dominique PRESENTI.U.T. de Marne la Vallée
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Trois principaux risques menacent la PME
• Aujourd’hui, les pannes des systèmes d’information coûtent cher aux entreprises.Exemple : panne d'une journée et demie pour une société logistique, dont les ordinateurscoordonnent notamment des expéditions de produits réfrigérés à travers le monde.
Pertes : 10 000 € de l'heure.• la panne électrique ou de réseau :
– installer un système d'alimentation sans coupure. À partir de centaines d’€uros, il fournitune réserve d'une demi-heure - tout juste le temps de sauvegarder et de copier les fichierscruciaux - à quatre heures - peut-être ce qu'il faut pour terminer la journée.
• les virus, vers, chevaux de Troie :– Installer des pare-feu (firewall) ;– Contrôler l’accès aux ressources (profils utilisateurs, serveurs de comptes, contrôleurs de
domaines,…)• les menaces de l'intérieur même des PME :
– .Selon l'Étude mondiale sur la sécurité de l'information (Ernst & Young), les risques liésaux technologies de l'information proviennent majoritairement de l'insouciance, del'ignorance ou de la malhonnêteté des employés.
– Informer les utilisateurs des risques ;– Edicter des règles et procédures claires et simples ;– Contrôler les accès interdits et faire remonter les incidents
2
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Les éléments de la sécurité informatique
• Usages desmatériels
• Usages deslogiciels etervices
• Règles decontrôle
Sécurité informatique
Règles et procédures Éléments logicielset matériels
Architectureinformatique
Architecturede sauvegarde
• antivirus• Parefeux• Routeurs
parefeux
• Segmentation desréseaux
• Regroupementdes serveurs
• Zones«démilitarisées»
• Serveur desauvegarde
• Supports desdonnées
• Protection desdonnéessauvegardées
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
r é s e a uI n t e r n e t
La sécurité informatique : gérer les utilisateurs
Profilutilisateurserveur
de comptes Hubauthentification Ouverture de session
Droits d’accès
s Droits d’accèsAux ressources
intranetmessagerie
Les questions à se poser :• Qui à le droit d’utiliser l’ordinateur ?• A quelles ressources locales l’utilisateurdoit-il avoir accès et avec quels droits ?• A quels serveurs l’utilisateur doit-il avoiraccès ?• A quelles ressources/services du serveurl’utilisateur doit-il avoir accès et avec quelsdroits ?• A quels services Internet l’utilisateur doit-ilaccéder ?
Localement :• le profil utilisateur
A distance :• le serveur de comptes (oucontrôleur de domaine)
Routeur
3
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
La sécurité informatique : protéger des intrusions
serveurde comptes Hub
s protéger desaccès illicites auxservices
intranetmessagerie
Poste client :• le parefeu personnel(personnal ifrewall)
Serveur :• le routeur parefeu(firewall)
Routeurr é s e a u
I n t e r n e t
Parefeupersonnel
RouteurParefeu
RouteurParefeu
Les questions à se poser :• Quels services peut utiliser le client sur sonposte ?• Quels clients peuvent accéder à un serveur ?• Quels services sont accessibles aux clientsinternes ?• Quels services sont accessibles à des clientsexternes ?
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
La sécurité informatique : adapter l’architecture
serveurde comptes Hub
s commentregrouper les serveurs
intranetmessagerie
r é s e a uI n t e r n e t
Parefeupersonnel
RouteurParefeu
RouteurParefeu
Les questions à se poser :• Quels serveurs doivent être protégés ?• Comment segmenter le réseau pour placer leséléments de sécurité ?• Quelles attaques sont à prendre en compte?
4
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
r é s e a uI n t e r n e t
La sécurité informatique : adapter l’infrastructure
serveurde comptes
Hub
s protéger desaccès physiquesillicites
intranetmessagerie
Parefeupersonnel
RouteurParefeu
RouteurParefeu
Les questions à se poser :• Quels locaux protégés sont à prévoir ?• Quelles attaques sont à prendre en compte?• Comment doit-on sécuriser l’accès deslocaux ?
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
la sécurité de l’information : un plan d’actionContexte• La sécurité de l'information est l'ensemble des mesures de sécurité prises par votre entreprise
pour préserver la confidentialité, l'intégrité et la disponibilité de l'information.• La sécurité de l'information englobe l'ensemble des systèmes d'exploitation, réseaux de
télécommunication, logiciels, applications, documents, de même que la sécurité physique deslieux et des équipements.
Principe• La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2005 indique
comment assurer la sécurité de l'information.• Il faut, selon ISO 17799:2005, définir ses objectifs de sécurité: identifier les menaces,
déterminer les vulnérabilités et procéder à l’analyse des risques identifiés (sensibilité desinformations de l’entreprise, impact économique des sinistres potentiels, probabilité de leursurvenance et coût des mesures proposées.
• La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir etaméliorer le système de gestion de la sécurité de l'information (SGSI). Le modèle suggéréutilise une démarche d'amélioration continue qui comprend quatre étapes récurrentes :
– Planifier : définir le périmètre du SGSI, bâtir la politique de sécurité de l'information,procéder à l'évaluation des risques, préparer le plan d'action.
– Réaliser : mettre en place le plan d'action, sensibiliser et former le personnel.– Vérifier : s’assurer que les mesures de sécurité sont efficaces, effectuer le contrôle des
procédures, évaluer la fiabilité des données, réaliser périodiquement des audits du SGSI.– Agir : mettre en place des mesures correctives et de prévention appropriées, implanter les
améliorations du SGSI qui ont été identifiées.
5
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Construire une politique de sécurité : 12 thèmes
1-Organiser lasécurité de
l’information
4-Gérer lesactifs
informationnels
3-Gérer lesrisques desécurité
1-Organiser lasécurité de
l’information
2-bâtir unepolitique de
sécurité
12-prévoir lacontinuité des
activités
Thème 1 - Organiser la sécurité de l'information : préciser lesrôles et responsabilités des gestionnaires, utilisateurs etfournisseurs de services. Détailler les mécanismes de sécuritéà mettre en place pour assurer la sécurisation de l'accès destiers aux informations et ressources de l’entreprise.
Thème 3 - Gérer les risques de sécurité : analyseret évaluer les menaces, impacts et vulnérabilitésauxquels les données sont exposées et la probabilitéde leur survenance. Déterminer les mesures desécurité pouvant être implantées pour réduire lesrisques et leur impact à un coût acceptable.
Thème 12 - Prévoir la continuité des activités : décrire les façonsde faire pour élaborer un plan de continuité et de relève desservices, de même qu'un plan de sauvegarde des données et desapplications de votre entreprise.
Thème 4 - Gérer les actifs informationnels : procéder àl'inventaire des données; leur déterminer un propriétaire; lescatégoriser; déterminer leur niveau de protection et établir lesmesures de sécurité à mettre en place.
Thème 2 - Bâtir une politique de sécurité de l’information :indiquer les éléments à considérer et le contenu de lapolitique de sécurité de l'information.
Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005,
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
La politique de sécurité : gérer les incidents
1-Organiser lasécurité de
l’information
12-prévoir lacontinuité des
activités10-Gérer
l’acquisition, ledéveloppement
et l’entretien dessystèmes
11-Gérer lesincidents de
sécurité
9-Gérer lescommunicationset les opérations
7-Assurer lasécurité physique
etenvironnemental
5-Assurer la sécuritédes ressources
humaines
8-Contrôler lesaccès
6-Vérifier laconformité
Thème 10 - Gérer l'acquisition, ledéveloppement et l'entretien des systèmes: indiquer les règles de sécurité à observerdans l'acquisition, le développement,l'implantation d'applications et de logiciels.
Thème 7 - Assurer la sécurité physique etenvironnementale : préciser les mesures àmettre en place pour sécuriser le matériel etéviter les accès non autorisés dans leslocaux.
Thème 11 - Gérer les incidents de sécurité :indiquer les comportements à adopter lorsde la détection d'un incident de sécurité;mettre en place un processus de gestion desincidents de sécurité.
Thème 5 - Assurer la sécurité des ressourceshumaines : indiquer au personnel lesbonnes pratiques à utiliser et faire un bonusage de leur équipement informatique.
Thème 6 – Vérifier la conformité : s’assurerque les règles et procédures sont bienappliquées et qu’elles sont aux normes
6
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Organiser la sécurité de l’informationRègles et pratiques• Rôles et responsabilités :
– implanter des règles de conduite et partager les responsabilités entre les différentsintervenants de votre entreprise.
– définir les rôles et les responsabilités des personnes impliquées dans la sécurité des actifsinformationnels.
– Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprisereposent sur :
• les gestionnaires qui en assurent la gestion ;• les utilisateurs des actifs informationnels;• les tiers, fournisseurs de services et contractuels.
– Le dirigeant de votre entreprise a comme responsabilités de :• désigner un responsable de la sécurité des systèmes d'information (RSSI);• valider la politique globale de sécurité, les orientations et les directives.
– Le comité de la sécurité de l'information doit :• recommander les orientations et les directives au dirigeant de l’entreprise;• approuver les standards, les pratiques et le plan d'action de la sécurité de l'entreprise;• assurer le suivi du plan d'action de sécurité.
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Organiser la sécurité de l’information– Le responsable de la sécurité coordonne la sécurité de l'information. À cet effet, il doit :
• élaborer et assurer le suivi et la mise à jour périodique du plan d'action;• communiquer au personnel, aux clients et partenaires de l'entreprise les orientations
de sécurité de l'information;• veiller au respect de la politique de sécurité de l'information ainsi qu'à la protection
des renseignements personnels et sensibles;• informer périodiquement le comité de l'état d'avancement des dossiers.
– Le propriétaire d'un actif informationnel doit :• assurer la gestion de la sécurité de son actif informationnel;• autoriser et répondre de l'utilisation, par les utilisateurs, clients et partenaires, des
données ou informations dont il est propriétaire;• veiller à ce que les mesures de sécurité appropriées soient élaborées, mises en places
et appliquées.• Gestion des accès des utilisateurs externes
– Le responsable de la sécurité doit contrôler les accès par des tiers aux infrastructures detraitement de l'information de l’entreprise, évaluer les risques, valider les mesures àappliquer et les définir sous forme de contrat avec le tiers en question.
– Dans le cas de sous-traitance le contrat établit les clauses sur les mesures et procédures desécurité pour les systèmes d'information, réseaux, infrastructures technologiques,informations ou données sensibles. Il inclut également les règles d’habilitation pour lepersonnel devant avoit accès à de l'information sensible ou confidentielle.
7
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Bâtir une politique de sécurité implique l’entreprise
Thème 2ContexteUne politique de sécurité de l'information est un ensemble de documents émanant de la direction
de votre entreprise et indiquant les directives, procédures, lignes de conduite et règlesorganisationnelles et techniques à suivre relativement à la sécurité de l'information et à sagestion. Une telle politique constitue un engagement et une prise de position claire et fermede la direction de protéger ses actifs informationnels.
PrincipePour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut
vous servir de guide et de référence.• Règles et politiques
– identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les actifsinformationnels de votre entreprise selon leur degré de sensibilité.
– protéger les informations et ressources considérées comme vitales ou importantes pourvotre entreprise, soit des :
– systèmes d'information (application, logiciel, etc.);• éléments de l'infrastructure technologique (serveur, réseau de télécommunications,
réseau téléphonique, etc.);• types de documents (contrat, procédure, plan, procédé de fabrication, etc.);• installations (immeuble, local, etc.).
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Une politique de sécurité conduit à des procédures
– La politique de sécurité de l'information devra contenir les éléments suivants :• confirmer l'engagement de la direction;• désigner une personne responsable de la sécurité de l'information;• identifier ce qui doit être protégé;• identifier contre qui et quoi vous devez être protégé;• inclure des considérations de protection de l'information;• encadrer l'utilisation des actifs informationnels;• tenir compte de la conservation, de l'archivage et de la destruction de l'information;• tenir compte de la propriété intellectuelle;• prévoir la réponse aux incidents et préparer une enquête, s'il y a lieu;• informer vos utilisateurs que les actes illégaux sur les informations et ressources de
l'entreprise sont interdits.– La pratique recommandée pour l'élaboration d'une politique de sécurité repose sur les
éléments suivants :– une politique globale;– des directives;– des procédures, standards et bonnes pratiques.
8
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
De la politique d’entreprise aux procédures
Politique globale
directives
procédures Standards pratiques
Niveau 1
Niveau 2
Niveau 3
Niveau 1 : Politique globaleengagement et prise de positionferme et claire de la direction del'entreprise quant à la protection àaccorder aux actifsinformationnels.Niveau 2 : Directivesmesures concrètes déterminant, lafaçon de procéder en vue d'assurerla sécurité des actifsinformationnels.Elles peuvent porter,par exemple, surl'utilisation d'Internet, ducourrier électronique oudes écrans de veille.
Niveau 3 : Procédures, standards et bonnes pratiquesProcédures : décrivent en détail toutes les étapes d'un processus humain ou technologiqued'implantation ou d'opération d'une mesure de sécurité.Standards : définissent les règles et mesures à respecter en attendant une normalisation par unorganisme officiel de normalisation.Pratiques : assurent que les contrôles de sécurité ainsi que les processus de soutien nécessaires sontimplantés de façon constante et adéquate à travers l'entreprise.
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Protéger les actifs informationnels : les 3 étapes
• Étape 1 : Déterminer les actifs informationnels à catégoriser– Faire un inventaire des actifs informationnels regroupés par :
• système d’information;• élément de l'infrastructure technologique (serveur, réseau de télécommunication,
réseau téléphonique, etc.);• type de document (contrat, procédure, plan, etc.) ;• environnement physique (immeuble, local…).
– Attribuer un propriétaire, une catégorie et une valeur à chaque actif informationnel (lesactifs informationnels à catégoriser sont ceux pour lesquels une atteinte à la sécurité peutavoir des conséquences négatives pour votre entreprise).
• Étape 2 : Catégoriser les actifs informationnels– Donner des valeurs (élevée, moyenne ou basse) aux attributs disponibilité (D), intégrité (I)
et confidentialité (C) selon le contexte d'utilisation des actifs informationnels del'entreprise. Les contextes d'utilisation retenus sont : les postes autonomes ou mobiles, leréseau fermé et le réseau ouvert.
– Il est recommandé d'effectuer après cette étape une évaluation et une analyse des risques.• Étape 3 : Déterminer les mesures de sécurité à appliquer pour protéger les actifs
informationnels– Indiquer les mesures de sécurité qui à appliquer, à partir du contexte d’utilisation de
chaque actif. Cette étape est répétée autant de fois qu’i l y a d'actifs à catégoriser.
9
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Le VPN : un réseau privé à travers InternetUn réseau virtuel privé (VPN) permet d’envoyer des données de manièresécurisée entre les ordinateurs de deux domaines privés (LAN) à travers unréseau d’opérateur (WAN).
Internetré s e a u lo c a l
Routeur
r é s e a u " b r o c e l ia n "Serveur
Routeur
• les données suivent toutes le même chemin• les données peuvent être cryptées
Le VPN revient à créer un « tunnel privé » à travers un réseau d’opérateurutilisant IP, comme Internet.
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
opérateurtélécom opérateur
télécom
Extranet : VPN ou LS, une question de coût
opérateurInternet
rés e a u lo c a lRouteur
Routeur
ré s e a u " b ro c e l ia n "Serveur
Routeur
Routeur
POPPOP
LS
LS
VPN
o p é r a t e u rt é l é c o m
Routeur
Routeur
LS
Liaison spécialisée : VPN :• bande passante garantie · bande passante non garantie• pas de qualité de service · qualité de service possible• sécurité à préciser · sécurité par cryptage
10
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
F A I
Client mobile : le VPN simplifie laprocédure
opérateurtélécom
opérateurRTC local
opérateurInternet
rés e a u lo c a lRouteur
POP
POPLS
o p é r a t e u rR T C
client
hôtel
LigneADSL
Serveur deconnexion
Serveur
Routeur
VPN
Routeur
Prestatairede service
Routeur
VPN : ADSL : Prestataire : serveur propre :• service VPN + · accès Wi-Fi · prestataire + · connexion RTC
RTC local RTC• débit 56Kb/s · haut débit · débit 56Kb/s · débit 56Kb/s• pas de coût · pas de coût · pas de coût · maintenance dude maintenance de maintenance de maintenance serveur de connexion
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Architecture : serveur, tunnel et protocoles
Internetré s e a u lo c a l
Routeur
r é s e a u " b r o c e l ia n "Serveur
Routeur
Serveur VPN :fournit la connexion
client VPN :initie la connexion
tunnel : Chemindes données
Inter-réseau de transit :Réseau public traversé
• protocole de Tunneling : crypte et encapsule les données échangées entre le serveuret le client par l’un des principaux protocoles L2TP/IPsec, SSL ou PPTP• connexion VPN : connexion établie entre le serveur et le client
11
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Paramétrer authentification et cryptage sous XP• Sous Windows XP, la configuration du paramétrage de l’authentification et de la
sécurité autorise des combinaisons ci-dessous :
Cryptage éxigéEAP/TLSouiCarte à puceCryptage optionnelEAP/TLSnonCarte à puce
Cryptage éxigéCHAP ; MS-CHAP ;MS-CHAP v2
ouiExiger un mot depasse
Cryptage optionnelCHAP ; MS-CHAP ;MS-CHAP v2
nonExiger un mot depasse
Mise en oeuvreAuthentification :protocoles
Cryptagerequis
validation
• Pour L2TP, le cryptage utilise IPSec• Pour PPTP, le cryptage utilise MPPE (Microsoft Point-To-Point Encryption) avecdes clés de 40 bits à 128 bits• Les données sont cryptées uniquement si l’authentification CHAP ou EAP estnégocié• CHAP v2 et EAP/TLS sont des protocoles d’authentification mutuelle (client etserveur vérifient leur identité)
IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT
Le paramétrage sous Windows XP
Paramètresd’authentification
Les paramètresd’ouverture de session
sont utilisés pourl’authentification
Protocolesd’authentification
autorisés