Professeur : Marc Cierpisz
5 minutes maximum.
TD/QCM: Pas de retard.
N'importe quelle forme.
Sommaire:
Définition de la politique de sécurité -> élaboration du plan sécurité -> mise en oeuvre des projets
audit sécurité -> évaluation des risques -> élaboration du plan sécurité
Politique du SMSI -> Politique de sécurité des systèmes d'informations -> Politiques de sécurité spécifique
SMSI : Système de management du système d'informations
ISO 27001
PSI: Politique du SMSI ou politique de sécurité de l'information
PSSI: Politique de Sécurité des Systèmes d'Information
RSSI: Politique particulière
MOE: …
La politique de sécurité se traduit par:
Exemple: Changement de mot de passe -> politique de changement de mot de passe.
Réticence au changement de mot de passe. Problème, dans quasiment 100% du temps on retrouve le mot de passe très facilement lors d'un pentest.
Mots de passe très répandus:
La politique générale de sécurité (PSI) est une volonté de la direction.
Elle répond à plusieurs questions.
Exemple de donnée a caractère personelle :
Données privées: Toute information sur le physique peut être considérée comme information personnelle car elle permet de retrouver l'identité ie:
On ne parlera jamais de technologie dans le document de politique de confidentialité, qui fera 10 pages au maximum.
On peut avoir une sécurité très bien faite sur le système de sécu, mais si on peut entrer sans laisser de traces (accéder à un pc non vérouillé…) on peut faire des dégats.
Ils existent pour les SI, le bâtiment, ainsi que les ressources humaines.
Ils sont élaborés par les responsables techniques et concernent un sujet précis, sont remis à jour régulièrement et sont mis en application.
Le social engineering est très important.
Le bâtiment et les ressources humaines sont, dans 90% des cas, le maillon faible.
Signées dès l'arrivée en entreprise:
Si une entreprise veut se protéger d'un risque info:
RGPD: Il parle de mesures à mettre en place pour pouvoir s'assurer de la confidentialité et de l'intégrité des données.
On retrouve de plus en plus des documents sur les politiques de chiffrement.
Cartographie du SI: Reprend l'ensemble des actifs de l'entreprise (actifs matériels, on se limite là aux serveurs, etc)
Cartographie des risques : …
Avec ces deux documents de cartigraphie vous pouvez faire la liste de toutes les attaques informatique possible.
L'obsolescence de mise à jour est l'un des vecteurs d'attaque le plus important.
Audit de configuration sur un périmètre donné:
Il faut que l'entreprise puisse donner sa politique de sécurité.
Trois labels lancés par le gouvernement pour les audits de sécurité
PASSI : prestataire d'audit des système d'informations
PDIS : prestataires de détection d’incidents de sécurité
PRIS : Prestataires de réponse aux incidents de sécurité
L'ANSSI donne des directives de bonne marche à suivre.
OIV: Organisme d'importance vitale
OSE: Opérateur de service essentiel
OIV: Secteur énergétique, télécom, Radio, Tv.
Pour les OIV, ils doivent respecter les RGS et surtout l'article 22. Et être conforme à la loi de prog militaire 20-25.
OSE: services annexes, fournisseurs des OIV (souvent des prestataires d'OIV).
Ces deux mots sont importants: Dans 100% des cas, quand on reçoit une charte d'usage ou d'utilisateur du SI, on la signe sans la lire. Il faut faire attention car elle peut être retournée contre l'utilisateur.
Si il y a une faute, exfiltration de données, on peut se retourner contre l'utilisateur avec ces données.
Tout document produit pour l'entreprise lui appartient et entre alors dans le cadre des chartes.
D'un autre côté de la charte on retrouve le guide de l'utilisateur qui va informer sur les règles techniques nécéssaire à la bonne utilisation.
Dans 90% des cas, les gens ne lisent pas la politique de sécurité des mots de passe.
Qui accède à quoi, et comment.
Notions de gestion d'habilitation.
IAM : Identity Access Management
IAG : Identity Access Governance
On peut imposer le login. Il n'y a plus l'identité dedans. Juste un matricule.
On retrouve la modélisation des droits derrière, matrice d'utilisateur/ressources
Voir tableau sur les slides si dispo.
Un des soucis majeurs est que les droits d'administrateur sont trop souvent donnés à des utilisateurs qui n'en ont pas nécessairement besoin (ex. Secrétaire avec droit d'admin)
Désigne le RSSI (Respo Sécu SI)
Il a un certain nombre de devoirs définis par ce document:
Bouygues:
Tous à l'opposé les uns des autres. Il est difficile de faire une politique pour le groupe entier.
L'entreprise va devoir monopoliser des ressources en plus de ??
Politique de sécurité:
Voir Politique de sécurité plus haut.
Exemple: Fleury Michon
Ransomware suite à une mauvaise transmission d'information à un partenaire.
72h d'interruption
Tout le COMEX, DSI, etc jetés dehors.
1 an et demi plus tard, toujours pas de PSSI.
La mise en application nécessite:
Il faut éviter que la politique de sécurité ne soit qu'un classeur dans un placard.
Exemple: Bouygues, une semaine avant la sortie de l'IPhone X
Réduction sur le prochain iPhone X via l'intranet de la boite.
Sur 2500 personnes, 1800 connectés, 70% qui ont entré leur login et mot de passe.
Les personnes prises la main dans le sac sont 'choquées' et comprennent (@sensibilisation des utilisateurs sur les risques)
Les post-its sur les écrans ne sont pas des légendes.
Il faut pouvoir faire toucher à l'utilisateur la sensibilité que les problèmes peuvent avoir.
Généralement, les gens ne pensent pas à la sécu car il croient que l'entreprise les sécurise.
BAL2 : Référentiel pour les banques
Il faut pouvoir faire le pendant entre les risques métiers et IT. Ces deux pendants permettent de le faire.
Objectif de l'audit:
La situation varie dans le temps
Différents référentiels/méthodes d'audit:
Vision globale de la sécurité de l'entreprise.
Permet de voir les points faibles de l'entreprise.
Méthodologie vieille. Déjà utilisée dans les années 80.
Elles peuvent avoir du succès.
Exemple: une méthodologie très pragmatique, un peu copiée de l'iso 27002.
Toutes les entreprises essaient de produire leur propre méthode d'analyse de risques.
On peut avoir des méthodologies très surprenantes de cette façon.
4 entreprises sur 10 ont déjà subi une ou plusieurs attaques ou tentatives d'attaque.
30% des entreprises ne disposent due d'une triple protection (AV (antivirus), FW (Firewall), IDS) pour leur réseau.
17% des entreprises seulement sont assurées contre les attaques.
38% … voir slides
76% pensent que la sécurité est un vrai sujet d'inquiétude.
21% des entreprises admettent avoir été attaquées
51k€ coût moyen d'une attaque pour 14% des entreprises attaquées
Les PME sont conscientes de leur exposition, mais pas des moyens qui existent pour les réduire.
80% des Entreprises de taille moyenne (ETI) sont vulnérables.
76% des patrons d'ETI déclarent qu'ils ont déjà subi au moins un "incident cyber".
59% cyber attaques ont un impact sur le business.
(Indisponibilité, arrêt de prod, …)
On voit que le top 50 évolue toujours avec une dizaine de typologie d'attaques qui restent les mêmes.
Exemple: groupe hosîtalier, virus.
Antivirus pas màj. Mais le virus est entré par clef usb, à deux points, dont un poste d'analyse sanguine. L'attaque a changé les paramètres des tests qui a provoqué le rappel de 600 patients pour refaire les testes.
On tend de plus en plus vers des attaques polymorphiques: Ransomware en avant qui masque une attaque très ciblée en fond par exemple.
Voir slide synthèse méthode
Risques résiduel: Il faut se décider si il est acceptable ou non.
Types de risques:
Probabilité:
Impact:
Gravité:
On construit un tableau Probabilité/Impact, qui permet de déterminer une Gravité.
Il se déduit des étapes précédentes et traite les principales menaces identifiées.
Il décrit les projets nécessaires pour se conformer à la politique de sécurité.
…
Mesures dissuasives:
Mesures préventives
Mesures de confinement:
Mesures palliatives:
Les entreprises avaient créé des plans pour le H1N1, qu'elles ont oublié lors de l'arrivée du Corona.
On classe les actions/projets par priorité. Voir slides.
Quand un projet est en agile par exemple, en perpétuel mouvement, on peut facilement retrouver des failles et les exploiter. Elles reviennent continuellement.
PCA: Plan de continuité d'activité
PRA: Plan de reprise d'activité
DRP: Disaster recovery plan
Les gens testent les sauvegardes lors de leur mise en place, mais pas après.
Quels sont les besoins de l'entreprise en terme de continuité d'activité?
Quelle est, pour le client, la perte de données maximale admissible? PDMA ou RPO (Recovery Point Objective)
Quelle Durée Maximale d'Interruption d'Activité? DMIA ou RTO (Recovery Time Objective)
Quelles solutions de contournement?
Quelle organisation en cas de sinistre? (gestion de crise)
Quelle communication ? (employés, clients, fournisseurs)
Les chaines de magasins, entre la logistique, le stockage, jusqu'aux caissiers: le PCA n'a jamais été testé. Ils vont tester la chaine logistique, puis la chaine de la caissière, mais jamais de bout en bout.
Les banques pareil.
Il y a des niveaux de services différents: 'Platinum', 'Gold', 'Silver', 'Bronze'. Faire attention à ce qu'ils proposent. Ils sont différents selon les boites…
voir slides
35 sous normes. Qui couvrent toute la sécurité.
27001: Totu ce qui va faire qu'on va pouvoir travailler sur le systeme du management de la sécu.
27002: Les bonnes pratiques
voir slides.
15 chapitres incontournables pour avoir une vision mature de la sécurité d'une entreprise.
Le RSSI va s'appuyer sur la 27002 pour mesurer la maturité…
Elaborée par le CLUSIF
Analyse de risques
Elaboration des mesures (parades)
Résultat: