Upload
pronetis
View
90
Download
1
Embed Size (px)
Citation preview
VOLET 3
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET III
� Module N°1 : Supervision & administration de la sécurité� Audit technique de sécurité – vulnérabilités - outils
� Détection d’intrusion réseau
� Protocoles sécurisés d’administration
� Architecture de Télémaintenance sécurisée
� Reporting et centralisation des logs
� Gestion des correctifs de sécurité
� Réaction à un incident de sécurité
� Module N°2 : Sécurisation d’un système d’information industriel� Mesures technique de sécurité
� Mesures organisationnelles de sécurité
� Illustrations
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Pour aller plus loin� Livre
� Magazine
� Articles - Web
TRAVAIL PERSONNEL
� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture des chapitres suivants
� Chapitre 8 Sécurité par les systèmes pare-feu et de détection d’intrusion : 8.4
� Chapitre 10 Sécurité par la gestion de réseau : 10.3, 10.6
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ – VULNÉRABILITÉS - OUTILS
DÉTECTION D’INTRUSION RÉSEAU & SYSTÈMEPROTOCOLES SÉCURISÉS D’ADMINISTRATION
ARCHITECTURE DE TÉLÉMAINTENANCE SÉCURISÉE
REPORTING ET CENTRALISATION DES LOGS
GESTION DES CORRECTIFS DE SÉCURITÉ
MODULE N°1 : SUPERVISION & ADMINISTRATION DE LA SÉCURITÉ
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIFS
Supervision et administration de la sécurité
� Pour prévenir, détecter et réagir aux incidents de sécurité, les moyens informatiques permettent d’enregistrer et de remonter quantité d’informations à traiter.
� Pour mesurer de manière ponctuelle ou récurrente son niveau de sécurité, il existe également les audits de vulnérabilités.
� La légalité de ces pratiques comme le coût (en effort et en moyen) imposent d’organiser rationnellement la supervision de la sécurité.
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIFFÉRENTS TYPES D’AUDIT DE SÉCURITÉ
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
Tests d’intrusion
� Pour parer à d’éventuels incidents certaines sociétés de services proposent une prestation connue sous le nom de « Test d’intrusion » pour évaluer le niveau de sécurité d’un système d’information et apporter des solutions aux problèmes décelés.
� En quoi consiste ces tests d’intrusion et quels sont leurs objectifs, leurs limites et leurs réelles valeurs ajoutées ?
8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
Définition d’un test d’intrusion
� Attaques identiques à celles menées par des pirates informatiques sans les effets nuisibles que cela suppose
� Accord entre un prestataire et une société sur :
� Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications concernées
� Une période de temps : durée de l’autorisation des tests d’intrusion.
� Une limite de tests : pas de perturbation de la production ni de corruption de données.
9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MÉTHODOLOGIE DES AUDITS TECHNIQUES
� Référentiel en matière de tests intrusifs
� OWASP : (Open Web Application Security Project ): communauté internationale(entreprises, développeurs, architectes des projets, responsables sécurité)focalisée sur les problèmes de sécurité des applications Web.
� OSSTMM : L'OSSTMM est le fruit de la volonté de plusieurs auditeurs en sécuritéinformatique, souhaitant s'appuyer sur un standard rigoureux et pragmatiquepermettant non seulement de structurer les audits de sécurité, mais également deleur apporter une métrique.
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
� Les 10 critères de l’OWASP
12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
Déroulement d’un test d’intrusion
� Le déroulement d’un test d’intrusion peut s’assimiler à la méthode des « 5 P » vue précédemment dans le cours. Néanmoins voici les principales étapes
� Recueil d’informations : Identifier les systèmes : serveurs, firewalls, routeurs, systèmes d’exploitation etc…
� Recherche et développement : sur la base de données collectées, une recherche des vulnérabilités existantes est effectuée. Sinon, un développement de nouvelles attaques spécifiques à l’objet de l’étude est réalisé.
� Intrusion : grâce aux vulnérabilités exploitées et/ou l’outil spécifiquement développé, un accès illicite au système d’information est réalisé.
� Rapport : rapport détaillé présentant les vulnérabilités découvertes et leurs impacts sur le système d’information ainsi que les actions correctives
13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le test d’intrusion est généralement réalisé en aveugle, sans aucune information autre que le cadre du test.
AUDIT TECHNIQUE DE SÉCURITÉ
Les contraintes des tests d’intrusion
� Contraintes juridiques : nécessité d’avoir un contrat bien délimité entre le prestataire et le commanditaire
� Complexité du système d’information : certaines parties du système d’information peuvent-être hébergées par un tiers ou en infogérance
� Assurer la continuité des services pendant les tests� Définition explicite des services critiques pour l’entreprise
� Social Engineering : inévitable pour les pirates informatiques, à convenir entre le prestataire et le commanditaire
14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
Apports des tests d’intrusion
� Les PME/PMI n’ont pas forcément le budget pour avoir une équipe de sécurité
� Évaluer le niveau de sécurité à un instant donné ou de manière récurrente
� Finaliser la sécurisation d’un système d’information
� Ajuster la sécurité existante : politique de sécurité, procédures, équipements
� Vérifier la sécurité d’un service installé par un tiers (hébergeurs, prestataires)
� Objectif stratégique : sensibiliser la hiérarchie
� Extraction des comptes de la société, carnet d’adresses des clients ….
� Consolidation du travail des administrateurs informatiques
� Parfois mal perçu, ou perçu comme une vérification du travail des administrateurs
� Cela peut induire un comportement indésirable : rétention d’information, modifications des configurations ou des pratiques
15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� Les sites de publications utilisés dans le cadre de ces tests (liste non exhaustive) sont les suivants :
� http://nvd.nist.gov/ ,
� http://www.certa.ssi.gouv.fr/
� http://www.securityfocus.com/
� http://www.sans.org
� http://cve.mitre.org/
� http://cvedetails.com
� http://secunia.com/
� http://www.exploit-db.com/
� http://mtc.sri.com/
� http://osvdb.org
17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
EXTRAITS
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Répartition du type de vulnérabilités
OUTILS D’AUDIT DE VULNÉRABILITÉS
Présentation de Nessus
� Architecture de Nessus� Architecture modulaire avec la liste des tests à mener
� Architecture Client / Serveur
� Client : paramètre le scan et d’obtenir les résultats� Serveur effectue les testsCe découplage permet de positionner plusieurs scanners sur le réseau derrière des firewalls et de piloter le scan à partir d’un point unique.
La communication entre le client et le serveur s’effectue en TLSv1 afin d’assurer la confidentialité des résultats transmis au client.
� Option Safe Check: Sert à limiter les interactions fâcheuses avec les équipements actifs du système informatique
19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ATTENTION : Il y a toujours un risque de générer des perturbationsvoir des « plantages » d’équipements lors d’un test de sécurité.
DÉTECTION ET PRÉVENTION D’INTRUSION –RÉSEAU (NDIS) & SYSTÈME (HDIS)
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉTECTION ET PRÉVENTION D’INTRUSION – RÉSEAU (NDIS) & SYSTÈME (HDIS)
Les systèmes de détection et de prévention d’intrusion
� Détecte les intrusions dans un réseau (Network DIS - NDIS) ou sur un système (Host DIS - HDIS)
� Détection de comportement inhabituel� Détection de scénarios par signature� Détection par filtrage et comptage d’événements
� Coupure des attaques détectées sur le réseau ou sur le système
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS)
Les systèmes de détection d’intrusion NIDS
� Sondes réseau en écoute de trafic� Recopie de trafic en environnement commuté
� Journalisation des événements dans les journaux (logs)
� Analyse des données des journaux
� Génération d’alarmes en fonction des événements sur le réseau� Trop de faux positifs : fausses alertes
� Trop de faux négatifs : incidents négligés
� Les opérateurs analysent les journaux pour une recherche rétrospective
22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS)
Les systèmes de détection d’intrusion
23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS)
Architecture type d’un système de détection d’intrusion NIDS
Transfert des événements
en mode lot ou temps réel
Réseau Interne
Console de gestion
BdD
Navigateur Web
Serveurs Web et Messagerie
Internet
DMZ
Sonde B
Sonde C
Firewall
Sonde A
Où doit-t-on placer les sondes ?
Réseau Interne
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS)
Où doit-on placer les sondes NDIS ?
- les services les plus exposés et les plus critiques- Exemple : bases de données, ERP…
- Identifier les goulots d’étranglement naturels- Les connexions entre réseau se révèlent être d’excellentes positions d’observation.
Interconnexion WAN, Connexion Internet
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Système de détection d’intrusion sur une machine HDIS
� Moniteur d’applications� Enregistrement des faits et gestes des utilisateurs au niveau de l’application pour une
interprétation aisée
� Filtrage des données en vue des débordements de tampon (buffer overflow)
� Signature des attaques spécifiques aux applications
� Permet de détecter les attaques chiffrées
� Faiblesses� Vision limitée à une seule machine
� Les HDIS peuvent être attaqués et désactivés
26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS)
IDS : PRODUITS
� McAffee
� Cisco
� IBM
� HP
� …
27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROTOCOLES SÉCURISÉS D’ADMINISTRATION – ARCHITECTURE DE TÉLÉMAINTENANCE
SÉCURISÉE
28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROTOCOLES SÉCURISÉS D’ADMINISTRATION
Les protocoles utilisés pour l’administration des systèmes� Les protocoles non sécurisés = flux non chiffré et mot de passe en clair
� Prise de contrôle à distance : Telnet, VNC, PC Anywhere
� Configuration à distance : HTTP
� Téléchargement de fichiers : FTP, TFTP
Les bons réflexes� Nécessaire mais non suffisant : changer le mot de passe par défaut� Mettre en œuvre les services d’administration qui utilisent :
� Le chiffrement des communications entre la console et l’équipement
� L’authentification des administrateurs
� Utiliser les protocoles sécurisés� SSH au lieu de Telnet
� HTTPS au lieu de HTTP
� SFTP au lieu de FTP
� LDAPS ou lien de LDAP
� Etc….
� Coupler les accès aux services avec des systèmes d'authentification forte - et OTP
29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE
� Plusieurs phénomènes sont à prendre en compte dans l’évolution de l’usage de la l’administration et de la télémaintenance :
� La croissance constante des flux de télémaintenance par des prestataires extérieurs pour la maintenance des équipements informatiques y compris l’informatique industrielle
� Le nombre de tiers externes pour la télémaintenance est en augmentation depuis quelques années quelque soit le secteur d’activité
� La mutualisation des services d’administration et d e supervision entre les différents réseaux de la tels que les services de sauvegarde centralisée (DataProtector, Tivoli), de supervision (HP OV), de collecte d’information (Info Centre), de prise de main à distance (RDP, VNC)
� L’usage de la télémaintenance est prévu à la hausse et ne devrait pas infléchir dans lesprochaines années. Il y a une nécessité réelle et immédiate d’anticiper cette évolution afin demettre en place une architecture de télémaintenance sécurité pérenne et des modesopératoires clairement définis et appliqués par tous les acteurs.
30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE
31
� Axes de conception� Check point - Centralisation des points d’accès de t élémaintenance en un point unique
� Coupure protocolaire et portail applicatif de télém aintenance – favoriser l’accès en VPN SSL sur les applications ciblés et publié sur un portail de télémaintenance – limitation de la surface d’attaque – évite de donner l’accès au LAN complet au réseau d’entreprise
� Etanchéité des différents réseaux de la société pour les flux de télémaintenance
� Haute disponibilité – haute disponibilité par des redondances actives
� Contrôle d’accès logique - authentification forte OT P – compte nominatif
� Détection d’intrusions
� Traçabilité – centralisation et reporting de logs
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Filtrage de fluxIP (adresses IP sources et adresses IP destination sur lesquelles la télémaintenance doit être effectuée
Sondes HIDS
Sonde DMZNIDS
Sonde LANNIDS
REPORTING ET CENTRALISATION DES LOGS
33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT – IMPUTABILITÉ - TRAÇABILITÉ
1. Suivi des actions d’un réseau, d’une machine, d’un logiciel
2. Imputabilité (effet dissuasif + détection + éléments de correction)
3. Permet de comprendre les accès qui ont eu lieu, d’identifier une brèche de sécurité ou une attaque
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT – IMPUTABILITÉ - TRAÇABILITÉ
� Important : séparation des rôles� On ne peut pas empêcher un administrateur (ou quelqu’un qui vient d’obtenir
ces privilèges lors d’une attaque) de faire ce qu’il veut (dont effacer les logs)
� Il convient de séparer le rôle d’auditeur du rôle d’administrateur en exportant les logs et les rapports audits hors des composants audités
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
36
REPORTING ET CENTRALISATION DE LOGSLes fonctions d’un système de supervision de la sécurité
Services, Serveurs, appliances, équipements réseau, postes clients
N°1 : Générer et collecter les événements
N°2 : Centraliser les journaux
N°3 : Stocker et Archiver
N°4 : Filtrer, analyser, Corréler les événements
N°5 : Afficher les alertes
Administrateur de la sécurité
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
REPORTING ET CENTRALISATION DE LOGS
� Problématique et besoin� Systèmes hétérogènes : Windows, Unix, Linux, Réseau( Cisco, 3COM, Nortel)
et autres appliances (Firewall, IPS, Proxy, Anti-virus)
� La sécurité nécessite de superviser tous les éléments du système d’information
� Chaque système classique stocke en général localement ses événements sous une forme qui n’est pas forcément standard
« Trop de logs tue les log »
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
REPORTING ET CENTRALISATION DE LOGS
38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
REPORTING ET CENTRALISATION DE LOGS
Bluecoat (Proxy Server)
Cisco PIX (Firewall)
Trend Micro IMSS (Mail Content Scanner)
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
� Tendance du marché� Produits matures
� Marché américain – SOX – PCI/DSS
� Contrôle et réglementation
� Destiné à des grands comptes
� Produits jeunes� Référence à Splunk
� ClicknDecide – Rachat de Net Report
� Stratégie de licencing� Volumétrie – nb lignes / jour EPD (clikndecide) - débit Mo/jour (splunk)
� Nombre d’équipements– WhatsupGold
40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
GESTION DES CORRECTIFS DE SÉCURITÉ
41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
GESTION DES CORRECTIFS DE SÉCURITÉ
� Gestion des correctifs ou patch management� un élément clé de la protection des systèmes d’information
� Problématique actuelle� Menaces récurrentes par les virus
� Le périmètre de vulnérabilité s’est élargi. C’est tout le réseau de l’entreprise qui peut être mis hors service
� La période entre la publication d’une vulnérabilité par l’éditeur et l’apparition d’un programme malveillant exploitant cette vulnérabilité s’est considérablement réduit
42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
La priorité n’est pas de savoir si une vulnérabilité seraexploitée dans le système d’information, mais de savoir àquel moment et sur quel composant elle sera. L’objectif desécurité est réduire au maximum le temps de correction dela vulnérabilité.
GESTION DES CORRECTIFS DE SÉCURITÉ –ILLUSTRATION WSUS
� Exemple d’outil de gestion des mises à jour de sécurité (patch management) sous Windows avec Update Services (WSUS)
� Basé sur le service de Mises à jour automatiques de Windows (Win 7, Win 8, 2008 R2, 2012 R2)
� Configurable par stratégie de groupe pour télécharger et/ou appliquer les mises à jour
43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
GESTION DES CORRECTIFS DE SÉCURITÉ –ILLUSTRATION WSUS
L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Micro soft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents gr oupes ciblesL’administrateur approuve les mises à jour
Microsoft Update
(utilise WSUS)Serveur WSUS
Postes de travail (clients WSUS) Groupe cible 1
Serveurs (clients WSUS)Groupe cible 2Administrateur WSUS
44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésLes clients installent les mises à jour approuvées par l’administrateur
ANTI-VIRUS
� On ne les présente plus…
� Très souvent basés sur des signatures� Dans ce cas, il est extrêmement important d’être à jour pour avoir une protection valable
� Toutes les signatures ne se valent pas � certaines sont des suites d’octets (donc risque de non détection si modification d’un des octets
non significatifs dans une variante)
� d’autres sont des éléments logiques (et permettent de détecter des variantes)
� Parfois heuristiques� Pour les virus macro en particulier (cf Office)
� Certains se passent complètement de signatures (cf Viguard, plus proche d’un HIPS que d’un antivirus)
45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Internet
GESTION DES CORRECTIFS DE SÉCURITÉ
Serveur LiveUpdate
Serveur primaire
Serveurs secondaires
100Ko 100Ko
Déploiement de signatures anti-virus en entreprise
� Connexion au serveur LiveUpdate de l’éditeur� Déploiement des signatures anti-virus :
� Ditribution des définitions à tous les serveurs et tous les clients� Mise à jour incrémentale à partir du serveur parent
46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉACTION À UN INCIDENT DE SÉCURITÉ
47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMMENT RÉAGIR EN CAS DE CYBER CRIME ?
� http://www.clusif.asso.fr/fr/production/cybervictime/
Dans le cadre professionnel : veuillez d’abord contacter vo treresponsable sécurité informatique ou bien votre responsab lehiérarchique.
RÉACTION À UN INCIDENT DE SÉCURITÉ
49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
� La DPSD
� La police : DCPJJ/OCLCTIC, DCRI, PP/BEFTI,
� La gendarmerie : IRCGN, STRJD, NTECH
� La justice
En cas d’incident :
Office Central de Lutte contre la Criminalité liées aux Technologies de l’Information et de la Communication (OCLCTIC)
101 Rue des 3 Fontanot - 92000 NANTERRETel : 01.49.27.49.27
"info-escroqueries" 08 11 02 02 17
PAUSE-RÉFLEXION
Avez-vous des questions ?
50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Audit technique de sécurité - outil
Détection d’intrusion
Architecture de télémaintenance
sécurisée
Protocoles sécurisés
d’administration
Gestion des correctifs de
sécurité
Reporting et centralisation
des logs
Réaction à un incident de
sécurité
MESURES TECHNIQUE DE SÉCURITÉ
MESURES ORGANISATIONNELLES DE SÉCURITÉ
ILLUSTRATIONS
MODULE N°2 : SÉCURISATION D’UN SI INDUSTRIEL
52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SÉCURISATION D’UN SI INDUSTRIEL
� Mesures organisationnelles1. Cartographie des installations matérielles, des systèmes et des applications
critiques
2. Classification des différents niveaux de criticités attendus
3. Identification des personnels responsables
� Sensibilisation à cyber sécurité et formation interne / externe4. Intégration de la cyber sécurité dans le cycle de vue du système industriel
� Spécification, conception, audit technique, veille sécurité, veille de l’obsolescence du parc5. Plan de maintenance et opérations associées
6. Sécurité physique et contrôle d’accès aux locaux
7. Maitrise des intervenants
8. Plan de reprise et de continuité d’activité (cours 4A)
53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SÉCURISATION D’UN SI INDUSTRIEL
� Mesures techniques1. Architecture de zonage pour isoler les parties les plus sensibles
� Firewall, Diode, VLANs, filtrage IP, chiffrement de flux sensibles (VPN IPSEC, SSL)2. Contrôle d’accès
� Gestion des comptes et authentification – suppression des mots de passe par défaut� Principe du moindre privilège
3. Architecture de télémaintenance sécurisée
� Authentification forte, traçabilité, environnement de type bac à sable pour les tiers externes
4. Contrôle des administrateurs du système d’information
� Durcissement des configurations (protocoles sécurisés, authentification, ouvrir désactivation des services inutilisés par l’API)
� Chiffrement du firmware, contrôle de la signature du firmware, � Politique de gestion des correctifs de sécurité
5. Programmes des automates (développement sécurisé)
6. Supervision de la sécurité
� Reporting et centralisation des logs� Sondes de détection d’intrusion
54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SÉCURISATION D’UN SI INDUSTRIEL
Régulation et automatismeMots(millisecondes)API, DCS, HMI, poste de conduite
SupervisionElaboration des ordres - calculateur de process -
Pilotage historisation -gestion des processus industriels (MES)
Fonctions centralesfinance, compta, info centre
55 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Niveau 0Capteur et ActionneurBits (microsecondes)Systèmes embarqués
Firewall industriel
Administration réseau
Formation et sensibilisation
Architecture de télémaintenancesécurisée
Surveillance des états
Segmentation des réseaux critiques
SÉCURISATION D’UN SI INDUSTRIEL
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mesures techniques
Mesures organisationnelles
Illustrations
POUR ALLER PLUS LOIN
� Livre
� Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD
� Magazine � http://boutique.ed-diamond.com/ (revue MISC)
� Web
� http://www.ssi.gouv.fr/� http://www.securite-informatique.gouv.fr� http://www.forum-fic.com/� http://www.gsdays.fr/� https://www.lesassisesdelasecurite.com/
59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN DU VOLET
MERCI POUR VOTRE ATTENTION
60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés