« Les nouveaux enjeux de la
sécurité de l’information »
SURF & TURF DAYS 2009
Toulouse - 24 Novembre 2009
Sébastien RABAUD...
SCASSI Conseil

Conseil en Sécurité de l’information
–
–
–
–

Analyses de risque, audits, tests d’intrusions, inspection d...
Sommaire

Enjeux :
–
–
–
–
–

Sécurité applicative
Entreprise étendue
Nouveaux usages
Conformité / Légal / Réglementaire
V...
Enjeux

Reproduction interdite sans accord écrit de SCASSI Conseil

4
Sécurité applicative

Les applications webs sont vulnérables …
– 33 % (Gartner)

Et les vulnérabilités sont exploitables e...
Sécurité applicative
Quelles failles ?
– Injection, XSS, CSRF, Authentification, …

Quels impacts ?
– Images, Juridiques, ...
Sécurité applicative

Quelles solutions ?
– Transverses / Gouvernance :
• Sensibilisation, Politiques, …

– Sécurité dans ...
Sécurité applicative
Quelles solutions ?
– Audit / Inspection de code
• Après … mais aussi pendant …
• Semi-automatique :
...
Sécurité applicative
Quelles solutions ?
– Firewall applicatif
•
•
•
•

Architecture : embarqué / reverse-proxy / transpar...
Entreprise étendue

Nomadisme (externe / interne), Télétravail
– Besoins / Usages : Mêmes accès qu’en interne, Extranet, W...
Entreprise étendue

Externalisation
– Usages : Hébergement, SaaS, TMA, …
– Risques :
• Responsabilité / Imputabilité
• Tra...
Nouveaux usages

Webconf (Webex, Teamviewer, etc)
– Prise de main à distance => Intrusion
– Solutions :
•
•
•
•

Interdire...
Nouveaux usages

Réseaux sociaux (Viadeo, Facebook, Twitter, …)
– Usages / Besoins :
• Communication / Recrutement / Comme...
Nouveaux usages

Filtrage URL ?
– Efficacité limitée du modèle « blacklist » :
• Tunneling http/https
• Proxy Internet
• M...
Virtualisation

Risques induits
– Complexité = ↑ exposition
– Couche hypervision = ↑ impact

Apports sécurité
– Redondance...
Gestion des évènements
Pourquoi ?
– Détecter & réagir => « maturité SSI »
– Preuve / Archivage légal et règlementaire : « ...
Conformité

CNIL
– Nouvelle directive européenne obligeant à déclarer
les incidents liés aux données à caractère personnel...
Conformité

PCI DSS
C1 : Pare-feu / DMZ

C7 : Contrôle d’accès

C2 : Hardening

C8 : Comptes et mots de passe

C3 : Data p...
Conformité

Conformité (CNIL, PCI-DSS, RGS)
– Obligatoire
– 80 % de traçabilité / 20 % de sécurité ?

Certifications (ISO2...
Démarches

Reproduction interdite sans accord écrit de SCASSI Conseil

20
Gestion des risques

« Démarche guidée par les risques »
– Aligner les risques sur la stratégie
– Justifier / rationaliser...
Gestion des risques

Méthodes / Guides : ISO27005, EBIOS,
MEHARI
– Identifier
– Evaluer
– Traiter (Décider)
• Acceptation ...
La famille de normes ISO
2700X

ISO27001 : Système de Gestion de la Sécurité
de l’Information (SMSI)
– Définir / Etablir
•...
La famille de normes ISO
2700X

« Ecosystème » ISO27001
– ISO27002 :
• Objectifs et mesures de sécurité (idem 27001)
• Con...
La famille de normes ISO
2700X
11 Domaines ISO27001/2
Politique de sécurité

Contrôle d’accès

Organisation de la sécurité...
La famille de normes ISO
2700X
« Ecosystème » ISO27001 (suite)
– ISO27003 (à venir)
• Guide d’implémentation de ISO27001

...
La famille de normes ISO
2700X

Reproduction interdite sans accord écrit de SCASSI Conseil

27
La famille de normes ISO
2700X
« Déclinaisons sectorielles» (27001/2)
– 27799(2008) : Santé
– 27011 (en cours) : Télécoms
...
La famille de normes ISO
2700X

Certification des entreprises
– ISO27001

Certification des personnes
– ISO27001 Lead Audi...
Merci de votre attention

?
http://www.scassi.com

Sébastien RABAUD – SCASSI Conseil
sebastien.rabaud@scassi.com
Reproduct...
Prochain SlideShare
Chargement dans…5
×

Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

668 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
668
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

  1. 1. « Les nouveaux enjeux de la sécurité de l’information » SURF & TURF DAYS 2009 Toulouse - 24 Novembre 2009 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com
  2. 2. SCASSI Conseil Conseil en Sécurité de l’information – – – – Analyses de risque, audits, tests d’intrusions, inspection de code Organisation, politiques et processus Expertise : Sécurité applicative, Cybercriminalité, etc http://www.scassi.com/ Formations – – – – ISO27001 Lead Auditor / Implementer ISO27005 Risk Manager Gestion de projet et développement sécurisé http://www.scassi.com/formations Reproduction interdite sans accord écrit de SCASSI Conseil 2
  3. 3. Sommaire Enjeux : – – – – – Sécurité applicative Entreprise étendue Nouveaux usages Conformité / Légal / Réglementaire Virtualisation / Gestion des évènements Démarches : – Gestion des risques – Normes ISO2700x Reproduction interdite sans accord écrit de SCASSI Conseil 3
  4. 4. Enjeux Reproduction interdite sans accord écrit de SCASSI Conseil 4
  5. 5. Sécurité applicative Les applications webs sont vulnérables … – 33 % (Gartner) Et les vulnérabilités sont exploitables et détectables très facilement : – 13 % compromises automatiquement – 49% des vulns critiques détectés automatiquement avec 3 vulns par appli – [ Source : Etude WASC 2008 sur + de 10000 applis ] Reproduction interdite sans accord écrit de SCASSI Conseil 5
  6. 6. Sécurité applicative Quelles failles ? – Injection, XSS, CSRF, Authentification, … Quels impacts ? – Images, Juridiques, Financières – Ex : 99% non PCI-DSS compliant (WASC 2008) Quelles causes ? – Conception & développement des applications – Configuration des composants applicatifs Reproduction interdite sans accord écrit de SCASSI Conseil 6
  7. 7. Sécurité applicative Quelles solutions ? – Transverses / Gouvernance : • Sensibilisation, Politiques, … – Sécurité dans les projets et dans les développements • A tous les stades du cycle de vie • Organisation / Ressources spécifiques • Guides / Méthodes : NIST, Microsoft SDL, SAMM, … Reproduction interdite sans accord écrit de SCASSI Conseil 7
  8. 8. Sécurité applicative Quelles solutions ? – Audit / Inspection de code • Après … mais aussi pendant … • Semi-automatique : – Inspection automatique du code => résultats bruts – Analyse manuelle des résultats bruts => • 96 % des vulnérabilités critiques détectées ! Reproduction interdite sans accord écrit de SCASSI Conseil 8
  9. 9. Sécurité applicative Quelles solutions ? – Firewall applicatif • • • • Architecture : embarqué / reverse-proxy / transparent Mode : white (réécriture) / blacklist (signature) Exploitation / amélioration continue Attention : pas une solution miracle ! – Sécurisation des composants • Serveur web / Serveur appli / SGBD / OS Reproduction interdite sans accord écrit de SCASSI Conseil 9
  10. 10. Entreprise étendue Nomadisme (externe / interne), Télétravail – Besoins / Usages : Mêmes accès qu’en interne, Extranet, Wifi – Risques : • Wifi, 3G, USB, Bluetooth, Smartphone, … • Vulnérabilités Logicielles : OS, Office, Adobe, JRE, … • Postes « non maitrisés », Perte/vol – Solutions : • VPN SSL / Extranet / Reverse-proxy • Poste virtuel / Auth forte • Profils / Habilitations Reproduction interdite sans accord écrit de SCASSI Conseil 10
  11. 11. Entreprise étendue Externalisation – Usages : Hébergement, SaaS, TMA, … – Risques : • Responsabilité / Imputabilité • Transfert du risque ≠ Evitement = partiel – Solutions : • Contrat / SLA • Pilotage • Audit Reproduction interdite sans accord écrit de SCASSI Conseil 11
  12. 12. Nouveaux usages Webconf (Webex, Teamviewer, etc) – Prise de main à distance => Intrusion – Solutions : • • • • Interdire ou Autoriser complètement Webconf « en propre » Poste « Relais » en DMZ Consignes utilisateurs / Audit Reproduction interdite sans accord écrit de SCASSI Conseil 12
  13. 13. Nouveaux usages Réseaux sociaux (Viadeo, Facebook, Twitter, …) – Usages / Besoins : • Communication / Recrutement / Commerce – Risques : • Phishing / Escroquerie / Malware – Plus efficace car « confiance » + https • Fuite d’informations / Ingénierie sociale / Image – Solutions : • Interdire et Sensibiliser Reproduction interdite sans accord écrit de SCASSI Conseil 13
  14. 14. Nouveaux usages Filtrage URL ? – Efficacité limitée du modèle « blacklist » : • Tunneling http/https • Proxy Internet • Malware/Phishing hébergé sur des sites légitimes ! – Whitelist ? Reproduction interdite sans accord écrit de SCASSI Conseil 14
  15. 15. Virtualisation Risques induits – Complexité = ↑ exposition – Couche hypervision = ↑ impact Apports sécurité – Redondance, Disponibilité (pannes et changements) – Standardisation de la sécurité des systèmes « hôtes » Reproduction interdite sans accord écrit de SCASSI Conseil 15
  16. 16. Gestion des évènements Pourquoi ? – Détecter & réagir => « maturité SSI » – Preuve / Archivage légal et règlementaire : « retrouver » Par où commencer ? – Top-down : D’abord définir les objectifs – Bottom-up : Apprentissage Comment ? – Organiser – Centraliser et traiter – Outiller Reproduction interdite sans accord écrit de SCASSI Conseil 16
  17. 17. Conformité CNIL – Nouvelle directive européenne obligeant à déclarer les incidents liés aux données à caractère personnel RGS = Référentiel Général de sécurité – Administration PCI-DSS – Données CB Reproduction interdite sans accord écrit de SCASSI Conseil 17
  18. 18. Conformité PCI DSS C1 : Pare-feu / DMZ C7 : Contrôle d’accès C2 : Hardening C8 : Comptes et mots de passe C3 : Data protection (storage) C9 : Physique C4 : Communication Security C10 : Traces / Logs C5 : AV C11 : Tests C6 : Gestion vuln et Dev secu C12 : Politiques / Organisation / Reproduction interdite sans accord écrit de SCASSI Conseil 18
  19. 19. Conformité Conformité (CNIL, PCI-DSS, RGS) – Obligatoire – 80 % de traçabilité / 20 % de sécurité ? Certifications (ISO27001) – Volontaire / Stratégique – Confiance / Développement Reproduction interdite sans accord écrit de SCASSI Conseil 19
  20. 20. Démarches Reproduction interdite sans accord écrit de SCASSI Conseil 20
  21. 21. Gestion des risques « Démarche guidée par les risques » – Aligner les risques sur la stratégie – Justifier / rationaliser les investissements : ROSI – Identifier de nouveaux risques – Prendre en compte l’évolution des risques Reproduction interdite sans accord écrit de SCASSI Conseil 21
  22. 22. Gestion des risques Méthodes / Guides : ISO27005, EBIOS, MEHARI – Identifier – Evaluer – Traiter (Décider) • Acceptation / Evitement • Réduction / Transfert – Suivre / Réexaminer Reproduction interdite sans accord écrit de SCASSI Conseil 22
  23. 23. La famille de normes ISO 2700X ISO27001 : Système de Gestion de la Sécurité de l’Information (SMSI) – Définir / Etablir • Domaine / Périmètre / Politique (Stratégie) • Evaluer les risques • Objectifs et mesures de sécurité – Mettre en œuvre : Plan de traitement – Surveiller / Améliorer Ex : ISO9001 … Reproduction interdite sans accord écrit de SCASSI Conseil 23
  24. 24. La famille de normes ISO 2700X « Ecosystème » ISO27001 – ISO27002 : • Objectifs et mesures de sécurité (idem 27001) • Conseils & Bonnes pratiques => Utilisations : Politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 24
  25. 25. La famille de normes ISO 2700X 11 Domaines ISO27001/2 Politique de sécurité Contrôle d’accès Organisation de la sécurité Acquisition, développement et maintenance Gestion des actifs Incidents de sécurité RH Continuité Physique / Environnemental Conformité Exploitation & Télécoms Reproduction interdite sans accord écrit de SCASSI Conseil 25
  26. 26. La famille de normes ISO 2700X « Ecosystème » ISO27001 (suite) – ISO27003 (à venir) • Guide d’implémentation de ISO27001 – ISO27004 (à venir) • Indicateurs SMSI – ISO27005 • Gestion des risques – ISO27006 • Certification SMSI – ISO27007 (à venir) • Audit SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 26
  27. 27. La famille de normes ISO 2700X Reproduction interdite sans accord écrit de SCASSI Conseil 27
  28. 28. La famille de normes ISO 2700X « Déclinaisons sectorielles» (27001/2) – 27799(2008) : Santé – 27011 (en cours) : Télécoms – 27013 (en cours) : Finances Par domaines – 27031 (en cours) : Continuité d’activité – 27033 (en cours) : Sécurité des réseaux – 27034 (en cours) : Sécurité application Reproduction interdite sans accord écrit de SCASSI Conseil 28
  29. 29. La famille de normes ISO 2700X Certification des entreprises – ISO27001 Certification des personnes – ISO27001 Lead Auditor – ISO27001 Lead Implementer – ISO27005 Risk Manager Reproduction interdite sans accord écrit de SCASSI Conseil 29
  30. 30. Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 30

×