Sécurité informatiqueperso.univ-mlv.fr/present/supports/pdfmitic/S%E9cu%20...4 IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT r é s e a u In t e

1

Sécurité informatique

Dominique PRESENTI.U.T. de Marne la Vallée

IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT

Trois principaux risques menacent la PME

• Aujourd’hui, les pannes des systèmes d’information coûtent cher aux entreprises.Exemple : panne d'une journée et demie pour une société logistique, dont les ordinateurscoordonnent notamment des expéditions de produits réfrigérés à travers le monde.

Pertes : 10 000 € de l'heure.• la panne électrique ou de réseau :

– installer un système d'alimentation sans coupure. À partir de centaines d’€uros, il fournitune réserve d'une demi-heure - tout juste le temps de sauvegarder et de copier les fichierscruciaux - à quatre heures - peut-être ce qu'il faut pour terminer la journée.

• les virus, vers, chevaux de Troie :– Installer des pare-feu (firewall) ;– Contrôler l’accès aux ressources (profils utilisateurs, serveurs de comptes, contrôleurs de

domaines,…)• les menaces de l'intérieur même des PME :

– .Selon l'Étude mondiale sur la sécurité de l'information (Ernst & Young), les risques liésaux technologies de l'information proviennent majoritairement de l'insouciance, del'ignorance ou de la malhonnêteté des employés.

– Informer les utilisateurs des risques ;– Edicter des règles et procédures claires et simples ;– Contrôler les accès interdits et faire remonter les incidents

http://www.pdfdesk.com

2


Les éléments de la sécurité informatique

• Usages desmatériels

• Usages deslogiciels etervices

• Règles decontrôle

Sécurité informatique

Règles et procédures Éléments logicielset matériels

Architectureinformatique

Architecturede sauvegarde

• antivirus• Parefeux• Routeurs

parefeux

• Segmentation desréseaux

• Regroupementdes serveurs

• Zones«démilitarisées»

• Serveur desauvegarde

• Supports desdonnées

• Protection desdonnéessauvegardées


r é s e a uI n t e r n e t

La sécurité informatique : gérer les utilisateurs

Profilutilisateurserveur

de comptes Hubauthentification Ouverture de session

Droits d’accès

s Droits d’accèsAux ressources

intranetmessagerie

Les questions à se poser :• Qui à le droit d’utiliser l’ordinateur ?• A quelles ressources locales l’utilisateurdoit-il avoir accès et avec quels droits ?• A quels serveurs l’utilisateur doit-il avoiraccès ?• A quelles ressources/services du serveurl’utilisateur doit-il avoir accès et avec quelsdroits ?• A quels services Internet l’utilisateur doit-ilaccéder ?

Localement :• le profil utilisateur

A distance :• le serveur de comptes (oucontrôleur de domaine)

Routeur


3


La sécurité informatique : protéger des intrusions

serveurde comptes Hub

s protéger desaccès illicites auxservices

intranetmessagerie

Poste client :• le parefeu personnel(personnal ifrewall)

Serveur :• le routeur parefeu(firewall)

Routeurr é s e a u

I n t e r n e t

Parefeupersonnel

RouteurParefeu

RouteurParefeu

Les questions à se poser :• Quels services peut utiliser le client sur sonposte ?• Quels clients peuvent accéder à un serveur ?• Quels services sont accessibles aux clientsinternes ?• Quels services sont accessibles à des clientsexternes ?


La sécurité informatique : adapter l’architecture

serveurde comptes Hub

s commentregrouper les serveurs

intranetmessagerie


Parefeupersonnel

RouteurParefeu

RouteurParefeu

Les questions à se poser :• Quels serveurs doivent être protégés ?• Comment segmenter le réseau pour placer leséléments de sécurité ?• Quelles attaques sont à prendre en compte?


4



La sécurité informatique : adapter l’infrastructure

serveurde comptes

Hub

s protéger desaccès physiquesillicites

intranetmessagerie

Parefeupersonnel

RouteurParefeu

RouteurParefeu

Les questions à se poser :• Quels locaux protégés sont à prévoir ?• Quelles attaques sont à prendre en compte?• Comment doit-on sécuriser l’accès deslocaux ?


la sécurité de l’information : un plan d’actionContexte• La sécurité de l'information est l'ensemble des mesures de sécurité prises par votre entreprise

pour préserver la confidentialité, l'intégrité et la disponibilité de l'information.• La sécurité de l'information englobe l'ensemble des systèmes d'exploitation, réseaux de

télécommunication, logiciels, applications, documents, de même que la sécurité physique deslieux et des équipements.

Principe• La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2005 indique

comment assurer la sécurité de l'information.• Il faut, selon ISO 17799:2005, définir ses objectifs de sécurité: identifier les menaces,

déterminer les vulnérabilités et procéder à l’analyse des risques identifiés (sensibilité desinformations de l’entreprise, impact économique des sinistres potentiels, probabilité de leursurvenance et coût des mesures proposées.

• La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir etaméliorer le système de gestion de la sécurité de l'information (SGSI). Le modèle suggéréutilise une démarche d'amélioration continue qui comprend quatre étapes récurrentes :

– Planifier : définir le périmètre du SGSI, bâtir la politique de sécurité de l'information,procéder à l'évaluation des risques, préparer le plan d'action.

– Réaliser : mettre en place le plan d'action, sensibiliser et former le personnel.– Vérifier : s’assurer que les mesures de sécurité sont efficaces, effectuer le contrôle des

procédures, évaluer la fiabilité des données, réaliser périodiquement des audits du SGSI.– Agir : mettre en place des mesures correctives et de prévention appropriées, implanter les

améliorations du SGSI qui ont été identifiées.


5


Construire une politique de sécurité : 12 thèmes

1-Organiser lasécurité de

l’information

4-Gérer lesactifs

informationnels

3-Gérer lesrisques desécurité


l’information

2-bâtir unepolitique de

sécurité

12-prévoir lacontinuité des

activités

Thème 1 - Organiser la sécurité de l'information : préciser lesrôles et responsabilités des gestionnaires, utilisateurs etfournisseurs de services. Détailler les mécanismes de sécuritéà mettre en place pour assurer la sécurisation de l'accès destiers aux informations et ressources de l’entreprise.

Thème 3 - Gérer les risques de sécurité : analyseret évaluer les menaces, impacts et vulnérabilitésauxquels les données sont exposées et la probabilitéde leur survenance. Déterminer les mesures desécurité pouvant être implantées pour réduire lesrisques et leur impact à un coût acceptable.

Thème 12 - Prévoir la continuité des activités : décrire les façonsde faire pour élaborer un plan de continuité et de relève desservices, de même qu'un plan de sauvegarde des données et desapplications de votre entreprise.

Thème 4 - Gérer les actifs informationnels : procéder àl'inventaire des données; leur déterminer un propriétaire; lescatégoriser; déterminer leur niveau de protection et établir lesmesures de sécurité à mettre en place.

Thème 2 - Bâtir une politique de sécurité de l’information :indiquer les éléments à considérer et le contenu de lapolitique de sécurité de l'information.

Règles et pratiques : premières procédures à mettre en place basées sur la norme ISO 17799:2005,


La politique de sécurité : gérer les incidents


l’information

12-prévoir lacontinuité des

activités10-Gérer

l’acquisition, ledéveloppement

et l’entretien dessystèmes

11-Gérer lesincidents de

sécurité

9-Gérer lescommunicationset les opérations

7-Assurer lasécurité physique

etenvironnemental

5-Assurer la sécuritédes ressources

humaines

8-Contrôler lesaccès

6-Vérifier laconformité

Thème 10 - Gérer l'acquisition, ledéveloppement et l'entretien des systèmes: indiquer les règles de sécurité à observerdans l'acquisition, le développement,l'implantation d'applications et de logiciels.

Thème 7 - Assurer la sécurité physique etenvironnementale : préciser les mesures àmettre en place pour sécuriser le matériel etéviter les accès non autorisés dans leslocaux.

Thème 11 - Gérer les incidents de sécurité :indiquer les comportements à adopter lorsde la détection d'un incident de sécurité;mettre en place un processus de gestion desincidents de sécurité.

Thème 5 - Assurer la sécurité des ressourceshumaines : indiquer au personnel lesbonnes pratiques à utiliser et faire un bonusage de leur équipement informatique.

Thème 6 – Vérifier la conformité : s’assurerque les règles et procédures sont bienappliquées et qu’elles sont aux normes


6


Organiser la sécurité de l’informationRègles et pratiques• Rôles et responsabilités :

– implanter des règles de conduite et partager les responsabilités entre les différentsintervenants de votre entreprise.

– définir les rôles et les responsabilités des personnes impliquées dans la sécurité des actifsinformationnels.

– Les responsabilités à l'égard de la sécurité des actifs informationnels de votre entreprisereposent sur :

• les gestionnaires qui en assurent la gestion ;• les utilisateurs des actifs informationnels;• les tiers, fournisseurs de services et contractuels.

– Le dirigeant de votre entreprise a comme responsabilités de :• désigner un responsable de la sécurité des systèmes d'information (RSSI);• valider la politique globale de sécurité, les orientations et les directives.

– Le comité de la sécurité de l'information doit :• recommander les orientations et les directives au dirigeant de l’entreprise;• approuver les standards, les pratiques et le plan d'action de la sécurité de l'entreprise;• assurer le suivi du plan d'action de sécurité.


Organiser la sécurité de l’information– Le responsable de la sécurité coordonne la sécurité de l'information. À cet effet, il doit :

• élaborer et assurer le suivi et la mise à jour périodique du plan d'action;• communiquer au personnel, aux clients et partenaires de l'entreprise les orientations

de sécurité de l'information;• veiller au respect de la politique de sécurité de l'information ainsi qu'à la protection

des renseignements personnels et sensibles;• informer périodiquement le comité de l'état d'avancement des dossiers.

– Le propriétaire d'un actif informationnel doit :• assurer la gestion de la sécurité de son actif informationnel;• autoriser et répondre de l'utilisation, par les utilisateurs, clients et partenaires, des

données ou informations dont il est propriétaire;• veiller à ce que les mesures de sécurité appropriées soient élaborées, mises en places

et appliquées.• Gestion des accès des utilisateurs externes

– Le responsable de la sécurité doit contrôler les accès par des tiers aux infrastructures detraitement de l'information de l’entreprise, évaluer les risques, valider les mesures àappliquer et les définir sous forme de contrat avec le tiers en question.

– Dans le cas de sous-traitance le contrat établit les clauses sur les mesures et procédures desécurité pour les systèmes d'information, réseaux, infrastructures technologiques,informations ou données sensibles. Il inclut également les règles d’habilitation pour lepersonnel devant avoit accès à de l'information sensible ou confidentielle.


7


Bâtir une politique de sécurité implique l’entreprise

Thème 2ContexteUne politique de sécurité de l'information est un ensemble de documents émanant de la direction

de votre entreprise et indiquant les directives, procédures, lignes de conduite et règlesorganisationnelles et techniques à suivre relativement à la sécurité de l'information et à sagestion. Une telle politique constitue un engagement et une prise de position claire et fermede la direction de protéger ses actifs informationnels.

PrincipePour vous aider à bâtir une politique de sécurité de l'information, la norme ISO 17799:2005 peut

vous servir de guide et de référence.• Règles et politiques

– identifier le type de clientèle à laquelle vous vous adressez et de catégoriser les actifsinformationnels de votre entreprise selon leur degré de sensibilité.

– protéger les informations et ressources considérées comme vitales ou importantes pourvotre entreprise, soit des :

– systèmes d'information (application, logiciel, etc.);• éléments de l'infrastructure technologique (serveur, réseau de télécommunications,

réseau téléphonique, etc.);• types de documents (contrat, procédure, plan, procédé de fabrication, etc.);• installations (immeuble, local, etc.).


Une politique de sécurité conduit à des procédures

– La politique de sécurité de l'information devra contenir les éléments suivants :• confirmer l'engagement de la direction;• désigner une personne responsable de la sécurité de l'information;• identifier ce qui doit être protégé;• identifier contre qui et quoi vous devez être protégé;• inclure des considérations de protection de l'information;• encadrer l'utilisation des actifs informationnels;• tenir compte de la conservation, de l'archivage et de la destruction de l'information;• tenir compte de la propriété intellectuelle;• prévoir la réponse aux incidents et préparer une enquête, s'il y a lieu;• informer vos utilisateurs que les actes illégaux sur les informations et ressources de

l'entreprise sont interdits.– La pratique recommandée pour l'élaboration d'une politique de sécurité repose sur les

éléments suivants :– une politique globale;– des directives;– des procédures, standards et bonnes pratiques.


8


De la politique d’entreprise aux procédures

Politique globale

directives

procédures Standards pratiques

Niveau 1

Niveau 2

Niveau 3

Niveau 1 : Politique globaleengagement et prise de positionferme et claire de la direction del'entreprise quant à la protection àaccorder aux actifsinformationnels.Niveau 2 : Directivesmesures concrètes déterminant, lafaçon de procéder en vue d'assurerla sécurité des actifsinformationnels.Elles peuvent porter,par exemple, surl'utilisation d'Internet, ducourrier électronique oudes écrans de veille.

Niveau 3 : Procédures, standards et bonnes pratiquesProcédures : décrivent en détail toutes les étapes d'un processus humain ou technologiqued'implantation ou d'opération d'une mesure de sécurité.Standards : définissent les règles et mesures à respecter en attendant une normalisation par unorganisme officiel de normalisation.Pratiques : assurent que les contrôles de sécurité ainsi que les processus de soutien nécessaires sontimplantés de façon constante et adéquate à travers l'entreprise.


Protéger les actifs informationnels : les 3 étapes

• Étape 1 : Déterminer les actifs informationnels à catégoriser– Faire un inventaire des actifs informationnels regroupés par :

• système d’information;• élément de l'infrastructure technologique (serveur, réseau de télécommunication,

réseau téléphonique, etc.);• type de document (contrat, procédure, plan, etc.) ;• environnement physique (immeuble, local…).

– Attribuer un propriétaire, une catégorie et une valeur à chaque actif informationnel (lesactifs informationnels à catégoriser sont ceux pour lesquels une atteinte à la sécurité peutavoir des conséquences négatives pour votre entreprise).

• Étape 2 : Catégoriser les actifs informationnels– Donner des valeurs (élevée, moyenne ou basse) aux attributs disponibilité (D), intégrité (I)

et confidentialité (C) selon le contexte d'utilisation des actifs informationnels del'entreprise. Les contextes d'utilisation retenus sont : les postes autonomes ou mobiles, leréseau fermé et le réseau ouvert.

– Il est recommandé d'effectuer après cette étape une évaluation et une analyse des risques.• Étape 3 : Déterminer les mesures de sécurité à appliquer pour protéger les actifs

informationnels– Indiquer les mesures de sécurité qui à appliquer, à partir du contexte d’utilisation de

chaque actif. Cette étape est répétée autant de fois qu’i l y a d'actifs à catégoriser.


9


Le VPN : un réseau privé à travers InternetUn réseau virtuel privé (VPN) permet d’envoyer des données de manièresécurisée entre les ordinateurs de deux domaines privés (LAN) à travers unréseau d’opérateur (WAN).

Internetré s e a u lo c a l

Routeur

r é s e a u " b r o c e l ia n "Serveur

Routeur

• les données suivent toutes le même chemin• les données peuvent être cryptées

Le VPN revient à créer un « tunnel privé » à travers un réseau d’opérateurutilisant IP, comme Internet.


opérateurtélécom opérateur

télécom

Extranet : VPN ou LS, une question de coût

opérateurInternet

rés e a u lo c a lRouteur

Routeur

ré s e a u " b ro c e l ia n "Serveur

Routeur

Routeur

POPPOP

LS

LS

VPN

o p é r a t e u rt é l é c o m

Routeur

Routeur

LS

Liaison spécialisée : VPN :• bande passante garantie · bande passante non garantie• pas de qualité de service · qualité de service possible• sécurité à préciser · sécurité par cryptage


10


F A I

Client mobile : le VPN simplifie laprocédure

opérateurtélécom

opérateurRTC local

opérateurInternet

rés e a u lo c a lRouteur

POP

POPLS

o p é r a t e u rR T C

client

hôtel

LigneADSL

Serveur deconnexion

Serveur

Routeur

VPN

Routeur

Prestatairede service

Routeur

VPN : ADSL : Prestataire : serveur propre :• service VPN + · accès Wi-Fi · prestataire + · connexion RTC

RTC local RTC• débit 56Kb/s · haut débit · débit 56Kb/s · débit 56Kb/s• pas de coût · pas de coût · pas de coût · maintenance dude maintenance de maintenance de maintenance serveur de connexion


Architecture : serveur, tunnel et protocoles

Internetré s e a u lo c a l

Routeur

r é s e a u " b r o c e l ia n "Serveur

Routeur

Serveur VPN :fournit la connexion

client VPN :initie la connexion

tunnel : Chemindes données

Inter-réseau de transit :Réseau public traversé

• protocole de Tunneling : crypte et encapsule les données échangées entre le serveuret le client par l’un des principaux protocoles L2TP/IPsec, SSL ou PPTP• connexion VPN : connexion établie entre le serveur et le client


11


Paramétrer authentification et cryptage sous XP• Sous Windows XP, la configuration du paramétrage de l’authentification et de la

sécurité autorise des combinaisons ci-dessous :

Cryptage éxigéEAP/TLSouiCarte à puceCryptage optionnelEAP/TLSnonCarte à puce

Cryptage éxigéCHAP ; MS-CHAP ;MS-CHAP v2

ouiExiger un mot depasse

Cryptage optionnelCHAP ; MS-CHAP ;MS-CHAP v2

nonExiger un mot depasse

Mise en oeuvreAuthentification :protocoles

Cryptagerequis

validation

• Pour L2TP, le cryptage utilise IPSec• Pour PPTP, le cryptage utilise MPPE (Microsoft Point-To-Point Encryption) avecdes clés de 40 bits à 128 bits• Les données sont cryptées uniquement si l’authentification CHAP ou EAP estnégocié• CHAP v2 et EAP/TLS sont des protocoles d’authentification mutuelle (client etserveur vérifient leur identité)


Le paramétrage sous Windows XP

Paramètresd’authentification

Les paramètresd’ouverture de session

sont utilisés pourl’authentification

Protocolesd’authentification

autorisés


Documents

Sécurité informatiqueperso.univ-mlv.fr/present/supports/pdfmitic/S%E9cu%20...4 IUT de Marne la Vallée politique de sécurité de l'information © D. PRESENT r é s e a u In t e