3. De nos jours les entreprises sont plus en plus connectés tant en interne que
dans le monde entier, profitant ainsi de l’évolution des réseaux informatiques.
De ce fait, leur systèmes d’information est accessible de l’extérieur pour leurs
fournisseurs clients partenaires et administrateur .on peut pas négliger les
menaces qui viennent de l’intérieur, ce qui rend la présence d’un audit de
sécurité obligatoire.
Introduction
4. Un audit de sécurité consiste à s'appuyer sur un tiers de confiance
(généralement une société spécialisée en sécurité informatique) afin de
valider les moyens de protection mis en œuvre, au regard de la politique de
sécurité.
L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de
sécurité est correctement appliquée et que l'ensemble des dispositions prises
forme un tout cohérent.
Audit de sécurité
5. DCSSI
Créée en 2001 la DCSSI est le centre focal de l’état français pour la
sécurité des systèmes d’information. Elle a pour mission :
D’évaluer périodiquement la vulnérabilité des systèmes en service
de former des responsables informatiques a la sécurité informatique
de réguler les moyens de protection et de chiffrement des organismes
publics
de contribuer à l’élaboration de la politique gouvernementale en termes de
sécurité informatique.
Organismes d’audit de sécurité
6. CLUSIF
Le CLUSIF est un club professionnel, constitué en association indépendante,
ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs et des
offreurs issus de tous les secteurs d’activité de l’économie.
La finalité du CLUSIF est d’agir pour la sécurité de l’information, facteur de
pérennité des entreprises et des collectivités publiques.
Organismes d’audit de sécurité
7. ISO
L'Organisation internationale de normalisation ,ou ISO est un organisme de
normalisation international composé de représentants d'organisations
nationales de normalisation de 164 pays. Cette organisation créée en 1947 a
pour but de produire des normes internationales dans les domaines
industriels et commerciaux appelées normes ISO.
Organismes d’audit de sécurité
8. Normes et Méthodes :
Une norme est un document qui définit des exigences, des spécifications,
des lignes directrices ou des caractéristiques à utiliser systématiquement
pour assurer l'aptitude à l'emploi des matériaux, produits, processus et
services.
Mais une méthode n’intègre pas la notion de document de référence il ne faut
pas opposer norme et méthode mais plutôt les associer une méthode sera
« l’outil » utilisé pour satisfaire a une norme.
Ainsi pour mettre en œuvre efficacement la norme ISO (17799 il faut
s’appuyer sur une
Méthode de gestion de risques de type Méhari octave, EBIOS ...
Normes d’audit de sécurité
9. EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité).C’est une méthode publiée par la Direction centrale de la Sécurité
des Systèmes d’information en février 1997.
Elle permet d’identifier les besoins de sécurité d’un système lors de la
phase de spécification de ce dernier.
C’est quoi EBIOS
10. Elle est reconnue comme la méthode idéale pour rédiger des FEROS.
FEROS : fiche d’Expression Rationnelle des Objectifs de Sécurité
(des systèmes d’information). Cette méthode a été connue dans ce but et
permet a rédaction intégrale de la FEROS en offrant plusieurs avantages
comme:
la pertinence des objectifs de sécurité, qui couvre les risques pesant
réellement sur l'organisme,
la justification des objectifs de sécurité à l'aide de l'appréciation des risques
SSI,
l'exhaustivité de l'étude grâce à sa démarche structurée,
l'implication des parties prenantes, et notamment de l'autorité qui devra
valider la FEROS
But de Ebios
12. Étude du contexte
Cette étape essentielle a pour objectif d'identifier globalement le système-
cible et de le situer dans son environnement. Elle permet notamment de
préciser pour le système les enjeux, le contexte de son utilisation, les
missions ou services qu'il doit rendre et les moyens utilisés.
L'étape se divise en trois activités:
Définir le cadre de la gestion des risques :
activité consiste à définir le cadre de l'étude. Il faut collecter les données
concernant l’organisme et son système d’information.
Préparer les métriques :
cette activité a pour but de préciser le contexte d'utilisation du système à
concevoir ou existant
Identifier les biens :
cette activité a pour but de déterminer les entités sur lesquelles vont reposer
les éléments essentiels du système-cible
Détail de la méthode
13. Expression des besoins
Cette étape contribue à l'estimation des risques et à la définition des critères
de risques. Elle permet aux utilisateurs du système d'exprimer leurs besoins
en matière de sécurité pour les fonctions et informations qu'ils manipulent.
Ces besoins de sécurité s'expriment selon différents critères de sécurité tels
que la disponibilité, l'intégrité et la confidentialité. L’expression des besoins
repose sur l'élaboration et l'utilisation d'une échelle de besoins et la mise en
évidence des impacts inacceptables pour l'organisme.
L'étape se divise en deux activités :
Analyser tous l’événement redouté:
cette activité a pour but de créer les tableaux nécessaires à l'expression des
besoins de sécurité par les utilisateurs
évaluer chaque événement redoute :
Cette activité a pour but d'attribuer à chaque élément essentiel des besoins
de sécurité.
Détail de la méthode
14. Cette étape consiste en un recensement des scénarios pouvant porter
atteinte aux composants du SI. Une menace peut être caractérisée selon son
type (naturel, humain ou environnemental) et/ou selon sa cause (accidentelle
ou délibérée).
Ces menaces sont formalisées en identifiant leurs composants : les
méthodes d'attaque auxquelles l'organisme est exposé, les éléments
menaçants qui peuvent les employer, les vulnérabilités exploitables sur les
entités du système et leur niveau.
L'étape se divise en trois activités :
Étude des origines des menaces :
Cette activité correspond à l'identification des sources dans le processus de
gestion des risques
Étude des vulnérabilités :
Cette activité a pour objet la détermination des vulnérabilités spécifiques du
système-cible.
Formalisation des menaces :
À l'issue de cette activité, il sera possible de disposer d'une vision objective
des menaces pesant sur le système-cible
Détail de la méthode
15. Identification des objectifs de sécurité
Un élément menaçant peut affecter des éléments essentiels en exploitant les
vulnérabilités des entités sur lesquelles ils reposent avec une méthode
d’attaque particulière. Les objectifs de sécurité consistent à couvrir les
vulnérabilités.
L'étape se divise en trois activités :
Confrontation des menaces aux besoins de sécurité :
cette confrontation permet de retenir et hiérarchiser les risques qui sont
véritablement susceptibles de porter atteinte aux éléments essentiels
Formalisation des objectifs de sécurité :
Cette activité a pour but de déterminer les objectifs de sécurité permettant de
couvrir les risques
Détermination des niveaux de sécurité :
Cette activité sert à déterminer le niveau de résistance adéquat pour les
objectifs de sécurité. Elle permet également de choisir le niveau des
exigences de sécurité d'assurance.
Détail de la méthode
16. Détermination des exigences de sécurité
L’équipe de mise en œuvre de la démarche doit spécifier les fonctionnalités
de sécurité attendues. L’équipe chargée de la mise en œuvre de la démarche
doit alors démontrer la parfaite couverture des objectifs de sécurité par les
exigences fonctionnelles et les exigences d’assurance.
Détail de la méthode
17. EBIOS met en œuvre des contrôles méthodologiques afin d'assurer d'une
part la validité interne et externe de la démarche, et d'autre part que les
résultats de l'étude sont fidèles à la réalité. Il en résulte ainsi un outil
méthodologique rigoureux.
Conclusion