La Scurit Des

Systmes
dInformation
Plan

Plan

Introduction

Concepts et Technologies

Politique de Scurit des Systmes

dInformation

Cas Pratiques
Copyright

La Scurit Des
Systmes
dInformation
Introduction

Dfinition

Scurit des SI=

Protger

les biens et informations les plus

prcieuses pour lentreprise

Copyright

La Scurit des SI

Critres dvaluation:
Disponibilit
Intgrit
Confidentialit
Traabilit
Copyright

Introduction

Les risques

Les objectifs

Dfinition

Copyright

Les Risques

Mesurs par la combinaison dune menace et

des pertes quelles pourraient engendres

Plusieurs lments:
Mthode dattaque
lments menaants
Vulnrabilits des entits

Copyright

Les Risques

Attaque passive

Attaque active

Usurpation

Rpudiation

Intrusion
Copyright

Les Objectifs

Protger les donnes stockes ou en transit sur le

rseau contre :
modification (destruction) non autorise
utilisation frauduleuse
divulgation non autorise

Scuriser laccs aux systmes, services et donnes

par :
vrification de lidentit dcline par le requrant
gestion des droits daccs et des autorisations
Copyright

Scurit des Systmes

dInformation
Concepts et Technologies

Cryptographie

Ensemble des techniques permettant de crypter

/ dcrypter des messages

Crypter : brouiller linformation,

la rendre incomprhensible

Dcrypter : rendre le message comprhensible

Destinataire

Emetteur
Message
clair

#^%!! $
-@

encryption
Copyright

dcryption

Message
clair

Cryptographie: Cl
Symtrique

Mme cl pour chiffrer et dchiffrer

Avantages :
facile implmenter
rapide

Copyright

Cryptographie: Cl
Asymtrique

Chaque communicant possde une paire de

cls associes : cl publique Kpb et cl prive
Kpv

Un message chiffr par lune des cls

ne peut pas tre dchiffr par cette mme
cl
mais peut tre dchiffr par lautre cl de la
paire

Copyright

Cryptographie

La cl prive doit tre conserve par son

propritaire
Rien nimpose de la dvoiler qui que ce soit

La cl publique est diffuse sans restriction

idalement avec un niveau de diffusion
comparable lannuaire tlphonique

Aucun moyen pratique de dduire lune des cls

de la connaissance de lautre cl
Copyright

Cryptographie : Avantages
Message

chiffr avec la cl publique

seul le propritaire de la cl prive

correspondante peut en prendre
connaissance : confidentialit
le receveur na aucune ide de
lexpditeur puisque la cl publique est
accessible tous

Copyright

Cryptographie : Avantages
Message

chiffr avec la cl prive

altration frauduleuse impossible car

ncessite la connaissance de la cl prive
: intgrit
pas de confidentialit : la cl publique
peut tre utilise par tous pour lire
la cl prive dvoile lidentit de
lexpditeur
propritaire de la cl prive
Copyright

Cryptographie : Inconvnients
Algorithmes

implmenter

complexes et difficiles

Peu

performant : long et gourmand en CPU

1000 plus lents que les algorithmes
cls symtriques

Moins

srs contre les attaques de force

brute
ncessite des cls plus longues que les
algorithmes symtriques
Copyright

Cryptographie: le Hashage
Calcule un condens significatif de taille fixe,
quelque soit la taille dorigine
irrversible : transformation inverse
impossible
dterministe : le mme message produit le
mme rsum
effets imprvisibles

Lintgrit du rsum significatif est une

garantie de lintgrit du document dorigine
cest une empreinte digitale du document
Copyright

Signature Electronique

Proprits :
Ne peut tre cre indpendamment
Sa validit peut tre vrifie par tous
la cl publique est accessible librement
les algorithmes utiliss sont connus
Elle rvle toute altration, frauduleuse ou
accidentelle
Falsification en principe impossible
non-rpudiation

Copyright

PKI (Public Key Infrastructure)

Ensemble des solutions techniques bases sur

la cryptographie cl publique

Canal scuris inutile tiers de confiance CA

Signe cl publique
Assure vracit des informations

Copyright

PKI

Confiance directe
Modle simple de confiance, lutilisateur a
confiance dans la validit de la cl car il sait
do elle vient.

Confiance hirarchique ou arbre de confiance

Le certificat est vrifi jusqu ce que le
certificat de type root soit trouv.

Confiance dcentralise ou en rseau

Cumule des deux modles.
Copyright

Solutions et Dispositifs de Scurisation :

Scurit Architecturale

Complte les techniques de cryptographie par :

Les

contrles daccs rseau (machines, serveurs)

sur les paramtres utiliss pour ltablissement des
communications : adresses et ports, sens de la
connexion
FIREWALL

Copyright

Solutions et Dispositifs de
Scurisation : Scurit Architecturale
Des

contrles plus fins (et plus lourds) au niveau

du flot de donnes mis ou reu par une
application
serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
SAS applicatifs spcialiss pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)

Copyright

Solutions et dispositifs de scurisation :

Scurit off-line

Principaux standards :
S/MIME

(Secured Multipurpose Internet Mail

Extensions)
chiffrement et signature digitale (authentification et
confidentialit) des messages lectroniques et
documents attachs au format MIME
extension du standard dinteroprabilit MIME

Copyright

Solutions et dispositifs de
scurisation : Scurit off-line
PGP

(Pretty Good Privacy)

systme de cryptographie hybride (cls symtriques
et asymtriques)
les donnes sont compresses puis chiffres pour
conomiser lespace disque.
chaque utilisateur est sa propre autorit de
certification

XML

(eXtensible Markup Language) Signature

XML

Encryption

SecurBdF

(Banque de France)
Copyright

Solutions et dispositifs de scurisation :

Scurit off-line

Protections assures
attaque passive
attaque active
usurpation (metteur)
rpudiation (metteur)
protection de bout en bout

Protections non assures

usurpation (rcepteur)
intrusion
rpudiation (rcepteur)

Copyright

Solutions et dispositifs de scurisation :

Scurit de transport

Principaux protocoles :
SSL/TLS (Secured Socket Layer/ Transport Layer Securit
SSH (Secured SHell)
Protections assures
attaque passive
attaque active
usurpation
Intrusion
Protections non assures
rpudiation
protection de bout en bout
Copyright

La Scurit des
Systmes
dInformation

Politique de Scurit des Systmes

dInformation (PSSI)

Dfinition
Ensemble formalis dans un document applicable, des
directives, procdures, codes de conduite, rgles
organisationnelles et techniques, ayant pour objectif la
protection des systmes dinformation de lorganisme.

Copyright

Principales tapes

Audit

Elaboration des rgles

Surveillance

Actions

Copyright

Audit

Identifier / Classer les risques et leurs

menaces:
Quels sont les risques ?
Quelle en est la probabilit ?
Quels sont leurs impacts ?

Identifier les besoins :

tat des lieux du SI

Copyright

Les risques

Rpertoris les risques encourus

Estimer leur probabilit:

Faible:

menace peu de chance de se

produire
Moyenne: la menace est relle
Haute: la menace a de trs grande chance
de se produire

Etudier leur impact (cot des dommages)

Copyright

Elaboration de rgles

Rgles et procdures pour rpondre aux

risques

Allouer les moyens ncessaires

Copyright

Surveillance

Dtecter les vulnrabilits du SI

Se tenir inform des failles

Etre ractifs

Copyright

Les Cibles des Failles de la

Scurit
R&D
Services financiers
Marketing
Rseaux de vente (! Distributeurs et clients trop bavards)
Le service achat
Le Personnel: sensibiliser lensemble
du personnel, attention aux licencis,
mcontents

Copyright

Actions

Dfinir les actions entreprendre

Et les personnes contacter en cas de

menace

Copyright

Actions

Simples mettre en uvre et pourtant

pas toujours existantes !
Entres

et sorties contrles
Surveiller et piger les BD dans
entreprise
Mfiance au tlphone

Copyright

Acteurs & Rles

Pourquoi ?

Direction Gnrale
CHARTES

Responsable SSI

Quoi
REGLES GENERALES

Responsable Fonctionnel

Qui ? Quand ?
PROCESSUS & CONTROLES

Comment ?

Responsable Projet
PROCEDURES OPTIONNELLES

Copyright

Thmes

Classification et contrle du patrimoine matriel et immatriel

Rle des personnes

Protection des locaux et quipements

Contrle des accs et gestion des habilitations

Gestion des communications et des oprations

Dveloppement et maintenance des systmes dinformation

Continuit des activits

Obligations lgales

Copyright

Russite PSSI

Etre simple et raliste pour que tout le monde la

comprenne et puisse la respecter

Faire vivre

Copyright

Stratgie

PSSI doit faire partie intgrante de la stratgie de la

socit :
dfaut de scurit cote cher !

Inclure une notion gnrale de la scurit reposant sur

4 points:
Protection des applicatifs aux mtiers du SI
qualifis de sensible
Diminution des vulnrabilits
Scurit proprement dite du SI
Continuit en cas de sinistre
Copyright

Normes et Mthodes

Normes = bonnes pratiques

Mthodes = valuation globale du SI en terme

de:
Risques
Protection

Copyright

Normes

ISO 27 001:
Approche

processus (PDCA)
133 mesures base dans llaboration
du plan

ISO 17 799: dcoupage par thmes

Copyright

Mthodes

Dmarche structure

Obtenir une partie des lments stratgiques

Copyright

Mthodes

Cobit: Control Objectives for Business and

related Techonology

Ebios: Expression des besoins et identification

et des objectifs de scurit

Marion

Mehari: Mthode harmonise danalyse des

risques
Copyright

Ebios

Etude du contexte: lments essentiels (ensemble

dentits de diffrents types)

Expression des besoins: critres de scurit

impact

Etude des menaces: type/cause

Expression des objectifs de scurit

Dtermination des exigences de scurit

Copyright

ISMS (Information Security Management

System)

Application au domaine de la scurit

informatique de la roue de Deming

Planifier

Faire

(R)Agir

Vrifier

Copyright

ISMS (Information Security Management

System)

Planifier: passer dune posture ractive

proactive

Faire: dvelopper des processus en suivant un

rfrentiel de scurit

Contrler: audits et tests dintrusion

Agir: analyse des risques des besoins et enjeux

Copyright

Cadre juridique

Loi Sarbannes-Oxley

Loi des liberts personnelles

Copyright