Sécurité des Systèmes d’Information D. Ploix - Université Evry
Damien PloixUniversité d’Evry Val d’Essonne
http://damien.ploix.free.fr/
M2 MiageProcessus de la Sécurité des
Systèmes d’information
11
Plan
• Introduction
• Organisation de la Sécurité des SI
2Sécurité des Systèmes d’Information
D. Ploix - Université Evry
Introduction
• Actualité :– Ransomware– NSA / PRISM– Suxnet & co– Le cas Challanger– Focus du CERT : ¼ des crimes électroniques proviennent
des employés ou des personnes habilitées. (ref)– ShellSock, HeartBleed, …– Attaques d’OIV
• BTC, électricité Pakistan, Aramko
Sécurité des Systèmes d’Information D. Ploix - Université Evry
• Le 7 août 2008 à 23h, le pipeline BTC explose– Pipeline concurrent de ceux opérés par les entreprises d’Etat russes
– Traversant la Géorgie (et donc y contribuant financièrement)
– La veille de l’intervention russe en Ossétie
– Une attaque sophistiquée
– Sur le territoire turc
– Désactivation des sécurités industrielles et de la surveillance par piratage informatique
– Intrusion physique et manipulation manuelle des vannes
– Nécessite un haut niveau: logistique, d’entrainement, de connaissance de la cible
Sécurité des Systèmes d’Information D. Ploix - Université Evry
• Objectifs– Neutralisation d’un processus vital
– Nuisance économique pour faire pression dans une négociation
– Sabotage d’un effort de guerre
• Moyens:– Connaissance des processus
– Capacité à monter des simulations complexes
– Accès à des 0-days et des codes offensifs complexes
• Motivation à frapper un OIV– Fait maintenant partie de l’arsenal standard des relations inter-
étatiques
Sécurité des Systèmes d’Information D. Ploix - Université Evry
• 26 janvier 2015 : 80% du Pakistan privé d’électricité pendant plus de 2 jours– Un attentat fait sauter 2 pylônes électriques– Résultant en une défaillance du système d’échelle
nationale– 3 ème tentative par les rebelles du Balouchistan
depuis début 2015– Les 2 premières n’avaient causé que des pannes
mineures
Sécurité des Systèmes d’Information D. Ploix - Université Evry
• Objectifs– Frapper les esprits : moyens d’obtenir des concessions, de la visibilité ou de provoquer
une répression impopulaire
– Objectifs symboliques ou effrayants
• Moyens– Variables : de la petite organisation peu financée et disposant de peu de compétences
au terrorisme à support étatique
– La commoditisation des technologies joue en leur faveur
• Motivation à frapper un OIV– Incertaine : les frappes sur des sites industriels peuvent faire l’objet d’une
communication contrôlée (populations limitées, identification des causes longues)
– La mise en défaillance d’un service, même critique, frappe rarement les opinions
Sécurité des Systèmes d’Information D. Ploix - Université Evry
• Le 15 août 2012, Saudi Aramco était victime d’un malware virulent– Tente d’exfiltrer des informations et écrase le MBR– Approximativement 30000 postes et 3000 serveurs
contaminés– Revendiqué par un groupe inconnu Cutting Sword of
Justice– Il faudra plus de 3 semaines pour maitriser la situation– A la source, un administrateur système à volontairement
introduit le malware
Sécurité des Systèmes d’Information D. Ploix - Université Evry
• Objectifs– Vengeance, nuisance à l’organisation
• Moyens– Accès privilégiés– Connaissance des processus– Accès physique
• Motivation à frapper un OIV– Forte suivant tensions sociales, ou locales (géopolitiques et
religieuses dans le cas d’Aramco)
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Introduction
• Les dimensions de la sécurité– Organisation de la Sécurité des SI
• Organisation
• Démarche (SMSI)
– Focus • Gestion de l’Identification et Authentification (IAM)
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Objectif
• La finalité du Système de management de la sécurité de l'information est garantir (préserver) : La disponibilité de l'information
L'intégrité de l'information
La confidentialité de l'information
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Références bibliographiques
• Sécurité Informatique, Laurent Bloch & Christophe Woflhugel, Eyrolles 2013
• La sécurité dans le Cloud, V. Winkler, Pearson 2011
• Site du CLUSIF, du CLUSIR (de Lyon) et publications associés
• … profusion de matériaux de toute sorte sur le net… (des références dans le support)…
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Références : ANSSI
• Alertes de sécurité : www.cert.ssi.gouv.fr
• Intégrer la sécurité SI dans les projets : http://www.ssi.gouv.fr/entreprise/guide/gissip-guide-dintegration-de-la-securite-des-systemes-dinformation-dans-les-projets/
• Sécuriser l’administration des systèmes d’information : http://www.ssi.gouv.fr/entreprise/guide/securiser-ladministration-des-systemes-dinformation/
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Plan
• Introduction
• Organisation de la Sécurité des SI
14Sécurité des Systèmes d’Information
D. Ploix - Université Evry
Organisation de la sécurité des SI
« La sécurité est un processus, pas un produit » (OSSTMM3)
• Quelle place doit avoir la sécurité dans l’entreprise ?– Quelles activités (périmètre) ?– Quelle gouvernance ?– Quelle organisation ?
• Quelles démarches outillent la sécurité SI ?– Systèmes de management de la sécurité du SI
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Organisation de la sécurité SI
• Pour identifier les activités, la gouvernance et la place d’une thématique dans une organisation la démarche est de prendre comme base les « best practices » (tour d’horizon CMMI, ITIL, Cobit)
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Mesure de la maturité de
l’organisation dans ses activités SI
Organisation des activités IT
Outillage de l’audit des processus IT
Code de bonne pratique
Métiers des SI
Mesure et analyse du risque
Structure globale de la norme
Sécurité des Systèmes d’Information D. Ploix - Université Evry
ISO 27001Système de Management Sécurité Information
ISO 2700?MCA
ISO 27005
gestion des Risques
ISO 27005Démarche de
gestion des Risques
ISO 27002Mesures (17799)
ISO 27004 Indicateurs
Activité
Application données
Serveurs
Réseaux LAN / MAN / WAN
Locaux - Humains
PiratesIntelligence économique
SOX / BAL x / …Pandémie
PCA
ISO 27005
des Risques
ISO 27005Démarche d’analyse
des Risques
Organisation de la sécurité SIUne structure de la norme 27002
Structure globale de la norme : Organisation de l'entreprise :
Politique / Organisation / gestion RH Analyse des besoins :
Actifs / contrôles d'accès Gestion au quotidien :
Cryptographie / locaux / exploitation / communications / mobilité
Relations avec l'externe : Acquisition / développement / maintenance / fournisseurs
Gestion des incidents : Incidents / information dans la continuité de l'activité /
conformité
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIPolitique de sécurité de l'information
• « Il convient que le document de politique de sécurité de l’information démontre l’engagement de la direction et définisse l’approche de l’organisme pour gérer la sécurité de l’information. » (ISO 27002)
• Le corpus des politiques de sécurité du SI doit couvrir l’ensemble des thématiques « opérationnelles » et définissant/contextualisant les règles de leur « l’instanciation ».
• Les politiques de sécurité du SI doivent faire l’objet de réexamen à intervalles fixés préalablement ou en cas d’incident majeur.
• Politiques thématiques :– Menaces liées à l’utilisateur :
• Control d’accès, utilisation des actifs, bureau propre et écran vide, appareils mobiles / télétravail, installation de logiciels, classification (et traitement) de l’information
– Menaces liées à l’outillage du métier SI• Sécurité physique et environnementale, sauvegarde, transfert de l’information,
communications, …– Menaces liées aux relations avec des tiers
• Relations avec les fournisseurs, …
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIOrganisation de la sécurité de l'information
• Organisation interne– Fonctions et responsabilités liées à la sécurité de l'information– Séparation des tâches– Relations avec les autorités– Relations avec des groupes de travail spécialisés– La sécurité de l'information dans la gestion de projets
• Appareils mobiles et télétravail– Télétravail
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SISécurité liée aux ressources humaines
• Avant l'embauche– Rôles et responsabilités– Termes et conditions d’embauche
• Pendant la durée du contrat– Responsabilités de la direction– Sensibilisation, apprentissage et formations à la sécurité
de l’information– Processus disciplinaire
• Rupture, terme ou modification du contrat de travail– Achèvement ou modification des responsabilités associés
au contrat de travail
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIActifs / Cryptographie
• Gestion des actifs– Responsabilités relatives aux actifs
• Inventaire des actifs / Propriété des actifs /Utilisation correcte des actifs / restitution des actifs
– Classification des informations• Lignes directrices pour la classification (4 niveaux)• Marquage et manipulation de l’information• Manipulation des actifs
– Manipulation des supports • Gestion des supports amovibles / Mise au rebut des supports• Transfert physique des supports
• Cryptographie– Mesures cryptographiques
• Politique d'utilisation des mesures cryptographiques• Gestion des clés
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIContrôle d’accès
• exigences métier en matière de contrôle d'accès– Politique de contrôle d'accès– Accès aux réseaux et aux services en réseau
• gestion de l'accès utilisateur– Enregistrement et désinscription des utilisateurs– Maîtrise de la gestion des accès utilisateur– Gestion des privilèges d'accès– Gestion des informations secrètes d'authentification des utilisateurs– Revue des droits d'accès utilisateur– Suppression ou adaptation des droits d'accès
• Responsabilités des utilisateurs– Utilisation d'informations secrètes d'authentification
• Contrôle de l'accès au système et aux applications– Restriction d'accès à l'information– Sécuriser les procédures de connexion– Système de gestion des mots de passe– Utilisation de programmes utilitaires à privilèges– Contrôle d'accès au code source des programmesSécurité des Systèmes d’Information
D. Ploix - Université Evry
Activités/périmètre de la sécurité du SISécurité physique et environnementale
• Zones sécurisées– Périmètre de sécurité physique– Contrôles physiques des accès– Sécurisation des bureaux, des salles et des équipements– Protection contre les menaces extérieures et environnementales– Travail dans les zones sécurisées– Zones d’accès public, de livraison et de chargement
• Matériel– Emplacement et protection du matériel– Services généraux– Sécurité du câblage – Maintenance du matériel – Sortie des actifs / sécurité du matériel et des actifs hors des locaux– Mise au rebut ou recyclage sécurisé(e) du matériel– Matériel utilisateur laissé sans surveillance – Politique du bureau propre et de l'écran vide
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SISécurité liée à l’exploitation
• Procédures et responsabilités liées à l’exploitation – Procédures d’exploitation documentées – Gestion des changements – Dimensionnement– Séparation des équipements de développement, de test et d’exploitation
• Protection contre les logiciels malveillants – Mesures contre les logiciels malveillants
• Sauvegarde – Sauvegarde des informations
• Journalisation et surveillance– Journalisation des événements– Protection de l'information journalisée– Journaux administrateur et opérateur– Synchronisation des horloges
• Maîtrise des logiciels en exploitation– Installation de logiciels sur des systèmes en exploitation
• Gestion des vulnérabilités techniques– Gestion des vulnérabilités techniques– Restrictions liées à l'installation de logiciels
• Considérations sur l'audit du système d'information– Mesures relatives à l'audit des systèmes d'information
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SISécurité des Communications
• Management de la sécurité des réseaux– Contrôle des réseaux
– Sécurité des services de réseau
– Cloisonnement des réseaux
• Transfert de l'information– Politiques et procédures de transfert de l'informations
– Accords en matière de transfert d'information
– Messagerie électronique
– Engagement de confidentialité ou de non divulgation
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIAcquisition, développement et maintenance des
systèmes d’information • Exigences de sécurité applicables aux systèmes d’information
– Analyse et spécification des exigences de sécurité– Sécurisation des services d'application sur les réseaux publics– Protection des transactions liées aux services d'application
• Sécurité en matière de développement et d’assistance technique– Politique de développement sécurisé– Procédures de contrôle des changements apportés au système– Revue technique des applications après changement apporté à la plateforme
d’exploitation– Restrictions relatives aux changements apportés aux progiciels– Principes d'ingénierie de la sécurité des systèmes– Environnements de développement sécurisé– Développement externalisé– Phase de test de la sécurité du système– Test de la conformité du système
• Données de test– Protection des données de test
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIRelations avec les fournisseurs
• Sécurité de l'information dans les relations avec les fournisseurs– Politique de sécurité de l'information dans les relations avec les fournisseurs
– Sécurité dans les accords conclus avec les fournisseurs
– Chaîne d'approvisionnement informatique
• Gestion de la prestation de service – Surveillance et revue des services des fournisseurs
– Gestion des changements apportés dans les services des fournisseurs
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIIncidents / continuité de l’activité
• Gestion des incidents liés à la sécurité de l’information– Responsabilités et procédures– Signalement des événements liés à la sécurité de l'information– Signalement des failles liées à la sécurité de l'information– Appréciation des événements liés à la sécurité de l'information et prise de
décision– Réponse aux incidents liés à la sécurité de l'information– Tirer des enseignements des incidents liés à la sécurité de l'information– Recueil de preuves
• Aspects de la sécurité de l’information en matière de gestion de la continuité de l’activité– Continuité de la sécurité de l'information
• Organisation de la continuité de la sécurité de l'information• Mise en œuvre de la continuité de la sécurité de l'information• Vérifier, revoir et évaluer la continuité de la sécurité de l'information
– Redondances• Disponibilité des moyens de traitement de l'information
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Activités/périmètre de la sécurité du SIConformité
• Conformité avec les exigences légales– Identification de la législation et des exigences
contractuelles applicables– Droits de propriété intellectuelle– Protection des enregistrements– Protection de la vie privée et protection des données à
caractère personnel– Réglementation relative aux mesures cryptographiques
• Revues de la sécurité de l'information– Revue indépendante de la sécurité de l'information– Conformité avec les politiques et les normes de sécurité– Examen de la conformité technique
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Sécurité dans ITIL ?Selon la mise en œuvre, couvre tout ou partie d’ISO 27002
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Sécurité dans ITIL ?Selon la mise en œuvre, couvre tout ou partie d’ISO 27002
(base Wikipedia)
Sécurité des Systèmes d’Information D. Ploix - Université Evry
• Classification de la sécurité– Disponibilité : l'information doit être disponible et utilisable lorsque nécessaire,– Confidentialité : l'information doit être divulguée ou vue uniquement par les utilisateurs qui en ont
le droit,– Intégrité : l'information doit être complète, précise et on la protège de modifications non autorisées,– Authenticité, non répudiation : l'information doit être réputée "de confiance" lorsque des
transactions d'affaire ont lieu (et réalisées électroniquement) et lors des échanges entre les organisations ou avec des partenaires de l'organisation.
• Gestion de la sécurité (Security management) et référentiel de sécurité– la stratégie de sécurité globale (liée aux stratégies d'affaires de l'organisation),– la politique de sécurité de l’information (aspects de la stratégie, des contrôles et de la
réglementation),– le système de gestion de la sécurité de l’information (ou Information Security Management System -
ISMS)– l'ensemble des contrôles de sécurité pour soutenir la politique– la structure organisationnelle de sécurité efficace– le processus de surveillance (conformité et remontée de l'information)– la stratégie et le plan de communication pour la sécurité– la gestion des risques sur la sécurité– la stratégie ainsi que le plan de formation et de sensibilisation des utilisateurs
Organisation de la sécurité SIGouvernance (recommandation ISO 27014)
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Le processus en jeu dans la gouvernance de la sécurité du SI identifie les activités :-Évaluation (Evaluate),-Pilotage (Direct)-Mesure (monitor)-Communication (communicate)
Il est généralement porté par l’organisation de sécurité SI et fait partie des missions du D/RSSI.
En complément, le processus de certification (assure) donne un point de vue indépendant et objectif sur la gouvernance de la sécurité et ses objectifs.
Organisation de la SSI(Recommandation ISO 27002)
• Définition de l’organisation de la sécurité explicitant :– Engagement de la direction vis-à-vis de la sécurité de l’information– Coordination de la sécurité de l’information– Attribution des responsabilités en matière de sécurité de l’information– Système d’autorisation concernant les moyens de traitement de l’information– Engagements de confidentialité– Relations avec les autorités– Relations avec des groupes de spécialistes– Revue indépendante de la sécurité de l’information
• Tiers– Identification des risques provenant des tiers– La sécurité et les clients– La sécurité dans les accords conclus avec des tiers
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Organisation de la sécurité des SIActeurs de la mise en œuvre de la SSI
• Missions des acteurs de la sécurité :– Définir et faire appliquer la politique de sécurité
– Analyse des risques.
– Contrôle, audit.
– Architecture, conception.
– Veille technologique et législative.
– Sensibilisation, formation.
• Niveau décisionnel : – concevoir, mettre en place, et assurer le respect de la politique de sécurité.
• Niveau de pilotage : – il s’agit des autorités qualifiées responsables de la sécurité du système d'information dont elles ont la
charge (consignes, directives, contrôle interne, sensibilisation).
• Niveau opérationnel : – il s’agit des agents de la sécurité en charge de la gestion, du contrôle et du suivi de la sécurité.
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Organisation de la sécurité des SI
• Question posée : – Où sont les interlocuteurs/acteurs de la sécurité.– Constat : rien d’uniforme et indicative de la perception de
la problématique par l’entreprise. Fortement lié à la taille et au métier de l’entreprise.
• Exemples de positionnement possibles : – Au sein de la DSI, de la DG, d’une direction métier, des
directions (fonctions) audit, qualité, risk managment,
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Organisation de la sécurité des SISSI au sein de la DSI (source CLUSIF)
Positionnement Avantage Inconvénients
Au sein de la DG Prise en compte au plus haut niveau.Décisions suivies d’actions
Traiter la sécurité en modeexception, effet balancier
Au sein d’une direction métier
En prise naturelle avec les risques de l’entreprise (choix du cœur de métier)
Pas dans tous les métiersRisques méthodologiques
Porté par le DSI Vision globale du SI Loin du métier (?)SI comme centre de coûtActivité à temps partagé
Poste de RSSI Prise en compte de toutes les dimensions techniques SI (interactions, démarches, bonnes pratiques)
Loin du métier (?)Difficulté de justifier le ROI
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Organisation de la sécurité des SISSI au sein de la DSI (source CLUSIF)
Sécurité des Systèmes d’Information D. Ploix - Université Evry
Positionnement Avantage Inconvénients
Au sein du Service AUDIT
La SSI devient une fonction qu’il faut auditer comme les autres
Position faible pour mettre en œuvre le changement
Au sein du service qualité
Convergence des méthodes.Positionnement transverse naturel.
Passer à côté des enjeux principaux (sécurité comme une méthode)
Au sein du RiskManagment
Au cœur des processus sensibles.Seule fonction capable de faire de la SSI un avantage concurrentiel.L’avenir ?
Compétence ? Dépend du profil et du mode de management.
Pas de RSSI Si aucun risque, économiebudgétaire.
Aucune prise en compte du risque, conséquence grave pour la pérennité de l’entreprise.
Organisation de la sécurité des SI
• Et en pratique …• « Deux ex-étudiants de la MIAGE d’Evry se sont
associés afin de créer leur entreprise (startup) autour d’un logiciel pour SmartPhone facilitant le suivi des commandes passées sur plusieurs sites. »
• De votre point de vue, quels points de la sécurité est-il important qu’ils mettent en œuvre dès le début de leur activité ?
Sécurité des Systèmes d’Information D. Ploix - Université Evry