Cours SSI 1

Introduction Etat des lieux Les normes ISO 17799, ISO 27002
Cours 1 : Introduction ` a la S ecurit e des Syst` emes dInformation

Odile PAPINI
ESIL Universit e de la m editerran ee Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/SSI.html
Odile PAPINI
S ecurit e des Syst` emes dInformation
Plan du cours 1
Introduction
Etat des lieux
Les normes ISO 17799, ISO 27002
Odile PAPINI
Plan du cours
Introduction Etat des lieux Normes ISO 17799, ISO 27002 Panorama des menaces Panorama des attaques Politiques de s ecurit e Contr ole dacc es D etection dintrusions Biom etrie
Odile PAPINI S ecurit e des Syst` emes dInformation
Introduction
Syst` eme dinformation (d enition)
Le syst` eme dinformation comprend les mat eriels informatiques et les equipements p eriph eriques, les logiciels et microprogrammes, les algorithmes et sp ecications internes aux programmes, la documentation, les moyens de transmission, les proc edures, les donn ees et les informations qui sont collect ees, gard ees, trait ees, recherch ees ou transmises par ces moyens ainsi que les ressources humaines qui les mettent en oeuvre.
Introduction
S ecurit e:
protection contre les accidents protection physique qualit e de lenvironnement abilit e des syst` emes, pannes, tol erance de pannes syst` emes de secours, sauvegardes, maintenance qualit e de base des logiciels condentialit e, int egrit e, disponibilit e intrusion r eseau virus, piratage,
Introduction
Linformation num erique est vuln erable peut etre d etruite, amput ee, falsi ee, modi ee pas doriginal, ni de copies mais des clones o` u la reproduction est ` a lidentique Linformation num erique est volatile peut etre ajust ee, personnalis ee un document g en erique peut etre particularis e pour un destinataire sp ecique un logiciel g en eral peut etre ajust e selon le contexte ou cibl e selon un usage sp ecique
Introduction
s ecurit e des SSI : concepts cl es
Fig.: source : W. Stallings & L. Brown

Introduction : p erim` etre de la s ecurit e des SSI
Fig.: source : W. Stallings & L. Brown

Introduction
les enjeux de la s ecurit e des SSI ma triser le traitement, le stockage, le transport de linformation valoriser les contenus
multim edia, logiciel, propri et es intellectuelles, libre circulation des contenus diss eminer les oeuvres, r etribuer les auteurs
asseoir la conance dans lunivers num erique

e-commerce, e-buisness, e-gouvernement,
s ecuriser
les personnes (libert es, protection de dintimit e) les entreprises et organisations (pr evention des risques)
Introduction
S ecurit e: norme ISO 27002 (ex ISO 17799 :2005) : d ecrit les di erents items a ` couvrir dans le domaine de la s ecurit e des SSI Qui est concern e par la s ecurit e des SSI ?
les informaticiens les dirigeants les utilisateurs tous les membres du groupe concern es par le syst` eme dinformation
Introduction
Pluridisciplinarit e de la s ecurit e: ethique l egislation r` eglementation technique m ethodologie normes
Odile PAPINI
Introduction
vuln erabilit e des syst` emes dinformation
cohabitation de nouvelles et anciennes applications interconnection de di erents SI ouverture du SI vers lext erieur (internet) t el emaintenance, infog erance mobilit e, nomadisme
Odile PAPINI
Introduction
origine des sinistres
attaques logiques virus malveillance erreurs / n egligence catastrophes naturelles terrorisme
Odile PAPINI
Introduction
pertes dues ` a des pbs de s ecurit e
Fig.: au niveau international (source : FBI 2006) (1)

Introduction
cons equences :
fermeture de lentreprise perte nanci` ere perte de contrat litige
Odile PAPINI
Introduction
S ecurit e des SSI
enjeu economique et social fondamental aussi enjeu pour lint egrit e de la nation d e permanent
les risques sont enormes mais(heureusement) il y a peu de sinistres (d eclar es) cependant il faudrait anticiper : la s ecurit e a un co ut
Odile PAPINI
Introduction
Mise en place dune politique de s ecurit e (PSI)
liens sensibles menaces impacts mesures ` a adopter
55% des entreprises sont dot` ees dune PSI (source : rapport CLUSIF 2008)
Odile PAPINI
Etat des lieux : les entreprises

d enir une politique de s ecurit e:
aspects techniques aspects humains
communiquer, sensibiliser :
aspects techniques aspects humains

Introduction
Mise en oeuvre dune politique de s ecurit e:
syst` eme dauthentication (biom etrie, serveur dauthentication , ) chirement (PKI, m ecanismes int egr es ` a des protocoles de communication (IPsec), ) pare feux (rewall) syst` eme anti-virus outil de d etection de failles de s ecurit e syst` eme de d etection dintrusions syst` eme dexploitation s ecuris e
Odile PAPINI
Introduction
technologies utilis ees
Fig.: au niveau international (source : FBI 2006) (2)

Etat des lieux
La s ecurit e en quelques chires : sources CLUSIF, 2008 http ://www.clusif.asso.fr/
enqu ete r ealis ee aupr` es de : 354 entreprises de plus de 200 salari es 194 collectivit es locales, conseils, r egionaux, g en eraux, mairies de plus de 30 00 habitants 1139 internautes
Odile PAPINI
Etat des lieux : M ethodologie de lenqu ete

norme ISO 27002(ex 17799) pour les entreprises et collectivit es :
th` eme 5 : politique de s ecurit e th` eme 6 : organisation de la s ecurit e et moyens th` eme 7 : gestion des risques li es ` a la s ecurit e des SI th` eme 8 : s ecurit e des ressources humaines (charte, sensibilisation) th` eme 10 : gestion des communications et des op erations th` eme 11 : contr ole des acc` es th` eme 12 : acquisition, d eveloppement et maintenance th` eme 13 : gestion des incidents de s ecurit e th` eme 14 : gestion de continuit e th` eme 15 : conformit e (CNIL, audits, tableaux de bord) th` eme 9 : s ecurit e physique non abord e
Etat des lieux : m ethodologie de lenqu ete
th` emes abord es pour les internautes

caract erisation socioprofessionnelle et identication des outils informatiques usage de linformatique et dinternet ` a domicile gestion des risques li es ` a la s ecurit e des SI perception de la menace informatique, sensibilit e aux risques et ` a la s ecurit e, incidents rencontr es pratiques de s ecurit e mises en oeuvre (comportement, solutions techniques)
Odile PAPINI
secteurs dactivit es BTP Commerce Industrie Services, banque, assurances Transport T el ecoms
Odile PAPINI

eectifs de l echantillon
n : eectifs 200 n 499
pourcentage 66%
500 n 999
19%
n > 1000
15%
Odile PAPINI
rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/conf080619
Odile PAPINI
Etat des lieux : les collectivit es locales
collectivit es locales Mairies de plus de 30 000 habitants Communaut es dagglom eration de plus de 50 000 habitants Communaut es de communes de plus de 20 000 habitants Conseils g en eraux Conseils r egionaux
Odile PAPINI

echantillon
collectivit es mairies communaut es de communes communaut es dagglom eration conseils g en eraux conseils r egionaux
Odile PAPINI
pourcentage 34% 32% 20% 11% 3%

Odile PAPINI
Etat des lieux : les internautes
Odile PAPINI

S ecurit e
Que prot eger ?
Liste des biens ` a prot eger
De quoi les prot eger ?
Liste des menaces
Quels sont les risques ?
Liste des impacts et probabilit es
Comment prot eger lentreprise ?

Liste des contre-mesures
Odile PAPINI

Normes internationales concernant la s ecurit e de linformation les plus r ecentes
norme ISO 17799 : di erentes versions norme ISO 17799 : 2005 de juin 2005 ` a juin 2007 norme ISO 27002 depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la s ecurit e linformation
http ://www.iso.org/iso/iso catalogue/catalogue tc/ catalogue detail.htm ?csnumber=39612
La norme Norme ISO 17799
objectifs et recommandations pour la s ecurit e informatique publi ee en juin 2005 r epondre aux pr eoccupations globales de s ecurisation des entit es pour lensemble de leurs activit es
Odile PAPINI

ARCHITECTURE DE LA NORME ISO 17799 ORGANISATIONNEL
5 politique de s ecurit e
6 organisation de la s ecurit e
7 gestion des actifs
15 conformit e
8 s ecurit e des ressources humaines
11 contr ole dacc` es
9 s ecurit e physique et environnementale
12 d eveloppement et maintenance
10 gestion des communications et de lexploitation
11 gestion de continuit e
13 gestion des incidents
OPERATIONNEL

couverture th ematique de la norme ISO 17799
la norme identie des objectifs pour la s ecurit e informatique selon 3 crit` eres : condentialit e : absence de divulgation non autoris ee dinformations int egrit e : pr evention de modications ou de suppressions non autoris ee dinformations disponibilit e : garantit lacc` es aux informations du syst` eme

les objectifs de s ecurit e sont regroup es en 11 th` ematiques :
politique de s ecurit e organisation de la s ecurit e classication et contr ole du patrimoine informationnel s ecurit e et ressources humaines s ecurit e physique gestion des op erations et des communications contr ole dacc` es acquisition, d eveloppement, maintenance gestion des incidents gestion de la continuit e dactivit e conformit e` a la r` eglementation interne et externe

S ecurit e
1) Que prot eger ?
Liste des biens ` a prot eger
2) De quoi les prot eger ?
Liste des menaces
3) Quels sont les risques ?
Liste des impacts et probabilit es
4) Comment prot eger lentreprise ?

Liste des contre-mesures
Odile PAPINI

mise oeuvre de la norme ISO 17799
etapes 1) - 3) : laiss ees aux entit es (choix de m ethodologie) etapes 4) : corps de la norme ISO 17799
Il est n ecessaire de : didentier les exigences l egales et r` eglementaires didentier les enjeux de lentit e et les attentes qui en d ecoulent de d enir un p erim` etre de mise en application de la norme

analyse de risques la norme ISO 17799 recense des modalit es et des r` egles pour traiter les risques (r eduire, transf erer, prendre ou refuser les risques) la norme ISO 17799 recommande en compl ement une analyse de risques, (sans pr eciser la m ethode) les m ethodes reconnnues les plus connues (en France) : MARION (CLUSIF) : https ://www.clusif.asso.fr/ MEHARI (CLUSIF) : https ://www.clusif.asso.fr/fr/production/mehari EBIOS (DCSSI) : http ://www.ssi.gouv.fr/fr/conance/ebios.html
norme ISO 17799 : outil de communication
r ef erentiel pour communiquer : a lint ` erieur de lentit e (responsables, personnels) a lext ` erieur de lentit e (partenaires, clients)
Odile PAPINI

De A direction g en erale toute lentit e toute lentit e direction g en erale sur quoi communiquer besoin d etablir une politique de s ecurit e inspir ee de lISO 17799 la sensibilisation des services et des personnels le bien-fond e des mesures de s ecurit e` a mettre en place la conformit e des mesures de s ecurit e par rapport au cadre de la norme la coh erence de la d emarche de s ecurit e avec la norme ISO 17799 le bien-fond e dimposer des exigences de s ecurit e coh erentes avec ISO 17799
responsable s ecurit e
entit e
clients
partenaires
Odile PAPINI
La Norme ISO 17799
la norme ISO 17799 nest pas une certication
certication : d elivr ee par un organisme ind ependant permet dattester la conformit e dun produit, syst` eme, service sappuie sur un audit
Odile PAPINI

Norme ISO 27002 en vigueur depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la s ecurit e linformation evolution de la norme ISO 17799 :2005 pallie ses principales insusances : d enition de niveaux de s ecurit e, la m ethodologie danalyse et de gestion des risques (norme ISO 27005), la notion de plan daction, la notion dindicateurs et de m etriques de s ecurit e (norme ISO 27004).
http ://www.iso.org/iso/iso catalogue/catalogue ics/catalogue detail ics.htm ?csnumber=50297

organis ees sur 12 th` emes : Chapitre 4 : Appr eciation et traitement du risque. Chapitre 5 : Politique de s ecurit e. Chapitre 6 : Organisation de la s ecurit e de linformation. Chapitre 7 : Gestion des biens. Chapitre 8 : S ecurit e li ee aux ressources humaines. Chapitre 9 : S ecurit e physique et environnementale. Chapitre 10 : Gestion des communications et de lexploitation. Chapitre 11 : Contr ole dacc` es. Chapitre 12 : Acquisition, d eveloppement et maintenance des syst` emes dinformation. Chapitre 13 : Gestion des incidents li es ` a la s ecurit e de linformation. Chapitre 14 : Gestion de la continuit e dactivit e. Chapitre 15 : Conformit e l egale et r eglementaire.
Odile PAPINI
Fig.: (source : Herv e Schauer consultants)



R ef erences pour les normes ISO 27004 et ISO 27005 : http ://www.hsc.fr/ressources/presentations/cfssi-iso27intro/index.html.fr
Odile PAPINI

Cours SSI 1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cours SSI 1

Enviado por

Direitos autorais:

Formatos disponíveis

Introduction Etat des lieux Les normes ISO 17799, ISO 27002

Cours 1 : Introduction ` a la S ecurit e des Syst` emes dInformation

S ecurit e des Syst` emes dInformation

Etat des lieux

Les normes ISO 17799, ISO 27002

S ecurit e des Syst` emes dInformation

Syst` eme dinformation (d enition)

Fig.: source : W. Stallings & L. Brown

Introduction : p erim` etre de la s ecurit e des SSI

Fig.: source : W. Stallings & L. Brown

asseoir la conance dans lunivers num erique

Pluridisciplinarit e de la s ecurit e: ethique l egislation r` eglementation technique m ethodologie normes

S ecurit e des Syst` emes dInformation

vuln erabilit e des syst` emes dinformation

S ecurit e des Syst` emes dInformation

origine des sinistres

attaques logiques virus malveillance erreurs / n egligence catastrophes naturelles terrorisme

S ecurit e des Syst` emes dInformation

Fig.: au niveau international (source : FBI 2006) (1)

fermeture de lentreprise perte nanci` ere perte de contrat litige

S ecurit e des Syst` emes dInformation

S ecurit e des Syst` emes dInformation

liens sensibles menaces impacts mesures ` a adopter

S ecurit e des Syst` emes dInformation

Etat des lieux : les entreprises

aspects techniques aspects humains

aspects techniques aspects humains

S ecurit e des Syst` emes dInformation

Fig.: au niveau international (source : FBI 2006) (2)

Etat des lieux

La s ecurit e en quelques chires : sources CLUSIF, 2008 http ://www.clusif.asso.fr/

S ecurit e des Syst` emes dInformation

Etat des lieux : M ethodologie de lenqu ete

Etat des lieux : m ethodologie de lenqu ete

th` emes abord es pour les internautes

S ecurit e des Syst` emes dInformation

Etat des lieux : les entreprises

S ecurit e des Syst` emes dInformation

Etat des lieux : les entreprises

n : eectifs 200 n 499

S ecurit e des Syst` emes dInformation

Etat des lieux : les entreprises

rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/conf080619

S ecurit e des Syst` emes dInformation

Etat des lieux : les collectivit es locales

S ecurit e des Syst` emes dInformation

Etat des lieux : les collectivit es locales

pourcentage 34% 32% 20% 11% 3%

Etat des lieux : les collectivit es locales

rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/conf080619

S ecurit e des Syst` emes dInformation

Etat des lieux : les internautes

rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/conf080619

S ecurit e des Syst` emes dInformation

Les normes ISO 17799, ISO 27002

De quoi les prot eger ?

Liste des menaces

Quels sont les risques ?

Liste des impacts et probabilit es

Comment prot eger lentreprise ?

S ecurit e des Syst` emes dInformation

Les normes ISO 17799, ISO 27002

La norme Norme ISO 17799