Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sensibilisation à la sécurité informatique Méthodologie Intervenant : Servas Ol

Sensibilisation à la sécurité informatique Méthodologie Intervenant : Servas Olivier Réalisation : Octobre /99 Màj: Février 2001 /Décembre 2001 /septembre 2007 © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 2 Introduction II. Comparatif des normes III. Présentation des principales normes A. EBIOS B. Melisa C. Marion D. Mehari E. Octave F. Cramm IV. Critères de choix V. Conclusion Sommaire © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 3 la sécurité c'est une chaine, si un maillon est faible l’ensemble est faible Elle doit être vue globalement! "d'employer un (et un seul) «gourou prêchant des formules secrètes» et de contraindre les enfants à assister aux offices ” méthodologie © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 4 Vos objectifs ? Ce qu'il faut réellement protéger ? Disproportion des moyens avec ce qu'il faut protéger la sécurité doit avoir un coût raisonnable ”Acheter une super porte blindée et oublier de fermer la fenêtre" ? méthodologi e © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 5 "Rien ne sert ...” "de se payer un super coffre-fort pour protéger quelques pacotilles et de laisser l'accès libre à une cave emplies de grands crus classés! " "de construire des remparts à la Vauban pour se protéger de l'aviation! " cela montre que l'on ne sait pas d'où peuvent venir les attaques "d'utiliser un marteau pilon pour écraser une mouche" méthodologie © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 6 " Du bon sens ... "Avant d'aborder la technique : la sécurité à 100% n'existe pas, Il y a nécessairement compromis entre la valeur du «protégé» et le coût de la protection, donc il faut savoir quoi protéger Il faut oeuvrer à la mise en place de moyens raisonnables, pour que le but soit suffisamment «dissuasifs». Permet de structurer votre démarche pour atteindre les objectifs qui vous sont fixés.  Elaboration du cahier des charges au suivi de la solution mise en œuvre. L'aspect méthodologie © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 7 méthodologie Des préconisations techniques et choix produits au transfert de compétences vers les équipes internes chargées de la sécurité, cela implique : des méthodes  des moyens nécessaires pour parvenir au résultat. © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 8 © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 9 © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 10 Centre informatique sécurisé les aspects didactiques en aidant le responsable à se poser les bonnes questions, les aspects méthodologique en l'aidant à se focaliser sur les sujets essentiels et de les traiter dans le bon ordre. © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 11 Centre informatique sécurisé le projet et les acteurs, les missions, les besoins et les enjeux du centre informatique, les menaces et les parades, le déroulement du projet, l'emménagement et la prise en charge du centre informatique.. © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 12 Centre informatique sécurisé Evaluer les risques internes et externes liés à l’utilisation de l’Internet Connaître toutes les possibilités d’attaque sur votre réseau Préserver votre réseau des attaques avec les firewalls Minimiser vos risques avec les firewalls, l’encryptage,… Protéger l’intégrité de vos données avec des techniques de “ “chiffrement” © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 13 Objectif Que faire si le pire devait arriver ?.. © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 14 Politique de sécurité : Définitions Spécifie l’ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger et diffuser les informations et autres ressources sensibles au sein d’un système spécifique, d’une organisation Une politique de sécurité doit permettre d’exprimer des exigences Confidentialité Intégrité Disponibilité Quelles questions se poser ? Quel est le périmètre ? (notion de frontières, de domaine) Quelle est la taille du système ? Quels sont les objectifs de sécurité ? Quels sont les biens à protéger ? Quels sont les menaces et attaquants potentiels ? © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 15 Politique de sécurité d’un système Ensemble des lois, règlements et pratiques qui régissent la façon dont l’information sensible et les autres ressources sont gérées, protégées et distribuées à l’intérieur d’un système spécifique Ensemble de règles qui spécifie les autorisations, interdictions et obligations des acteurs Utilisateurs Applications Nécessité de prendre en compte la notion de « monde ouvert » Inventaire du système d’information Classification de l’information Identification des domaines de sécurité Aspects physiques et organisationnels Règles et pratiques © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 16 Méthodologie Analyses de différentes démarches, normes et méthodes ISO 13335, …, iso 17799 BS7799 …, MEHARI (Méthode Harmonisée d’Analyse des RIsques - CLUSIF), MARION, MELISA, … EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - DCSSI « Direction Centrale de la Sécurité des Systèmes d’Information ») RSSI + conduire des évaluations de risques CRAMM Basé sur la méthodologie préférée de l’évaluation des risques du gouvernement BRITANNIQUE (la BS 7799) © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 17 Méthodologie , Norme : Norme Document de référence fondé sur un consensus couvrant un large intérêt Documents de spécification techniques ou autres critères précis devant être utilisé comme règles, définitions ou encore comme lignes directrices Norme = Label de confiance Méthode Moyen d’arriver au résultat souhaité EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - DCSSI « Direction Centrale de la Sécurité des Systèmes d’Information ») © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 18 Démarche et Méthodes ISO 13335: Composé de 4 Documents  Définition des concept de base  Information sur l’organisation de l’entité  Approche d’une gestion des risques  Guide des mesures préventives  En cours de révision  Evolution vers un Standard International (IS) : ISO/IEC IS 13335 -1, 2 (IT) : ISO/IEC IT 13335 -3, 4 http://www.ysosecure.com/norme-securite/norme-iso-13335.asp © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 19 Norme BS 7799  Le British Standard 7799 est composé de deux guides :  ISO/IEC 17799:2000, qui est un catalogue regroupant 36 objectifs de contrôles, décomposés en 127 mesures, relatives à 10 domaines.  Les objectifs de contrôles présentent le but à atteindre et ce qu’il faut entreprendre pour y parvenir. Les mesures expliquent avec plus ou moins de détails les points à mettre en œuvre  La BS 7799-2:2002, présente un système de gestion de la sécurité en 4 étapes : Planifier, mettre en œuvre, vérifier, améliorer.  À travers dix domaines, cette norme permet de détecter, d'analyser et de diminuer les risques liés à l'information. © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 20 BS 7799 / ISO 17799 Politique de sécurité Sécurité De l’organisation Classification Et contrôle des actifs Conformité Sécurité Ressources Humaines Contrôle d’accès Développement et maintenance Sécurité physique Et environnementale Gestion des communications et des opérations Continuité de service Aspect organisationnel Aspect physique Aspect Technique Source http://www.callio.fr/bs7799  La norme BS 7799 / Iso 17799 est développée pour créer une structure commune de sécurité de l'information et ainsi couvrir les aspects techniques, administratifs et juridiques. Aux travers des domaines de contrôles, cette norme permet de détecter, d'analyser et de diminuer les risques liés à l'information. BS 7799 / ISO 17799 décrit les concepts de sécurité " idéaux ", tandis que BS 7799-2 décrit les concepts de sécurité " incontournables " pour toute organisation voulant être certifiée. © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 21 BS 7799 / ISO 17799 en 10 points 1 Management : Politique de sécurité  Conformité, Prévention, Formation, Implication de la direction, Conséquence de la violation de PS 2 Management : Organisation Interne  Instance de sécurité, Coordination, Responsabilités, Processus d’autorisation, Conseil de spécialiste 3 Management : Classification et contrôle actifs  Identification d’un propriétaire (responsable)pour chaque actif, Inventaire des actifs, classification en fonction des besoins . Exemple : les Actifs applicatifs sont : les progiciels, les logiciels maisons, … 4 Environnement Humain et physique : Sécurité liée aux Personnes  Culture d’entreprise sur la sécurité, Recrutement, Formation, Signalement des dysfonctionnement et processus disciplinaire 5 Environnement Humain et physique: Sécurité physique et de l’environnement  Sécurité physique (différentes zones), matériel (procédures des entrées et sortie), méthode de suppression de fichiers, et élément de stockage . © Cours 2005 / O.Servas Sensibilisation à la sécurité Informatique 22 BS 7799 / ISO 17799 en 10 points … suite 6 Opérationnel : Sécurité de l’exploitation et des réseaux  Sécurité de l’exploitation : Gestion des évolutions du SI  Séparation des fonctions : Développement et Exploitation, contrat infogérance, recette  Sécurité du réseau et des échanges 7 Opérationnel : Contrôle d’accès logique  Gestion et contrôle des accès, authentification, … 8 Opérationnel : Développement et maintenance des systèmes d’information Politique sur l’utilisation des mesures cryptographiques, procédures de secours, validation des données, impératif de sécurité avant développement du SI 9 Opérationnel :Continuité d’activité Plan de secours : systèmes, réseaux, voix, autre services, uploads/Science et Technologie/ sensibilisation-securite-informatique.pdf