Sécurité du Système d’Information

Jean-Paul Le Guigner

jplg@cru.fr

www.cru.fr

ENSSAT Lannion, février 2007

Rappel sur stage possible en « Fédération d’identité »

Préambule

• Emploi des TIC généralisé• Dépendance « totale » (pour le fonctionnement des entreprises)

• S’en passer risque de disparaître du paysage.

L’outil informatique est stratégique pour le fonctionnementde la recherche, de l’enseignement, de l’entreprise, des institutions, de la diffusion d’information, …

Sécuriser le Système d’Information (SI) est une obligation

Terminologie

• Informatique : « information / automatique »– mémoires, processeurs, réseaux, logiciels, ..– Connotation très technique (?) on y voit tout de suite l’informaticien

• TIC : Technologies de l’Information et de la Communication

• Le SI : Système d’information– ensemble des outils: matériels, systèmes, logiciels, infrastructures

réseaux,– les données,– les procédures : stockage, traitements, transmission, diffusion, …– les « hommes »– Les processus fonctionnels ( procédures).

http://www.volle.com/travaux/informatique.htm

SSI

On parlera de SSI (Sécurisation des Systèmes d’Information)

en considérant que sécurisation de l’outil informatique n’est qu’une facette de cette SSI et qu’elle ne suffit pas.

Les enjeux (ou pourquoi la SSI?)

1. Protection des données « importantes, stratégiques, sensibles » • Patrimoine (scientifique, savoir-faire, fonctionnement, …)

2. Respect :• de la législation des réglementations et directives gouvernementales,• de la vie privée (données à caractère personnel) (voir CNIL)• de la liberté des personnes

3. Image de marque vis-à-vis des partenaires, (confiance)4. Maîtrise des environnements (ne pas être la cause de préjudices)5. Continuité des services offerts et leur qualité,

L’ordre des enjeux ci-dessus, et L’importance accordé à chacun d’eux va dépendre du profil

de l’entreprise/organisme (le métier, les populations concernées, …).

SSILa SSI porte sur l’ensemble des composantes des SI :

• Les données, (l’information)• Les environnements informatiques

• serveurs, postes de travail, supports de données, • Les systèmes, les logiciels/progiciels, outils de développement, …• les infrastructures de communication (équipements et services réseau)

• Les services annexes : énergie, climatisation, chauffage, éclairage, …• Les personnes: compétences, savoir-faire, organisation, …

Le primordial c’est la protection des données (l’information)Y parvenir nécessite de protéger l’ensemble des éléments.

Il est important de bien identifier tous les biens et d’affecter des propriétaires Un inventaire est indispensable

Les données

La donnée ressource du SI la plus névralgique :• Une donnée peut matérialiser :

• la mémoire du fonctionnement de l’organisme• finances, comptabilité, clients, fournisseurs, stocks, actifs, contrats, …• l’organisationnel interne, procédures, …

• le patrimoine scientifique d’un laboratoire de recherche, • le « savoir-faire » technologique d’une entreprise,• le patrimoine culturel, • une information à caractère personnel (vie privée).

Par défaut, une conscience limitée de la valeur des données,jusqu’à l’occurrence d’un incident majeur

(incendie, vol de portable, écrasement de fichiers non sauvegardés, fuites ou altération d’informations, …)

Éléments de la démarche SSI

• Identifier, préciser, évaluer :– les enjeux, (prioriser)– Le niveau de sensibilité des ressources (fonction des enjeux), – les menaces potentielles pesant sur ces ressources,– Les vulnérabilités rendant les menaces réalisables,– le risque qu’elle soient exploitées, (probabilité)– Les conséquences est-on prêt à assumer?

• Elaborer une politique et des plans de protection– Organisation: moyens humains, procédures, règles,actions, …– Solutions: outils, architectures, …

• Surveillance, détection, réaction, suivi et audit– Mettre en œuvre des éléments de surveillance, détection d’incident, …– Établir une stratégie de réaction et des moyens de redémarrage rapide,– Prévoir le suivi la politique de sécurité, son audit éventuelle, …

Le savoir c’est mieux1. La sécurité absolue n’existe pas

• Il y a toujours des risques, même si efforts de protection sérieux

2. La SSI c’est de la gestion de risques– Il faut identifier « ce que l’on risque » et assumer ce risque.– Mais s’y préparer c’est mieux.

3. Préparer le « scénario » incident une stratégie de réaction, des moyens pour redémarrer au plus vite.

Sans logique, sans méthodologie, sans organisation, sans sensibilisation et responsabilisation des acteurs,

sans formalisme (sans documents), … pas de sécurité sérieuse.

Les acteurs de la SSITout le monde est concerné

– Direction, RSSI, …, • Se prononcer sur les enjeux stratégiques, • Soutenir les actions (arbitrages financiers) notamment la formation, • Décisions pour l’organisation des compétences et responsabilités,

– MoA et MoE (développeurs) pour les applications et les services– Les administrateurs (serveurs, postes, réseaux, …)

• Spécifications des règles d’administration, mise en œuvre, …• Contrôles, audits internes, …• Veille technologique, expertise, …

– Les utilisateurs :• Comportements conformes aux règles décidées,• Détection et remontée des anomalies, …

Pour les entités de taille « respectable » préconiser unestructure de pilotage de la SSI.

Schéma Directeur

• Suivant la taille de l’institution/organisme/entreprise un Schéma Directeur

• Pour les grandes orientations stratégiques

• Les enjeux à prendre en compte

• Les grandes lignes directrices des PSSI

et des PSSI par laboratoire/établissement/filiale/…• Prenant en compte les messages du SDirecteur

• Intégrant les spécificités des entités de base.

Les documents de la SSI

PSSI

• Politique de la SSI (PSSI)– Enjeux et orientations stratégiques en matière de SSI

• Fonction du profil métier de l’institution/entreprise• Et des contraintes fonctionnelles et économiques

– Les grandes menaces qui pèsent sur le SI• Analyse des risques recommandées

– Objectifs de sécurité retenus, (biens à protéger)– Chaînes opérationnelles

• Organisation des responsabilités• Identification des compétences

– Stratégie de réaction en cas d’incident, …– Relation avec les structures spécialisées : CERTs, DCSSI, DST, …

Les documents suivants peuvent être référencés par la PSSI, mais sont considérés comme des

« référentiels » opérationnels.

Les documents de la SSI

• Sensibilisation, information, formation– Chartes ou règlement intérieur pour la SSI– Sensibilisation

• Types de menaces, risques encourus

• Contexte juridique (CNIL, différents régimes de droit, …)

• Obligations des utilisateurs (guides de bonne pratique)

– Support de cours pour administrateurs, …– Organisation de la veille technologique en SSI

Les documents de la SSI

Documentations techniques

• l’opérationnel: orientations techniques– Les principes d’architectures retenus

• Domaines de confiance (ou zônes de confiance)• Relations entre applicatifs, services, • Séparation des communautés sur les réseaux

– La protection des accès • Accès réseaux (filaire ou sans fil), nomades (distants) ou locaux• Accès aux applications et services

– La protection des données (niveau stockage, niveau flux échangés)– Les règles d’administration

• Serveurs (Unix, Windows), bases de données, • Postes clients,• Services applicatifs, messagerie, serveurs WEB, • Des infrastructures et services réseaux,• …

Les documents de la SSI

• Maintenance en condition opérationnelle– Politique des logs/traces (une obligation)– Politique de métrologie, de supervision– Contrôle du niveau réel de sécurité

• Check-list de vérification de l’application des règles • Outils en complément :

– détections des intrusions/anomalies– Contrôle des failles potentielles (scanners)

– Carnets de sécurité pour les applicatifs,– Intégration de la SSI dans les contrats – Audits,

Les documents de la SSI

La SSI est un processus vivant, il faut donc une stratégie de révision des documents

régulièrement, sur évènement significatif, incident, …, si la veille technologique l’impose, sur audit récurent des pratiques, si évolution des enjeux, si évolution des métiers de l’entreprise, …

Vous devez sécuriser le Système d’Information de votreentreprise, université, …Rien n’existe ou presque :

Par où commencer?

Agir par des mesures Techniques et prendre le temps :• de solliciter la direction pour une vraie organisation SSI• de demander une évaluation des enjeux, de la

sensibilité des données, des menaces, …• déterminer le périmètre SSI, le profil des populations,

leurs droits, leurs obligations, • avoir une vision globale du Système d’Information.• de préparer l’élaboration de la documentation formelle.

– Serveurs :• Application des règles d’administration « saines »: Unix, Windows• Vérifier s’ils sont à niveau concernant les correctifs de sécurité

– Postes :• Les protections contre les virus, les « SpyWare », contenus malveillants, …• Mise en œuvre de garde barrières personnels,• prise en compte du nomadisme (wifi local, voyages, maison-entreprise, …)

– La protection physique des locaux et des matériels• accès, incendie, inondation, continuité électrique, …

– Politique de sauvegardes, de restauration, de reprise.– Réseau :

• Architecture pertinente, séparation de communautés, • Vérifier le degré d’ouverture vers l’extérieur, • Identifier les services offerts (trop? Mal configurés?, …)

Ce sur quoi il faut agir en premier lieu :

Et on s’attaque aux aspects: organisation, sensibilisation, formation, recommandations, PSSI, …

L’organisationnel (Ministère de l’Éducation Nationale)

(Enseignement Supérieur)

Chaîne fonctionnelle de la sécurité des systèmes d’information (SSI)

Proposition de chaîne organisationnel au Ministère de l’Education Nationale

Selon la recommandation interministérielle n° 901 sur la protection des systèmes d’information traitant des informations sensibles non classifiées de défense

Le premier ministre

(Corresp.technique de la SSI) CTS

SD

S S

I

Les ministre et ministre délégué

(Directions opérationelles) DPMA-DR-DT

(Personne juridiquement responsable) PJR Recteur, Président d’université,

Inspecteur Académique, Chef d’Établissement

(Responsable de la SSI) RSSI Nommé par la PJR

HFD (haut fonctionnaire de défense)

IGI n° 90

1

SGDN/DCSSI/CERT-A

FSSI (fonctionnaire de la SSI)

AQSSI (autorité qualifiée pour la SSI)

ASSI (agent de la SSI)

MENESR

Organisation sécurité; Enseignement Supérieur

Proc.De laRep.Dst

Pj

Etablissements

RSSI (+ suppléant)

relais internes

HFD

DCSSI

Rssi+ecorses

Cert-Renater

Jean-Paul Le GuignerChristian Claveleira

CertA

SGDN

Le RSSI: doit bien connaître lefonctionnemement du SI, mais aussi

bien connaître l’établissement, l’entreprise, et les enjeux liés à la sécurité.

Réseau de compétence: administrateurs systèmes et réseaux,

administrateurs bases de données, Architectes du SI, …

Direction

Service informatique

Sensibilisation, formation, actionsSensibilisation, formation, actions

OBJECTIFS GENERAUX

- structure du système d’information- propriétés de la sécurité

Principes de base

- prudence dans les manipulations- rigueur dans l'exécution- application des recommandations et conformité à la charte

Connaissances informatiquesélémentaires

Connaissances des risques, Des menaces et des vulnérabilités

Pour tout personnel

OBJECTIFS SPECIFIQUES

RSSIs

- Connaissance de et participation à la politique de sécurité- animation de groupes, projets,- formalisation de dossiers,- connaissance générale des moyens techniques- acquisition de réflexes au niveau des comportements,- connaissance juridiques et institutionnelles

Spécialiste informatique et réseaux

- connaissance des moyens techno. (hardware, locigiels, services, …)- prise en compte dès le début de la

mise en œuvre des moyens-démarche méthodologique et logique,-acquisition de réflexes aux niveaux:

- relations internes (hiérarchiques)- surveillance régulière(détection)- veille technologique- propositions d’évolutions

Compétences, Formations,ComportementsCompétences, Formations,Comportements

Structures (gouvernementale)

• CNIL (Commission Nationales Informatique et Libertés)

– application de la loi de 78

– contrôle des traitements nominatifs

– aide (personnes, organismes publics, …)

• DCSSI (Service Central de la Sécurité des Systèmes d’Information)

– dépend du SGDN (secrétariat général à la Défense Nationale)

– agréments pour matériel/logiciels de cryptographie, autorisation de commercialisation et d ’utilisation

– évalue les niveau de sécurité des « systèmes »

– réalise des audits, forme des experts

– prestations de formations lourdes et sensibilisations « pointues »

Structures (gouvernementale)

• Dépendant de la police judiciaire– BCRBI : Brigade Centrale de Répression de la Criminalité informatique

traite les affaires d ’intrusion informatique au niveau national

• Dépendant directement du Min. de l ’Intérieur– DST : direction de la surveillance du territoireconcernée par les affaire ayant une relation avec l’espionnage scientifique ou

industriel. Se positionne en dehors du cadre judiciaire, et travaille en collaboration avec les « victimes ».

Relations avec les « Autorités »

Ministèrede l’intérieur

DST

OCLCTIC

BEFTI-BFMP

SRPJ

AutoritésJudiciaires

SGDN/DCSSI

CERT-AMEN/MRHFD

Réglementation

GendarmerieNationale

Structures (non gouvernementale)

• CERTs (Computer Emergency Response Team)

– premier CERT créé suite à l ’affaire du « ver de l’Internet » en 1988 (le CERT-CC)

– nécessité de parer, prévenir des « bogues » existants dans les systèmes

– centralise les informations sur les incidents et les mesures de réactions

– diffuse l’information (validée) sur les corrections (patchs) à appliquer

– avertissent des « campagnes » d’attaques

• Plusieurs CERTs existent – par grand organisme aux US : CIAC (DoE), NASIRC (NASA), ASSIST (DoD),

– par pays ailleurs (ex: AUSCERT (Australie, services payants)

– en France pour le moment ---> le CERTA, le CERT Renater et le CERT-IST

• En Europe ---> EURO-CERT

• FIRST (Forum of Incident Response and Security Team) les fédère

Coopération des CERTs en France

CERT-Renater

CERT-IST

CERT-A