Soumettre la recherche
Mettre en ligne
La sécurité informatique dans la petite entreprise
•
2 j'aime
•
336 vues
P
Patient Macumue
Suivre
une bonne approche de la sécurité informatique
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 153
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Office de la formation professionnelle
Office de la formation professionnelle
tozzonti
Ree cybersecurite
Ree cybersecurite
sidomanel
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
Charte utilisation internet et médias sociaux 2015
Charte utilisation internet et médias sociaux 2015
Remy EXELMANS
Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...
ITrust - Cybersecurity as a Service
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
40 règles de sécurité pour une hygiène informatique - ANSSI
40 règles de sécurité pour une hygiène informatique - ANSSI
polenumerique33
Recommandé
Office de la formation professionnelle
Office de la formation professionnelle
tozzonti
Ree cybersecurite
Ree cybersecurite
sidomanel
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
Eric DUPUIS
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
Charte utilisation internet et médias sociaux 2015
Charte utilisation internet et médias sociaux 2015
Remy EXELMANS
Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...
ITrust - Cybersecurity as a Service
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
40 règles de sécurité pour une hygiène informatique - ANSSI
40 règles de sécurité pour une hygiène informatique - ANSSI
polenumerique33
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
FootballLovers9
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
rodolphe gilbert-collet
La sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
ITrust - Cybersecurity as a Service
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
Binder1
Binder1
Laetitia HOREL
L’analyse comportementale lutte contre les apt @ITrustBlog
L’analyse comportementale lutte contre les apt @ITrustBlog
ITrust - Cybersecurity as a Service
Guide hygiene informatique_anssi
Guide hygiene informatique_anssi
Samy Ntumba Tshunza
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
Cnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
Mon Cloud - Présentation des services
Mon Cloud - Présentation des services
GARRIDOJulien
Intelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
Etude rémunération systemes_d_information
Etude rémunération systemes_d_information
happyady90
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
polenumerique33
Baudoin karle-ids-ips
Baudoin karle-ids-ips
Yassmina AGHIL
Le guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Alain EJZYN
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
Sophie Roy
Contenu connexe
Similaire à La sécurité informatique dans la petite entreprise
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
FootballLovers9
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
rodolphe gilbert-collet
La sécurité des systèmes d’information
La sécurité des systèmes d’information
lara houda
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
ITrust - Cybersecurity as a Service
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
Binder1
Binder1
Laetitia HOREL
L’analyse comportementale lutte contre les apt @ITrustBlog
L’analyse comportementale lutte contre les apt @ITrustBlog
ITrust - Cybersecurity as a Service
Guide hygiene informatique_anssi
Guide hygiene informatique_anssi
Samy Ntumba Tshunza
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Christophe Elut
Cnil guide securite_personnelle
Cnil guide securite_personnelle
Dominique Gayraud
Mon Cloud - Présentation des services
Mon Cloud - Présentation des services
GARRIDOJulien
Intelligence économique : Le monitoring
Intelligence économique : Le monitoring
Khalifa Tall
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
FootballLovers9
Etude rémunération systemes_d_information
Etude rémunération systemes_d_information
happyady90
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
polenumerique33
Baudoin karle-ids-ips
Baudoin karle-ids-ips
Yassmina AGHIL
Le guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Alain EJZYN
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
Sophie Roy
Similaire à La sécurité informatique dans la petite entreprise
(20)
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
La sécurité des systèmes d’information
La sécurité des systèmes d’information
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
Binder1
Binder1
L’analyse comportementale lutte contre les apt @ITrustBlog
L’analyse comportementale lutte contre les apt @ITrustBlog
Guide hygiene informatique_anssi
Guide hygiene informatique_anssi
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
Cnil guide securite_personnelle
Cnil guide securite_personnelle
Mon Cloud - Présentation des services
Mon Cloud - Présentation des services
Intelligence économique : Le monitoring
Intelligence économique : Le monitoring
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
Etude rémunération systemes_d_information
Etude rémunération systemes_d_information
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Alerte aux ransomware de la cellule Ntech de la Gendarmerie Nationale
Baudoin karle-ids-ips
Baudoin karle-ids-ips
Le guide de l'hygiène informatique
Le guide de l'hygiène informatique
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
La sécurité informatique dans la petite entreprise
1.
Ce livre sur
la sécurité informatique dans la petite entreprise (PME) s’adresse aux administrateurs systèmes et réseaux et plus généralement à toute personne appelée à participer à la gestion de l’outil informatique dans ce contexte (chef d’entreprise, formateur...). L’auteur identifie les menaces qui rendent l’entreprise vulnérable : menaces externes (Internet) ou internes, logiciels malveillants et attaques affectant le système d’information. Il présente les contraintes en terme de compétitivité et vis-à-vis de la loi qui imposent aux responsables de protéger les données stockées ou en transfert. Et bien sûr, il détaille les solutions efficaces à mettre en œuvre en rapport avec la criticité des informations, le contexte de l’entreprise et sa taille. En effet, différentes technologies existent tant sur la partie système que réseau et demandent à être gérées à l’aide de pratiques simples et d’un minimum de bon sens pour garantir l’intégrité, la confidentialité, la disponibilité des données et des applications. Sensibiliser le lecteur à tous ces aspects de la sécurité l’aidera à mieux maîtriser les outils dont il dispose notamment pour la gestion des comptes d’accès aux serveurs et aux postes de travail. Les recommandations décrites dans ce livre couvrent les domaines du réseau, du système, de la sauvegarde et aussi les solutions de reprise de l’activité métier. La survie de l’entreprise est à la mesure des précautions mises en œuvre. Ce livre numérique a été conçu et est diffusé dans le respect des droits d’auteur. Toutes les marques citées ont été déposées par leur éditeur respectif. La loi du 11 Mars 1957 n’autorisant aux termes des alinéas 2 et 3 de l’article 41, d’une part, que les “copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective”, et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration, “toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l’auteur ou de ses ayants droit ou ayant cause, est illicite” (alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. Copyright Editions ENI La sécurité informatique dans la petite entreprise JeanFrançois CARPENTIER Résumé L'auteur Jean-François Carpentier est ingénieur en système d’information depuis près de 30 ans. Titulaire d’un diplôme d’ingénieur DPE, il exerce son activité au sein de grands comptes de l’industrie et des services. Il œuvre aussi dans les domaines techniques et fonctionnels des systèmes dans des environnements complexes. Il utilise aussi ses qualités pédagogiques dans la formation pour un public d’adultes. - 1 -© ENI Editions - All rigths reserved - Jonifar lina 1
2.
Avantpropos Ce livre sur la sécurité informatique dans les petites entreprises s’adresse à tout administrateur systèmes et réseaux, à toute personne ayant à gérer l’outil informatique, chefs d’entreprise de type TPE ou PME/PMI qui souhaitent protéger leur système d’information
des principales menaces. Il peut aussi aider des formateurs à sensibiliser les futurs professionnels aux bonnes pratiques à acquérir. En effet, l’outil informatique fait partie intégrante du métier de l’entreprise, car incontournable. Il est cependant vulnérable aux menaces externes (Internet) ou internes, aux logiciels malveillants et attaques affectant son système d’information. D’autre part des raisons de compétitivité et légales imposent aux responsables de protéger les données stockées ou en transfert. La protection des systèmes requiert de mettre en œuvre des solutions efficaces en rapport avec la criticité des informations utilisées, du contexte de l’entreprise et de sa taille. Différentes technologies existent tant sur la partie système que réseau et demandent à être gérées efficacement à l’aide de pratiques simples et de bon sens de façon à garantir l’intégrité, la confidentialité, la disponibilité des données et des applications. La gestion des comptes d’accès aux serveurs et postes de travail, associée à une sensibilisation à la sécurité pourra aider les administrateurs système à mieux maîtriser leur outil. Les recommandations décrites dans cet ouvrage couvrent les domaines du réseau, des systèmes, de la sauvegarde et les solutions de reprise de l’activité métier. La survie de l’entreprise est à la mesure des précautions mises en œuvre. L’approche de ce livre est de présenter des informations glanées à partir d’expériences professionnelles dans différents environnements dans le cadre de l’administration de systèmes et de réseaux. La lecture de cet ouvrage réclame une connaissance de base dans la connaissance des réseaux et des systèmes d’exploitation, principalement de Windows. - 1 -© ENI Editions - All rigths reserved - Jonifar lina 2
3.
Préface Cet ouvrage a pour vocation de présenter l’état de l’art et les bonnes pratiques de la mise en place de la sécurité informatique dans une
société du type PME (Petites et Moyennes Entreprises) disposant de moyens limités. Il est destiné à être en cohérence avec la norme ISO 27001 sous une forme pratique à l’usage des personnels responsables du système d’information. Les informations présentées dans l’optique d’une meilleure gestion des serveurs et des postes de travail ne se substituent pas aux documents techniques des constructeurs et éditeurs de logiciels ou de système d’exploitation, il s’agit d’un complément plus fonctionnel. En conséquence, le lecteur de cet ouvrage est invité à consulter les documents techniques mis à sa disposition lors de la réception des matériels et logiciels. - 1 -© ENI Editions - All rigths reserved - Jonifar lina 3
4.
Introduction L’univers des systèmes d’information composé de réseaux et de systèmes informatiques prend un rôle et une place chaque jour plus important dans les entreprises. Cependant, l’actualité présentée par les médias nous démontre que le système d’information est vulnérable et qu’il peut subir des
piratages, des attaques (virus, hackers…), des pertes de données, des sinistres. Il est donc indispensable pour les entreprises de savoir définir et de garantir la sécurité de ses ressources informatiques. La sécurité des systèmes définie dans cet ouvrage doit constituer le moyen de protéger dans un sens large le système d’information ou de minimiser les risques encourus par l’entreprise dans l’usage de l’outil informatique. Les nécessités de sécuriser son système d’information Certains facteurs peuvent apparaître de l’ordre de l’évidence comme la nécessité de protéger une partie opérationnelle de l’entreprise. Toutefois, l’ensemble des menaces n’est pourtant pas toujours bien identifié. Par contre, d’autres sont souvent méconnues comme les obligations et responsabilités légales des dirigeants d’entreprise dans l’exploitation et la maîtrise de leur système d’information. Ces exigences impliquent la mise en place d’une protection des systèmes sous la forme d’une politique de sécurité avec : q l’élaboration de règles et procédures, q la définition des actions à entreprendre et des personnes responsables, q la détermination du périmètre concerné. Ce périmètre comprend à la fois les données aussi bien sous forme électronique que papier (fichiers, messages…), les transactions dans les réseaux, les applications logicielles et bases de données. Il ne faut pas oublier l’aspect continuité des services du traitement de l’information et les plans de reprise d’activité après sinistre. Les principes de base et objectifs principaux, la mise en œuvre La sécurité des données couvre quatre objectifs principaux, et est représentée sous forme d’acronymes (C.I.D.P) : q La disponibilité est l’assurance que les personnes autorisées ont accès à l’information quand elles le demandent ou dans les temps requis pour son traitement. q L’intégrité est la certitude de la présence non modifiée ou non altérée d’une information et de la complétude des processus de traitement. Pour les messages échangés, il concerne la protection contre l’altération accidentelle ou volontaire d’un message transmis. q La confidentialité est l’assurance que l’information n’est accessible qu’aux personnes autorisées, qu’elle ne sera pas divulguée en dehors d’un environnement spécifié. Elle traite de la protection contre la consultation de données stockées ou échangées. Cela est réalisable par un mécanisme de chiffrement pour le transfert ou le stockage des données. q La preuve consiste à garantir que l’émetteur d’une information soit bien identifié et qu’il a les droits et les accès logiques, que le récepteur identifié est bien autorisé à accéder à l’information. D’autres principes de sécurité peuvent être établis, il s’agit de : q La nonrépudiation, considérée comme le cinquième principe, a été introduite dans la norme ISO 74982 comme un service de sécurité pouvant être rendu par un mécanisme comme la signature numérique, l’intégrité des données ou la notarisation. L’élément de la preuve de nonrépudiation doit permettre l’identification de celui qu’il représente, il doit être positionné dans le temps (horodatage), il doit présenter l’état du contexte dans lequel il a été élaboré (certificats). q L’authentification est le moyen qui permet d’établir la validité de la requête émise pour accéder à un système. L’authenticité est la combinaison d’une authentification et de l’intégrité. q Les mécanismes de chiffrement procèdent du principe que l’émetteur et le récepteur conviennent d’un mot de passe connu d’eux seuls. L’émetteur utilise ce mot de passe comme clé de chiffrement pour le message à transmettre, seul le récepteur qui connaît ce mot de passe peut l’utiliser comme clé pour déchiffrer le message - 1 -© ENI Editions - All rigths reserved - Jonifar lina 4
5.
et y accéder. Les objectifs de
base peuvent être traités sous la forme de solutions de sécurité sous la forme de matériels, de logiciels, de procédures, de support opérationnel pour : q l’intégrité des données et la confidentialité : gestion des accès physiques et logiques, sécurité des réseaux, q la disponibilité : redondance des systèmes et du stockage des données, sauvegarde et archivage des données. Les propositions d’amélioration de la sécurité, associées aux bonnes pratiques à mettre en place dans l’environnement d’une entreprise sont traitées dans cet ouvrage. - 2 - © ENI Editions - All rigths reserved - Jonifar lina 5
6.
Les domaines et normes associés La mise en œuvre
de solutions de protection et de sécurité requiert de prendre des références par rapport à des normes ou des préconisations. 1. Les bonnes pratiques ITIL (Information Technology Infrastructure Library) ITIL se compose d’un ensemble de livres qui liste, condense et présente les meilleures pratiques à utiliser dans le cadre de l’ensemble des services informatiques dédiés à une entreprise. Elle se décline en plusieurs versions depuis ses origines. La plus récente est la version N°3. La méthodologie décrite en version 2 est composée des processus suivants : Service Support Support des Services, il s’agit de la gestion opérationnelle des services. Il comprend les thèmes suivants : q Centre de Services (Service Desk) q Gestion des Incidents (Incident Management) q Gestion des Problèmes (Problem Management) q Gestion des Configurations (Configuration Management) q Gestion des Changements (Change Management) q Gestion des Mises en Production (Release Management) Service Delivery Fourniture des Services, cet ensemble de processus concerne les aspects contractuels et l’amélioration des services à long terme : q Gestion des Niveaux de Service (Service Level Management) q Gestion des Capacités (Capacity Management) q Gestion Financière des Services de l’Information (Financial Management for IT Services) q Gestion de la Disponibilité (Availability Management) q Gestion de la Continuité des Services de l’Information (IT Service Continuity Management) La version 3 s’inscrit dans un domaine plus large et comprend les processus suivants : Stratégie des Services (Service Strategy) q Définition Stratégique (Strategy Generation) q Gestion financière des services (Financial Management) q Gestion de la demande (Demand Management) q Gestion du portefeuille des services (Service Portfolio Management) Conception de Service (Service Design) q Gestion du catalogue des services (Service Catalogue Management) q Gestion des niveaux de service (Service Level Management) - 1 -© ENI Editions - All rigths reserved - Jonifar lina 6
7.
q Gestion des fournisseurs (Supplier Management) q Gestion de capacité (Capacity Management) q
Gestion de la disponibilité (Availability Management) q Gestion de la continuité de service (IT Service Continuity Management) q Gestion de la sécurité (Information Security Management) Transition des Services (Service Transition) q Transition Planning and Support q Gestion des Changements (Change Management) q Gestion des Actifs et des Configurations (Service Asset and Configuration Management) q Gestion des Mises en Production et Déploiements (Release and Deployment Management) q Gestion des tests et validation (Validation and Testing Management) q Évaluation q Gestion de Connaissance (Knowledge Management) Exploitation des Services (Service Operation) q Gestion des événements (Event Management) q Gestion des incidents (Incident Management) q Gestion des problèmes (Problem Management) q Exécution des requêtes (Request Fulfilment) q Gestion des accès (Access Management) Amélioration continue de Service (Continual Service Improvement) Il s’appuie sur les processus suivants : q Évaluation de la qualité de service q Évaluation des processus mis en place q Développement des initiatives d’amélioration des services et des processus q Surveillance des initiatives d’amélioration, mesures de correction Dans l’optique de cet ouvrage, les processus suivants en lien avec la sécurité informatique peuvent être utilisés dans le cadre de la gestion de systèmes dans une PME : q La gestion des configurations. q La gestion de la disponibilité. - 2 - © ENI Editions - All rigths reserved - Jonifar lina 7
8.
q La gestion des applications Elle traite du cycle de développement de ces applications. q La gestion de la sécurité Elle comporte les aspects de sécurité, de manière transversale, avec les autres processus. La
CMDB (Configuration Management DataBase) est une base de données, pierre angulaire de la gestion des configurations. Elle présente une vue complète des composants de l’infrastructure informatique et des services rendus dans l’environnement d’une entreprise. Elle doit comporter, a minima, les informations sur : q le matériel et les logiciels des composants des serveurs, des unités de stockage et de sauvegarde, du réseau, q les systèmes d’exploitation avec leurs versions et les outils associés, q les applications du marché avec leurs versions (SGBD : Système de Gestion de Base de Données, ERP : Enterprise Resource Planning, Applicatifs clientserveur), q les outils de sauvegarde, de protection antivirale, de gestion des unités de stockage, d’administration et de supervision des systèmes, q les applications métiers développées en interne, q les licences pour les logiciels du marché et leurs dates de validité, q les informations sur les utilisateurs (accès logique et physique…), q les références sur les fournisseurs (matériels et logiciels) : contacts et contrats de maintenance, q les descriptifs d’installation et de configuration des serveurs et des applications, la documentation associée, q les documents relatifs aux incidents, problèmes survenus, les changements d’infrastructure effectués. Elle précise comment optimiser l’utilisation du système d’information, de l’organisation de support pour délivrer un niveau suffisant de services permettant aux activités métiers de l’entreprise de satisfaire ses objectifs. Pratiquement, elle comprend la mise en place d’infrastructures matérielles et organisationnelles pour prévenir des risques d’interruption grâce à des solutions techniques ou logicielles. Cellesci peuvent comprendre des dispositifs techniques permettant un environnement de Haute Disponibilité (systèmes à tolérance de pannes, clusters ou virtualisation de serveurs, dispositifs à équilibrage de charges, redondance d’alimentation électrique ou d’équipements de réseau, onduleurs, ensembles redondants de disques) ou des procédures organisationnelles tels les plans de continuité d’activité. Elle fait partie intégrante des bonnes pratiques essentielles à mettre en place dans le système d’information de l’entreprise. En effet, cellesci peuvent avoir besoin d’être conformes à des réglementations particulières. Les impératifs professionnels se présentent sous forme de normes de type FDA (Food and Drug Administration) pour l’industrie pharmaceutique, SarbanesOxley pour les établissements financiers. Cette gestion fournit à l’entreprise les concepts et la terminologie spécifique de façon à ce que les personnels puissent comprendre les objectifs de sécurité et les risques potentiels, suivre les procédures liées aux impératifs requis. Les processus de contrôle, d’audit de validation mis en place sont obligatoirement en correspondance avec les bonnes pratiques de ITIL. Le processus de gestion de la sécurité comprend au moins plusieurs de ces composants : q contrôles (politique, organisation, rédaction de rapports), La gestion des configurations La gestion de la disponibilité La gestion de la sécurité - 3 -© ENI Editions - All rigths reserved - Jonifar lina 8
9.
q contrats et accords de services, q implémentation (politiques de sécurité, contrôles d’accès, classification des risques), q
évaluation (audits internes et externes, analyse des incidents de sécurité), q changements (gestion des demandes de changement). 2. La méthode PDCA appelée aussi Roue de Deming La méthode PDCA (Plan, Do, Check, Act) issue de l’ISO 9000 est également appelée roue de l’amélioration de la qualité ou « roue de Deming », du nom de W. Edwards DEMING, statisticien et philosophe américain, inventeur des principes de la qualité et de Walter Andrew Shewhart Statisticien américain, inventeur de la roue de Deming. Le principe propose de maîtriser et d’améliorer un processus par l’utilisation d’un cycle continu en quatre étapes visant à réduire le besoin de corrections. Cette méthode démontre aussi que les bonnes pratiques doivent être mises en œuvre, documentées, appliquées et améliorées dans le temps. Elle comporte les étapes suivantes : q PLAN (planifier) Cette phase définit l’objectif principal qui consiste à identifier et à préciser les besoins du maître d’ouvrage. Elle effectue l’inventaire des moyens nécessaires à sa réalisation, son coût et son planning. q DO (réaliser, déployer) C’est la partie opérationnelle de la méthode. Elle comporte : q l’allocation de ressources en personnes, temps et budget, q la rédaction de la documentation, q la formation du personnel concerné, q la gestion du risque, q l’exécution des tâches. q CHECK (mesurer et contrôler) C’est ici que les opérations réalisées précédemment sont vérifiées pour qu’elles correspondent aux besoins exprimés, dans les délais et les coûts précisés à la première étape. Elle comprend : q Une évaluation à partir de ce qui a déjà été implémenté dans d’autres environnements. q Un contrôle global des résultats produits. q Un audit de l’environnement du système de gestion de la sécurité du système d’information, soit un audit annuel, sur la base de documents et de traces d’évènements produits par les outils de supervision. q ACT (améliorer, agir) Cette étape recherche les améliorations à apporter au projet global de changement. Des mesures sont évaluées à partir des bilans ou des constatations relevées lors de la phase de vérification. Des actions possibles sont élaborées selon les cas : q Passage à la phase de planification : si de nouveaux risques ou modifications ont été identifiés. q Passage à la phase d’exécution : si la phase de vérification en montre le besoin. q Après la constatation de non conformité, des actions correctives ou préventives sont déployées. - 4 - © ENI Editions - All rigths reserved - Jonifar lina 9
10.
PDCA Cette méthode, utilisée dans la nouvelle version de ITIL (V3) et dans la mise en place d’un système de gestion de la sécurité informatique, permet de réaliser des changements progressifs et continus à partir d’un point ou objectif de départ. Celuici peut être l’élément du système d’information qui a été défini, après un état des lieux, comme le plus critique ou le plus urgent à traiter ou encore le plus facile à mettre en œuvre. Elle est, à l’opposé des changements brutaux ou pris dans l’urgence, toujours délicate à mettre en œuvre et parfois source de dysfonctionnements. 3. La norme ISO 20000 Cette norme, décomposée en ISO 20001, ISO 20002, s’appuie sur les bonnes pratiques ITIL (Information Technology Infrastructure Library) et
comprend un ensemble de bonnes pratiques en matière de gestion des services informatiques. Elle prend comme principe la roue de Deming ou PDCA (PlanDoCheckAct) et s’inscrit dans un processus de formalisation de normes de qualité (ISO 9000) ou de sécurité des systèmes d’information (ISO 27001). Il s’agit d’un système de gestion complémentaire avec une architecture identique composé d’un guide de bonnes pratiques (ISO 200002). Ce système complète la norme ISO 200001. 4. La norme ISO 27001 et le système de gestion de la sécurité informatique La série des normes ISO 27000 est composée des éléments suivants : ISO 27000 Vocabulaire et définitions. ISO 27001 La norme principale des besoins en système de gestion de la sécurité de l’information, plus connue sous la forme BS 77992. Elle correspond au principe de certification des organisations. ISO 27002 (connue sous la forme ISO 17799) Il s’agit de la description des bonnes pratiques décrivant les principaux objectifs de contrôle de l’ensemble de la sécurité de l’information. ISO 27003 - 5 -© ENI Editions - All rigths reserved - Jonifar lina 10
11.
Comprend le guide d’implémentation détaillé relatif à l’adoption de la série complète de la norme ISO 27000. ISO 27004 Contient la norme qui définit les principes d’évaluation de ce qui a été implémenté dans le cadre de la gestion de la sécurité de l’information pour mesurer l’efficacité du système de gestion de la sécurité mis en place. ISO 27005 Contient la norme de gestion du risque dans le cadre de la sécurité de l’information. Il remplace la norme BS 77993. L’objectif de cette norme consiste à établir un système de gestion de la sécurité de l’information, c’estàdire définir et identifier tous les actifs, mettre en place toutes les mesures adéquates pour protéger les données de l’entreprise. Elle donne une idée sur les bonnes pratiques à utiliser par une approche basée sur des procédures et des processus. Elle constitue un bon moyen d’organiser et de structurer la politique de sécurité informatique dans l’entreprise. Elle formalise : q l’amélioration continue, q
les audits internes, q l’appréciation des risques, q le traitement des incidents, q les indicateurs. - 6 - © ENI Editions - All rigths reserved - Jonifar lina 11
12.
Les risques informatiques Avant de traiter ce qu’est un risque informatique, il convient de présenter quelques définitions. 1. Définitions C’est la partie d’un bien qui compose le patrimoine et présentant de la valeur pour l’entreprise. Il peut représenter : les équipements, les matériels, les logiciels, les brevets, les processus et activités métier… La vulnérabilité est une faille dans les actifs, les contrôles de sécurité technique ou les procédures d’exploitation ou d’administration utilisées dans l’entreprise. Elle consiste, en général, en une faiblesse dans la protection du système, sous la forme d’une menace qui
peut être exploitée pour intervenir sur l’ensemble du système ou d’un intrus qui s’attaque aux actifs. Une menace est quelqu’un ou quelque chose qui peut exploiter une vulnérabilité pour obtenir, modifier ou empêcher l’accès à un actif ou encore le compromettre. Elle existe en corrélation avec des vulnérabilités. Il peut y avoir aussi plusieurs menaces pour chaque vulnérabilité. La connaissance des différents types de menaces peut aider dans la détermination de leur dangerosité et des contrôles adaptés permettant de réduire leur impact potentiel. La menace est une source effective d’incidents pouvant entraîner des effets indésirables et graves sur un actif ou un ensemble d’actifs, l’entreprise par ellemême. Les menaces peuvent être classées par : q origine ou source, q type, q motivation, action. Elles peuvent être : q délibérées (vol, fraude, virus, hacking, incendie, attentat, sabotage, interception, divulgation ou altération de données…), q naturelles ou environnementales (tremblement de terre, éruption volcanique, inondation, coupure de courant, incendie...), q accidentelles (erreurs d’utilisation, omissions…), q dues à des pannes techniques : mauvais fonctionnement d’un équipement, d’un logiciel. Le risque est la possibilité qu’une chose critique apparaisse. Son évaluation permet d’établir des actions pour réduire et maintenir la menace à un niveau raisonnable et acceptable. Les risques peuvent être qualifiés selon leurs origines (externes ou internes). q Les risques externes : q Les attaques non ciblées. Toute entreprise est concernée par l’agression de virus ou d’attaques globales sur le réseau (déni de service). q Les attaques ciblées. Les risques physiques (vol ou destruction de matériel) ou logiques (accès L’actif Les vulnérabilités Les menaces Le risque - 1 -© ENI Editions - All rigths reserved - Jonifar lina 12
13.
d’intrus). q Les risques internes : q
Ils sont plus difficiles à appréhender car ils concernent des ressources internes à l’entreprise. Il existe des facteurs aggravants de risque liés au métier de l’entreprise : q Les postes nomades : ordinateurs portables, assistants numériques de poche, téléphones évolués portables (Smart phones). q Des infrastructures, services et applications mal protégés. q Un plan de sauvegarde ou de secours informatique inexistant ou non opérationnel. Il peut être exprimé par les conséquences ou les préjudices affectant un actif : atteinte à l’intégrité, perte de disponibilité, atteinte à l’image de marque, perte de chiffre d’affaires. Les impacts peuvent être évalués selon les critères suivants : q financier (frais de remise en état ou de restauration, pertes d’exploitation…), q juridique et légal, q réputation et image de l’entreprise (par rapport à l’extérieur et au personnel), q expertise et savoirfaire reconnus de l’entreprise. 2. Les vulnérabilités Pour le domaine de la sécurité informatique, Il existe trois familles de vulnérabilités : q manque de redondance et de ressource au niveau équipement, q accès aux salles informatiques non sécurisé, q absence ou mauvaise stratégie de sauvegarde des données. q Manque de : ressources humaines et de personnels qualifiés, communications. q Absence de : contrôles périodiques, documents de procédures adaptés à l’entreprise, moyens adaptés aux risques encourus. L’impact d’un risque Vulnérabilités liées aux domaines physiques Vulnérabilités liées aux domaines organisationnels - 2 - © ENI Editions - All rigths reserved - Jonifar lina 13
14.
q Trop grande complexité fonctionnelle. q failles nombreuses dans les services et applicatifs Web et les bases de données, q
pas de mises à jour des systèmes d’exploitation et des correctifs, q pas de contrôle suffisant sur les logiciels malveillants, q récurrence des failles et absence de supervision des évènements, q réseaux complexes, non protégés, q mauvaise utilisation de la messagerie. 3. Les menaces Les systèmes d’information sont vulnérables par rapport à plusieurs menaces susceptibles de leur infliger différents types de dommages et des pertes significatives. L’importance des dégâts peut s’échelonner de la simple altération de données à la destruction complète de centres de données informatiques. La valeur réelle des pertes relatives au manque de sécurité n’est pas toujours possible à estimer car beaucoup d’entre elles ne sont jamais découvertes, d’autres peuvent être délibérément ignorées pour éviter de montrer une mauvaise image de l’entreprise. Les effets des différentes menaces varient considérablement suivant les conséquences affectant l’entreprise, certaines affectent la confidentialité ou l’intégrité des données, d’autres agissent sur la disponibilité des systèmes. Les menaces les plus communes sont représentées cidessous : Ce sont des menaces importantes pour l’intégrité des données et des systèmes. Ces erreurs ont souvent une origine humaine. En effet, même les programmes les plus sophistiqués ne peuvent pas tout détecter. N’importe quelle personne intervenant sur le système d’information (utilisateur, administrateur système, développeur...) contribue directement ou indirectement à ces dangers mettant en péril la sécurité des systèmes. Souvent l’erreur concerne une menace (erreur d’entrée de données, erreur de programmation…) ou encore crée ellemême la vulnérabilité. Les fraudes ou vols peuvent être commis par l’intérieur ou l’extérieur de l’entreprise. Par expérience, il s’avère, la plupart du temps, que la menace vient de l’intérieur (des utilisateurs ayant des accès privilégiés aux systèmes). En effet, par défaut, ce sont les utilisateurs familiers de l’entreprise qui sont dans la meilleure position pour commettre des forfaits. Ce sont les personnels les plus familiarisés avec les systèmes et les applications. Ils peuvent donc perpétrer des dommages, sabotages… Ce qui implique la nécessité de gérer et de contrôler de façon rigoureuse les comptes des utilisateurs, surtout de ceux qui ont des accès privilégiés aux systèmes. Le terme hacker ou encore cracker fait référence à la personne qui s’introduit dans les systèmes d’information sans autorisation pour, dans le pire des cas, provoquer des dégradations dans les données ou les applications. Ses actions peuvent s’effectuer à partir de l’intérieur (dans le cas où il a pu obtenir un accès sur le réseau) ou de l’extérieur de l’entreprise. Toutefois, il n’est pas toujours facile de détecter sa présence sur les systèmes ni de connaître ce qu’il a provoqué comme dégâts. C’est le fait de récupérer des données confidentielles de l’entreprise dans le cas de concurrence économique ou Vulnérabilités liées aux domaines technologiques Erreurs et omissions Fraude et vol Sabotage causé par des employés Les Hackers L’espionnage industriel ou commercial - 3 -© ENI Editions - All rigths reserved - Jonifar lina 14
15.
industrielle. Cette menace n’implique pas, en général, d’altération des données internes. Par contre, elle peut avoir un impact important sur les actifs sensibles de l’entreprise (données clients, brevets industriels…). La menace vise spécifiquement les ordinateurs ou appareils portables particulièrement sensibles au vol car ils peuvent contenir des informations confidentielles. Des précautions d’utilisation et de protection devront être prises. Ils font référence aux virus, chevaux de Troie, bombes logiques et autres logiciels indésirables. Souvent, leur point d’entrée se situe au niveau des ordinateurs personnels mal protégés lors de leur connexion sur Internet. Leurs effets peuvent s’étendre à tout le réseau de l’entreprise en contaminant d’autres matériels. Il est possible de se protéger de la plupart des risques liés à ces menaces. Aussi, dans les premières phases de mise en place de la sécurité du système d’information, un état des lieux, sous forme de diagnostic, va être nécessaire pour préparer une meilleure protection en détectant les vulnérabilités. 4. La gestion du risque informatique Un risque est généralement caractérisé par : q
sa source ou son origine : employé malveillant, intrus, programmes illégaux... q une menace : divulgation d’information confidentielle, coupure d’électricité... q la probabilité d’occurrence ou potentialité : durée et lieu, probabilité d’occurrence, q la vulnérabilité ayant permis ce risque : erreur de conception, erreur humaine, manque de suivi des évènements suspects... q l’impact, conséquence ou préjudice : indisponibilité du service, perte de marché ou d’image pour l’entreprise... q les mesures de sécurité ou protections ou contremesures pour s’en protéger, q les contrôles d’accès, la politique de sécurité, la sensibilisation du personnel... La démarche idéale consiste à en : q choisir la méthode d’évaluation adaptée au contexte de l’entreprise, q définir les critères d’identification des risques. Pour avoir une idée plus précise sur la méthode à utiliser, il est utile de se référer aux méthodologies les plus connues d’analyse et d’évaluation de risques : q MEHARI (MEthodologie Harmonisée d’Analyse de RIsques) q EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) q OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Évaluation) Pour MEHARI, une version française existe en téléchargement gratuit sur le site du CLUSIF (Club de la Sécurité de l’Information Français) https://www.clusif.asso.fr/fr/production/mehari/ a. Méthode d’analyse des risques Elle est définie par les actions suivantes : q Identification des actifs (une première bonne pratique est de connaître la liste des matériels et logiciels) utilisés par les services informatiques. Les programmes malveillants - 4 - © ENI Editions - All rigths reserved - Jonifar lina 15
16.
q Identification des menaces et leurs impacts possibles sur la confidentialité, la disponibilité et l’intégrité de ces actifs. q Pour chacune des menaces possibles, identification des vulnérabilités. q
Détermination de la probabilité d’occurrence des menaces et des niveaux de vulnérabilité qui pourraient impacter les services. b. L’évaluation du risque Des informations méthodologiques sur le principe d’évaluation peuvent être trouvées dans la norme ISO 13335, chapitre La sécurité dans l’entreprise Les systèmes et Le plan de secours informatique. Le processus d’évaluation consiste à effectuer l’analyse et l’interprétation du risque et comprend trois activités de base : q Détermination de la méthodologie et le périmètre d’évaluation. q Collecte et analyse des données. q Interprétation des résultats d’analyse de risques. À partir de ces éléments, les personnels responsables de l’infrastructure informés du contexte établissent les protections à mettre en place. Établissement de la valeur des actifs Cette démarche comprend l’inventaire des actifs concernés susceptibles d’être affectés par les menaces (les matériels, les logiciels et support associés, les licences…). q Les matériels : serveurs, stations de travail, ordinateurs personnels, imprimantes, unités de stockage, lignes de communication, routeurs, parefeu, passerelles de réseau… q Les logiciels : systèmes d’exploitation, programmes applicatifs et de diagnostic, les logiciels de parefeu, les outils logiciels… q Les données : stockées en ligne ou archivées, les sauvegardes, les bases de données, les journaux d’erreurs et les rapports de supervision, en transit sur les supports de communication, toutes celles qui sont en cours de traitement à tout instant dans l’entreprise. q Les programmes et procédures. q Les supports d’installation de logiciels, les supports magnétiques… Basé sur cette liste, cet inventaire va enregistrer un minimum d’éléments pour chaque actif. Cela peut être : q le propriétaire de l’information, q son emplacement physique ou logique, q un numéro d’identification. L’estimation du coût d’un actif consiste en sa valeur intrinsèque, les impacts à court terme et les conséquences à long terme de sa vulnérabilité. Identification des menaces Une menace est une entité ou un évènement qui perturbe le système d’information. Elle inclut les erreurs volontaires ou involontaires, les fraudes, les actions possibles des employés mécontents, les incendies et autres causes naturelles, les hackers, les programmes néfastes ou virus. Une fois l’inventaire des actifs requérant une protection effectué, il est nécessaire d’identifier les menaces en lien avec chacun d’eux et les risques de perte (d’information, financière…). Ce qui permettra l’élaboration de protections adaptées. - 5 -© ENI Editions - All rigths reserved - Jonifar lina 16
17.
Identification et évaluation des impacts Après avoir identifié
les actifs et les menaces, l’impact de l’attaque est évalué et des mesures appropriées de protection de sécurité doivent être mises en place, sous les formes suivantes : q identification des vulnérabilités du système, des protections mises en place, q analyse des probabilités d’occurrence de menaces qui pourraient exploiter ces vulnérabilités, q évaluation des conséquences possibles pour chaque menace, q sélection des outils ou mécanismes de sécurité adéquats. Cette évaluation estime le degré de perte pour les actifs. Plus les conséquences d’une menace sont graves, plus le risque pour le système d’information ou l’entreprise est important. Les impacts peuvent être estimés selon le contexte et les pertes possibles. Les conséquences peuvent être directes (financières) ou indirectes (perte de confiance). Analyse des vulnérabilités Une vulnérabilité est une faiblesse de procédures de sécurité, de contrôles techniques ou physiques. Il peut s’agir de même une absence de protection qui peuvent être exploités par une menace. Les interrelations entre vulnérabilités, menaces et actifs sont déterminantes pour l’analyse de risques. Analyse des protections Une protection consiste en toute action, procédure, outil qui limite la vulnérabilité d’un système par rapport à une menace. Évaluation de probabilité de survenance Cette probabilité, appelée aussi probabilité d’occurrence, est une estimation de la possibilité de l’apparition d’une menace ou d’un évènement grave pouvant mettre en péril un système d’information. Dans l’estimation, outre les possibilités d’incendies ou d’inondation, l’historique du système et l’expérience des personnels peuvent donner une indication valable. En général, plus la probabilité d’une menace est grande, plus son risque est important. Les résultats des analyses de risque et mise en place des protections L’interprétation des résultats des analyses de risques peut amener à sécuriser en priorité certains éléments du système d’information jugés critiques. Naturellement, la suppression des vulnérabilités de l’ensemble du système d’information est toujours l’objectif essentiel. - 6 - © ENI Editions - All rigths reserved - Jonifar lina 17
18.
La politique de sécurité La politique de sécurité a pour objectif de définir la protection des systèmes d’information de l’entreprise. Elle comprend un ensemble de bases définissant une stratégie, des directives, des procédures, des codes de conduite, des règles organisationnelles
et techniques. Elle implique une mise en œuvre d’une sécurité adaptée aux usages, économiquement viable et conforme à la législation. Cette politique est formalisée dans l’entreprise sous forme d’un document. Il doit comporter un recueil de pratiques qui régissent la manière de gérer, de protéger et de transmettre les informations critiques ou sensibles appartenant à l’organisation. La documentation sur la norme ISO 27001 et sa suite est l’ouvrage de référence d’aide à la réalisation de ce référentiel. Parmi les domaines abordés, il est possible de trouver les thèmes sur : q l’organisation et les structures de l’entreprise impliquées dans la gestion de la sécurité, q les éléments fondateurs d’une culture de sécurité, q le maintien de la cohérence dans les solutions techniques mises en œuvre, q les moyens mis en œuvre et les méthodes de pilotage. L’objectif central de la sécurité informatique est de garder ou de sauvegarder la pérennité de l’entreprise. C’est pour cela que la politique de sécurité mise en œuvre doit s’inspirer des besoins réels qui ont été définis à partir des évaluations des actifs, des menaces et des vulnérabilités. Elle impose une complémentarité entre les procédures, les outils mis en œuvre et les personnes impliquées. - 1 -© ENI Editions - All rigths reserved - Jonifar lina 18
19.
Stratégie et politique de sécurité 1. Les principes Le rôle principal de sécurité informatique consiste en trois démarches principales : q Définir le périmètre de la vulnérabilité lié à l’usage des technologies de l’information et de la communication. q
Offrir un niveau de protection adapté aux risques encourus par l’entreprise. q Mettre en œuvre et valider l’organisation, les mesures, les outils et les procédures de sécurité. La première étape consiste à connaître le périmètre lié à la sécurité, c’estàdire la zone qui correspond aux services (authentification, contrôles d’accès physiques et logiques, disponibilité, intégrité et confidentialité) utilisés sur le réseau d’entreprise (postes clients, réseaux LAN et WAN), sur les serveurs, avec les points d’accès externes (serveurs distants, accès VPN…). À chaque sousensemble du périmètre correspond un niveau de sécurité différent selon les menaces possibles ou en fonction de la valeur des informations à protéger. Les principes de base de cette sécurité imposent de : q Définir et d’implémenter une stratégie de sécurité adaptée au contexte ou au métier de l’entreprise. - 2 - © ENI Editions - All rigths reserved - Jonifar lina 19
20.
q Appliquer les dernières mises à jour et corrections pour les systèmes d’exploitation, les logiciels applicatifs, principalement pour ceux qui sont établis en protection (antivirus…). q Utiliser
les recommandations des éditeurs en ce qui concerne la gestion des mots de passe des comptes privilégiés. Pour bâtir une politique de sécurité adaptée au métier de l’entreprise, il est nécessaire de préparer les étapes suivantes : q Identifier les actifs à protéger : q Matériels. q Les données sensibles de l’entreprise. q Les services et applications : applications métier internes et externes pouvant communiquer avec le monde extérieur (fournisseurs, clients, site de commerce électronique) ou en interne. q Découvrir les réseaux de communication. Cela consiste à découvrir les interactions entre les différents matériels et logiciels, d’identifier les applications communiquant avec l’extérieur. 2. L’élaboration du document Après avoir évalué les besoins globaux en sécurité, le document présentant la politique peut être conçu selon le bon sens pratique. Une façon simple est d’utiliser une approche hiérarchique pour définir le périmètre global, ensuite le décomposer en différents composants. La politique de sécurité doit être rigoureuse, mais doit rester flexible. Elle peut tenter de répondre aux premières questions suivantes : q Quel est le niveau de sensibilité ou d’importance des données de l’entreprise ? q Quels sont les objectifs principaux et le périmètre ? q Quels systèmes d’information sont à protéger ? q Quelles sont les mesures minimales à définir pour leur protection ? q Quelles sont les personnes responsables de la sécurité des données (accès logiques, privilèges d’administration…) et les ressources matérielles et logicielles mises à disposition ? q Quels sont les droits et devoirs des utilisateurs ou des administrateurs ? L’objectif de ce document est de considérer spécifiquement les vulnérabilités d’ordre technique et les solutions simples et efficaces à mettre en place. L’aspect humain interviendra obligatoirement car les rôles de l’administrateur et des personnels d’exploitation y sont traités. 3. Les outils Tout projet de mise en place de la politique de sécurité dans l’entreprise requiert une documentation adaptée sous forme de guides de bonnes pratiques, de procédures. Les documents des normes peuvent être acquis, les guides et procédures doivent être rédigées par les personnes en charge de la sécurité des systèmes. Les procédures consistent à décrire les étapes détaillées qui doivent être suivies par les utilisateurs, les responsables systèmes et toutes les personnes qui doivent accomplir une tâche particulière. Chaque document doit être rédigé et adapté selon le personnel concerné et sa fonction dans l’entreprise. L’objectif final des documents est d’assister les utilisateurs, les responsables systèmes et toutes les personnes - 3 -© ENI Editions - All rigths reserved - Jonifar lina 20
21.
impliquées dans la gestion des systèmes d’information dans l’optique de la politique de sécurité définie. - 4 -
© ENI Editions - All rigths reserved - Jonifar lina 21
22.
Les principaux axes de la stratégie de sécurisation 1. Le diagnostic et l’évaluation des besoins Cette étape préalable consiste à déterminer : q Les ressources et les applications à protéger et le pourquoi. q
Le niveau de protection requis ou celui que l’entreprise est prête à mettre en œuvre pour chaque groupe d’éléments. q Le type de risque et de menace dont pourrait faire l’objet chaque sousensemble. q Le mode de protection le plus efficace selon le contexte de l’entreprise et de son métier. La multiplicité des points de vulnérabilité dans l’aspect sécurité du système d’information décrit une chaîne de points critiques dont la résistance sera égale à celle du maillon le plus faible. Pour cela, concevoir une politique de sécurisation efficace et cohérente demande de considérer les points principaux suivants : q Les points d’entrée de l’entreprise au niveau système d’information : q L’accès physique (bâtiment, locaux…) q Les accès logiques (serveurs, postes de travail…) q Les connexions au réseau : accès Internet, accès distant q Les personnels q Les failles de sécurité : systèmes d’exploitation non mis à jour, applications obsolètes, virus et autres programmes indésirables. 2. Les plans opérationnels de sécurité Ils se composent de plans de continuité d’activité, de plans de reprise d’activité, plans de continuité métier nécessaires pour la survie de l’entreprise pouvant être confrontée à un désastre potentiel. Les objectifs principaux consistent en : q Une analyse précise des risques susceptibles de survenir q Une spécification des solutions et des mesures de sécurité à mettre en place q Une planification de l’ensemble des opérations nécessaires (s’inspirer du PDCA) Ils peuvent être réalisés à partir des principes suivants : q Classification des informations et des ressources du système d’information q Diagnostic de l’état des lieux en terme de sécurité q Identification et évaluation des risques encourus q Détermination des besoins d’amélioration - 1 -© ENI Editions - All rigths reserved - Jonifar lina 22
23.
q Établissement de plans d’action et de solutions à mettre en œuvre 3. L’accès aux systèmes et aux données La protection de l’accès au système et aux données est l’étape, la plus facile à appréhender dans la stratégie globale de sécurisation. Celleci est multidimensionnelle et traite des éléments physiques et logiques. a. La protection physique Elle consiste à anticiper les effets de menaces fortuites ou délibérées. Il est logique d’envisager une protection liée aux sinistres
physiques divers pouvant être provoqués par un incendie, un dégât des eaux ou encore un tremblement de terre qui vont provoquer, par exemple : q des coupures d’électricité, q les coupures des liaisons de télécommunications, q la destruction de matériels, de supports de logiciels, de documents, Elle signifie que les équipements sur lesquels sont hébergées les applications du système d’information de l’entreprise sont physiquement protégés par : q des onduleurs pour la protection électrique, q des systèmes de détection pour la protection antiincendie, antiinondation. L’accès physique aux équipements devra également faire l’objet d’une politique de contrôle des accès clairement définie selon les besoins et les niveaux de confidentialité autorisés à chaque utilisateur de l’entreprise afin d’éviter toute altération de l’information, de vol de matériel ou de support de données. Ce qui signifie que la sauvegarde des données doit faire l’objet d’une attention et d’une stratégie particulière. b. La protection logique Elle a pour objectif d’éviter toute intrusion sur le système d’information de l’entreprise : celleci passe essentiellement par la mise en place de dispositifs de protection de type parefeu, de logiciels pour contrer les logiciels malveillants, de contrôles d’identification et d’authentification. Un dispositif supplémentaire consisterait à mettre en place une solution de chiffrement des données circulant sur le réseau de l’entreprise. c. Identification et traçabilité L’identification et la traçabilité des connexions et des incidents doivent être mises en place au travers de la création d’un journal répertoriant les évènements suspects. Les données enregistrées pourront aider au traçage des anomalies dans l’objectif d’intervenir après la découverte d’intrusions dans l’exploitation du système (tentatives non permises de connexion). 4. La garantie de la disponibilité du système d’information Celleci passe par la disponibilité d’accès au réseau de l’entreprise, à ses applications et aux données. Ce qui implique que chacun des actifs du système d’information doit être individuellement protégé pour respecter la disponibilité des systèmes, du réseau d’entreprise, des applications et des données. De plus, un plan de sauvegarde des données doit être conçu et mis en œuvre de manière rigoureuse. La disponibilité des données : stockage, sauvegarde et récupération, archivage Plusieurs technologies de stockage de données permettent aujourd’hui de s’adapter aux besoins de réseau réparti en architecture clientserveur, reliant des serveurs hétérogènes. Le stockage en réseau ou architecture SAN (Storage Area - 2 - © ENI Editions - All rigths reserved - Jonifar lina 23
24.
Network) est fondé sur un réseau entièrement dédié : les périphériques peuvent être physiquement éloignés, mais reliés aux serveurs et administrés à partir d’un point centralisé. La disponibilité des systèmes : redondance et haute disponibilité Les serveurs en cluster et la virtualisation des serveurs sont les solutions présentes sur le marché des constructeurs de matériel informatique et éditeurs de logiciels. La disponibilité des réseaux
: redondance des équipements de réseau Cette disponibilité est globalement assurée par la mise en œuvre d’équipements redondants (cœurs de réseau, commutateurs, liaisons physiques doublées…). 5. La sensibilisation des utilisateurs à la sécurité La clé de voûte d’une politique de sécurisation efficace reste néanmoins la dimension humaine de l’entreprise. La méconnaissance ou non application des procédures, les erreurs ou la malveillance peuvent être à elles seules cause de dysfonctionnement ou de vulnérabilités. L’implication de chaque utilisateur dans la démarche de sensibilisation est primordiale d’où une formation adaptée à la fonction de chaque utilisateur (ex : l’utilisateur détenteur d’informations stratégiques). De même, les utilisateurs nomades se servant d’ordinateurs portables sont qualifiés de sensibles. La responsabilité de chacun d’eux doit être clairement décrite. La démarche de sensibilisation peut être concrétisée par des voies plus ou moins formelles (réunion/présentations//support écrit) et surtout doit être répétitive. Une charte informatique de bon usage de l’outil informatique doit être prévue et disponible pour chaque utilisateur qui doit connaître les politiques de sécurité liées à l’informatique, les recommandations et surtout les sanctions qui peuvent être appliquées. - 3 -© ENI Editions - All rigths reserved - Jonifar lina 24
25.
La sécurité et l’aspect légal La responsabilité de l’entreprise peut être engagée du fait d’un préjudice causé à un tiers par l’action d’une personne (intrus ou salarié) suite à une mauvaise utilisation des systèmes et des accès Internet. Les entreprises sont assujetties à des contraintes administratives et légales. Un dirigeant ne peut ignorer les risques qu’il peut faire courir à son entreprise s’il ne met pas en œuvre les mesures nécessaires pour protéger son système d’information. Comme il sera tenu pour responsable des pertes ou des altérations de données, il a donc pour fonction, dans le cadre de la sécurité informatique et de la loi sur l’économie numérique d’informer son personnel des menaces réelles et de prendre les précautions nécessaires ; en premier lieu, les administrateurs systèmes. Il délégue alors sa responsabilité au niveau de ces administrateurs qui pourraient, à leur tour, être concernés. Voici les articles de loi montrant les responsabilités du chef d’entreprise (civiles et pénales) : q
L’article 1384 alinéa 5 du code civil : sur la responsabilité civile de l’employeur en ce qui concerne l’activité de ses personnels. q L’article L. 1212 du code pénal : sur la responsabilité civile de l’employeur du fait de ses personnels dès lors qu’ils commettent des infractions impliquant l’entreprise. q L’article 34 de la loi du 6 janvier 1978 : sur sa responsabilité de protéger l ‘intégrité et la confidentialité des données à caractère personnel. q La loi de sécurité financière du 1er août 2003 (LSF) en matière de sécurité des systèmes d’information des entreprises. Après avoir posé les bases qui permettent de mieux comprendre les principes de la sécurité informatique dans une entreprise, les chapitres suivants vont développer les solutions à mettre en place pour être conforme avec l’intégrité, la confidentialité, la disponibilité des données en insistant sur les bonnes pratiques à mettre en place. Les sujets traités seront plus en adéquation avec le système d’exploitation Windows, soit au moment de la rédaction du document, sur les versions connues jusqu’à Windows 2003. De même, les logiciels et outils dont il sera question, vont fonctionner prioritairement avec ce système d’exploitation. Toutefois, actuellement la plupart des environnements de systèmes d’information et des environnements informatiques sont multiplatesformes. Il existera forcément des liens avec des systèmes du type Open Source. Les outils utilisables ne seront pas forcément issus de l’environnement Windows. Risques et responsabilités de l’entreprise Les contraintes légales Présentation des chapitres suivants - 1 -© ENI Editions - All rigths reserved - Jonifar lina 25
26.
Prérequis Pour ce chapitre, le lecteur est supposé connaître le principe de gestion des réseaux et de la modèle OSI (Open System Interconnect), les protocoles réseaux les plus couramment utilisés. - 1 -©
ENI Editions - All rigths reserved - Jonifar lina 26
27.
Généralités sur la sécurité dans les réseaux Les zones de risques et de confiance Ces zones sont définies grâce à des mécanismes réseau basés sur le matériel (parefeu) et des politiques et contrôles permettent de construire les briques de base de protection contre les menaces. Une évaluation permet de déterminer quels mécanismes (authentification, cryptage, autorisation) est nécessaire pour permettre à d’autres entités à l’intérieur de la zone concernée de s’interconnecter de façon sécurisée. Le modèle OSI présentant les protocoles utilisés dans les réseaux Ce modèle en 7 couches sert de base à la compréhension de l’architecture des réseaux. OSI Communications 1. Introduction à la technologie des parefeu Il consiste à protéger le réseau de l’entreprise des intrusions extérieures. Ces dispositifs filtrent les trames (contenant des données) des différentes couches du modèle OSI (Open System Interconnect) afin de contrôler leur flux et de les bloquer en cas d’attaques, cellesci pouvant prendre plusieurs formes. Le filtrage réalisé par le parefeu constitue le premier rempart de la protection du système d’information. Ils peuvent être composés de périphériques comportant des filtres intégrés dont la fonction principale est de limiter et de contrôler le
flux de trafic entre les parties de réseaux. Ils permettent l’accès de l’entreprise aux ressources Rôle principal - 1 -© ENI Editions - All rigths reserved - Jonifar lina 27
28.
externes en contrôlant la sécurité des transferts. Un parefeu est installé le plus souvent en périphérie du réseau local de l’entreprise ce qui lui permet de contrôler l’accès aux ressources
externes depuis l’intérieur mais également entre des entités éloignés de l’entreprise mais reliées par un réseau de type extranet. Leur utilisation permet de contrôler la connectivité des communications, une entreprise peut empêcher des accès non autorisés aux ressources et systèmes pour ses environnements les plus sensibles. Il existe différents types de parefeu selon leur typologie ou leur fonction. Ils peuvent opérer sur chacun des niveaux 3 (IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP…) du modèle OSI. Dans le cas de sa fonction de routeur, il analyse chaque paquet de données (adresses IP, numéros de port TCP ou UDP). Les parefeu de base opèrent sur un faible nombre de couches de la modèle OSI tandis que les plus sophistiqués en couvrent un plus grand nombre et sont ainsi plus efficaces. Indépendamment ou en complément d’une architecture utilisant ces dispositifs, il existe des services additionnels tels : la traduction d’adresse réseau (Network Address Translation ou NAT), le protocole DHCP (Dynamic Host Configuration Protocol) et les réseaux privés virtuels (Virtual Private Networks ou VPN). Les parefeu peuvent aussi agir en tant que passerelles de réseaux privés virtuels. Ces dispositifs permettent le filtrage de l’accès au réseau interne, afin d’empêcher l’accès non autorisé à l’ensemble des serveurs du réseau de l’entreprise. Il s’agit de contrôler les flux entrant sur le réseau. Plusieurs types de filtrage sont proposés : q Le filtrage applicatif pour le contrôle des applications en fonction du port utilisé. q Le filtrage utilisateur : pour le contrôle d’accès en fonction des utilisateurs identifiés. q Le filtrage adaptatif : permettant l’émission d’un journal des transmissions de paquets IP. Les modes de filtrage les plus courants consistent à interdire par défaut toute connexion entrante à l’exception de celle destinée au serveur Web, ou toute connexion provenant d’une adresse IP à partir de laquelle des actions de scanning sur le réseau de l’entreprise auront été mises en évidence. Les parefeu sont importants dans le sens où ils peuvent fournir un point de blocage unique dans lequel la sécurité ou la journalisation de transferts peuvent être imposées. Ces dispositifs fournissent des informations pertinentes aux administrateurs sur le type de trafic qui traverse cet équipement. La plupart des parefeu récents sont capables de fonctionner avec des outils de façon à superviser les détections d’intrusion, à scanner le contenu de la messagerie ou des pages HTML. Seuls, ils ne peuvent réaliser la protection complète de la connexion à Internet. Par contre, ils sont considérés comme la première ligne de défense et la principale dans le cadre de la protection du réseau d’une entreprise. Néanmoins, les serveurs du réseau interne, les postes de travail et les autres systèmes doivent être impérativement mis à jour avec les derniers correctifs de sécurité et utiliser un logiciel d’antivirus. - 2 - © ENI Editions - All rigths reserved - Jonifar lina 28
29.
Parefeu de passerelle d’application de proxy Son principe consiste
à modifier l’adresse IP source ou destination, dans l’entête d’un datagramme IP lorsque le paquet transite dans le parefeu en fonction de l’adresse source ou destination et du port source ou destination. Lors de cette opération, le parefeu garde en mémoire l’information lui permettant d’appliquer la transformation inverse sur le paquet de retour. La traduction d’adresse permet de masquer le plan d’adressage interne à l’entreprise par une ou plusieurs adresses routables sur le réseau externe ou sur Internet. Cette technologie permet donc de cacher le schéma d’adressage réseau présent dans une entreprise derrière un environnement de parefeu. Cette traduction est réalisée selon 3 modes : 2. Les fonctionnalités de parefeu Analyse du trafic au niveau paquet, circuit et/ou application : q vérification du trafic dans son contexte, q limitation des risques d’accès non autorisés, q analyse et modification du contenu à partir de filtres applicatifs. Détection d’intrusion Protection des serveurs accessibles depuis le réseau externe (Internet…) Ce type de parefeu permet d’accroître la sécurité des flux par divers procédés de filtrages : Au niveau paquet q filtres statiques et dynamiques, q détection d’intrusion, q filtrage à partir de l’analyse des données, q possibilité de suppression des paquets, q protocole PPTP autorisé. Au niveau circuit (protocole) q filtrage basé sur les sessions, La translation d’adresses (Network Address Translation ou NAT) Traduction Mappage Utilisation NAT Statique Permanent 1 pour 1 Correspondance permanente d’une adresse publique vers une adresse IP privée interne routable associée NAT Dynamique Temporaire 1 pour 1 Ensemble d’adresses publiques assignées dynamiquement à des clients internes pendant le temps d’une connexion PAT Temporaire N pour 1 Une adresse publique est partagée entre plusieurs clients internes Les fonctionnalités de base Les fonctionnalités de parefeu multicouches - 3 -© ENI Editions - All rigths reserved - Jonifar lina 29
30.
q contrôle et analyse de la connexion du client vers le serveur, q association de connexion. Au niveau application q
inspection des données, q analyse du contenu (action de blocage/modification/redirection), q filtrage pour les protocoles HTTP (HyperText Transfer Protocol), SMTP (Simple Mail Transfer Protocol)… 3. Les différents types de parefeu Les parefeu personnels ou les appliances de parefeu personnel Le module ou appliance de parefeu personnel est conçu pour protéger de petits réseaux informatiques. Ils permettent, en outre, de sécuriser les postes de travail utilisés à distance via Internet et un FAI (Fournisseur d’accès à Internet). Les parefeu personnels, sauf cas particuliers, ne peuvent protéger qu’un seul système ou poste de travail, uniquement la machine sur lequel il est installé. Ces appliances fonctionnent avec un matériel spécialisé et peuvent incorporer d’autres types de composants réseau, comme : q un concentrateur ou hub, q un commutateur ou switch, q un serveur DHCP (Dynamic Host Configuration Protocol), q un agent SNMP (Simple Network Management Protocol). Le parefeu intégré dans un serveur ou au système d’exploitation Des logiciels de parefeu sont disponibles dans certains systèmes d’exploitation, comme Linux ou comme éléments additionnels. Ils peuvent être utilisés pour sécuriser le serveur sur lequel il est implanté. Son principal inconvénient est qu’il doit être administré séparément. Les platesformes de parefeu doivent être implémentées sur des machines contenant un système d’exploitation prévu uniquement pour des applications de sécurité. Le serveur utilisé ne doit héberger aucune autre application ou fonctionnalité non utiles au système d’exploitation, il doit donc être dédié à la fonction de parefeu uniquement. Les précautions et bonnes pratiques de configuration du serveur dédié La configuration du parefeu doit être réalisée selon le système d’exploitation. D’autres précautions doivent être prises : q Tous les protocoles de réseau non utilisés doivent être retirés. En effet, ils peuvent être utilisés pour contourner ou endommager l’environnement de parefeu. q Tous les services réseaux et applicatifs doivent être supprimés ou désactivés. En effet, les applications inutilisées deviennent souvent des cibles potentielles d’attaque. En réalité, beaucoup d’administrateurs oublient d’implémenter des contrôles d’accès pour restreindre l’accès au parefeu. Des applications ou services réseau non utilisés, sont exécutés avec leurs configurations par défaut, moins sécurisés. q Tous les comptes utilisateurs ou systèmes non utilisés doivent être supprimés ou désactivés. q Tous les correctifs (patches et hotfixes) doivent être installés avant l’installation des composants du parefeu et avoir été testés auparavant sur une machine de test pour être sûr de leur efficacité. Naturellement, les mises à jour de correctifs du système doivent être impérativement effectuées périodiquement pour garantir le bon état de sécurité. q Toutes les connexions physiques connectées aux interfaces réseau et non utilisées doivent être désactivées - 4 - © ENI Editions - All rigths reserved - Jonifar lina 30
31.
ou débranchées. q La machine hébergeant le parefeu doit
être sauvegardée comme tout autre serveur important, en dehors toutefois de l’architecture de sauvegarde classique, c’estàdire en dehors du réseau interne à l’entreprise. Le principe consiste à utiliser l’unité de sauvegarde locale. Les supports (cartouches ou bandes) sont naturellement stockés dans un lieu sécurisé. 4. Choix d’un dispositif de parefeu pour l’entreprise La réflexion préalable au choix d’une solution de protection du réseau interne à l’aide de parefeu s’effectue à partir de la définition de la politique de sécurité de l’entreprise. La sélection peut prendre en compte les éléments suivants : q nature, nombre des applications utilisées par l’entreprise, q types de filtre, niveau de filtrage, q facilités d’enregistrement des évènements et actions pour audits futurs, q outils et commodités d’administration, q simplicité de configuration et de mise en œuvre, q capacité à supporter un tunnel chiffré, réalisation d’un VPN (Virtual Private Network), q disponibilité d’outils de supervision, d’alarmes, d’audits actifs, q possibilité d’équilibrage de charges et de gestion de la bande passante de réseau, q présence ou non dans l’entreprise de compétences en administration de système d’exploitation du parefeu. Recommandations q Un parefeu doit être protégé et sécurisé contre les accès non autorisés. q Tous les trafics entrant et sortant doivent passer obligatoirement par le parefeu. q Le trafic est défini par la politique de sécurité, les règles cohérentes. q Il n’a pas la fonction d’un antivirus, il vient en complément dans le mode de protection du système d’information. 5. La politique de configuration de parefeu Elle précise comment le parefeu doit prendre en compte le trafic lié aux applications (web, email, Telnet). Elle doit décrire comment le parefeu doit être configuré, géré et mis à jour. Elle doit être bien documentée, spécifique et sérieuse car vitale pour la protection des connexions externes à l’entreprise. Avant la mise en place d’une politique de parefeu, des analyses de risques doivent être réalisées sur les applications qui utilisent un accès au réseau externe. Les résultats de cette analyse vont fournir une liste des applications et la façon dont elles seront sécurisées. Il est nécessaire de connaître précédemment les vulnérabilités associées à chacune d’elles pour évaluer et définir la politique de protection via les parefeu. Les étapes nécessaires sont décrites cidessous : q identification des applications réseau et des vulnérabilités associées à chaque application, q création d’une matrice de trafic des applications montrant les méthodes de protection utilisée, - 5 -© ENI Editions - All rigths reserved - Jonifar lina 31
32.
q création d’un ensemble de règles basé sur une matrice des applications utilisant le réseau. Une politique de parefeu fait partie de l’ensemble de la mise en place de la sécurité de l’information, dans le sens où il s’agit de la description de la façon dont la sécurité sera implémentée au niveau des parefeu et dispositifs associés. Les parefeu peuvent être complexes à gérer et les incidents impliquant la sécurité peuvent arriver quotidiennement. Sans une bonne politique d’implémentation et d’administration, les parefeu peuvent devenir euxmêmes un point de faiblesse ou de vulnérabilité dans la sécurité mise en place. Il est nécessaire d’auditer et de vérifier au moins une fois ou plus par trimestre les règles de parefeu. Pour cela, il existe deux méthodes. La première et la plus simple consiste à imprimer la configuration de chaque pare feu opérationnel et à la comparer avec la version définie à l’origine, en tenant compte des ajustements éventuels. Les modifications réalisées
au fur et à mesure doivent être tracées, dans la documentation liée au parefeu, afin de connaître les raisons des changements. La seconde, plus rigoureuse, implique de tester la configuration en place. Dans ce cas, l’administrateur utilise les outils (du domaine public disponibles sur Internet) pour évaluer la configuration de chaque parefeu en réalisant des tests de connexion non autorisés ou d’intrusion. L’objectif principal est de s’assurer que les parefeu et autres dispositifs de sécurité liés au réseau sont configurés exactement selon la politique de sécurité définie au départ et conformes aux précautions requises. De bonnes pratiques conseillent que les politiques de sécurité du système d’information soient revues et mises à jour périodiquement, au moins deux fois par an, lors de nouvelles implémentation ou des changements d’infrastructure ou encore lors d’incidents sérieux ayant impliqué le système d’information. Les administrateurs de réseau ou de sécurité gérant les parefeu doivent être informés des changements affectant les applications qui utilisent ces dispositifs (par exemple : les logiciels de sauvegarde). 6. Stratégie d’implémentation de parefeu Lors de la mise en place de parefeu et de la politique associée, les entreprises doivent définir les méthodes d’implémentation, en tenant compte des points suivants : Les parefeu basés sur une appliance ne souffrent pas trop de vulnérabilités de sécurité quand ils sont associés aux systèmes d’exploitation. Ces parefeu ont tendance à être plus rapides et efficaces que ceux qui sont intégrés aux systèmes d’exploitation courants. Le plus gros inconvénient perçu lors de la mise en œuvre de parefeu associés au système d’exploitation serait la présence potentielle de vulnérabilités qui pourrait affaiblir la protection générée par le parefeu. Étant donné le rôle critique joué par ces dispositifs, la manière de les gérer et de les superviser est très importante. a. Les règles dans un parefeu Les parefeu utilisent un ensemble de règles pour implémenter les contrôles de sécurité. Cellesci comportent au minimum les éléments suivants : q L’adresse source du paquet (l’adresse de niveau 3 du modèle OSI de la machine ou du périphérique réseau d’origine), ex : 192.168.1.1. q L’adresse de destination du paquet (l’adresse de niveau 3 de la machine ou du périphérique réseau cible), ex : 192.168.1.2. q Le type de trafic, protocole de réseau spécifique utilisé pour la communication entre les systèmes ou périphériques source et destination, ex : Ethernet au Niveau 2 et IP au niveau 3. q Des paramètres au niveau 4, ex : TCP:80 port de destination d’un serveur Web ou des informations sur les interfaces de routeur par lesquelles transitent les paquets. q Une action qui va agir sur les paquets : Deny (Empêche), Permit (Autorise), Drop (Elimine). La gestion des règles de parefeu peut être consolidée après avoir réalisé la matrice des applications utilisant le réseau. Les règles doivent être simples et aussi spécifiques que possible en correspondance avec le trafic réseau Le test de la politique de sécurité définie dans un parefeu Revue périodique de sécurité des parefeu - 6 - © ENI Editions - All rigths reserved - Jonifar lina 32
33.
qu’elles contrôlent. À chaque reconfiguration
ou modification, il est nécessaire de récupérer le paramétrage complet, sous forme électronique ou papier. Pour des raisons de sécurité, la meilleure méthode consiste à bloquer d’abord tous les flux entrants pour ensuite les autoriser un à un de façon sélective selon les types de trafic prévus. L’autre qui consiste à autoriser toutes les connexions et le trafic par défaut pour ensuite bloquer selon les types de protocole n’est pas recommandée et est même à proscrire. L’ensemble de règles d’un parefeu doit obligatoirement bloquer les types suivants : q Trafic entrant dont l’origine est un système source non authentifié avec comme adresse de destination celle du parefeu luimême. Ce type de paquet représente une attaque ou un test en direction du parefeu. Il y a une exception à cette règle. Il concerne le cas où le parefeu accepterait le transfert d’un mail entrant sur le port 25. Dans cette éventualité, il doit permettre les connexions entrantes vers luimême, seulement sur ce port. q Trafic entrant avec une adresse source indiquant que le paquet a pour origine le réseau protégé derrière le parefeu. Ce type de paquet représente vraisemblablement un type de tentative d’usurpation (spoofing attempt). q Trafic entrant contenant des paquets ICMP (Internet Control Message Protocol), correspondant à la commande ping. À partir du moment où ICMP peut être utilisé pour accéder des réseaux derrière certains types de pare feu, ce protocole ne doit pas transiter à partir d’Internet ou de n’importe quel réseau externe non approuvé. q Trafic entrant et sortant à partir d’une adresse source qui appartient à une plage d’adresses réservées à des réseaux privés (RFC 1918). La RFC 1918 réserve les plages d’adresses suivantes pour réseaux privés : q 10.0.0.0 à 10.255.255.255 (Classe A, ou ./8. en notation CIDR) q 172.16.0.0 à 172.31.255.255 (Classe B, ou ./12. en notation CIDR) q 192.168.0.0 à 192.168.255.255 (Classe C, ou./16 en notation CIDR) q Trafic entrant pour qui l’origine de l’adresse fait partie de ces plages d’adresses privées. Ce trafic indique le début d’une attaque de type Déni de Service. Toutefois, ce type particulier de trafic réseau doit aussi être bloqué avec des ensembles de règles sauf si le parefeu possède une fonctionnalité de protection. q Trafic entrant venant d’une source non identifiée contenant du trafic SNMP (Simple Network Management Protocol). La présence de ces paquets peut indiquer qu’un intrus est en train de tester (scanner) le réseau. Il y a en général peu de raisons qu’une entreprise permette ce type de trafic. Il doit être alors bloqué. q Trafic entrant contenant une information sur IP Source Routing. Il s’agit d’un mécanisme qui permet à un système de spécifier les routes prises par ce paquet sur le réseau. Au point de vue sécurité, le source routing peut permettre à un pirate d’accéder à un réseau privé en utilisant une machine connectée à la fois à Internet et au réseau interne comme passerelle. q Le trafic réseau entrant ou sortant contenant une adresse source ou destination équivalent à 127.0.0.1 (localhost). Ce type de trafic correspond habituellement à une attaque sur le parefeu luimême. q Le trafic réseau entrant ou sortant contenant une adresse source ou destination équivalent à 0.0.0.0. Certains systèmes d’exploitation interprètent cette adresse comme une adresse locale (localhost) ou comme une adresse de diffusion. Ces paquets peuvent être utilisés en cas d’attaque sur le réseau. q Le trafic réseau entrant ou sortant contenant des adresses de diffusion. Ce cas peut être une source d’attaque dont l’objectif est d’inonder le réseau ou le sousréseau avec des trames. Certains logiciels de sauvegarde permettent l’accès de clients situés derrière un parefeu. Il est nécessaire de se référer à la documentation. Les règles strictes - 7 -© ENI Editions - All rigths reserved - Jonifar lina 33
34.
Le tableau cidessus montre un exemple de règles de filtrage pour un réseau d’adresse 172.16.0.0. Le parefeu reçoit chaque paquet et examine ses adresses et ports source et destination, détermine quel protocole est utilisé. À partir de ce point, le parefeu compare ce qu’il a reçu par rapport aux règles définies les unes après les autres selon la liste. À chaque fois qu’une règle qui autorise ou interdit le paquet est trouvée, une de ces actions est réalisée : q Acceptation (Accept ou Allow)
: le parefeu transfère le paquet de l’entrée vers la sortie, une journalisation d’évènements peut avoir lieu ou non. q Refus (Deny) : le parefeu élimine le paquet sans le transférer. Une fois le paquet supprimé, un message d’erreur est retourné vers le système source. Une journalisation de l’erreur peut avoir lieu ou non, dépendant de la configuration mise en place. q Rejet (Discard) : le parefeu élimine le paquet sans le transférer, aucun message d’erreur n’est retourné vers le système source. Cette action est utilisée pour implémenter le principe du trou noir au niveau du parefeu et consiste à ne pas révéler sa présence au système source. De même, une journalisation de l’action peut avoir lieu ou non dépendant de la configuration mise en place. Exemple de règles de filtrage de paquets Adresse Source Port Source Adresse Destination Port de destination Action Description 1 Any Any 172.16.0.0 >1023 Allow Règle qui permet le retour de connexions TCP vers le sousréseau interne 2 192.168.1.1 Any Any Any Deny Empêche le parefeu lui même d’être accédé par une source interne ou externe 3 Any Any 172.16.0.1 Any Deny Empêche les utilisateurs externes au réseau d’accéder directement le système de parefeu 4 172.16.0.0 Any Any Any Allow Les utilisateurs internes peuvent accéder aux serveurs externes 5 Any Any 172.16.0.2 SMTP Allow Permet aux utilisateurs externes d’envoyer des messages vers l’intérieur 6 Any Any 172.16.0.3 HTTP Allow Permet aux utilisateurs externes d’accéder au serveur Web 7 Any Any Any Any Deny Tout ce qui n’est pas permis est explicitement bloqué (protection de base) - 8 - © ENI Editions - All rigths reserved - Jonifar lina 34
35.
Exemple de règles de parefeu lié à une application de sauvegarde Groupe de règles liées à la sauvegarde : Sauvegardes Règle 6 : q
Nécessaire à l’installation des agents disques sur la DMZExtranet q Ports ouverts : 445 (microsoftds) 8,15,17,13 (icmprequests) Règle 7 : q Communication du serveur de sauvegarde vers les agents disques de la DMZExtranet q Ports ouverts : 5555 (z_DataProtector_Server_To_DiskAgent) Règle 8 : q Communication des agents disques de la DMZExtranet avec le serveur de sauvegarde q Ports ouverts : 5555 (z_DataProtector_Server_To_DiskAgent) Règle 9 : q Communication entre les agents disques de la DMZExtranet avec les agents média de la zone Interne q Ports ouverts : 18000 à 18009 (z_DataProtetor_DiskAgent_To_MediaAgent) Règle 10 : q Nécessaire à l’installation des agents disques sur la DMZInternet q Ports ouverts : 445 (microsoftds) 8,15,17,13 (icmprequests) - 9 -© ENI Editions - All rigths reserved - Jonifar lina 35
36.
Règle 11 : q Communication du serveur de sauvegarde vers les agents disques de la DMZInternet q
Ports ouverts : 5555 (z_DataProtector_Server_To_DiskAgent) Règle 12 : q Communication des agents disques de la DMZInternet avec le serveur de sauvegarde q Ports ouverts : 5555 (z_DataProtector_Server_To_DiskAgent) Règle 13 : q Communication entre les agents disques de la DMZInternet avec les agents média de la zone Interne q Ports ouverts : 18000 à 18009 (z_DataProtetor_DiskAgent_To_MediaAgent) b. Guide de bonnes pratiques de mise en place d’environnements de parefeu Il y a 4 principes à suivre : q Faire simple, plus la solution mise en place est simple, mieux le parefeu sera sécurisé et sera administrable facilement. q Utiliser des matériels les mieux adaptés à l’environnement et à leur fonction principale. Dans la plupart des cas, les parefeu hybrides ou les appliances sont les meilleurs choix parce qu’ils sont destinés à cette fonction. q Créer une défense en profondeur, sur plusieurs couches au lieu d’une seule. Si nécessaire, utiliser plusieurs parefeu, des routeurs qui peuvent effectuer des contrôles d’accès ou de filtrage, plusieurs serveurs équipés de parefeu, selon les besoins de protection. q Bien penser aux menaces internes éventuelles. Un intrus qui a pu avoir accès d’une façon ou d’une autre sur le réseau interne en protection derrière le parefeu a toutes les facilités pour s’introduire sur tout le réseau. Les systèmes critiques doivent être placés et protégés derrière des environnements de parefeu ou de DMZ internes. La plupart des systèmes de parefeu présentent une fonctionnalité d’enregistrement des évènements dans un journal. Un programme de récupération de ces informations est, en général, disponible avec tous les types de systèmes d’exploitation. Ce qui permet de les visualiser et par la suite de les analyser. La gestion et la maintenance des sauvegardes est un point essentiel dans la politique d’administration des parefeu. Par principe, chaque sauvegarde réalisée doit être complète. Il n’est pas nécessaire et même non recommandé de réaliser des sauvegardes incrémentales. Il est aussi recommandé d’effectuer cette sauvegarde juste après l’installation et la configuration, lors de mise à jour logicielle du parefeu. La stratégie de sauvegarde doit tenir compte de la façon dont ses accès logiques et réseau sont implémentés. Par contre, il n’est pas possible d’utiliser les fonctionnalités de sauvegarde du système d’information global de l’entreprise à cause des contrôles d’accès particuliers. En effet, permettre l’accès au serveur central de sauvegarde qui est, selon les bonnes pratiques, implémenté derrière le parefeu et protégé par lui, présenterait un risque pour l’infrastructure de sauvegarde et le réseau associé. En réalité, le parefeu doit être installé avec un dispositif de sauvegarde intégré. Si ce n’est pas le cas, il est indispensable de le mettre en place. De plus, le support magnétique de sauvegarde, une cartouche en général, ne doit rester présente dans la machine que pendant l’opération de sauvegarde. Il doit être extrait juste après l’opération. Pour permettre un rétablissement complet et rapide du parefeu, il est recommandé de posséder, en lieu sûr, une La fonctionnalité d’enregistrement des évènements dans un journal La sauvegarde des données des parefeu - 10 - © ENI Editions - All rigths reserved - Jonifar lina 36
Télécharger maintenant