01/01/2014institut supérieur d'informatique1 la s é curit é et laudit des syst è mes...

11/04/2311/04/23 Institut Supérieur d'InformatiqueInstitut Supérieur d'Informatique 11

La SLa Séécuritcuritéé et l’audit des Syst et l’audit des Systèèmes mes

IntelligentsIntelligents

MONCEF TEMANI

Directeur I.S.I

Laboratoire L I 3

[email protected]

I N S T I T U TS U P E R I E U RINFORMATIQUE

العـالـي الـمعهـد لإلعـالمــيـة

ISI


LA SECURITE DES LA SECURITE DES SYSTEMES SYSTEMES

INTELLIGENTSINTELLIGENTSI- INTRODUCTIONII- LES VIRUS EN INFORMATIQUEII- LES VIRUS EN INFORMATIQUEIII- III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITEVI- LES METHODES D’ANALYSEVI- LES METHODES D’ANALYSEV- CONCLUSION


I-INTRODUCTION I-INTRODUCTION 11

Les systèmes informatiques et les réseaux sont devenus, de nos jours:Les systèmes informatiques et les réseaux sont devenus, de nos jours:

. une composante essentielle de tout système . une composante essentielle de tout système d'information. d'information.

. avec le développement technique et l'ouverture de ces . avec le développement technique et l'ouverture de ces réseaux réseaux sur Internet ont permis d'accroître considérablement: sur Internet ont permis d'accroître considérablement:

- - la capacité de traitementla capacité de traitement - la capacité de stockage - la capacité de stockage -de transfert des données -de transfert des données

les systèmes d'information sont plus les systèmes d'information sont plus vulnérablesvulnérables : :-aux accidents -aux accidents -maladresses-maladresses- erreurs - erreurs -malveillances internes et externes. -malveillances internes et externes.



Les risques possibles peuvent être de deux Les risques possibles peuvent être de deux types:types:

Les risques physiquesLes risques physiques (incendies, dégâts des eaux, (incendies, dégâts des eaux, vols, sabotages humains dus aux accés non vols, sabotages humains dus aux accés non autorisés…)autorisés…)

Donc une Solution de Sécurité Physique


I-INTRODUCTION I-INTRODUCTION

Les risques logiquesLes risques logiques (virus, piratage, altération ou (virus, piratage, altération ou destruction de données,…).destruction de données,…).

Donc une solution de Sécurité LogiqueDonc une solution de Sécurité Logique..

La gravité de ces risques réside La gravité de ces risques réside essentiellement dans essentiellement dans les pertes d’informations les pertes d’informations (parfois irréparables).(parfois irréparables). D'où la nécessité de D'où la nécessité de sécuriser les systèmes informatiques en mettant sécuriser les systèmes informatiques en mettant en œuvre en œuvre desdes mesuresmesures dede sécurité sécurité efficaces.efficaces.


I-INTRODUCTION I-INTRODUCTION 3 3

Ces mesures de sécurité doivent contenir :Ces mesures de sécurité doivent contenir :un ensemble de lois, règlesun ensemble de lois, règles

– mécanismes capables de gérer et mécanismes capables de gérer et protéger les ressources sensibles de protéger les ressources sensibles de

l'entreprise, en tenant compte des l'entreprise, en tenant compte des aspects:aspects:

– ..OrganisationnelsOrganisationnels

.Techniques .Techniques .Physiques.Physiques. .



Mettre en œuvre ces mesures correspond à Mettre en œuvre ces mesures correspond à répondre aux questions suivantes :répondre aux questions suivantes :

-- que doit-on protéger ?que doit-on protéger ?- - contre qui et contre quoi doit-on se protéger contre qui et contre quoi doit-on se protéger -- quels sont les moyens à mettre en œuvre pour se quels sont les moyens à mettre en œuvre pour se

protéger, en tenant compte des contraintes protéger, en tenant compte des contraintes budgétaires et organisationnelles?budgétaires et organisationnelles?

-- comment réagir en cas d'attaques ?comment réagir en cas d'attaques ?

Le but de cet exposé est de présenter quelques Le but de cet exposé est de présenter quelques aspects dynamiques et efficaces, permettant d'établir aspects dynamiques et efficaces, permettant d'établir et de mettre en œuvre des mesures de sécurité et de mettre en œuvre des mesures de sécurité

adéquates.adéquates. R


Solution de sécurité PhysiqueSolution de sécurité Physique

IL s’agit de compléter le dispositif de sécurité IL s’agit de compléter le dispositif de sécurité

existant par l’instauration des systèmes suivants:existant par l’instauration des systèmes suivants:

– Détection et d’extinction d’incendie (salle machines)Détection et d’extinction d’incendie (salle machines)

– Détection et de contrôle d’accès automatique.Détection et de contrôle d’accès automatique.

– Détection et d’évacuation d’eau à la salle d’ordinateurDétection et d’évacuation d’eau à la salle d’ordinateur..

R


VI- CONCLUSIONVI- CONCLUSION

La sécurité des systèmes intelligents est un La sécurité des systèmes intelligents est un processus processus continucontinu, plutôt qu’un objectif à atteindre une seule fois , plutôt qu’un objectif à atteindre une seule fois . .

En fait, la sécurité doit évoluer dans le temps , en En fait, la sécurité doit évoluer dans le temps , en s’adaptant aux changements technologiques , aux s’adaptant aux changements technologiques , aux nouvelles exigences du métier de l’entreprise , ainsi nouvelles exigences du métier de l’entreprise , ainsi qu’aux changements quotidiens, tant qu’aux changements quotidiens, tant financiers et financiers et humains que techniques. humains que techniques.

R


LA SECURITE DELA SECURITE DE SYSTEMES SYSTEMES INTELLIGENTSINTELLIGENTS

I- INTRODUCTION

II- LES VIRUS EN INFORMATIQUE

III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITE

VI- METHODES D’ANALYSE

V- CONCLUSION


Les virus en InformatiqueLes virus en Informatique

DéfinitionsDéfinitions

Qu'est-ce qu'un virus ? Comment fonctionne un virus ? Comment se propage un virus ?Comment se propage un virus ? Qu'est-ce qu'un anti-virus ?Qu'est-ce qu'un anti-virus ? Détection d’un virus?Détection d’un virus? Protection contre les virus?Protection contre les virus? Exemple de virusExemple de virus

RR


Definitions Definitions (virus)(virus)

Qu'est-ce qu'un virus ?Qu'est-ce qu'un virus ? Un virus est Un virus est un programme exécutableun programme exécutable qui, par définition, qui, par définition,

se réplique et s'attache à d'autres éléments et ce de se réplique et s'attache à d'autres éléments et ce de manière transparente à l'utilisateur.manière transparente à l'utilisateur.

Un virus Un virus n'est pas autonomen'est pas autonome. Il a besoin d'un programme hôte qui . Il a besoin d'un programme hôte qui en s'exécutant va permettre au virus de se répliquer et s'attacher en s'exécutant va permettre au virus de se répliquer et s'attacher à de nouveaux éléments. C'est ce qu'on appelle la propagation du à de nouveaux éléments. C'est ce qu'on appelle la propagation du virus.virus.


Les virus en InformatiqueLes virus en Informatique


Qu'est-ce qu'un virus ?Qu'est-ce qu'un virus ? Comment fonctionne un virus ?Comment fonctionne un virus ? Comment se propage un virus ?Comment se propage un virus ? ExemplesExemples Qu'est-ce qu'un anti-virus ?Qu'est-ce qu'un anti-virus ? Détection d’un virus?Détection d’un virus? Protection contre les virus?Protection contre les virus? Exemple de virusExemple de virus

RR


Comment fonctionne un virusComment fonctionne un virus

Deux principaux types de virus existent et diffèrent par leur moyen de Deux principaux types de virus existent et diffèrent par leur moyen de réplication :réplication :

– Les virus de fichiersLes virus de fichiers s'attachent à un fichier, généralement s'attachent à un fichier, généralement

exécutable. Cependant certains fichiers de données peuvent exécutable. Cependant certains fichiers de données peuvent contenir du code, tels que des macros, qui peuvent eux-même contenir du code, tels que des macros, qui peuvent eux-même véhiculer un virus.véhiculer un virus.

– Les virus de bootLes virus de boot attaquent le programme de démarrage qui attaquent le programme de démarrage qui se trouve sur le premier secteur du disque. Les virus de ce se trouve sur le premier secteur du disque. Les virus de ce type s'exécutent donc à chaque démarrage de la machine.type s'exécutent donc à chaque démarrage de la machine.

– Les virus mixtesLes virus mixtes possèdent à la fois les propriétés des virus possèdent à la fois les propriétés des virus de fichiers et celles des virus de boot.de fichiers et celles des virus de boot.

RR


Comment se propage un virus ?Comment se propage un virus ?

Un virus de fichierUn virus de fichier infecte d'autres fichiers quand le programme infecte d'autres fichiers quand le programme auquel il est attaché est exécuté. Il peut donc se propager à auquel il est attaché est exécuté. Il peut donc se propager à travers des fichiers copiés sur une disquette ou téléchargés à travers des fichiers copiés sur une disquette ou téléchargés à partir d’un réseau.partir d’un réseau.

Un virus de bootUn virus de boot se loge dans un ordinateur quand ce dernier se loge dans un ordinateur quand ce dernier est démarré à partir d'une disquette infectée par un virus de est démarré à partir d'une disquette infectée par un virus de boot. Contrairement au virus de fichier, ce type de virus ne peut boot. Contrairement au virus de fichier, ce type de virus ne peut pas se propager à travers un réseau.pas se propager à travers un réseau.

Un virus mixteUn virus mixte se loge dans le secteur de démarrage du disque se loge dans le secteur de démarrage du disque à partir d'un fichier infecté qui peut se trouver sur le disque à partir d'un fichier infecté qui peut se trouver sur le disque même. Et inversement, le secteur de boot infecté par un virus même. Et inversement, le secteur de boot infecté par un virus peut lui même infecter des fichiers sur le disque.peut lui même infecter des fichiers sur le disque.

RR


Qu'est-ce qu'un anti-virus ?Qu'est-ce qu'un anti-virus ? Un anti-virus est un programme qui permet de :Un anti-virus est un programme qui permet de :

détecter la présence de virusdétecter la présence de virus supprimer les virussupprimer les virus Certains anti-virus peuvent en plus prévenir l’infectionCertains anti-virus peuvent en plus prévenir l’infection..

Les scanners de virus détectent la présence de virus: Les scanners de virus détectent la présence de virus: dans les fichiersdans les fichiers dans le secteur de démarrage.dans le secteur de démarrage. dans la mémoiredans la mémoire

Un premier type de scannerUn premier type de scanner utilise une base de données comportant les utilise une base de données comportant les caractéristiques des virus qu'il détecte (il s'agit de chaînes de caractères caractéristiques des virus qu'il détecte (il s'agit de chaînes de caractères particulières représentant des fragments de code du virus et appelées particulières représentant des fragments de code du virus et appelées signatures). Ce type de scanner ne peut détecter que les virus qu'il connaît.signatures). Ce type de scanner ne peut détecter que les virus qu'il connaît.


Qu'est-ce qu'un anti-virus ? Qu'est-ce qu'un anti-virus ? (suite)(suite)

Un premier type de scannerUn premier type de scanner utilise une base de données utilise une base de données comportant les caractéristiques des virus qu'il détecte .Ce comportant les caractéristiques des virus qu'il détecte .Ce type de scanner ne peut détecter que type de scanner ne peut détecter que les virus qu'il les virus qu'il connaîtconnaît..

Un second type de scannersUn second type de scanners, plus intelligent, essaye , plus intelligent, essaye d'utiliser des heuristiques pour détecter des fragments de d'utiliser des heuristiques pour détecter des fragments de code correspondants à des actions anormales (le code correspondants à des actions anormales (le formatage du disque dur ,et détecte même les virus formatage du disque dur ,et détecte même les virus inconnus).inconnus).


Qu'est-ce qu'un anti-virus ? Qu'est-ce qu'un anti-virus ? (suite2)(suite2)

La suppression des virus :La suppression des virus : n'est pas toujours possible sans endommager les fichiers n'est pas toujours possible sans endommager les fichiers

originaux.originaux.

outre l'utilisation d'un anti-virus, il est nécessaire de outre l'utilisation d'un anti-virus, il est nécessaire de sauvegardersauvegarder régulièrement les fichiers importants.régulièrement les fichiers importants.

La prévention contre les virus se fait :La prévention contre les virus se fait :

en détectant les différents fichiersen détectant les différents fichiers en interdisant la modification de fichiers exécutables qui en interdisant la modification de fichiers exécutables qui

peuvent servir de programmes hôtes pour les virus.peuvent servir de programmes hôtes pour les virus.

R R


Détection d’un virus?Détection d’un virus? Quels sont les symptômes d'infection par un virus ?Quels sont les symptômes d'infection par un virus ?

Beaucoup de gens attribuent les actions de destruction Beaucoup de gens attribuent les actions de destruction ((destruction de fichiers, formatage de disques durs, etcdestruction de fichiers, formatage de disques durs, etc.) aux virus. .) aux virus.

(dégâts dus à d’autres causes comme les fausses manipulations (dégâts dus à d’autres causes comme les fausses manipulations de l'utilisateur).de l'utilisateur).

Certaines anomalies doivent susciter des doutes chez Certaines anomalies doivent susciter des doutes chez l'utilisateur, on peut citer notamment :l'utilisateur, on peut citer notamment :

– un ralentissement des performances de l’ordinateurun ralentissement des performances de l’ordinateur – la modification de la taille des fichiers exécutablesla modification de la taille des fichiers exécutables – des erreurs d'exécution de programmesdes erreurs d'exécution de programmes – fichiers soient endommagésfichiers soient endommagés

La meilleure solution pour détecter des virus avant qu'ils ne La meilleure solution pour détecter des virus avant qu'ils ne causent des dégâts est de scanner le disque dur régulièrement causent des dégâts est de scanner le disque dur régulièrement à l'aide d'un anti-virus mis à jour fréquemment. à l'aide d'un anti-virus mis à jour fréquemment. R R


Protection contre les virus?Protection contre les virus? Comment se protéger contre les virus ?Comment se protéger contre les virus ?

La meilleure façon de se protéger contre les virus consiste à employer des La meilleure façon de se protéger contre les virus consiste à employer des moyens :moyens :

– l’utilisation régulière d’anti-virusl’utilisation régulière d’anti-virus– l’archivage régulier des données importantesl’archivage régulier des données importantes– Le programme anti-virus doit être:Le programme anti-virus doit être:

mis à jour régulièrement.mis à jour régulièrement. Utilisé à chaque installation de nouveaux prog.Utilisé à chaque installation de nouveaux prog. utilisé régulièrement, afin que le scanner détecte le plus tôt utilisé régulièrement, afin que le scanner détecte le plus tôt

possible l'existence de viruspossible l'existence de virus utilisé le plus souvent lorsque l'on copie un fichier à partir utilisé le plus souvent lorsque l'on copie un fichier à partir

d’une disquette ou à travers un réseaud’une disquette ou à travers un réseau RR


Exemple de virus Exemple de virus (exemple1)(exemple1)

Fiche d'identité : Fiche d'identité : Kournikova VirusKournikova Virus

Nom :Nom : VBS/KALAMAR.A VBS/KALAMAR.A Mode d'infection :Mode d'infection : résident en mémoire résident en mémoire Moyen de transmission :Moyen de transmission : Email, se propage moyennant Microsoft Email, se propage moyennant Microsoft

Outlook Outlook Plate-forme:Plate-forme: Windows 9x et Windows NT Windows 9x et Windows NT Détails :Détails : Le virus se propage à travers l'e-mail, il envoie une copie de Le virus se propage à travers l'e-mail, il envoie une copie de

lui-même à toutes les adresses qui figurent dans le carnet d'adresses lui-même à toutes les adresses qui figurent dans le carnet d'adresses de Microsoft Outlook. de Microsoft Outlook.

sujet : sujet : Here you have, ;o) Here you have, ;o) contenu: contenu: Hi: Check This!Hi: Check This! pièce jointe : pièce jointe : AnnaKournikova.jpg.vbs AnnaKournikova.jpg.vbs Antidotes :Antidotes : Mettez à jour vos antivirus et soyez vigilentsMettez à jour vos antivirus et soyez vigilents


Exemple de virus Exemple de virus (exemple2)(exemple2)

Fiche d'identité :Fiche d'identité : TROJ_NAVIDAD.ATROJ_NAVIDAD.A Nom :Nom : TROJ_NAVIDAD.ATROJ_NAVIDAD.A Dégâts causés :Dégâts causés : affiche des messages, empêche un bon fonctionnement affiche des messages, empêche un bon fonctionnement

du PCdu PC Mode d'infection :Mode d'infection : résident en mémoire résident en mémoire Moyen de transmission :Moyen de transmission : Email, se propage moyennant Microsoft Outlook Email, se propage moyennant Microsoft Outlook Plate-forme:Plate-forme: Windows 9x et Windows NT Windows 9x et Windows NT Détails:Détails: Depuis quelques jours, on note la propagation rapide de Depuis quelques jours, on note la propagation rapide de

TROJ_NAVIDAD.ATROJ_NAVIDAD.A qui est un virus de type ver qui se propage par qui est un virus de type ver qui se propage par courrier électronique en se servant de Microsoft Outlook. Le virus utilise courrier électronique en se servant de Microsoft Outlook. Le virus utilise un message existant et s'y attache avec le nom de fichier un message existant et s'y attache avec le nom de fichier NAVIDAD.EXENAVIDAD.EXE . En même temps qu'il s'exécute, il rend l'ordinateur inutilisable.. En même temps qu'il s'exécute, il rend l'ordinateur inutilisable.

Antidotes:Antidotes: Vous pouvez utiliser l'utilitaireVous pouvez utiliser l'utilitaire fix_navidad2.zipfix_navidad2.zip pour restaurer l'état initial pour restaurer l'état initial

de la machine infectéede la machine infectée RR


LA SECURITE DES LA SECURITE DES

SYSTEMES SYSTEMES INTELLIGENTSINTELLIGENTS

FIN DE L’EXPOSE _--------- MERCIFIN DE L’EXPOSE _--------- MERCI


III- DEMARCHE A SUIVRE POUR L’ELABORATION III- DEMARCHE A SUIVRE POUR L’ELABORATION

D’UN PLAN DE SECURITED’UN PLAN DE SECURITE

La démarche proposée se base sur l'analyse des risques La démarche proposée se base sur l'analyse des risques encourus par l'entreprise, elle se compose des étapes suivantes :encourus par l'entreprise, elle se compose des étapes suivantes :

-- Phase préparatoirePhase préparatoire - - Analyse des ressources critiques de l’entrepriseAnalyse des ressources critiques de l’entreprise -- Analyse des risques encourusAnalyse des risques encourus -Elaboration d'un Plan de sécurité-Elaboration d'un Plan de sécurité - - Exécution du plan de sécuritéExécution du plan de sécurité

-- Contrôle et suiviContrôle et suivi


III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITESECURITE

-- Phase préparatoirePhase préparatoire

vise essentiellement:vise essentiellement:– à sensibiliser les décideurs aux différents aspects de la à sensibiliser les décideurs aux différents aspects de la

sécuritésécurité– et à les inciter à désigner un responsable de la sécurité au sein et à les inciter à désigner un responsable de la sécurité au sein

de l'entreprise de l'entreprise – et à mettre en place un comité pour mener l'analyseet à mettre en place un comité pour mener l'analyse..

Donc :Donc :La phase de préparation de l’établissement du La phase de préparation de l’établissement du

plan de sécuritéplan de sécurité


III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITEPLAN DE SECURITE

-- Analyse des ressources critiques de l'entrepriseAnalyse des ressources critiques de l'entreprise

permet :permet :

– de découvrir et d'évaluerde découvrir et d'évaluer la gravité des risques la gravité des risques encourus par l'entreprise.encourus par l'entreprise.

– déterminer les ressources critiques (à protéger)déterminer les ressources critiques (à protéger)

(données,applications,ordinateurs,réseaux,bâtiments)(données,applications,ordinateurs,réseaux,bâtiments)

Exemple:Exemple:pas de conséquences graves valeur=0(res non critique)pas de conséquences graves valeur=0(res non critique)

Conséquences peu graves valeur=1(ressource peu c)Conséquences peu graves valeur=1(ressource peu c)


III- DEMARCHE A SUIVRE POUR L’ELABORATION III- DEMARCHE A SUIVRE POUR L’ELABORATION D’UN PLAN DE SECURITED’UN PLAN DE SECURITE

-Analyse des risques encourus-Analyse des risques encourus

consiste à:consiste à: définir les scénarios de risques qui:définir les scénarios de risques qui:

– menacent les ressources de l’entreprisemenacent les ressources de l’entreprise– lui causent des pertes d’informationslui causent des pertes d’informations

effectuer une évaluation quantitatives des scénarios de effectuer une évaluation quantitatives des scénarios de risques déjà recensés.risques déjà recensés.

Indiquer le niveau de tolérance au risque (décision Indiquer le niveau de tolérance au risque (décision interne)interne)


III- DEMARCHE A SUIVRE POUR III- DEMARCHE A SUIVRE POUR SuiteSuite L’ELABORATION D’UN PLAN DE SECURITEL’ELABORATION D’UN PLAN DE SECURITE

-Elaboration d'un Plan de sécurité-Elaboration d'un Plan de sécurité permet à l'entreprise:permet à l'entreprise:

d'établir les mesures de sécurité qui répondent à ses besoins d'établir les mesures de sécurité qui répondent à ses besoins et de planifier leur mise en œuvre.et de planifier leur mise en œuvre.

- - Exécution du plan de sécuritéExécution du plan de sécurité permet à l'entreprise:permet à l'entreprise:

d'exécuter d'une manière optimale les mesures de sécurité d'exécuter d'une manière optimale les mesures de sécurité établies au niveau du plan de sécurité.établies au niveau du plan de sécurité.

-- Contrôle et suiviContrôle et suivi : : permet :permet :

de contrôler l'efficacité des mesures de sécurité mises en de contrôler l'efficacité des mesures de sécurité mises en œuvre (œuvre (Tableau de bord de la sécuritéTableau de bord de la sécurité) )

de les améliorer en tenant compte de l'évolution technologique.de les améliorer en tenant compte de l'évolution technologique.RR


VI- METHODES D’ANALYSEVI- METHODES D’ANALYSE

I- Méthode d’analyse de risques: MARIONI- Méthode d’analyse de risques: MARION

Conçue 1983-1984, par des assureurs (évaluation des risques des Conçue 1983-1984, par des assureurs (évaluation des risques des lients avnt contrat d’assurance.)lients avnt contrat d’assurance.)

Basée sur des données statistiques (sur les assureeurs)Basée sur des données statistiques (sur les assureeurs)

Basée sur des scénarios de menaces.Basée sur des scénarios de menaces.

Mesure les risques en pertes financièresMesure les risques en pertes financières

Dominante disponibilté, s’applique à l’informatique de gestionDominante disponibilté, s’applique à l’informatique de gestion


VI- METHODES D’ANALYSEVI- METHODES D’ANALYSE suitesuite

II-II-Méthode d’analyse de risque : MELISAMéthode d’analyse de risque : MELISA

– Conçue vers 1983-1984, par la défense, pour évaluer la Conçue vers 1983-1984, par la défense, pour évaluer la vulnérabilité des systèmes d’informationsvulnérabilité des systèmes d’informations

– Basée sur des données d’expertsBasée sur des données d’experts

– A dominante confidentialité et disponibilitéA dominante confidentialité et disponibilité

RR


14

SS IDS

Stations d’administration réseau et sécurité

Serveur d’authentification

Firewall 1Routeurs

LS

Firewall 2

Site Central

Serveur

Stations d’administrations (système)

Exploitation et impression

LANInternet

FSI

Sonde réseau

Sonde système

Serveurs applications

رسم بياني لنظام السالمة المعلوماتية

Authentification

Antivirus/ Cryptage

FireWall/ Authentification

Antivirus/ Cryptage

(1)المرحلة


6

منظومات الحماية

حاجزين واقيين مع منظومة تشفير مندمجة•

نظام إشعار وصد ضد التدخالت الغير مرخصة•

منظومة مركزية للحماية من الفيروسات اإلعالمية•

منظومة مركزية للتعريف الدقيق بالمستعملين•

Politique de sécurité (2)Politique de sécurité (2)

S U P E R I E U RINFORMATIQUE

لإلعـالمــيـة العـالـي الـمعهـد


SommaireSommaire

Chapitre 1Chapitre 1 Quel Audit?Quel Audit?

Chapitre 2Chapitre 2 Selon quelle démarche et avec quels outils?Selon quelle démarche et avec quels outils?

Chapitre 3Chapitre 3 Une stratégie d’audit de sécurité de l’entrepriseUne stratégie d’audit de sécurité de l’entreprise Chapitre 4Chapitre 4 ConclusionConclusion



ISI


Chapitre 1: Chapitre 1: Quel Audit?Quel Audit?

Réglementation en TunisieRéglementation en Tunisie


Enjeux et objectifsEnjeux et objectifs

Risques Risques

PérimètrePérimètre



ISI


Réglementation en TunisieRéglementation en Tunisie

La circulaireLa circulaire de monsieur le de monsieur le Premier MinistrePremier Ministre N°51 du 30 N°51 du 30 Novembre 2001 portant sur l’obligation de l’audit de sécurité au moins Novembre 2001 portant sur l’obligation de l’audit de sécurité au moins une fois par anune fois par an

Création deCréation de

« l’« l’AAgence gence NNationale de la ationale de la SSécurité écurité IInformatique »nformatique »Soumise Soumise à la tutelle du Ministère chargé des technologies de la à la tutelle du Ministère chargé des technologies de la

communicationcommunication

Mission:Mission: contrôle général des systèmes informatiques et des contrôle général des systèmes informatiques et des

réseaux relevant des divers organismes publics ou privés, notamment:réseaux relevant des divers organismes publics ou privés, notamment: Veiller à l’exécution des réglementations relatives à l’obligation de Veiller à l’exécution des réglementations relatives à l’obligation de l’auditl’audit périodique périodique

de la sécurité du SIde la sécurité du SI



ISI


AuditAudit Mission d’examen et de vérification de la conformité (aux règles) Mission d’examen et de vérification de la conformité (aux règles)

d’une opération, d’une activité particulière ou de la situation générale d’une opération, d’une activité particulière ou de la situation générale d’une entreprised’une entreprise

Système d’informationSystème d’information Ensemble des moyens matériels, logiciels et organisationnels qui Ensemble des moyens matériels, logiciels et organisationnels qui

permettent de recevoir, de stoker et de traiter l’informationpermettent de recevoir, de stoker et de traiter l’information

Donc un audit nécessiteDonc un audit nécessite Un périmètreUn périmètre Un référentielUn référentiel Une méthodeUne méthode Des moyens et compétencesDes moyens et compétences

DéfinitionsDéfinitionsI N S T I T U TS U P E R I E U RINFORMATIQUE


ISI


Enjeux et objectifsEnjeux et objectifs

Pour maintenir son avantage compétitif de manière durable, l’entreprise Pour maintenir son avantage compétitif de manière durable, l’entreprise doit: doit:

Assurer la Assurer la disponibilité disponibilité de ses outils, etde ses outils, et particulièrement de son outil informatiqueparticulièrement de son outil informatiqueAssurer Assurer l’intégrité del’intégrité de l’information stockée dans son l’information stockée dans son

système d’informationsystème d’informationPréserver la Préserver la confidentialitéconfidentialité de l’information de l’information

La sécurité informatique se fixe l’objectif suivant: protéger les actifs La sécurité informatique se fixe l’objectif suivant: protéger les actifs informatiques de l’entreprise contre les risquesinformatiques de l’entreprise contre les risques

<<actifsactifs==informations, applications, systèmes, ressources humainesinformations, applications, systèmes, ressources humaines>>



ISI


RisquesRisques

Le RisqueLe Risque

Le fait qu’un événement puisse Le fait qu’un événement puisse empêcherempêcher de de

Maintenir une situation donnéeMaintenir une situation donnée

etetMaintenir un objectif dans des conditions fixéesMaintenir un objectif dans des conditions fixées

etetSatisfaire une finalité programméeSatisfaire une finalité programmée



ISI


RisquesRisques

3 types de Risques3 types de Risques

Exposition naturelleExposition naturelleIntention de l’agresseurIntention de l’agresseurPossibilité de sinistrePossibilité de sinistre



ISI


RisquesRisques

Malversations et fraudes

Divulgation desinformations

Accidents(incendie, dégâts des eaux,..)

Pannes

Erreurs(utilisation, exploitation,..)Attaques

(tendance actuelle)

Particulièrement variables selon les environnements



ISI



Le périmètre organisationnel et fonctionnelLe périmètre organisationnel et fonctionnel

Organisation de la sécuritéOrganisation de la sécurité La répartition des responsabilitésLa répartition des responsabilités La sensibilisationLa sensibilisation ContrôleContrôle

Politique et les guides de sécuritéPolitique et les guides de sécurité

Procédures de sécuritéProcédures de sécurité



ISI


La sécurité physiqueLa sécurité physique

Lutte anti-incendie, dégâts des eauxLutte anti-incendie, dégâts des eaux

Contrôle des accèsContrôle des accès

Sauvegarde et archivage des Sauvegarde et archivage des

documentsdocuments

PérimètrePérimètreI N S T I T U TS U P E R I E U RINFORMATIQUE


ISI



La sécurité des systèmesLa sécurité des systèmes

Matériels (postes de travail et serveurs)Matériels (postes de travail et serveurs) Logiciels de baseLogiciels de base Lutte antiviraleLutte antivirale

La sécurité des réseauxLa sécurité des réseaux

Matériels (routeurs, concentrateurs,..)Matériels (routeurs, concentrateurs,..) Contrôle des accès logiquesContrôle des accès logiques Lignes de transmissionsLignes de transmissions

La sécurité des applications/bases de donnéesLa sécurité des applications/bases de données



ISI


Chapitre 2:Chapitre 2:Selon quelle Selon quelle démarche et avec quels outils?démarche et avec quels outils?


La norme ISO17799/BS7799La norme ISO17799/BS7799

Les méthodesLes méthodes

Les méthodes globalesLes méthodes globales

Les méthodes propriétairesLes méthodes propriétaires

Sans méthodeSans méthode

Les outilsLes outils

Outils méthodologiquesOutils méthodologiques

RéférentielRéférentiel

Tests de configurationTests de configuration

Tests de vulnérabilitésTests de vulnérabilités



ISI



NormeNorme code de bonnes pratiques de sécurité du système d’information :code de bonnes pratiques de sécurité du système d’information :

Va du général Va du général (l’organisation, politique(l’organisation, politique

générale de sécurité, etc..)générale de sécurité, etc..) au détail au détail ((gestion de mot de passe, contrôlegestion de mot de passe, contrôle

d’accès,etcd’accès,etc..)..)

Liste les mesures à prendre, mais n’expliqueListe les mesures à prendre, mais n’explique

pas la façon de les mettre en œuvrepas la façon de les mettre en œuvre



ISI



MéthodeMéthode

sert à évaluer les pratiques de l’entreprise sert à évaluer les pratiques de l’entreprise --par rapport à un par rapport à un

référentielréférentiel-- face aux risques auxquelles elle s’expose et face aux risques auxquelles elle s’expose et propose des parades adaptéespropose des parades adaptées

Norme et méthode sont complémentairesNorme et méthode sont complémentaires

Pas de méthode sans normePas de méthode sans norme



ISI


La norme La norme ISO17799/BS7799ISO17799/BS7799

ISO17799ISO17799

Défini des objectifs et des recommandations Défini des objectifs et des recommandations concernant la sécurité de l’informationconcernant la sécurité de l’information Norme globale à tout type d’organismeNorme globale à tout type d’organisme

Historique ISO17799Historique ISO17799

Groupe britannique ayant produit BS7799:1995, Groupe britannique ayant produit BS7799:1995, puis BS7799-1:1999puis BS7799-1:1999

La première partie de BS7799 a été soumise deux fois en La première partie de BS7799 a été soumise deux fois en procédure procédure fast trackfast track à l’ISO à l’ISO

Elle a été acceptée en décembre 2000 et publiée sous leElle a été acceptée en décembre 2000 et publiée sous le numéro ISO 17799:2000numéro ISO 17799:2000



ISI


La norme La norme ISO17799/BS7799ISO17799/BS7799

UsageUsage l’application de la norme ISO 17799 peut être le résultat l’application de la norme ISO 17799 peut être le résultat

d’une série d’étapes schématisées comme suit:d’une série d’étapes schématisées comme suit:

Le corps de la norme ISO 17799 décrit la Le corps de la norme ISO 17799 décrit la quatrième étape ‘’quoi faire ‘’ sans pour autantquatrième étape ‘’quoi faire ‘’ sans pour autant

préciser ‘’comment le faire’’préciser ‘’comment le faire’’



ISI


Les méthodesLes méthodes

Les méthodes globalesLes méthodes globales

CobitCobit Cramm Cramm EbiosEbios MEHARIMEHARI Mv3Mv3

Se présentent sous forme de documents Se présentent sous forme de documents ((questionnaires)questionnaires)

Les réponses à ces questions servent à dresser Les réponses à ces questions servent à dresser

la cartographie des pratiques de sécuritéla cartographie des pratiques de sécurité



ISI


Les méthodes globales :Les méthodes globales :ccomparatif des cinq méthodes d’auditomparatif des cinq méthodes d’audit

Nom de la méthodeNom de la méthode Cobit Cobit v3v3

CRAMM CRAMM v4v4

Ebios Ebios 1.0.21.0.2

MeharMeharii

MV3MV3

CaractéristiquesCaractéristiques

Analyse des risquesAnalyse des risques NonNon OuiOui OuiOui OuiOui OuiOui

Analyse des vulnérabilités Analyse des vulnérabilités NonNon OuiOui OuiOui OuiOui OuiOui

Plan de sécuritéPlan de sécurité NonNon OuiOui OuiOui OuiOui OuiOui

Contrôle et vérificationContrôle et vérification OuiOui NonNon NonNon OuiOui OuiOui

Bilan de sécuritéBilan de sécurité NonNon NonNon NonNon OuiOui NonNon


Adapté à toutes les tailles d’entrepriseAdapté à toutes les tailles d’entreprise OuiOui OuiOui OuiOui OuiOui OuiOui

Conçu pour des environnementsConçu pour des environnementsTechnologiques diversTechnologiques divers

OuiOui OuiOui OuiOui OuiOui OuiOui

OutilsOutils

QuestionnairesQuestionnaires OuiOui OuiOui OuiOui OuiOui OuiOui

Modèles (formulaires, grilles..)Modèles (formulaires, grilles..) OuiOui OuiOui OuiOui OuiOui OuiOui

Logiciel disponibleLogiciel disponible NonNon OuiOui NonNon OuiOui OuiOui



ISI


Les méthodes globales: Les méthodes globales: La méthode MEHARILa méthode MEHARI

Développée par la commission Méthodes du Développée par la commission Méthodes du CLUSIFCLUSIF Méthode d’analyse des ressources: Méthode d’analyse des ressources: mesurer l’impact du mesurer l’impact du

sinistre sinistre Classifier les ressources selon des seuils de gravité définis sur Classifier les ressources selon des seuils de gravité définis sur

une échelle de 1 à 4une échelle de 1 à 4

Potentialité

Impact Gravité = f (I,P)

4 = Risques insupportables3 = Risques inadmissibles2 = Risques tolérés

I: Impact P: Potentialité

44

33

22

11

00 33 44 44 44

00 22 33 33 33

00 11 11 22 22

00 00 00 11 11

0 1 2 3 40 1 2 3 4



ISI



causesconséquences



ISI



Traiter les risques :Traiter les risques :

en se basant sur un référentiel (ISO17799, base de en se basant sur un référentiel (ISO17799, base de

connaissances Mehari)connaissances Mehari)

Définir une politique de sécuritéDéfinir une politique de sécurité

Etablir une charte de management: Etablir une charte de management: Droits et devoirs du Droits et devoirs du

personnel de l’Entreprisepersonnel de l’Entreprise

Etablir un plan de sécuritéEtablir un plan de sécurité Etablir un Bilan de sécuritéEtablir un Bilan de sécurité



ISI



ObjectifsObjectifs

personnaliser et simplifierpersonnaliser et simplifier

adapter à l’environnement de l’entrepriseadapter à l’environnement de l’entreprise

obtenir une visibilité des risques etobtenir une visibilité des risques et

un plan d’actions un plan d’actions en un laps de temps restreinten un laps de temps restreint

Plus pragmatique Plus pragmatique Un luxe pour le RSSIUn luxe pour le RSSI



ISI



DémarchesDémarchesmodifier une méthode formellemodifier une méthode formelle

combiner les apports de plusieurs méthodes formellescombiner les apports de plusieurs méthodes formelles

Sélection d’un sous ensemble de questions adapté Sélection d’un sous ensemble de questions adapté au métier de l’entrepriseau métier de l’entreprise

L’expérience du consultant qui fait la différenceL’expérience du consultant qui fait la différence



ISI


Sans méthodeSans méthode

Se limite à:Se limite à:

Des tests des vulnérabilités automatisésDes tests des vulnérabilités automatisés

Des tests d’intrusions réseauxDes tests d’intrusions réseaux

sécuriser un serveur ou un réseau est une sécuriser un serveur ou un réseau est une chosechose

MaisMais

sécuriser un sécuriser un SISI d’une d’une entrepriseentreprise est beaucoup est beaucoup plus compliquéplus compliqué



ISI



Les outils méthodologiquesLes outils méthodologiques

attention aux limites de l’automatisationattention aux limites de l’automatisation

(Risicare pour Mehari, caliis, etc..)(Risicare pour Mehari, caliis, etc..)

Les référentiels de sécuritéLes référentiels de sécurité

la politique de sécurité de l’entreprisela politique de sécurité de l’entreprise

les guides de sécurité par environnementles guides de sécurité par environnement

les normes applicables (ISO17799,…)les normes applicables (ISO17799,…)



ISI



Les tests de configurationLes tests de configuration Otuils pour Windows, Unix Otuils pour Windows, Unix

System Scanner de ISS, System Scanner de ISS, (logiciel commercial)(logiciel commercial)

Tripwire Tripwire (logiciel libre)(logiciel libre)

Nécessitent de définir une politique technique Nécessitent de définir une politique technique de sécurité /pas d’analyse de faillesde sécurité /pas d’analyse de failles

Non intrusifs, non perturbateursNon intrusifs, non perturbateurs

Nécessitent une forte expertise pour la configurationNécessitent une forte expertise pour la configuration



ISI



Les tests de vulnérabilitésLes tests de vulnérabilités Outils public (Nessus, Satan,…) ou Outils public (Nessus, Satan,…) ou

commerciaux (Internet Scanner de ISS,…)commerciaux (Internet Scanner de ISS,…)

Indiquent des vulnérabilités Indiquent des vulnérabilités

potentielles/potentiellement intrusifpotentielles/potentiellement intrusif

Demandent une adresse /plage(s) IPDemandent une adresse /plage(s) IP

Utilisés par les Utilisés par les ‘’hackers’’‘’hackers’’

Nécessitent une forte expertise



ISI


Chapitre 3: Chapitre 3: Une stratégie Une stratégie d’audit de sécurité de d’audit de sécurité de

l’entreprisel’entreprise Construire une stratégie d’auditConstruire une stratégie d’audit

Les différentes approches d’auditLes différentes approches d’audit

Une approche adaptée à l’entrepriseUne approche adaptée à l’entreprise

Présentation Présentation


DémarcheDémarche

ApportsApports



ISI


Construire une stratégie Construire une stratégie d’audit d’audit

Evaluation globale de la sécurité du SIEvaluation globale de la sécurité du SI

Dans le cadre d’une réorganisation Dans le cadre d’une réorganisation ( rachat, refonte,…)( rachat, refonte,…) Audit complet, indépendantAudit complet, indépendant

Dans un cadre de consolidation globale de la sécuritéDans un cadre de consolidation globale de la sécurité Analyse des risques Analyse des risques ( fonctionnels/techniques/juridiques)( fonctionnels/techniques/juridiques) Plan d’action détailléPlan d’action détaillé Audits réguliers à large périmètreAudits réguliers à large périmètre

Dans le cadre d’une mise en cohérence de la sécuritéDans le cadre d’une mise en cohérence de la sécurité Comparaison site à site ou vis-à-vis de la professionComparaison site à site ou vis-à-vis de la profession Méthode rigoureuse et applications régulièresMéthode rigoureuse et applications régulières

Dans le cadre d’une sensibilisationDans le cadre d’une sensibilisation Audits participatifs / auto évaluationAudits participatifs / auto évaluation



ISI


Construire une stratégieConstruire une stratégie d’audit d’audit

Evaluation par composant (projet, système,…)Evaluation par composant (projet, système,…)

Evaluer la sécurité d’un composant du SIEvaluer la sécurité d’un composant du SI Sécurité d’un produitSécurité d’un produit Qualifier/recetter/..Qualifier/recetter/..

Analyser, sur incidentAnalyser, sur incident Sur mesureSur mesure Nécessite une très forte expertise techniqueNécessite une très forte expertise technique



ISI


Les différentes approchesLes différentes approches

Audit de vérificationAudit de vérification Analyser l’état d’un système et/ou d’un réseau du point Analyser l’état d’un système et/ou d’un réseau du point

de vue: de vue: organisation, architecture, configuration, organisation, architecture, configuration, exploitation et compétencesexploitation et compétences

Audit d’agrémentAudit d’agrément Vérifier l’état du système vis-à-vis d’un référentiel Vérifier l’état du système vis-à-vis d’un référentiel

existantexistant

Audit intrusifAudit intrusif Rechercher les failles par un point donné du réseauRechercher les failles par un point donné du réseau

(utilisation des outils d’intrusions)(utilisation des outils d’intrusions) Simuler des attaques: tests d’intrusion depuis l’extérieurSimuler des attaques: tests d’intrusion depuis l’extérieur

Elles ne sont pas exclusivesElles ne sont pas exclusives



ISI


Une approche adaptée Une approche adaptée à l’entreprise :à l’entreprise : Présentation Présentation

Les méthodes formellesLes méthodes formelles (Mehari, Cobit,etc..)(Mehari, Cobit,etc..)

LourdesLourdes Reservées aux grands comptesReservées aux grands comptes Les méthodes PropriétairesLes méthodes Propriétaires

SouplesSouples Peuvent ne pas couvrir tout le périmètrePeuvent ne pas couvrir tout le périmètre

Dépendent étroitement de l’auditeurDépendent étroitement de l’auditeur

Une approche plus adaptée à l’entrepriseUne approche plus adaptée à l’entreprise

(Banque, Assurance, PME/PMI, etc..)(Banque, Assurance, PME/PMI, etc..)

AssisteAssiste l’auditeur, précise et pragmatiquel’auditeur, précise et pragmatique



ISI


Une approche adaptéeUne approche adaptéeà l’entrepriseà l’entreprise :: Périmètre Périmètre

Les composantes du système d’informationLes composantes du système d’information

le matériel le matériel (PC, serveurs, réseaux)(PC, serveurs, réseaux)

les logiciels les logiciels (OS, gestion réseau, gestion sécurité)(OS, gestion réseau, gestion sécurité)

les données les données (sécurité, sauvegarde,archivage)(sécurité, sauvegarde,archivage)

l’architecture l’architecture (C/S, intranet, extranet, Internet)(C/S, intranet, extranet, Internet)

le personnel le personnel (les utilisateurs, les administrateurs, les(les utilisateurs, les administrateurs, les

développeurs)développeurs)

la documentation la documentation (procédures d’installation,(procédures d’installation,

procédures de restauration, politique de sécurité, plan deprocédures de restauration, politique de sécurité, plan de

sécurité)sécurité)



ISI


Une approche adaptée Une approche adaptée à l’entrepriseà l’entreprise :: Périmètre Périmètre

Les menacesLes menaces

AccidentellesAccidentelles pannespannes dysfonctionnementdysfonctionnement incendieincendie dégâts des eauxdégâts des eaux coupure électriquecoupure électrique

IntentionnellesIntentionnelles vol d’informationsvol d’informations modification de données d’importance capitalemodification de données d’importance capitale vol et destruction des matérielsvol et destruction des matériels



ISI


Une approche adaptée Une approche adaptée

à l’entrepriseà l’entreprise :: Périmètre PérimètreLes attaques par outils automatisésLes attaques par outils automatisés

Destruction par virus, ver, bombes logiciellesDestruction par virus, ver, bombes logicielles

Intrusion par cheval de troieIntrusion par cheval de troie

Intrusion par portes dérobéesIntrusion par portes dérobées

Espionnage d’analyse de traficEspionnage d’analyse de trafic

Intrusion par bogues logicielsIntrusion par bogues logiciels

Exploitation des accès non sécurisésExploitation des accès non sécurisés

Déni de serviceDéni de service

Surveillance des messageries d’entreprisesSurveillance des messageries d’entreprises

Man in the MiddleMan in the Middle



ISI


Une approche adaptéeUne approche adaptée à l’entreprise à l’entreprise ::DémarcheDémarche

La méthode est basée sur le référentiel ISO17799 et l’expérience des consultants, La méthode est basée sur le référentiel ISO17799 et l’expérience des consultants,

appliquée en cinq phases:appliquée en cinq phases:

Phase1:Phase1: Définition/validation du périmètre de sécurité et des enjeuxDéfinition/validation du périmètre de sécurité et des enjeux (entretiens)(entretiens) Phase2:Phase2: Identifications des menacesIdentifications des menaces

Phase3:Phase3: Identifications des vulnérabilitésIdentifications des vulnérabilités Entretiens techniques, consultation de documentsEntretiens techniques, consultation de documents Récupération des configurationsRécupération des configurations Tests d’intrusion automatisés Tests d’intrusion automatisés (outils du logiciel libre, outils commerciaux)(outils du logiciel libre, outils commerciaux)

Phase4:Phase4: Analyse du risque par recoupement des phases 1 à 3Analyse du risque par recoupement des phases 1 à 3

Phase5:Phase5: Etablissement des recommandations Etablissement des recommandations (logique/organisationnel/physique)(logique/organisationnel/physique) Elaboration d’une solution techniqueElaboration d’une solution technique



ISI


Une approche adaptée Une approche adaptée à l’entrepriseà l’entreprise :: Démarche Démarche

Principaux résultatsPrincipaux résultats

Définition des moyens de sécurité couvrant les aspects technique physique et Définition des moyens de sécurité couvrant les aspects technique physique et

organisationnel organisationnel

Définition d’une politique de sécurité interne le cas échéantDéfinition d’une politique de sécurité interne le cas échéant

Principales fournituresPrincipales fournitures

Rapport d’audit avec préconisations d’améliorationsRapport d’audit avec préconisations d’améliorations

Estimation du coût de la solution technique à acquérirEstimation du coût de la solution technique à acquérir

Présentation au management de l’entreprisePrésentation au management de l’entreprise

Charge de travailCharge de travail

de trois à huit semaines, selon la taille de l’entreprise de trois à huit semaines, selon la taille de l’entreprise (architecture SI, BD,(architecture SI, BD,

réseau, serveurs, personnel)réseau, serveurs, personnel)

un consultant et un/deux ingénieursun consultant et un/deux ingénieurs



ISI


Une approche adaptée Une approche adaptée à l’entrepriseà l’entreprise :: Apports Apports

ConvivialitéConvivialité les RSSI sont plus sensibles à leur vision du risque qu’à une conformité à une les RSSI sont plus sensibles à leur vision du risque qu’à une conformité à une

méthode ou à une normeméthode ou à une norme

appréciée par les responsables appréciée par les responsables (management de l’entreprise, RSSI)(management de l’entreprise, RSSI)

garantit une implication des intéressés dans le constat et la mise en œuvre desgarantit une implication des intéressés dans le constat et la mise en œuvre des

actions correctrices actions correctrices

PerformancePerformance complète complète (organisationnel et technique)(organisationnel et technique)

parades plus adaptées parades plus adaptées (tient compte de nouveau mode de fonctionnement de l’entreprise)(tient compte de nouveau mode de fonctionnement de l’entreprise)

offre une solution technique optimale en terme d’architecture et outilsoffre une solution technique optimale en terme d’architecture et outils

CoûtCoût faible coût faible coût (délais et charges: réduits)(délais et charges: réduits)

évite d’investir dans des outils qui protègeraient d’un risque de faible impactévite d’investir dans des outils qui protègeraient d’un risque de faible impact



ISI


Chapitre 4: Chapitre 4: ConclusionConclusion

L’audit reste:L’audit reste: une affaire de méthodeune affaire de méthode

une prestation interne, même lorsque les tests d’intrusion se une prestation interne, même lorsque les tests d’intrusion se

font de l’extérieurfont de l’extérieur

L’audit est récurrent L’audit est récurrent (1fois/1 ou 2 ans)(1fois/1 ou 2 ans)

les risques se développentles risques se développent

le niveau de sécurité appliqué au SI est dynamiquele niveau de sécurité appliqué au SI est dynamique

Résultat de l’audit peut être contredit par le moindre changement Résultat de l’audit peut être contredit par le moindre changement

du SIdu SI



ISI


Chapitre 4:Chapitre 4:ConclusionConclusion

L’audit: Approche technique ou fonctionnelle L’audit: Approche technique ou fonctionnelle ??

les outils automatisés sont utiles, voire indispensablesles outils automatisés sont utiles, voire indispensables

Oui maisOui mais

Ils offrent une photo à un Ils offrent une photo à un instant instant tt mais pas dans le temps mais pas dans le temps

Ils ne couvrent pas tout le périmètre (organisation, procédures, traitement des Ils ne couvrent pas tout le périmètre (organisation, procédures, traitement des

incidents,…)incidents,…)

Ils ne sensibilisent pas Ils ne sensibilisent pas

Donc des audits ‘’organisationnels’’, voire fonctionnels Donc des audits ‘’organisationnels’’, voire fonctionnels

sont aussi indispensablessont aussi indispensables

Une double compétence s’imposeUne double compétence s’impose……

Le problème de certification de l’auditeur se poseLe problème de certification de l’auditeur se pose……



ISI


LL’Audit Interne et les ’Audit Interne et les Nouvelles Technologies de Nouvelles Technologies de

l’Information et de l’Information et de CommunicationCommunication



ISI


Les Solutions pour Isoler et

Protéger Les Réseaux


SommaireSommaire

Les solutions pour isoler et protéger vos Les solutions pour isoler et protéger vos Réseaux :Réseaux :– La solution logiciels antivirus & proxy antivirusLa solution logiciels antivirus & proxy antivirus– La solution routeur filtrantLa solution routeur filtrant– La solution FirewallLa solution Firewall– Comment protéger vos données: la Comment protéger vos données: la

cryptographiecryptographie


La Solution: Se ProtégerLa Solution: Se Protéger

Logiciels d’AntiVirus, Proxy AntivirusLogiciels d’AntiVirus, Proxy Antivirus FireWall (Pare-feu)FireWall (Pare-feu) Architecture du réseau (DMZ)Architecture du réseau (DMZ) Les solutions routeurs: Les routeurs filtrantsLes solutions routeurs: Les routeurs filtrants Les serveurs Proxy (serveur mandataires), reverse Les serveurs Proxy (serveur mandataires), reverse

proxy, le masquage d’adresseproxy, le masquage d’adresse Solution de cryptage des donnéesSolution de cryptage des données Outils de détection des intrusionsOutils de détection des intrusions Outils de test de vulnérabilité des SIOutils de test de vulnérabilité des SI Audit de sécuritéAudit de sécurité


La Solution: Se Protéger

Et ne jamais perdre de vue qu’aucun système n’est sûr à 100%.

Les exploits des pirates et autres programmeurs très talentueux de virus et de techniques de piratages le prouvent

chaque jour un peu plus.


D’ou Viennent les Intrusions ?

Routeur/Firewall

Internet Internet

Votre Réseau

Sur Serveurs

(Deni de service)

Sur Utilisateurs

(virus, trojan,

bugs OS)

Partenaires Via Clients

(intrusion)

Via réseaux

partenaires

(intrusion)


La Solution

Logiciels Anti-Virus

&

Proxy Anti-Virus


Les Virus: La Protection Globale

Routeur/Firewall

Internet Internet

Votre Réseau

Sur Serveurs

de messagerie

Sur Clients

(HTTP,FTP)

Sur Clients

(Disquette & CD)


Les Virus

• Rien de fondamentalement nouveau avec l’Internet

• Sauf que:• Les créateurs de virus bénéficient d’un moyen de transport

idéal et à grande échelle

• Les premiers virus de l’Internet sont généralement

véhiculés par la messagerie ( les attachements de fichiers

sont particulièrement « pratique » pour diffuser un virus )

• Les Trojans Horses (chevaux de troi) : une nouvelle race de virus • Microsoft est souvent le premier visé


Les Différents Types de Virus

• Les Virus Classiques

• Les Virus Macro

• Les Vers ou Virus de Messagerie (Worm)


Les Virus Classiques

Disque Dur

Un virus classique est un programme exécutable qui s’installe sur votre ordinateur à votre insu. Il se cache dans le secteur de démarrage de vos disques et disquettes.

Lorsque vous allumez le micro, le virus se charge et se reproduit en infectant

les disques durs et disquettes

Les virus classiques se transmettent par disquette


Les Virus Macro

Fichier Word

Fichier Word

Fichier Word

Fichier Word

Ils s’attachent aux documents des logiciels proposant un langage

de macro-commandes comme Word ou Excel.

Le virus se reproduit alors en infectant les autres documents au fur

et à mesure qu’ils sont ouverts.

Les virus macros « s’attrapent » en ouvrant un document infecté.


Les Vers ou Virus de Messagerie

Internet

Internet

Email

Le ver se reproduit de manière automatique

Dés que l’utilisateur ouvre le fichier, le virus va non seulement infecter le PC

sur lequel il se trouve, mais aussi s’autoexpédier par courrier électronique lors

de la première connexion sur Internet, en utilisant le logiciel de messagerie et

les adresses E-mail stockées dans le carnet

Pirate


Les Symptômes d’Infection

• Le micro refuse de démarrer• Des fichiers disparaissent• Certains documents sont modifiés• Des messages ou des images bizarres s’affichent• Le clavier est souvent verrouillé• De la musique ou des sons bizarres s’entend

• ça rame, le micro ralentit !

Sans logiciel spécialisé, il n’est pas toujours facile

de diagnostiquer la présence d’un virus


Des Conseils pour Limiter les Risques et les Dégâts

• Ne démarrez pas votre PC avec une disquette dans le lecteur• Sauvegardez vos documents• Faites un diagnostic fiable• Réglez le niveau de sécurité d’Internet Explorer et Netscape


Logiciels/Proxy AntiVirusLogiciels/Proxy AntiVirus

Acquérir un logiciel antivirus très réponduAcquérir un logiciel antivirus très répondu

Utiliser toujours la dernière versionUtiliser toujours la dernière version

Installer le logiciel dans chaque poste de votre réseauInstaller le logiciel dans chaque poste de votre réseau

Installer un Proxy anti-virus qui se charge d’analyser Installer un Proxy anti-virus qui se charge d’analyser les fichiers entrant avant de les envoyer sur le réseau les fichiers entrant avant de les envoyer sur le réseau interne: Ouvrir les fichiers entrant (fichiers compressés interne: Ouvrir les fichiers entrant (fichiers compressés également) afin de détecter la présence de Viruségalement) afin de détecter la présence de Virus


Un Exemple Logiciel: Anti-virus sur Messagerie

Routeur/Firewall

Internet Internet

Votre Réseau

Serveur

Messagerie

&

Anti-Virus

: Flux infecté

: Flux purgé

Inconvénient: le virus arrive jusqu’au serveur

Alternative: Antivirus de type Proxy / CVP

Anti-virus attaché au serveur


Routeur/FirewallVotre Réseau

Serveurs

Messagerie

Proxy

Anti-virus &

http & ftp

: Flux infecté: Flux purgé

Le Serveur Proxy Anti-Virus

Client Web

Serveur

WebServeur

SMTPInternet


Routeur/FirewallVotre Réseau

Serveurs

Messagerie

Proxy

Anti-virus

: Flux infecté: Flux purgé

Client Web

Serveur

WebServeur

SMTPInternet

Le Filtrage de Type Content Vectoring Protocol

CVP


Toujours se Souvenir Que:

• Le filtrage « au vol » doit être rapide pour les services Web et FTP

• Une détection virus pour la messagerie est possible mais il faut

décompresser les messages avant de pouvoir détecter et purger

• La détection des virus dans les flux d’information chiffrée

de type SSL et S/MIME n’est possible que sur le poste client

• Le mode proxy est à préférer au mode CVP


Conclusion: Deux Protections Complémentaires

Votre Réseau

Proxy

Anti-virus

Internet Internet

Sur Clients

(Disquette & CD)

Serveurs

Une protection sur les flux réseaux

(http, ftp, smtp) RR

Logiciel Antivirus:

Une protection sur les clients


La Solution Firewall La Solution Firewall (Pare-feu, (Pare-feu,

Coupe-feu) Coupe-feu)


Qu’est ce qu’un Firewall InternetQu’est ce qu’un Firewall Internet

Il sert à plusieurs choses :Il sert à plusieurs choses :

protége le réseau interne contre les tentatives d’intrusion protége le réseau interne contre les tentatives d’intrusion provenant de l’extérieur provenant de l’extérieur

limite et vérifie les connexions provenant du réseau interne limite et vérifie les connexions provenant du réseau interne vers extérieur vers extérieur

restreint l’accès à un point précisrestreint l’accès à un point précis

empêche les agresseurs de s’approcher de vos autres empêche les agresseurs de s’approcher de vos autres défensesdéfenses

restreint la sortie à un point précisrestreint la sortie à un point précis


Qu’est ce qu’un Firewall InternetQu’est ce qu’un Firewall Internet Un firewall est le plus souvent installé au point où votre Un firewall est le plus souvent installé au point où votre

réseau interne protégé est connecté à l’Internet.réseau interne protégé est connecté à l’Internet.

Logiquement, un firewall est un séparateur, un limiteur, un Logiquement, un firewall est un séparateur, un limiteur, un analyseur. Ses implémentations physiques varient selon analyseur. Ses implémentations physiques varient selon les sites.les sites.

Il s’agit la plupart du temps d’un ensemble de composants Il s’agit la plupart du temps d’un ensemble de composants

matériels : un routeur, un ordinateur hôte, ou une matériels : un routeur, un ordinateur hôte, ou une combinaison d’ordinateurs, de routeurs et de réseaux combinaison d’ordinateurs, de routeurs et de réseaux avec des logiciels appropriés.avec des logiciels appropriés.

Il existe diverses façons de configurer cet équipement, la Il existe diverses façons de configurer cet équipement, la configuration dépendent de la politique, du budget et de configuration dépendent de la politique, du budget et de l’activité du site considéré.l’activité du site considéré.


Que peut faire un FirewallQue peut faire un Firewall

Un Firewall est au centre des décisions de Un Firewall est au centre des décisions de sécuritésécurité

Un Firewall peut renforcer le règlement de Un Firewall peut renforcer le règlement de sécuritésécurité

Un Firewall peut facilement enregistrer l’activité Un Firewall peut facilement enregistrer l’activité InternetInternet

Un Firewall limite votre expositionUn Firewall limite votre exposition


Réseau YRéseau Y

Réseau à protéger

La Solution Firewall

• Filtrage sur protocoles de communication

• Filtrage sur applications (Web, FTP, TelNet…), blocages des URL…• Filtrage sur les utilisateurs

• Fichier logs et statistiques d’utilisation

• Gestion possible de réseaux complexes (VPN, DMZ, …)

• Interface conviviale

Firewall

Réseau XRéseau X


InternetInternet

LAN Privé

La Solution Firewall - Internet

Firewall

ISP

Routeur

Routeur

Routeur

Accès sécurisé et transparent aux serveurs de l’Internet


La Solution Firewall « Protection des serveurs »

Firewall

ServeursClients


La Solution Proxy Serveur (Serveur Mandataire)

InternetInternetFirewall

Proxy

Server

LAN privé

• Filtrage applicatif (HTTP, FTP, …)

• Nécessite une connexion utilisateur par type de service

• difficile si l’application n’est pas supporté par le proxy

• Optimise la bande passante vers l’Internet en mettant en cache

(disque) les informations consultées de l’Internet

• Filtrage efficace des sites autorisés / interdits

• Masquage d’adresse: une adresse unique pour les clients

• Authentification de tous les utilisateurs du LAN


Proxy / Reverse Proxy

Firewall

Proxy

Serveur

Votre réseau

Firewall

Reverse

Proxy

Votre réseau

« Le Proxy se fait passer pour le client »

« Le Reverse Proxy se fait passer pour le serveur »

ServeurLe réseau à risque

Le réseau à risque

Serveur


La Solution Globale

« Diviser pour mieux régner »

Applications

Réseau

Transport

TCP-UDP

Réseau

logique

IP-ICMPRéseau

physique

Switch

filtrant

Routeur

filtrant

Firewall

Proxy

Anti-Virus

« Dédier pour mieux

résister » R

01/01/2014institut supérieur d'informatique1 la s é curit é et laudit des syst è mes...

Documents