3. 3
“
”
Une politique de sécurité est une déclaration
formelle des règles auxquelles doivent se
conformer les personnes recevant un droit
d’accès au capital technologique et informatif
d’une entreprise
RFC 2196
Definition d’une politique de
sécurité
4. 4
Politique de sécurité d'entreprise
?
Une politique de sécurité doit être mise en
œuvre avec la participation du personnel clé
de l'entreprise concerné , à savoir :
Les membres de la direction générale
Le personnel technique
Le personnel juridique,éventuellement
5. 5
Une politique de sécurité d'entreprise apporte les
avantages suivants:
un cadre fonctionnel (« le voir comme un CPS ou
un Texte de Loi ») permettant d'implémenter des
procédures de sécurité dans l'infrastructure de
réseau
un processus permettant l'audit de la sécurité
actuelle du réseau
une sécurité globale sans omissions
une base pour toute action juridique éventuelle.
Politique de sécurité d'entreprise
?
6. 6
Ensuite, Cette politique de sécurité doit être
rédigée noir sur blanc comme cadre de référence
applicable à TOUS
Enfin, Pour réussire à la mettre en œuvre , il faut :
Elle doit pouvoir être implémentée. sur le plan
technique
Elle doit pouvoir être implémentée sur le plan
organisationnel.
Elle doit pouvoir être imposée soit techniquement ou sinon
par des sanctions administratives
Elle doit être souple et adaptable aux changements et
évolutions au sein de l’entreprise
Politique de sécurité d'entreprise ?
7. 7
Par où commencer ? Peut sembler Difficile ou
Inutile
Mais c’est le prix à payer pour éviter des erreurs
dans le choix des méthodes et systèmes de sécurité
Si l’entreprise dispose déjà d’un code de conduite
général pour leur personnel, alors on peut s’y appuyer
pour les traduire en une politique de sécurité
informatique à suivre vis-à-vis des technologies
confidentielles, des droits de la propriété intellectuelle et
d'autres informations privées de l'entreprise.
Voici un exemple de code de conduite en entreprise.
Politique de sécurité :
Les étapes de mise en place
8. 8
La signature de ce document implique l'accord et
l'adhésion aux principes éthiques et aux règles standard
de conduite professionnelle suivants:
1. Responsabilité professionnelle.
Les employés ont pour responsabilité de soutenir la
mission et les objectifs généraux de l'entreprise. Ils
doivent veiller à ce que leurs besoins en termes de
développement et de professionnalisme soit équilibrés
avec les obligations de l'entreprise de préserver la
sécurité et les avantages de l'ensemble du personnel.
Voici un exemple de code de conduite en entreprise.
9. 9
2.Autorité juridique. Les employés respectent et
reconnaissent toute autorité juridique. Ils doivent réfréner
tout comportement impliquant malhonnêteté, fraude,
duperie, déformation ou discrimination.
3. Conflits d'intérêts. Les employés doivent chercher à
éviter tout comportement visant à satisfaire des intérêts
ou des obligations à caractère privé, qui sont ou
paraissent entrer en conflit d'intérêt avec la mission, les
objectifs, les stratégies ou les réglementations de
l'entreprise. Ils doivent clairement faire la distinction entré
les déclarations et actions publiques et privées qui
reflètent leurs opinions personnelles et celles qui reflètent
la position de l'entreprise.
Voici un exemple de code de conduite en entreprise.
10. 10
4. Confidentialité. Les employés doivent garantir le
respect de la confidentialité de toutes les communications
privées, informations confidentielles et dossiers
professionnels de l'entreprise. ils se doivent d'aviser
toutes les parties de la nature et des limites de cette
obligation.
Voici un exemple de code de conduite en entreprise.
11. 11
Pour un réseau équipé déjà d’outils de sécurité mais
sans politique de sécurité , une enquête anonyme peut
être menée pour collecter des informations sur les
éventuelles possibilités de contournement des
procédures de sécurité.
Ce genre d'étude peut permettre de recueillir des
renseignements précieux de la part de personnes qui
les contournent pour des raisons de productivité sans
intention malhonnête.
Les procédures en cause doivent alors être
réévaluées pour déterminer de quelle façon la stratégie
peut recourir à des mesures de sécurité applicables sur
le plan pratique.
Politique de sécurité :
Les étapes de mise en place
12. 12
Exemple de questionnaire d'enquête de sécurité
Nom (optionnel) :
-------------------------------------------------------------------------
-------------------------------------------------------------------------
----1. J'utilise les systèmes suivants (entourez les
réponses) :
Windows UNIX Macintosh Autre
(mentionnez-les) :
Questionnaire d’évaluation Vue par
les Users
13. 13
2. Evaluez le pourcentage de temps passé à accéder au
réseau de l'entreprise en utilisant les mécanismes suivants:
Réseau local, de l'entreprise:-----------------------------------------
--------------------------------------------------------------------
Réseau Frame Relay de l'entreprise (agence distante) :------
-------------------------------------------------------------------
Internet:--------------------------------------------------------------------
-------------------------------------------------------------------
Connexion par modem: -----------------------------------------------
------------------------------------------------------------------
RNIS------------------------------------------------------------------------
-------------------------------------------------------------------
3. Les applications que j'utilise le plus souvent sont
(entourez les réponses) :
Navigateurs Web E-mail Autres (mentionnez-les) :
----------------------------------------------
4, Evaluez les mesures de sécurité existantes :
Trop restrictives Appropriées Trop légères
14. 14
5. Avez-vous constaté des problèmes de sécurité durant
les douze derniers mois? Si oui, lesquels?
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------------------------------------------------------------------
6. Avez-vous connaissance d'accès possibles au réseau
d'entreprise par une "porte arrière" ? Si oui,
lesquels ?
----------------------------------------------------------------------------
---------------------------------------------------------------------------
15. 15
7. Commentaires supplémentaires concernant les
problèmes de sécurité:
---------------------------------------------------------------------------
---------------------------------------------------------------------------
-
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Nom (optionnel) :
---------------------------------------------------------------------------
---------------------------------------------------------------------------
-
16. 16
Gestion des risques
Evaluation des risques
Politique de sécurité d'entreprise :
17. 17
Gestion des risques
La gestion des risques permet de répondre à 3
questions essentielles à la mise en place d’une
Politique de sécurité :
Comment résoudre les problèmes de sécurité
A quel endroit les résoudre
Quels types et niveaux de contrôles de sécurité
appliquer
18. 18
Evaluation des risques
Identification des ressources vitales
Valorisation de ces ressources
Estimation du Risque de violation de la
sécurité liés à ces ressources
Estimation du Coût des dégâts de ces
ressources
Calcul du risque informatique
19. 19
Identification des ressources
Matériels
• Stations de travail. ordinateurs personnels. imprimantes. routeurs.
commutateurs. modems, serveurs de terminaux et pare-feu
Logiciels
Sources de programmes. programmes et objets associés. utilitaires.
applications de diagnostic, systèmes d'exploitation et programmes de
communication
Données
Données stockées en ligne et archivées en ligne. sauvegardes. journaux d'audit.
bases de données. données en transit sur des médias de communication
Personnes
• Utilisateurs. administrateurs et chargés de maintenance matérielle
Documentations
Logiciels. évaluations matérielles 'et logicieI internes,systemes et procédures
administratives locales
20. 20
Attribuer une valeur objective aux ressources tangibles de
l'entreprise
Pour les ressources non tangibles, généralement les logiciels.
les données ou la documentation, exprimer la valeur en termes
d'importance ou de gravité de sa perte
Valorisation des ressources
21. 21
La classification des données selon des niveaux variés
d'importance peut être une étape préliminaire dans la
procédure de valorisation.
Un simple système d'évaluation avec les mentions élevé.
moyen ou faible peut déjà représenter un point de départ pour
évaluer les risques.
Les données peuvent appartenir à diverses catégories
Valorisation des ressources
22. 22
Les données peuvent appartenir à diverses catégories
Données administratives. La correspondance ou autres
informations relatives aux biens de l'entreprise ainsi que les
renseignements de personnel qui sont généralement consultables.
Données financières. Les informations sur les budgets et les
dépenses relatives aux opéra tions de l' entreprise.
Données de clientèle. Les informations de nature personnelle
relatives aux clients ou des renseignements issus de tests.
d'observations ou de missions de conseil.
Données propriétaires/recherches. Les informations qui ne
peuvent pas être divulguées au public sans la permission du
propriétaire.
23. 23
Exemple :Valorisation des
ressources non tangibles
Type de données Classification Gravité d'une perte
Résultats de tests
Tendances de marché
Brevets en cours
Mémos d'entreprise
Fichier d'employés
Nouvelles fonctionnalités de
produits
Sècrets commerciaux
Données d' acquisition
Recherche
Recherche
Propriétaire
Administration
Administration,
Propriétaire
Propriétaire
Finances
Finances
Elevée
faible
Elevee
Faible
Faible'
Moyenne
Elevée
Elevée
Moyenne
24. 24
Après l’Identification et la
valorisation des ressources,
On passe à l’évaluation des Risques
de Violation de la sécurité
Politique de sécurité d'entreprise :
25. 25
Une menace peut être une personne, un objet ou un
événement pouvant potentiellement provoquer des
dommages au réseau ou à ses équipements.
Les menaces peuvent être intentionnelles, comme la
modification malveillante d'informations sensibles, ou
accidentelles, suite à une erreur de calcul ou la
suppression fortuite d'un fichier.
Evaluation des Menaces et vulnérabilités
26. 26
Une vulnérabilité est une faiblesse sur un réseau qui
peut être exploitée par une menace (ex password)
Par exemple. un accès, non autorisé (la menace) au
réseau peut être commis par un attaquant qui devine
un mot de passe trop évident.
La vulnérabilité exploitée ici est un choix médiocre de
mot de passe de la part d'un utilisateur.
La réduction ou l'élimination des points faibles du
réseau peut réduire ou éliminer le risque de voir les
menaces se concrétiser.
Par exemple, un outil qui peut aider des utilisateurs à
choisir des mots de passe plus robustes
Evaluation des Menaces et vulnérabilités
27. 27
Les menaces sont généralement classés de la façon suivante:
écoute clandestine ou vol d'informations (sniffing):
blocage de l'accès aux ressources du réseau (DoS)
Accès non autorisé aux ressources (spoofing)
Manipulation de données (Mim)
Evaluation des Menaces et vulnérabilités
28. 28
Les conséquences de ce type de menaces peuvent être
déclinés en 3 grands domaines :
1- Compromission de la sécurité des données
Vol d’information par :
un accès non autorisé à un système
écoute passive des échanges (sniffer)
Les Conséquences des Menaces
29. 29
2- Perte d'intégrité des données
Les données ne sont plus fiables ou bien ne peuvent plus
être restaurés
les données actives sont-elles physiquement sécurisées
et sauvegardées (Où , quand et comment)?
Qui dispose d'un accès physique au média contenant
vos données?
Les Conséquences des Menaces de sécurité
30. 30
3-Indisponibilité des ressources
Dans les environnements actuels où les entreprises
s'appuient de plus en plus sur des transactions réalisées
en réseau, l'inaccessibilité à des systèmes vitaux peut se
traduire rapidement par des pertes importantes en temps
et en argent (manque à gagner)
Ce domaine de problèmes est étroitement lié à celui de
la fiabilité et de la redondance d'un système, raison pour
laquelle une politique de sécurité doit être définie
pendant la conception du réseau.
Les Conséquences des Menaces de sécurité
31. 31
En voici un Exemple de Calcul simple de risques.
Comment évaluer le
Risque de sécurité
informatique ?
34. 34
Réduction des risques et du coût de la sécurité
Lorsque tous les risques ont été évalués, l'entreprise
doit déterminer le niveau de risque qu’elle peut
accepter et le niveau de protection à accorder à ses
ressources.
Donc, La réduction des risques est le processus de
sélection des contrôles appropriés pour ramener les
risques à un niveau acceptable.
Ce niveau est déterminé en comparant le risque
d'exposition de la brèche de sécurité au coût de
l'implémentation et de l'application de la politique de
sécurité.
35. 35
Pour développer une politique de sécurité
APPLICABLE, il faut considérer le niveau des coûts et
des performances acceptables
Par Exempe : Les procédures de chiffrement et de
déchiffrement consomment du temps et de la puissance
de traitement.
Une décision spontanée de chiffrer TOUT le trafic peut
résulter en une dégradation des performances
36. 36
En effet, Il faut comprendre que les mesures de sécurité
ne rendent impossibles ni un accès frauduleux aux
informations ni l' exécution de tâches non autorisées
sur un système du réseau.
Donc, Les mesures de sécurité ne peuvent
qu'augmenter les difficultés pour y parvenir.
Même si l'entreprise n’implémente que des filtres ACL
pour accepter le trafic extérieur provenant de certains
réseaux
Cela peut être suffisamment dissuasif pour certains intrus pas
vraiment déterminés, cherchant simplement à occuper leur
temps libre.. .
38. 38
Cadre fonctionnel d'u'ne politique de sécurité
Après étude de la gestion des risques, il est temps
d'examiner d'autres problèmes liés à la création d'une
politique de sécurité pour l'infrastructure d'un réseau
d'entreprise.
Les zones particulières requérant une sécurité plus stricte
sont les endroits les plus vulnérables au attaques tels que les
points d'interconnexion de réseaux, les points d'accès à
distance ainsi que les équipements et les serveurs vitaux de
l'infrastructure du réseau.
Politique de sécurité :
Le Cadre fonctionnel
39. 39
Les Composants d'un réseau entreprise …
l'infrastructure principale de campus
La connectivité d' accès distant
La connectivité Internet.
40. 40
Les Composants d'un réseau entreprise …
l'infrastructure principale de campus
Généralement consiste en (LAN + MAN);
Située à l' intérieur d'une zone géographique délimitée et
représente le cœur du réseau(CORE) d'entreprise.
La connectivité d' accès distant
Consiste en services de connexion distant par RTC ou RNIS qui
permettent de relier les Agences distantes ou les personnes
affectées au télétravail et les utilisateurs itinérants
La connectivité Internet.
L'accès Intemet permet connexion au campus principal par
l'intermédiaire d'un fournisseur de services Internet (ISP),
41. 41
Chacun des trois composants peut avoir des besoins différents
en matière de sécurité.
Il est important de disposer d'un cadre pour la sécurité globale
d'entreprise gérant tous les éléments d'une architecture de
sécurité, pour que chaque stratégie individuelle soit cohérente
par rapport à l'ensemble.
Par exemple, disposer d'une stratégie stricte vis-à-vis des accès
Internet, mais avec de faibles restrictions sur l'usage du modem
est une démarche incohérente
(on peut se connecter via son modem intégré et ouvrir une ainsi
une brêche)
Les Composants d'un réseau entreprise …
43. 43
Les éléments d'une architecture de sécurité
Le cadre global doit inclure les éléments suivants
d'une architecture de sécurité: CIA
identité
intégrité
confidentialité
Disponibilité
audit.
44. 44
Les éléments d'une architecture de sécurité
Identification :
Englobe à la fois l'authentification et l'autorisation.
L'authentification répond à la question: "Qui êtes-
vous?",
L'autorisation répond à la question: "A quelles
ressources êtes-vous autorisé à accéder?"
45. 45
Intégrité
L’intégrité est l'élément d'une architecture de sécurité qui
englobe la sécurité des équipements de
l'infrastructure de réseau (accès physiques et
logiques) et la sécurité de périphérie.
L'accès physique à un ordinateur (ou routeur ou
commutateurs ou pare-feu) peut donner à un utilisateur
détenant les bonnes connaissances un contrôle total
sur cet équipement.
L’accès physique à un lien de réseau permet en général à
une personne de faire de l'écoute clandestine ..etc
Donc, si l'accès physique au matériel n'est pas contrôlé,
les mesures de sécurité peuvent souvent être détournées
46. 46
Par conséquent, pour les services d'entreprise, la
sécurité physique sera la mieux assurée au moyen
de vigiles, d'un réseau de moniteurs et de systèmes
d'accès par carte codée
Avec ces mesures, les entreprises peuvent être
assurées que leurs biens sont protégés à l'intérieur
des immeubles et que la bonne productivité des
utilisateurs est maintenue,
Intégrité
47. 47
La sécurité logique d'accès désigne les
mécanismes d'identification (authentification et
autorisation) qui doivent être satisfaits avant que
l'utilisateur soit autorisé à accéder aux équipements
du réseau
La sécurité de périphérie concerne les
fonctionnalités de type pare-feu déterminant le trafic
qui doit être autorisé ou rejeté depuis diverses zones
du réseau.
Souvent, les systèmes pare-feu sont placés entre
Internet et le campus principal ou entre la connexion
à distance et le campus principal.
Intégrité
48. 48
Confidentialité
La confidentialité est l'élément d'une architecture de
sécurité qui garantit qu'une Communication de données
entre un émetteur et un destinataire reste privée.
Une politique stricte de sécurité devrait indiquer aux
utilisateurs les types de données jugés sensibles qui
justifient le chiffrement.
49. 49
La décision de recourir au cryptage devrait être prise
par l'autorité chargée au sein de l'entreprise de la
protection des informations sensibles.
S'il n'existe pas de politique de sécurité stricte
définissant les informations à chiffrer, il revient au
propriétaire des données de décider si les
informations doivent ou non être cryptées.
Confidentialité
50. 50
Disponibilité
La disponibilité est le processus qui garantit que toutes
les ressources essentielles sont accessibles lorsque
cela se révèle nécessaire.
Maintenir la disponibilité des données signifie :
Planifier des mises à jour de systèmes
Planifier des changements de configuration
Bien tester les configurations pour éviter des
surprises catastrophiques provoquées par des
bugs ou des configurations erronées
51. 51
Audit
L'audit est un élément de l'architecture de sécurité
nécessaire pour vérifier et surveiller la politique de
sécurité de l'entreprise.
Un audit logiciel vérifie l'implémentation correcte de la
stratégie de sécurité dans l'infrastructure de réseau.
La journalisation et la surveillance des événements
peuvent aider à détecter tout comportement inhabituel
ou d'éventuelles intrusions.
52. 52
Audit
L'audit est un élément de l'architecture de sécurité
nécessaire pour vérifier et surveiller la politique de
sécurité de l'entreprise.
Un audit logiciel vérifie l'implémentation correcte de la
stratégie de sécurité dans l'infrastructure de réseau.
La journalisation et la surveillance des événements
peuvent aider à détecter tout comportement inhabituel
ou d'éventuelles intrusions.
53. 53
De plus, Un système complet d’Audit devrait inclure :
le contrôle de nouvelles installations de systèmes.
Le contrôle des activités malveillantes des
personnes en interne.
L’enregistrement des événements et traces
d’attaques (ex: DoS/DoS ..etc)
Avec l’AUDIT, surtout éviter la journalisation de
chaque événement, sinon on est noyée sous une
montagne d'autres informations inutiles générées par le
système.
Audit
54. 54
D’Autres considérations de sécurité …
La politique de l'entreprise devrait également prendre en
considération la sécurité concernant le personnel :
Les processus et les procédures permettant d'établir une
confirmation d'identité.
Les droits requis pour accéder à certaines informations.
la comptabilisation de l'usage correct des ressources
La formation appropriée pour que les employés assument
leurs responsabilités (Attention au personnel qui se venge!)
55. 55
Résumé
Dans cette partie, On a étudié les étapes principales de mise en place
d'une politique de sécurité d'entreprise :
D’abord, Identification des différents points du réseau concernant la
sécurité globale de l' entreprise.
Ensuite, les ressources vitales doivent être identifiées pour évaluer les
coûts liés à la compromission de leur sécurité, leur destruction ou leur
indisponibilité.
Il faut également décider du niveau de risque jugé acceptable pour
l'entreprise.
Une fois ce niveau déterminé pour les vulnérabilités identifiées, une
stratégie spécifique à l'entreprise peut être définie
Enfin, on implémente la politique de sécurité définie grâce à divers
services de sécurité incluant l'identification, la protection de l'intégrité, de la
confidentialité et de la disponibilité ainsi que des procédures d'audit.