Téléchargé parISMAILNEGABI1
12 vues

Cours_1_Introductiona_la_Securite_des_Sy.pdf

Cours_1_Introductiona_la_Securite_des_Sy.pdf

Intégrer la présentation

Télécharger pour lire hors ligne
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Cours 1 : Introduction à la Sécurité des Systèmes d’Information Odile PAPINI ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/SSI.html Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Plan du cours 1 1 Introduction 2 Etat des lieux 3 Les normes ISO 17799, ISO 27002 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Plan du cours Introduction Etat des lieux Normes ISO 17799, ISO 27002 Panorama des menaces Panorama des attaques Politiques de sécurité Contrôle d’accés Détection d’intrusions Biométrie Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction Système d’information (définition) Le système d’information comprend les matériels informatiques et les équipements périphériques, les logiciels et microprogrammes, les algorithmes et spécifications internes aux programmes, la documentation, les moyens de transmission, les procédures, les données et les informations qui sont collectées, gardées, traitées, recherchées ou transmises par ces moyens ainsi que les ressources humaines qui les mettent en oeuvre. Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction Sécurité : protection contre les accidents protection physique qualité de l’environnement fiabilité des systèmes, pannes, tolérance de pannes systèmes de secours, sauvegardes, maintenance qualité de base des logiciels confidentialité, intégrité, disponibilité intrusion réseau virus, piratage, · · · Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction L’information numérique est vulnérable peut être détruite, amputée, falsifiée, modifiée pas d’original, ni de copies mais des clones où la reproduction est à l’identique L’information numérique est volatile peut être ajustée, personnalisée un document générique peut être particularisé pour un destinataire spécifique un logiciel général peut être ajusté selon le contexte ou ciblé selon un usage spécifique Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction sécurité des SSI : concepts clés Fig.: source : W. Stallings & L. Brown Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction : périmètre de la sécurité des SSI Fig.: source : W. Stallings & L. Brown Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction les enjeux de la sécurité des SSI maı̂triser le traitement, le stockage, le transport de l’information valoriser les contenus multimédia, logiciel, propriétés intellectuelles, · · · libre circulation des contenus disséminer les oeuvres, rétribuer les auteurs asseoir la confiance dans l’univers numérique e-commerce, e-buisness, e-gouvernement, · · · sécuriser les personnes (libertés, protection de d’intimité) les entreprises et organisations (prévention des risques) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction Sécurité : norme ISO 27002 (ex ISO 17799 :2005) : décrit les différents items à couvrir dans le domaine de la sécurité des SSI Qui est concerné par la sécurité des SSI ? les informaticiens les dirigeants les utilisateurs tous les membres du groupe concernés par le système d’information Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction Pluridisciplinarité de la sécurité : éthique législation règlementation technique méthodologie normes Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction vulnérabilité des systèmes d’information cohabitation de nouvelles et anciennes applications interconnection de différents SI ouverture du SI vers l’extérieur (internet) télémaintenance, infogérance mobilité, nomadisme Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction origine des sinistres attaques logiques virus malveillance erreurs / négligence catastrophes naturelles terrorisme · · · Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction pertes dues à des pbs de sécurité Fig.: au niveau international (source : FBI 2006) (1) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction conséquences : fermeture de l’entreprise perte financière perte de contrat litige · · · Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction Sécurité des SSI enjeu économique et social fondamental aussi enjeu pour l’intégrité de la nation défi permanent les risques sont énormes mais(heureusement) il y a peu de sinistres (déclarés) cependant il faudrait anticiper : la sécurité a un coût Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction Mise en place d’une politique de sécurité (PSI) liens sensibles menaces impacts mesures à adopter 55% des entreprises sont dotèes dune PSI (source : rapport CLUSIF 2008) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les entreprises définir une politique de sécurité : aspects techniques aspects humains communiquer, sensibiliser : aspects techniques aspects humains Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction Mise en oeuvre d’une politique de sécurité : système d’authentification (biométrie, serveur d’authentification , · · · ) chiffrement (PKI, mécanismes intégrés à des protocoles de communication (IPsec), · · · ) pare feux (firewall) système anti-virus outil de détection de failles de sécurité système de détection d’intrusions système d’exploitation sécurisé · · · Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Introduction technologies utilisées Fig.: au niveau international (source : FBI 2006) (2) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux La sécurité en quelques chiffres : sources CLUSIF, 2008 http ://www.clusif.asso.fr/ enquête réalisée auprès de : 354 entreprises de plus de 200 salariés 194 collectivités locales, conseils, régionaux, généraux, mairies de plus de 30 00 habitants 1139 internautes Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : Méthodologie de l’enquête norme ISO 27002(ex 17799) pour les entreprises et collectivités : thème 5 : politique de sécurité thème 6 : organisation de la sécurité et moyens thème 7 : gestion des risques liés à la sécurité des SI thème 8 : sécurité des ressources humaines (charte, sensibilisation) thème 10 : gestion des communications et des opérations thème 11 : contrôle des accès thème 12 : acquisition, développement et maintenance thème 13 : gestion des incidents de sécurité thème 14 : gestion de continuité thème 15 : conformité (CNIL, audits, tableaux de bord) thème 9 : sécurité physique non abordé Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : méthodologie de l’enquête thèmes abordés pour les internautes caractérisation socioprofessionnelle et identification des outils informatiques usage de l’informatique et d’internet à domicile gestion des risques liés à la sécurité des SI perception de la menace informatique, sensibilité aux risques et à la sécurité, incidents rencontrés pratiques de sécurité mises en oeuvre (comportement, solutions techniques) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les entreprises secteurs d’activités BTP Commerce Industrie Services, banque, assurances Transport Télécoms Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les entreprises effectifs de l’échantillon n : effectifs pourcentage 200 ≤ n ≤ 499 66% 500 ≤ n ≤ 999 19% n > 1000 15% Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les entreprises rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/♯conf080619 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les collectivités locales collectivités locales Mairies de plus de 30 000 habitants Communautés d’agglomération de plus de 50 000 habitants Communautés de communes de plus de 20 000 habitants Conseils généraux Conseils régionaux Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les collectivités locales échantillon collectivités pourcentage mairies 34% communautés de communes 32% communautés d’agglomération 20% conseils généraux 11% conseils régionaux 3% Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les collectivités locales rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/♯conf080619 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Etat des lieux : les internautes rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/♯conf080619 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Sécurité Que protéger ? De quoi les protéger ? Quels sont les risques ? l’entreprise ? Liste des menaces Liste des biens à protéger Liste des impacts et probabilités Liste des contre-mesures Comment protéger Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Normes internationales concernant la sécurité de l’information les plus récentes norme ISO 17799 : différentes versions norme ISO 17799 : 2005 de juin 2005 à juin 2007 norme ISO 27002 depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la sécurité l’information http ://www.iso.org/iso/iso catalogue/catalogue tc/ catalogue detail.htm ?csnumber=39612 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 objectifs et recommandations pour la sécurité informatique publiée en juin 2005 répondre aux préoccupations globales de sécurisation des entités pour l’ensemble de leurs activités Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 ORGANISATIONNEL OPERATIONNEL 12 développement et maintenance 11 gestion de continuité 13 gestion des incidents 9 sécurité physique et environnementale 11 contrôle d’accès 8 sécurité des ressources humaines 15 conformité 7 gestion des actifs de la sécurité 6 organisation 5 politique de sécurité 10 gestion des communications et de l’exploitation ARCHITECTURE DE LA NORME ISO 17799 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 couverture thématique de la norme ISO 17799 la norme identifie des objectifs pour la sécurité informatique selon 3 critères : confidentialité : absence de divulgation non autorisée d’informations intégrité : prévention de modifications ou de suppressions non autorisée d’informations disponibilité : garantit l’accès aux informations du système Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 les objectifs de sécurité sont regroupés en 11 thèmatiques : politique de sécurité organisation de la sécurité classification et contrôle du ”patrimoine informationnel” sécurité et ressources humaines sécurité physique gestion des opérations et des communications contrôle d’accès acquisition, développement, maintenance gestion des incidents gestion de la continuité d’activité conformité à la règlementation interne et externe Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 Sécurité l’entreprise ? Liste des menaces Liste des biens à protéger Liste des impacts et probabilités Liste des contre-mesures 2) De quoi les protéger ? 3) Quels sont les risques ? 4) Comment protéger 1) Que protéger ? Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 mise oeuvre de la norme ISO 17799 étapes 1) - 3) : laissées aux entités (choix de méthodologie) étapes 4) : corps de la norme ISO 17799 Il est nécessaire de : d’identifier les exigences légales et règlementaires d’identifier les enjeux de l’entité et les attentes qui en découlent de définir un périmètre de mise en application de la norme Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 analyse de risques la norme ISO 17799 recense des modalités et des règles pour traiter les risques (réduire, transférer, prendre ou refuser les risques) la norme ISO 17799 recommande en complément une analyse de risques, (sans préciser la méthode) les méthodes reconnnues les plus connues (en France) : MARION (CLUSIF) : https ://www.clusif.asso.fr/ MEHARI (CLUSIF) : https ://www.clusif.asso.fr/fr/production/mehari EBIOS (DCSSI) : http ://www.ssi.gouv.fr/fr/confiance/ebios.html Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 norme ISO 17799 : outil de communication référentiel pour communiquer : à l’intérieur de l’entité (responsables, personnels) à l’extérieur de l’entité (partenaires, clients) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La norme Norme ISO 17799 De A sur quoi communiquer direction générale besoin d’établir une politique de sécurité inspirée de l’ISO 17799 responsable toute l’entité la sensibilisation sécurité des services et des personnels toute l’entité le bien-fondé des mesures de sécurité à mettre en place direction générale la conformité des mesures de sécurité par rapport au cadre de la norme entité clients la cohérence de la démarche de sécurité avec la norme ISO 17799 partenaires le bien-fondé d’imposer des exigences de sécurité cohérentes avec ISO 17799 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 La Norme ISO 17799 la norme ISO 17799 n’est pas une certification certification : délivrée par un organisme indépendant permet d’attester la conformité d’un produit, système, service s’appuie sur un audit Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Norme ISO 27002 en vigueur depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la sécurité l’information évolution de la norme ISO 17799 :2005 pallie ses principales insuffisances : définition de niveaux de sécurité, la méthodologie d’analyse et de gestion des risques (norme ISO 27005), la notion de plan d’action, la notion d’indicateurs et de métriques de sécurité (norme ISO 27004). http ://www.iso.org/iso/iso catalogue/catalogue ics/catalogue detail ics.htm ?csnumber=50297 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 organisées sur 12 thèmes : Chapitre 4 : Appréciation et traitement du risque. Chapitre 5 : Politique de sécurité. Chapitre 6 : Organisation de la sécurité de l’information. Chapitre 7 : Gestion des biens. Chapitre 8 : Sécurité liée aux ressources humaines. Chapitre 9 : Sécurité physique et environnementale. Chapitre 10 : Gestion des communications et de l’exploitation. Chapitre 11 : Contrôle d’accès. Chapitre 12 : Acquisition, développement et maintenance des systèmes d’information. Chapitre 13 : Gestion des incidents liés à la sécurité de l’information. Chapitre 14 : Gestion de la continuité d’activité. Chapitre 15 : Conformité légale et réglementaire. Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Fig.: (source : Hervé Schauer consultants) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Fig.: (source : Hervé Schauer consultants) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Fig.: (source : Hervé Schauer consultants) Odile PAPINI Sécurité des Systèmes d’Information
Introduction Etat des lieux Les normes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Références pour les normes ISO 27004 et ISO 27005 : http ://www.hsc.fr/ressources/presentations/cfssi-iso27- intro/index.html.fr Odile PAPINI Sécurité des Systèmes d’Information

Contenu connexe

PPT
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
PDF
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
PPTX
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
parHanen Bensaad
 
PDF
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parTUNDA-OLEMBE DJAMBA
 
PDF
Introduction à la sécurité des SI
parJean-Michel Tyszka
 
PPT
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
DOC
La sécurité des systèmes d’information
parlara houda
 
PDF
Le Management de la sécurité des SI
parDIALLO Boubacar
 
Support_Formation_Exigences de la norme ISO 27001.ppt
parimed11
 
Cadre méthodologique pour un SMSI_jm_16x9.pdf
parJean-Marie Gandois
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
parHanen Bensaad
 
TUNDA OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE AVANCÉE. VERS...
parTUNDA-OLEMBE DJAMBA
 
Introduction à la sécurité des SI
parJean-Michel Tyszka
 
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
La sécurité des systèmes d’information
parlara houda
 
Le Management de la sécurité des SI
parDIALLO Boubacar
 

Similaire à Cours_1_Introductiona_la_Securite_des_Sy.pdf

PDF
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
PPT
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
PDF
Sã©curitã© des systã¨mes d'information
parDany Rabe
 
PDF
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
PPT
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
parlancedafric.org
 
PPTX
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
PDF
Infosafe ah 2014 15
parAlain Huet
 
PDF
Sécurité des Systèmes Répartis- Partie 1
parLilia Sfaxi
 
PPTX
Audit de sécurité informatique
parMohamed Ali Hadhri
 
PDF
Presentation iso27002
parsoumaila Doumbia
 
PPTX
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
PDF
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
PDF
TUNDA-OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE - Editi...
parTUNDA-OLEMBE DJAMBA
 
PPT
Audit
parzan
 
PDF
Ichec entrepr ah 2015
parAlain Huet
 
PDF
TUNDA-OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE ET CRYPTOGRAPHI...
parTUNDA-OLEMBE DJAMBA
 
PPTX
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
PDF
Cours_Crypto_Chapitre1_Part1 de Fso m2i.pdf
partaoufikmansouri76
 
PDF
resume-theorique-m206-v1-0-62f6e972d0748.pdf
parAmineelbouabidi
 
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
Sã©curitã© des systã¨mes d'information
parDany Rabe
 
TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
TUNDA OLEMBE DJAMBA , COURS DE SECURITE INFORMATIQUE ET CYPTOGRAPHIE.pdf
parTUNDA-OLEMBE DJAMBA
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
parlancedafric.org
 
securite-2015-fond-blanc-sans-commentaires.pptx
paranisbenaissa3
 
Infosafe ah 2014 15
parAlain Huet
 
Sécurité des Systèmes Répartis- Partie 1
parLilia Sfaxi
 
Audit de sécurité informatique
parMohamed Ali Hadhri
 
Presentation iso27002
parsoumaila Doumbia
 
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
TUNDA-OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE - Editi...
parTUNDA-OLEMBE DJAMBA
 
Audit
parzan
 
Ichec entrepr ah 2015
parAlain Huet
 
TUNDA-OLEMBE DJAMBA, NOTES DU COURS DE SÉCURITÉ INFORMATIQUE ET CRYPTOGRAPHI...
parTUNDA-OLEMBE DJAMBA
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
Cours_Crypto_Chapitre1_Part1 de Fso m2i.pdf
partaoufikmansouri76
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
parAmineelbouabidi
 

Cours_1_Introductiona_la_Securite_des_Sy.pdf

  • 1.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Cours 1 : Introduction à la Sécurité des Systèmes d’Information Odile PAPINI ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/SSI.html Odile PAPINI Sécurité des Systèmes d’Information
  • 2.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Plan du cours 1 1 Introduction 2 Etat des lieux 3 Les normes ISO 17799, ISO 27002 Odile PAPINI Sécurité des Systèmes d’Information
  • 3.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Plan du cours Introduction Etat des lieux Normes ISO 17799, ISO 27002 Panorama des menaces Panorama des attaques Politiques de sécurité Contrôle d’accés Détection d’intrusions Biométrie Odile PAPINI Sécurité des Systèmes d’Information
  • 4.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction Système d’information (définition) Le système d’information comprend les matériels informatiques et les équipements périphériques, les logiciels et microprogrammes, les algorithmes et spécifications internes aux programmes, la documentation, les moyens de transmission, les procédures, les données et les informations qui sont collectées, gardées, traitées, recherchées ou transmises par ces moyens ainsi que les ressources humaines qui les mettent en oeuvre. Odile PAPINI Sécurité des Systèmes d’Information
  • 5.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction Sécurité : protection contre les accidents protection physique qualité de l’environnement fiabilité des systèmes, pannes, tolérance de pannes systèmes de secours, sauvegardes, maintenance qualité de base des logiciels confidentialité, intégrité, disponibilité intrusion réseau virus, piratage, · · · Odile PAPINI Sécurité des Systèmes d’Information
  • 6.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction L’information numérique est vulnérable peut être détruite, amputée, falsifiée, modifiée pas d’original, ni de copies mais des clones où la reproduction est à l’identique L’information numérique est volatile peut être ajustée, personnalisée un document générique peut être particularisé pour un destinataire spécifique un logiciel général peut être ajusté selon le contexte ou ciblé selon un usage spécifique Odile PAPINI Sécurité des Systèmes d’Information
  • 7.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction sécurité des SSI : concepts clés Fig.: source : W. Stallings & L. Brown Odile PAPINI Sécurité des Systèmes d’Information
  • 8.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction : périmètre de la sécurité des SSI Fig.: source : W. Stallings & L. Brown Odile PAPINI Sécurité des Systèmes d’Information
  • 9.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction les enjeux de la sécurité des SSI maı̂triser le traitement, le stockage, le transport de l’information valoriser les contenus multimédia, logiciel, propriétés intellectuelles, · · · libre circulation des contenus disséminer les oeuvres, rétribuer les auteurs asseoir la confiance dans l’univers numérique e-commerce, e-buisness, e-gouvernement, · · · sécuriser les personnes (libertés, protection de d’intimité) les entreprises et organisations (prévention des risques) Odile PAPINI Sécurité des Systèmes d’Information
  • 10.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction Sécurité : norme ISO 27002 (ex ISO 17799 :2005) : décrit les différents items à couvrir dans le domaine de la sécurité des SSI Qui est concerné par la sécurité des SSI ? les informaticiens les dirigeants les utilisateurs tous les membres du groupe concernés par le système d’information Odile PAPINI Sécurité des Systèmes d’Information
  • 11.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction Pluridisciplinarité de la sécurité : éthique législation règlementation technique méthodologie normes Odile PAPINI Sécurité des Systèmes d’Information
  • 12.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction vulnérabilité des systèmes d’information cohabitation de nouvelles et anciennes applications interconnection de différents SI ouverture du SI vers l’extérieur (internet) télémaintenance, infogérance mobilité, nomadisme Odile PAPINI Sécurité des Systèmes d’Information
  • 13.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction origine des sinistres attaques logiques virus malveillance erreurs / négligence catastrophes naturelles terrorisme · · · Odile PAPINI Sécurité des Systèmes d’Information
  • 14.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction pertes dues à des pbs de sécurité Fig.: au niveau international (source : FBI 2006) (1) Odile PAPINI Sécurité des Systèmes d’Information
  • 15.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction conséquences : fermeture de l’entreprise perte financière perte de contrat litige · · · Odile PAPINI Sécurité des Systèmes d’Information
  • 16.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction Sécurité des SSI enjeu économique et social fondamental aussi enjeu pour l’intégrité de la nation défi permanent les risques sont énormes mais(heureusement) il y a peu de sinistres (déclarés) cependant il faudrait anticiper : la sécurité a un coût Odile PAPINI Sécurité des Systèmes d’Information
  • 17.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction Mise en place d’une politique de sécurité (PSI) liens sensibles menaces impacts mesures à adopter 55% des entreprises sont dotèes dune PSI (source : rapport CLUSIF 2008) Odile PAPINI Sécurité des Systèmes d’Information
  • 18.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les entreprises définir une politique de sécurité : aspects techniques aspects humains communiquer, sensibiliser : aspects techniques aspects humains Odile PAPINI Sécurité des Systèmes d’Information
  • 19.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction Mise en oeuvre d’une politique de sécurité : système d’authentification (biométrie, serveur d’authentification , · · · ) chiffrement (PKI, mécanismes intégrés à des protocoles de communication (IPsec), · · · ) pare feux (firewall) système anti-virus outil de détection de failles de sécurité système de détection d’intrusions système d’exploitation sécurisé · · · Odile PAPINI Sécurité des Systèmes d’Information
  • 20.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Introduction technologies utilisées Fig.: au niveau international (source : FBI 2006) (2) Odile PAPINI Sécurité des Systèmes d’Information
  • 21.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux La sécurité en quelques chiffres : sources CLUSIF, 2008 http ://www.clusif.asso.fr/ enquête réalisée auprès de : 354 entreprises de plus de 200 salariés 194 collectivités locales, conseils, régionaux, généraux, mairies de plus de 30 00 habitants 1139 internautes Odile PAPINI Sécurité des Systèmes d’Information
  • 22.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : Méthodologie de l’enquête norme ISO 27002(ex 17799) pour les entreprises et collectivités : thème 5 : politique de sécurité thème 6 : organisation de la sécurité et moyens thème 7 : gestion des risques liés à la sécurité des SI thème 8 : sécurité des ressources humaines (charte, sensibilisation) thème 10 : gestion des communications et des opérations thème 11 : contrôle des accès thème 12 : acquisition, développement et maintenance thème 13 : gestion des incidents de sécurité thème 14 : gestion de continuité thème 15 : conformité (CNIL, audits, tableaux de bord) thème 9 : sécurité physique non abordé Odile PAPINI Sécurité des Systèmes d’Information
  • 23.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : méthodologie de l’enquête thèmes abordés pour les internautes caractérisation socioprofessionnelle et identification des outils informatiques usage de l’informatique et d’internet à domicile gestion des risques liés à la sécurité des SI perception de la menace informatique, sensibilité aux risques et à la sécurité, incidents rencontrés pratiques de sécurité mises en oeuvre (comportement, solutions techniques) Odile PAPINI Sécurité des Systèmes d’Information
  • 24.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les entreprises secteurs d’activités BTP Commerce Industrie Services, banque, assurances Transport Télécoms Odile PAPINI Sécurité des Systèmes d’Information
  • 25.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les entreprises effectifs de l’échantillon n : effectifs pourcentage 200 ≤ n ≤ 499 66% 500 ≤ n ≤ 999 19% n > 1000 15% Odile PAPINI Sécurité des Systèmes d’Information
  • 26.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les entreprises rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/♯conf080619 Odile PAPINI Sécurité des Systèmes d’Information
  • 27.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les collectivités locales collectivités locales Mairies de plus de 30 000 habitants Communautés d’agglomération de plus de 50 000 habitants Communautés de communes de plus de 20 000 habitants Conseils généraux Conseils régionaux Odile PAPINI Sécurité des Systèmes d’Information
  • 28.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les collectivités locales échantillon collectivités pourcentage mairies 34% communautés de communes 32% communautés d’agglomération 20% conseils généraux 11% conseils régionaux 3% Odile PAPINI Sécurité des Systèmes d’Information
  • 29.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les collectivités locales rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/♯conf080619 Odile PAPINI Sécurité des Systèmes d’Information
  • 30.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Etat des lieux : les internautes rapport CLUSIF 2008 : http ://www.clusif.asso.fr/fr/infos/event/♯conf080619 Odile PAPINI Sécurité des Systèmes d’Information
  • 31.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Sécurité Que protéger ? De quoi les protéger ? Quels sont les risques ? l’entreprise ? Liste des menaces Liste des biens à protéger Liste des impacts et probabilités Liste des contre-mesures Comment protéger Odile PAPINI Sécurité des Systèmes d’Information
  • 32.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Normes internationales concernant la sécurité de l’information les plus récentes norme ISO 17799 : différentes versions norme ISO 17799 : 2005 de juin 2005 à juin 2007 norme ISO 27002 depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la sécurité l’information http ://www.iso.org/iso/iso catalogue/catalogue tc/ catalogue detail.htm ?csnumber=39612 Odile PAPINI Sécurité des Systèmes d’Information
  • 33.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 objectifs et recommandations pour la sécurité informatique publiée en juin 2005 répondre aux préoccupations globales de sécurisation des entités pour l’ensemble de leurs activités Odile PAPINI Sécurité des Systèmes d’Information
  • 34.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 ORGANISATIONNEL OPERATIONNEL 12 développement et maintenance 11 gestion de continuité 13 gestion des incidents 9 sécurité physique et environnementale 11 contrôle d’accès 8 sécurité des ressources humaines 15 conformité 7 gestion des actifs de la sécurité 6 organisation 5 politique de sécurité 10 gestion des communications et de l’exploitation ARCHITECTURE DE LA NORME ISO 17799 Odile PAPINI Sécurité des Systèmes d’Information
  • 35.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 couverture thématique de la norme ISO 17799 la norme identifie des objectifs pour la sécurité informatique selon 3 critères : confidentialité : absence de divulgation non autorisée d’informations intégrité : prévention de modifications ou de suppressions non autorisée d’informations disponibilité : garantit l’accès aux informations du système Odile PAPINI Sécurité des Systèmes d’Information
  • 36.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 les objectifs de sécurité sont regroupés en 11 thèmatiques : politique de sécurité organisation de la sécurité classification et contrôle du ”patrimoine informationnel” sécurité et ressources humaines sécurité physique gestion des opérations et des communications contrôle d’accès acquisition, développement, maintenance gestion des incidents gestion de la continuité d’activité conformité à la règlementation interne et externe Odile PAPINI Sécurité des Systèmes d’Information
  • 37.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 Sécurité l’entreprise ? Liste des menaces Liste des biens à protéger Liste des impacts et probabilités Liste des contre-mesures 2) De quoi les protéger ? 3) Quels sont les risques ? 4) Comment protéger 1) Que protéger ? Odile PAPINI Sécurité des Systèmes d’Information
  • 38.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 mise oeuvre de la norme ISO 17799 étapes 1) - 3) : laissées aux entités (choix de méthodologie) étapes 4) : corps de la norme ISO 17799 Il est nécessaire de : d’identifier les exigences légales et règlementaires d’identifier les enjeux de l’entité et les attentes qui en découlent de définir un périmètre de mise en application de la norme Odile PAPINI Sécurité des Systèmes d’Information
  • 39.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 analyse de risques la norme ISO 17799 recense des modalités et des règles pour traiter les risques (réduire, transférer, prendre ou refuser les risques) la norme ISO 17799 recommande en complément une analyse de risques, (sans préciser la méthode) les méthodes reconnnues les plus connues (en France) : MARION (CLUSIF) : https ://www.clusif.asso.fr/ MEHARI (CLUSIF) : https ://www.clusif.asso.fr/fr/production/mehari EBIOS (DCSSI) : http ://www.ssi.gouv.fr/fr/confiance/ebios.html Odile PAPINI Sécurité des Systèmes d’Information
  • 40.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 norme ISO 17799 : outil de communication référentiel pour communiquer : à l’intérieur de l’entité (responsables, personnels) à l’extérieur de l’entité (partenaires, clients) Odile PAPINI Sécurité des Systèmes d’Information
  • 41.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La norme Norme ISO 17799 De A sur quoi communiquer direction générale besoin d’établir une politique de sécurité inspirée de l’ISO 17799 responsable toute l’entité la sensibilisation sécurité des services et des personnels toute l’entité le bien-fondé des mesures de sécurité à mettre en place direction générale la conformité des mesures de sécurité par rapport au cadre de la norme entité clients la cohérence de la démarche de sécurité avec la norme ISO 17799 partenaires le bien-fondé d’imposer des exigences de sécurité cohérentes avec ISO 17799 Odile PAPINI Sécurité des Systèmes d’Information
  • 42.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 La Norme ISO 17799 la norme ISO 17799 n’est pas une certification certification : délivrée par un organisme indépendant permet d’attester la conformité d’un produit, système, service s’appuie sur un audit Odile PAPINI Sécurité des Systèmes d’Information
  • 43.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Norme ISO 27002 en vigueur depuis juillet 2007 Titre de la norme ISO 27002 : Code de bonnes pratiques pour la gestion de la sécurité l’information évolution de la norme ISO 17799 :2005 pallie ses principales insuffisances : définition de niveaux de sécurité, la méthodologie d’analyse et de gestion des risques (norme ISO 27005), la notion de plan d’action, la notion d’indicateurs et de métriques de sécurité (norme ISO 27004). http ://www.iso.org/iso/iso catalogue/catalogue ics/catalogue detail ics.htm ?csnumber=50297 Odile PAPINI Sécurité des Systèmes d’Information
  • 44.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 organisées sur 12 thèmes : Chapitre 4 : Appréciation et traitement du risque. Chapitre 5 : Politique de sécurité. Chapitre 6 : Organisation de la sécurité de l’information. Chapitre 7 : Gestion des biens. Chapitre 8 : Sécurité liée aux ressources humaines. Chapitre 9 : Sécurité physique et environnementale. Chapitre 10 : Gestion des communications et de l’exploitation. Chapitre 11 : Contrôle d’accès. Chapitre 12 : Acquisition, développement et maintenance des systèmes d’information. Chapitre 13 : Gestion des incidents liés à la sécurité de l’information. Chapitre 14 : Gestion de la continuité d’activité. Chapitre 15 : Conformité légale et réglementaire. Odile PAPINI Sécurité des Systèmes d’Information
  • 45.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Odile PAPINI Sécurité des Systèmes d’Information
  • 46.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Fig.: (source : Hervé Schauer consultants) Odile PAPINI Sécurité des Systèmes d’Information
  • 47.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Fig.: (source : Hervé Schauer consultants) Odile PAPINI Sécurité des Systèmes d’Information
  • 48.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Fig.: (source : Hervé Schauer consultants) Odile PAPINI Sécurité des Systèmes d’Information
  • 49.
    Introduction Etat des lieux Lesnormes ISO 17799, ISO 27002 Les normes ISO 17799, ISO 27002 Références pour les normes ISO 27004 et ISO 27005 : http ://www.hsc.fr/ressources/presentations/cfssi-iso27- intro/index.html.fr Odile PAPINI Sécurité des Systèmes d’Information