1 / 20

Les quatre disciplines

Les quatre disciplines. de la gestion de la sécurité. Propriété d’une information d’être accessible en temps voulu. Environnement de Confiance. D isponibilité. Propriété d’une information de n’être ni modifiée, ni détruite sans autorisation. I ntégrité.

shubha
Download Presentation

Les quatre disciplines

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Les quatre disciplines de la gestion de la sécurité

  2. Propriété d’une information d’être accessible en temps voulu. Environnement de Confiance Disponibilité Propriété d’une information de n’être ni modifiée, ni détruite sans autorisation. Intégrité Propriété d’une information de n’être accessible qu’aux personnes autorisées. Confidentialité Acte permettant d’établir la validité de l’identité d’une personne. Authentification Propriété d’une action ou d’un document d’être indéniable et clairement attribuée à son auteur. Irrévocabilité

  3. Gestion de la confiance Objectifs Concepts Technologies UN MODÈLE Gestion des vulnérabilités Gestion del’identité DE MISE EN ŒUVRE ET DE GESTION DE LA SÉCURITÉ Réseau Client Serveur Application Gestion Gestion desmenaces

  4. Intégrité Confidentialité Disponibilité Authentification Irrévocabilité Gestion de laconfiance Gestion de laconfiance Règles Lois Standards Politiques Personnes Plate-formes Processus Architecture Renforcement • Mission : • Élaborer des contrôles qui assurent la disponibilité, l’intégrité, la confidentialité, l’authentification et l’irrévocabilité. La prise en charge peut s’effectuer à partir de deux points : • sur les systèmes informatique qui exécute les processus d’affaires; • sur les transactions de données circulant entre deux points d’un environnement ou d’un réseau. • Objectifs de contrôle : • Permettre aux usagers d’accéder strictement aux applications auxquelles ils ont besoin d’accéder • Faire en sorte que les usagers accèdent strictement aux données auxquelles ils ont besoin d’accéder • (Besoin de savoir) • Prévenir la destruction non autorisée ou accidentelle d’information • Prévenir les pannes de services

  5. Gestion de laconfiance Architecture Lorsqu’une stratégie de sécurité est planifiée, des contrôles de sécurité sont élaborés dans l’environnement. Ces contrôles inclus des politiques de sécurité relativement aux usagers, aux processus et à la configuration des systèmes. Règles Standards Lois Politiques Processus Personnes Plate-formes

  6. Intégrité Confidentialité Disponibilité Gestion de laconfiance GDN IntApp PMI-IGP SigN PKI-ICP Transaction VPN-RPV Crypto

  7. Gestion de laconfiance Renforcement Pendant la phase de design, une évaluation des risques peut établir que l’environnement nécessite une sécurité accrue. Le rehaussement de la sécurité peut être effectué par le biais d’une politique de sécurité et de techniques de cryptographie qui établissent des niveaux de confidentialité et d’intégrité. DRM  (Digital Right Management) : Gestion électronique des autorisations. Mécanismes de contrôle d’accès. Dsig(Digital signature) : Signature numérique. AppInt(Application integrity) : Solution permettant d’assurer l’intégrité d’une application. Il existe des solutions cryptographiques comme la signature numérique du code, mais également des matériels permettant d’exécuter le code de façon intègre, des SAM (Secure Application Module/ module de sécurisation d’application). PKI(Public Key Infrastruture) : Infrastructure à clés publiques : Crypto système asymétrique permettant d’émettre une signature numérique (par exemple l’algorithme RSA) ou encore de chiffrer en inversant l’utilisation des clés. VPN(Virtual Private Network) : Réseau privé virtuel : canal de communication sécurisé (chiffré) établie entre l’origine des données et sa destination. On utilise IPSEC et SSL. Crypto(Cryptographie) : Technique permettant d’assurer la confidentialité, et l’intégrité des données de même que la non répudiation des actions. Intégrité Appint DRM Dsig PKI Transaction VPN Crypto Confidentialité

  8. Gestion de la confiance Audit Remedier Gestion des vulnérabilités Gestion del’identité Mission : Limite l’exposition des différentes ressources, usagers, systèmes, applications et environnements physiques. L’exposition est réduite en évaluant la sécurité en place, en l’éliminant ou en remédiant ou en atténuant les risques ou faiblesses. Atténuer • Objectifs de contrôle : • Éliminer les services et les processus (applications) non nécessaires • Configurer les systèmes pour réduire le nombre de risques ou de faiblesses connues • Réduire le nombre d’erreurs dans les codes sources d’applications maison • Mettre en place des moyens de contrôle d’accès aux ressources. Appliquer Gestion desmenaces

  9. Gestion des vulnérabilités Audit (sondage, écoute) : Les ressources informatiques doivent être constamment testées et revues pour diagnostiquer les faiblesses comme l’ouverture de services, les mauvaises configurations et les mise à jour, notamment les mise à jour de sécurité non effectuées. Également, à un niveau plus élevé, les codes sources et les exécutables (programmes) sont évalués pour contrer la présence de vulnérabilité ou de code non désirable. Remédier : Les corrections assurent que les vulnérabilités détectées sont éliminées ou du moins atténuées. Pour ce faire, nous pouvons changer la configuration, mettre à jour les correctifs (rustines) ou réécrire le code vulnérable. On peut également certifier le code produit par le biais d’une signature électronique. Atténuer: Atténuer les risques, par exemple, par le biais d’une reconfiguration. On atténue les risques lorsque l’on ne peut les éliminer. Appliquer : Le processus d’atténuation des risques peut être appliqué de façon actif par l’inspection des paquets de données qui circulent sur le réseau ou encore par l’inspection (l’analyse) systématisée des serveurs. Audit Remedier Atténuer Appliquer

  10. Gestion des vulnérabilités TOS (Trusted Operating System) : Système d’exploitation intégrant des techniques de chiffrement et contrôle d’accès obligatoire. NetScan(Network Scanner) : Système d’écoute du réseau intégrant également des tests de pénétration pour établir la résistance du réseau. VA (Vulnerability Assessment) : Évaluation de la vulnérabilité : système permettant de mener une analyse de vulnérabilité sur une infrastructure informatique (par exemple, l’analyse des ports et des services actifs, l’analyse de la configuration de la sécurité, les tests de résistance des bastions et des sondes de détection d’intrusions). SWSec (Software Security) : Sécurité des logiciels : solution permettant d’analyser systématiquement les codes sources des logiciels pour détecter les vulnérabilités communes et les erreurs de conception des logiciels. SRP(Security Ressource Planning) : Planification des ressources de sécurité : solution permettant de gérer la sécurité en accord avec les politiques de sécurité de l’organisation. Audit TOS TOS Remedier VA SWSec NetScan SRP Atténuer Appliquer

  11. Gestion des vulnérabilités Firewall (Bastion, coupe feu) : Solution permettant de filtrer le trafic réseau à partir de règles qui interdits ou donne accès aux segments réseau d’une organisation par l’analyse des adresses réseau. Certains bastions intègrent également d’autres fonction comme la détection de d’intrusion, la détection de virus ou autres attaque informatiques. HAC (Host Application Control) : Solution permettant de définir les règles d’interaction entre les applications et les ressources informatiques des serveurs. APPFW (Application Firewall) : Solution permettant le contrôle d’accès aux applications Web, au courriers électroniques ainsi qu’au autres couches applicatives. NIPS (Network Intrusion Prevention System) : Combinaison de fonctions de bastionnage et de services de détection d’intrusions pour inspecter la circulation sur un réseau. HIPS (Host Intrusion Prevention System) : Solution d’inspection et de contrôle des systèmes de fichiers, des registres, etc. résidant sur les serveurs. Audit TOS TOS Remedier VA SWSec NetScan SRP HAC APPFW Firewall Atténuer NIPS Appliquer HIPS

  12. Gestion de la confiance Gestion desmenaces Surveillance : La surveillance permet de capturer les paquets réseaux et de les décoder. Elle permet également d’analyser les différents journaux systèmes ou applicatifs sur les serveurs. De plus, elle permet d’analyser les requêtes applicatives et les menaces potentielles. Analyse : L’analyse implique la recherche des attaques et leurs élimination ainsi que la reconnaissance des bonnes requêtes. L’analyse peut se faire par comparaison de la signature (séquence des octets) identifiant une attaque. Elle peut également être effectuée de façon plus intelligente, par exemple, par l’analyse de comportements anormale de l’utilisation d’un port de communication. Response : La réponse et le recouvrement sont des stratégies usuelles dans la gestion des menaces. Sans moyen de répondre aux menaces, il n’y aucun intérêt tangible à les analyser. Gestion des vulnérabilités Gestion del’identité Surveillance Response Analyse Mission : Identifier les comportements malicieux ou inappropriés et atténuer les risques. Les systèmes de gestion des menaces collectent, analysent, globalisent et effectuent des corrélations à partir de la journalisation afin d’identifier les menaces et ajuster les réponses. • Objectifs de contrôle : • Audit du trafic réseau afin de réviser l’usage des protocoles et gérer la capacité du réseau. • Audit des paquets réseau pour identifier les paquets en erreur et les attaques potentielles. • Audit des usagers et des systèmes pour identifier les activités inappropriées. • Établir une réponse aux activités malicieuses ou inappropriées. • Répéter les précédentes étapes en mode continu. Gestion desmenaces

  13. Gestion desmenaces NIDS (Network Intrusion Detection System) : écoute active du réseau afin de rechercher et d’éliminer des activités malicieuses et inappropriées. Antivirus Système de détection de virus et de vers. HIDS (Host Intrusion détection System) : écoute passive et journalisation des activités réseau inappropriées. CSCAN (Content Scanner) : évaluation des données (Web et courriels) pour identifier des données inappropriées. SEM (Security Event Managers) journalisation et corrélation des événements de l’environnement informatique. NIDS Réseau Antivirus Client HIDS Surveillance Response Analyse Serveur CSCAN Application SEM Gestion

  14. Gestion de la confiance Gestion del’identité Identification Valide l’identité de l’usagers ou système du compte de sécurité spécifié. La validation de l’identité établie le lien crucial entre l’usager ou le système et ses crédentiels (information de sécurité). Mission : Contrôler les usagers et les systèmes afin d’éviter les accès non autorisés qui pourraient compromettre la sécurité des systèmes et des ressources. Gestion des vulnérabilités Gestion del’identité Identification • Objectifs de contrôles: • Octroyer des autorisations (crédentiels) uniquement aux usagers qui ont besoins d’accéder à un • système ou une ressource en particulier • Limiter le nombre d’usagers inconnus • Maintenir l’intégrité des ressources ou des systèmes à partir des crédentiels • Valider l’identité des propriétaires des autorisations (crédentiels) • Superviser et auditer l’utilisation des autorisations Gestion desmenaces

  15. Gestion del’identité Authentification  Le processus d’authentification établie une preuve interactive que l’usager présentant les crédentiels (compte usager) est bel et bien le propriétaire. Provision (Administration) Solution permettant d’automatiser l’assignation, la gestion et la destruction des comptes usagers. PwMgt (Password Management) Gestion des mots de passe permettant, notamment, des requêtes de changement automatique des mots de passe et la mémorisation des anciens mot de passe pour éviter leur réutilisation, diminuant ainsi les risques associés au « Social engineering » (technique utilisée dans des rencontres sociales pour obtenir de l’information de sécurité). Provision Identification PwMgt

  16. Gestion del’identité Authentification  Le processus d’authentification établie une preuve interactive que l’usager présentant les crédentiels (compte usager) est bel et bien le propriétaire. Ce que l’on a (Carte, Token, etc.) Provision (Administration) Solution permettant d’automatiser l’assignation, la gestion et la destruction des comptes usagers. PwMgt (Password Management) Gestion des mots de passe permettant, notamment, des requêtes de changement automatique des mots de passe et la mémorisation des anciens mot de passe pour éviter leur réutilisation, diminuant ainsi les risques associés au « Social engineering » (technique utilisée dans des rencontres sociales pour obtenir de l’information de sécurité). Provision Identification Ce que l’on sait (mot de passe) PwMgt Ce que nous sommes (biométrie)

  17. Gestion del’identité Contrôle d’accès Les techniques de contrôle d’accès sont utilisées pour permettre l’accès aux ressources par les personnes ou systèmes autorisés uniquement. Auth (Authentication) Technique permettant d’authentifier des informations d’identité ou de sécurité. Par exemple, un identifiant est associé à un mot de passe qui représente le volet authentification de l’identité. WAC (Web Access Control) Solution permettant de gérer les autorisations des usager utilisées pendant leur session avec un serveur Web. Le PMI (Privilege Management Infrastructure) en est un exemple (solution Entrust, Netegrity, TAM, etc.). SSO (Single Sign-On) Solution permettant aux usagers de fournir une seule fois leur identifiant et mot de passe pour accéder à divers systèmes. Auth SSO

  18. Services postaux américains: • 600 Millions de lettres par jour • 37 000 points de services • 300 000 utilisateurs sur le réseaux • 10 mots de passe vers une solution (SSO) • Économie de 7.5 millions US$ par année

  19. Gestion del’identité Contrôle d’accès Les techniques de contrôle d’accès sont utilisées pour permettre l’accès aux ressources par les personnes ou systèmes autorisés uniquement. Auth (Authentication) Technique permettant d’authentifier des informations d’identité ou de sécurité. Par exemple, un identifiant est associé à un mot de passe qui représente le volet authentification de l’identité. WAC (Web Access Control) Solution permettant de gérer les autorisations des usager utilisées pendant leur session avec un serveur Web. Le PMI (Privilege Management Infrastructure) en est un exemple (solution Entrust, Netegrity, TAM, etc.). SSO (Single Sign-On) Solution permettant aux usagers de fournir une seule fois leur identifiant et mot de passe pour accéder à divers systèmes. Auth SSO Maintenance Pour conserver les niveaux de sécurité octroyés à des informations de sécurité (crédentiels), les informations de sécurité doivent être mise à jour, ce qui implique, notamment, la révision des facteurs d’authentification.

  20. Gestion de la confiance Gestion des vulnérabilités Gestion del’identité Gestion desmenaces

More Related