La scurit des systmes dinformation

About This Presentation

Title:

La scurit des systmes dinformation

Description:

S curit des syst mes d'information, un enjeu majeur pour la France ' ... mise en place de locaux de s curit avec contr le d'acc s et alarmes, notamment pour les salles machines ... – PowerPoint PPT presentation

Number of Views:421

Avg rating:3.0/5.0

Slides: 47

Provided by: Ici52

Category:

more less

Transcript and Presenter's Notes

Title: La scurit des systmes dinformation

1
La sécurité des systèmes dinformation

Un enjeu majeur pour le MAP

2
Plan

Notions générales
Méthodologie
Aspects techniques
Rôle de la DCSSI
La sécurité au MAP
Audit
Aspects juridiques
Calamités actuelles
Ressources documentaires

3
Notions générales

Enjeu de souveraineté nationale.
Sécurité des systèmes dinformation, un enjeu
majeur pour la France Pierre Lasbordes remet
son rapport au Premier ministre le 13 janvier
2005.
Les systèmes dinformation font désormais partie
intégrante du fonctionnement des administrations
publiques, de lactivité des entreprises, et du
mode de vie des citoyens.

4
LÉtat a la responsabilité, de garantir

la sécurité de ses propres systèmes
dinformation,
la continuité de fonctionnement des institutions
et des infrastructures vitales pour les activités
socio-économiques du pays,
la protection des entreprises et des citoyens.
De leur côté, les entreprises doivent
Protéger de la concurrence et de la malveillance
leur système dinformation qui irrigue lensemble
de leur patrimoine (propriété intellectuelle et
savoir faire) et porte leur stratégie de
développement.

5
Face à laugmentation des menaces, 6
propositions

il ressort une préparation insuffisante des
principaux acteurs pour assurer une sécurité
convenable.
Aussi, afin dassurer la mise en uvre
opérationnelle des politiques et des décisions en
matière de SSI, Pierre Lasbordes propose six axes
de recommandations
Sensibiliser et former à la SSI.
Responsabiliser les acteurs.
Renforcer la politique de développement de
technologies et de produits de SSI et définir une
politique dachat public en cohérence.
Rendre accessible la SSI à toutes les
entreprises.
Accroître la mobilisation des moyens judiciaires.
Assurer la sécurité de lEtat et des
infrastructures vitales.

6
Définitions

Sécurité des systèmes dinformation
Etat de protection, face aux risques identifiés,
qui résulte de lensemble des mesures générales
et particulières prises pour assurer la
confidentialité, lintégrité et la disponibilité
du système et de linformation traitée

7
Définitions

Sécurité Informatique
protection de l information des systèmes et
services
contre désastres, erreurs et manipulations
illicites
Les aspects couverts sont nombreux

8
Définitions

Les critères D I C I permettent de définir des
besoins de sécurité
Disponibilité
Intégrité
Confidentialité
Imputabilité
Autres définitions
identification
authentification
non répudiation

9
Méthodologie

La notion de cible de sécurité

C'est l'énoncé (contractuel) des

ressources sensibles,
objectifs de sécurité
menaces à considérer
mesures à prendre

et du nécessaire compromis avec le coût objectif
!
Objectifs
(ressources / sensibilités)
(quoi protéger)
Menaces
Mesures
(modes d'action / techniques)
(politique / fonctions /
mécanismes
)
(contre quelle agression)
(comment protéger)
10
Critères d évaluation de la SSI

Définition dune PSI
exposé des bases de la légitimité
intérêts de létat et de lorganisme ..
définitions des principes et règles de sécurité
classification des informations, zones de
sécurité, organisation...
mise en uvre et contrôle de l application
EBIOS
Étude des Besoins et Identification des objectifs
de Sécurité

11
La norme ISO 17799

La norme ISO 17799 est issue de la norme anglaise
BS7799 créée en 1995 et révisée en 1999.
Cette norme constitue un code de bonnes pratiques
pour la gestion de la sécurité de l'information.
Elle fait l'objet en Grande Bretagne d'un schéma
de certification (CCure). C'est-à-dire qu'un
client qui opère avec cette entreprise a la
garantie que ses informations sont gérées de
manière plus ou moins sécurisée car un certain
nombre de mesures techniques ou non techniques
ont été mises en place.

12
Description des chapitre de l'ISO 17799 (1)

le contenu de l'ISO 17799 est à la fois un
ensemble de mesures techniques et
organisationnelles quil faudrait mettre en place
pour gérer de manière sécurisée les informations.
La norme propose plus d'une centaine de mesures
possibles réparties en 10 chapitres
Politique de sécurité (nécessité pour
l'entreprise de disposer d'une politique de
sécurité et d'un processus de validation et de
révision de cette politique)

13
Description des chapitre de l'ISO 17799 (2)

Organisation de la sécurité
Une partie traite de la nécessite de disposer au
sein de l'entreprise d'une organisation dédiée à
la mise en place et au contrôle des mesures de
sécurité.
l'implication de la hiérarchie,
la désignation de propriétaires responsables de
la classification de l'information,
processus pour la mise en place de tout nouveau
moyen de traitement de l'information.
Une seconde partie traite des accès aux
informations de l'entreprise par une tierce
partie. (accès encadrés par un contrat qui
stipule les conditions d'accès et les recours en
cas de problèmes.)
Une troisième partie indique comment traiter du
cas où la gestion de la sécurité est externalisée
(outsourcing).

14
Description des chapitre de l'ISO 17799 (3 -4)

Classification des informations (nécessité de
répertorier et de déterminer la classification de
l'ensemble des informations)
Sécurité du personnel
lors du recrutement de personnel, il est tout
aussi important de mentionner dans les contrats
d'embauche des clauses spécifiques à la sécurité
comme une clause de confidentialité.
une sensibilisation à la sécurité doit être
proposée à toute personne accédant à des
informations sensibles (nouvel arrivant, tierce
partie)
l'ensemble du personnel doit être informé de
l'existence et du mode d'emploi d'un processus de
remontée d'incidents.

15
Description des chapitre de l'ISO 17799 (5)

Sécurité de l'environnement et des biens
physiques (mesures classiques pour protéger les
bâtiments et les équipements)
délimitation de zone de sécurité pour l'accès aux
bâtiments
mise en place de sécurité physique comme la lutte
contre l'incendie ou le dégât des eaux
mise en place de locaux de sécurité avec contrôle
d'accès et alarmes, notamment pour les salles
machines
mise en place de procédures de contrôle pour
limiter les vols ou les compromissions
mise en place de procédures pour la gestion des
documents dans les bureaux

16
Description des chapitre de l'ISO 17799 (6 - 7)

Administration
rédiger et mettre à jour l'ensemble des
procédures d'exploitation réseau, système ou
sécurité de l'entreprise
rédiger et mettre à jour les critères
d'acceptation de tout nouveau système
prévoir un planning pour l'achat de composants ou
matériels pour éviter tout interruption de
service
mettre en place un certain nombre de politique
organisationnelle et technique (anti-virus,
messagerie, diffusion de document électronique en
interne ou vers l'extérieur, sauvegarde et
restauration, etc)
Contrôle d'accès
qui a droit à quoi, comment y accéder, révision
de ces droits.
la responsabilité des utilisateurs face à l'accès
au SI
mise en place d'un système de contrôle de la
sécurité et de tableaux de bord

17
Description des chapitre de l'ISO 17799 (8 - 9 -
10)

Développement et maintenance
nécessité d'intégrer les besoins de sécurité dans
les spécifications fonctionnelles d'un système
intégration de services de sécurité comme le
chiffrement, la signature électronique, la
non-répudiation,
Plan de continuité (nécessité pour l'entreprise
de disposer de plans de continuité)
Conformité légale et audit de contrôle
la nécessité de disposer de l'ensemble des lois
et règlements qui s'appliquent aux informations
manipulées et des procédures associées
procédures pour le déroulement d'audit de
contrôle

18
Les points délicats

les points délicats mauvaise prise en compte de
la SSI
trop fort ou mal orienté
excès de sécurité ponctuelle sans analyse globale
trop faible
pas ou peu de prise en compte de la SSI
prise en compte trop tardive
pas de vue méta système
les raisons
démarche mal formalisée ?
difficulté dappréhension ?
autre ?

19
Aspects TechniquesFiltrage IP

But
éviter l intrusion par le cloisonnement des
réseaux
Le protocole IP
adressage , ports d écoute
Règles
tout est interdit par défaut
accès depuis extérieur limité à machines -
services
mise en uvre d une zone spécifique tampon
Mise en uvre
sur les routeurs (par ACL), sur les pare feux
Limites
perte de fonctionnalités, définition de zones
physiques

20
Aspects TechniquesFiltrage IP
21
Aspects TechniquesFiltrage de contenus

But
éviter commandes illicites, introduction de code
agressif ou de chevaux de Troie
Le filtrage
par des relais (proxy)
de contenus actifs (JavaScripts, Applet, ActiveX
, VBScript)
sur les relais HTTP
sur le Navigateur (natif et paramétrage)
de virus
sur les relais messagerie
protection antiVirus sur les postes de travail
Limites
performances, pertes de fonctionnalités

22
Aspects TechniquesChiffrement

But
préserver la confidentialité et l intégrité de
l information
Chiffrement
utilise une clé nécessaire au déchiffrement
algorithme privé ou public (qui peut être sous
licence)
Clés symétriques
une seule clé pour chiffrer et déchiffrer
Clés asymétriques
bi-clé (une paire)
une clé publique connue de tous chiffre
une clé secrète connue de son seul propriétaire
déchiffre

23
Aspects TechniquesSignature électronique -
Certificats

Définition
identifie une personne, effectue lien entre
identité et document
utilisation des algorithmes à clés publiques
chiffre avec clé privée un document
Certificats
régler le problème du lien entre une entité
(personne physique ou morale,application,
serveur) et une clé publique
une Autorité (tierce partie de confiance) signe
le certificat
Le Certificat
permet de vérifier la signature (il peut-être
vérifié lui même )

24
Rôle de la DCSSI

Organismes impliqués dans la SSI

Premier ministre
SGG
SGDN
Défense
Secrétariat du directoire des SIC
DSSI
FSSI
CISSI
DCSSI
CFSSI
EMA
DGA
EMAT
DGGN
DPSD
DGSE
DRI
DSA
DCE
SPOTI
CELAR
25
Architecture réglementaire interministérielle
Domaine Général
Premier Ministre
SGDN
IGI n1300 protection du secret de défense
IGI n900 protection du secret de défense dans
la SSI
II n910 ACSSI
Directive n911 application de la 910
Recommandation n901 informations sensibles non
classifiées
26
Architecture réglementaire ministérielle
Classifié (secret de défense)
Protégé (confidentiel spécifique)
Organisation
IM 4418/DEF organisation de la sécurité
informatique
TTA 191instruction sur la fonction dofficier de
sécurité
IM 981 relative à la production des informations
de diffusion restreinte et de confidentialité
spécifique
Guide technique DPSD 15382 sur la protection des
documents
1848 Dossier de Sécurité Informatique
Note 13382 sur la protection des réseaux
Catalogue des mesures à appliquer 4281 pour le
SD 2933 pour le CD
Catalogue des mesures à appliquer 1591 pour le
DR et CS
27
La sécurité au MAP le contexte

Les SI sont au cur de notre fonctionnement
Le développement des téléprocédures nécessite
dassurer aux usagers une confiance accrue envers
les SI
Une augmentation croissante des atteintes à la
sécurité de nos SI
Un accroissement des SI sensibles ne pouvant
supporter des interruptions de service
supérieures à quelques heures gestion des
aides, BDNI, SIGAL, EPICEA
Un renforcement des exigences réglementaires le
règlement CE-465/2005 demande aux organismes
payeurs et organismes délégués (DDAF) de se
préparer à une certification de la sécurité de
leurs systèmes dinformation pour lexercice
financier 2008.

28
Organisation (1)

Les services du HFD, notamment le FSSI
Définissent la politique SSI et assurent le lien
avec le SGDN
SG-SM-SDSI - Mission Sécurité des SI
Assiste le FSSI pour la définition de la
politique SSI
Organise les contrôles et audits avec le FSSI
Organise la chaîne de traitement des incidents
avec le FSSI et le pôle sécurité du CERI
Définit les infrastructures sécurité nécessaires
pour le MAP

29
Organisation (2)

Le Pôle Sécurité du CERI
Assure lexploitation des dispositifs de sécurité
au plan national
Assure le traitement des incidents de sécurité
qui sont remontés par les RSI en lien avec la
MSSI et le FSSI
Apporte un support aux RSI sur les questions de
sécurité
RSI / RMSI (SD AC) / RTIC
Assurent lexploitation des dispositifs locaux
(notamment les anti-virus)
Apportent support et sensibilisation des
utilisateurs
Assurent un traitement local des incidents de
sécurité en lien avec le pôle sécurité et la MSSI

30
Politique de sécurité au plan national

Guide Sécurité des SI à lusage des services (SD
et AC)
v 1.0.1 du 22 avril 2003 http//siti.national.ag
ri
Note de service droits et devoirs des
utilisateurs du réseau
DGA/SDSI/MSSI/N2005-1076 du 18 février 2005
PSSI-Agriculture, projet en cours
Note de cadrage 20 juin 2005 http//csi.agricultur
e.gouv.fr
Assitance THALES
Analyse de risque en cours (besoins menaces
vulnérabilités)
Documents PSSI publiés fin 2006

31
Evaluation de létat de la sécurité dans les
services

Note de service auto-diagnostic
SG/SM/SDSI/N2005-1417 du 20 décembre 2005
Le diagnostic est réalisé en coordination entre
un ICI et le responsable informatique
Le Directeur valide et transmet lauto-diagnostic
à la SDSI/MSSI avant le 30 juin 2006
Un plan daction local doit permettre de
déterminer les mesures à mettre en oeuvre suivant
les recommandations du guide sécurité

32
Certification électronique de lidentité des
Agents

Un déploiement progressif de certificats
numériques aux agents du MAP permettant
Une authentification forte ? assurer la confiance
La dématérialisation sécurisée des échanges
dinformation et des étapes de validation
1316-4 et suivants du code civil (introduits par
la loi 2000-230 du 13 mars 2000)
Décrets 2001-272 du 30 mars 2001 et 2002-535 du
18 avril 2002.

33
Au MAPDans l avenir ?

La politique sécurité ?
Le moyens humains ?
Les études sécurité ? (PACAGE, AdER, Audit etc
..)
Les spécifications d accès aux applications ?
pour les utilisateurs internes ?
messagerie et signature électronique (IGC
AGRICOLL)
accès en SSO sur les applications (IGC
spécifications annuaire)
Pour les utilisateurs externes
le client léger
le certificat
les modes SSL pour HTTP et JAVA

34
Audit Définition
Audit Constat à un instant donné des
différences existantes entre - le référentiel
adapté au contexte de l'audit - les mesures
effectivement prise en compte sur le système
d'information
35
Audit Pourquoi ?
Exemple
36
Audit Pourquoi ?
Enjeux au niveau des SI
37
Audit Bilan !
Répartition des vulnérabilités
38
Législation

Obligations de protection de données spécifiques
Protection des informations nominatives
Loi informatique et liberté (janv 78), directive
EU (oct 95)
atteinte ni à l'identité humaine, ni aux droits
de l'homme, ni à la vie privée, ni aux libertés
individuelles ou publiques
Autorisation du chiffrement
Décret du 17 mars 1999
libéralise jusqu à 128 bits, fixe les modalités
d autorisations
Signature électronique sécurisée
Article 1316-4 code civil, Décret 30 mars 2001
signature électronique, signature électronique
sécurisée
registre des IGC et inter-opérabilité

39
Phishing Détournement dinformations
confidentielles
ou hameçonnage,
40
Les pirates s'organisent eux aussi.

Un 'kit de phishing est composé du code d'un site
pirate, avec ses graphismes, et d'exemples
d'e-mails destinés à contourner l'attention de
l'internaute et à l'amener vers le site
malicieux. Certains kits proposent même des
listes d'adresses e-mail !
L'industrialisation de phishing se prête au
développement de ces kits, avec en contrepartie
une augmentation régulière du risque des fraudes
en ligne dans un futur proche.
Le danger est important, car chacun pourra
devenir un cyber pirate sans pour autant
maîtriser une ligne de code!

41
En matière de sécurité, les enjeux sont
stratégiques,

Les attaques des cyber-criminels sont devenues
une réalité non seulement technologique, mais
aussi économique.
Certains cyber-criminels sont payés pour nuire,
et utilisent toutes les technologies comme le
spam, le phishing obtention d'informations
confidentielles en se faisant passer pour
quelqu'un digne de confiance, le pharming
pirater le DSN pour renvoyer un nom de serveur
vers l'IP d'un autre site, et bien d'autres.
Nouvelle tendance
l'envoi par mail d'un code actif qui chiffre tous
les documents bureautiques d'un serveur
les serveurs zombies. La machine de la victime
contacte elle-même celle du cyber-criminel, ce
qui facilite d'autant le passage des contrôles et
des règles de sécurité.

42
Quelles sont les grandes calamités virales
actuelles ?

surveiller tous les flux Internet et intranet. Et
ce d'autant plus que les hackers ne manquent pas
d'agilité. Les nouveaux codes malicieux sont en
fait des enveloppes vides difficilement
détectables qui ne font que leur ouvrir une
porte.
Autre tendance, les e-gènes (electronic genes),
code mobile, qui s'adapte à son environnement et
qui peut même intervenir à distance. Il fait
fonction d'enveloppe vide et exécute alors la
séquence de code reçue pour la rendre active.
Avec les rootkits, on passe à un niveau plus
subtil encore, en captant les droits
administrateur d'une machine. Le hacker dépose
sur le poste ou le serveur des programmes portant
le même nom que des fonctions système utilisées
par une personne ou un programme ipconfig,
notepad, etc.