12 Niveaux de s

1

• 12 Niveaux de sécurité
• Atelier e-Sécurité 19-20 juin 2006

2
Les 4 piliers de la sécurité

• Le développement de la confiance numérique se
  promeut en adressant des réformes dans une
  variété de domaines que le peu grouper comme
  suit
• Cadre légal et exécution des lois.
• Suivi externe des pratiques et usages de la
  e-sécurité
• Coopération entre le secteur privé et publique
• Suivi interne mise en place de la sécurité dans
  les organisations

3
Mise en place de la sécurité dans les
organisations

• 12 niveaux de sécurité
• Fait partie dune approche coordonnée de la
  gestion des risques opérationnelles
• Principes de base de la sécurité
• des attaques et pertes sont inévitables
• un réseau est aussi sécurisé que sont maillon le
  plus faible

4
12 niveaux pour plus de sécurité

• 1. Gestion des Risques
• 2. Cyber-Intelligence
• 3. Contrôle dAccess / Authentification
• 4. Firewalls
• 5. Filtre actif de contenu
• 6. Système de détection dIntrusion (IDS)
• 7. Scanners de Virus
• 8. Cryptographie
• 9. Administration adéquate des systèmes
• 10. Test de Vulnérabilité
• 11. Logiciel de gestion des référentiels
  dutilisations
• 12. Continuité des opérations/Plan daction lors
  dincident

5
(No Transcript)
6
1. Gestion des risques

• Phase I Référentiel des ressources et des
  niveaux de risques
• Phase II Identification des vulnérabilité de
  linfrastructure et des interdépendances des
  risques
• Phase III Préparation dun plan de continuité

7
2. Cyber-intelligence

• Mise en place dune unité danalystes expérimenté
  dont lobjectif est de collecter et danalyser
  des informations de sources variées concernant
  les menaces, vulnérabilités, incidents et mesures
  de préventions, puis de fournir des rapports
  spécifiques visant à se prévenir dun incident
  avant quil ne se produise.

8
3. Contrôle dAccess / Authentification

• Les organisations peuvent utiliser une variété de
  solutions de contrôle daccès et
  dauthentification des utilisateurs.
  Généralement, trois principes éléments peuvent
  appliqués
• Un élément que lutilisateurs connaît (mot de
  passe, PIN)
• Un élément que lutilisateur possède (smart card,
  clé/token, carte ATM)
• Un élément que lutilisateur est (caractéristique
  biometric, tel que empreinte digitale ou
  rétinienne)

9
4. Firewalls

• Le rapport coût-bénéfice dun firewall dépend
  notamment de 4 facteurs
• Le type de connectivité
• Le niveau de bande passante
• Le nombre de passerelles (gateways)
• les compétences de ladministrateur système

10
5. Filtre actif de contenu

• But éviter les contenus pouvant contenir des
  virus, cheval de Troie, ver ou autre par la mise
  en place dune charte et des procédures décrivant
  une utilisation appropriée du réseau
• Au niveau dun browser, le filtre actif de
  contenu peut être utiliser pour empêcher laccès
  à certains sites  dangereux  ou non autorisé
  par la charte
• Au niveau des courriels, des un filtre actifs
  peut empêcher des messages contenant des virus
  ou autres, ou des contenus inappropriés au vu de
  la charte.

11
6. Système de détection dIntrusion (SDI)

• Une intrusion est un comportement suspicieux qui
  peut indiquer une activité malicieuse de
  quelquun cherchant à pénétrer illégalement sur
  un système, ou daccéder à des données auxquels
  il/elle net pas autorisé.
• Un système de détection dintrusion soit être
  suivi 24h sur 24h. afin de pleinement bénéficier
  de ses services. De plus, un DSI doit être
  installé à lintérieur du firewall et doit
  surveiller uniquement le trafic opérant à
  lintérieur du périmètre du firewall.

12
7. Scanners de Virus

• Les vers, cheval de Troie, Virus sont tous des
  véhicules pour déployer une attaque sur un
  système.
• Les scanners de virus sont aujourdhui
  indispensables afin de contrer les risques liés à
  ces attaques.
• La définition des virus soit mis à jour très
  régulièrement.

13
8. Cryptographie

• La cryptographie est utilisée pour protéger des
  messages en transit ou stockés sur un support de
  données.
• Les différentes méthodes associées à la
  cryptographies incluent six types de base de
• Symmetric (secret) Key Encryption.
• Asymmetric (public/private) Key Encryption.
• One Way Hash Functions.
• Message Authentication Codes.
• Digital Signatures.
• Random Number Generators.
• En utilisant la méthode appropriée, la
  cryptographie se révèle être une protection
  efficace.

14
9. Administration adéquate des systèmes

• La mise en place et la gestion de la sécurité
  repose sur les politiques et procédures, la
  technologie, et les compétences humaines.
• Ladministrateur a un rôle prépondérant afin de
  non seulement mettre en place un niveau de
  sécurité adéquat, mais de maintenir et gérer un
  niveau de sécurité acceptable.
• De fait, les administrateurs de la sécurité
  doivent se sentir responsabilisé par rapport à
  ces tâches critiques et faire respecter la
  politique de sécurité qui doit faire lobjet
  dune revue régulière.

15
10. Test de Vulnérabilité

• Implique la connaissance préalable de certaines
  faiblesses dun systèmes dinformation ou dun
  réseau afin dessayer de gagner accès aux
  ressources en évitant les protection
  dauthentification normales.
• Le test permet de vérifier si la politique et les
  mesures de sécurité sont mise en places et sont
  efficaces afin de pour protéger les ressources de
  lorganisation).
• Une organisation pourra vérifier si
• son firewall et son système de détection
  dintrusion
• les procédures mises en place permettent aux
  administrateurs de détecter et dagir
  adéquatement à une intrusion
• Davantage de formation est nécessaire, et qui
  doit compléter ses connaissances

16
11. Logiciel de gestion des référentiels

• Les référentiels de sécurité gouvernent les accès
  interne et externe au réseau pour chaque
  technologie. Ces référentiels de sécurité doivent
  être mise à jour régulièrement afin dévoluer
  avec les développements du réseau ou autres
  nouveautés technologiques.
• Pour ce faire, une organisation doit être en
  mesure de répondre au questions suivantes
• Qui est responsable de la mise à de ces
  référentiels?
• Est-ce que les connaissances de ces personnes
  sont à niveaux avec les nouveaux développements?
• Participent-ils/elles à des formations, ateliers
  sur la sécurité?
• Quels sont les mécanismes pour mettre à jour ces
  référentiels?
• Considérant que ladoption dune bonne sécurité
  est une combinaison de différent éléments y
  compris humain, une politique de sécurité et sa
  mise en œuvre se doit dêtre dynamique.
• Certains logiciels peuvent être utilisées afin d
  gérer ces règles dutilisation, et prévenir un
  utilisation abusive des systèmes et ressources
  concernées.

17
12. Continuité des opérations

• Une organisation a besoin dêtre en mesure de
  réagir et de se rétablir promptement après
  incident de sécurité. De fait, les mesures
  suivantes sont généralement attendues
• Plan de continuité des opérations (technique et
  organisationnel)
• Mécanismes pour la collecte, le partage et la
  résolution des incidents de sécurité
• Mécanismes afin de corriger les faiblesses
  enregistrées
• Afin de sassurer du succès de la mission de
  léquipe chargé de la réponse aux incidents, la
  Direction est concernée en premier et a la
  responsabilité de fournir
• Le leadership
• Les outils
• Le personnel
• Les ressources financières

18
(No Transcript)