150 likes | 386 Views
INF4420: Sécurité Informatique. Pratique de la Sécurité Informatique : Principes de gestion - Cadre légal et déontologique. Où sommes-nous ?. Semaine 1 – Intro Semaines 2, 3 et 4 – Cryptographie Semaine 6, 7 – Sécurité dans les SE (suite) Semaine 8 – Période de relâche
E N D
INF4420: Sécurité Informatique Pratique de la Sécurité Informatique : Principes de gestion - Cadre légal et déontologique
Où sommes-nous ? • Semaine 1 – Intro • Semaines 2, 3 et 4 – Cryptographie • Semaine 6, 7 – Sécurité dans les SE (suite) • Semaine 8 – Période de relâche • Semaine 9 – Sécurité des BD et des applications Web • Semaine 10 – Contrôle périodique • Semaine 11, 12 et 13 – Sécurité des réseaux • Semaine 14 – Gestion de la sécurité. • Intervenants et modes d'intervention • Planification de contingence • Standards et organismes pertinents • Aspects légaux et déontologiques
"Stakeholders" VP Responsable de la sécurité informatique CISO ou ISO Information Security Officer Moitié/moitié ou plutôt technique Responsable de la sécurité informatique Équipe de sécurité informatique Externe ou interne Responsable technique Responsable de la sécurité physique Aspects non-techniques de la sécurité des SI personnel mesures physiques, etc. Fonction d'investigation Administrateur de systèmes Admin BD Développeur d'applications Admin réseau/LAN ISP et autres fournisseurs Utilisateurs Éducation Déterrent Poursuite criminelle Poursuite civile Terminaison d'emploi Acteurs et intervenants
Élaborer par CISO Équipe de sécurité Promulguer sous l'autorité du CISO et des stakeholders A force de contrat Éléments Analyse de risque Responsabilités de chacun intervenants Utilisateurs Politique d'utilisation Contrat entre utilisateurs et organisme Règles d'utilisation Consignes techniques Équipe de sécurité et administrateurs de système Modes d'interventions en sécurité Règles d'opérations des systèmes Politique de sécurité
Audit de sécurité "Open Book" Audit par rapport aux politiques de sécurité et standards d'industrie Révision des configurations N'utilise pas d'outils automatisées Vise à conseiller : les administrateurs de systèmes les responsables de la sécurité informatique Livrable : livret de recommandation techniques et politiques Blue Teaming Inspection "ouverte" de nature technique Prévue à l'avance Avec la collaboration et la connaissance des administrateurs de systèmes Utilisation d'outils automatisés de détection de vulnerabilités Livrable : liste de vulnérabilités détectées et action correctives Red Teaming Inspection "clandestine" de nature technique "No rules" - Répond à la question : "Que pourrait nous faire un adversaire dans un scénario réaliste ?" Livrable : "Pink slip" Inspections de sécurité
Méthodologie de la sécurité informatique • Identifier la menace • Qui ou quoi ? • Comment (vulnérabilités) ? • Évaluer les risques • Probabilité • Impact • Considérer les mesures de protection par rapport au risque • Efficacité (risque résiduel) • Coût • Difficulté d'utilisation • Mettre en place et opérer les mesures protections • Modification et/ou installation • Changer les politiques • Éduquer les utilisateurs • Retourner à 1…
Et si… août 2003? 7 José M. Fernandez, 2004
Planification de contingence Contingency Planning IncidentResponse/Handling BusinessContinuity Planning (BCP) Disaster Recovery Planning (DRP)
Étapes majeures de la planification de contingence Business threat/impact analysis Incident responseplanning Disaster recoveryplanning Business continuityplanning Incident planning Plan for disaster recovery Establish continuity strategy Identification of threats and attacks Incident detection Business unit analysis Crisis management Plan for continuity of operations Scenarios of successful attacks Incident reaction (contain.) Assessment of potential damages Incident recovery Recovery operations Continuity management Classification of subordinate plans Invest- igation • Stakeholders • Sysadmin • Sysadmin • Inspecteurs • Sysadmin • Stakeholders • Sysadmin
Préservation des données Backup Quantité de données Profondeur dans le temps Incrémental vs. total Qualité Mirroring Gestions des ressources Électricité Bande passante Capacité de calcul Site alternatifs Hot Site Cold Site Redundant Site Reprise services informatique vs. reprise affaires Nécessité d'un BCP Considérations techniques dans un DRP
Cadre légal et déontologique • Protection de la vie privée (renseignement "désignés") • Commissariat à la protection de la vie privée au Canada (privcomm.gc.ca) • Agence qui relève directement du Parlement et du Sénat • Cadre légal • Loi sur la Protection des renseignements personnels (1980) • Loi sur la Protection des renseignements personnels et les documents électroniques (2000) • Protection des renseignements classifiés • Loi des secrets officiels • Politique de sécurité du Gouvernement du Canada • Protection des droits des actionnaires • Loi Sarbanes/Oxley (US) • Auditeurs financiers externes • Répartition et gestion du risque • Compagnie d'assurances • Protection du consommateur et du public • Médical : Health Insurance Portability and Accountability Act (HIPAA)
Standards applicables • Gestion de la sécurité • ISO/IEC 17799:2000 • Information technology - Code of practice for information security management (www.iso.org, pour la modique somme de 179$ US) • HIPAA (US) • Health Insurance Portability and Accountability Act • Standard de sécurité pour tout systèmes traitant des informations médicales • Date limite d'application : avril 2004 • Le prix à payer pour une violation du règlement va de 100$ d’amende à 25 000$ + 10 ans de prison
Standards applicables (2) • Constructions et accréditations des systèmes • Common Criteria • Origine dans le Trusted Computing System Evaluation Criteria de la NSA ("Orange Book") • "Internationalisé" et adapté par plusieurs pays (Canada, Europe) • Langage et terminologie commune • Processus d'évaluation et d'accréditation de produits en termes de sécurité
ISC2 www.isc2.org La doyenne de ces organisations plus ancienne Maintenant accrédité ISO/ANSI (standard des accréditations) Certifications SSCP (Systems Security Certified Practitioner) et CISSP (Certified Information Systems Security Professional) SANS Institute www.sans.org Nature essentiellement technique Offre formation par cours intensifs Programme de certifications GIAC (très technique et spécialisé) Organisme privé (à but lucratif…) Opère de façon "volontaire" le Internet Storm Center (isc.sans.org) ISACA - Information Systems Audit Control Association www.isaca.org Certifications CISA et CISM (Certified Information Systems Auditor et Manager) OIQ – Ordre des Ingénieurs du Québec Cadre légal Profession "restreinte" "Actes protégés" Code déontologique Mécanisme d'inspections de l'exercice de la profession Sanctions, radiations et autres pertes de privilèges Détection et poursuite d'actes protégés par non-membres Standardisation De l'éducation Des pratiques professionnelles Problème N'opère pas dans le domaine de l'informatique Encore moins dans la sécurité informatique Organismes
Programme d'études en sécurité informatique • Intro • INF 4420/6420 • Crypto • U de M, DIRO - IFT-6180, Cryptologie : théorie et applications • Sécurité des réseaux • INF 6421 – Hiver 06 • Sécurité du logiciel et des SE • INF 66XX – Hiver 07 • Gestion de la sécurité des risques • HEC, MAGI - ?? • Aspects légaux • U de M, Faculté de droit (M.Sc. en commerce électronique)