7. Copyright
Les Risques
Mesurés par la combinaison d’une menace et
des pertes qu’elles pourraient engendrées
Plusieurs éléments:
Méthode d’attaque
Éléments menaçants
Vulnérabilités des entités
9. Copyright
Les Objectifs
Protéger les données stockées ou en transit sur le
réseau contre :
modification (destruction) non autorisée
utilisation frauduleuse
divulgation non autorisée
Sécuriser l’accès aux systèmes, services et
données par :
vérification de l’identité déclinée par le requérant
gestion des droits d’accès et des autorisations
13. Copyright
Cryptographie: Clé
Asymétrique
Chaque communicant possède une paire de
clés associées : clé publique Kpb et clé privée
Kpv
Un message chiffré par l’une des clés
ne peut pas être déchiffré par cette même
clé
mais peut être déchiffré par l’autre clé de la
paire
14. Copyright
Cryptographie
La clé privée doit être conservée par son
propriétaire
Rien n’impose de la dévoiler à qui que ce
soit
La clé publique est diffusée sans restriction
idéalement avec un niveau de diffusion
comparable à l’annuaire téléphonique
Aucun moyen pratique de déduire l’une des
clés de la connaissance de l’autre clé
15. Copyright
Cryptographie : Avantages
Message chiffré avec la clé publique
• seul le propriétaire de la clé privée
correspondante peut en prendre
connaissance : confidentialité
• le receveur n’a aucune idée de
l’expéditeur puisque la clé publique
est accessible à tous
16. Copyright
Cryptographie : Avantages
Message chiffré avec la clé privée
• altération frauduleuse impossible car
nécessite la connaissance de la clé
privée : intégrité
• pas de confidentialité : la clé publique
peut être utilisée par tous pour lire
• la clé privée dévoile l’identité de
l’expéditeur
• propriétaire de la clé privée
17. Copyright
Cryptographie : Inconvénients
Algorithmes complexes et difficiles à
implémenter
Peu performant : long et gourmand en CPU
• 1000 plus lents que les algorithmes à
clés symétriques
Moins sûrs contre les attaques de « force
brute »
• nécessite des clés plus longues que les
algorithmes symétriques
18. Copyright
Cryptographie: le Hashage
Calcule un « condensé significatif » de taille
fixe, quelque soit la taille d’origine
irréversible : transformation inverse
impossible
déterministe : le même message produit le
même résumé
effets imprévisibles
L’intégrité du résumé significatif est une
garantie de l’intégrité du document d’origine
c’est une « empreinte digitale » du document
19. Copyright
Signature Electronique
Propriétés :
Ne peut être créée indépendamment
Sa validité peut être vérifiée par tous
• la clé publique est accessible librement
• les algorithmes utilisés sont connus
Elle révèle toute altération, frauduleuse ou
accidentelle
Falsification en principe impossible
• non-répudiation
20. Copyright
PKI (Public Key Infrastructure)
Ensemble des solutions techniques basées sur
la cryptographie à clé publique
Canal sécurisé inutile tiers de confiance CA
Signe clé publique
Assure véracité des informations
21. Copyright
PKI
Confiance directe
Modèle simple de confiance, l’utilisateur a
confiance dans la validité de la clé car il sait
d’où elle vient.
Confiance hiérarchique ou “arbre” de confiance
Le certificat est vérifié jusqu’à ce que le
certificat de type root soit trouvé.
Confiance décentralisée ou en réseau
Cumule des deux modèles.
22. Copyright
Complète les techniques de cryptographie par :
Les contrôles d’accès réseau (machines, serveurs)
• sur les paramètres utilisés pour l’établissement des
communications : adresses et ports, sens de la
connexion
• FIREWALL
Solutions et Dispositifs de Sécurisation :
Sécurité Architecturale
23. Copyright
Solutions et Dispositifs de
Sécurisation : Sécurité Architecturale
Des contrôles plus fins (et plus lourds) au niveau
du flot de données émis ou reçu par une
application
• serveur PROXY entre des clients et une
application : exemple WEB proxy entre les
browsers et le serveur WEB
• SAS applicatifs spécialisés pour certaines
applications : serveurs FTP ou Telnet (proxy
FTP, proxy Telnet)
24. Copyright
Principaux standards :
S/MIME (Secured Multipurpose Internet Mail
Extensions)
• chiffrement et signature digitale (authentification et
confidentialité) des messages électroniques et
documents attachés au format MIME
• extension du standard d’interopérabilité MIME
Solutions et dispositifs de sécurisation :
Sécurité off-line
25. Copyright
Solutions et dispositifs de
sécurisation : Sécurité off-line
PGP (Pretty Good Privacy)
• système de cryptographie hybride (clés
symétriques et asymétriques)
• les données sont compressées puis
chiffrées pour économiser l’espace
disque.
• chaque utilisateur est sa propre autorité
de certification
XML (eXtensible Markup Language)
Signature
XML Encryption
26. Copyright
Protections assurées
attaque passive
attaque active
usurpation (émetteur)
répudiation (émetteur)
protection de bout en bout
Protections non assurées
usurpation (récepteur)
intrusion
répudiation (récepteur)
Solutions et dispositifs de sécurisation :
Sécurité off-line
27. Copyright
Principaux protocoles :
SSL/TLS (Secured Socket Layer/ Transport Layer
Security)
SSH (Secured SHell)
Protections assurées
attaque passive
attaque active
usurpation
Intrusion
Protections non assurées
répudiation
protection de bout en bout
Solutions et dispositifs de sécurisation :
Sécurité de transport
29. Copyright
Définition
Ensemble formalisé dans un document applicable, des
directives, procédures, codes de conduite, règles
organisationnelles et techniques, ayant pour objectif la
protection des systèmes d’information de l’organisme.
31. Copyright
Audit
Identifier / Classer les risques et leurs
menaces:
Quels sont les risques ?
Quelle en est la probabilité ?
Quels sont leurs impacts ?
Identifier les besoins :
État des lieux du SI
32. Copyright
Les risques
Répertoriés les risques encourus
Estimer leur probabilité:
Faible: menace peu de chance de se
produire
Moyenne: la menace est réelle
Haute: la menace a de très grande chance
de se produire
Etudier leur impact (coût des dommages)
35. Copyright
Les Cibles des Failles de la
Sécurité
R&D
Services financiers
Marketing
Réseaux de vente (! Distributeurs et clients trop bavards)
Le service achat
Le Personnel: sensibiliser l’ensemble
du personnel, attention aux licenciés,
mécontents …
37. Copyright
Actions
Simples à mettre en œuvre et pourtant
pas toujours existantes !
Entrées et sorties contrôlées
Surveiller et piéger les BD dans
entreprise
Méfiance au téléphone …
38. Copyright
Acteurs & Rôles
Pourquoi ?
Quoi
Qui ? Quand ?
Comment ?
Direction Générale
Responsable SSI
Responsable Fonctionnel
Responsable Projet
CHARTES
REGLES GENERALES
PROCESSUS & CONTROLES
PROCEDURES OPTIONNELLES
39. Copyright
Thèmes
Classification et contrôle du patrimoine matériel et immatériel
Rôle des personnes
Protection des locaux et équipements
Contrôle des accès et gestion des habilitations
Gestion des communications et des opérations
Développement et maintenance des systèmes d’information
Continuité des activités
Obligations légales
40. Copyright
Réussite PSSI
Etre simple et réaliste pour que tout le monde la
comprenne et puisse la respecter
Faire vivre
41. Copyright
Stratégie
PSSI doit faire partie intégrante de la stratégie
de la société :
défaut de sécurité coûte cher !
Inclure une notion générale de la sécurité
reposant sur 4 points:
Protection des applicatifs aux métiers du SI
qualifiés de sensible
Diminution des vulnérabilités
Sécurité proprement dite du SI
Continuité en cas de sinistre
42. Copyright
Normes et Méthodes
Normes = bonnes pratiques
Méthodes = évaluation globale du SI en terme
de:
Risques
Protection
43. Copyright
Normes
ISO 27 001:
Approche processus (PDCA)
133 mesures base dans l’élaboration
du plan
ISO 17 799: découpage par thèmes
45. Copyright
Méthodes
Cobit: Control Objectives for Business and
related Techonology
Ebios: Expression des besoins et identification
et des objectifs de sécurité
Marion
Mehari: Méthode harmonisée d’analyse des
risques
46. Copyright
Ebios
Etude du contexte: éléments essentiels
(ensemble d’entités de différents types)
Expression des besoins: critères de sécurité
impact
Etude des menaces: type/cause
Expression des objectifs de sécurité
Détermination des exigences de sécurité
47. Copyright
ISMS (Information Security Management
System)
Application au domaine de la sécurité
informatique de la roue de Deming
Planifier Faire
Vérifier
(Ré)Agir
48. Copyright
ISMS (Information Security Management
System)
Planifier: passer d’une posture réactive à
proactive
Faire: développer des processus en suivant un
référentiel de sécurité
Contrôler: audits et tests d’intrusion
Agir: analyse des risques des besoins et enjeux