Cours : SECURITE DES RESEAUX

M. Moussa

Chap. I : Pratiques de gestion de la scurit

1-

Dfinitions :

L'information
lment de connaissance susceptible d'tre reprsent l'aide de conventions pour tre prsent, trait, communiqu ou conserv. France, journal officiel (janvier 1982) L'information est multiforme, sa dissociation du support implique la prise en compte de la scurit de chacune des fonctions dont elle est l'objet.

Systme d'information
Ensemble de mcanismes permettant le traitement et la communication d'informations : quel que soit le mode d'expression : oral, crit, visuel quels que soient les supports utiliss

Scurit de l'information
Ensemble de ressources mises en uvre pour protger l'information contre des menaces et des agressions identifies, dans un contexte dfini et pour des risques accepts : Quels que soient les supports et les systmes exploits, on doit scuriser : organisation, rgles, procdures, moyens matriels, produits logiciels, personnels

- Dfinition du domaine de scurit : le domaine de dfinition de linformation ou

le primtre de la scurit de linformation se base sur lidentification des ressources et ltude des besoins.

Dmarche scuritaire
Analyser les vulnrabilits informer les acteurs sensibiliser les dcideurs
1

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

protger les informations et les systmes rparer les dysfonctionnements reporter les incidents

2-

Concept de gestion de la scurit :

2.1- Concepts Fondamentaux (The Big Three):

Les trois principes de la scurit informationnelle sont: Confidentialit, intgrit et disponibilit (CIA ou CID). Tous les contrles de scurit de l'information et les processus de scurit sont soumis la comparaison par rapport a la CIA. Confidentialit. Le concept de la confidentialit est une tentative pour empcher la divulgation intentionnelle ou non intentionnelle non autorise du contenu d'un message. La perte de confidentialit peut se produire de plusieurs faons, notamment par la diffusion intentionnelle d'informations sur la socit prive ou par une mauvaise application des droits de travail. On doit Assure la protection de l'accs aux informations, ca consiste rendre linformation incomprhensible dautres personnes que les acteurs dune transaction. Intgrit. La notion d'intgrit garantit que: - Les informations n'ont pas t modifies. - Consiste dterminer si les donnes envoyes nont pas t altres durant une communication. Disponibilit. Le concept de disponibilit assure l'accs fiable et en temps favorable des donnes ou des ressources informatiques par le personnel appropri. En d'autres termes, les garanties de disponibilit du systme sont efficaces en cas de besoin. En outre, ce concept permet d'assurer que les services de scurit et que les besoins de la scurit sont en tat de marche. - Dite aussi non-rpudiation : Consiste garantir quaucun des correspondants ne pourra nier la transaction.

2.2- Autres Concepts important:

Authentification Consiste assurer lidentit dun utilisateur, cest--dire :
2

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

Garantir que la personne connecte a bien les droits dutiliser les ressources du systme, Garantir chacun des correspondants que son partenaire est bien celui quil croit tre.

Repose sur lutilisation des mots de passe. Identification : Les moyens par lesquels les utilisateurs revendiquent leurs identits un systme. Le plus souvent utilis pour le contrle d'accs, l'identification est ncessaire pour l'authentification et l'autorisation. Autorisation : Les droits et les autorisations accordes un individu ou d'un procd permettant d'accder une ressource informatique. Une fois l'identit d'un utilisateur et l'authentification sont tablis, les niveaux de l'autorisation dterminent l'ampleur de droits au systme qu'un utilisateur peut tenir.

3-

Terminologie :

3.1- Les vulnrabilits:

Pour dterminer les vulnrabilits dun systme dinformation, on vrifiera donc : si le systme fait tout ce quil doit faire, sil le fait correctement et sil ne fait que ce quil doit faire, sil est bien impossible au systme de faire ce quil ne doit pas faire. Il nest videmment jamais possible dapporter des rponses sres et compltes ces questions. La difficult vient de la complexit des systmes. Exemples : Vulnrabilits humaines Mauvaises configurations et mauvais paramtrages Ignorance, ngligence ou inconscience Vulnrabilits des systmes dinformation Dfaut de conception des outils Dfaut dimplmentation des programmes
3

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

logiciels en mode debug ,

-Bug logiciels : plantages, buffer overflow

Vulnrabilits des outils de communication Architecture matrielle du rseau Ex. rseaux non commuts Limitation matrielles des quipements Ex. fonctionnement dgrad de commutateurs rseau Faiblesse des protocoles Ex. lhomme du milieu (Man In the Middle) pour TCP/IP et SSH(ARP Spoofing,DNS poisoning) services permis et non utiliss, saturation de la liaison daccs lInternet,

3.2- Menace :
Une menace est un danger qui existe dans lenvironnement dun systme indpendamment de celui-ci : accident, erreur, malveillance. Une malveillance est laction dindividus et/ou dorganisations qui exploitent des vulnrabilits dans les systmes dinformation. Une malveillance peut tre : passive : elle ne modifie pas linformation et porte essentiellement sur la confidentialit ; active : elle modifie le contenu de linformation ou le comportement des systmes de traitement. (Intgrit et disponibilit).

Do vient la menace ?
Malveillance interne (57% des actes de malveillance) Acteurs potentiels de la cyber-dlinquance : 600 millions de machines sur Internet Si lenjeu est stratgique : socits concurrentes, socits de renseignements prives, services de renseignements

La menace volue
4

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

Le 19 juillet 2001, CodeRed a mis 15 heures infecter 75000 machines Le 25 janvier 2003, le ver Sapphire a mis 30 minutes pour parvenir au mme rsultat En 2003, 50% des courriers lectroniques circulant sur Internet taient des SPAMs, les prvisions les plus optimistes donnaient 75% en 2004

Exemple :
-Social engineering -Scripts et programmes -Ecoutes rseaux -Chevaux de Troie -Botes outils (Satan, Rootkit, Scanner) -Attaques par dictionnaire -Attaques coordonnes, dnis de services

3.3- Agent de menace :

Personne ou processus qui attaque le rseau via un port vulnrable; do il peut accde des donnes de manire violer la stratgie de scurit. 1. Un utilisateur du systme : l'norme majorit des problmes lis la scurit d'un systme d'information est l'utilisateur, gnralement insouciant et indiffrent. 2. Une personne malveillante : qui parvient s'introduire sur le systme, lgitimement ou non, et accder ensuite des donnes ou des programmes auxquels elle n'est pas cense avoir accs ; 3. Un programme malveillant (virus, vers, chevaux de Troie, etc.) : un logiciel install par mgarde ou par malveillance et destin nuire ou abuser des ressources du systme. 4. Un sinistre (vol, incendie, dgt des eaux) : une mauvaise manipulation ou une malveillance entranant une perte de matriel et/ou de donnes.

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

3.4- Processus de classification de linformation

Faire linventaire des ressources (physique, logiques et humaines) 3.4.1 Objectifs de la classification de linformation :

Dmontre que lorganisation donne une importance la scurit et la protection Aide identifier quelle est linformation la plus sensible ou vitale pour lorganisation Assurer ladquation des concepts confidentialit, intgrit, et disponibilit limportance de linformation Aide identifier quelles protections doit tre appliqus quelle information Peut tre une exigence de rglement, de conformit, ou pour des raisons lgales

3.4.2 Concepts de la classification de linformation : Termes de classification : Niveaux de classification de donnes dans un cadre gouvernemental : Non classifi (Unclassified) : La diffusion publique de cette information ne viole pas la confidentialit.
7

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

Sensible mais non classifie (Sensitive but unclassified) : Information dsign comme un secret mineur, mais ne pourrait pas crer de graves dommages si divulgus. Confidentielle (Confidential): La divulgation non autorise de cette information pourrait causer des dgts la scurit nationale du pays. Secret (Secret): La divulgation non autorise de ces renseignements pourrait causer un prjudice grave la scurit nationale du pays. Top secret (Top Secret): La divulgation non autorise dinformations trs secrtes entranera des dommages exceptionnellement graves la scurit nationale du pays.

Niveaux de classification de linformation dans le secteur priv : Publique (Public) : Informations qui ressemble des informations non classifies. Toute information de l'entreprise qui ne correspond pas une des catgories suivantes peut tre prise en considration public. Sensible (Sensitive) : Informations qui ncessite un niveau suprieur de classification donnes normales. Cette information est protge par une perte de confidentialit ainsi que d'une perte d'intgrit en raison d'une modification non autorise. Prive (Private) : Cette classification s'applique aux renseignements personnels qui sont destins au sein de l'organisation. Sa divulgation non autorise pourrait srieusement et ngativement Impacter sur l'organisation ou de ses employs. Exp : niveaux de salaire et les renseignements mdicaux sont considrs comme privs. Confidentielle (Confidential): Cette classification s'applique aux affaires plus sensibles qui sont destins strictement au sein de l'organisation. La divulgation non autorise pourrait srieusement et ngativement impacter sur l'organisation, ses actionnaires, ses partenaires et ses clients.

Tableaux: exemples de classifications de donnes Schma de classification dinformation du secteur Priv/Commercial

Dfinition Usage publique Usage interne seulement Confidentiel lentreprise Description Information that is safe to disclose publicly Information that is safe to disclose internally but not externally Linformation la plus sensible -savoir

Les propritaires des linformation sont responsable de dterminer les niveaux de classification de linformation. Pour une information sensible on peut dfinir son degr de sensibilit en H/M/L comme illustr dans le tableau suivant :

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

Classification de donnes H/M/L

Categorie Low (Bas) Medium (Moyen) Description Information that is safe to disclose publicly Information that is safe to disclose internally but not externally Linformation la plus sensible -savoir

High (Haut)

Critres de classification : Valeur Age : La classification de l'information pourrait tre rduite si valeur des informations diminue au cours du temps. Pour le ministre de la dfense, certains documents classs sont automatiquement dclassifis aprs une priode de temps prdtermine. Priode de vie utile : Si l'information a t rendue obsolte en raison de nouvelles informations, des changements importants dans l'entreprise, ou d'autres raisons, les informations peuvent souvent tre dclassifies. Association au personnel : Si information personnellement associ certaines personnes ou est traite par une loi de protection des renseignements personnels, elle pourrait avoir besoin d'tre class. Distribution de linformation

Rles lis la classification de linformation : Les rles et les responsabilits de tous les participants au programme de classification des informations doivent tre clairement dfinis. Un lment cl de la classification est le rle que jouent les utilisateurs, les propritaires ou les gardiens des donnes en ce qui concerne les donnes. Manager senior Gestionnaires de programmes Propritaires dapplications Gestion de la scurit informatique Fournisseurs de technologie Organisations de support Utilisateurs

3.4.3 Implmentation de politique de scurit

Politiques, standards, directives et procdures Politique : Ensemble de rgles et principes suivre et appliquer suite une description dtaille des exigences lies la scurit et ses contrles et des oprations effectuer et aux rles et responsabilits
9

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

La politique devra dfinir le point de dpart, lobjectif atteindre, et comment atteindre cet objectif. Il faut dfinir les conditions de service : Quel est mon output et comment garantir le fonctionnement pour produire mon output. Dfinir les contrles mettre en place Contrle administratif : procdures, directives, Contrle daccs physique : les implmentations physiques, les quipements et mcanismes mettre en place entre un attaquant et le SI (comme verrouillage de port ou clture). Contrle technique : ce sont des logiciels et/ou des quipements qui aident scuriser les biens.

Prendre en considration laspect environnemental et la protection des vies. Si la politique ne garantit pas un milieu sr, elle ne peut pas tre considre complte. Standard : un standard spcifie lusage dune technologie spcifique dans un enchanement uniforme. Cette standardisation des procdures dopration peut tre bnfique lorganisme par la spcification de mthodologies uniformes pour tre utilises dans les contrles de scurit. Directive : comme un standard lie la mthodologie mais plus oriente dcrire laction prendre. Procdure : une procdure renferme les pas faire pour accomplir une tache.

3.4.4 Rles & responsabilits :

La dfinition des rles et responsabilits sont importantes dans le processus de l'administration de scurit.

Rles & responsabilits

Rle Senior Manager InfoSec Officer Owner Custodian (Gardien) User/Operator Auditor Description Has the ultimate responsibility for security Has the functional responsibility for security Determines the data classification Preserves the informations CIA Performs IAW the stated policies Examines security

3.5- Risque :
Le risque est la probabilit quune menace particulire puisse exploiter une vulnrabilit donne du systme (ex : feu). Traiter le risque, cest prendre en compte les menaces et les vulnrabilits.
10

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

Un systme prsente une certaine vulnrabilit. On lui assure un niveau de protection, qui a un certain cot. Lcart entre la menace et son niveau de protection correspond au risque (accept ou rsiduel). 4 grandes familles de risques dgages: Accidents Erreurs Dutilisation De conception, de ralisation et dorganisation Physiques Pannes & Dysfonctionnements Pertes de services essentiels Autres

Malveillances Vol, vandalisme, sabotage (physique) Fraude, attaques logiques (non physique) Divulgation & espionnage conomique Autres

Comportements Mauvaise protection des donnes Mauvaise utilisation des mots de passe Utilisation/installation de logiciels/sites non autoriss Transmission en chane de messages dalerte reus, hoax Autres

11

ISETr

Cours : SECURITE DES RESEAUX

M. Moussa

Matrice de gestion des risques

12

ISETr