Cours de sécurité
6.3 Exigence de la sécurité. 6.4 Méthodes de chiffrement. 6.5 Les problèmes
posés. 6.5.1 Les certificats. 6.5.2 Types d'usage. 6.5.3 Les problèmes. 7 Les
aspects juridiques. 7.1 Les annuaires. 7.1.1 Sécurité et LDAP. 7.1.2 L'annuaire
de sécurité. 8 Exercices. 8.1 Exercice 1. 8.2 Exercice 2. 8.3 Exercice 3. 8.4
Exercice 4.
Part of the document
Cours de sécurité
"La sécurité c'est la tranquillité." TABLE DES MATIERES
1 Introduction 3 1.1 Les métiers 3
1.2 Chronologie 3
1.3 La sécurité 4 2 Management de la sécurité de l'information 5 2.1 Les étapes 5
2.2 Les Outils 5
2.3 Principes d'une société : DIC 5
2.4 La politique de sécurité 6
2.5 Les responsabilités 7
2.6 Processus d'embauche et débauche 7 3 Classification de l'information 7
4 L'analyse de risque 9 4.1 Objectif 9
4.2 Définitions et intérêt 9
4.3 Mise en place de l'analyse de risque 10 5 Contrôle des accès 11 5.1 Séparation des fonctions 11
5.2 Les types de contrôles d'accès 12
5.3 Contrôles d'accès centralisés 13
5.3.1 Protocoles d'authentification 14
5.3.2 Les solutions 15
5.4 Les formes de contrôle d'accès 17 6 Utilisation de la cryptologie en entreprise 18 6.1 Vocabulaire 18
6.2 But de la crypto 18
6.3 Exigence de la sécurité 19
6.4 Méthodes de chiffrement 19
6.5 Les problèmes posés 20
6.5.1 Les certificats 20
6.5.2 Types d'usage 20
6.5.3 Les problèmes 21 7 Les aspects juridiques 21 7.1 Les annuaires 22
7.1.1 Sécurité et LDAP 22
7.1.2 L'annuaire de sécurité 23 8 Exercices 23 8.1 Exercice 1 23
8.2 Exercice 2 25
8.3 Exercice 3 25
8.4 Exercice 4 26
8.5 Exercice 5 27 9 L'audit 29
10 Gestion d'incidents 29
11 Livres 30
Introduction 1 Les métiers
[pic] Définition : Audit
Vérifier la conformité Définition : Pilotage opérationnel
Veille, gestion d'incidents et de crises 2 Chronologie
Entre 1975 et 1991 : Sécurité de l'information
- Loi Informatique et Liberté (1978)
- Loi sur la Fraude Informatique (1988)
- Sécurité physique
- Plan de secours
- Accès logique
- Virus Entre 1991 et 1995 : Secret des correspondances
- Cloisonnement RSSI
- SSO
- Accès logique distribué 1995 : Droit du logiciel 1996 : Cryptologie non chiffrante 1999 : Chiffrement < 40 bits
- Intelligence économique
- Espionnage
- Détection d'intrusion
- Audit 2000 : Cybercriminalité
- Droit de la preuve
- Signature électronique
- Sécurité quotidienne 2003 - 2004 :
- LSF
- LCEN
- Norme, certification
- Cyber surveillance
- Sécurité e-business 3 La sécurité
La séparation des responsabilités est importante. Une bonne pratique est la
rotation des postes.
L'analyse de risque est importante : Risque résiduel : assurable
Risque Contre mesure Analyse de risque sur les actifs (assets) Évaluation Menace Vulnérabilité Pour être sûr que l'on se trouve bien sur le risque résiduel, on fait un
audit.
Il est aussi important de sensibiliser les gens à la sécurité, avec un
programme de sensibilisation.
- Affichage d'interdiction : peur du gendarme
- Répression
- Education ludique (séminaire, jeux de sensibilisation) Management de la sécurité de l'information 1 Les étapes
1. Identifier les actifs informationnels (information asset)
2. Organisation à mettre en place
3. Développement
4. Documentation
5. Politique de sécurité (PSSI)
> Standards
> Procédures
> Directives 2 Les Outils
L'analyse de risque :
> Identifier la menace
> Classifier l'actif
> Hiérarchiser les vulnérabilités
( Établir les contre-mesures 3 Principes d'une société : DIC
Disponibilité :
Permettre un accès opportun aux données, et aux services par les
personnes autorisées. Intégrité :
Modification par une personne non autorisée
Modification non autorisée par un processus autorisé
Consistance interne et externe
( Véracité par rapport au monde réel Confidentialité :
Concept pour prévenir la diffusion intentionnelle ou non
intentionnelle d'informations.
Au contraire : DAD (Disclosure, Alteration, Destruction).
4 La politique de sécurité
Documentation supplémentaire : google : "cigref" L'implication du corps exécutif dans la sécurité est nécessaire. La politique de sécurité est un document qui définit les grandes lignes de
la sécurité dans l'entreprise :
- Les droits et le cadre de la sécurité (quels sont les droits d'un
ingénieur sécurité)
- Les objectifs à atteindre
Il prend en compte les actifs déjà présents, et confère de l'autorité au
personnel s'occupant de la sécurité. Ceux-ci ont une responsabilité dans la
sécurité.
( C'est un document très important. Il contient les éléments suivants :
. Directives : Les grandes lignes de ce que l'on va dire
. Standards : Les schémas directeur
. Procédure : Comment les choses doivent être faite
Standards Procédures Directives (Guidelines) Recommandations
(Baselines)
Il est important que tous ces documents soient communiqués et compris de
tous.
5 Les responsabilités
Le management exécutif (PDG, DG, etc.) est responsable des actifs. Le personnel de sécurité est responsable de la conception, réalisation,
organisation sécuritaire, etc. Le propriétaire des données, ou MOA, définit les droits d'accès à ces
données, la criticité et la sensibilité des données, la classification et
l'évaluation des risques de la donnée. L'auditeur garanti que les objectifs de sécurité sont appropriés et
efficaces. Il vérifie que les objectifs sont bien atteints. 6 Processus d'embauche et débauche
Il est nécessaire de :
- Contrôler la personne avant de l'embaucher, mais aussi à chaque prise
de responsabilités supplémentaire (montée des échelons).
- Souscrire à l'éthique.
- Coordonner avec la partie informatique pour gérer les habilitations. Concernant le poste, il doit être défini avec précision sur la fiche de
poste. Lors du départ, un salarié doit restituer les biens de l'entreprise, et ses
habilitations doivent être suspendues (au moment du départ, pas avant). Classification de l'information
= rendre confidentiel Utilité :
- Réduire les risques d'altération
- Éviter les risques de divulgation
- Conserver un avantage concurrentiel
- Respecter la loi
- Établir une classification ( besoin + priorité
- Garantir niveau (( actif Avantage :
- Identifier les informations sensibles et critiques
- Sensibiliser et montrer une démarche d'engagement
- Sensibiliser au besoin de confidentialité Il ne faut pas prendre en compte la volumétrie (nombre d'informations).
L'information est classifiée par le propriétaire de la donnée. Le classificateur doit connaître les attentes du client.
Tous les éléments classés doivent être étiqueté clairement.
Tout processus de classification doit avoir un processus de
déclassification (rendu non confidentiel). Penser au processus d'impression (pas d'impression de documenets
confidentiels sur une imprimante commune dans le couloir).
Penser aussi à installer des broyeurs. La classification considère ce qui suit :
- La notion de convertibilité (EFT - Electronic Font Transfer)
- L'utilité, le service
- Le coût de création, recréation de l'information
- La propriété exclusive de l'entreprise Démarche pour classifier l'information :
1. Identifier les administrateurs (les gardiens)
2. Spécification des critères pour classifier et pour labelliser
3. Classement des données par propriétaire
4. Spécification et documentation des exceptions
5. Spécification des moyens de sécurité (les contrôles)
6. Spécification de la procédure de déclassification
7. Création d'un programme de sensibilisation Les rôles :
- Le propriétaire est responsable de l'information à protéger
- Le gardien s'assure que le niveau de classification est en adéquation
avec les moyens de sécurité mis en place (aspects techniques,
backups). Il est responsable de remonter le niveau de sécurité s'il
n'est pas en adéquation avec le niveau de classification.
- L'utilisateur doit respecter les procédures opérationnelles.
Vocabulaire : OpenView
Divulgation d'informations par des personnes non autorisée et ayant eu
accès à cette l'information. L'analyse de risque 1 Objectif
1. Identifier les menaces concernant les processus métier et systèmes
informatique et les vulnérabilités associées
2. Justifier l'implémentation des contre-mesures
2 Définitions et intérêt
Le risque : Risque = Vulnérabilité * Menace * Impact Vulnérabilité :
Faiblesse d'un système d'information susceptible d'être exploitée par
des menaces dans le but de les compromettre. Menace :
Tout danger potentiel contre des informations ou un système
d'information (danger humain ou pas). Impact :
Perte subie si le risque survient. L'impact est souvent exprimé par un
montant qu'une organisation est prête à débourser afin d'éviter que le
risque ne se produise. Facteur d'exposition :
Pourcentage de la valeur de l'actif qui est exposé en cas de
sinistre. Contre-mesure et dispositifs de protection :
Processus technique, administratif ou autre permettant de réduire les
risques potentiels. Risque résiduel :
Risque après implémentation des contre-mesures [pic]
Source d'entrée pour évaluer la menace :
- Propriétaire
- Utilisateur
- Auditeur
- Historique du site
- Administrateur
- Archive gouvernementale L'analyse de risque est importante et permet :
- d'identifier les failles, tant au niveau informatique (infrastructure,
applications, etc.) qu'au niveau organisationnel (politique de
sécurité, processu