Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

CONSERVATOIRE NATIONAL DES ARTS ET METIERS CENTRE REGIONAL ASSOCIE DE LYON ____

CONSERVATOIRE NATIONAL DES ARTS ET METIERS CENTRE REGIONAL ASSOCIE DE LYON ___________________________ MEMOIRE présenté en vue d'obtenir le DIPLOME D'INGENIEUR CNAM SPECIALITE : INFORMATIQUE, SYSTEME D‟INFORMATION Par Thierry BOILEAU _________________________________________________________________ Mise en oeuvre de la SSI (Sécurité du Système d'information) de SUSS MicroOptics par l'approche processus ISO/CEI 27001 Soutenu le 16 septembre 2010 ________________ JURY PRESIDENT : M. Christophe Picouleau (CNAM Paris) MEMBRES : M. Bertrand David (CNAM Lyon) M. Claude Genier (CNAM St Genis Pouilly) M. Jean Marc Valentin (Efficacité.ch) M. Reinhard Völkel (Suss MicroOptics) 2 REMERCIEMENTS Ce mémoire est l‟aboutissement d‟une série de cours suivis au CNAM. Aussi, je remercie tous mes professeurs ainsi que le personnel administratif pour leur dévouement pour les élèves de cette institution. J‟exprime également mes remerciements à M. Claude Genier, pour ses conseils et le suivi des anciens élèves qu‟il n‟a eu de cesse d‟encourager à présenter un mémoire. Je remercie, M. Reinhard Völkel, directeur de Suss MicroOptics, qui a adhéré sans condition à l‟idée de la rédaction de ce mémoire sur un projet que nous avions en commun. M. Reinhard Völkel a mis à disposition toutes les ressources nécessaires pour que ce travail puisse se faire dans les meilleures conditions. Je remercie les collaborateurs de Suss MicroOptics pour leur disponibilité et tout particulièrement M. Jocelyn Berger qui a beaucoup été sollicité. Je remercie également M. Jean Marc Valentin, consultant et lead auditeur des systèmes de management de la sécurité de l‟information qui m‟a guidé tout au long de ce travail. Enfin, je remercie ma famille pour son soutien. 3 LISTE DES ABREVIATIONS AESC : American Engineering Standards Committee AFNOR : Association Française de Normalisation ANSSI : Agence Nationale de la Sécurité des Systèmes d‟Information ASA : American Standards Association ASN.1 : Abstract Syntax Notation One BSI : British Standards Institute CA : Chiffre d‟Affaire CDD : Charge-Coupled Device CEI : Commission Electronique Internationale CEO : Chief Executive Officer CEN : Comité Européen de Normalisation CGI : Common Gateway Interface CLUSIF : Club de la Sécurité de l‟Information Français COBIT : Control Objectives for Information and related Technology COO : Chief Operating Officer CMIP : Common Management Information Protocol CMIS : Common Management Information Services CMMI : Capability Maturity Model Integration CPU : Central Processing Unit CSEM : Centre Suisse d‟Electronique et de Microtechnique CTO : Chief Technology Officer DC : Contrôleur de Domaine DNS : Nom de Serveur de Domaine DHCP : Dynamic Host Configuration Protocol DRP : Data Recovery Plan 4 EBIOS : Etude des Besoins et Identification des Objectifs de Sécurité ENISA : European Network and Information Security Agency GCG : GNU Compiler Collection GD : Gift Draw GNU/GPL : General Public License HTML : Hyper Text Markup Language IMAP : Internet Message Access Protocol HTTP : HyperText Transfer Protocol IETF : Internet Engineering Task Force IMT : Institut de Microtechnique de Neuchâtel ISO : Organisation Internationale de Normalisation JTC : Joint Technical Committee LAN : Local Area Network MARION : Méthode d‟Analyse de Risques Informatiques Optimisée par Niveau MDA : Mail Delivery Agent MEHARI : Méthode Harmonisée d‟Analyse des Risques MELISA : Méthode d‟Evaluation de la Vulnérabilité Résiduelle des Systèmes d‟Armement MIB : Management Information Base MOEMS : Microsystèmes Opto-Electro-Mécaniques MRTG : Multi Router Traffic Grapher MTA : Mail Transport Agent MUA : Mail User Agent NMS : Network Management Station NSCA : Nagios Service check Acceptor NSClient : Nagios Service Client NRPE : Nagios Remote Plugin Executor 5 OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation OID : Object Indentifier OSI : Open Systems Interconnection PDCA : Plan, Do, Check, Act PHP : Hypertext Preprocessor PME : Petites et Moyennes Entreprises POP : Post Office Protocol RAM : Random Access Memory RATP : Risk Assessment Treatment Plan R&D : Recherche et Développement RDDTool : Round-Robin Database Tool RFC : Request For Comments SC : Sub-Committees SGMP : Simple Gateway Monitoring Protocol SoA : Statement of Applicability SoM : Statement of Maturity SMO : Suss MicroOptics SMSI : Système de Management de la Sécurité de l‟Information SMTP : Simple Mail Transfer Protocol SMS : Short Message Service SNMP : Simple Network Management Protocol SSL : Secure Sockets Layer TCP/IP : Transmission Control Protocol, Internet Protocol TI : Technologies de l‟Information UDP : User Datagram Protocol VPN : Virtual Private Network W3C : World Wide Web Consortium 6 WD : Working Draft WG : Working Group 7 TABLE DES MATIERES REMERCIEMENTS ............................................................................................................... 2 LISTE DES ABREVIATIONS ................................................................................................ 3 TABLE DES MATIERES ....................................................................................................... 7 INTRODUCTION ................................................................................................................................. 12 PARTIE I. ETAT DE L’ART DE LA SECURITE DE L’INFORMATION ................................14 1. Définitions .......................................................................................................................15 1.1 L’ISO (Organisation Internationale de Normalisation) ................................................................ 15 1.2 Les normes .................................................................................................................................. 16 1.3 La normalisation ......................................................................................................................... 17 1.4 Historique des normes en matière de sécurité de l’information ................................................ 17 2. Les SMSI (Systèmes de Management de la Sécurité de l’Information) ......................20 2.1 Les systèmes de management .................................................................................................... 20 2.2 Sécurité de l’information ............................................................................................................. 22 3. Les normes de la famille ISO/CEI 2700x .......................................................................23 3.1 L’ISO/CEI 27000 ........................................................................................................................... 23 3.2 L’ISO/CEI 27002 ........................................................................................................................... 24 3.3 L’ISO/CEI 27003 ........................................................................................................................... 24 3.4 L’ISO/CEI 27004 ........................................................................................................................... 25 3.5 L’ISO/CEI 27005 ........................................................................................................................... 25 3.6 L’ISO/CEI 27007 ........................................................................................................................... 26 3.7 L’ISO/CEI 27008 ........................................................................................................................... 26 3.8 L’ISO/CEI 27006 ........................................................................................................................... 26 3.9 Normes ISO/CEI 270xx en préparation ........................................................................................ 27 PARTIE II. METHODOLOGIE Ŕ ISO/CEI 27001 ..................................................................28 1. Phase « PLAN » du PDCA ..............................................................................................30 1.1 Politique et périmètre du SMSI ................................................................................................... 31 8 1.2 Appréciation des risques ............................................................................................................. 31 1.2.1 Processus d’appréciation des risques .................................................................................. 32 1.2.2 Méthodes d’appréciation des risques .................................................................................. 34 1.3 Traitement des risques ................................................................................................................ 41 1.4 Sélection des mesures de sécurité .............................................................................................. 42 2. Phase « DO » du PDCA ..................................................................................................42 2.1 Plan de traitement ....................................................................................................................... 42 2.2 Choix des indicateurs................................................................................................................... 43 2.3 Formation et sensibilisation des collaborateurs ......................................................................... 43 2.4 Maintenance du SMSI ................................................................................................................. 43 3. Phase « CHECK » du PDCA ...........................................................................................44 3.1 Les audits internes ....................................................................................................................... 44 3.2 Les contrôles internes ................................................................................................................. 44 3.3 Revues de direction ..................................................................................................................... 44 4. Phase « ACT » du PDCA ................................................................................................45 4.1 Actions correctives ...................................................................................................................... 45 4.2 Actions préventives ..................................................................................................................... 45 4.3 Actions d’améliorations ............................................................................................................... 45 PARTIE III. MISE EN ŒUVRE DU SMSI DE SMO ...............................................................47 1. Contexte ..........................................................................................................................48 2. Etude préalable ...............................................................................................................48 2.1 SMO (Suss MicroOptics) .............................................................................................................. 48 2.2 Activité ......................................................................................................................................... 49 2.3 Marché ........................................................................................................................................ 49 2.4 Structure organisationnelle ......................................................................................................... 50 2.5 La clientèle ................................................................................................................................... 52 2.6 La structure informatique ........................................................................................................... 53 3. Politique et périmètre du SMSI ......................................................................................55 9 3.1 Le périmètre ................................................................................................................................ 55 3.2 Politique du SMSI ........................................................................................................................ 56 4. Gouvernance et documentation ....................................................................................57 4.1 Gouvernance ............................................................................................................................... 57 4.2 Documentation ............................................................................................................................ 57 5. Appréciation des risques ...............................................................................................58 5.1 SoM (Statement of Maturity) ...................................................................................................... 58 5.2 RATP (Risk Assessment Treatment Plan) ..................................................................................... 61 5.3 DRP (Disaster Recovery Plan) ...................................................................................................... 64 5.4 SoA (Statement of Applicability) ................................................................................................. 66 PARTIE IV. LA SUPERVISION ............................................................................................68 1. Le concept ......................................................................................................................69 2. L’ISO/CEI 7498-4, un cadre pour la supervision des réseaux .....................................70 3. Gestion de réseaux ........................................................................................................72 3.1 CMIP ............................................................................................................................................ 72 3.2 SNMP ........................................................................................................................................... 73 4. Mise en oeuvre de SNMP ...............................................................................................76 4.1 Installation de SNMP sur le serveur superviseur ........................................................................ 77 4.2 Installation des agents SNMP sur les serveurs SMO ................................................................... 78 5. Les logiciels de supervision ..........................................................................................78 5.1 Types de déploiement ................................................................................................................. 78 5.1.1 Déploiement centralisé ........................................................................................................ 78 5.1.2 Déploiement hiérarchique ................................................................................................... 79 5.1.3 Déploiement distribué .......................................................................................................... 79 5.2 Outils de surveillance du réseau ................................................................................................. 79 5.2.1 Ping ....................................................................................................................................... 79 5.2.2 Traceroute ............................................................................................................................ 80 5.2.3 Netstat .................................................................................................................................. 80 10 5.2.4 RRDTool ................................................................................................................................ 80 5.3 Plates-formes logicielles de supervision ..................................................................................... 81 5.3.1 Cacti ...................................................................................................................................... 81 5.3.2 Zabbix ................................................................................................................................... 81 5.3.3 OpenNMS ............................................................................................................................. 82 5.3.4 Centreon ............................................................................................................................... 82 6. Mise en œuvre de la plate-forme Nagios Ŕ MRTG ........................................................83 6.1 Présentation de Nagios ............................................................................................................... 83 6.2 Présentation de MRTG (Multi Router Traffic Grapher) ............................................................... 85 6.3 Pré-requis d’installation des composants ................................................................................... 87 6.4 Mise en œuvre de MRTG ............................................................................................................. 88 6.5 Mise en œuvre de Nagios ............................................................................................................ 93 6.5.1 Installation de Nagios ........................................................................................................... 93 6.5.2 Installation des plugins ......................................................................................................... 96 6.5.3 Les agents de transport ........................................................................................................ 99 6.5.4 Installation de NSClient++ .................................................................................................. 101 6.5.5 Configuration des composants ........................................................................................... 105 6.5.6 Alarmes ............................................................................................................................... 109 7. Enregistrements de Nagios et de MRTG ..................................................................... 112 7.1 Utilisation de Nagios.................................................................................................................. 112 7.1.1 Vues du « monitoring » ...................................................................................................... 113 7.1.2 Vues du « reporting » ......................................................................................................... 114 7.2 Utilisation de MRTG .................................................................................................................. 117 CONCLUSION ................................................................................................................... 120 BIBLIOGRAPHIE ............................................................................................................... 123 TABLE DES ANNEXES ..................................................................................................... 126 Annexe 1. Processus d’élaboration des normes suivant l’ISO/CEI. ................................................. 126 Annexe 2. DRP (Disaster Recovery Plan) Applications. ................................................................... 127 11 Annexe 4. DRP (Disaster Recovery Plan) Processus. ....................................................................... 129 Annexe 5. Tableau comparatif des plateformes logicielles de supervision. ................................... 130 Annexe 5 (suite). Tableau comparatif des plateformes logicielles de supervision. ........................ 131 Annexe 6. Extrait du code source de Nagios. .................................................................................. 132 Annexe 7. Extrait du plugin Nagios Check_nt. ................................................................................ 134 Annexe 8. Extrait du plugin Nagios check_ping. ............................................................................. 136 Annexe 9. Extrait du programme MRTG de Tobi Oetiker. .............................................................. 138 Annexe 10. Extrait du programme de MRTG de Dave Rand. .......................................................... 140 LISTE DES FIGURES uploads/Management/ modele-de-memoire-norme-iso-27001.pdf