Sécurité des systèmes d'information $Revision: 1618 $ 1 Sécurité des systèmes d

Sécurité des systèmes d'information $Revision: 1618 $ 1 Sécurité des systèmes d'information Philippe Latu philippe.latu(at)linux-france.org http://www.linux-france.org/prj/inetdoc/ Historique des versions $Revision: 1618 $ $Date: 2011-04-04 00:07:57 +0200 (lun. 04 avril 2011) $ $Author: latu $ Année universitaire 2010-2011. Résumé Ce document présente le syllabus du cours sur le thème Sécurité des systèmes d'information dispensé au niveau M2 (ex DESS) de la filière Systèmes de Télécommunications et Réseaux Informatiques (STRI) à l'Université Paul Sabatier - Toulouse III. Table des matières 1. Volume horaire, méthode pédagogique et projet ........................................................................................ 1 2. Scénario d'entreprise type : Candide S.A. .................................................................................................. 2 3. Architecture du système d'information ...................................................................................................... 2 4. Echéancier des séances ........................................................................................................................... 3 5. Évaluation ............................................................................................................................................. 4 6. Documents de référence .......................................................................................................................... 6 1. Volume horaire, méthode pédagogique et projet Il est possible d'aborder l'enseignement sur la sécurité des systèmes d'information suivant plusieurs axes pédagogiques. Dans le cas présent, l'objectif général est de faire «découvrir» l'importance des processus de sécurité à partir d'illustrations pratiques. Il est bien entendu que ce choix ne prétend nullement être «la bonne méthode» pédagogique. Il est cependant complètement ridicule d'enfermer les choix pédagogiques dans une opposition artificielle entre un enseignement académique qui introduit le vocabulaire et les méthodologies sans aucune application et un enseignement cantonné dans la technique qui ne propose aucune prise de recul. Ce cours est un module construit sur 10 séances de 3 heures et une séance d'évaluation de 3 heures. Les 7 séances sont réparties de la façon suivante : • 3 séances de cours avec la promotion complète. • 7 séances de travaux pratiques en groupe. À la suite de la première séance de présentation, les étudiants sont répartis en 3 groupes pour travailler sur un projet. Ce projet consiste à étudier et déployer une maquette d'infrastructure d'entreprise suivant un scénario type. Les objectifs pédagogiques sont multiples : • créer une émulation entre les groupes d'étudiants en «opposant» les rôles de chaque groupe, • évaluer l'importance des relations humaines, de la coordination et même de l'ingénierie sociale dans la sécurité des systèmes d'information en imposant une taille de groupe importante, • illustrer les problématiques des «métiers» de la sécurité des systèmes d'information à partir du scénario d'entreprise type. Les groupes sont définis comme suit : Groupe «défense» Ce groupe est chargé de mettre en place l'infrastructure des services du scénario d'entreprise. Il doit rechercher les moyens les plus simples possibles pour se défendre contre les tentatives d'intrusion et de compromission entreprises par le groupe «attaque». Sécurité des systèmes d'information Sécurité des systèmes d'information $Revision: 1618 $ 2 Du point de vue métier, les membres de ce groupe jouent le rôle d'exploitants des services. Comme les services peuvent être externalisés ou non, les membres peuvent être employés aussi bien chez un prestataire assurant l'externalisation qu'au sein même de l'entreprise où l'exploitation est directement assurée. Groupe «analyse» Ce groupe est chargé de collecter un maximum d'informations et de les analyser pour identifier les actions entreprises aussi bien en défense qu'en attaque. Du point de vue métier, les membres de ce groupe jouent le rôle de consultants sécurité chargés de réaliser des audits. Au début du projet, ils sont étranger à la structure de l'entreprise. Par la suite, ils ne disposent que des informations et/ou des accès que leur fournissent les membres du groupe «défense». Groupe «attaque» Ce groupe est chargé de rechercher toutes les possibilités d'intrusion et de compromission les plus efficaces et les plus faciles à mettre en œuvre. Du point de vue métier, les membres de ce groupe jouent le rôle de consultants sécurité chargés d'évaluer la solidité du système d'information défendu. Ils sont totalement étranger à la structure de l'entreprise. Les 2 autres groupes ne sont pas sensés leur communiquer la moindre information. Bien entendu, les membres du groupe «attaque» ne doivent pas se limiter aux moyens techniques pour collecter leurs informations. Chaque groupe dispose d'une liste de diffusion de courrier électronique à laquelle est attachée un espace documentaire privatif. Ces listes sont l'outil principal de communication et surtout de coordination du groupe. Tous les comptes rendus de tests ou les synthèses hebdomadaires doivent passer par les listes de diffusion. L'objectif pédagogique est de modéliser le fonctionnement d'un travail d'équipe dont les membres ne sont pas forcément sur le même lieu. Compte tenu de la taille de chaque groupe, la qualité d'expression de la coordination est primordiale pour l'avancement du projet. 2. Scénario d'entreprise type : Candide S.A. L'activité des groupes définis ci-avant gravite autour du système d'information d'une entreprise totalement fictive mais dont les besoins sont représentatifs de ceux que l'on rencontre habituellement. Supposons donc que les groupes vont travailler pour ou contre une agence baptisée Candide S.A.. Cette agence vient d'obtenir un gros contrat de services pour un très grand groupe industriel aéronautique. Ce grand groupe industriel est un acteur majeur dans un contexte de concurrence mondiale exacerbée. Il fait donc l'objet d'actions d'intelligence économique tous azimuts. La chaîne des sous-traitants de ce grand groupe industriel constitue un axe de travail intéressant en matière d'intelligence économique pour collecter des informations à forte valeur ajoutée. Notre agence Candide S.A., venant d'entrer dans cette chaîne de sous-traitance avec un contrat important, fait l'objet de beaucoup d'attention. Sa crédibilité, voire même sa survie économique, dépend de la qualité de la sécurité de son système d'information. Le rôle du groupe d'étudiants «défense» est de garantir cette crédibilité. Compte tenu des enjeux, notre grand groupe industriel aéronautique, ne peut se contenter des engagements contractuels pris avec Candide S.A.. Aussi, il demande à quelques consultants indépendants (le groupe «analyse») d'observer au plus près les flux du système d'information du sous-traitant. Il s'agit de s'assurer que l'équipe en charge du système d'information est à même de remplir les engagements pris. Un groupe industriel concurrent a appris par voie de presse qu'un contrat de services significatif avait été conclu entre Candide S.A. et son concurrent. À priori, Candide S.A. présente une opportunité intéressante de collecte d'informations sensibles en toute discrétion. Cette opportunité conduit notre groupe concurrent à faire appel à quelques consultants spécialisés dans ce genre de travail (le groupe «attaque»). 3. Architecture du système d'information Pour illustrer le scénario, il faut modéliser le système d'information de l'agence de sous-traitance à l'aide d'une architecture type. La principale limitation de ce genre de maquette est l'absence d'une population suffisante d'acteurs sur le système d'information. En effet, plus la population d'utilisateurs est importante, plus l'ingénierie sociale est pertinente et efficace. __ . . . . . . .Poste supervision ___/ \_ Pare-feu . _______ .------,~ Sécurité des systèmes d'information Sécurité des systèmes d'information $Revision: 1618 $ 3 _/ \__ .__. . |=_=_=_=// | PC |' / \ ___ |X=|______/ | | \_____|Client|| | Internet |_(___)___|X-| . | \__ \------ / \_ __/ |___| |X |__ . |.__.\ ======/ \__ __/ Routeur ------ ' . || |Services Internet / \___/ | . `| =||.__. / | . | -|`| |Serveur Projet ..... / | .-----| =| .------,~ | . | -| | PC |' Utilisateur | . ------ [Périmètre ] |Client|| nomade | . . . . .[des services]. . . \------ / | ======/ | . . . . . . . . . . . . . . . . | . _______ | . |=_=_=_=// \___/ | | . / \ . ./... \______ . .------,~ .\... . | PC |' .------,~ . |Client|| | PC |' . \------ / |Client|| . ======/ \------ / . ======/ [Périmètre ] . . . . . . . . . . . .[utilisateurs] Pour rendre cette maquette de système d'information «réaliste», il est nécessaire d'introduire quelques biais : La population des utilisateurs est limitée La maquette est une réduction minimaliste de système d'information. Il lui manque une population d'utilisateurs suffisante pour générer un trafic aléatoire permanent. Ce sont ces flux réseaux qui servent de «bruit de fond» pour camoufler les tentatives d'intrusion dans le système. Toute la difficulté, dans l'analyse des flux d'un véritable système d'information, est de distinguer un trafic réseau «normal» d'un trafic intrusif. A ce «bruit de fond» il faut ajouter toutes les tentatives d'intrusion leurres qui génèrent de fausses alertes : virus, vers, etc. Pour les travaux de groupes, le seul moyen d'analyse comparative envisagé consiste à confronter les données recueillies par plusieurs outils de détection d'intrusion sur des postes branchés sur des réseaux publics. Il est donc demandé aux étudiants de suivre l'installation présentée dans la rubrique référence sur La détection d'intrusion sur leur propres postes de travail domestiques. De cette façon, après quelques semaines d'exploitation, on dispose d'un volume conséquent de «bruit de fond» et de leurres que l'on peut étudier en vis à vis des informations collectées sur la maquette. La population des utilisateurs est singulière Comme les rôles des groupes d'étudiants sont biens définis au départ, il reste peu de place pour les surprises. Le comportement de chacun vis à vis du système d'information est facile à prédire. On imagine mal que le rédacteur de la politique de sécurité sur le courrier électronique uploads/Management/ m2-stri.pdf

Documents similaires

OmniVista 8770 Guide de Sécurité Version 4.2 - Février 2020 8AL90705FRAJ Ed. 01 0 0

Mémoire d’entreprise- DESS Ingénierie Financière- IAE BREST- 2003/2004 1 SOMMAI 0 0

7 Revue d'économie et de développement humain, Volume11, Numéro 2 et page 7-21 0 0

Institut africaine d’informatique centre d’excellence technologique Paul BIYA B 0 0

ISMP FORMULATION DES PROBLEMES DEVOIR N°2 Choix du ministère d’un membre du gro 0 0

^ S ^ Ô S {5} ECOLE NATIONALE DES PONTS ET CHAUSSEES UNIVERSITE DE PARIS-CRETEI 0 0

GUIDE DE L'ENTREPRISE : ENVIRONNEMENT / HYGIENE / SECURITE Boucherie - Charcute 0 0

ESGIS IIR Paris Graduate School of Management ECOLE SUPERIEURE DE GENIE INFORMA 0 0

La méthode MADIE® Christian COUTENCEAU François BARBARA • William EVERETT Alain 0 0

La profession comptable à l’écoute de ses clients: Etude de cas de développemen 0 0

• Détails
• Publié le Fev 21, 2021
• Catégorie Management
• Langue French
• Taille du fichier 0.0451MB