SlideShare una empresa de Scribd logo

Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

S
Sébastien Rabaud
Tecnología
1 de 30
« Les nouveaux enjeux de la sécurité de l’information » SURF & TURF DAYS 2009 Toulouse - 24 Novembre 2009 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com
SCASSI Conseil Conseil en Sécurité de l’information – – – – Analyses de risque, audits, tests d’intrusions, inspection de code Organisation, politiques et processus Expertise : Sécurité applicative, Cybercriminalité, etc http://www.scassi.com/ Formations – – – – ISO27001 Lead Auditor / Implementer ISO27005 Risk Manager Gestion de projet et développement sécurisé http://www.scassi.com/formations Reproduction interdite sans accord écrit de SCASSI Conseil 2
Sommaire Enjeux : – – – – – Sécurité applicative Entreprise étendue Nouveaux usages Conformité / Légal / Réglementaire Virtualisation / Gestion des évènements Démarches : – Gestion des risques – Normes ISO2700x Reproduction interdite sans accord écrit de SCASSI Conseil 3
Enjeux Reproduction interdite sans accord écrit de SCASSI Conseil 4
Sécurité applicative Les applications webs sont vulnérables … – 33 % (Gartner) Et les vulnérabilités sont exploitables et détectables très facilement : – 13 % compromises automatiquement – 49% des vulns critiques détectés automatiquement avec 3 vulns par appli – [ Source : Etude WASC 2008 sur + de 10000 applis ] Reproduction interdite sans accord écrit de SCASSI Conseil 5
Sécurité applicative Quelles failles ? – Injection, XSS, CSRF, Authentification, … Quels impacts ? – Images, Juridiques, Financières – Ex : 99% non PCI-DSS compliant (WASC 2008) Quelles causes ? – Conception & développement des applications – Configuration des composants applicatifs Reproduction interdite sans accord écrit de SCASSI Conseil 6
Sécurité applicative Quelles solutions ? – Transverses / Gouvernance : • Sensibilisation, Politiques, … – Sécurité dans les projets et dans les développements • A tous les stades du cycle de vie • Organisation / Ressources spécifiques • Guides / Méthodes : NIST, Microsoft SDL, SAMM, … Reproduction interdite sans accord écrit de SCASSI Conseil 7
Sécurité applicative Quelles solutions ? – Audit / Inspection de code • Après … mais aussi pendant … • Semi-automatique : – Inspection automatique du code => résultats bruts – Analyse manuelle des résultats bruts => • 96 % des vulnérabilités critiques détectées ! Reproduction interdite sans accord écrit de SCASSI Conseil 8
Sécurité applicative Quelles solutions ? – Firewall applicatif • • • • Architecture : embarqué / reverse-proxy / transparent Mode : white (réécriture) / blacklist (signature) Exploitation / amélioration continue Attention : pas une solution miracle ! – Sécurisation des composants • Serveur web / Serveur appli / SGBD / OS Reproduction interdite sans accord écrit de SCASSI Conseil 9
Entreprise étendue Nomadisme (externe / interne), Télétravail – Besoins / Usages : Mêmes accès qu’en interne, Extranet, Wifi – Risques : • Wifi, 3G, USB, Bluetooth, Smartphone, … • Vulnérabilités Logicielles : OS, Office, Adobe, JRE, … • Postes « non maitrisés », Perte/vol – Solutions : • VPN SSL / Extranet / Reverse-proxy • Poste virtuel / Auth forte • Profils / Habilitations Reproduction interdite sans accord écrit de SCASSI Conseil 10
Entreprise étendue Externalisation – Usages : Hébergement, SaaS, TMA, … – Risques : • Responsabilité / Imputabilité • Transfert du risque ≠ Evitement = partiel – Solutions : • Contrat / SLA • Pilotage • Audit Reproduction interdite sans accord écrit de SCASSI Conseil 11
Nouveaux usages Webconf (Webex, Teamviewer, etc) – Prise de main à distance => Intrusion – Solutions : • • • • Interdire ou Autoriser complètement Webconf « en propre » Poste « Relais » en DMZ Consignes utilisateurs / Audit Reproduction interdite sans accord écrit de SCASSI Conseil 12
Nouveaux usages Réseaux sociaux (Viadeo, Facebook, Twitter, …) – Usages / Besoins : • Communication / Recrutement / Commerce – Risques : • Phishing / Escroquerie / Malware – Plus efficace car « confiance » + https • Fuite d’informations / Ingénierie sociale / Image – Solutions : • Interdire et Sensibiliser Reproduction interdite sans accord écrit de SCASSI Conseil 13
Nouveaux usages Filtrage URL ? – Efficacité limitée du modèle « blacklist » : • Tunneling http/https • Proxy Internet • Malware/Phishing hébergé sur des sites légitimes ! – Whitelist ? Reproduction interdite sans accord écrit de SCASSI Conseil 14
Virtualisation Risques induits – Complexité = ↑ exposition – Couche hypervision = ↑ impact Apports sécurité – Redondance, Disponibilité (pannes et changements) – Standardisation de la sécurité des systèmes « hôtes » Reproduction interdite sans accord écrit de SCASSI Conseil 15
Gestion des évènements Pourquoi ? – Détecter & réagir => « maturité SSI » – Preuve / Archivage légal et règlementaire : « retrouver » Par où commencer ? – Top-down : D’abord définir les objectifs – Bottom-up : Apprentissage Comment ? – Organiser – Centraliser et traiter – Outiller Reproduction interdite sans accord écrit de SCASSI Conseil 16
Conformité CNIL – Nouvelle directive européenne obligeant à déclarer les incidents liés aux données à caractère personnel RGS = Référentiel Général de sécurité – Administration PCI-DSS – Données CB Reproduction interdite sans accord écrit de SCASSI Conseil 17
Conformité PCI DSS C1 : Pare-feu / DMZ C7 : Contrôle d’accès C2 : Hardening C8 : Comptes et mots de passe C3 : Data protection (storage) C9 : Physique C4 : Communication Security C10 : Traces / Logs C5 : AV C11 : Tests C6 : Gestion vuln et Dev secu C12 : Politiques / Organisation / Reproduction interdite sans accord écrit de SCASSI Conseil 18
Conformité Conformité (CNIL, PCI-DSS, RGS) – Obligatoire – 80 % de traçabilité / 20 % de sécurité ? Certifications (ISO27001) – Volontaire / Stratégique – Confiance / Développement Reproduction interdite sans accord écrit de SCASSI Conseil 19
Démarches Reproduction interdite sans accord écrit de SCASSI Conseil 20
Gestion des risques « Démarche guidée par les risques » – Aligner les risques sur la stratégie – Justifier / rationaliser les investissements : ROSI – Identifier de nouveaux risques – Prendre en compte l’évolution des risques Reproduction interdite sans accord écrit de SCASSI Conseil 21
Gestion des risques Méthodes / Guides : ISO27005, EBIOS, MEHARI – Identifier – Evaluer – Traiter (Décider) • Acceptation / Evitement • Réduction / Transfert – Suivre / Réexaminer Reproduction interdite sans accord écrit de SCASSI Conseil 22
La famille de normes ISO 2700X ISO27001 : Système de Gestion de la Sécurité de l’Information (SMSI) – Définir / Etablir • Domaine / Périmètre / Politique (Stratégie) • Evaluer les risques • Objectifs et mesures de sécurité – Mettre en œuvre : Plan de traitement – Surveiller / Améliorer Ex : ISO9001 … Reproduction interdite sans accord écrit de SCASSI Conseil 23
La famille de normes ISO 2700X « Ecosystème » ISO27001 – ISO27002 : • Objectifs et mesures de sécurité (idem 27001) • Conseils & Bonnes pratiques => Utilisations : Politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 24
La famille de normes ISO 2700X 11 Domaines ISO27001/2 Politique de sécurité Contrôle d’accès Organisation de la sécurité Acquisition, développement et maintenance Gestion des actifs Incidents de sécurité RH Continuité Physique / Environnemental Conformité Exploitation & Télécoms Reproduction interdite sans accord écrit de SCASSI Conseil 25
La famille de normes ISO 2700X « Ecosystème » ISO27001 (suite) – ISO27003 (à venir) • Guide d’implémentation de ISO27001 – ISO27004 (à venir) • Indicateurs SMSI – ISO27005 • Gestion des risques – ISO27006 • Certification SMSI – ISO27007 (à venir) • Audit SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 26
La famille de normes ISO 2700X Reproduction interdite sans accord écrit de SCASSI Conseil 27
La famille de normes ISO 2700X « Déclinaisons sectorielles» (27001/2) – 27799(2008) : Santé – 27011 (en cours) : Télécoms – 27013 (en cours) : Finances Par domaines – 27031 (en cours) : Continuité d’activité – 27033 (en cours) : Sécurité des réseaux – 27034 (en cours) : Sécurité application Reproduction interdite sans accord écrit de SCASSI Conseil 28
La famille de normes ISO 2700X Certification des entreprises – ISO27001 Certification des personnes – ISO27001 Lead Auditor – ISO27001 Lead Implementer – ISO27005 Risk Manager Reproduction interdite sans accord écrit de SCASSI Conseil 29
Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 30

Recomendados

Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 

Recomendados

Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Techniques de Cryptographie
Techniques de CryptographieTechniques de Cryptographie
Techniques de CryptographieAlghajati
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Point de vue beijaflore politique sécurité
Point de vue beijaflore politique sécuritéPoint de vue beijaflore politique sécurité
Point de vue beijaflore politique sécuritéMaxime de Jabrun
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016Thierry RAMARD
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)Prof. Jacques Folon (Ph.D)
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust - Cybersecurity as a Service
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016Thierry RAMARD
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle ElectroniqueSylvain Maret
 

Más contenido relacionado

La actualidad más candente

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Point de vue beijaflore politique sécurité
Point de vue beijaflore politique sécuritéPoint de vue beijaflore politique sécurité
Point de vue beijaflore politique sécuritéMaxime de Jabrun
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Microsoft Ideas
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) BRIVA
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3PRONETIS
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 

La actualidad más candente (19)

BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Point de vue beijaflore politique sécurité
Point de vue beijaflore politique sécuritéPoint de vue beijaflore politique sécurité
Point de vue beijaflore politique sécurité
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Ageris software 2016
Ageris software 2016Ageris software 2016
Ageris software 2016
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
 
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !Classifier vos données pour envisager sereinement le Cloud et le BYOD !
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 

Similar a Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle ElectroniqueSylvain Maret
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCERTyou Formation
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCERTyou Formation
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 

Similar a Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009] (20)

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle Electronique
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Cy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securiteCy9840 formation-cissp-preparation-a-la-certification-securite
Cy9840 formation-cissp-preparation-a-la-certification-securite
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Partner pot.pptx
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 

Sécurité de l'information - Nouveaux enjeux - [SCASSI] [2009]

  • 1. « Les nouveaux enjeux de la sécurité de l’information » SURF & TURF DAYS 2009 Toulouse - 24 Novembre 2009 Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com
  • 2. SCASSI Conseil Conseil en Sécurité de l’information – – – – Analyses de risque, audits, tests d’intrusions, inspection de code Organisation, politiques et processus Expertise : Sécurité applicative, Cybercriminalité, etc http://www.scassi.com/ Formations – – – – ISO27001 Lead Auditor / Implementer ISO27005 Risk Manager Gestion de projet et développement sécurisé http://www.scassi.com/formations Reproduction interdite sans accord écrit de SCASSI Conseil 2
  • 3. Sommaire Enjeux : – – – – – Sécurité applicative Entreprise étendue Nouveaux usages Conformité / Légal / Réglementaire Virtualisation / Gestion des évènements Démarches : – Gestion des risques – Normes ISO2700x Reproduction interdite sans accord écrit de SCASSI Conseil 3
  • 4. Enjeux Reproduction interdite sans accord écrit de SCASSI Conseil 4
  • 5. Sécurité applicative Les applications webs sont vulnérables … – 33 % (Gartner) Et les vulnérabilités sont exploitables et détectables très facilement : – 13 % compromises automatiquement – 49% des vulns critiques détectés automatiquement avec 3 vulns par appli – [ Source : Etude WASC 2008 sur + de 10000 applis ] Reproduction interdite sans accord écrit de SCASSI Conseil 5
  • 6. Sécurité applicative Quelles failles ? – Injection, XSS, CSRF, Authentification, … Quels impacts ? – Images, Juridiques, Financières – Ex : 99% non PCI-DSS compliant (WASC 2008) Quelles causes ? – Conception & développement des applications – Configuration des composants applicatifs Reproduction interdite sans accord écrit de SCASSI Conseil 6
  • 7. Sécurité applicative Quelles solutions ? – Transverses / Gouvernance : • Sensibilisation, Politiques, … – Sécurité dans les projets et dans les développements • A tous les stades du cycle de vie • Organisation / Ressources spécifiques • Guides / Méthodes : NIST, Microsoft SDL, SAMM, … Reproduction interdite sans accord écrit de SCASSI Conseil 7
  • 8. Sécurité applicative Quelles solutions ? – Audit / Inspection de code • Après … mais aussi pendant … • Semi-automatique : – Inspection automatique du code => résultats bruts – Analyse manuelle des résultats bruts => • 96 % des vulnérabilités critiques détectées ! Reproduction interdite sans accord écrit de SCASSI Conseil 8
  • 9. Sécurité applicative Quelles solutions ? – Firewall applicatif • • • • Architecture : embarqué / reverse-proxy / transparent Mode : white (réécriture) / blacklist (signature) Exploitation / amélioration continue Attention : pas une solution miracle ! – Sécurisation des composants • Serveur web / Serveur appli / SGBD / OS Reproduction interdite sans accord écrit de SCASSI Conseil 9
  • 10. Entreprise étendue Nomadisme (externe / interne), Télétravail – Besoins / Usages : Mêmes accès qu’en interne, Extranet, Wifi – Risques : • Wifi, 3G, USB, Bluetooth, Smartphone, … • Vulnérabilités Logicielles : OS, Office, Adobe, JRE, … • Postes « non maitrisés », Perte/vol – Solutions : • VPN SSL / Extranet / Reverse-proxy • Poste virtuel / Auth forte • Profils / Habilitations Reproduction interdite sans accord écrit de SCASSI Conseil 10
  • 11. Entreprise étendue Externalisation – Usages : Hébergement, SaaS, TMA, … – Risques : • Responsabilité / Imputabilité • Transfert du risque ≠ Evitement = partiel – Solutions : • Contrat / SLA • Pilotage • Audit Reproduction interdite sans accord écrit de SCASSI Conseil 11
  • 12. Nouveaux usages Webconf (Webex, Teamviewer, etc) – Prise de main à distance => Intrusion – Solutions : • • • • Interdire ou Autoriser complètement Webconf « en propre » Poste « Relais » en DMZ Consignes utilisateurs / Audit Reproduction interdite sans accord écrit de SCASSI Conseil 12
  • 13. Nouveaux usages Réseaux sociaux (Viadeo, Facebook, Twitter, …) – Usages / Besoins : • Communication / Recrutement / Commerce – Risques : • Phishing / Escroquerie / Malware – Plus efficace car « confiance » + https • Fuite d’informations / Ingénierie sociale / Image – Solutions : • Interdire et Sensibiliser Reproduction interdite sans accord écrit de SCASSI Conseil 13
  • 14. Nouveaux usages Filtrage URL ? – Efficacité limitée du modèle « blacklist » : • Tunneling http/https • Proxy Internet • Malware/Phishing hébergé sur des sites légitimes ! – Whitelist ? Reproduction interdite sans accord écrit de SCASSI Conseil 14
  • 15. Virtualisation Risques induits – Complexité = ↑ exposition – Couche hypervision = ↑ impact Apports sécurité – Redondance, Disponibilité (pannes et changements) – Standardisation de la sécurité des systèmes « hôtes » Reproduction interdite sans accord écrit de SCASSI Conseil 15
  • 16. Gestion des évènements Pourquoi ? – Détecter & réagir => « maturité SSI » – Preuve / Archivage légal et règlementaire : « retrouver » Par où commencer ? – Top-down : D’abord définir les objectifs – Bottom-up : Apprentissage Comment ? – Organiser – Centraliser et traiter – Outiller Reproduction interdite sans accord écrit de SCASSI Conseil 16
  • 17. Conformité CNIL – Nouvelle directive européenne obligeant à déclarer les incidents liés aux données à caractère personnel RGS = Référentiel Général de sécurité – Administration PCI-DSS – Données CB Reproduction interdite sans accord écrit de SCASSI Conseil 17
  • 18. Conformité PCI DSS C1 : Pare-feu / DMZ C7 : Contrôle d’accès C2 : Hardening C8 : Comptes et mots de passe C3 : Data protection (storage) C9 : Physique C4 : Communication Security C10 : Traces / Logs C5 : AV C11 : Tests C6 : Gestion vuln et Dev secu C12 : Politiques / Organisation / Reproduction interdite sans accord écrit de SCASSI Conseil 18
  • 19. Conformité Conformité (CNIL, PCI-DSS, RGS) – Obligatoire – 80 % de traçabilité / 20 % de sécurité ? Certifications (ISO27001) – Volontaire / Stratégique – Confiance / Développement Reproduction interdite sans accord écrit de SCASSI Conseil 19
  • 20. Démarches Reproduction interdite sans accord écrit de SCASSI Conseil 20
  • 21. Gestion des risques « Démarche guidée par les risques » – Aligner les risques sur la stratégie – Justifier / rationaliser les investissements : ROSI – Identifier de nouveaux risques – Prendre en compte l’évolution des risques Reproduction interdite sans accord écrit de SCASSI Conseil 21
  • 22. Gestion des risques Méthodes / Guides : ISO27005, EBIOS, MEHARI – Identifier – Evaluer – Traiter (Décider) • Acceptation / Evitement • Réduction / Transfert – Suivre / Réexaminer Reproduction interdite sans accord écrit de SCASSI Conseil 22
  • 23. La famille de normes ISO 2700X ISO27001 : Système de Gestion de la Sécurité de l’Information (SMSI) – Définir / Etablir • Domaine / Périmètre / Politique (Stratégie) • Evaluer les risques • Objectifs et mesures de sécurité – Mettre en œuvre : Plan de traitement – Surveiller / Améliorer Ex : ISO9001 … Reproduction interdite sans accord écrit de SCASSI Conseil 23
  • 24. La famille de normes ISO 2700X « Ecosystème » ISO27001 – ISO27002 : • Objectifs et mesures de sécurité (idem 27001) • Conseils & Bonnes pratiques => Utilisations : Politiques de sécurité Reproduction interdite sans accord écrit de SCASSI Conseil 24
  • 25. La famille de normes ISO 2700X 11 Domaines ISO27001/2 Politique de sécurité Contrôle d’accès Organisation de la sécurité Acquisition, développement et maintenance Gestion des actifs Incidents de sécurité RH Continuité Physique / Environnemental Conformité Exploitation & Télécoms Reproduction interdite sans accord écrit de SCASSI Conseil 25
  • 26. La famille de normes ISO 2700X « Ecosystème » ISO27001 (suite) – ISO27003 (à venir) • Guide d’implémentation de ISO27001 – ISO27004 (à venir) • Indicateurs SMSI – ISO27005 • Gestion des risques – ISO27006 • Certification SMSI – ISO27007 (à venir) • Audit SMSI Reproduction interdite sans accord écrit de SCASSI Conseil 26
  • 27. La famille de normes ISO 2700X Reproduction interdite sans accord écrit de SCASSI Conseil 27
  • 28. La famille de normes ISO 2700X « Déclinaisons sectorielles» (27001/2) – 27799(2008) : Santé – 27011 (en cours) : Télécoms – 27013 (en cours) : Finances Par domaines – 27031 (en cours) : Continuité d’activité – 27033 (en cours) : Sécurité des réseaux – 27034 (en cours) : Sécurité application Reproduction interdite sans accord écrit de SCASSI Conseil 28
  • 29. La famille de normes ISO 2700X Certification des entreprises – ISO27001 Certification des personnes – ISO27001 Lead Auditor – ISO27001 Lead Implementer – ISO27005 Risk Manager Reproduction interdite sans accord écrit de SCASSI Conseil 29
  • 30. Merci de votre attention ? http://www.scassi.com Sébastien RABAUD – SCASSI Conseil sebastien.rabaud@scassi.com Reproduction interdite sans accord écrit de SCASSI Conseil 30