--- titre: Sécurité dans les projets et audits/contrôles (Cours 2) description: Sécurité dans les projets et audits/contrôles (Cours 2), 19/02/2020 tags: SECUP, jerome.tchan author: Jérôme Tchan --- # Sécurité dans les projets et audits/contrôles (Cours 2) :::warning **Anciennes** slides disponibles sur le wiki SRS (Slides Contexte) ::: **Risque = Fonction(Impact; Vulérabilité; Menace; Potentialité)** => Ces 4 composantes ne doivent pas être nulles pour pouvoir constituer un risque ### Menaces - D'origine naturelle ou humaine - Acceidentelle ou délibérées - Peut survenir de l'intérieur ou de l'extérieur de l'organisme ### Vulnérabilité - Peut être issue d'une mauvaise conception - Peut être issue de négligence dans la réalisation - Peut être issue d'un manque de contrôle ### Impact 4 niveaux: - **Niveau 1:** Impact insignifiant au niveau de l'organisation - **Niveau 2:** Impact significatif, causant du tort à l'organisation - **Niveau 3:** Impact très grave, sans cependant menacer la vie de l'organisation - **Niveau 4:** Impact extrêmement grave, menaçant l'organisation ou l'une de ses activités ### Risque 5 niveaux: - **Niveau 0:** Non envisageable ou non envisagé - **Niveau 1:** Très improbable, ne surviendra probablement jamais - **Niveau 2:** Possible, bien que improbable - **Niveau 3:** Probable, devrait arriver un jour - **Niveau 4:** Très probable, surviendra sûrement à court terme Choix: - Risque évité - Risque réduit - Risque transféré - Risque accepté ## Expression du besoin - Disponibilité - Intégrité - Confidentialité - Traçabilité :::warning **Toute mesure de sécurité doit répondre à une exigence de sécurité** ::: ## Réglementation - Loi Informatique et Liberté - Loi de Programmation Militaire - Autres textes Exigences réglementaires: - Réglementation sectorielle - Réglement européen - Loi française ### Loi Informatique et Liberté / RGPD - Protection des données à caractère personnel (DCP) - Finalité du traitement - Information des personnes impactées - Limitation de la durée de conservation - Communication des mesures mises en oeuvre - Autorisation pour certains traitements (Biométrie, données de santé, ...) - Obligation de sécurisation des DCP - Cloisonnement - Gestion des droits d'accès - Protection des données stockées :::info **DCP:** Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement. ::: #### RGPD Les grands principes inchangés: - Finalité - Loyauté - Proportionnalité - Les données sensibles Une évolution nécessaire: - Le renforcement des droits des personnes (effacement, portabilité, ...) - Sanctions financières L'adresse IP est aujourd'hui considérée comme une donnée à caractère personnel. ### Loi de programmation militaire L'Etat légifère sur la sécurité des systèmes d'information des OIV (Opérateurs d'importance vital) - **OIV:** opérateurs publics ou privés pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation - **SIIV:** système d'information d'importance vitale qui contribue à la réalisation des activités dont l'atteinte à la sécurité ou au fonctionnement risquerait ... ??? Avant 2015: Mesures de sécurité physiques et organisationnelles Après 2015: Elargissement à la protection des S.I. 4 mesures: - Permettre la réalisation de contrôle - Mettre en oeuvre des mesures d'urgence - - Il y a des arrêtés sectoriels précisant les règles à appliquer au SIIV => 20 règles Exemples: - Règle 5: Règle relative à la journalisation - Règle 15: Règle relative aux S.I. d'administration ### Autres textes - Droit du travail - Principe de proportionnalité - Principe de transparence - Discussion collective - Loi Godfrain - Réglementations métiers - Bancaire - Santé - Postes et Télécommunication - ... ## Spécifications de sécurité ### Architecture - Défense périmétrique (ou "muraille de Chine") - Attaque frontale pour percer - Propagation une fois la muraille franchie - La "défense en profondeur" (référence aux principes de Vauban) - Mise en place de plusieurs lignes de défense sucessives - S'assurer qu'en cas de perte d'un élément de sécurité, d'autres prendront la suite - Traiter aussi bien l'interne que l'externe - Traiter des menaces différentes par des solutions complémentaires et ciblés - Gérer des niveaux de sécurité différents Les lignes de défenses: - Veille technologique - Coordination - Rôle - Surveillance complète - Autonomie - Contrôle Efficacité: - Mise en oeuvre de solutions sûres et pérennes - Intervention de personnes formées - Absence de nouvelles surfaces d'attaques - Surveillance **DMZ:** Isoler un sous-réseu des autres au moyen d'équipements de filtrage (firewalls - FW) **Bastions d'administration:** les tâches d'administration doivent être isolées du reste du réseau ### Domaine applicatif - Gestion des droits - Authentification - Protection des données - Contrôle des saisies - Cloisonnement fonctionnel #### Authentification - S'appuie sur le partage d'un secret permettant de vérifier l'identité de quelqu'un de façon certaine - Plusieurs critères: - Ce que je sais: password - Ce que je possède: certificat, token - Ce que je suis: biométrie - Ce que je sais faire: signature, comportement - Plusieurs types: - Authentification simple: un seul critère - Authentification multiple: plusieurs critères - Authentification forte: plusieurs critères (au moins 2) + cryptographie Force d'un mot de passe: - Sa complexité - Type de caractères - Longueur - Procédé de construction - Sa durée de vie - Gestion de son historique - Gestion des échecs ### Domaine infrastructures ### Domaine organisation IAM ### Domaine exploitation