VOLET 3
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET III
Module N°1 : Supervision & administration
de la sécurité
Audit technique de sécurité – vulnérabilités - o...
TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 8 Séc...
AUDIT TECHNIQUE DE SÉCURITÉ – VULNÉRABILITÉS - OUTILS
DÉTECTION D’INTRUSION RÉSEAU & SYSTÈME
PROTOCOLES SÉCURISÉS D’ADMINI...
OBJECTIFS
Supervision et administration de la sécurité
Pour prévenir, détecter et réagir aux incidents de sécurité, les mo...
AUDIT TECHNIQUE DE SÉCURITÉ
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIFFÉRENTS TYPES D’AUDIT DE SÉCURITÉ
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction ré...
AUDIT TECHNIQUE DE SÉCURITÉ
Tests d’intrusion
Pour parer à d’éventuels incidents certaines sociétés de services proposent
...
AUDIT TECHNIQUE DE SÉCURITÉ
Définition d’un test d’intrusion
Attaques identiques à celles menées par des pirates informati...
MÉTHODOLOGIE DES AUDITS TECHNIQUES
Référentiel en matière de tests intrusifs
OWASP : (Open Web Application Security Projec...
AUDIT TECHNIQUE DE SÉCURITÉ
11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUDIT TECHNIQUE DE SÉCURITÉ
Les 10 critères de l’OWASP
12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou...
AUDIT TECHNIQUE DE SÉCURITÉ
Déroulement d’un test d’intrusion
Le déroulement d’un test d’intrusion peut s’assimiler à la m...
AUDIT TECHNIQUE DE SÉCURITÉ
Les contraintes des tests d’intrusion
Contraintes juridiques : nécessité d’avoir un contrat bi...
AUDIT TECHNIQUE DE SÉCURITÉ
Apports des tests d’intrusion
Les PME/PMI n’ont pas forcément le budget pour avoir une équipe ...
AUDIT TECHNIQUE DE SÉCURITÉ
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les sites de publications utilisés dans le cadre de ces tests (liste non
exhaustive) sont les suivants :
http://nvd.nist.g...
EXTRAITS
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Répartition du type ...
OUTILS D’AUDIT DE VULNÉRABILITÉS
Présentation de Nessus
Architecture de Nessus
Architecture modulaire avec la liste des te...
DÉTECTION ET PRÉVENTION D’INTRUSION –
RÉSEAU (NDIS) & SYSTÈME (HDIS)
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'...
DÉTECTION ET PRÉVENTION D’INTRUSION – RÉSEAU (NDIS) &
SYSTÈME (HDIS)
Les systèmes de détection et de prévention d’intrusio...
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) &
SYSTÈME (HDIS)
Les systèmes de détection d’intrusion NIDS
Sondes résea...
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) &
SYSTÈME (HDIS)
Les systèmes de détection d’intrusion
23 PRONETIS©2016 ...
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) &
SYSTÈME (HDIS)
Architecture type d’un système de
détection d’intrusion...
DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) &
SYSTÈME (HDIS)
Où doit-on placer les sondes NDIS ?
- les services les ...
Système de détection d’intrusion sur une machine HDIS
Moniteur d’applications
Enregistrement des faits et gestes des utili...
IDS : PRODUITS
McAffee
Cisco
IBM
HP
…
27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction ...
PROTOCOLES SÉCURISÉS D’ADMINISTRATION
– ARCHITECTURE DE TÉLÉMAINTENANCE
SÉCURISÉE
28 PRONETIS©2016 - Philippe Prestigiacom...
PROTOCOLES SÉCURISÉS D’ADMINISTRATION
Les protocoles utilisés pour l’administration des systèmes
Les protocoles non sécuri...
ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE
Plusieurs phénomènes sont à prendre en compte dans l’évolution de l’usage de la
...
ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE
31
Axes de conception
Check point - Centralisation des points d’accès de télémai...
ARCHITECTURE
SÉCURISÉE DE
TÉLÉMAINTENANCE
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduct...
REPORTING ET CENTRALISATION DES
LOGS
33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction r...
AUDIT – IMPUTABILITÉ - TRAÇABILITÉ
1. Suivi des actions d’un réseau, d’une machine, d’un logiciel
2. Imputabilité (effet d...
AUDIT – IMPUTABILITÉ - TRAÇABILITÉ
Important : séparation des rôles
On ne peut pas empêcher un administrateur (ou quelqu’u...
36
REPORTING ET CENTRALISATION DE LOGS
Les fonctions d’un système de supervision de la sécurité
Services, Serveurs, applia...
REPORTING ET CENTRALISATION DE LOGS
Problématique et besoin
Systèmes hétérogènes : Windows, Unix, Linux, Réseau( Cisco, 3C...
REPORTING ET CENTRALISATION DE LOGS
38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction ré...
REPORTING ET CENTRALISATION DE LOGS
Bluecoat (Proxy Server)
Cisco PIX (Firewall)
Trend Micro
IMSS (Mail Content Scanner)
3...
PRODUITS DU MARCHÉ
Tendance du marché
Produits matures
Marché américain – SOX – PCI/DSS
Contrôle et réglementation
Destiné...
GESTION DES CORRECTIFS DE
SÉCURITÉ
41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction rés...
GESTION DES CORRECTIFS DE SÉCURITÉ
Gestion des correctifs ou patch management
un élément clé de la protection des systèmes...
GESTION DES CORRECTIFS DE SÉCURITÉ –
ILLUSTRATION WSUS
Exemple d’outil de gestion des mises à jour de sécurité (patch
mana...
GESTION DES CORRECTIFS DE SÉCURITÉ –
ILLUSTRATION WSUS
L’administrateur souscrit à certaines catégories de mises à jourLe ...
ANTI-VIRUS
On ne les présente plus…
Très souvent basés sur des signatures
Dans ce cas, il est extrêmement important d’être...
GESTION DES CORRECTIFS DE SÉCURITÉ
Serveur LiveUpdate
Serveur primaire
Serveurs secondaires
100Ko 100Ko
Déploiement de sig...
RÉACTION À UN INCIDENT DE
SÉCURITÉ
47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction rés...
48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMMENT RÉAGIR EN CAS DE CYBE...
RÉACTION À UN INCIDENT DE SÉCURITÉ
49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction rés...
PAUSE-RÉFLEXION
Avez-vous des questions ?
50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduct...
RÉSUMÉ DU MODULE
51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Audit
techni...
MESURES TECHNIQUE DE SÉCURITÉ
MESURES ORGANISATIONNELLES DE SÉCURITÉ
ILLUSTRATIONS
MODULE N°2 : SÉCURISATION D’UN SI
INDUS...
SÉCURISATION D’UN SI INDUSTRIEL
Mesures organisationnelles
1. Cartographie des installations matérielles, des systèmes et ...
SÉCURISATION D’UN SI INDUSTRIEL
Mesures techniques
1. Architecture de zonage pour isoler les parties les plus sensibles
Fi...
SÉCURISATION D’UN SI INDUSTRIEL
Régulation et
automatisme
Mots(millisecondes)
API, DCS, HMI, poste
de conduite
Supervision...
SÉCURISATION D’UN SI INDUSTRIEL
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réserv...
PAUSE-RÉFLEXION
Avez-vous des questions ?
57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduct...
RÉSUMÉ DU MODULE
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mesures
tech...
POUR ALLER PLUS LOIN
Livre
Sécurité informatique et réseaux - 4eme édition de Solange
Ghernaouti (Auteur) édition DUNOD
Ma...
FIN DU VOLET
MERCI POUR VOTRE
ATTENTION
60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproductio...
Prochain SlideShare
Chargement dans…5
×

Sécurite opérationnelle des Système d'Information Volet-3

173 vues

Publié le

Sécurite opérationnelle des Système d'Information Volet-3

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
173
Sur SlideShare
0
Issues des intégrations
0
Intégrations
0
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurite opérationnelle des Système d'Information Volet-3

  1. 1. VOLET 3 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  2. 2. AGENDA VOLET III Module N°1 : Supervision & administration de la sécurité Audit technique de sécurité – vulnérabilités - outils Détection d’intrusion réseau Protocoles sécurisés d’administration Architecture de Télémaintenance sécurisée Reporting et centralisation des logs Gestion des correctifs de sécurité Réaction à un incident de sécurité Module N°2 : Sécurisation d’un système d’information industriel Mesures technique de sécurité Mesures organisationnelles de sécurité Illustrations 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Pour aller plus loin Livre Magazine Articles - Web
  3. 3. TRAVAIL PERSONNEL Sécurité informatique et réseaux - 4eme édition Ghernaouti Lecture des chapitres suivants Chapitre 8 Sécurité par les systèmes pare-feu et de détection d’intrusion : 8.4 Chapitre 10 Sécurité par la gestion de réseau : 10.3, 10.6 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  4. 4. AUDIT TECHNIQUE DE SÉCURITÉ – VULNÉRABILITÉS - OUTILS DÉTECTION D’INTRUSION RÉSEAU & SYSTÈME PROTOCOLES SÉCURISÉS D’ADMINISTRATION ARCHITECTURE DE TÉLÉMAINTENANCE SÉCURISÉE REPORTING ET CENTRALISATION DES LOGS GESTION DES CORRECTIFS DE SÉCURITÉ MODULE N°1 : SUPERVISION & ADMINISTRATION DE LA SÉCURITÉ 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  5. 5. OBJECTIFS Supervision et administration de la sécurité Pour prévenir, détecter et réagir aux incidents de sécurité, les moyens informatiques permettent d’enregistrer et de remonter quantité d’informations à traiter. Pour mesurer de manière ponctuelle ou récurrente son niveau de sécurité, il existe également les audits de vulnérabilités. La légalité de ces pratiques comme le coût (en effort et en moyen) imposent d’organiser rationnellement la supervision de la sécurité. 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  6. 6. AUDIT TECHNIQUE DE SÉCURITÉ 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  7. 7. DIFFÉRENTS TYPES D’AUDIT DE SÉCURITÉ 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  8. 8. AUDIT TECHNIQUE DE SÉCURITÉ Tests d’intrusion Pour parer à d’éventuels incidents certaines sociétés de services proposent une prestation connue sous le nom de « Test d’intrusion » pour évaluer le niveau de sécurité d’un système d’information et apporter des solutions aux problèmes décelés. En quoi consiste ces tests d’intrusion et quels sont leurs objectifs, leurs limites et leurs réelles valeurs ajoutées ? 8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  9. 9. AUDIT TECHNIQUE DE SÉCURITÉ Définition d’un test d’intrusion Attaques identiques à celles menées par des pirates informatiques sans les effets nuisibles que cela suppose Accord entre un prestataire et une société sur : Un périmètre d’action : les serveurs, les sous-réseaux, équipements et/ou applications concernées Une période de temps : durée de l’autorisation des tests d’intrusion. Une limite de tests : pas de perturbation de la production ni de corruption de données. 9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  10. 10. MÉTHODOLOGIE DES AUDITS TECHNIQUES Référentiel en matière de tests intrusifs OWASP : (Open Web Application Security Project ): communauté internationale (entreprises, développeurs, architectes des projets, responsables sécurité) focalisée sur les problèmes de sécurité des applications Web. OSSTMM : L'OSSTMM est le fruit de la volonté de plusieurs auditeurs en sécurité informatique, souhaitant s'appuyer sur un standard rigoureux et pragmatique permettant non seulement de structurer les audits de sécurité, mais également de leur apporter une métrique. 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  11. 11. AUDIT TECHNIQUE DE SÉCURITÉ 11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  12. 12. AUDIT TECHNIQUE DE SÉCURITÉ Les 10 critères de l’OWASP 12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  13. 13. AUDIT TECHNIQUE DE SÉCURITÉ Déroulement d’un test d’intrusion Le déroulement d’un test d’intrusion peut s’assimiler à la méthode des « 5 P » vue précédemment dans le cours. Néanmoins voici les principales étapes Recueil d’informations : Identifier les systèmes : serveurs, firewalls, routeurs, systèmes d’exploitation etc… Recherche et développement : sur la base de données collectées, une recherche des vulnérabilités existantes est effectuée. Sinon, un développement de nouvelles attaques spécifiques à l’objet de l’étude est réalisé. Intrusion : grâce aux vulnérabilités exploitées et/ou l’outil spécifiquement développé, un accès illicite au système d’information est réalisé. Rapport : rapport détaillé présentant les vulnérabilités découvertes et leurs impacts sur le système d’information ainsi que les actions correctives 13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le test d’intrusion est généralement réalisé en aveugle, sans aucune information autre que le cadre du test.
  14. 14. AUDIT TECHNIQUE DE SÉCURITÉ Les contraintes des tests d’intrusion Contraintes juridiques : nécessité d’avoir un contrat bien délimité entre le prestataire et le commanditaire Complexité du système d’information : certaines parties du système d’information peuvent-être hébergées par un tiers ou en infogérance Assurer la continuité des services pendant les tests Définition explicite des services critiques pour l’entreprise Social Engineering : inévitable pour les pirates informatiques, à convenir entre le prestataire et le commanditaire 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  15. 15. AUDIT TECHNIQUE DE SÉCURITÉ Apports des tests d’intrusion Les PME/PMI n’ont pas forcément le budget pour avoir une équipe de sécurité Évaluer le niveau de sécurité à un instant donné ou de manière récurrente Finaliser la sécurisation d’un système d’information Ajuster la sécurité existante : politique de sécurité, procédures, équipements Vérifier la sécurité d’un service installé par un tiers (hébergeurs, prestataires) Objectif stratégique : sensibiliser la hiérarchie Extraction des comptes de la société, carnet d’adresses des clients …. Consolidation du travail des administrateurs informatiques Parfois mal perçu, ou perçu comme une vérification du travail des administrateurs Cela peut induire un comportement indésirable : rétention d’information, modifications des configurations ou des pratiques 15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  16. 16. AUDIT TECHNIQUE DE SÉCURITÉ 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  17. 17. Les sites de publications utilisés dans le cadre de ces tests (liste non exhaustive) sont les suivants : http://nvd.nist.gov/ , http://www.certa.ssi.gouv.fr/ http://www.securityfocus.com/ http://www.sans.org http://cve.mitre.org/ http://cvedetails.com http://secunia.com/ http://www.exploit-db.com/ http://mtc.sri.com/ http://osvdb.org 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  18. 18. EXTRAITS 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Répartition du type de vulnérabilités
  19. 19. OUTILS D’AUDIT DE VULNÉRABILITÉS Présentation de Nessus Architecture de Nessus Architecture modulaire avec la liste des tests à mener Architecture Client / Serveur Client : paramètre le scan et d’obtenir les résultats Serveur effectue les tests Ce découplage permet de positionner plusieurs scanners sur le réseau derrière des firewalls et de piloter le scan à partir d’un point unique. La communication entre le client et le serveur s’effectue en TLSv1 afin d’assurer la confidentialité des résultats transmis au client. Option Safe Check: Sert à limiter les interactions fâcheuses avec les équipements actifs du système informatique 19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ATTENTION : Il y a toujours un risque de générer des perturbations voir des « plantages » d’équipements lors d’un test de sécurité.
  20. 20. DÉTECTION ET PRÉVENTION D’INTRUSION – RÉSEAU (NDIS) & SYSTÈME (HDIS) 20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  21. 21. DÉTECTION ET PRÉVENTION D’INTRUSION – RÉSEAU (NDIS) & SYSTÈME (HDIS) Les systèmes de détection et de prévention d’intrusion Détecte les intrusions dans un réseau (Network DIS - NDIS) ou sur un système (Host DIS - HDIS) Détection de comportement inhabituel Détection de scénarios par signature Détection par filtrage et comptage d’événements Coupure des attaques détectées sur le réseau ou sur le système 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  22. 22. DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS) Les systèmes de détection d’intrusion NIDS Sondes réseau en écoute de trafic Recopie de trafic en environnement commuté Journalisation des événements dans les journaux (logs) Analyse des données des journaux Génération d’alarmes en fonction des événements sur le réseau Trop de faux positifs : fausses alertes Trop de faux négatifs : incidents négligés Les opérateurs analysent les journaux pour une recherche rétrospective 22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  23. 23. DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS) Les systèmes de détection d’intrusion 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  24. 24. DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS) Architecture type d’un système de détection d’intrusion NIDS Transfert des événements en mode lot ou temps réel Réseau Interne Console de gestion BdD Navigateur Web Serveurs Web et Messagerie Internet DMZ Sonde B Sonde C Firewall Sonde A Où doit-t-on placer les sondes ? Réseau Interne 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  25. 25. DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS) Où doit-on placer les sondes NDIS ? - les services les plus exposés et les plus critiques - Exemple : bases de données, ERP… - Identifier les goulots d’étranglement naturels - Les connexions entre réseau se révèlent être d’excellentes positions d’observation. Interconnexion WAN, Connexion Internet 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  26. 26. Système de détection d’intrusion sur une machine HDIS Moniteur d’applications Enregistrement des faits et gestes des utilisateurs au niveau de l’application pour une interprétation aisée Filtrage des données en vue des débordements de tampon (buffer overflow) Signature des attaques spécifiques aux applications Permet de détecter les attaques chiffrées Faiblesses Vision limitée à une seule machine Les HDIS peuvent être attaqués et désactivés 26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés DÉTECTION ET PRÉVENTION D’INTRUSION RÉSEAU (NDIS) & SYSTÈME (HDIS)
  27. 27. IDS : PRODUITS McAffee Cisco IBM HP … 27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  28. 28. PROTOCOLES SÉCURISÉS D’ADMINISTRATION – ARCHITECTURE DE TÉLÉMAINTENANCE SÉCURISÉE 28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  29. 29. PROTOCOLES SÉCURISÉS D’ADMINISTRATION Les protocoles utilisés pour l’administration des systèmes Les protocoles non sécurisés = flux non chiffré et mot de passe en clair Prise de contrôle à distance : Telnet, VNC, PC Anywhere Configuration à distance : HTTP Téléchargement de fichiers : FTP, TFTP Les bons réflexes Nécessaire mais non suffisant : changer le mot de passe par défaut Mettre en œuvre les services d’administration qui utilisent : Le chiffrement des communications entre la console et l’équipement L’authentification des administrateurs Utiliser les protocoles sécurisés SSH au lieu de Telnet HTTPS au lieu de HTTP SFTP au lieu de FTP LDAPS ou lien de LDAP Etc…. Coupler les accès aux services avec des systèmes d'authentification forte - et OTP 29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  30. 30. ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE Plusieurs phénomènes sont à prendre en compte dans l’évolution de l’usage de la l’administration et de la télémaintenance : La croissance constante des flux de télémaintenance par des prestataires extérieurs pour la maintenance des équipements informatiques y compris l’informatique industrielle Le nombre de tiers externes pour la télémaintenance est en augmentation depuis quelques années quelque soit le secteur d’activité La mutualisation des services d’administration et de supervision entre les différents réseaux de la tels que les services de sauvegarde centralisée (DataProtector, Tivoli), de supervision (HP OV), de collecte d’information (Info Centre), de prise de main à distance (RDP, VNC) L’usage de la télémaintenance est prévu à la hausse et ne devrait pas infléchir dans les prochaines années. Il y a une nécessité réelle et immédiate d’anticiper cette évolution afin de mettre en place une architecture de télémaintenance sécurité pérenne et des modes opératoires clairement définis et appliqués par tous les acteurs. 30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  31. 31. ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE 31 Axes de conception Check point - Centralisation des points d’accès de télémaintenance en un point unique Coupure protocolaire et portail applicatif de télémaintenance – favoriser l’accès en VPN SSL sur les applications ciblés et publié sur un portail de télémaintenance – limitation de la surface d’attaque – évite de donner l’accès au LAN complet au réseau d’entreprise Etanchéité des différents réseaux de la société pour les flux de télémaintenance Haute disponibilité – haute disponibilité par des redondances actives Contrôle d’accès logique - authentification forte OTP – compte nominatif Détection d’intrusions Traçabilité – centralisation et reporting de logs PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  32. 32. ARCHITECTURE SÉCURISÉE DE TÉLÉMAINTENANCE 32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Filtrage de flux IP (adresses IP sources et adresses IP destination sur lesquelles la télémaintenance doit être effectuée Sondes HIDS Sonde DMZ NIDS Sonde LAN NIDS
  33. 33. REPORTING ET CENTRALISATION DES LOGS 33 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  34. 34. AUDIT – IMPUTABILITÉ - TRAÇABILITÉ 1. Suivi des actions d’un réseau, d’une machine, d’un logiciel 2. Imputabilité (effet dissuasif + détection + éléments de correction) 3. Permet de comprendre les accès qui ont eu lieu, d’identifier une brèche de sécurité ou une attaque 34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  35. 35. AUDIT – IMPUTABILITÉ - TRAÇABILITÉ Important : séparation des rôles On ne peut pas empêcher un administrateur (ou quelqu’un qui vient d’obtenir ces privilèges lors d’une attaque) de faire ce qu’il veut (dont effacer les logs) Il convient de séparer le rôle d’auditeur du rôle d’administrateur en exportant les logs et les rapports audits hors des composants audités 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  36. 36. 36 REPORTING ET CENTRALISATION DE LOGS Les fonctions d’un système de supervision de la sécurité Services, Serveurs, appliances, équipements réseau, postes clients N°1 : Générer et collecter les événements N°2 : Centraliser les journaux N°3 : Stocker et Archiver N°4 : Filtrer, analyser, Corréler les événements N°5 : Afficher les alertes Administrateur de la sécurité PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  37. 37. REPORTING ET CENTRALISATION DE LOGS Problématique et besoin Systèmes hétérogènes : Windows, Unix, Linux, Réseau( Cisco, 3COM, Nortel) et autres appliances (Firewall, IPS, Proxy, Anti-virus) La sécurité nécessite de superviser tous les éléments du système d’information Chaque système classique stocke en général localement ses événements sous une forme qui n’est pas forcément standard « Trop de logs tue les log » 37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  38. 38. REPORTING ET CENTRALISATION DE LOGS 38 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  39. 39. REPORTING ET CENTRALISATION DE LOGS Bluecoat (Proxy Server) Cisco PIX (Firewall) Trend Micro IMSS (Mail Content Scanner) 39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  40. 40. PRODUITS DU MARCHÉ Tendance du marché Produits matures Marché américain – SOX – PCI/DSS Contrôle et réglementation Destiné à des grands comptes Produits jeunes Référence à Splunk ClicknDecide – Rachat de Net Report Stratégie de licencing Volumétrie – nb lignes / jour EPD (clikndecide) - débit Mo/jour (splunk) Nombre d’équipements– WhatsupGold 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  41. 41. GESTION DES CORRECTIFS DE SÉCURITÉ 41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  42. 42. GESTION DES CORRECTIFS DE SÉCURITÉ Gestion des correctifs ou patch management un élément clé de la protection des systèmes d’information Problématique actuelle Menaces récurrentes par les virus Le périmètre de vulnérabilité s’est élargi. C’est tout le réseau de l’entreprise qui peut être mis hors service La période entre la publication d’une vulnérabilité par l’éditeur et l’apparition d’un programme malveillant exploitant cette vulnérabilité s’est considérablement réduit 42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La priorité n’est pas de savoir si une vulnérabilité sera exploitée dans le système d’information, mais de savoir à quel moment et sur quel composant elle sera. L’objectif de sécurité est réduire au maximum le temps de correction de la vulnérabilité.
  43. 43. GESTION DES CORRECTIFS DE SÉCURITÉ – ILLUSTRATION WSUS Exemple d’outil de gestion des mises à jour de sécurité (patch management) sous Windows avec Update Services (WSUS) Basé sur le service de Mises à jour automatiques de Windows (Win 7, Win 8, 2008 R2, 2012 R2) Configurable par stratégie de groupe pour télécharger et/ou appliquer les mises à jour 43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  44. 44. GESTION DES CORRECTIFS DE SÉCURITÉ – ILLUSTRATION WSUS L’administrateur souscrit à certaines catégories de mises à jourLe serveur télécharge les mises à jour depuis Microsoft UpdateLes clients s’enregistrent auprès du serveurL’administrateur met les clients dans différents groupes ciblesL’administrateur approuve les mises à jour Microsoft Update (utilise WSUS) Serveur WSUS Postes de travail (clients WSUS) Groupe cible 1 Serveurs (clients WSUS) Groupe cible 2Administrateur WSUS 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les clients installent les mises à jour approuvées par l’administrateur
  45. 45. ANTI-VIRUS On ne les présente plus… Très souvent basés sur des signatures Dans ce cas, il est extrêmement important d’être à jour pour avoir une protection valable Toutes les signatures ne se valent pas certaines sont des suites d’octets (donc risque de non détection si modification d’un des octets non significatifs dans une variante) d’autres sont des éléments logiques (et permettent de détecter des variantes) Parfois heuristiques Pour les virus macro en particulier (cf Office) Certains se passent complètement de signatures (cf Viguard, plus proche d’un HIPS que d’un antivirus) 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Internet
  46. 46. GESTION DES CORRECTIFS DE SÉCURITÉ Serveur LiveUpdate Serveur primaire Serveurs secondaires 100Ko 100Ko Déploiement de signatures anti-virus en entreprise Connexion au serveur LiveUpdate de l’éditeur Déploiement des signatures anti-virus : Ditribution des définitions à tous les serveurs et tous les clients Mise à jour incrémentale à partir du serveur parent 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  47. 47. RÉACTION À UN INCIDENT DE SÉCURITÉ 47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  48. 48. 48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés COMMENT RÉAGIR EN CAS DE CYBER CRIME ? http://www.clusif.asso.fr/fr/production/cybervictime/ Dans le cadre professionnel : veuillez d’abord contacter votre responsable sécurité informatique ou bien votre responsable hiérarchique.
  49. 49. RÉACTION À UN INCIDENT DE SÉCURITÉ 49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés La DPSD La police : DCPJJ/OCLCTIC, DCRI, PP/BEFTI, La gendarmerie : IRCGN, STRJD, NTECH La justice En cas d’incident : Office Central de Lutte contre la Criminalité liées aux Technologies de l’Information et de la Communication (OCLCTIC) 101 Rue des 3 Fontanot - 92000 NANTERRE Tel : 01.49.27.49.27 "info-escroqueries" 08 11 02 02 17
  50. 50. PAUSE-RÉFLEXION Avez-vous des questions ? 50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  51. 51. RÉSUMÉ DU MODULE 51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Audit technique de sécurité - outil Détection d’intrusion Architecture de télémaintenance sécurisée Protocoles sécurisés d’administration Gestion des correctifs de sécurité Reporting et centralisation des logs Réaction à un incident de sécurité
  52. 52. MESURES TECHNIQUE DE SÉCURITÉ MESURES ORGANISATIONNELLES DE SÉCURITÉ ILLUSTRATIONS MODULE N°2 : SÉCURISATION D’UN SI INDUSTRIEL 52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  53. 53. SÉCURISATION D’UN SI INDUSTRIEL Mesures organisationnelles 1. Cartographie des installations matérielles, des systèmes et des applications critiques 2. Classification des différents niveaux de criticités attendus 3. Identification des personnels responsables Sensibilisation à cyber sécurité et formation interne / externe 4. Intégration de la cyber sécurité dans le cycle de vue du système industriel Spécification, conception, audit technique, veille sécurité, veille de l’obsolescence du parc 5. Plan de maintenance et opérations associées 6. Sécurité physique et contrôle d’accès aux locaux 7. Maitrise des intervenants 8. Plan de reprise et de continuité d’activité (cours 4A) 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  54. 54. SÉCURISATION D’UN SI INDUSTRIEL Mesures techniques 1. Architecture de zonage pour isoler les parties les plus sensibles Firewall, Diode, VLANs, filtrage IP, chiffrement de flux sensibles (VPN IPSEC, SSL) 2. Contrôle d’accès Gestion des comptes et authentification – suppression des mots de passe par défaut Principe du moindre privilège 3. Architecture de télémaintenance sécurisée Authentification forte, traçabilité, environnement de type bac à sable pour les tiers externes 4. Contrôle des administrateurs du système d’information Durcissement des configurations (protocoles sécurisés, authentification, ouvrir désactivation des services inutilisés par l’API) Chiffrement du firmware, contrôle de la signature du firmware, Politique de gestion des correctifs de sécurité 5. Programmes des automates (développement sécurisé) 6. Supervision de la sécurité Reporting et centralisation des logs Sondes de détection d’intrusion 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  55. 55. SÉCURISATION D’UN SI INDUSTRIEL Régulation et automatisme Mots(millisecondes) API, DCS, HMI, poste de conduite Supervision Elaboration des ordres - calculateur de process - Pilotage historisation - gestion des processus industriels (MES) Fonctions centrales finance, compta, info centre 55 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Niveau 0Capteur et Actionneur Bits (microsecondes) Systèmes embarqués Firewall industriel Administration réseau Formation et sensibilisation Architecture de télémaintenance sécurisée Surveillance des états Segmentation des réseaux critiques
  56. 56. SÉCURISATION D’UN SI INDUSTRIEL 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  57. 57. PAUSE-RÉFLEXION Avez-vous des questions ? 57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  58. 58. RÉSUMÉ DU MODULE 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mesures techniques Mesures organisationnelles Illustrations
  59. 59. POUR ALLER PLUS LOIN Livre Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD Magazine http://boutique.ed-diamond.com/ (revue MISC) Web http://www.ssi.gouv.fr/ http://www.securite-informatique.gouv.fr http://www.forum-fic.com/ http://www.gsdays.fr/ https://www.lesassisesdelasecurite.com/ 59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  60. 60. FIN DU VOLET MERCI POUR VOTRE ATTENTION 60 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

×