Sécurité Informatique Politique de sécurité, de l’Analyse des risques vers la Sécurité Web

Mr Maddouri FaouziUniversitaire [INSAT]Auditeur Certifié ANSIConsultant Expert

Faouzi.Maddouri@yahoo.frFaouzi.Maddouri@yahoo.fr

Mr Maddouri Faouzi - Copyright 2016 © 2

Objectifs

Maîtrise de la démarche (Enjeux)Audit de sécuritéNormes Avoir une idée sur les outils logicielsAvoir une idée sur les architectures

sécurisées et leurs composants

Mr Maddouri Faouzi - Copyright 2016 © 3

Planning

Durée : 3h #Séances : 3 Pauses : 2x15mn Support : papier + documents numériques Méthodologie:

Notions et conceptsAteliers pratiquesPré évaluationPost-évaluation

Mr Maddouri Faouzi - Copyright 2016 © 4

Plan

Définitions SI (D+T+E+H) SII Sécurité, ISMS, RIAMS,

RSSI ROSI, AO, AP, AT, AR Menaces, Hacking,

cracking Aspects de la sécurité et

services Confidentialité Intégrité Disponibilité Non Répudiation

Solutions Techniques: Chiffrement Signature Numérique Identif./Authentification Solutions de Haute

disponibilité Redondance, Clustériser VPN

Solutions Organisationnelles Audit Analyse des risques Veuille et surveillance

Mr Maddouri Faouzi - Copyright 2016 © 5

Plan (suite)

Processus de sécurisation Audit Implémentation Analyse des

risques Modèle PDCA

Planifier Implémenter Vérifier Agir

Nécessités/Enjeux : vérification continue Approbation

externe (audit) Référentiels,

standards et normes

Méthodologies

Mr Maddouri Faouzi - Copyright 2016 © 6

Plan (suite)

Types d’audit Interne Externe Tierce partie

(accréditation) Niveaux d’audit

Organisationnel Physique Logique (technique)

Méthodologies d’audit MEHARI MARION eBIOS GAE

Méthodologies d’analyse de risques SASA

Mr Maddouri Faouzi - Copyright 2016 © 7

Plan (suite)

Cadre juridique Loi N° 5-2004, Fév 2004

Décret N°2004-1248, 1249 et 1250 du 25-Mai-2004 : Organisation de l'ANSI, Organisation de l'ANSI, Conditions de Certification Conditions de Certification des Auditeurs, et Systèmes des Auditeurs, et Systèmes Informatiques audiblesInformatiques audibles

Décret N°97-389 du 21-Fevrier-1997 modifié et N°1226 et 1227 du 31-Mai-2004 : Organisation et Organisation et fonctionnement des fonctionnement des archives nationalesarchives nationales

Loi organique N°2004-63 du 27-Juillet-2004 : Protection Protection des données a caractère des données a caractère personnelpersonnel

Normes ISO 19011 BS 7799BS 7799 ISO 17799 ISO 27001

QuestionnaireQuestionnaire

Mr Maddouri Faouzi - Copyright 2016 © 8

Plan (suite - Sécurité logique)

MenacesMenaces Codes malveillants :

Virus, Vers Bombes logiques Mochards/espiogiciels Cheval de Troi-troyen (back-

door) Spam Adwar

Attaques : Intrusions Deny Of Services (DoS) Usurpation Interposition Empoisonnement(spoofing) Espionnage/ecoute(sniffing)

Sources d’attaquesSources d’attaques ExterneExterne InterneInterne

VulnérabilitésVulnérabilités Défaillance IIS TCP three-way

handshake TCP Flood attack NFS i-noeud attack DoS et DDoS

Mr Maddouri Faouzi - Copyright 2016 © 9

Plan (suite - Sécurité logique)

Architectures de sécurité DMZ Intranet Extranet ZA

Réseau périphérique Réseau Partenaire Topologies Bastion

Cache et NAT/PAT SNAT et DNAT SPAT et DPAT

ACL VLAN’s Proxy, Reverse-Proxy,

pot de miel (honey Pots) Firewalls

Protocolaires/contenu Matériel/Logiciel

Sondes(IDS,HIDS,NIDS) Analyseurs Antivirus Supervision et analyse

réseau et logs système Mises à Jours AntiV+S.E.

Mr Maddouri Faouzi - Copyright 2016 © 10

Conclusion

Pas de sécurité absolue Pas sécurité définitive La sécurité est coûteuseCibler l’investissement de sécuritéMinimiser l’impact (durée+dommages) Le SI est en changement continue Les Menaces évoluent Les failles/vulnérabilités existent-se multiplientLa Sécurité est un travail continueNécessité d’un système de suivie : ISMS+RIAMS

Mr Maddouri Faouzi - Copyright 2016 © 11

Bibliographie-Webographie

Agence Tunisienne de la sécurité informatique www.ansi.tn

Club de la Sécurité de l'Information Français www.clusif.asso.fr

Club des développeurs francophones www.developpez.com

Cryptographie Théorie et pratique, Douglas

STINSON,Int. THOMSON Pub. Paris, 1996.

Cryptography in C and C++, Michael

Welschenbach,Apress, Berkely, 2001.

Sécurité Internet pour l’entreprise Pare-feux et au-delà, Terry Bernstein, Anish B. Bhimani, Eugene Schultz & Carol A. Siegel, WILEY. Paris, 1997.

Mr Maddouri Faouzi - Copyright 2016 © 12

Merci pour votre attention..

Bonne chasse..