INF4420: Sécurité Informatique

José M. Fernandez

D-6428340-4711 poste 5433

INF4420: Sécurité InformatiquePratique de la Sécurité Informatique :

Principes de gestion - Cadre légal et déontologique

INF6420Sécurité Informatique


2

Où sommes-nous ?Où sommes-nous ?

Semaine 1 – Intro Semaines 2, 3 et 4 – Cryptographie Semaine 6, 7 – Sécurité dans les SE (suite) Semaine 8 – Période de relâche Semaine 9 – Sécurité des BD et des applications Web Semaine 10 – Contrôle périodique Semaine 11, 12 et 13 – Sécurité des réseaux

Semaine 14 – Gestion de la sécurité. Intervenants et modes d'intervention Planification de contingence Standards et organismes pertinents Aspects légaux et déontologiques



3

Acteurs et intervenantsActeurs et intervenants

"Stakeholders" VP Responsable de la sécurité

informatique CISO ou ISO

Information Security Officer Moitié/moitié ou plutôt technique Responsable de la sécurité

informatique Équipe de sécurité informatique

Externe ou interne Responsable technique

Responsable de la sécurité physique

Aspects non-techniques de la sécurité des SI

• personnel• mesures physiques, etc.

Fonction d'investigation Administrateur de systèmes

Admin BD Développeur d'applications Admin réseau/LAN ISP et autres fournisseurs

Utilisateurs Éducation Déterrent

• Poursuite criminelle• Poursuite civile• Terminaison d'emploi



4

Politique de sécuritéPolitique de sécurité

Élaborer par• CISO• Équipe de sécurité

Promulguer sous l'autorité du CISO et des stakeholders

A force de contrat

Éléments Analyse de risque Responsabilités de chacun

intervenants Utilisateurs

• Politique d'utilisation Contrat entre utilisateurs et

organisme Règles d'utilisation Consignes techniques

Équipe de sécurité et administrateurs de système

• Modes d'interventions en sécurité

• Règles d'opérations des systèmes



5

Inspections de sécuritéInspections de sécurité

Audit de sécurité "Open Book" Audit par rapport aux politiques

de sécurité et standards d'industrie

Révision des configurations N'utilise pas d'outils automatisées Vise à conseiller :

• les administrateurs de systèmes• les responsables de la sécurité

informatique Livrable : livret de

recommandation techniques et politiques

Blue Teaming Inspection "ouverte" de nature

technique• Prévue à l'avance• Avec la collaboration et la

connaissance des administrateurs de systèmes

Utilisation d'outils automatisés de détection de vulnerabilités

Livrable : liste de vulnérabilités détectées et action correctives

Red Teaming Inspection "clandestine" de

nature technique "No rules" - Répond à la

question : "Que pourrait nous faire un adversaire dans un scénario réaliste ?"

Livrable : "Pink slip"



6

Méthodologie de la sécurité informatiqueMéthodologie de la sécurité informatique

1. Identifier la menace Qui ou quoi ? Comment (vulnérabilités) ?

2. Évaluer les risques Probabilité Impact

3. Considérer les mesures de protection par rapport au risque Efficacité (risque résiduel) Coût Difficulté d'utilisation

4. Mettre en place et opérer les mesures protections Modification et/ou installation Changer les politiques Éduquer les utilisateurs

5. Retourner à 1…

© José M. Fernandez, 2004


INF6420Sécurité Informatique Et si…Et si…

août 2003?

7



8

Planification de contingencePlanification de contingence

ContingencyPlanning

DisasterRecoveryPlanning(DRP)

IncidentResponse/Handling

BusinessContinuityPlanning

(BCP)



9

Étapes majeures de la planification de contingenceÉtapes majeures de la planification de contingence

Identification of threats and attacks

Business unit analysis

Scenarios of successful attacks

Assessment of potential damages

Classification of subordinate plans

Incident planning

Incident detection

Incident reaction

(contain.)

Incident recovery

Plan for disaster

recovery

Crisismanagement

Recoveryoperations

Establishcontinuitystrategy

Plan for continuity ofoperations

Continuity management

Incident responseplanning

Business threat/impactanalysis

Disasterrecoveryplanning

Businesscontinuityplanning

• SysadminSysadmin • StakeholdersStakeholders• SysadminSysadmin

• SysadminSysadmin• InspecteursInspecteurs

Invest-igation

• StakeholdersStakeholders• SysadminSysadmin



10

Considérations techniques dans un DRPConsidérations techniques dans un DRP

Préservation des données Backup

• Quantité de données• Profondeur dans le temps• Incrémental vs. total• Qualité• Mirroring

Gestions des ressources Électricité Bande passante Capacité de calcul

Site alternatifs Hot Site Cold Site Redundant Site

Reprise services informatique

vs. reprise affaires Nécessité d'un BCP



11

Cadre légal et déontologiqueCadre légal et déontologique

Protection de la vie privée (renseignement "désignés") Commissariat à la protection de la vie privée au Canada (privcomm.gc.ca

)• Agence qui relève directement du Parlement et du Sénat• Cadre légal

Loi sur la Protection des renseignements personnels (1980) Loi sur la Protection des renseignements personnels et les documents

électroniques (2000) Protection des renseignements classifiés

Loi des secrets officiels Politique de sécurité du Gouvernement du Canada

Protection des droits des actionnaires Loi Sarbanes/Oxley (US) Auditeurs financiers externes

Répartition et gestion du risque Compagnie d'assurances

Protection du consommateur et du public Médical : Health Insurance Portability and Accountability Act (HIPAA)



12

Standards applicablesStandards applicables

Gestion de la sécurité ISO/IEC 17799:2000

• Information technology - Code of practice for information security

management (www.iso.org, pour la modique somme de 179$ US)

HIPAA (US)• Health Insurance Portability and Accountability Act • Standard de sécurité pour tout systèmes traitant des informations

médicales• Date limite d'application : avril 2004• Le prix à payer pour une violation du règlement va de 100$ d’amende à

25 000$ + 10 ans de prison



13

Standards applicables (2)Standards applicables (2)

Constructions et accréditations des systèmes Common Criteria

• Origine dans le Trusted Computing System Evaluation Criteria de la NSA

("Orange Book")• "Internationalisé" et adapté par plusieurs pays (Canada, Europe)• Langage et terminologie commune• Processus d'évaluation et d'accréditation de produits en termes de sécurité



15

OrganismesOrganismes

ISC2 www.isc2.org La doyenne de ces organisations plus

ancienne Maintenant accrédité ISO/ANSI

(standard des accréditations) Certifications SSCP (Systems Security

Certified Practitioner) et CISSP (Certified Information Systems Security Professional)

SANS Institute www.sans.org Nature essentiellement technique Offre formation par cours intensifs Programme de certifications GIAC

(très technique et spécialisé) Organisme privé (à but lucratif…) Opère de façon "volontaire" le

Internet Storm Center (isc.sans.org)

ISACA - Information Systems Audit Control Association

www.isaca.org Certifications CISA et CISM (Certified

Information Systems Auditor et Manager)

OIQ – Ordre des Ingénieurs du Québec Cadre légal

• Profession "restreinte"• "Actes protégés"

Code déontologique• Mécanisme d'inspections de l'exercice de

la profession Sanctions, radiations et autres pertes

de privilèges Détection et poursuite d'actes

protégés par non-membres Standardisation

• De l'éducation• Des pratiques professionnelles

Problème• N'opère pas dans le domaine de

l'informatique• Encore moins dans la sécurité informatique



16

Programme d'études en sécurité informatiqueProgramme d'études en sécurité informatique

Intro INF 4420/6420

Crypto U de M, DIRO - IFT-6180, Cryptologie : théorie et applications

Sécurité des réseaux INF 6421 – Hiver 06

Sécurité du logiciel et des SE INF 66XX – Hiver 07

Gestion de la sécurité des risques HEC, MAGI - ??

Aspects légaux U de M, Faculté de droit (M.Sc. en commerce électronique)

Documents

INF4420: Sécurité Informatique