Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Faculté des sciences de Tunis Section : Mastere2 SRT A.U : 2021-2022 Audit de l

Faculté des sciences de Tunis Section : Mastere2 SRT A.U : 2021-2022 Audit de la Sécurité Informatique & système D’information Cours présenté par KHEDHIRI Kamel Kameli_khediri@yahoo.fr 1 Partie 1  Pourquoi sécuriser un réseau ?   Principes de sécurité importants   Rappel sur les normes utiles en sécurité réseau   Introduction à l’Audit Sécurité   Démarche de réalisation d’une mission d’Audit Sécurité   Approches d’Audit Sécurité   Les étapes d’Audit Sécurité (Audit Niveau 1, Audit Niveau 2)  Description détaillée des phases de l’Audit Niveau 2 (Audit Technique)   Livrables de la phase d’audit niveau 2 (présentation d’un modèle type d’un rapport d’audit technique) 2 Partie 2 : Outils et logiciels utilisés lors de l’audit niveau 2 (principalement de l’Open Source)  Les outils utilisés pour chaque phase d’audit technique  Outils et logiciels utilisés lors de la phase 1 de l’Audit Technique : Audit de l’architecture du système  Outils et logiciels utilisés lors de la phase 2 de l’Audit Technique :   Audit de la résistance du système face aux failles connues, via une analyse automatisée des vulnérabilités   Outils et logiciels utilisés lors de la phase 3 de l’Audit Technique :   Audit de l’architecture de sécurité existante   Description détaillée des tests de sécurité à réaliser au cours de la l’audit technique 3 Partie 3: Outils de protection réseau (principalement de l’Open Source)  Prototype d’une architecture de sécurité basé sur des outils du monde des logiciels libres (firewalls, détection d’intrusions, contrôle d’intégrité, etc..)   Présentation des solutions de corrélation de vulnérabilités 4 Pourquoi sécuriser un réseau ? Intrus Intrus interne externe Actifs de l'entreprise Autorisations Virus Incorrectes Une conception de sécurité réseau protège les actifs des menaces et vulnérabilités de façon organisée Pour élaborer une conception de sécurité, analysez les risques pesant sur vos actifs et créez des réponses 5 Principes de sécurité importants Principe Définition Offre plusieurs niveaux de Défense en protection contre les profondeur menaces en plusieurs points du réseau Octroie à un utilisateur ou Moindre une ressource les privilèges ou autorisations minimaux privilège nécessaires à l'exécution d'une tâche Surface d'attaque Réduit les points vulnérables 6 minimisée d'un réseau Les normes de sécurité informatique BS 7799 / ISO 17799, ISO 27002 , ISO 27001, BS 7799-2 7 Plan • Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 • Normes BS 7799, ISO 17799 et ISO 27002 • Qualités de BS 7799 / ISO 17799 • Les dix contextes clés de ISO 17799 • Normes ISO 27001, BS 7799-2 • Approche de gestion (Modèle PDCA) • Historique • Pour qui ? • Implantation • Outils et logiciels 8 Les normes de Sécurité Informatique . Sécurité des informations, normes BS 7799, ISO 17799, ISO 27001 • Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes d’information sont disponibles. Elles constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente. 9 Les normes de Sécurité Informatique • L’ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO 27000. Certaines sont obligatoires pour obtenir une certification (27001 et 27006), les autres ne sont que des guides : • l'ISO 17799 sera renommé en 27002, le 1er avril 2007. • l'ISO 27006 est en cours de fabrication - sortie prévue fin novembre. • l'ISO 27004 et l'ISO 27005 sont à l'état de drafts avancés. 10 Normes BS 7799, ISO 17799 et ISO 27002 ? • Un ensemble de contrôles basés sur les meilleures pratiques en sécurité des informations; • Standard international qui couvre tous les aspects de la sécurité informatique: – Équipements; – Politiques de gestion; – Ressources humaines; – Aspects juridiques. 11 Normes BS 7799, ISO 17799 et ISO 27002 • ISO 17799 (partie 1) se veut un guide contenant des . conseils et des recommandations permettant d’assurer la sécurité des informations d’une entreprise. • La norme ISO 17799 (partie 2 :2005), prochainement renommée 27002, est directement tirée de la BS 7799-1 (créée par le BSI British Standard Institute). Elle correspond à un niveau de détail plus fin que la 27001 et spécifie une Politique de la Sécurité des Systèmes d'Information. C'est une liste détaillée et commentée de mesures de sécurité. Cette norme est un guide de Bonnes Pratiques (Best Practices) 12 Normes BS 7799, ISO 17799 et ISO 27002 Pour maîtriser la sécurité d'un système d'information. Plusieurs versions de la BS 7799 ont été élaborées depuis le début des années 1990 et la dernière est devenue la norme ISO/IEC 17799. Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de définition : 1. périmètre à protéger (liste des biens sensibles), 2. nature des menaces, 3. impact sur le système d'information, 4. mesures de protection à mettre en place. 13 Normes BS 7799, ISO 17799 et ISO 27002 • L’ ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3, mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant ce qui est nécessaire de mettre en place, sans toutefois préciser en détail comment. • La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de vérification répartis en 11 domaines : 14 Normes BS 7799, ISO 17799 et ISO 27002 • 1. Politique de sécurité • 2. Organisation de la sécurité : - organisation humaine, implication hiérarchique, - notion de propriétaire d’une information et mode de classification, - évaluation des nouvelles informations, - mode d’accès aux informations par une tierce partie, - Répartition des responsabilités, groupes de travail, … 3. Classification et contrôle des biens - Identifications des actifs, Classification de l’information 15 Normes BS 7799, ISO 17799 et ISO 27002 • 4. Sécurité du personnel - contrats de travail, Sensibilisation à la sécurité, implication dans la sécurité • 5. Sécurité physique - organisation des locaux et des accès, - protection contre les risques physiques (incendies, inondations...) - systèmes de surveillance et d’alerte, - sécurité des locaux ouverts et des documents circulant. 16 Normes BS 7799, ISO 17799 et ISO 27002 • 6. Communication et exploitation: - Gestion des incidents, - Gestion du réseau - prise en compte de la sécurité dans les procédures de l’entreprise, - mise en oeuvre des systèmes de sécurisation (anti- virus, alarmes..), • 7. Contrôle d'accès: - Utilisateurs - Définition des niveaux d’utilisateurs et de leur droit d’accès, 17 Normes BS 7799, ISO 17799 et ISO 27002 - Gestion dans le temps des droits, - Réseau - Système d’exploitation - Application • 8. Acquisition, développement et maintenance des systèmes - Contrôles cryptographiques - Sécurité des fichiers - Chevaux de Troie • 9. Gestion des incidents 18 Normes BS 7799, ISO 17799 et ISO 27002 • 10. Management de la continuité de service -Planification, test, réévaluation • 11. Conformité: - dispositions réglementaires - dispositions légales - dispositions internes (Politique) • La norme n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps. • Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès, locaux...). 19 Qualités de BS 7799 / ISO 17799 • Couverture de la norme; • Éprouvée; • Publique; • Internationale; • Image de marque associé à « la qualité » • Évolutive et souplesse (s’adapter aux contextes); • Disponibilité d’outils et de support. 20 Les dix contextes clés de ISO 17799 Politique de sécurité Conformité Sécurité de L’organisation Gestion de la Classification et continuité Intégrité Confidentialité contrôle des actifs Information Développement Sécurité du et maintenance Disponibilité personnel Contrôle des Sécurité physique et accès Gestion des environnementale Communications et opérations 21 Organisationnel 1. Pol Politique de sécurité 2. Sécurité de l’organisation 3. Classification et contrôle des actifs 7. Contrôle des accès 10. Conformité 4. Sécurité du personnel 5. Sécurité physique et environnementale 8. Développement et maintenance 6. Gestion des communications et opérations 9. Gestion de la continuité Opérationnel 22 Normes ISO 27001, BS 7799-2 • La norme ISO 27001, publiée en Novembre 2005, définit la Politique du Management de la Sécurité des SI au sein d'une entreprise. Elle est issue de la BS 7799-2:1999 Spécification for information Security management Systems qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en œuvre est obligatoire. 23 Normes ISO 27001, BS 7799-2 • La norme ISO 27001 comprend 6 domaines de processus : 1. Définir une politique de la sécurité des informations, 2. Définir le périmètre du Système de Management de la sécurité de l'information, 3. Réaliser une évaluation des risques liés à la sécurité, 4. Gérer les risques identifiés, 5. Choisir et mettre en oeuvre les contrôles. Préparer un SoA («statement of applicability"). 24 Normes ISO 27001, BS 7799-2 BS 7799-2 • La norme ISO uploads/Ingenierie_Lourd/ audit-de-la-securite 1 .pdf