Embed Size (px)
Citation preview
1
12 Niveaux de sécurité
Atelier e-Sécurité – 19-20 juin 2006
Le développement de la confiance numérique se promeut en adressant des réformes dans une variété de domaines que le peu grouper comme suit:
I. Cadre légal et exécution des lois.
II. Suivi externe des pratiques et usages de la e-sécurité
III.Coopération entre le secteur privé et publique
IV.Suivi interne: mise en place de la sécurité dans les organisations
Les 4 piliers de la sécurité
Mise en place de la sécurité dans les organisations
• 12 niveaux de sécurité
• Fait partie d’une approche coordonnée de la gestion des risques opérationnelles
• Principes de base de la sécurité – des attaques et pertes sont inévitables– un réseau est aussi sécurisé que sont maillon le
plus faible
12 niveaux pour plus de sécurité
1. Gestion des Risques 2. Cyber-Intelligence3. Contrôle d’Access / Authentification4. Firewalls5. Filtre actif de contenu 6. Système de détection d’Intrusion (IDS)7. Scanners de Virus 8. Cryptographie9. Administration adéquate des systèmes10. Test de Vulnérabilité 11. Logiciel de gestion des référentiels d’utilisations12. Continuité des opérations/Plan d’action lors d’incident
1. Gestion des risques
Phase I: Référentiel des ressources et des niveaux de risques
Phase II: Identification des vulnérabilité de l’infrastructure et des interdépendances des risques
Phase III: Préparation d’un plan de continuité
2. Cyber-intelligence
Mise en place d’une unité d’analystes expérimenté dont l’objectif est de collecter et d’analyser des informations de sources variées concernant les menaces, vulnérabilités, incidents et mesures de préventions, puis de fournir des rapports spécifiques visant à se prévenir d’un incident avant qu’il ne se produise.
3. Contrôle d’Access / Authentification
Les organisations peuvent utiliser une variété de solutions de contrôle d’accès et d’authentification des utilisateurs. Généralement, trois principes éléments peuvent appliqués:– Un élément que l’utilisateurs connaît (mot de passe,
PIN)
– Un élément que l’utilisateur possède (smart card, clé/token, carte ATM)
– Un élément que l’utilisateur est (caractéristique biometric, tel que empreinte digitale ou rétinienne)
4. Firewalls
• Le rapport coût-bénéfice d’un firewall dépend notamment de 4 facteurs:– Le type de connectivité– Le niveau de bande passante– Le nombre de passerelles (gateways)– les compétences de l’administrateur système
5. Filtre actif de contenu
But: éviter les contenus pouvant contenir des virus, cheval de Troie, ver ou autre par la mise en place d’une charte et des procédures décrivant une utilisation appropriée du réseau
• Au niveau d’un browser, le filtre actif de contenu peut être utiliser pour empêcher l’accès à certains sites « dangereux » ou non autorisé par la charte
• Au niveau des courriels, des un filtre actifs peut empêcher des messages contenant des virus ou autres, ou des contenus inappropriés au vu de la charte.
6. Système de détection d’Intrusion (SDI)Une intrusion est un comportement suspicieux qui
peut indiquer une activité malicieuse de quelqu’un cherchant à pénétrer illégalement sur un système, ou d’accéder à des données auxquels il/elle n’et pas autorisé.
Un système de détection d’intrusion soit être suivi 24h sur 24h. afin de pleinement bénéficier de ses services. De plus, un DSI doit être installé à l’intérieur du firewall et doit surveiller uniquement le trafic opérant à l’intérieur du périmètre du firewall.
7. Scanners de Virus
• Les vers, cheval de Troie, Virus sont tous des véhicules pour déployer une attaque sur un système.
• Les scanners de virus sont aujourd’hui indispensables afin de contrer les risques liés à ces attaques.
• La définition des virus soit mis à jour très régulièrement.
8. Cryptographie
La cryptographie est utilisée pour protéger des messages en transit ou stockés sur un support de données.
Les différentes méthodes associées à la cryptographies incluent six types de base de :– Symmetric (secret) Key Encryption.– Asymmetric (public/private) Key Encryption.– One Way Hash Functions.– Message Authentication Codes.– Digital Signatures.– Random Number Generators.
En utilisant la méthode appropriée, la cryptographie se révèle être une protection efficace.
9. Administration adéquate des systèmes• La mise en place et la gestion de la sécurité repose sur les
politiques et procédures, la technologie, et les compétences humaines.
• L’administrateur a un rôle prépondérant afin de non seulement mettre en place un niveau de sécurité adéquat, mais de maintenir et gérer un niveau de sécurité acceptable.
• De fait, les administrateurs de la sécurité doivent se sentir responsabilisé par rapport à ces tâches critiques et faire respecter la politique de sécurité qui doit faire l’objet d’une revue régulière.
10. Test de Vulnérabilité
• Implique la connaissance préalable de certaines faiblesses d’un systèmes d’information ou d’un réseau afin d’essayer de gagner accès aux ressources en évitant les protection d’authentification normales.
• Le test permet de vérifier si la politique et les mesures de sécurité sont mise en places et sont efficaces afin de pour protéger les ressources de l’organisation).
• Une organisation pourra vérifier si:– son firewall et son système de détection d’intrusion– les procédures mises en place permettent aux administrateurs de détecter
et d’agir adéquatement à une intrusion– D’avantage de formation est nécessaire, et qui doit compléter ses
connaissances
11. Logiciel de gestion des référentielsLes référentiels de sécurité gouvernent les accès interne et externe au réseau pour chaque
technologie. Ces référentiels de sécurité doivent être mise à jour régulièrement afin d’évoluer avec les développements du réseau ou autres nouveautés technologiques.
Pour ce faire, une organisation doit être en mesure de répondre au questions suivantes:– Qui est responsable de la mise à de ces référentiels?– Est-ce que les connaissances de ces personnes sont à niveaux avec les nouveaux
développements?– Participent-ils/elles à des formations, ateliers sur la sécurité?– Quels sont les mécanismes pour mettre à jour ces référentiels?
Considérant que l’adoption d’une bonne sécurité est une combinaison de différent éléments y compris humain, une politique de sécurité et sa mise en œuvre se doit d’être dynamique.
Certains logiciels peuvent être utilisées afin d gérer ces règles d’utilisation, et prévenir un utilisation abusive des systèmes et ressources concernées.
12. Continuité des opérations
Une organisation a besoin d’être en mesure de réagir et de se rétablir promptement après incident de sécurité. De fait, les mesures suivantes sont généralement attendues:
– Plan de continuité des opérations (technique et organisationnel)– Mécanismes pour la collecte, le partage et la résolution des incidents de
sécurité– Mécanismes afin de corriger les faiblesses enregistrées
Afin de s’assurer du succès de la mission de l’équipe chargé de la réponse aux incidents, la Direction est concernée en premier et a la responsabilité de fournir:– Le leadership– Les outils– Le personnel– Les ressources financières
