Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

100 %
0 %
Information about Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
Technology

Published on February 27, 2014

Author: sebastien_rabaud

Source: slideshare.net

« Les nouveaux enjeux de la sécurité de l’information » SURF & TURF DAYS 2009 Toulouse - 24 Novembre 2009 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com

SCASSI Conseil Conseil en Sécurité de l’information – – – – Analyses de risque, audits, tests d’intrusions, inspection de code Organisation, politiques et processus Expertise : Sécurité applicative, Cybercriminalité, etc http://www.scassi.com/ Formations – – – – ISO27001 Lead Auditor / Implementer ISO27005 Risk Manager Gestion de projet et développement sécurisé http://www.scassi.com/formations Reproduction interdite sans accord écrit de SCASSI Conseil 2

Sommaire Enjeux : – – – – – Sécurité applicative Entreprise étendue Nouveaux usages Conformité / Légal / Réglementaire Virtualisation / Gestion des évènements Démarches : – Gestion des risques – Normes ISO2700x Reproduction interdite sans accord écrit de SCASSI Conseil 3

Enjeux Reproduction interdite sans accord écrit de SCASSI Conseil 4

Sécurité applicative Les applications webs sont vulnérables … – 33 % (Gartner) Et les vulnérabilités sont exploitables et détectables très facilement : – 13 % compromises automatiquement – 49% des vulns critiques détectés automatiquement avec 3 vulns par appli – [ Source : Etude WASC 2008 sur + de 10000 applis ] Reproduction interdite sans accord écrit de SCASSI Conseil 5

Sécurité applicative Quelles failles ? – Injection, XSS, CSRF, Authentification, … Quels impacts ? – Images, Juridiques, Financières – Ex : 99% non PCI-DSS compliant (WASC 2008) Quelles causes ? – Conception & développement des applications – Configuration des composants applicatifs Reproduction interdite sans accord écrit de SCASSI Conseil 6

Sécurité applicative Quelles solutions ? – Transverses / Gouvernance : • Sensibilisation, Politiques, … – Sécurité dans les projets et dans les développements • A tous les stades du cycle de vie • Organisation / Ressources spécifiques • Guides / Méthodes : NIST, Microsoft SDL, SAMM, … Reproduction interdite sans accord écrit de SCASSI Conseil 7

Sécurité applicative Quelles solutions ? – Audit / Inspection de code • Après … mais aussi pendant … • Semi-automatique : – Inspection automatique du code => résultats bruts – Analyse manuelle des résultats bruts => • 96 % des vulnérabilités critiques détectées ! Reproduction interdite sans accord écrit de SCASSI Conseil 8

Sécurité applicative Quelles solutions ? – Firewall applicatif • • • • Architecture : embarqué / reverse-proxy / transparent Mode : white (réécriture) / blacklist (signature) Exploitation / amélioration continue Attention : pas une solution miracle ! – Sécurisation des composants • Serveur web / Serveur appli / SGBD / OS Reproduction interdite sans accord écrit de SCASSI Conseil 9

Entreprise étendue Nomadisme (externe / interne), Télétravail – Besoins / Usages : Mêmes accès qu’en interne, Extranet, Wifi – Risques : • Wifi, 3G, USB, Bluetooth, Smartphone, … • Vulnérabilités Logicielles : OS, Office, Adobe, JRE, … • Postes « non maitrisés », Perte/vol – Solutions : • VPN SSL / Extranet / Reverse-proxy • Poste virtuel / Auth forte • Profils / Habilitations Reproduction interdite sans accord écrit de SCASSI Conseil 10

Entreprise étendue Externalisation – Usages : Hébergement, SaaS, TMA, … – Risques : • Responsabilité / Imputabilité • Transfert du risque ≠ Evitement = partiel – Solutions : • Contrat / SLA • Pilotage • Audit Reproduction interdite sans accord écrit de SCASSI Conseil 11

Nouveaux usages Webconf (Webex, Teamviewer, etc) – Prise de main à distance => Intrusion – Solutions : • • • • Interdire ou Autoriser complètement Webconf « en propre » Poste « Relais » en DMZ Consignes utilisateurs / Audit Reproduction interdite sans accord écrit de SCASSI Conseil 12

Nouveaux usages Réseaux sociaux (Viadeo, Facebook, Twitter, …) – Usages / Besoins : • Communication / Recrutement / Commerce – Risques : • Phishing / Escroquerie / Malware – Plus efficace car « confiance » + https • Fuite d’informations / Ingénierie sociale / Image – Solutions : • Interdire et Sensibiliser Reproduction interdite sans accord écrit de SCASSI Conseil 13

Nouveaux usages Filtrage URL ? – Efficacité limitée du modèle « blacklist » : • Tunneling http/https • Proxy Internet • Malware/Phishing hébergé sur des sites légitimes ! – Whitelist ? Reproduction interdite sans accord écrit de SCASSI Conseil 14

Virtualisation Risques induits – Complexité = ↑ exposition – Couche hypervision = ↑ impact Apports sécurité – Redondance, Disponibilité (pannes et changements) – Standardisation de la sécurité des systèmes « hôtes » Reproduction interdite sans accord écrit de SCASSI Conseil 15

Gestion des évènements Pourquoi ? – Détecter & réagir => « maturité SSI » – Preuve / Archivage légal et règlementaire : « retrouver » Par où commencer ? – Top-down : D’abord définir les objectifs – Bottom-up : Apprentissage Comment ? – Organiser – Centraliser et traiter – Outiller Reproduction interdite sans accord écrit de SCASSI Conseil 16

Conformité CNIL – Nouvelle directive européenne obligeant à déclarer les incidents liés aux données à caractère personnel RGS = Référentiel Général de sécurité – Administration PCI-DSS – Données CB Reproduction interdite sans accord écrit de SCASSI Conseil 17

Conformité PCI DSS C1 : Pare-feu / DMZ C7 : Contrôle d’accès C2 : Hardening C8 : Comptes et mots de passe C3 : Data protection (storage) C9 : Physique C4 : Communication Security C10 : Traces / Logs C5 : AV C11 : Tests C6 : Gestion vuln et Dev secu C12 : Politiques / Organisation / Reproduction interdite sans accord écrit de SCASSI Conseil 18

Conformité Conformité (CNIL, PCI-DSS, RGS) – Obligatoire – 80 % de traçabilité / 20 % de sécurité ? Certifications (ISO27001) – Volontaire / Stratégique – Confiance / Développement Reproduction interdite sans accord écrit de SCASSI Conseil 19

Démarches Reproduction interdite sans accord écrit de SCASSI Conseil 20

Gestion des risques « Démarche guidée par les risques » – Aligner les risques sur la stratégie – Justifier / rationaliser les investissements : ROSI – Identifier de nouveaux risques – Prendre en compte l’évolution des risques Reproduction interdite sans accord écrit de SCASSI Conseil 21

Gestion des risques Méthodes / Guides : ISO27005, EBIOS, MEHARI – Identifier – Evaluer – Traiter (Décider) • Acceptation / Evitement • Réduction / Transfert – Suivre / Réexaminer Reproduction interdite sans accord écrit de SCASSI Conseil 22

La famille de normes ISO 2700X ISO27001 : Système de Gestion de la Sécurité de l’Information (SMSI) – Définir / Etablir • Domaine / Périmètre / Politique (Stratégie) • Evaluer les risques • Objectifs et mesures de sécurité – Mettre en œuvre : Plan de traitement – Surveiller / Améliorer Ex : ISO9001 … Reproduction interdite sans accord écrit de SCASSI Conseil 23

La famille de normes ISO 2700X « Ecosystème » ISO27001 – ISO27002 : • Objectifs et mesures de sécurité (idem 27001) • Conseils & Bonnes pratiques => Utilisations : Politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 24

La famille de normes ISO 2700X 11 Domaines ISO27001/2 Politique de sécurité Contrôle d’accès Organisation de la sécurité Acquisition, développement et maintenance Gestion des actifs Incidents de sécurité RH Continuité Physique / Environnemental Conformité Exploitation & Télécoms Reproduction interdite sans accord écrit de SCASSI Conseil 25

La famille de normes ISO 2700X « Ecosystème » ISO27001 (suite) – ISO27003 (à venir) • Guide d’implémentation de ISO27001 – ISO27004 (à venir) • Indicateurs SMSI – ISO27005 • Gestion des risques – ISO27006 • Certification SMSI – ISO27007 (à venir) • Audit SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 26

La famille de normes ISO 2700X Reproduction interdite sans accord écrit de SCASSI Conseil 27

La famille de normes ISO 2700X « Déclinaisons sectorielles» (27001/2) – 27799(2008) : Santé – 27011 (en cours) : Télécoms – 27013 (en cours) : Finances Par domaines – 27031 (en cours) : Continuité d’activité – 27033 (en cours) : Sécurité des réseaux – 27034 (en cours) : Sécurité application Reproduction interdite sans accord écrit de SCASSI Conseil 28

La famille de normes ISO 2700X Certification des entreprises – ISO27001 Certification des personnes – ISO27001 Lead Auditor – ISO27001 Lead Implementer – ISO27005 Risk Manager Reproduction interdite sans accord écrit de SCASSI Conseil 29

Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 30

Add a comment

Related presentations

Related pages

Les enjeux de la sécurité de l'information | securite ...

Enjeux sécurité ... en revanche, la sécurité de l'information n'est généralement garantie que de manière partielle et peu coordonnée dans les ...
Read more

Les nouveaux enjeux de la sécurité

Les nouveaux enjeux de la sécurité Les Nouveaux ... L’information, valeur clef du monde moderne L'information est un véritable capital, ...
Read more

Les nouveaux enjeux de la sécurité informatique ...

Les nouveaux enjeux de la sécurité informatique (mobilité, réseaux sociaux, cloud) Jeudi 05 décembre 2013; De 8H15 à 11H15; Hyatt Regency Paris Étoile
Read more

Réseaux sociaux (Web 2.0) : Défis et enjeux

... 233;nérant ainsi de nouveaux défis & enjeux, ... > Technologies de l'information ... Sécurité des Réseaux sociaux : ...
Read more

Les nouveaux enjeux de la sécurité en France | PAC – a ...

Les nouveaux enjeux de la sécurité en France Publication date: 16 MAR 2011. La Cyber Sécurité en France : opportunités, croissance et maturit ...
Read more

Les enjeux de la cyber-sécurité - infoDSI : Le quotidien ...

enjeux cyber securite ... Plutôt que les technologies, ce sont surtout les nouveaux ... la sécurité des systèmes de traitement de l’information ...
Read more

Sécurité extérieure de l'UE : nouveaux territoires ...

Sécurité extérieure de l'UE : nouveaux territoires, ... Add tags for "Sécurité extérieure de l'UE : nouveaux territoires, nouveaux enjeux". Be the first.
Read more

Enjeux sécurité: Les enjeux de la sécurité de l ...

management des technologies de l'information et de la communication. Pages. Accueil; Rechercher un article dans bouhajm. Chargement... learn and earn.
Read more