Détecter et neutraliser efficacement les cybermenaces !
Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]
1. « Les nouveaux enjeux de la
sécurité de l’information »
SURF & TURF DAYS 2009
Toulouse - 24 Novembre 2009
Sébastien RABAUD – SCASSI Conseil
sebastien.rabaud@scassi.com
2. SCASSI Conseil
Conseil en Sécurité de l’information
–
–
–
–
Analyses de risque, audits, tests d’intrusions, inspection de code
Organisation, politiques et processus
Expertise : Sécurité applicative, Cybercriminalité, etc
http://www.scassi.com/
Formations
–
–
–
–
ISO27001 Lead Auditor / Implementer
ISO27005 Risk Manager
Gestion de projet et développement sécurisé
http://www.scassi.com/formations
Reproduction interdite sans accord écrit de SCASSI Conseil
2
3. Sommaire
Enjeux :
–
–
–
–
–
Sécurité applicative
Entreprise étendue
Nouveaux usages
Conformité / Légal / Réglementaire
Virtualisation / Gestion des évènements
Démarches :
– Gestion des risques
– Normes ISO2700x
Reproduction interdite sans accord écrit de SCASSI Conseil
3
5. Sécurité applicative
Les applications webs sont vulnérables …
– 33 % (Gartner)
Et les vulnérabilités sont exploitables et détectables très
facilement :
– 13 % compromises automatiquement
– 49% des vulns critiques détectés automatiquement avec 3 vulns
par appli
– [ Source : Etude WASC 2008 sur + de 10000 applis ]
Reproduction interdite sans accord écrit de SCASSI Conseil
5
6. Sécurité applicative
Quelles failles ?
– Injection, XSS, CSRF, Authentification, …
Quels impacts ?
– Images, Juridiques, Financières
– Ex : 99% non PCI-DSS compliant (WASC 2008)
Quelles causes ?
– Conception & développement des applications
– Configuration des composants applicatifs
Reproduction interdite sans accord écrit de SCASSI Conseil
6
7. Sécurité applicative
Quelles solutions ?
– Transverses / Gouvernance :
• Sensibilisation, Politiques, …
– Sécurité dans les projets et dans les développements
• A tous les stades du cycle de vie
• Organisation / Ressources spécifiques
• Guides / Méthodes : NIST, Microsoft SDL, SAMM, …
Reproduction interdite sans accord écrit de SCASSI Conseil
7
8. Sécurité applicative
Quelles solutions ?
– Audit / Inspection de code
• Après … mais aussi pendant …
• Semi-automatique :
– Inspection automatique du code => résultats bruts
– Analyse manuelle des résultats bruts =>
• 96 % des vulnérabilités critiques détectées !
Reproduction interdite sans accord écrit de SCASSI Conseil
8
9. Sécurité applicative
Quelles solutions ?
– Firewall applicatif
•
•
•
•
Architecture : embarqué / reverse-proxy / transparent
Mode : white (réécriture) / blacklist (signature)
Exploitation / amélioration continue
Attention : pas une solution miracle !
– Sécurisation des composants
• Serveur web / Serveur appli / SGBD / OS
Reproduction interdite sans accord écrit de SCASSI Conseil
9
12. Nouveaux usages
Webconf (Webex, Teamviewer, etc)
– Prise de main à distance => Intrusion
– Solutions :
•
•
•
•
Interdire ou Autoriser complètement
Webconf « en propre »
Poste « Relais » en DMZ
Consignes utilisateurs / Audit
Reproduction interdite sans accord écrit de SCASSI Conseil
12
13. Nouveaux usages
Réseaux sociaux (Viadeo, Facebook, Twitter, …)
– Usages / Besoins :
• Communication / Recrutement / Commerce
– Risques :
• Phishing / Escroquerie / Malware
– Plus efficace car « confiance » + https
• Fuite d’informations / Ingénierie sociale / Image
– Solutions :
• Interdire et Sensibiliser
Reproduction interdite sans accord écrit de SCASSI Conseil
13
14. Nouveaux usages
Filtrage URL ?
– Efficacité limitée du modèle « blacklist » :
• Tunneling http/https
• Proxy Internet
• Malware/Phishing hébergé sur des sites légitimes !
– Whitelist ?
Reproduction interdite sans accord écrit de SCASSI Conseil
14
15. Virtualisation
Risques induits
– Complexité = ↑ exposition
– Couche hypervision = ↑ impact
Apports sécurité
– Redondance, Disponibilité (pannes et changements)
– Standardisation de la sécurité des systèmes
« hôtes »
Reproduction interdite sans accord écrit de SCASSI Conseil
15
16. Gestion des évènements
Pourquoi ?
– Détecter & réagir => « maturité SSI »
– Preuve / Archivage légal et règlementaire : « retrouver »
Par où commencer ?
– Top-down : D’abord définir les objectifs
– Bottom-up : Apprentissage
Comment ?
– Organiser
– Centraliser et traiter
– Outiller
Reproduction interdite sans accord écrit de SCASSI Conseil
16
17. Conformité
CNIL
– Nouvelle directive européenne obligeant à déclarer
les incidents liés aux données à caractère personnel
RGS = Référentiel Général de sécurité
– Administration
PCI-DSS
– Données CB
Reproduction interdite sans accord écrit de SCASSI Conseil
17
18. Conformité
PCI DSS
C1 : Pare-feu / DMZ
C7 : Contrôle d’accès
C2 : Hardening
C8 : Comptes et mots de passe
C3 : Data protection (storage)
C9 : Physique
C4 : Communication Security
C10 : Traces / Logs
C5 : AV
C11 : Tests
C6 : Gestion vuln et Dev secu
C12 : Politiques / Organisation /
Reproduction interdite sans accord écrit de SCASSI Conseil
18
19. Conformité
Conformité (CNIL, PCI-DSS, RGS)
– Obligatoire
– 80 % de traçabilité / 20 % de sécurité ?
Certifications (ISO27001)
– Volontaire / Stratégique
– Confiance / Développement
Reproduction interdite sans accord écrit de SCASSI Conseil
19
21. Gestion des risques
« Démarche guidée par les risques »
– Aligner les risques sur la stratégie
– Justifier / rationaliser les investissements : ROSI
– Identifier de nouveaux risques
– Prendre en compte l’évolution des risques
Reproduction interdite sans accord écrit de SCASSI Conseil
21
22. Gestion des risques
Méthodes / Guides : ISO27005, EBIOS,
MEHARI
– Identifier
– Evaluer
– Traiter (Décider)
• Acceptation / Evitement
• Réduction / Transfert
– Suivre / Réexaminer
Reproduction interdite sans accord écrit de SCASSI Conseil
22
23. La famille de normes ISO
2700X
ISO27001 : Système de Gestion de la Sécurité
de l’Information (SMSI)
– Définir / Etablir
• Domaine / Périmètre / Politique (Stratégie)
• Evaluer les risques
• Objectifs et mesures de sécurité
– Mettre en œuvre : Plan de traitement
– Surveiller / Améliorer
Ex : ISO9001 …
Reproduction interdite sans accord écrit de SCASSI Conseil
23
24. La famille de normes ISO
2700X
« Ecosystème » ISO27001
– ISO27002 :
• Objectifs et mesures de sécurité (idem 27001)
• Conseils & Bonnes pratiques
=> Utilisations : Politiques de sécurité
Reproduction interdite sans accord écrit de SCASSI Conseil
24
25. La famille de normes ISO
2700X
11 Domaines ISO27001/2
Politique de sécurité
Contrôle d’accès
Organisation de la sécurité
Acquisition, développement et
maintenance
Gestion des actifs
Incidents de sécurité
RH
Continuité
Physique / Environnemental
Conformité
Exploitation & Télécoms
Reproduction interdite sans accord écrit de SCASSI Conseil
25
26. La famille de normes ISO
2700X
« Ecosystème » ISO27001 (suite)
– ISO27003 (à venir)
• Guide d’implémentation de ISO27001
– ISO27004 (à venir)
• Indicateurs SMSI
– ISO27005
• Gestion des risques
– ISO27006
• Certification SMSI
– ISO27007 (à venir)
• Audit SMSI
Reproduction interdite sans accord écrit de SCASSI Conseil
26
27. La famille de normes ISO
2700X
Reproduction interdite sans accord écrit de SCASSI Conseil
27
28. La famille de normes ISO
2700X
« Déclinaisons sectorielles» (27001/2)
– 27799(2008) : Santé
– 27011 (en cours) : Télécoms
– 27013 (en cours) : Finances
Par domaines
– 27031 (en cours) : Continuité d’activité
– 27033 (en cours) : Sécurité des réseaux
– 27034 (en cours) : Sécurité application
Reproduction interdite sans accord écrit de SCASSI Conseil
28
29. La famille de normes ISO
2700X
Certification des entreprises
– ISO27001
Certification des personnes
– ISO27001 Lead Auditor
– ISO27001 Lead Implementer
– ISO27005 Risk Manager
Reproduction interdite sans accord écrit de SCASSI Conseil
29
30. Merci de votre attention
?
http://www.scassi.com
Sébastien RABAUD – SCASSI Conseil
sebastien.rabaud@scassi.com
Reproduction interdite sans accord écrit de SCASSI Conseil
30