1
État de lart de la sécurité informatique

• Introduction

Auteurs
Stéphan GUIDARINI Consultant Senior Sébastien
DESSE Expert Réseaux et Sécurité
2
Présentation

• Intervenants
• Partie théorique
• Stéphan GUIDARINI - STEDIA Consulting
• Consultant Infrastructure et Sécurité
• Ancien élève du DESS Réseaux Télécoms
• Partie pratique
• Sébastien DESSE - ITSEC
• Ingénieur Réseaux et Sécurité
• Membre fondateur du GREPSSI
• Groupe de Réflexion et dEchange sur les
  Problématiques liées à la Sécurité des Systèmes

3
Programme
4
Programme Partie théorique

• 6 sessions théoriques
• Session du 31/10/2005
• Introduction à la sécurité informatique
• Session du 07/11/2005
• Sécurité des réseaux (1er partie)
• 21/11/2005
• Sécurité des réseaux (2ème partie)
• 28/11/2005
• Sécurité des contenus et échanges
• 05/12/2005
• Sécurité des accès
• 12/12/2005
• Sécurité des systèmes et services et conclusion

5
Sommaire - Introduction

• Introduction
• Quest ce que la sécurité ?
• Quoi protéger ?
• Pourquoi ?
• Contre qui ?
• Qui croire ?
• Comment protéger ?
• La politique de sécurité.

6
Quest ce que la sécurité ?

• La sécurité recouvre l'ensemble de techniques
  informatiques permettant de réduire au maximum
  les chances de fuites d'information, de
  modification de données ou de détérioration des
  services.
• Elle consiste à un très grand nombre de méthodes,
  de technologies, d'architectures permettant
  d'atteindre un certain niveau de protection.

7
Quest ce que la sécurité (2) ?

• "Sécuriser" consiste à utiliser une ou plusieurs
  de ces techniques dans le but d'élever le niveau
  de sécurité d'un système ou d'une architecture.
• La menace représente le type d'action
  susceptible de nuire dans l'absolu
• La vulnérabilité représente le niveau
  d'exposition face à la menace dans un contexte
  particulier.
• Enfin la contre-mesure est l'ensemble des
  actions mises en oeuvre en prévention de la
  menace.

8
Quoi protéger ?

• L Information  au sens large.

Voix et Vidéo
Informations Non numérisées
Sécurité des systèmes dinformation
Quelle que soit la forme prise par linformation
ou quels que soient les moyens par lesquels elle
est transmise ou stockée, il faut quelle soit
toujours protégée de manière appropriée.
Sécurité des Réseaux et échanges
Archives
Sécurité des systèmes
Sécurité juridique
Sécurité des développements
LA SECURITE DE LINFORMATION
Seulement 40 à 50 des informations nécessaires
pour faire fonctionner une entreprise sont
enregistrées sur des supports électroniques
9
Quoi protéger (2) ?

• Le triptyque DIC
• Disponibilité.
• Garantir que les utilisateurs habilités ont
  accès à linformation et aux ressources associées
  au moment voulu (pas daccès non autorisé)
• Intégrité.
• Sauvegarder lexactitude et la fidélité de
  linformation et des méthodes de traitement des
  données (pas de modification non autorisée).
• Confidentialité
• Garantir que seules les personnes habilitées
  peuvent accéder à linformation (pas de
  divulgation non autorisée).

10
Quoi protéger (3) ?

• Les actifs.
• Les actifs sont caractérisés par leur type et
  surtout par leur valeur

Actifs physiques Serveurs informatiques, PC,
portables, Matériels réseaux, PABX, unités
de climatisation.
Actifs applicatifs Progiciels, logiciels
spécifiques, Systèmes dexploitation, outils de
développement, utilitaires.
Actifs liés à la fourniture de services Services
généraux (alimentation Électrique, climatisation,
etc)
11
Pourquoi protéger ?

• Linformation est une ressource stratégique, une
  matière première, elle est un atout pour celui
  qui la possède et donc attise souvent les
  convoitises
• Les S.I. facilitent laccès à linformation
• Ils gèrent de grandes quantités dinformation et
  peuvent la rende accessible depuis nimporte quel
  point du globe
• La destruction dun S.I. peut permettre
  danéantir une entité de manière anonyme et sans
  faire un seul mort
• La loi, la réglementation et léthique seront
  toujours en retard sur la technique
• Les individus se comportent rarement comme on
  lattend
• Le comportement dun individu confronté à des
  situations inhabituelles et critiques est
  imprévisible

12
Pourquoi protéger?

• Les conséquence à retenir
• Vol dinformations et du savoir faire
• Dans un contexte de haute technologie notamment
• Atteinte à limage de marque
• NASA, e-bay, Wanadoo, RSA,
• Indisponibilité du service
• e-business,
• Perte de temps et de moyen humains
• Remise en service, recherche des dégradations
• Tache TRES difficile, peut nécessiter des moyens
  énormes
• Pertes financières !
• Modification des montants de facture
• Perte dexploitation
• Erreurs de traitement

13
Contre qui ?

• Les menaces
• Les différents types de pirates
• Les différentes arnaques et attaques
• Les accidents et inconsciences

14
La menace - Définitions

•  Violation potentielle de la sécurité  -
  ISO-7498-2
• Menace accidentelle
• Menace dun dommage non intentionnel envers le
  SI
• Catastrophe naturelle, erreur dexploitation,
  pannes
• Menace intentionnelle ou délibérée
• Par opposition à la précédente, elle est le fait
  dun acte délibéré
• Menace active
• Menace de modification non autorisée et
  délibérée de létat du système
• Dommage ou altération du SI
• Menace Passive
• Menace de divulgation non autorisée des
  informations, sans que létat du SI soit modifié
• Écoutes, lecture de fichiers,
• Menace Physique
• Menace lexistence ou létat physique du SI
• Sabotage, incendie volontaire, vol,

15
Catégories de menaces intentionnelles

• Lespionnage
• Obtention dinformations
• Le vol
• Obtention dinformations ou de ressources
• La perturbation
• Affaiblir le S.I.
• Le sabotage
• Mise hors service du S.I.
• Le chantage
• Gain financier, menace de sabotage,
• La fraude physique (récupération de bandes,
  listings, )
• Obtention dinformations
• Les accès illégitimes (usurpation didentité)
• Obtention dinformations

16
Origines / Attaquants (1)

• Accidents
• Type de menace
• Menaces accidentelles (cf. définition)
• Type dattaquants
• La nature !
• Incendies, Foudre, Inondations, etc
• Les fournisseurs
• EDF, Fournisseurs de connectivité,
  Fournisseurs de matériels et de logiciels,
• Agresseurs internes (La majorité des cas)
• Inconsciences et accidents (A ne pas négliger !)
• Provoqués par linattention ou le manque de
  formation des administrateurs ou des utilisateurs
• Hors du cadre de cette présentation

17
Origines / Attaquants (2)

• Menaces à caractère stratégiques
• Type de menace
• Menace intentionnelle active, passive et
  physique
• Pour un état
• Le secret défense et la sûreté de létat
• Le patrimoine scientifique, technique,
  économique, diplomatique
• La disponibilité des SI et le fonctionnement des
  institutions
• Pour lentreprise
• Informations concernant ses objectifs et son
  fonctionnement
• Les clients, procédés de fabrication, recherche
  et développement
• Catégories de menace
• Espionnage, vol, perturbation, sabotage, fraude
  physique, accès illégitimes
• Type dattaquants
• Espions
• Particuliers (rare), Entreprises, Gouvernements
• Terroristes

18
Origines / Attaquants (3)

• Menace à caractère idéologique
• Type de menace
• Menace intentionnelle active, passive et
  physique
• Le combat pour les idées est incessant et peut
  être le moteur dactes les plus extrêmes
• Idéologie politique, raciale, religieuse,
  économique,
• Catégorie de menace
• Espionnage, vol, perturbation, sabotage,
  chantage, fraude physique, accès illégitimes,
• Type dattaquants
• Militants
• Vandales
• Terroristes

19
Origines / Attaquants (4)

• Menace à caractère terroriste
• Type de menace
• Menace intentionnelle active, passive et
  physique
• Actions concourant à déstabiliser lordre établi
• A caractère violant destruction
• A caractère insidieux désinformation,
  détournements
• Catégorie de menace
• Espionnage, vol, perturbation, sabotage,
  chantage, fraude physique, accès illégitimes,
• Type dattaquants
• Terroristes

20
Origines / Attaquants (5)

• Menace à caractère cupide
• Type de menace
• Menace intentionnelle active, passive et
  physique
• Gain pour lattaquant
• Financier, technologique,
• Pertes pour la victime
• Entraînant un gain pour lagresseur parts de
  marché, déstabilisation du concurrent,
• Catégorie de menace
• Espionnage, vol, perturbation, sabotage,
  chantage, fraude physique, accès illégitimes,
• Type dattaquant
• Espions (concurrent ou pour le compte de)
• Crime Organisé
• Intervenants
• Ont souvent accès à des informations sensibles,
  et conservent souvent des fichiers de
  configuration,

21
Origines / Attaquants (6)

• Menace à caractère ludique
• Type de menace
• Menace intentionnelle active
• Désir de samuser ou dapprendre
• Cest la prouesse technique qui est mise en
  avant
• Catégorie de menace
• Vol, perturbation, sabotage, accès illégitimes,
  
• Type dattaquant
• Joyriders
• Vandales
• Collectionneurs

Généralement appelés Hackers ou Crackers
22
Origines / Attaquants (7)

• Menace à caractère vengeur
• Type de menace
• Menace intentionnelle active, passive et
  physique
• Également un moteur dactes extrêmes
• Souvent lexpression dun employé brimé ou
  licencié qui peut possédé une très bonne
  connaissance du SI
• Catégorie de menace
• Vol, perturbation, sabotage, accès illégitimes,
  
• Type dattaquant
• Personnes extérieures en désaccord avec lentité
• Peur être un client, un fournisseur, un
  intervenant,
• Les employés malveillants ou aigris
• Ont souvent une bonne connaissance de
  lentreprise
• Utilisateurs dépassant leurs prérogatives
• Administrateurs, informaticiens,

23
Origines / Attaquants (Conclusion)

• Conclusion
• Liste non exhaustive
• La menace peut être composite
• Plusieurs motivations (origines)
• Cupide Ludique, Idéologique Terroriste,
• Plusieurs profils de pirate
• Employé malveillant Espion,
• Les Hackers et Crackers monopolisent lattention
  mais ne sont en réalité quune composante de la
  problématique de sécurité !

24
Contre qui ? - Critères

• Comment caractériser les agresseurs ?
• Leurs compétences techniques
• Le temps qu'ils sont prêts à passer pour réussir
• Leurs motivations
• Leurs moyens
• Leurs connaissances préalables de la cible

25
Classement
Compétence
Temps
Motivation
Un hacker / étudiant externe pour le plaisir
Forte
Fort
Moyenne
Un concurrent
Forte
Faible
Forte
Un escroc (enjeu financier)
Moyenne
Moyen
Moyenne
Un opportuniste
Faible
Faible
Faible
Un membre de société de service
Forte
Faible
Faible
Un ancien membre du personnel
Moyenne
Faible
Moyenne
Moyenne
Faible
Faible
Un membre du personnel
Forte
Moyen
Faible
Un stagiaire
26
Démarche basique (Cracker)
Collecter les Outils (logiciels)
1
Attaquer la victime
2
Se vanter
3
27
Démarche intermédiaire
Collecter les Outils et se documenter
Identifier la cible
1
Collecter des informations
2
4
Attaquer la victime
3,5
28
Démarche expert (Hacker)
Maîtrise des concepts et outils
Identifier la cible
1
Collecter des informations
Développer les outils
2
4
Attaquer la victime
3,5
29
Attaques

• Attaque ! Vulnérabilité
• Attaque
• Action de malveillance consistant à tenter de
  contourner les fonctions de sécurité dun SI
  (ISO)
• Vulnérabilité
• Faiblesse ou faille dans les procédures de
  sécurité, les contrôles administratifs, les
  contrôles internes dun système, qui pourrait
  être exploitée pour obtenir un accès non autorisé
  au SI, à un de ses services, à des informations
  ou à la connaissance de leur existence et de
  permettre de porter atteinte à la
  confidentialité, à lintégrité et à la
  disponibilité du SI et de ses informations

30
Vulnérabilités

• Dans la conception
• Matériel
• Protocole
• Architecture (Système, Réseau, )
• Logiciel (OS, application, )
• Dans limplémentation
• Matériel
• Protocole
• Architecture (Système, réseau )
• Logiciel (OS, application, )
• Configuration, exploitation
• Équipement (Routeurs, Firewalls, Serveur, )
• Logiciel (OS, application, )

31
Attaques

• Intrusions
• Vandalisme
• Denis de service (DOS)
• Vol dinformations
• Escroqueries

32
Attaques (1)

• Intrusions
• Recherche de mots de passe
• Dictionnaire
• Écoute du réseau
•  Brute force 
• Le Spoofing
• Les sniffers et scanners
• Les exploits

33
Attaques (2)

• Vandalisme
• Destruction de fichiers
• Destruction de systèmes
• Défiguration de site Web

34
Attaques (3)

• Denis de service (DOS)
• Bombes logiques (virus)
• Le flood
• TCP-SYN Flooding
• Le Nuke
• Le spamming
• Denis de service distribué (DDOS)
• Amplification des DOS

35
Attaques (4)

• Vol dinformation
• Suite à une intrusion
• Interception
• Écoute
• Cryptanalyse

36
Les principales escroqueries

• Lingénierie sociale.
• Il s'agit ainsi d'une technique consistant à
  obtenir des informations de la part des
  utilisateurs par téléphone, courrier
  électronique, courrier traditionnel ou contact
  direct
• Exemple Le message vocal du Président de
  Hewlett-Packard à son Directeur administratif et
  financier, où il évoquait la fusion avec Compaq a
  été intercepté et diffusé à travers lInternet.
  - Avril 2002 -

37
Les principales escroqueries

• Le scam.
• Pratique frauduleuse consistant à extorquer des
  fonds à des internautes en leur faisant miroiter
  une somme d'argent dont ils pourraient toucher un
  pourcentage.

38
Les principales escroqueries (2)

• Le phreaking.
• Contraction des mots anglais phone (téléphone)
  et freak (monstre) désignant le piratage de
  lignes téléphoniques
• Technique frauduleuse permettant lutilisation
  gratuite de ressources téléphoniques depuis
  lextérieur.
• Exemple Le piratage du standard téléphonique
  de la Cité des Congrès de Nantes a duré trois
  journées le montant de la facture de téléphone
  sest élevé de 2 000 à 70 000 .  - La
  Tribune février 2002 -

39
Les principales escroqueries (3)

• Le phising.
• Contraction des mots anglais fishing, en
  français pêche, et phreaking
• Technique frauduleuse utilisée par les pirates
  informatiques pour récupérer des informations
  (généralement bancaires) auprès d'internautes.
• Technique d'ingénierie sociale c'est-à-dire
  consistant à exploiter non pas une faille
  informatique mais la faille humaine en dupant
  les internautes par le biais d'un courrier
  électronique semblant provenir d'une entreprise
  de confiance.

40
Les principales escroqueries (4)

• Le Hoax ou canular.
• Courrier électronique propageant une fausse
  information et poussant le destinataire à
  diffuser la fausse nouvelle à tous ses proches ou
  collègues.
• Les conséquences
• L'engorgement des réseaux et des serveurs de
  messagerie,
• Une désinformation, c'est-à-dire faire admettre
  à de nombreuses personnes de faux concepts ou
  véhiculer de fausses rumeurs,
• La perte de temps, tant pour ceux qui lisent
  l'information, que pour ceux qui la relaye
• La dégradation de l'image d'une personne ou bien
  d'une entreprise,
• L'incrédulité à force de recevoir de fausses
  alertes les usagers du réseau risquent de ne plus
  croire aux vraies.

41
Les virus

• Programme informatique situé dans le corps d'un
  autre, qui, lorsqu'on l'exécute, se charge en
  mémoire et exécute les instructions que son
  auteur a programmé
• Différents types.
• Les vers
• Les troyens
• Les bombes logiques
• Les spywares

42
Les virus (2)

• Les vers.
• Programme qui peut s'auto-reproduire et se
  déplacer à travers un réseau en utilisant les
  mécanismes réseau, sans avoir réellement besoin
  d'un support physique ou logique pour se propager
• Les vers actuels se propagent principalement
  grâce à la messagerie grâce à des fichiers
  attachés contenant des instructions permettant de
  récupérer l'ensemble des adresses de courrier
  contenues dans le carnet d'adresse et en envoyant
  des copies d'eux-même à tous ces destinataires.

43
Les virus (3)

• Les chevaux de Troie.
• Programme (en anglais trojan horse) caché dans
  un autre qui exécute des commandes sournoises, et
  qui généralement donne un accès à la machine sur
  laquelle il est exécuté en ouvrant une porte
  dérobée (en anglais backdoor
• Vol de mots de passe
• Copie de données
• Exécution daction nuisible

44
Les virus (4)

• Les bombes.
• Dispositifs programmés dont le déclenchement
  s'effectue à un moment déterminé en exploitant la
  date du système, le lancement d'une commande, ou
  n'importe quel appel au système
• Généralement utilisées dans le but de créer un
  déni de service
• Exemple la bombe logique Tchernobyl s'est
  activée le 26 avril 1999

45
Les virus (5)

• Les spyware ou espiogiciels.
• Programme chargé de recueillir des informations
  sur l'utilisateur de l'ordinateur sur lequel il
  est installé (on l'appelle donc parfois mouchard)
  afin de les envoyer à la société qui le diffuse
  pour lui permettre de dresser le profil des
  internautes (profiling).
• Keyloggers Dispositif chargé d'enregistrer les
  frappes de touches du clavier et de les
  enregistrer, à l'insu de l'utilisateur. Il s'agit
  donc d'un dispositif d'espionnage.

46
Taxinomie dun incident

• Taxinomie (ou Taxonomie)
• Classification déléments selon des taxons
• Taxon (biologie)
• Unité formelle représentée par un groupe
  dorganismes, à chaque niveau de la
  classification.

47
(No Transcript)
48
Qui croire ?

• Personne ! (méthode paranoïaque)
• Tout le monde nest pas mal intentionné
• Il existe des gens mal intentionnés
• Il existe des gens bien intentionnés mais
  irresponsables (Microsoft, ebay,)
• A qui fait-on confiance ?
• Éditeurs
• Partenaires
• Intervenants (SSII, intégrateurs, consultants,
  )
• Sassurer quils sont aussi rigoureux que vous
  sur la sécurité

49
Comment protéger ?

• Pas de sécurité
• Miser sur la discrétion
• Sécurité des systèmes
• Sécurité du réseau
• Sensibiliser et former le personnel
• Aucun modèle de sécurité ne peut résoudre tous
  les problèmes
• Définir une politique de sécurité
• Définir une démarche sécurité

50
La politique de sécurité ?

• Cest un dispositif global dont la mise en œuvre
  assure que linformation peut être partagée dune
  façon qui garantit un niveau approprié de
  protection de cette information et des actifs
  liés.
• Toutes méthodes, techniques et outils concourant
  à la protection linformation contre un large
  éventail de menaces afin
• De garantir la continuité dactivité de
  lentreprise,
• De réduire les dommages éventuels sur lactivité
  de lentreprise,
• De maximiser le retour sur investissement des
  Systèmes dInformation.

51
La politique de sécurité (2).

• Les domaines.

52
La politique de sécurité (3).

• La démarche type.

53
La politique de sécurité (4).

• Les différentes approches.

54
La politique de sécurité (5).

• Les normes ISO concernant la sécurité.

55
Les normes ISO.

• La norme ISO/IEC 15408
• Certification internationale relative à la
  sécurité des produits de technologies de
  linformation.
• A destination des industriels du secteur des
  T.I.C avant tout Editeurs de logiciels,
  constructeurs déquipements
• Un catalogue des exigences fonctionnelles et
  dassurance de sécurité,
• Éléments pour la spécification des exigences de
  sécurité (cible de sécurité, profil de
  protection),
• La description des 7 niveaux dassurance de
  lévaluation (EAL),

56
Les normes ISO (2).

• La norme ISO 13335.
• ISO TR 13335 Guidelines for the management of
  IT Security.
• Partie 1 Concepts et modèles pour
• la sécurité des T.I,
• Partie 2 Management et planification
• de la sécurité des T.I,
• Partie 3 Techniques pour la gestion
• de la sécurité des T.I,
• Partie 4 Sélection de mesures de
• sécurité,
• Partie 5 Guide pour la gestion de la
• Sécurité du réseau.

57
Les normes ISO (2).

• La norme ISO 13335.
• ISO TR 13335 Guidelines for the management of
  IT Security.
• Partie 1 Concepts et modèles pour
• la sécurité des T.I,
• Partie 2 Management et planification
• de la sécurité des T.I,
• Partie 3 Techniques pour la gestion
• de la sécurité des T.I,
• Partie 4 Sélection de mesures de
• sécurité,
• Partie 5 Guide pour la gestion de la
• Sécurité du réseau.

58
Les normes ISO (3)

• ISO 17799
• Standard international basé sur les bonnes
  pratiques de la gestion de la sécurité de
  linformation,
• Une approche sappuyant sur la gestion de
  risques pour définir une politique, des
  procédures et des contrôles appropriés pour gérer
  ces risques

59
Les normes ISO (4)

• Synthèse.

60
La norme ISO 17799 (1)

• ISO 17799 est
• Une norme internationale structurée dédiée à la
  sécurité de linformation,
• Un processus élaboré pour évaluer, implémenter,
  maintenir et gérer la sécurité de linformation,
• Une série de contrôles basés sur les bonnes
  pratiques en sécurité de linformation,
• Développé par des industriels pour des
  industriels,
• Pouvant sappuyer sur la norme IS0 13335
  guidelines for the management of IT Security,
• Un processus équilibré entre sécurité physique,
  technique, procédurale et la sécurité du
  personnel.

61
La norme ISO 17799 (2)

• ISO 17799 contient
• 10 chapitres,
• 127 objectifs de contrôle classé en 3 familles
• Organisationnels
• Politique de sécurité,
• Organisation de la sécurité,
• Continuité dactivité
• Fonctionnels
• Réglementation et lois applicables,
• Gestion des ressources humaines,
• Opérationnels
• Sécurité et accès logiques,
• Développement et gestion des évolutions,
• Sécurité et accès physiques,

10
10
80
62
La norme ISO 17799 (3)

• Les 10 chapitre de la norme

63
La norme ISO 17799 (4).
Politique de sécurité
1

• Lobjectif est, pour la direction, de
• Exprimer formellement la stratégie de sécurité
  de lorganisation,
• Communiquer clairement son appui à sa mise en
  œuvre.

• Ce document soit être approuvé
• Il doit être révisé et adapté périodiquement en
  prenant en compte lefficacité de ses mesures, le
  coût et limpact des contrôles sur lactivité,
  les effets des évolutions technologiques.

• La sécurité est une responsabilité partagée par
  tous les membres de léquipe de direction
• Création dun comité de direction multifonction
  dédié pour assurer le pilotage de la sécurité,
• Définit rôles et responsabilités, les méthodes
  et procédures et soutient les initiatives de
  promotion et de communication interne.

64
La norme ISO 17799 (5).

• Lobjectif est de
• Gérer efficacement la sécurité de linformation
  dans lorganisation,
• Maintenir la sécurité des moyens de traitement
  et des actifs accédés par des tiers ou des
  sous-traitants,
• Maintenir la sécurité des informations lorsque
  la responsabilité du traitement des informations
  est externalisée à une autre organisation.

65
La norme ISO 17799 (6).

• Lobjectif est de maintenir le niveau de
  protection adapté à chaque actif dinformation en
  accord avec la politique de sécurité
• Tout actif important doit être répertorié et
  alloué à un responsable nominatif,
• Linformation doit être classifiée en fonction
  du besoin, de la priorité et du degré de sécurité.

• Les procédures de classification des
  informations doivent être définies et couvrir la
  manipulation des informations sous forme physique
  aussi bien que électronique, et pour les
  différentes activités de copie, stockage,
  transmission et destruction.

66
La norme ISO 17799 (7).

• Lobjectif est de maintenir le niveau de
  protection adapté à chaque actif dinformation en
  accord avec la politique de sécurité
• Tout actif important doit être répertorié et
  alloué à un responsable nominatif,
• Linformation doit être classifiée en fonction
  du besoin, de la priorité et du degré de sécurité.

• Les procédures de classification des
  informations doivent être définies et couvrir la
  manipulation des informations sous forme physique
  aussi bien que électronique, et pour les
  différentes activités de copie, stockage,
  transmission et destruction.

67
La norme ISO 17799 (8).
Sécurité liée au personnel
4

• Plus de 60 des incidents proviennent de
  lintérieur de lentreprise !

• Lobjectif est de
• Réduire le risque derreur, de vol, de fraude ou
  de mauvais usage des moyens de traitement,
• Sassurer que les utilisateurs ont été informés
  des risques et menaces concernant les
  informations,
• Sassurer que les utilisateurs sont formés et
  équipés pour appliquer la politique de sûreté
  lors de leurs activités normales,
• Minimiser les dommages en cas dincident ou de
  dysfonctionnement,
• Savoir capitaliser sur ces incidents et
  sadapter.

68
La norme ISO 17799 (8).

• Lobjectif est de
• Prévenir les accès non autorisés, les dommages
  et les interférences sur les informations, les
  activités et les locaux de lorganisation,
• Prévenir la compromission ou le vol des
  informations ou des moyens de traitement.

69
La norme ISO 17799 (9).

• Lobjectif est de
• Assurer une exploitation correcte et sure des
  moyens de traitement,
• Minimiser les risques de pannes et leur impact,
• Assurer lintégrité et la disponibilité des
  informations, des traitements et des
  communications,
• Prévenir les dommages aux actifs et les
  interruptions de service,
• Prévenir les pertes, les modifications et les
  utilisations frauduleuses dinformations
  échangées entre organisations.

70
La norme ISO 17799 (9).

• Lobjectif est de
• Gérer et contrôler laccès aux informations,
• Prévenir les accès non autorisés,
• Assurer la protection des systèmes en réseau,
• Détecter les activités non autorisées,
• Assurer la sécurité des informations lors des
  accès mobiles ou distants.

71
La norme ISO 17799 (10).

• La politique de contrôle comprend notamment
• Lenregistrement unique de chaque utilisateur,
• Une procédure écrite de délivrance dun
  processus dauthentification signée du
  responsable hiérarchique,
• Des services de déconnexion automatique en cas
  dinactivité,
• Une politique de révision des mots de passe,
• Une hiérarchisation du niveau daccès en
  fonction du degré de confidentialité des données.

72
La norme ISO 17799 (11).

• Lobjectif est de
• Assurer que la sécurité soit incluse dès la
  phase de conception,
• Prévenir la perte, la modification ou la
  mauvaise utilisation des informations hébergées
  par les systèmes,
• Protéger la confidentialité, lintégrité et la
  disponibilité des informations,
• Assurer que les projets et activités de
  maintenance sont conduits de manière sûre,
• Maintenir la sécurité des applications (logiciel
  et données).

73
La norme ISO 17799 (12).

• Lobjectif est de développer la capacité à
  répondre rapidement aux interruptions des
  activités critiques de lorganisation résultant
  de pannes, dincidents, de sinistres ou e
  catastrophes.
• Une analyse des risques à partir de divers
  scénarii de sinistre et une évaluation de la
  criticité des applications permet détablir
  différents plans de poursuite des opérations
  depuis le mode dégradé en cas de
  dysfonctionnement mineur jusquà la reprise dans
  un local distant en cas de sinistre grave
  (incendie, attentat, grève,)

74
La norme ISO 17799 (13).

• La conformité se décline en 3 volets
• Le respect des lois et réglementations Licences
  logicielles, propriété intellectuelle, règles de
  manipulation des fichiers contenant des
  informations touchant la confidentialité des
  personnes,
• La conformité des procédures en place au regard
  de la politique de sécurité de lorganisation,
  cest à dire des dispositifs mis en place pour
  assurer les objectifs de sécurité définis par la
  Direction Générale,
• Lefficacité des dispositifs de traçabilité et
  de suivi des procédures en place Journaux
  dactivité, pistes daudit, enregistrement de
  transactions,

75
Les méthodes de sécurité.

• Les plus connues en France sont MEHARI (Clusif),
  EBIOS (DCSSI) et MARION (Clusif).
• Ces méthodes ont leurs propres référentiels qui
  ne couvrent pas toujours strictement le spectre
  de lISO 17799,
• Il peut par conséquent être nécessaire de
  retravailler les bases de connaissance de ces
  méthodes pour obtenir une couverture complète de
  la sécurité de lInformation,
• La commission  méthodes  du Clusif a corrélé
  la base de connaissance de MEHARI afin de couvrir
  lensemble des mesures de ISO 17799.

76
Système de Management de la Sécurité de
lInformation.

• Management System Système pour établir la
  politique et les objectifs et pour atteindre ces
  objectifs (ISO guide 72).
• Les systèmes de management sont utilisés dans les
  entreprises pour développer leurs politiques et
  les mettre en application à travers des objectifs
  et des cibles en utilisant
• Une organisation dans lentreprise,
• Des processus et des ressources associés,
• Des contrôles et une méthode dévaluation,
• Des processus de révision pour garantir que les
  anomalies sont corrigées et mettre en œuvre des
  axes damélioration le cas échéant.

77
Système de Management de la Sécurité de
lInformation (2).

• Certaines organisations commencent à aborder la
  sécurité de linformation comme un système
  intégré appelé un Information System Management
  System (ISMS).
• Mise en œuvre dun vrai processus danalyse,
  délaboration de contrôle et dévolution dune
  politique de sécurité en appliquant un concept
  bien connu en qualité, le modèle PDCA.

78
Système de Management de la Sécurité de
lInformation (3).

• Modèle PDCA.

MODELE PDCA
PLAN Etablir les objectifs conformément aux
risques et aux exigences de sécurité, DO
Implémenter et opérer les fonctionnalités et
procédures, CHECK Gérer les incidents, les
erreurs, auditer, ACT Faire évoluer la politique
et les moyens conformément aux besoins.
79
Système de Management de la Sécurité de
lInformation (4).

• Les normes pour construire un SMSI.

80
La certification BS7799-2

• A linstar de ISO 9000 pour le management de la
  qualité, BS 7799-2 est la seule norme et
  certification qui existe actuellement pour les
  ISMS.
• Définit les conditions pour létablissement, la
  mise en œuvre et la documentation dun ISMS,
• Définit les exigences de contrôles pour la
  sécurité devant être mis en application selon les
  besoins de différents organismes,
• Elle se compose de 10 chapitres de 127
  contrôles,
• Nécessite 2 étapes (audit de la documentation
  puis audit de limplémentation),
• En France, le COFRAC (Comité Français
  dAccréditation et de Certification) peut valider
  un schéma de certification BS 7799-2.