inf4420: sécurité informatique
Post on 11-Jan-2016
23 Views
Preview:
DESCRIPTION
TRANSCRIPT
José M. Fernandez
D-6428340-4711 poste 5433
INF4420: Sécurité InformatiquePratique de la Sécurité Informatique :
Principes de gestion - Cadre légal et déontologique
INF6420Sécurité Informatique
INF6420Sécurité Informatique
2
Où sommes-nous ?Où sommes-nous ?
Semaine 1 – Intro Semaines 2, 3 et 4 – Cryptographie Semaine 6, 7 – Sécurité dans les SE (suite) Semaine 8 – Période de relâche Semaine 9 – Sécurité des BD et des applications Web Semaine 10 – Contrôle périodique Semaine 11, 12 et 13 – Sécurité des réseaux
Semaine 14 – Gestion de la sécurité. Intervenants et modes d'intervention Planification de contingence Standards et organismes pertinents Aspects légaux et déontologiques
INF6420Sécurité Informatique
INF6420Sécurité Informatique
3
Acteurs et intervenantsActeurs et intervenants
"Stakeholders" VP Responsable de la sécurité
informatique CISO ou ISO
Information Security Officer Moitié/moitié ou plutôt technique Responsable de la sécurité
informatique Équipe de sécurité informatique
Externe ou interne Responsable technique
Responsable de la sécurité physique
Aspects non-techniques de la sécurité des SI
• personnel• mesures physiques, etc.
Fonction d'investigation Administrateur de systèmes
Admin BD Développeur d'applications Admin réseau/LAN ISP et autres fournisseurs
Utilisateurs Éducation Déterrent
• Poursuite criminelle• Poursuite civile• Terminaison d'emploi
INF6420Sécurité Informatique
INF6420Sécurité Informatique
4
Politique de sécuritéPolitique de sécurité
Élaborer par• CISO• Équipe de sécurité
Promulguer sous l'autorité du CISO et des stakeholders
A force de contrat
Éléments Analyse de risque Responsabilités de chacun
intervenants Utilisateurs
• Politique d'utilisation Contrat entre utilisateurs et
organisme Règles d'utilisation Consignes techniques
Équipe de sécurité et administrateurs de système
• Modes d'interventions en sécurité
• Règles d'opérations des systèmes
INF6420Sécurité Informatique
INF6420Sécurité Informatique
5
Inspections de sécuritéInspections de sécurité
Audit de sécurité "Open Book" Audit par rapport aux politiques
de sécurité et standards d'industrie
Révision des configurations N'utilise pas d'outils automatisées Vise à conseiller :
• les administrateurs de systèmes• les responsables de la sécurité
informatique Livrable : livret de
recommandation techniques et politiques
Blue Teaming Inspection "ouverte" de nature
technique• Prévue à l'avance• Avec la collaboration et la
connaissance des administrateurs de systèmes
Utilisation d'outils automatisés de détection de vulnerabilités
Livrable : liste de vulnérabilités détectées et action correctives
Red Teaming Inspection "clandestine" de
nature technique "No rules" - Répond à la
question : "Que pourrait nous faire un adversaire dans un scénario réaliste ?"
Livrable : "Pink slip"
INF6420Sécurité Informatique
INF6420Sécurité Informatique
6
Méthodologie de la sécurité informatiqueMéthodologie de la sécurité informatique
1. Identifier la menace Qui ou quoi ? Comment (vulnérabilités) ?
2. Évaluer les risques Probabilité Impact
3. Considérer les mesures de protection par rapport au risque Efficacité (risque résiduel) Coût Difficulté d'utilisation
4. Mettre en place et opérer les mesures protections Modification et/ou installation Changer les politiques Éduquer les utilisateurs
5. Retourner à 1…
© José M. Fernandez, 2004
INF6420Sécurité Informatique
INF6420Sécurité Informatique Et si…Et si…
août 2003?
7
INF6420Sécurité Informatique
INF6420Sécurité Informatique
8
Planification de contingencePlanification de contingence
ContingencyPlanning
DisasterRecoveryPlanning(DRP)
IncidentResponse/Handling
BusinessContinuityPlanning
(BCP)
INF6420Sécurité Informatique
INF6420Sécurité Informatique
9
Étapes majeures de la planification de contingenceÉtapes majeures de la planification de contingence
Identification of threats and attacks
Business unit analysis
Scenarios of successful attacks
Assessment of potential damages
Classification of subordinate plans
Incident planning
Incident detection
Incident reaction
(contain.)
Incident recovery
Plan for disaster
recovery
Crisismanagement
Recoveryoperations
Establishcontinuitystrategy
Plan for continuity ofoperations
Continuity management
Incident responseplanning
Business threat/impactanalysis
Disasterrecoveryplanning
Businesscontinuityplanning
• SysadminSysadmin • StakeholdersStakeholders• SysadminSysadmin
• SysadminSysadmin• InspecteursInspecteurs
Invest-igation
• StakeholdersStakeholders• SysadminSysadmin
INF6420Sécurité Informatique
INF6420Sécurité Informatique
10
Considérations techniques dans un DRPConsidérations techniques dans un DRP
Préservation des données Backup
• Quantité de données• Profondeur dans le temps• Incrémental vs. total• Qualité• Mirroring
Gestions des ressources Électricité Bande passante Capacité de calcul
Site alternatifs Hot Site Cold Site Redundant Site
Reprise services informatique
vs. reprise affaires Nécessité d'un BCP
INF6420Sécurité Informatique
INF6420Sécurité Informatique
11
Cadre légal et déontologiqueCadre légal et déontologique
Protection de la vie privée (renseignement "désignés") Commissariat à la protection de la vie privée au Canada (privcomm.gc.ca
)• Agence qui relève directement du Parlement et du Sénat• Cadre légal
Loi sur la Protection des renseignements personnels (1980) Loi sur la Protection des renseignements personnels et les documents
électroniques (2000) Protection des renseignements classifiés
Loi des secrets officiels Politique de sécurité du Gouvernement du Canada
Protection des droits des actionnaires Loi Sarbanes/Oxley (US) Auditeurs financiers externes
Répartition et gestion du risque Compagnie d'assurances
Protection du consommateur et du public Médical : Health Insurance Portability and Accountability Act (HIPAA)
INF6420Sécurité Informatique
INF6420Sécurité Informatique
12
Standards applicablesStandards applicables
Gestion de la sécurité ISO/IEC 17799:2000
• Information technology - Code of practice for information security
management (www.iso.org, pour la modique somme de 179$ US)
HIPAA (US)• Health Insurance Portability and Accountability Act • Standard de sécurité pour tout systèmes traitant des informations
médicales• Date limite d'application : avril 2004• Le prix à payer pour une violation du règlement va de 100$ d’amende à
25 000$ + 10 ans de prison
INF6420Sécurité Informatique
INF6420Sécurité Informatique
13
Standards applicables (2)Standards applicables (2)
Constructions et accréditations des systèmes Common Criteria
• Origine dans le Trusted Computing System Evaluation Criteria de la NSA
("Orange Book")• "Internationalisé" et adapté par plusieurs pays (Canada, Europe)• Langage et terminologie commune• Processus d'évaluation et d'accréditation de produits en termes de sécurité
INF6420Sécurité Informatique
INF6420Sécurité Informatique
15
OrganismesOrganismes
ISC2 www.isc2.org La doyenne de ces organisations plus
ancienne Maintenant accrédité ISO/ANSI
(standard des accréditations) Certifications SSCP (Systems Security
Certified Practitioner) et CISSP (Certified Information Systems Security Professional)
SANS Institute www.sans.org Nature essentiellement technique Offre formation par cours intensifs Programme de certifications GIAC
(très technique et spécialisé) Organisme privé (à but lucratif…) Opère de façon "volontaire" le
Internet Storm Center (isc.sans.org)
ISACA - Information Systems Audit Control Association
www.isaca.org Certifications CISA et CISM (Certified
Information Systems Auditor et Manager)
OIQ – Ordre des Ingénieurs du Québec Cadre légal
• Profession "restreinte"• "Actes protégés"
Code déontologique• Mécanisme d'inspections de l'exercice de
la profession Sanctions, radiations et autres pertes
de privilèges Détection et poursuite d'actes
protégés par non-membres Standardisation
• De l'éducation• Des pratiques professionnelles
Problème• N'opère pas dans le domaine de
l'informatique• Encore moins dans la sécurité informatique
INF6420Sécurité Informatique
INF6420Sécurité Informatique
16
Programme d'études en sécurité informatiqueProgramme d'études en sécurité informatique
Intro INF 4420/6420
Crypto U de M, DIRO - IFT-6180, Cryptologie : théorie et applications
Sécurité des réseaux INF 6421 – Hiver 06
Sécurité du logiciel et des SE INF 66XX – Hiver 07
Gestion de la sécurité des risques HEC, MAGI - ??
Aspects légaux U de M, Faculté de droit (M.Sc. en commerce électronique)
top related