300 likes | 498 Views
Chapitre 5 : Gouvernance et politique de sécurité. P lan. Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour :
E N D
Chapitre 5 : Gouvernance et politique de sécurité Plan Gouverner la sécurité Gestion du risque informationnel Politique de sécurité Méthodes et normes de sécurité TP3 : Utiliser le logiciel Wireshark pour : - Découvrir les caractéristiques générales et l'encapsulation des protocoles du modèle TCP/IP; - Analyser le trafic réseau. Mounir GRARI Sécurité informatique140
Chapitre 5 : Gouvernance et politique de sécurité 1. Gouverner la sécurité 1) Mise en perspective Gouverner la sécurité illustre la volonté de diriger, d’influencer, de conduire de manière déterminante la sécurité et de maîtriser les risques liés à l’insécurité technologique. La gouvernance a pour but d’ assurer que les solutions de sécurité sont optimales. entre autres, elle vérifie qu’elle est en mesure de répondre de manière exacte aux questions: Qui fait quoi? Comment et quand? 2) Gouvernance de la sécurité de l’information Gouverner la sécurité peut être perçu comme un processus pour établir et maintenir un cadre supportant la structure de gestion qui permet de réaliser la stratégie de sécurité. Gouverner la sécurité c’est protéger les actifs informationnels contre le risque de perte, d’ interruption, d’abus, de divulgation non autorisée, ou de risques juridiques liés à la responsabilité légale des acteurs. Mounir GRARI Sécurité informatique141
Chapitre 5 : Gouvernance et politique de sécurité 1. Gouverner la sécurité 3) Principes de base de la gouvernance de la sécurité Principes d’une méthode de gouvernance pour la mise en place d’une politique de sécurité. Responsabilité - Une instance assurant la gouvernance doit être responsable de la tâche qui lui appartient. Proportionnalité - Les investissements doivent être en proportionnels au risque informationnel encouru par l’ organisme . Conscience - Les entités directrices sont conscientes du l’importance des actifs informationnels de l’entreprise et ainsi du rôle de la sécurité. Conformité – La démarche de la sécurité doit être conçues en conformité avec les exigences légale de tous niveaux. Efficacité - Les actions à entamer doivent satisfaire les objectifs Ethique – L’ exploitation des ressources informationnelles au sein de l’entreprise doit être éthiquement correcte Inclusion – Les objectifs de toutes les parties intéressées par la démarche doivent être prises en considération. Mounir GRARI Sécurité informatique142
Chapitre 5 : Gouvernance et politique de sécurité 1. Gouverner la sécurité Equité – Les entités directrices élaborant les solutions sécuritaires basées sur la perception et les règles démocratiques perçues comme telles dans l’environnement où l’entreprise agit. Transparence – Le devoir d’ informer les parties intéressées sur l’ état courant de la sécurité appartient aux entités directrices. Mesure – Les mesures de sécurité ont pour finalité l’ amélioration de la gouvernance. Objectif – La sécurité informationnelle a un large champ d’ intervenants (processus, ressources, acteurs, culture de l’entreprise…). Réponse – Des tests continus liés aux réponses apportées en situation de crises doivent effectués régulièrement. Gestion du risque – Les entités directrices s’assurent que le processus d’ appréciation des risques se fait d’une manière continue et formelle. Mounir GRARI Sécurité informatique143
Chapitre 5 : Gouvernance et politique de sécurité 2. Gestion du risque informationnel 1) définitions Un risque est la combinaison de la probabilité d’ un évènement et de ses impacts. Un risque exprime la probabilité qu’un valeur soit perdue en fonction d’une vulnérabilités liée à une menace : La terminologie liée au risque distingue l’analyse, l’ évaluation, l’ appréciation, le traitement et la gestion du risque : - Analyse du risque : Exploitation systématique d’ information pour fixer les sources afin de pourvoir estimer le risque. - Evaluation du risque – c’est le processus de comparaison du risque estimé avec des critères de risque donnés pour identifier l’ importance du risque. - Appréciation du risque – Processus d’analyse et d’ évaluation du risque. - Traitement du risque – Processus de sélection et implémentation des mesures visant à modifier le risque. - Gestion du risque – activités coordonnées visant à conduire et à piloter une organisation vis-à-vis des risques. Mounir GRARI Sécurité informatique144
Chapitre 5 : Gouvernance et politique de sécurité 2. Gestion du risque informationnel 2) Principes de gestion Les éléments d’ une démarche de gestion du risque informationnel sont : - Identification des actifs en correspondance avec les critères de sécurité. - Appréciation de vulnérabilités en relation avec les actifs à protéger. - Appréciation des menaces (identification de l’origine(motivation, capacité à se réaliser) et amplificateurs des menaces). - Appréciation du risque (illustration par une matrice des probabilités et des impacts). - Identification des contre-mesures (qui tiennent compte de trois types d’acteurs que sont les processus, la technologie et les utilisateurs). Mounir GRARI Sécurité informatique145
Chapitre 5 : Gouvernance et politique de sécurité Politique d’ entreprise Stratégie d’ entreprise 3. Politique de sécurité Politique du système d’ information Stratégie du système d’ information 1) Stratégie et politique de sécurité Politique de sécurité Stratégie de sécurité Mounir GRARI Sécurité informatique146
Chapitre 5 : Gouvernance et politique de sécurité 3. Politique de sécurité La politique de sécurité fait la liaison entre la stratégie de sécurité d’ une entreprise et l’ implémentation opérationnelle de la sécurité. La politique de sécurité établit les principes fondamentaux de la sécurité qui permettent de protéger le système d’information. Cette protection est assurée par exemple par : - des règels : classification des l’information; - des outils : chiffrement, firewalls; - des contrats: clauses et obligations; - l’enregistrement, la preuve, l’authentifications, l’identification, le marquage ou le tatouage; - Le dépôt de marques , de brevets, et la protection des droit de l’ auteur. En complément, la protection pourra prévoir : - de dissuader par des règles et des contrôles; - de réagir par l’existence de plans de secours, de continuité et de reprise; - de gérer les incidents majeurs par un plan de gestion de crise; - de gérer les performance et les attentes des utilisateurs; etc. Mounir GRARI Sécurité informatique147
Chapitre 5 : Gouvernance et politique de sécurité 3. Politique de sécurité 2) Projet d’ entreprise orienté gestion des risques prendre en compte l’analyse des risques liés au systèmes d’information dans un processus de gestion de risque globaux, guide toute la démarche de sécurité d’une organisation. Le risque informatique, informationnel ou technologique doit être défini au même titre que tous les autres risques de l’entreprise (risque métier, social, environnemental, etc.) auxquels doit faire face une entreprise. Ainsi, le risque informatique est un risque opérationnel qui doit être maitrisé. La gestion des risques est le point de départ de l’analyse des besoins sécuritaires qui permet la définition de la stratégie de sécurité. Mounir GRARI Sécurité informatique148
Chapitre 5 : Gouvernance et politique de sécurité 3. Politique de sécurité De l’analyse des risques à la politique de sécurité Sécurité des valeurs Politique de sécurité Mounir GRARI Sécurité informatique149
Chapitre 5 : Gouvernance et politique de sécurité Valeurs Risques Contraintes 3. Politique de sécurité 3) Propriétés d’ une politique de sécurité Déterminants d’ une politique de sécurité Mounir GRARI Sécurité informatique150
Chapitre 5 : Gouvernance et politique de sécurité 3. Politique de sécurité Différentes composantes d’ une politique de sécurité Mounir GRARI Sécurité informatique151
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité 1) Principales méthodes française Pour élaborer une démarche de sécurité, on s’appuie sur une méthode qui facilite l’identification des points principaux à sécuriser. En général la sécurité repose sur un ensemble reconnu de bonnes pratiques que sur une méthodologie unique. Les méthode recommandées par le CLUSIF (CLUbde la Sécurité de l'Information Français, www.clusif.asso.fr) sont Marion (Méthode d’Analyse des Risques Informatiques et Optimisation par Niveau) et Méhari (MÉthodeHarmonisée d’Analyse des RIsques). La méthode Méhari est évolutive et compatible avec la norme ISO 17799. La DCSSI (Direction Centrale de las Sécurité des Systèmes d’ Information) a élaboré une méthode largement documenté, présentée et téléchargeable sur son site: www.ssi.gouv.fr/fr/dcssi. Dénommée Ebios ( Expression des Besoins et Identification des Objectifs de Sécurité), cette méthode est implémentée par les administrations françaises, permet de fixer les objectifs de la sécurité des organisation, pour répondre à des besoins déterminés. Mounir GRARI Sécurité informatique152
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité Les différentes méthodes préconisées par le CLUSIF Mounir GRARI Sécurité informatique153
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité 2) Norme internationale ISO/IEC 17799 Origine L’origine de la norme IOS 17799 élaborée par l’ ISO (www.iso.org) à la fin de l’année 2000 est la norme BS 7799 élaborée par l’association de normalisation britannique en 1995. L’adoption par le marché de la norme ISO à été encouragé par le fait que certaines compagnies d’ assurance demandent l’ application de cette norme afin de couvrir le cyber-risques. Son importance réside dans le fait que la norme aborde les aspects organisationnels, humains, juridiques et technologues de la sécurité en rapport avec les différentes étapes de conception, mise en œuvre et maintien de la sécurité. Mounir GRARI Sécurité informatique154
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité Elle aborde de dix domaines de sécurité, de 36 objectifs de sécurité et de 127 points de contrôle. Les dix domaines abordés par la norme: Politique de sécurité - Organisation de la sécurité Classification et contrôle des actifs - Sécurité et gestion des ressources humaines; Sécurité physique et environnementale Exploitation de gestion des systèmes et des réseaux - Contrôle d’ accès; Développement et maintenance des systèmes - Continuité de service – conformité Une nouvelle version améliorée de la norme (ISO/IEC 17799/2005) a été proposée en juillet 2005, elle adjoint aux dix domaine de sécurité de nouveaux paragraphes qui concernent l’ évaluation et l’ analyses des risques, la gestion des valeurs et des biens ainsi que la gestion des incidents. Mounir GRARI Sécurité informatique155
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité Objectifs de la norme ISO/IEC 17799:2005 La norme ISO/IEC 17799:2005 et ces versions antérieurs aident les organisation à répondre à quatre principales questions concernant la protection de leurs actifs informationnels, à savoir : Que protéger et pourquoi? De quoi les protéger? Quels sont les risques? Comment les protéger? En répondant à cette question, l’organisation définit sa méthode sécuritaires. La première étape de celle-ci consiste à réaliser l’ inventaire des valeurs à protéger en distinguent leur degré de criticité afin d’ effectuer des priorités à la réalisation des solutions de la sécurité. Mounir GRARI Sécurité informatique156
Chapitre 5 : Gouvernance et politique de sécurité Politique de sécurité Conformité 4. Méthodes et normes de sécurité Gestion de la sécurité de l’ information Gestion des biens Structure, thèmes et chapitres de la norme ISO/IEC 17799:2005 La norme comporte 11 chapitres dont les objectifs sont illustrés dans le figure. Gestion de la continuité de l’activité Mounir GRARI Sécurité informatique157
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité La structure et les thèmes évoqués dans la version 2005 de la norme 17799 sont les suivants: - Introduction - Evaluation des risques et traitements - Politique de sécurité - Organisation de la sécurité de l’ information - Gestion des biens et des valeurs - Sécurité des ressources humaines - Sécurité physique et environnementale - Gestion des communication et des opérations - Contrôle d’ accès - Acquisition, développement et maintenance des systèmes de l’ information - Gestion des incidents de sécurité de l’information - Gestion de la continuité de l’ activité - Conformité Mounir GRARI Sécurité informatique158
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité Exemple : Gestion des incidents de sécurité de l’information: - Notification des évènements et des faiblesse de sécurité de l’information - Notification des évènements de sécurité de l’ information - Notification des faiblesse de sécurité - Gestion des incidents et des améliorations de la sécurité de l’ information - Responsabilité et procédure - Enseignement à tirer des incidents de sécurité - Collecte de preuves Mounir GRARI Sécurité informatique159
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité 3) norme internationale de la famille ISO/IEC 27000 La famille des normes 27000 La famille des normes ISO/IEC 27001:2005 aborde le thème de management de la sécurité de l’information dans sa globalité. La norme 27001 s’intitule “système de gestion de la sécurité de l’information”. D’autres nome de la famille 27000 traitent différents domaines, à savoir: - Les notions fondamentales et une formalisation du vocabulaire (27000) - Guide pour l’ implémentation du Système de Mangement de la Sécurité de l’Information (SMSI)(27003). - Les métriques du management de la sécurité de l’ information (72004). - La gestion du risque en matière de sécurité de l’ information (27005). - Les exigences pour les organismes auditant et certifiant un SMSI(27006) - Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI (27007); - Directives pour les auditeurs concernant les contrôles à effectuer pour un SMSI(27008) Mounir GRARI Sécurité informatique160
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité Introduction à la norme ISO 27001 La norme 27001 dérive de la norme nationale anglaise BS 7799-2 : 2002 qui a pour but les contrôles à mettre en place pour satisfaire les objectifs de la première partie BS 7799-1. La norme 27001 établit un modèle pour établir, implémenter, exploiter, surveiller, maintenir et améliorer le système de management de la sécurité de l’information SMSI (Système de Mangement de la Sécurité de l’Information). La norme s’ appuie sur un modèle PDCA (plan, do, check, act). Comprendre da sécurité sous la forme PDCA contribue à: - Comprendre les exigences de sécurité et besoins de la politique de sécurité; - Implémenter et effectuer des contrôles pour gérer le risque informationnel; - Surveiller et revoir la performance de SMSI - Proposer des améliorations basées sur des mesures de l’ efficacité du SMSI. Mounir GRARI Sécurité informatique161
Chapitre 5 : Gouvernance et politique de sécurité PLAN EtablirSMSI 4. Méthodes et normes de sécurité Maintien et amélioration du SMSI Implémenter et exploiter SMSI ACT DO Le modèle PDCA Surveiller SMSI CHECK Mounir GRARI Sécurité informatique162
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité Etablir un modèle de gestion de sécurité satisfaisant les exigences de la norme implique trois étapes: - Création d’un cadre managérial afin de spécifier les directives, les intentions et les objectifs pour la sécurité de l’information et définir les politique stratégique qui engage la responsabilité du management. - Identification et évaluation des risques réalisés sur la base des exigences de sécurité définies par l’ entreprise pour identifier les actions managériales appropriées à entreprendre et les priorités pour maîtriser le risque. - Développement du SMSI, choix et implémentation des contrôles à implémenter. Une fois que les exigences ont été déterminées, les contrôles appropriés peuvent être sélectionnées afin de s’assurer que les risques que le système d’ information fait encourir à l’ organisation sont réduit à un niveau acceptable conforment aux objectifs de la sécurité de l’ entreprise. Mounir GRARI Sécurité informatique163
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité 4) Méthodes et bonnes pratiques Avantage et inconvénients de l’utilisation d’une méthode pour définir une politique de sécurité Mounir GRARI Sécurité informatique164
Chapitre 5 : Gouvernance et politique de sécurité 4. Méthodes et normes de sécurité 5) Modèle formel de politique de sécurité Différents modèles proposent une présentation abstraite des principes de sécurité à prendre en compte: - Le modèle de Bell-LaPadula : modèle des exigences de contrôle d’ accès spécifiant une politique de sécurité pour la confidentialité; - Le modèle de Clark et Wilson lié à l’ intégrité des systèmes transactionnels commerciaux Les principales définitions correspondant à ces modèles sont: - Objet O : Entité passive qui reçoit ou possède des informations ou encore l’ Objet de stockage, qui inclut les accès en lecture et en écriture. - Sujet S : Entité active (une personne, un processus ou un équipement) liée à un profil. - Opération licite T : L’ opération licite T est permise pour le sujet S sur l’ Objet O; - Canal caché : exploitation d’ un mécanisme non prévu pour la communication pour transférer des informations d’ une manière qui viole la sécurité. Mounir GRARI Sécurité informatique165
Chapitre 5 : Gouvernance et politique de sécurité Exercice 26 : Quels sont les avantages relatifs à la définition d’ une politique de sécurité pour une organisation? Exercice 27 : Quels sont les éléments qui permettent de justifier la mise en place d’ une politique de sécurité pour le système d’ information d’ une entreprise? Exercice 28 : Comment s’exprime la rentabilité d’ une politique de sécurité? Exercice 29 : Identifier les principales étapes d’ une démarche sécurité? Exercice 30 : Quels sont, pour une entreprise, les avantages et les inconvénients potentiels liés à l’ externalisation de la sécurité informatique (outsourcing) par rapport à une gestion interne de la sécurité? Exercice 31 : Quelles sont les principales limites de la norme ISO 17799 pour la réalisation de la sécurité? Mounir GRARI Sécurité informatique166