Sécurite opérationnelle des Système d'Information Volet-3

VOLET 3
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

AGENDA VOLET III
Module N°1 : Supervision & administration
de la sécurité
Audit technique de sécurité – vulnérabilités - outils
Détection d’intrusion réseau
Protocoles sécurisés d’administration
Architecture de Télémaintenance sécurisée
Reporting et centralisation des logs
Gestion des correctifs de sécurité
Réaction à un incident de sécurité
Module N°2 : Sécurisation d’un système
d’information industriel
Mesures technique de sécurité
Mesures organisationnelles de sécurité
Illustrations
Pour aller plus loin
Livre
Magazine
Articles - Web

TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 8 Sécurité par les systèmes pare-feu et de détection
d’intrusion : 8.4
Chapitre 10 Sécurité par la gestion de réseau : 10.3, 10.6

AUDIT TECHNIQUE DE SÉCURITÉ – VULNÉRABILITÉS - OUTILS
DÉTECTION D’INTRUSION RÉSEAU & SYSTÈME
PROTOCOLES SÉCURISÉS D’ADMINISTRATION
ARCHITECTURE DE TÉLÉMAINTENANCE SÉCURISÉE
REPORTING ET CENTRALISATION DES LOGS
GESTION DES CORRECTIFS DE SÉCURITÉ
MODULE N°1 : SUPERVISION &
ADMINISTRATION DE LA SÉCURITÉ

OBJECTIFS
Supervision et administration de la sécurité
Pour prévenir, détecter et réagir aux incidents de sécurité, les moyens
informatiques permettent d’enregistrer et de remonter quantité
d’informations à traiter.
Pour mesurer de manière ponctuelle ou récurrente son niveau de
sécurité, il existe également les audits de vulnérabilités.
La légalité de ces pratiques comme le coût (en effort et en moyen)
imposent d’organiser rationnellement la supervision de la sécurité.

AUDIT TECHNIQUE DE SÉCURITÉ

DIFFÉRENTS TYPES D’AUDIT DE SÉCURITÉ

Tests d’intrusion
Pour parer à d’éventuels incidents certaines sociétés de services proposent
une prestation connue sous le nom de « Test d’intrusion » pour évaluer le
niveau de sécurité d’un système d’information et apporter des solutions aux
problèmes décelés.
En quoi consiste ces tests d’intrusion et quels sont leurs objectifs, leurs limites
et leurs réelles valeurs ajoutées ?

Définition d’un test d’intrusion
Attaques identiques à celles menées par des pirates informatiques sans les
effets nuisibles que cela suppose
Accord entre un prestataire et une société sur :
Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou
applications concernées
Une période de temps : durée de l’autorisation des tests d’intrusion.
Une limite de tests : pas de perturbation de la production ni de corruption de
données.

MÉTHODOLOGIE DES AUDITS TECHNIQUES
Référentiel en matière de tests intrusifs
OWASP : (Open Web Application Security Project ): communauté internationale
(entreprises, développeurs, architectes des projets, responsables sécurité)
focalisée sur les problèmes de sécurité des applications Web.
OSSTMM : L'OSSTMM est le fruit de la volonté de plusieurs auditeurs en sécurité
informatique, souhaitant s'appuyer sur un standard rigoureux et pragmatique
permettant non seulement de structurer les audits de sécurité, mais également de
leur apporter une métrique.

Les 10 critères de l’OWASP

Déroulement d’un test d’intrusion
Le déroulement d’un test d’intrusion peut s’assimiler à la méthode des « 5 P » vue
précédemment dans le cours. Néanmoins voici les principales étapes
Recueil d’informations : Identifier les systèmes : serveurs, firewalls, routeurs, systèmes
d’exploitation etc…
Recherche et développement : sur la base de données collectées, une recherche des
vulnérabilités existantes est effectuée. Sinon, un développement de nouvelles attaques
spécifiques à l’objet de l’étude est réalisé.
Intrusion : grâce aux vulnérabilités exploitées et/ou l’outil spécifiquement développé, un accès
illicite au système d’information est réalisé.
Rapport : rapport détaillé présentant les vulnérabilités découvertes et leurs impacts sur le
système d’information ainsi que les actions correctives
Le test d’intrusion est généralement réalisé en aveugle, sans aucune
information autre que le cadre du test.

Les contraintes des tests d’intrusion
Contraintes juridiques : nécessité d’avoir un contrat bien délimité entre le prestataire et
le commanditaire
Complexité du système d’information : certaines parties du système d’information
peuvent-être hébergées par un tiers ou en infogérance
Assurer la continuité des services pendant les tests
Définition explicite des services critiques pour l’entreprise
Social Engineering : inévitable pour les pirates informatiques, à convenir entre le
prestataire et le commanditaire

Apports des tests d’intrusion
Les PME/PMI n’ont pas forcément le budget pour avoir une équipe de sécurité
Évaluer le niveau de sécurité à un instant donné ou de manière récurrente
Finaliser la sécurisation d’un système d’information
Ajuster la sécurité existante : politique de sécurité, procédures, équipements
Vérifier la sécurité d’un service installé par un tiers (hébergeurs, prestataires)
Objectif stratégique : sensibiliser la hiérarchie
Extraction des comptes de la société, carnet d’adresses des clients ….
Consolidation du travail des administrateurs informatiques
Parfois mal perçu, ou perçu comme une vérification du travail des administrateurs
Cela peut induire un comportement indésirable : rétention d’information, modifications des
configurations ou des pratiques

Les sites de publications utilisés dans le cadre de ces tests (liste non
exhaustive) sont les suivants :
http://nvd.nist.gov/ ,
http://www.certa.ssi.gouv.fr/
http://www.securityfocus.com/
http://www.sans.org
http://cve.mitre.org/
http://cvedetails.com
http://secunia.com/
http://www.exploit-db.com/
http://mtc.sri.com/
http://osvdb.org

EXTRAITS
Répartition du type de vulnérabilités

OUTILS D’AUDIT DE VULNÉRABILITÉS
Présentation de Nessus
Architecture de Nessus
Architecture modulaire avec la liste des tests à mener
Architecture Client / Serveur
Client : paramètre le scan et d’obtenir les résultats
Serveur effectue les tests
Ce découplage permet de positionner plusieurs scanners sur le réseau derrière des firewalls et de piloter le scan
à partir d’un point unique.
La communication entre le client et le serveur s’effectue en TLSv1 afin d’assurer la confidentialité des résultats
transmis au client.
Option Safe Check: Sert à limiter les interactions fâcheuses avec les
équipements actifs du système informatique
ATTENTION : Il y a toujours un risque de générer des perturbations
voir des « plantages » d’équipements lors d’un test de sécurité.

DÉTECTION ET PRÉVENTION D’INTRUSION –
RÉSEAU (NDIS) & SYSTÈME (HDIS)

DÉTECTION ET PRÉVENTION D’INTRUSION – RÉSEAU (NDIS) &
SYSTÈME (HDIS)
Les systèmes de détection et de prévention d’intrusion
Détecte les intrusions dans un réseau (Network DIS - NDIS) ou sur un
système (Host DIS - HDIS)
Détection de comportement inhabituel
Détection de scénarios par signature
Détection par filtrage et comptage d’événements
Coupure des attaques détectées sur le réseau ou sur le système

DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) &
SYSTÈME (HDIS)
Les systèmes de détection d’intrusion NIDS
Sondes réseau en écoute de trafic
Recopie de trafic en environnement commuté
Journalisation des événements dans les journaux (logs)
Analyse des données des journaux
Génération d’alarmes en fonction des événements sur le réseau
Trop de faux positifs : fausses alertes
Trop de faux négatifs : incidents négligés
Les opérateurs analysent les journaux pour une recherche rétrospective

SYSTÈME (HDIS)
Les systèmes de détection d’intrusion

SYSTÈME (HDIS)
Architecture type d’un système de
détection d’intrusion NIDS
Transfert des événements
en mode lot ou temps réel
Réseau Interne
Console de gestion
BdD
Navigateur Web
Serveurs Web et Messagerie
Internet
DMZ
Sonde B
Sonde C
Firewall
Sonde A
Où doit-t-on placer les sondes ?
Réseau Interne

SYSTÈME (HDIS)
Où doit-on placer les sondes NDIS ?
- les services les plus exposés et les plus critiques
- Exemple : bases de données, ERP…
- Identifier les goulots d’étranglement naturels
- Les connexions entre réseau se révèlent être d’excellentes positions d’observation.
Interconnexion WAN, Connexion Internet

Système de détection d’intrusion sur une machine HDIS
Moniteur d’applications
Enregistrement des faits et gestes des utilisateurs au niveau de l’application pour une
interprétation aisée
Filtrage des données en vue des débordements de tampon (buffer overflow)
Signature des attaques spécifiques aux applications
Permet de détecter les attaques chiffrées
Faiblesses
Vision limitée à une seule machine
Les HDIS peuvent être attaqués et désactivés
SYSTÈME (HDIS)

IDS : PRODUITS
McAffee
Cisco
IBM
HP
…

– ARCHITECTURE DE TÉLÉMAINTENANCE
SÉCURISÉE

Les protocoles utilisés pour l’administration des systèmes
Les protocoles non sécurisés = flux non chiffré et mot de passe en clair
Prise de contrôle à distance : Telnet, VNC, PC Anywhere
Configuration à distance : HTTP
Téléchargement de fichiers : FTP, TFTP
Les bons réflexes
Nécessaire mais non suffisant : changer le mot de passe par défaut
Mettre en œuvre les services d’administration qui utilisent :
Le chiffrement des communications entre la console et l’équipement
L’authentification des administrateurs
Utiliser les protocoles sécurisés
SSH au lieu de Telnet
HTTPS au lieu de HTTP
SFTP au lieu de FTP
LDAPS ou lien de LDAP
Etc….
Coupler les accès aux services avec des systèmes d'authentification forte - et OTP

ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE
Plusieurs phénomènes sont à prendre en compte dans l’évolution de l’usage de la
l’administration et de la télémaintenance :
La croissance constante des flux de télémaintenance par des prestataires extérieurs pour la
maintenance des équipements informatiques y compris l’informatique industrielle
Le nombre de tiers externes pour la télémaintenance est en augmentation depuis quelques
années quelque soit le secteur d’activité
La mutualisation des services d’administration et de supervision entre les différents réseaux de la
tels que les services de sauvegarde centralisée (DataProtector, Tivoli), de supervision (HP OV), de
collecte d’information (Info Centre), de prise de main à distance (RDP, VNC)
L’usage de la télémaintenance est prévu à la hausse et ne devrait pas infléchir dans les
prochaines années. Il y a une nécessité réelle et immédiate d’anticiper cette évolution afin de
mettre en place une architecture de télémaintenance sécurité pérenne et des modes
opératoires clairement définis et appliqués par tous les acteurs.

ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE
31
Axes de conception
Check point - Centralisation des points d’accès de télémaintenance en un point unique
Coupure protocolaire et portail applicatif de télémaintenance – favoriser l’accès en VPN
SSL sur les applications ciblés et publié sur un portail de télémaintenance – limitation de la
surface d’attaque – évite de donner l’accès au LAN complet au réseau d’entreprise
Etanchéité des différents réseaux de la société pour les flux de télémaintenance
Haute disponibilité – haute disponibilité par des redondances actives
Contrôle d’accès logique - authentification forte OTP – compte nominatif
Détection d’intrusions
Traçabilité – centralisation et reporting de logs
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

ARCHITECTURE
SÉCURISÉE DE
TÉLÉMAINTENANCE
Filtrage de flux
IP (adresses IP sources et adresses IP
destination sur lesquelles la
télémaintenance doit être effectuée
Sondes HIDS
Sonde DMZ
NIDS
Sonde LAN
NIDS

REPORTING ET CENTRALISATION DES
LOGS

AUDIT – IMPUTABILITÉ - TRAÇABILITÉ
1. Suivi des actions d’un réseau, d’une machine, d’un logiciel
2. Imputabilité (effet dissuasif + détection + éléments de
correction)
3. Permet de comprendre les accès qui ont eu lieu, d’identifier une
brèche de sécurité ou une attaque

AUDIT – IMPUTABILITÉ - TRAÇABILITÉ
Important : séparation des rôles
On ne peut pas empêcher un administrateur (ou quelqu’un qui vient d’obtenir
ces privilèges lors d’une attaque) de faire ce qu’il veut (dont effacer les logs)
Il convient de séparer le rôle d’auditeur du rôle d’administrateur en
exportant les logs et les rapports audits hors des composants audités

36
REPORTING ET CENTRALISATION DE LOGS
Les fonctions d’un système de supervision de la sécurité
Services, Serveurs, appliances, équipements réseau, postes clients
N°1 : Générer et collecter les événements
N°2 : Centraliser les journaux
N°3 : Stocker et Archiver
N°4 : Filtrer, analyser,
Corréler les événements
N°5 : Afficher
les alertes
Administrateur de la sécurité
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Problématique et besoin
Systèmes hétérogènes : Windows, Unix, Linux, Réseau( Cisco, 3COM, Nortel)
et autres appliances (Firewall, IPS, Proxy, Anti-virus)
La sécurité nécessite de superviser tous les éléments du système
d’information
Chaque système classique stocke en général localement ses événements
sous une forme qui n’est pas forcément standard
« Trop de logs tue les log »

Bluecoat (Proxy Server)
Cisco PIX (Firewall)
Trend Micro
IMSS (Mail Content Scanner)

PRODUITS DU MARCHÉ
Tendance du marché
Produits matures
Marché américain – SOX – PCI/DSS
Contrôle et réglementation
Destiné à des grands comptes
Produits jeunes
Référence à Splunk
ClicknDecide – Rachat de Net Report
Stratégie de licencing
Volumétrie – nb lignes / jour EPD (clikndecide) - débit Mo/jour (splunk)
Nombre d’équipements– WhatsupGold

GESTION DES CORRECTIFS DE
SÉCURITÉ

Gestion des correctifs ou patch management
un élément clé de la protection des systèmes d’information
Problématique actuelle
Menaces récurrentes par les virus
Le périmètre de vulnérabilité s’est élargi. C’est tout le réseau de l’entreprise qui peut être
mis hors service
La période entre la publication d’une vulnérabilité par l’éditeur et l’apparition d’un
programme malveillant exploitant cette vulnérabilité s’est considérablement réduit
La priorité n’est pas de savoir si une vulnérabilité sera
exploitée dans le système d’information, mais de savoir à
quel moment et sur quel composant elle sera. L’objectif de
sécurité est réduire au maximum le temps de correction de
la vulnérabilité.

GESTION DES CORRECTIFS DE SÉCURITÉ –
ILLUSTRATION WSUS
Exemple d’outil de gestion des mises à jour de sécurité (patch
management) sous Windows avec Update Services (WSUS)
Basé sur le service de Mises à jour automatiques de Windows
(Win 7, Win 8, 2008 R2, 2012 R2)
Configurable par stratégie de groupe pour télécharger et/ou
appliquer les mises à jour

GESTION DES CORRECTIFS DE SÉCURITÉ –
ILLUSTRATION WSUS
L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes ciblesL’administrateur approuve les mises à jour
Microsoft Update
(utilise WSUS)
Serveur WSUS
Postes de travail (clients WSUS)
Groupe cible 1
Serveurs (clients WSUS)
Groupe cible 2Administrateur WSUS
Les clients installent les mises à jour approuvées par l’administrateur

ANTI-VIRUS
On ne les présente plus…
Très souvent basés sur des signatures
Dans ce cas, il est extrêmement important d’être à jour pour avoir une protection valable
Toutes les signatures ne se valent pas
certaines sont des suites d’octets (donc risque de non détection si modification d’un des octets
non significatifs dans une variante)
d’autres sont des éléments logiques (et permettent de détecter des variantes)
Parfois heuristiques
Pour les virus macro en particulier (cf Office)
Certains se passent complètement de signatures (cf Viguard, plus proche d’un HIPS que d’un
antivirus)
Internet

Serveur LiveUpdate
Serveur primaire
Serveurs secondaires
100Ko 100Ko
Déploiement de signatures anti-virus en
entreprise
Connexion au serveur LiveUpdate de l’éditeur
Déploiement des signatures anti-virus :
Ditribution des définitions à tous les serveurs et tous les clients
Mise à jour incrémentale à partir du serveur parent

RÉACTION À UN INCIDENT DE
SÉCURITÉ

COMMENT RÉAGIR EN CAS DE CYBER CRIME ?
http://www.clusif.asso.fr/fr/production/cybervictime/
Dans le cadre professionnel : veuillez d’abord contacter votre
responsable sécurité informatique ou bien votre responsable
hiérarchique.

RÉACTION À UN INCIDENT DE SÉCURITÉ
La DPSD
La police : DCPJJ/OCLCTIC, DCRI, PP/BEFTI,
La gendarmerie : IRCGN, STRJD, NTECH
La justice
En cas d’incident :
Office Central de Lutte contre la Criminalité liées aux
Technologies de l’Information et de la
Communication (OCLCTIC)
101 Rue des 3 Fontanot - 92000
NANTERRE
Tel : 01.49.27.49.27
"info-escroqueries"
08 11 02 02 17

PAUSE-RÉFLEXION
Avez-vous des questions ?

RÉSUMÉ DU MODULE
Audit
technique de
sécurité - outil
Détection
d’intrusion
Architecture de
télémaintenance
sécurisée
Protocoles
sécurisés
d’administration
Gestion des
correctifs de
sécurité
Reporting et
centralisation
des logs
Réaction à un
incident de
sécurité

MESURES TECHNIQUE DE SÉCURITÉ
MESURES ORGANISATIONNELLES DE SÉCURITÉ
ILLUSTRATIONS
MODULE N°2 : SÉCURISATION D’UN SI
INDUSTRIEL

SÉCURISATION D’UN SI INDUSTRIEL
Mesures organisationnelles
1. Cartographie des installations matérielles, des systèmes et des applications
critiques
2. Classification des différents niveaux de criticités attendus
3. Identification des personnels responsables
Sensibilisation à cyber sécurité et formation interne / externe
4. Intégration de la cyber sécurité dans le cycle de vue du système industriel
Spécification, conception, audit technique, veille sécurité, veille de l’obsolescence du parc
5. Plan de maintenance et opérations associées
6. Sécurité physique et contrôle d’accès aux locaux
7. Maitrise des intervenants
8. Plan de reprise et de continuité d’activité (cours 4A)

Mesures techniques
1. Architecture de zonage pour isoler les parties les plus sensibles
Firewall, Diode, VLANs, filtrage IP, chiffrement de flux sensibles (VPN IPSEC, SSL)
2. Contrôle d’accès
Gestion des comptes et authentification – suppression des mots de passe par défaut
Principe du moindre privilège
3. Architecture de télémaintenance sécurisée
Authentification forte, traçabilité, environnement de type bac à sable pour les tiers
externes
4. Contrôle des administrateurs du système d’information
Durcissement des configurations (protocoles sécurisés, authentification, ouvrir
désactivation des services inutilisés par l’API)
Chiffrement du firmware, contrôle de la signature du firmware,
Politique de gestion des correctifs de sécurité
5. Programmes des automates (développement sécurisé)
6. Supervision de la sécurité
Reporting et centralisation des logs
Sondes de détection d’intrusion

Régulation et
automatisme
Mots(millisecondes)
API, DCS, HMI, poste
de conduite
Supervision
Elaboration des ordres
- calculateur de
process -
Pilotage historisation -
gestion des processus
industriels (MES)
Fonctions centrales
finance, compta, info
centre
55 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Niveau 0Capteur et
Actionneur
Bits (microsecondes)
Systèmes embarqués
Firewall
industriel
Administration
réseau
Formation et
sensibilisation
Architecture de télémaintenance
sécurisée
Surveillance des états
Segmentation des
réseaux critiques

PAUSE-RÉFLEXION
Avez-vous des questions ?

RÉSUMÉ DU MODULE
Mesures
techniques
Mesures
organisationnelles
Illustrations

POUR ALLER PLUS LOIN
Livre
Sécurité informatique et réseaux - 4eme édition de Solange
Ghernaouti (Auteur) édition DUNOD
Magazine
http://boutique.ed-diamond.com/ (revue MISC)
Web
http://www.ssi.gouv.fr/
http://www.securite-informatique.gouv.fr
http://www.forum-fic.com/
http://www.gsdays.fr/
https://www.lesassisesdelasecurite.com/

FIN DU VOLET
MERCI POUR VOTRE
ATTENTION

Sécurite opérationnelle des Système d'Information Volet-3

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Sécurite opérationnelle des Système d'Information Volet-3

Similaire à Sécurite opérationnelle des Système d'Information Volet-3 (20)

Plus de PRONETIS

Plus de PRONETIS (16)

Dernier

Dernier (18)

Sécurite opérationnelle des Système d'Information Volet-3