Sécurite opérationnelle des Système d'Information Volet-3

VOLET 3

1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

AGENDA VOLET III

� Module N°1 : Supervision & administration de la sécurité� Audit technique de sécurité – vulnérabilités - outils

� Détection d’intrusion réseau

� Protocoles sécurisés d’administration

� Architecture de Télémaintenance sécurisée

� Reporting et centralisation des logs

� Gestion des correctifs de sécurité

� Réaction à un incident de sécurité

� Module N°2 : Sécurisation d’un système d’information industriel� Mesures technique de sécurité

� Mesures organisationnelles de sécurité

� Illustrations


� Pour aller plus loin� Livre

� Magazine

� Articles - Web

TRAVAIL PERSONNEL

� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture des chapitres suivants

� Chapitre 8 Sécurité par les systèmes pare-feu et de détection d’intrusion : 8.4

� Chapitre 10 Sécurité par la gestion de réseau : 10.3, 10.6


AUDIT TECHNIQUE DE SÉCURITÉ – VULNÉRABILITÉS - OUTILS

DÉTECTION D’INTRUSION RÉSEAU & SYSTÈMEPROTOCOLES SÉCURISÉS D’ADMINISTRATION

ARCHITECTURE DE TÉLÉMAINTENANCE SÉCURISÉE

REPORTING ET CENTRALISATION DES LOGS

GESTION DES CORRECTIFS DE SÉCURITÉ

MODULE N°1 : SUPERVISION & ADMINISTRATION DE LA SÉCURITÉ


OBJECTIFS

Supervision et administration de la sécurité

� Pour prévenir, détecter et réagir aux incidents de sécurité, les moyens informatiques permettent d’enregistrer et de remonter quantité d’informations à traiter.

� Pour mesurer de manière ponctuelle ou récurrente son niveau de sécurité, il existe également les audits de vulnérabilités.

� La légalité de ces pratiques comme le coût (en effort et en moyen) imposent d’organiser rationnellement la supervision de la sécurité.


AUDIT TECHNIQUE DE SÉCURITÉ


DIFFÉRENTS TYPES D’AUDIT DE SÉCURITÉ



Tests d’intrusion

� Pour parer à d’éventuels incidents certaines sociétés de services proposent une prestation connue sous le nom de « Test d’intrusion » pour évaluer le niveau de sécurité d’un système d’information et apporter des solutions aux problèmes décelés.

� En quoi consiste ces tests d’intrusion et quels sont leurs objectifs, leurs limites et leurs réelles valeurs ajoutées ?



Définition d’un test d’intrusion

� Attaques identiques à celles menées par des pirates informatiques sans les effets nuisibles que cela suppose

� Accord entre un prestataire et une société sur :

� Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications concernées

� Une période de temps : durée de l’autorisation des tests d’intrusion.

� Une limite de tests : pas de perturbation de la production ni de corruption de données.


MÉTHODOLOGIE DES AUDITS TECHNIQUES

� Référentiel en matière de tests intrusifs

� OWASP : (Open Web Application Security Project ): communauté internationale(entreprises, développeurs, architectes des projets, responsables sécurité)focalisée sur les problèmes de sécurité des applications Web.

� OSSTMM : L'OSSTMM est le fruit de la volonté de plusieurs auditeurs en sécuritéinformatique, souhaitant s'appuyer sur un standard rigoureux et pragmatiquepermettant non seulement de structurer les audits de sécurité, mais également deleur apporter une métrique.





� Les 10 critères de l’OWASP



Déroulement d’un test d’intrusion

� Le déroulement d’un test d’intrusion peut s’assimiler à la méthode des « 5 P » vue précédemment dans le cours. Néanmoins voici les principales étapes

� Recueil d’informations : Identifier les systèmes : serveurs, firewalls, routeurs, systèmes d’exploitation etc…

� Recherche et développement : sur la base de données collectées, une recherche des vulnérabilités existantes est effectuée. Sinon, un développement de nouvelles attaques spécifiques à l’objet de l’étude est réalisé.

� Intrusion : grâce aux vulnérabilités exploitées et/ou l’outil spécifiquement développé, un accès illicite au système d’information est réalisé.

� Rapport : rapport détaillé présentant les vulnérabilités découvertes et leurs impacts sur le système d’information ainsi que les actions correctives


Le test d’intrusion est généralement réalisé en aveugle, sans aucune information autre que le cadre du test.


Les contraintes des tests d’intrusion

� Contraintes juridiques : nécessité d’avoir un contrat bien délimité entre le prestataire et le commanditaire

� Complexité du système d’information : certaines parties du système d’information peuvent-être hébergées par un tiers ou en infogérance

� Assurer la continuité des services pendant les tests� Définition explicite des services critiques pour l’entreprise

� Social Engineering : inévitable pour les pirates informatiques, à convenir entre le prestataire et le commanditaire



Apports des tests d’intrusion

� Les PME/PMI n’ont pas forcément le budget pour avoir une équipe de sécurité

� Évaluer le niveau de sécurité à un instant donné ou de manière récurrente

� Finaliser la sécurisation d’un système d’information

� Ajuster la sécurité existante : politique de sécurité, procédures, équipements

� Vérifier la sécurité d’un service installé par un tiers (hébergeurs, prestataires)

� Objectif stratégique : sensibiliser la hiérarchie

� Extraction des comptes de la société, carnet d’adresses des clients ….

� Consolidation du travail des administrateurs informatiques

� Parfois mal perçu, ou perçu comme une vérification du travail des administrateurs

� Cela peut induire un comportement indésirable : rétention d’information, modifications des configurations ou des pratiques




� Les sites de publications utilisés dans le cadre de ces tests (liste non exhaustive) sont les suivants :

� http://nvd.nist.gov/ ,

� http://www.certa.ssi.gouv.fr/

� http://www.securityfocus.com/

� http://www.sans.org

� http://cve.mitre.org/

� http://cvedetails.com

� http://secunia.com/

� http://www.exploit-db.com/

� http://mtc.sri.com/

� http://osvdb.org


EXTRAITS


Répartition du type de vulnérabilités

OUTILS D’AUDIT DE VULNÉRABILITÉS

Présentation de Nessus

� Architecture de Nessus� Architecture modulaire avec la liste des tests à mener

� Architecture Client / Serveur

� Client : paramètre le scan et d’obtenir les résultats� Serveur effectue les testsCe découplage permet de positionner plusieurs scanners sur le réseau derrière des firewalls et de piloter le scan à partir d’un point unique.

La communication entre le client et le serveur s’effectue en TLSv1 afin d’assurer la confidentialité des résultats transmis au client.

� Option Safe Check: Sert à limiter les interactions fâcheuses avec les équipements actifs du système informatique


ATTENTION : Il y a toujours un risque de générer des perturbationsvoir des « plantages » d’équipements lors d’un test de sécurité.

DÉTECTION ET PRÉVENTION D’INTRUSION –RÉSEAU (NDIS) & SYSTÈME (HDIS)


DÉTECTION ET PRÉVENTION D’INTRUSION – RÉSEAU (NDIS) & SYSTÈME (HDIS)

Les systèmes de détection et de prévention d’intrusion

� Détecte les intrusions dans un réseau (Network DIS - NDIS) ou sur un système (Host DIS - HDIS)

� Détection de comportement inhabituel� Détection de scénarios par signature� Détection par filtrage et comptage d’événements

� Coupure des attaques détectées sur le réseau ou sur le système


DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS)

Les systèmes de détection d’intrusion NIDS

� Sondes réseau en écoute de trafic� Recopie de trafic en environnement commuté

� Journalisation des événements dans les journaux (logs)

� Analyse des données des journaux

� Génération d’alarmes en fonction des événements sur le réseau� Trop de faux positifs : fausses alertes

� Trop de faux négatifs : incidents négligés

� Les opérateurs analysent les journaux pour une recherche rétrospective



Les systèmes de détection d’intrusion



Architecture type d’un système de détection d’intrusion NIDS

Transfert des événements

en mode lot ou temps réel

Réseau Interne

Console de gestion

BdD

Navigateur Web

Serveurs Web et Messagerie

Internet

DMZ

Sonde B

Sonde C

Firewall

Sonde A

Où doit-t-on placer les sondes ?

Réseau Interne



Où doit-on placer les sondes NDIS ?

- les services les plus exposés et les plus critiques- Exemple : bases de données, ERP…

- Identifier les goulots d’étranglement naturels- Les connexions entre réseau se révèlent être d’excellentes positions d’observation.

Interconnexion WAN, Connexion Internet


Système de détection d’intrusion sur une machine HDIS

� Moniteur d’applications� Enregistrement des faits et gestes des utilisateurs au niveau de l’application pour une

interprétation aisée

� Filtrage des données en vue des débordements de tampon (buffer overflow)

� Signature des attaques spécifiques aux applications

� Permet de détecter les attaques chiffrées

� Faiblesses� Vision limitée à une seule machine

� Les HDIS peuvent être attaqués et désactivés



IDS : PRODUITS

� McAffee

� Cisco

� IBM

� HP

� …


PROTOCOLES SÉCURISÉS D’ADMINISTRATION – ARCHITECTURE DE TÉLÉMAINTENANCE

SÉCURISÉE


PROTOCOLES SÉCURISÉS D’ADMINISTRATION

Les protocoles utilisés pour l’administration des systèmes� Les protocoles non sécurisés = flux non chiffré et mot de passe en clair

� Prise de contrôle à distance : Telnet, VNC, PC Anywhere

� Configuration à distance : HTTP

� Téléchargement de fichiers : FTP, TFTP

Les bons réflexes� Nécessaire mais non suffisant : changer le mot de passe par défaut� Mettre en œuvre les services d’administration qui utilisent :

� Le chiffrement des communications entre la console et l’équipement

� L’authentification des administrateurs

� Utiliser les protocoles sécurisés� SSH au lieu de Telnet

� HTTPS au lieu de HTTP

� SFTP au lieu de FTP

� LDAPS ou lien de LDAP

� Etc….

� Coupler les accès aux services avec des systèmes d'authentification forte - et OTP


ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE

� Plusieurs phénomènes sont à prendre en compte dans l’évolution de l’usage de la l’administration et de la télémaintenance :

� La croissance constante des flux de télémaintenance par des prestataires extérieurs pour la maintenance des équipements informatiques y compris l’informatique industrielle

� Le nombre de tiers externes pour la télémaintenance est en augmentation depuis quelques années quelque soit le secteur d’activité

� La mutualisation des services d’administration et d e supervision entre les différents réseaux de la tels que les services de sauvegarde centralisée (DataProtector, Tivoli), de supervision (HP OV), de collecte d’information (Info Centre), de prise de main à distance (RDP, VNC)

� L’usage de la télémaintenance est prévu à la hausse et ne devrait pas infléchir dans lesprochaines années. Il y a une nécessité réelle et immédiate d’anticiper cette évolution afin demettre en place une architecture de télémaintenance sécurité pérenne et des modesopératoires clairement définis et appliqués par tous les acteurs.



31

� Axes de conception� Check point - Centralisation des points d’accès de t élémaintenance en un point unique

� Coupure protocolaire et portail applicatif de télém aintenance – favoriser l’accès en VPN SSL sur les applications ciblés et publié sur un portail de télémaintenance – limitation de la surface d’attaque – évite de donner l’accès au LAN complet au réseau d’entreprise

� Etanchéité des différents réseaux de la société pour les flux de télémaintenance

� Haute disponibilité – haute disponibilité par des redondances actives

� Contrôle d’accès logique - authentification forte OT P – compte nominatif

� Détection d’intrusions

� Traçabilité – centralisation et reporting de logs

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés



Filtrage de fluxIP (adresses IP sources et adresses IP destination sur lesquelles la télémaintenance doit être effectuée

Sondes HIDS

Sonde DMZNIDS

Sonde LANNIDS

REPORTING ET CENTRALISATION DES LOGS


AUDIT – IMPUTABILITÉ - TRAÇABILITÉ

1. Suivi des actions d’un réseau, d’une machine, d’un logiciel

2. Imputabilité (effet dissuasif + détection + éléments de correction)

3. Permet de comprendre les accès qui ont eu lieu, d’identifier une brèche de sécurité ou une attaque


AUDIT – IMPUTABILITÉ - TRAÇABILITÉ

� Important : séparation des rôles� On ne peut pas empêcher un administrateur (ou quelqu’un qui vient d’obtenir

ces privilèges lors d’une attaque) de faire ce qu’il veut (dont effacer les logs)

� Il convient de séparer le rôle d’auditeur du rôle d’administrateur en exportant les logs et les rapports audits hors des composants audités


36

REPORTING ET CENTRALISATION DE LOGSLes fonctions d’un système de supervision de la sécurité

Services, Serveurs, appliances, équipements réseau, postes clients

N°1 : Générer et collecter les événements

N°2 : Centraliser les journaux

N°3 : Stocker et Archiver

N°4 : Filtrer, analyser, Corréler les événements

N°5 : Afficher les alertes

Administrateur de la sécurité

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

REPORTING ET CENTRALISATION DE LOGS

� Problématique et besoin� Systèmes hétérogènes : Windows, Unix, Linux, Réseau( Cisco, 3COM, Nortel)

et autres appliances (Firewall, IPS, Proxy, Anti-virus)

� La sécurité nécessite de superviser tous les éléments du système d’information

� Chaque système classique stocke en général localement ses événements sous une forme qui n’est pas forcément standard

« Trop de logs tue les log »





Bluecoat (Proxy Server)

Cisco PIX (Firewall)

Trend Micro IMSS (Mail Content Scanner)


PRODUITS DU MARCHÉ

� Tendance du marché� Produits matures

� Marché américain – SOX – PCI/DSS

� Contrôle et réglementation

� Destiné à des grands comptes

� Produits jeunes� Référence à Splunk

� ClicknDecide – Rachat de Net Report

� Stratégie de licencing� Volumétrie – nb lignes / jour EPD (clikndecide) - débit Mo/jour (splunk)

� Nombre d’équipements– WhatsupGold





� Gestion des correctifs ou patch management� un élément clé de la protection des systèmes d’information

� Problématique actuelle� Menaces récurrentes par les virus

� Le périmètre de vulnérabilité s’est élargi. C’est tout le réseau de l’entreprise qui peut être mis hors service

� La période entre la publication d’une vulnérabilité par l’éditeur et l’apparition d’un programme malveillant exploitant cette vulnérabilité s’est considérablement réduit


La priorité n’est pas de savoir si une vulnérabilité seraexploitée dans le système d’information, mais de savoir àquel moment et sur quel composant elle sera. L’objectif desécurité est réduire au maximum le temps de correction dela vulnérabilité.

GESTION DES CORRECTIFS DE SÉCURITÉ –ILLUSTRATION WSUS

� Exemple d’outil de gestion des mises à jour de sécurité (patch management) sous Windows avec Update Services (WSUS)

� Basé sur le service de Mises à jour automatiques de Windows (Win 7, Win 8, 2008 R2, 2012 R2)

� Configurable par stratégie de groupe pour télécharger et/ou appliquer les mises à jour


GESTION DES CORRECTIFS DE SÉCURITÉ –ILLUSTRATION WSUS

L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Micro soft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents gr oupes ciblesL’administrateur approuve les mises à jour

Microsoft Update

(utilise WSUS)Serveur WSUS

Postes de travail (clients WSUS) Groupe cible 1

Serveurs (clients WSUS)Groupe cible 2Administrateur WSUS

44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésLes clients installent les mises à jour approuvées par l’administrateur

ANTI-VIRUS

� On ne les présente plus…

� Très souvent basés sur des signatures� Dans ce cas, il est extrêmement important d’être à jour pour avoir une protection valable

� Toutes les signatures ne se valent pas � certaines sont des suites d’octets (donc risque de non détection si modification d’un des octets

non significatifs dans une variante)

� d’autres sont des éléments logiques (et permettent de détecter des variantes)

� Parfois heuristiques� Pour les virus macro en particulier (cf Office)

� Certains se passent complètement de signatures (cf Viguard, plus proche d’un HIPS que d’un antivirus)


Internet


Serveur LiveUpdate

Serveur primaire

Serveurs secondaires

100Ko 100Ko

Déploiement de signatures anti-virus en entreprise

� Connexion au serveur LiveUpdate de l’éditeur� Déploiement des signatures anti-virus :

� Ditribution des définitions à tous les serveurs et tous les clients� Mise à jour incrémentale à partir du serveur parent


RÉACTION À UN INCIDENT DE SÉCURITÉ



COMMENT RÉAGIR EN CAS DE CYBER CRIME ?

� http://www.clusif.asso.fr/fr/production/cybervictime/

Dans le cadre professionnel : veuillez d’abord contacter vo treresponsable sécurité informatique ou bien votre responsab lehiérarchique.

RÉACTION À UN INCIDENT DE SÉCURITÉ


� La DPSD

� La police : DCPJJ/OCLCTIC, DCRI, PP/BEFTI,

� La gendarmerie : IRCGN, STRJD, NTECH

� La justice

En cas d’incident :

Office Central de Lutte contre la Criminalité liées aux Technologies de l’Information et de la Communication (OCLCTIC)

101 Rue des 3 Fontanot - 92000 NANTERRETel : 01.49.27.49.27

"info-escroqueries" 08 11 02 02 17

PAUSE-RÉFLEXION

Avez-vous des questions ?


RÉSUMÉ DU MODULE


Audit technique de sécurité - outil

Détection d’intrusion

Architecture de télémaintenance

sécurisée

Protocoles sécurisés

d’administration

Gestion des correctifs de

sécurité

Reporting et centralisation

des logs

Réaction à un incident de

sécurité

MESURES TECHNIQUE DE SÉCURITÉ

MESURES ORGANISATIONNELLES DE SÉCURITÉ

ILLUSTRATIONS

MODULE N°2 : SÉCURISATION D’UN SI INDUSTRIEL


SÉCURISATION D’UN SI INDUSTRIEL

� Mesures organisationnelles1. Cartographie des installations matérielles, des systèmes et des applications

critiques

2. Classification des différents niveaux de criticités attendus

3. Identification des personnels responsables

� Sensibilisation à cyber sécurité et formation interne / externe4. Intégration de la cyber sécurité dans le cycle de vue du système industriel

� Spécification, conception, audit technique, veille sécurité, veille de l’obsolescence du parc5. Plan de maintenance et opérations associées

6. Sécurité physique et contrôle d’accès aux locaux

7. Maitrise des intervenants

8. Plan de reprise et de continuité d’activité (cours 4A)



� Mesures techniques1. Architecture de zonage pour isoler les parties les plus sensibles

� Firewall, Diode, VLANs, filtrage IP, chiffrement de flux sensibles (VPN IPSEC, SSL)2. Contrôle d’accès

� Gestion des comptes et authentification – suppression des mots de passe par défaut� Principe du moindre privilège

3. Architecture de télémaintenance sécurisée

� Authentification forte, traçabilité, environnement de type bac à sable pour les tiers externes

4. Contrôle des administrateurs du système d’information

� Durcissement des configurations (protocoles sécurisés, authentification, ouvrir désactivation des services inutilisés par l’API)

� Chiffrement du firmware, contrôle de la signature du firmware, � Politique de gestion des correctifs de sécurité

5. Programmes des automates (développement sécurisé)

6. Supervision de la sécurité

� Reporting et centralisation des logs� Sondes de détection d’intrusion



Régulation et automatismeMots(millisecondes)API, DCS, HMI, poste de conduite

SupervisionElaboration des ordres - calculateur de process -

Pilotage historisation -gestion des processus industriels (MES)

Fonctions centralesfinance, compta, info centre

55 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Niveau 0Capteur et ActionneurBits (microsecondes)Systèmes embarqués

Firewall industriel

Administration réseau

Formation et sensibilisation

Architecture de télémaintenancesécurisée

Surveillance des états

Segmentation des réseaux critiques



PAUSE-RÉFLEXION

Avez-vous des questions ?


RÉSUMÉ DU MODULE


Mesures techniques

Mesures organisationnelles

Illustrations

POUR ALLER PLUS LOIN

� Livre

� Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD

� Magazine � http://boutique.ed-diamond.com/ (revue MISC)

� Web

� http://www.ssi.gouv.fr/� http://www.securite-informatique.gouv.fr� http://www.forum-fic.com/� http://www.gsdays.fr/� https://www.lesassisesdelasecurite.com/


FIN DU VOLET

MERCI POUR VOTRE ATTENTION


Education

Sécurite opérationnelle des Système d'Information Volet-3