Conclusion du projet sur les plans de sécurité informatique

Depuis le 24 Octobre 2012, nous avons tenté de vous présenter et d’analyser les plans de sécurité informatique dans le cadre de ce projet de veille technologique, en essayant de rendre le sujet plus attrayant et plus intéressant que les documentation technique qui y sont liées.

Après avoir redéfini ce qu’on entend par sécurité informatique puis avoir étudié les types de failles informatiques ou physiques auxquelles on s’intéresse dans le cadre de la mise en place ou l’actualisation de plans de sécurité informatique, nous vous avons présenté la norme ISO 17799 - une norme européenne établissant des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme et qui est à la base des plans de sécurité informatique – et présenté de manière formelle les méthodes d’audits EBIOS (Expression des besoins et identification des objectifs de sécurité) et MEHARI (Méthode harmonisée d’analyse des risques), en les comparant succinctement. Ces deux méthodes sont les références de l’audit de sécurité informatique en France, bien qu’ayant de la concurrence à laquelle il serait possible de s’intéresser un peu plus longuement.

Pour approfondir notre étude de ces deux méthodes et nous mettre à la place des ingénieurs sécurité qui réalisent ces audits, nous vous avons ensuite présenté respectivement l’outil d’audit EBIOS et l’outil d’audit MEHARI, formés respectivement d’un programme complet permettant un audit pas à pas et, pour MEHARI, d’une feuille de calcul excel complexe guidée par une documentation annexe.

Enfin, pour remettre notre étude dans son contexte réel, nous avons trouvé intéressant de vous présenter deux cas de piratage qui sont restés dans les annales - le piratage du PlayStation Network et de Heartland Payment Systems – car ils ont eu des conséquences catastrophiques pour les entreprises ciblées par ces attaques.

Ainsi, pour conclure notre projet par ce dernier billet, nous avons voulu vous donner un aperçu des “Best Practices” en matière de sécurité informatique, ou du moins les bases de la sécurité :

1 ) Quels sont les éléments les plus importants de votre système informatique ?

En effet, pour avoir un concept de sécurité intéressant, il est nécessaire de savoir quels systèmes doivent être protégés en priorité, ceux dont lesquels dépendent directement votre activité (si l’immobilisation du système immobilise l’entreprise) et quels systèmes auxiliaires y sont liés.

2 ) Protéger le réseau de l’entreprise :

Même si les systèmes informatiques de l’entreprise sont protégés individuellement, il est cependant souvent nécessaire de paramétrer le pare-feu (Firewall) afin de permettre de manière sécurisée l’accès aux données de l’entreprise aux collaborateurs de terrain, de façon fiable et rapide sans pour autant affaiblir la sécurité du système. Il s’agit donc de trouver un compromis entre la possibilité d’accès au données de l’entreprise de façon distante et de garder cet accès totalement sécurisé, comme un “réseau étendu” de l’entreprise.

3 ) Ne pas se limiter aux serveurs “primordiaux” !

Bien qu’il soit important de connaitre les points névralgiques de votre système/réseau informatique, il ne faut pas se limiter à sécuriser les points les plus importants. Les serveurs communiquant entre eux, ils doivent notamment TOUS être incorporés au concept de sécurité. Ainsi, si un malware infecte une machine, il peut ensuite se propager dans tout le réseau de l’entreprise, parfois y compris jusqu’aux points stratégiques de votre installation.

4 ) Prendre toutes les plateformes et tous les périphériques en compte :

Une idée reçue veut que seuls les systèmes Windows soient vulnérables aux attaques informatiques. FAUX ! Toutes les plates-formes (Linux, Mac, Mobile, …) doivent inclus dans votre concept de sécurité. De la même façon, avec l’importance toujours plus grande du sans-fil, les smartphones et les PC portables deviennent la majorité des machines utilisées et sont souvent moins sécurisés.

5 ) Quelles protections utiliser ?

La configuration minimale comprend au minimum un scanner de virus pour Windows, mais aussi pour Linux et Mac OS X, le cas échéant, un pare-feu bien paramétré, un scan en temps réel des fichiers de clés USB et des mails et des accès contrôlés pour les mobiles ou les smartphones. De plus, un système de remise à zéro des informations du téléphone en cas de vol ou de perte du mobile est en général mis en place, ainsi que la nécessité d’un code de déverrouillage sur le téléphone. Une autre fonction précieuse en matière de sécurité est le blocage des informations personnelles de l’abonné en cas de vol du smartphone et de retrait de la carte SIM. Il est aussi extrêmement important de tenir les logiciels à jour, ce qui est malheureusement trop souvent oublié.

6 ) Centraliser l’administration :

Le concept de sécurité informatique se doit de prendre en compte tous les appareils et tous les serveurs et ces derniers doivent fonctionner ensemble. Il est donc très important que la protection de chacun soit gérée ou mise en place par une équipe s’occupant de tous les aspects de la sécurité informatique de votre entreprise. Un outil de suivi comportant une fonction de reporting est aussi nécessaire dès qu’il s’agit de gérer des parcs de machines conséquents.

7 ) Être préparé à réagir dans l’urgence :

En complément d’une stratégie de sécurité adaptée, un plan d’action d’urgence est nécessaire. Par une analyse des risques et des scénarios (comme cela est intégré aux démarches d’audit de sécurité sus-citées), on peut se préparer aux cas les plus probables d’attaque ou de défaillance du système.

Par exemple : En cas de soupçons justifiés d’un vol de données passé ou en cours dans l’entreprise, vous pouvez prendre les mesures suivantes :

•           Informer la direction.
•           Ne faire part à personne d’autre de vos soupçons.
•           Contacter un professionnel des enquêtes informatiques.
•           Ne tenter en aucun cas de mener votre propre enquête.
•           Dresser la liste de tous les systèmes susceptibles d’être concernés.

8 ) Tester le plan d’action d’urgence et la stratégie de sécurité :

Bien entendu, il est toujours préférable et prévu que ces situations d’urgence ne se produisent pas. Mais tout comme un exercice anti-incendie, votre plan d’action d’urgence informatique doit être testé, les employés doivent être formés et il est mieux qu’une simulation ait lieu tous les six mois. L’évolution des menaces et la découvertes des failles étant toujours plus rapide, il est important que votre plan de sécurité soit dynamique et très régulièrement mis à jour.

Pour conclure, un système informatique est toujours faillible, car créé par l’Homme. Le principal est que la/les faille(s) soi(en)t inconnue(s) de tous, ou ne vaille pas la peine d’être exploitée. De la même façon, il est toujours possible que votre système soit perverti. Il est donc d’un extrême importance de penser à sauvegarder régulièrement et dans différents endroits les données sensibles ou stratégiques. “Mieux vaut prévenir que guérir”, mais Mieux vaut aussi guérir que mourir : de l’utilité de se préparer toujours au pire.

Nous remercions tous les lecteurs de nos articles et espérons que nos différents billets vous auront intéressés et/ou aidés. Nous mettrons bientôt à disposition un rapport plus structuré sur nos recherches grâce au plan suivant :

  • Introduction au sujet de la sécurité informatique
    • Quels enjeux et quels risques ?
    • Quelles conséquences ?
  • Les plans de sécurité informatique
    • Origine & concept
    • La Norme ISO 17799
  • Quels outils pour les plans de sécurité informatique ?
    • Les méthodes d’audits
    • Les outils des méthodes d’audits
Pour télécharger le rapport, c’est ici : pvte12_rapport_secui2012 !

SOURCES :

http://www.ansi.tn/fr/audit/methodologies_audit.html
http://www.bestpractices-si.fr

Licence Creative Commons
Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

Quelques exemples concrets

Afin de replacer notre veille dans le contexte actuel, et pour éviter d’assommer le lecteur plus qu’il ne l’est déjà avec des normes et des méthodes d’audit de sécurité, nous aborderons dans cet article deux exemples concrets d’acteurs qui auraient dû renforcer leur plan de sécurité avant de faire la une des blogs du monde entier.

Ainsi, nous étudierons le cas du piratage du PlayStation Network (alias PSN) de Sony, puis nous parlerons rapidement du piratage des Heartland Payment systems.

1. Le hack du PSN

L’origine de cette attaque est assez lointaine puisqu’elle trouve sa source dans l’homme qu’est George Francis Hotz (ou GeoHot, pour les intimes… et tout internet). GeoHot est connu dans le monde du hacking notamment pour avoir jailbreaké (piraté) l’iPhone, mais surtout, dans le cas qui nous concerne, pour être le premier à avoir cracké la Playstation 3, en 2010. GeoHot a notre âge, 23 ans, et est un petit génie de l’informatique et de l’électronique, hacker de profession. C’est pourquoi, quand il a acheté sa nouvelle console Playstation, GeoHot a trouvé amusant d’essayer d’en obtenir le maximum, et notamment dans le cas présent, il a voulu avoir accès au système d’exploitation très fermé et sécurisé de la console.

Cependant, en rendant public les informations sensibles, et notamment la “Master Key” de la PS3 (clé de cryptage), GeoHot s’est attiré les foudres de l’entreprise japonaise qui a alors porté plainte contre lui sous une multitude de chefs d’accusation. Pour appuyer son attaque en justice, la société se débrouille pour qu’une descente soit réalisée dans le logement de GeoHot et que tout son matériel informatique soit détruit. Et là, c’est le drame.

Cette attaque fait le buzz (ou le ramdam, si on s’en tient aux consignes de l’académie française) et attire l’attention des Anonymous, un groupe de hacktiviste bien connu sur internet (et décrits dans un post de l’année dernière). Se reconnaissant dans la personne de GeoHot, ces derniers ripostent à l’action de Sony en attaquant son réseau de jeu en ligne, le fameux PSN et le service Qriocity(service de Streaming de musique et de Vidéos à la demande de Sony), rendant inaccessible un certain nombre de sites de l’entreprise et dérobant des informations confidentielles sur pas moins de 25 millions de clients de Sony (les informations n’étant pas chiffrées). On parle ici de données personnelles des clients de Sony : noms, adresses et adresses électroniques, dates d’anniversaire, pseudonymes et mots de passe, historiques des paiements, factures ainsi que des données plus sensibles telles que les données bancaires.

Sony coupe alors l’ensemble du PSN et de Qriocity le 20 avril 2011 pour une maintenance qui durera jusqu’au 16 mai 2011.

Les conséquences sont lourdes pour Sony : des millions de dollars perdus (on parle de 170 millions de dollars de pertes), des millions d’utilisateurs mécontents, des actions en justice engagées contre l’entreprise pour négligence de failles de sécurité, l’action de Sony chute et… les ingénieurs sécurité de chez Sony qui passent pour des imbéciles. En effet, il semblerait que Sony utilisait des versions obsolètes de logiciels et que ses serveurs n’étaient pas protégés par un pare-feu.

De l’importance de bien protéger et de crypter les données à caractère personnel et de mettre à jour le logiciel (Apache) de vos serveurs…

2. Heartland Payment Systems

En 2009, Heartland Payment Systems est l’un des plus grands organismes de transferts de paiements aux Etats Unis. Malgré son importance, la société est victime d’une faille informatique découverte et exploitée largement par le pirate Albert Gonzalez et deux associés via un spyware implanté sur l’un des serveurs de la société, puisqu’ils ont pu ainsi accéder aux données (nom, numéros de cartes, dates d’expiration et monitoring des crédits et débits) de plus de 130 millions de cartes de crédit. Les hackers ne pouvaient cependant pas utiliser les informations telles quelles mais pouvaient créer de fausses cartes de crédit avec les données volées.

Le 25 mars 2010, un tribunal américain a condamné le pirate à purger une peine de prison de 20 ans et un jour, ainsi qu’à 25.000 dollars d’amende, voulant faire un exemple pour décourager ce genre de crimes. A titre de comparaison, les pertes de Heartland Payment Systems s’élèveraient à 12,8 millions de dollars.

De l’utilité de surveiller ses machines et les protéger avec les programmes adéquats.

Dans le prochain article, nous ferons donc une synthèse de notre travail et un résumé des bonnes pratiques à avoir afin d’obtenir une sécurité informatique minimale.

SOURCES :
Washington post
http://www.computerworlduk.com
Wikipédia
http://www.2008breach.com

 

 

Etude du “logiciel” MEHARI

Contrairement au logiciel EBIOS qui nécessite une installation complète et qui utilise la technologie Adobe Air, l’outil proposé par MEHARI se présente comme un fichier de calcul Excel/OpenOffice permettant de couvrir tous les aspects de l’audit de sécurité. Ce dernier est accompagné d’un guide, le « Manuel de référence de la base de connaissances MEHARI 2010 » expliquant comment utiliser chaque feuille de calcul.

En effet, pour chacun des aspects de l’audit, on a une feuille de calcul associée.

Feuille de presentation

Feuille de calcul de présentation de l’outil

On navigue donc entre ces feuilles afin de remplir toutes les données nécessaires à l’audit de sécurité.

Aperçu des onglets d’accès aux feuilles de calcul

L’onglet « nav » nous présente notamment la structure de la base de connaissances MEHARI qui fait partie de l’outil.

Schéma de l’organisation de la base des connaissances MEHARI

Analyse des enjeux et de la classification des actifs

Les premières données à entrer dans l’outil tiennent au remplissage des onglets T1, T2 et T3 qui permettent d’entrer les exigences de sécurité respectivement  pour les types de données, les services et les processus de management issus de l’analyse des enjeux et du processus de la classification des actifs.

Les niveaux de classification des actifs à auditer sont ensuite référencés via l’onglet noté « classif », dans lequel on peut décider d’exclure certains actifs de l’audit et en conséquence de ne pas considérer les scénarios de risques associés à ces actifs.

Diagnostic des services de sécurité

On commence ensuite l’audit à proprement parler puisque les onglets suivants, numérotés de 1 à 14 constituent les questionnaires d’audit.

Les résultats de ces questionnaires sont synthétisés dans trois feuilles : les résultats des diagnostics par service, le récapitulatif par « thème » de sécurité et le score ISO, c’est-à-dire les résultats des diagnostics selon la classification ISO 27001/27002.

Evaluation des risques

Pour évaluer les risques, on commence par une évaluation de l’exposition naturelle aux risques, puis on envisage les différents scenarios à prendre en compte pour notre système.

Exemple de l’onglet Risk%actif

Via les onglets Risk%actif et Risk%event, on étudie la gravité des scénarios respectivement par type d’actif et par type d’évènement.

Préparation des plans d’actions

Après l’analyse, l’action ! Les onglets suivant permettent en effet de préparer les mesures à mettre en œuvre pour pallier aux manques de notre système. On a donc un récapitulatif des scénarios et des plans d’action que l’on peut mettre en place, puis, une fois la décision des plans à mettre en place prise, on revoit les objectifs de chaque plan et de chaque projet.

Exemples des vulnérabilités, grilles de paramétrage, etc.

Enfin, on a des onglets « annexes » permettant d’accéder à des conseils ou des exemples supplémentaires pour optimiser notre audit.

Conclusion.
Le “logiciel” MEHARI permet d’établir le contexte (délimitation du périmètre et cadrage de l’étude), d’apprécier les risques (identification, estimation et comparaison) et de planifier et suivre le traitement des risques (mesures et risques résiduels). C’est un outil utile pour appliquer la méthode MEHARI, méthode reconnue de gestion des risques de sécurité des systèmes d’information (SSI).

Le logiciel EBIOS

Dans le dernier post, nous vous présentions les méthodes EBIOS et MEHARI, nous allons vous présenter aujourd’hui et le mois prochain les deux logiciels associés à ces méthodes.

Rappel : La méthode EBIOS

La méthode EBIOS est une méthode de gestion des risques de sécurité des systèmes d’information (SSI). EBIOS est un véritable outil d’assistance à la maîtrise d’ouvrage (définition d’un périmètre d’étude, expression de besoins, responsabilisation des acteurs…). Elle permet ainsi d’identifier les objectifs et les exigences de sécurité en fonction de risques identifiés et retenus. Elle constitue une main courante dans la perception de l’organisme sur le plan de la sécurité.

EBIOS peut-être appliqué aussi bien sur des systèmes simples (serveur web) que sur des systèmes complexes (système de gestion des concours et du personnel impliquant différentes interconnexions), sur des systèmes à concevoir que sur des systèmes existants, ou encore sur des systèmes d’information entiers que sur des sous-systèmes.

Présentation du logiciel EBIOS et de ses fonctionnalités.

Le logiciel EBIOS est donc un logiciel d’assistance à l’utilisation de la méthode EBIOS. Il respecte la philosophie générale de la méthode.

Il permet de créer des livrables conformes aux plans recommandés par la direction centrale de la sécurité des systèmes d’information (DCSSI), notamment les Fiches d’Expression Rationnelle des Objectifs de Sécurité (FEROS), les profils de protection, les cahiers des charges SSI, les politiques de sécurité.

Il permet d’accéder aux bases de connaissances et de les adapter à des contextes particuliers. Les acteurs de la SSI (Direction, RSSI…) peuvent ainsi diffuser des éléments de politique de sécurité tels que les valeurs de l’organisme, la réglementation applicable, l’échelle de sensibilité à utiliser, les menaces à prendre en compte ou les objectifs de sécurité à couvrir.

C’est un outil puissant pour le conseil lié à la gestion des risques SSI. Il permet notamment de :

-          consigner les résultats d’une analyse des risques SSI
-          gérer un contenu dynamique et interactif
-          capitaliser les savoirs pour créer un référentiel propre à l’organisme
-          communiquer efficacement les résultats.

De plus, ce logiciel suit les évolutions de la méthode EBIOS, notamment la convergence vers les normes internationales telles que l’ISO 15408.

Voici les différentes fonctionnalités du logiciel :

-          Réalisation d’une étude EBIOS : permet de consigner les résultats des études, de produire les divers tableaux et d’effectuer certains calculs automatiquement.

La réalisation d’une étude est composée de 6 parties :

  • L’étude du contexte : étape consistant à définir et délimiter l’étude à partir des entretiens ou questionnaires établis à l’étape préparatoire.
  • Expression des besoins et des évènements redoutés : énumération des besoins de sécurité de chacun des éléments essentiels.
  • L’étude des menaces : étape ayant pour objectif de déterminer les menaces, puis les vulnérabilités associées à ces menaces, devant être couvertes par les objectifs de sécurité du système cible. On confronte ensuite les menaces spécifiques du système cible avec les besoins de sécurité établis précédemment.
  • Identification des risques : détermination des risques, et définition des solutions permettant d’atteindre les objectifs de sécurité
  • Détermination des exigences de sécurité : spécification des fonctionnalités attendues en matière de sécurité. Cela permet de démontrer la couverture des objectifs de sécurité par ces exigences de sécurité fonctionnelles ou mettre en évidence les éventuels risques résiduels. On doit enfin spécifier les exigences de sécurité d’assurance.
  • Compléments : création d’un glossaire, d’une liste des acronymes utilisés dans l’étude et des documents de référence

-          Création de documents de synthèse : EBIOS permet de réaliser différents livrables tels que des politiques de sécurité des systèmes d’information, des fiches d’expressions rationnelles des objectifs de sécurité (FEROS), des profils de protections, des cibles de sécurité… à partir des données issues d’une étude SSI.

-          Etude de cas : Découvrir le logiciel à travers une étude de cas commentée.

-          Administration des bases de connaissances : Le logiciel permet la création, la consultation et la personnalisation de bases de connaissances. Les bases de connaissances d’EBIOS présentent et décrivent des types d’entités, des contraintes, des vulnérabilités, des méthodes d’attaques, des objectifs de sécurité, des exigences de sécurité… Ces bases de connaissances sont ensuite utilisées par les études comme référence.

-       Administration système : Administrer les utilisateurs. Cela correspond à la gestion des rôles et des utilisateurs (Authentification) : pour accéder à chaque fonctionnalité du logiciel, le logiciel peut demander un identifiant et un mot de passe.

Pour conclure, voici les principaux avantages du logiciel EBIOS. Il est :

-       Recommandé par la DCSSI  (diffusion et assistance par la DCSSI)
-       Gratuit
-       Compatible avec différents systèmes (Windows, Linux ou Solaris)
-       Facile de prise en main (avec même un module d’auto-formation, une aide complète)
-       Permet de rejoindre la communauté des utilisateurs EBIOS (experts…)
-       Est sous licence libre (utilisable et adaptable par tous, sources et documents de conception fourni avec le logiciel) (conçu en UML et réalisé en Java et XML)
-       Fidéle à la méthode
-       Capable d’éditer les documents adaptés aux besoins

Source : www.ssi.gouv.fr , logiciel EBIOS

Licence Creative Commons
Plans de sécurité de Jean-Baptiste Clavel et Adrien Thiery est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

La norme ISO 17799 et les méthodes d’audit

Avant de vous parler des différentes méthodes d’audit et d’amélioration de la sécurité des systèmes d’informations, nous allons découvrir ensemble la norme ISO 17799 qui constitue les « best practice », les règles de bonnes conduites à suivre et les objectifs à atteindre pour avoir une bonne sécurité informatique.

Présentation de la norme ISO 17799

Internationale, la norme ISO 17799, crée en 2005, établit des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme.

Ce code de bonne pratique est subdivisé en différentes 10 chapitres (cf ci-dessous).

Chapitre 1 : Politique de sécurité

La politique de sécurité donne des définitions claires de la sécurité de l’information (SI), une explication des principes de sécurité, évoque l’implication de la direction de l’organisme et les modalités de déclaration des incidents de sécurité.

On retiendra que les facteurs clé de succès de la mise en œuvre d’une politique de sécurité de l’information sont :

  • la mise en œuvre de la gestion de la SI compatible avec la culture de l’organisation
  • un soutien et un engagement réel et visible de la direction de l’organisme
  • une bonne compréhension des exigences de sécurité
  • une bonne communication interne (auprès des employés et des responsables) (présentation – formations – campagnes de sensibilisation)
  • une bonne communication externe de la politique de SI (auprès des fournisseurs par exemple)
  • un système de mesures pour évaluer l’efficacité de la gestion de la sécurité

Chapitre 2 : Organisation de la sécurité

Des groupes de travail devront être mis en œuvre, avec l’appui de la direction, pour approuver la politique de sécurité de l’information, pour assigner des rôles de sécurité et pour coordonner la sécurité dans l’organisme.

Chapitre 3 : Classification et contrôle des actifs

La norme préconise qu’un propriétaire soit identifié pour chaque actif principal (exemple: Données client, données achat, …) de façon à s’assurer qu’un niveau de protection approprié de cet actif soit mis en œuvre. Ce propriétaire d’information sera responsable de la mise en œuvre des contrôles appropriés et même si la réalisation des contrôles peut être déléguée, la responsabilité finale vis-à-vis de cet actif devra demeurer chez le propriétaire désigné.

Le processus de réalisation de l’inventaire des actifs est un aspect important de la gestion des risques. Un organisme doit pouvoir identifier ses actifs, ainsi que leur valeur et importance relatives.

Chapitre 4 : Sécurité liée au personnel

La norme ne se réduit pas à une norme technique, elle met beaucoup l’accent sur la culture de la sécurité de l’entreprise et notamment celle liée à son personnel, notamment lors de la procédure de recrutement, des contrats d’embauche et de la formation à la sécurité (connexions et déconnexion aux applicatifs, politique de mots de passe, signalement des incidents de sécurité, processus disciplinaire).

Chapitre 5 : Sécurité physique et de l’environnement

Sécurité Physique :

La sécurité physique est un sujet de fond dans la sécurité de l’information. La norme préconise la création de différents niveaux de sécurisation de zone, la mise en place de systèmes de contrôle d’accès, la séparation des zones de livraison…

Sécurité du matériel informatique :

La norme aborde les thèmes liés à la sécurité des serveurs et de leur environnement (gestion des alimentations électriques, politique pour limiter l’utilisation de boisson et de nourriture, procédure de sortie des matériels informatiques des locaux…)

Des points plus sensibles sont abordés comme par exemple : comment effacer définitivement les données ?

Chapitre 6 : Sécurité de l’exploitation et des réseaux

Dans ce chapitre, deux grands thèmes sont décrits :

  • les thèmes liés à la sécurisation de l’exploitation de l’information (évolutions des systèmes d’information, gérer les incidents de sécurité, séparation des fonctions à risques…)
  • la sécurité des réseaux au sens large véhiculant l’information, notamment toute la sécurité des échanges et les moyens associés (scellement, cryptographie, signature électronique…)

Chapitre 7 : Contrôles d’accès logique

Ce chapitre décrit la politique à mettre en œuvre pour structurer la gestion des accès au système d’information pour les utilisateurs de l’organisme, mais également pour les systèmes externes qui se connectent automatiquement à des applications.

Deux thèmes sont abordés :

  • la gestion des mots de passe
  • la gestion des accès logiques

Chapitre 8 : Développement et maintenance des systèmes d’information

Ce chapitre traite des infrastructures informatiques, des applications de l’entreprise et également des applications développées par les utilisateurs. Mais aussi de la politique sur l’utilisation des mesures cryptographiques : cette partie décrit l’ensemble du processus organisationnel à mettre en œuvre pour assurer une bonne utilisation du cryptage, des signatures numériques, des services de non répudiation et de la gestion des clés.

Chapitre 9 : Continuité d’activité

Quelles que soient les probabilités de risques, les dirigeants doivent pouvoir engager des moyens pour garantir la continuité de l’activité et en particulier, la permanence de la relation client. Sans système d’information, l’entreprise a en effet bien du mal à réorganiser ses processus. Cette conception dépasse la reprise sur le seul sinistre du système d’information : elle vise à réunir pour chaque collaborateur un emplacement de travail, un téléphone, et un poste de travail.

Chapitre 10 : La gestion de la conformité

Comme l’ISO 177999 est une norme internationale, l’identification de la législation applicable au pays est la première tâche. Il convient ensuite de définir explicitement et documenter les exigences légales, réglementaires et contractuelles pour chaque système d’information. (propriété intellectuelle, droits d’auteur, copyright des logiciels, protection des données personnelles…)

Présentation de la méthode EBIOS
(Expression des besoins et identification des objectifs de sécurité)

La méthode EBIOS a été développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les réflexions de cette méthode sont menées à un niveau davantage fonctionnel que technique et elle fournit les éléments nécessaires à la validation formelle par une autorité de la gestion, la surveillance et la revue des risques.

La méthode se présente en cinq étapes :

  1. L’étude du contexte
  2. L’étude des évènements redoutés
  3. L’étude des scénarios de menaces
  4. L’étude des risques
  5. L’étude des mesures de sécurité

1 – Étude du contexte

Objectif : définir précisément le contexte de l’étude et ses enjeux.

Cette étape permet de formaliser le cadre de gestion des risques, d’identifier, de délimiter et de décrire le périmètre de l’étude, ses enjeux, son contexte d’utilisation, ses contraintes spécifiques

Cette étape se décompose en trois sous-activités :
– Définir le cadre de la gestion des risques
– Préparer les métriques
– Identifier les biens

2 – Étude des évènements redoutés

Objectif : identifier de manière systématique les scénarios génériques que l’on souhaite éviter concernant le périmètre de l’étude.

Il permet tout d’abord de faire émerger tous les évènements redoutés en identifiant et combinant chacune de leurs composantes : on estime ainsi la valeur de ce que l’on souhaite protéger (les besoins de sécurité des biens essentiels), on met en évidence les sources de menaces auxquelles on est confronté et les conséquences (impacts) des sinistres.  Il permet également de recenser les éventuelles mesures de sécurité existantes et ré-estimer la gravité des évènements redoutés, une fois les mesures de sécurité appliquées.

3 – Étude des scénarios de menaces

Objectif : identifier de manière systématique les modes opératoires génériques qui peuvent porter atteinte à la sécurité des informations du périmètre de l’étude (scénarios de menaces).

Il permet tout d’abord de faire émerger tous les scénarios de menaces : on met en évidence les différentes menaces qui pèsent sur le périmètre de l’étude, les failles exploitables pour qu’elles se réalisent (les vulnérabilités des biens supports). Il permet également de recenser les éventuelles mesures de sécurité existantes et ré-estimer la vraisemblance des scénarios de menaces, une fois les mesures de sécurité appliquées.

4 – Étude des risques

Objectif : mettre en évidence de manière systématique les risques pesant sur le périmètre de l’étude, puis de choisir la manière de les traiter en tenant compte des spécificités du contexte.

Il s’agit ici d’identifier les scénarios réellement pertinents vis-à-vis du périmètre de l’étude. Il permet en outre de les qualifier explicitement en vue de les hiérarchiser et de choisir les options de traitement adéquates.

Cette étape est constitué de deux sous-activités :
– Apprécier les risques
– Identifier les objectifs de sécurité

5 – Étude des mesures de sécurité

Objectif : déterminer les moyens de traiter les risques et de suivre leur mise en œuvre.

Il permet de trouver un consensus sur les mesures de sécurité destinées à traiter les risques, d’en démontrer la bonne couverture, et enfin, d’effectuer la planification, la mise en œuvre et la validation du traitement.

Cette étape est constitué de deux sous-activités :
– Formaliser les mesures de sécurité à mettre en œuvre
– Mettre en œuvre les mesures de sécurité

De plus, cette méthode propose un certain nombre d’outils : Des guides pratiques pour mettre en oeuvre la méthode, un logiciel libre et gratuit, une formation, des études de cas et le club EBIOS, une association à but non lucratif qui permet de favoriser les échanges d’expériences, l’homogénéisation des pratiques et la vérification de la satisfaction des besoins des usagers.

L’année dernière, la méthode MEHARI (Méthode harmonisée d’analyse des risques) avait été étudiée. Faisons une comparaison de la méthode EBIOS et de MEHARI.

MEHARI vs EBIOS

EBIOS

MEHARI

Publié en 1997, créée en 1995

développée depuis 1995

Structure

Étude du contexte

1. L’identification des risques

Étude des événements redoutés

Étude des scénarios de menaces

Étude des risques

2. L’estimation des risques

Étude des mesures de sécurité

3. La gestion des risques

Outils

Guide pratique

Documents pratiques

Logiciel libre et gratuit

Logiciel gratuit

Formation

Vidéos

Etudes de cas

Outils de calculs Excel intégrés au logiciel

Club EBIOS

 

Finalement, on se rend compte que ces deux méthodes abordent les même sujets, mais peut être sous un angle un peu plus fonctionnel pour la méthode EBIOS et plus “managériale” pour la méthode MEHARI.

Un petit mot sur la “méthode” FEROS (Fiche d’Expression Rationnelle des Objectifs de Sécurité )

Lors de nos recherches, nous avons vu la “méthode FEROS” évoquée quasiment au même niveau que les méthodes EBIOS, MEHARI (ou MARION et MELISA, les méthodes “mères” de MEHARI), alors qu’une FEROS est en fait un document obligatoire (dans le cas de systèmes traitant des informations classifiées de défense) ou recommandé qui consiste à formaliser tous les éléments nécessaires à l’acceptation du système par une autorité. Il présente donc non seulement tous les objectifs de  sécurité du système étudié et les risques résiduels, mais aussi la démarche et l’argumentation qui a permis de les identifier.

De plus, la réalisation d’une FEROS est adaptée à l’utilisation de EBIOS, c’est donc ce qu’on pourrait considérer comme une annexe à la méthode EBIOS, même s’il est possible de réaliser une FEROS après avoir utilisé une autre méthode. En décidant de réaliser une FEROS, il faut cependant avoir utilisé une méthode d’audit de sécurité.

Pour conclure, si on sécurise un système d’information grâce à une méthode telle que MEHARI ou EBIOS, l’utilisation de la norme ISO 17799 pourrait faire l’objet d’une utilisation pour la vérification des bonnes pratiques des règles de sécurité établies grâce aux méthodes.

Le lecteur avide de savoir anglophone pourra s’intéresser à la norme OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), mais nous avons trouvé que l’étude de cette méthode n’était pas nécessaire pour cet article.

Sources :
Site de l’agence nationale de la sécurité de l’information
Wikipédia
Projet de sécurité des réseaux, Marc ROZENBERG, université d’Evry
Site du clusif (Club de la Sécurité de l’Information Français)

Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution – Pas d’Utilisation Commerciale 3.0 non transposé

Sécurité : physique ou virtuelle ?

Quand on a des bijoux ou de l’argent, que fait-on pour les mettre à l’abri, en sécurité ? Nos systèmes d’information détiennent des informations qui peuvent valoir de l’or, or les serveurs hébergeant ces informations sont parfois aussi faciles à saboter ou à voler que si on laissait sa chaîne en or sur une table en laissant la porte de la maison ouverte.

En effet, les informations ont beau être dématérialisée, on ne pense souvent qu’à leur vulnérabilité virtuelle et non à leur vulnérabilité physique. Cependant, certaines mesures sont parfois prises en entreprise pour pallier à tous les risques, y compris physiques.

Dans le réel, une salle sécurisée à tous les niveaux

Sécurité humaine

Un centre regroupant un ou plusieurs serveurs hébergeant les informations sensibles d’une entreprise est une cible de choix pour des êtres mal intentionnés. C’est pourquoi la sécurité des accès doit être surveillée au mieux. Pour une sécurité des informations maximale, la présence humaine continue (gardiennage 24/24) peut être renforcée par un système de vidéo surveillance, de régulation d’entrées/sorties par badges et d’alerte anti-intrusion déployé dans l’ensemble de ce bâtiment.

Sécurité physique et matérielle

Pour éviter la destruction des informations en cas de destruction d’un serveur, les équipements déclarés comme sensibles doivent être systématiquement redondés, c’est-à-dire dupliqués en un ou plusieurs endroits. Il existe aujourd’hui des systèmes et des techniques de sauvegarde de données régulières afin d’éviter les pertes de données imprévues (par exemple le fonctionnement de deux disques miroirs via RAID1 (Redundant Array of Independent Disks) ou l’utilisation de scripts de sauvegarde automatique).

Pour résister à une coupure (criminelle ou non) de ressources, un centre de serveurs se doit aussi de bénéficier d’une autonomie électrique régulièrement testée en cas de coupure électrique. Il peut aussi bénéficier d’un système de sécurité incendie ainsi que d’un groupe de refroidissement autonome adapté pour réguler au mieux la température des serveurs et en protéger le matériel, même en cas de coupure d’eau.

Sécurité logicielle

Pour bien protéger son système d’information, il est nécessaire de connaitre les principales attaques que le système est susceptible de subir. Il existe trois types d’attaques :

-       les attaques qui permettent d’obtenir des informations ou des privilèges pour mener un autre type d’attaque. On parle d’attaque par rebond.

-       les attaques simultanées par collusion : technique qui consiste à déclencher de nombreuses attaques  de manière coordonnée. Cette technique est notamment utilisée pour l’analyse de cryptogramme.

-       les attaques simultanées par coordination sur une cible unique : il s’agit de coordonner une attaque utilisant de très nombreux systèmes pour saturer la cible.

Voici les principales attaques connues à ce jour. Cette liste n’est bien sûr pas exhaustive :

-       Sabotage : c’est une destruction physique de matériels ou de supports dans le but de mettre hors service un SI ou une de ses composantes.

-       Brouillage : attaque de haut niveau utilisant les rayonnements électromagnétiques qui rendent le SI inopérant. Très souvent utilisé par les militaires en temps de crise ou de guerre.
D’où la très célèbre citation ! : « Le capitaine nous brouille l’écoute avec sa panne de micro. »

-       Écoute : sauvegarde des informations qui transitent sur un réseau informatique ou de télécommunication.

-       Cryptanalyse : attaque d’un chiffre. Pour assurer cette attaque, d’excellentes connaissances en mathématiques et une forte puissance de calcul sont requises. Couramment utilisé par les services de renseignement.

-       Mystification : simulation de la part de l’attaquant du comportement d’une machine pour tromper un utilisateur.

Exemple : simulation d’un terminal de paiement invitant à entrer ses données bancaires confidentielles

-       Trappe (ou Backdoor) : point d’entrée dans une application placée par un développeur. Ce point d’entrée permet aux programmeurs d’interrompre le déroulement de l’application, d’effectuer des tests, de modifier certains paramètres afin d’en changer le comportement original ceci lorsque l’application est en cours de développement.  Si ces points d’entrée ne sont pas supprimés avant commercialisation, il est possible de les utiliser pour contourner les mesures de sécurité.

Exemple :
Exploitation du mode debug de Sendmail utilisé par Robert T. Morris lors de son attaque par un ver sur Internet. (Source : Donn Seeley, Department of Computer Science, University of Utah, Aout 2008)

-       Asynchronisme : exploitation du fonctionnement asynchrone de certaines parties ou commandes du système d’exploitation. Modification des sauvegardes de contexte contenant des informations propres à l’état du système afin de contourner les mesures de sécurité.

-       Souterrain : type d’attaque qui évite de s’attaquer directement à une protection mais qui tente de s’en prendre à un élément qui la supporte. On peut faire une analogie avec le détenu qui tente de s’évader de prison : il privilégiera la fuite en creusant un souterrain dans la terre plutôt que tenter de percer un mur d’enceinte en béton.

-       Salami : acquisition imperceptible de données parcellaires d’un SI en vue de les rassembler et d’obtenir un tout exploitable.

-       Balayage (scanning) : cette technique consiste à envoyer au SI un ensemble de requêtes de natures diverses afin d’examiner les réponses du système. En automatisant ces sollicitations du SI, le pirate pourra facilement trouver le nom de certains utilisateurs et pourquoi pas leur mot de passe.

-       Exploitation d’un défaut (bug) : De nombreuses failles sont présentes dans les logiciels commerciaux. Ces failles sont exploitées à des fins malveillantes par les pirates.

-       Logiciel espion (spyware) : logiciel malveillant infectant un ordinateur dans le but de collecter et de transmettre, de manière invisible, des informations de l’environnement sur lequel il est installé.

-       Canal caché : Attaque de très haut niveau permettant de récupérer des informations en violant la politique de sécurité. Il existe 4 canaux cachés :

  • les canaux de stockage pour le transfert/la récupération d’informations
  • les canaux temporels pour étudier les temps de réponse du SI
  • les canaux de raisonnement qui permettent à un processus de déduire de l’information à laquelle il n’a pas normalement accès
  • les canaux dits de “fabrication” qui créent de l’information fausse.

-       Réseau de robots logiciels (botnet) : Réseau de robots logiciels (bots) installés sur énormément de machines. Ces robots se connectent sur des serveurs IRC (Internet Relay Chat) à partir desquels ils reçoivent des instructions de type : envoi de spam, vol d’informations, participation à des attaques de saturation…

-       Perturbation : L’agresseur va essayer de fausser le comportement du SI ou de l’empêcher de fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs. L’agresseur veut désorganiser, affaiblir ou ralentir le système cible.

-       Saturation : technique consistant à remplir une zone de stockage ou un canal de communication jusqu’à ce que l’on ne puisse plus l’utiliser.

-       Pourriel (spam) : courrier électronique indésirable transmis à une multitude de destinataires envoyés sans que l’émetteur ne soit au courant. Le spam contribue à la pollution voir à la saturation des boîtes aux lettres électroniques.

-       Canular (hoax) : rumeur propagée, souvent par courrier électronique, comme quoi un virus catastrophique circule sur la toile, virus imaginaire bien évidement. Ce n’est pas une réelle attaque mais cela contribue à la désinformation générale.

-       Hameçonnage ou filoutage (phishing) : Technique simple qui permet d’obtenir des informations confidentielles telles que les mots de passe en se faisant passer auprès des victimes pour quelqu’un digne de confiance. Par exemple, votre banque qui vous demande vos codes pour mettre à jour vos droits…

-       Les Bombes, Virus, Vers, Chevaux de Troie étant les plus communs et ayant déjà étés traités l’année dernière, nous ne les réexpliquerons pas.

Cet arsenal d’attaques représente une partie des menaces potentielles pour un système. Un système doit donc nécessairement se prémunir contre ces différentes attaques.

Sources :

http://www.ssi.gouv.fr/IMG/pdf/Guide650-2006-09-12.pdf

http://www.clusif.asso.fr/
http://fr.wikipedia.org/wiki/RAID_(informatique)
Licence Creative Commons
Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

Les plans de sécurité informatique – le retour

Les systèmes informatiques sont de plus en plus importants dans notre vie quotidienne, d’autant plus qu’avec l’explosion des smartphones, on veut avoir accès à toutes nos informations de n’importe où. De nombreuses entreprises détiennent donc des informations au format informatique et, depuis quelques années, UNIQUEMENT au format informatique. Ces dernières peuvent être vitales au fonctionnement de l’entreprise et il est donc nécessaire d’éviter la perte de ces informations ou de limiter les conséquences d’une crise informatique.

Lors de ce projet de veille technologique, qui prend la suite du groupe de l’année dernière, nous nous intéresserons aux thèmes suivants :
Qu’est-ce que la sécurité informatique ?
Afin de préciser l’article concernant la méthode de l’audit permettant l’évaluation des risques de l’année dernière, nous aimerions préciser que la sécurité informatique doit prendre en compte différents risques :
1) Les risques matériels accidentels pouvant entraîner la destruction partielle ou totale des matériels ou des supports informatiques et de leur environnement.
2) Le vol et le sabotage de matériel, notamment les petits matériels de supports informatiques.
3) Les pannes et dysfonctionnements matériels ou logiciels.
4) Les erreurs de saisie, de transmission ou d’utilisation des informations.
5) Les erreurs d’exploitation : oubli ou écrasement d’un fichier ou d’une sauvegarde, erreur de préparation ou de lancement.
6) Les erreurs de conception et de réalisation.
7) La fraude ou le sabotage immatériel.
Quelles sont les méthodes et les outils de protection de ces informations ?
Par la suite, nous étudierons et comparerons différentes méthodes de conception de plans de sécurité informatique tels que MEHARI (étudié l’année dernière), FEROS, EBIOS, OCTAVE, …
Etude de cas :
Enfin, nous ferons une étude de cas de mise en place d’un plan de sécurité informatique.

Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution – Pas d’Utilisation Commerciale 3.0 non transposé