le support du cours 2015-2016
Transcription
le support du cours 2015-2016
Sécurité Une vision généraliste et méthodologique Marc DANIEL Ecole Polytech Marseille, Campus de Luminy, case 925, 13288 Marseille cedex 9 [email protected] Novembre 2015 ESIL, Sécurité 1 Sommaire • • • • • • • • • • • • • Préambule Système d’information Les risques Exemples récents et moins récents L’évolution des risques Les organismes officiels Démarche qualité Certification Les organismes Stratégie générale Aspects humains Quelques principes Conclusions ESIL, Sécurité 2 1 Préambule • la sécurité, cela concerne quoi ? (liste non exhaustive et personnelle) protection contre les accidents protection physique qualité de l’environnement fiabilité des systèmes, pannes tolérance de pannes système de secours sauvegardes maintenance qualité des logiciels (de base, applicatifs) confidentialité intégrité liée au réseau intrusion réseau virus piratage ….. ESIL, Sécurité 3 Préambule • la sécurité, cela concerne qui ? Directement : • • • Les informaticiens Les dirigeants Les utilisateurs Indirectement • Tous les membres du groupe concerné par le système d’information • Les conséquences peuvent être dramatiques ESIL, Sécurité 4 2 Le système d’information La sécurité est : • Un enjeu économique et social fondamental • Voire même un enjeu pour l’intégrité de la nation – Attaque directe des ordinateurs – Désorganisation des sites – Désinformation • Défi permanent – – – – Progrès des techniques et des logiciels Plus vite que la sécurité Appropriation des techniques par tous, réseaux rapides pour tous Risques de plus en plus élevés, délinquants de + en + inventifs ☛ Principe de l’action-réaction Pourrait-on anticiper ? ESIL, Sécurité 5 Le système d’information • L’homme est, heureusement, au cœur du système – Il doit le rester – Il est faillible Le risque 0 • n’existe pas • n’existera jamais • La sécurité a un coût – élevé – à maîtriser – à accepter ESIL, Sécurité 6 3 Le système d’information Les risques sont énormes, mais • il y a peu de sinistres • ou plutôt peu de sinistres déclarés : « cela fait désordre » ! – – – – entreprise non sécurisé, ne correspondant pas au discours officiel domaine stratégique non infaillible, … • pas (encore ?) le même arsenal de moyens – d’action – de répression • Quelle est la réalité suivant les pays ? ESIL, Sécurité 7 Le système d’information Etude récente (2014) du CLub de la Sécurité des Systèmes d’Information Français (CLUSIF : www.clusif.asso.fr) (http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Rapport-2014.pdf) • Incidents de sécurité dans les entreprises – les pertes de services essentiels : 39%, – les vols : 37%, – les pannes d’origine interne : 35%. ESIL, Sécurité 8 4 Les risques 3 groupes non cloisonnés • accident • erreur • malveillance où s’arrête l’erreur où commence la malveillance ? ESIL, Sécurité 9 Exemples récents et moins récents On peut trouver des exemples de problèmes dans tous les domaines. Cela n’arrive pas qu’aux autres • Mauvais montage du système automatique anti-incendie (Ecole Centrale de Nantes, années 85-90 ?) • Onduleur trop lourd pour le faux-plancher (Ecole Centrale de Nantes, années 85-90 ?) • Mauvais raccordement de l’onduleur après changement des batteries (Ecole Centrale de Nantes, années 90-95 ?) ESIL, Sécurité 10 5 Exemples récents et moins récents On peut trouver des exemples de problèmes dans tous les domaines. Cela n’arrive pas qu’aux autres • serveurs de l’IUT Noël 2000 • Spam interne par deux étudiants de l'ESIL du serveur de courrier pop le 23 mars 2001 au soir • serveur HS . 1/2 journée de travail, mails perdus, serveur inutilisable le WE. • Perçage du chauffe-eau de la cafétéria de l’ESIL (25 mai 2003) – Environ 100 l d’eau sur les serveurs de la salle machine – Un dimanche ! • Les accès dans ce bâtiment …. ESIL, Sécurité 11 Exemples récents et moins récents • En 2008, Hervé Falciani quitte la Suisse avec une liste clients de comptes numérotés de HSBC (interne) • En 2013, Edward Snowden, ancien de la CIA divulgue des informations sur la National Security Agency (interne) • Mai 2015, AdultFriendFInder piraté (de l’ordre de 60 millions de clients) (interne ou externe ?) • Juillet 2015, Ashley Madison, site de rencontre adultères, piratés et informations divulguées (interne ou externe ?) • 2014 Tesla : voiture électrique haut de gamme – Mon de passe de 6 (8 ?) caractères attaquable directement à partir du site. Pas de limitation du nombre d’essais. – On peut verrouiller, déverrouiller, prendre le contrôle de la voiture à distance … ESIL, Sécurité 12 6 Exemples récents et moins récents • En avril 2015, Thalès, spécialiste de la cyber-sécurité, admet avoir de subir une grosse attaque via la prise de contrôle de son système aux USA. – http://www.lemondeinformatique.fr/actualites/lire-thales-pirate-comme-les-autres-60848.html – Voir aussi le Canard Enchainé du 4/11/2015 ESIL, Sécurité 13 L’évolution des risques • Le risque devient réparti Grands systèmes De nouveaux problèmes de sécurité les anciens restent !! Mini-informatique « répartie » Les grilles de calcul ??? Micro-informatique distribuée, Informatique de bureau Informatique portable Informatique « Grand-Public » « Nano-informatique » généralisée ESIL, Sécurité 14 7 L’évolution des risques • Il y a 25 ans les risques étaient essentiellement techniques – pannes – problèmes sur les supports magnétiques – vol de disques, de listing, de cartes perforées, ... • Actuellement, les plus gros risques sont les risques de malveillance (en constante augmentation) – Interne (très important) – Externe • Ne pas oublier les autres risques : – ex : bogue de l’an 2000 – ex : tempête de fin 1999, 11 septembre 2001 ESIL, Sécurité 15 L’évolution des risques • Paradoxe : le problème est de plus en plus centré sur l’homme que sur la technologie • Micro-informatique non adaptée à la sécurité (accroissement du risque interne) • L’informatique portable est excessivement vulnérable – Vol, indiscrétion – connexion depuis l’extérieur avec tous les droits voire même avec des mots de passe enregistrés • Problème de majeur de l’ADSL, du WIFI, de la 3 ou 4G et du grand public – Connexion permanente et rapide – Débits « colossaux » …. Utile ? – Une machine connectée non protégée est infestée en quelques minutes ESIL, Sécurité 16 8 Les organismes officiels • la CNIL Commission Nationale de l’Informatique et des Libertés (http://www.cnil.fr) Missions • Recenser les fichiers, en enregistrant les demandes d'avis et les déclarations, en tenant à jour et en mettant à la disposition du public le "fichier des fichiers", • Contrôler, en procédant à des vérifications sur place, • Réglementer, en établissant des normes simplifiées, pour les traitements les plus courants et les moins dangereux, • Garantir le droit d'accès, en exerçant le droit d'accès indirect, en particulier au fichier des Renseignements Généraux, • Instruire les plaintes, • Informer les personnes de leurs droits et obligations, conseiller, proposer des mesures qui lui paraissent utiles. ESIL, Sécurité 17 Les organismes officiels Loi informatique et liberté : droits et les obligations Tout traitement automatisé d'informations nominatives doit, avant sa mise en œuvre, être déclaré ou soumis à l'avis de la CNIL afin : • de responsabiliser les utilisateurs de données nominatives • de permettre à la CNIL de contrôler et d'influencer les choix effectués • d'assurer, grâce à la publicité à laquelle elles donnent lieu, la transparence nécessaire à l'exercice des droits des personnes concernées par les traitements. ESIL, Sécurité 18 9 Les organismes officiels NATURE DE CES FORMALITÉS : • Un régime d'AVIS pour le secteur public : les traitements publics sont créés par un acte réglementaire après avis motivé de la CNIL • Un régime de DÉCLARATION pour le secteur privé • Un régime de déclaration simplifiée pour les traitements les plus courants, publics ou privés • • • • quelle sera la finalité du fichier ? quelles informations vont être enregistrées, pendant combien de temps ? qui y aura accès ? à quel service les personnes peuvent-elles s'adresser pour exercer leur droit d'accès ? • Le responsable du fichier s'engage à se conformer à sa déclaration. Sa déclaration ne l'exonère aucunement de ses responsabilités. Son fichier doit être conforme à la loi, à toute la loi. ESIL, Sécurité 19 Les organismes officiels • L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), service dépendant du Premier Ministre (http://www.ssi.gouv.fr/) Quelques missions • Evalue les procédés de chiffrement, les produits et systèmes • Agrée les équipements, produits, … utilisées pour le traitement des données classées défense • Procède à l’agrément des prestataires de services • Procède à l’agrément des CESTI • Certifie les produits évalués par les CESTI • Instruit les demandes autour de la cryptologie • Elabore et distribue les clés de chiffrement pour le secteur public voire privé • Participe aux actions de normalisation ESIL, Sécurité 20 10 Les organismes officiels Le site du ANSSI fournit • des guides – Voir le site • des catalogues • des recommandations • des documents d’aide à la réalisation, exemples : – L’Information Technology Security Evaluation Criteria (ITSEC) – L’Information Technology Security Evaluation Manuel (ITSEM) ESIL, Sécurité 21 Les organismes officiels • les CESTI Centres d’Evaluation de la Sécurité des Technologies de l’Information centres publics ou privés Missions • Evaluer de façon indépendante et suivant des règles de schémas fournis les produits en vue du certification par la DCSSI • Peut proposer de l’expertise ESIL, Sécurité 22 11 Les organismes officiels • L’OCLCTIC Office Central de Lutte Contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) dépend de la Police Nationale (http://www.interieur.gouv.fr/police/oclctic/Presentation.htm/) – (organisme créé par décret en mai 2000) Double mission : • opérationnelle, par la réalisation d'enquêtes judiciaires de haut niveau technique menées d'initiative ou à la demande des magistrats, l'assistance technique à l'occasion d'enquêtes judiciaires menées par d'autres Services (pédophilie, prostitution, trafic de stupéfiants, ...) ; • stratégique, par la formation, l'animation et la coordination de l'action des autres Services répressifs, compétents en matière d'infractions liées aux technologies de l'information et de la communication, la coopération internationale ESIL, Sécurité 23 Les organismes officiels • ARCEP Autorité de Régulation des Communications Electroniques et des Postes (http://www.arcep.fr/) – Anciennement ART Liens fondamentaux entre l’ARCEP et l’informatique : 1) Vecteur de transport de l’information 2) réseaux métropolitains, régionaux, inter-entreprises, … ➨ fournisseurs « indirect » de télécommunications Il faut • définir des GFU (groupes fermés d’utilisateurs) et • travailler à l’intérieur du GFU ESIL, Sécurité 24 12 Autres organismes LES CERT (Computer Emergency Response Teams) groupes au service d’une communauté identifiée (ex. CERT Renater (Reseau National Technologie, Enseignement, Recherche), CERT-FR) Mission • Réagir efficacement et au plus vite sur les problèmes de sécurité – – – – compétences techniques pointues points de contact en cas de problème relations avec les autres organismes (confiance mutuelle) volonté de prévention • origine : « internet worm » en 88, atteinte de milliers de stations Unix en 24 h. • plutôt orienté vers les communautés « ouvertes » ESIL, Sécurité 25 Autres organismes LES CERT (Computer Emergency Response Teams) • En cas de problème : contacter le CERT dont on dépend – – – – chaîne de confiance internationale ayant tous les points d’entrée « banque de données » des problèmes compétence rediffusion de l’information • Groupes de « pression » • Ne se substituent pas aux sites pour les actions policières et de justice ESIL, Sécurité 26 13 La démarche qualité • La démarche qualité vue comme : – approche méthodologique – gestion de l’entreprise ☛ pour une approche de la sécurité • La qualité d’une entité est l’ensemble des caractéristiques qui lui confèrent l’aptitude à satisfaire des besoins exprimés ou implicites (ISO 8402) • • • • Pas de recette unique Pas de solution toute faite Pas de recette miracle Démarche très lourde et très contraignante ESIL, Sécurité 27 La démarche qualité • La démarche qualité doit répondre à un besoin • • • • d’organisation d’image de marque, de compétitivité d’amélioration de défauts ... • Beaucoup de bon sens bien organisé • Communication – diffusion de documents – relations humaines • Un état d’esprit – provenant du plus haut niveau – partagé par tous ESIL, Sécurité 28 14 La démarche qualité • • • • Il faut des objectifs que l’on peut tenir Compter sur l’effet de « contagion » Avoir une démarche positive Démarche (sans fin) « contrôle-amélioration » Mise en place de procédure Correction Contrôle, audit, mesure Analyse ESIL, Sécurité 29 La démarche qualité • Ce n’est pas le 0 défaut – mais un perpétuelle remise en cause pour améliorer – Il faut viser l’assurance qualité • garantie que l’entité satisfait aux exigences de qualité • pas comment on le fait mais comment on le maîtrise • Différentes qualités – – – – – attendue spécifiée conçue maintenue perçue Valable pour la sécurité Attendue = Perçue ? ESIL, Sécurité 30 15 Certification et critères Une certification • permet de développer une méthodologie – un cadre de travail fourni par la norme – pose les bonnes questions – on peut évaluer sans vouloir certifier • donne une assurance interne • offre des garanties aux partenaires • « peut » devenir une nécessité – agrément défense – Administration, Zone à Régime Restrictif (ZRR) – ... ESIL, Sécurité 31 Certification et critères • La sécurité intervient dans les normes ISO 9000 – norme qualité en général – pas sécurité en particulier • Critères européens de sécurité (ITSEC) – l’Information Technology Security Evaluation Criteria (ITSEC) – l’Information Technology Security Evaluation Manual (ITSEM) – concerne les produits ou les systèmes • Critères américain (TCSEC) (Trusted Computer System Evaluation Criteria) • NIST FIPS – National Institute of Standards and Technology – FIPS : Federal Information Processing Standards publications (réalisées par le NIST) ESIL, Sécurité 32 16 Certification et critères Architecture sécurité X800 • ITU International Telecommunication Union (UIT) en français • https://www.itu.int/rec/T-REC-X/fr • Série de recommandations – – – – – – – X800, X805 (architecture des systèmes ouverts), Les couches de sécurité X810, Authentification X811, Contrôle d'accès X812, Non répudiation X813 Confidentialité des données X814, Intégrité des données X815 ESIL, Sécurité 33 Certification et critères • Existence de méthodes d’évaluation de la sécurité – ex MÉHARI : Méthode Harmonisée d’Analyse du Risque Informatique, basée sur MARION ( Clusif ) développée en 1984 , MELISA ( DCN ) • Méthode ancienne – EBIOS (version 2010) 100 pages de méthodologie (Expression des Besoins et Identification des Objectifs de Sécurité) • Permet d'apprécier et de traiter les risques. • éléments nécessaires à la communication au sein de l'organisme et vis-à-vis de ses partenaires, • validation du traitement des risques • http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identificationdes-objectifs-de-securite/ ESIL, Sécurité 34 17 Stratégie générale Politique à suivre, dans l’ordre : 1) Etre conscient de l’importance 2) Evaluer les risques, en déduire les enjeux 3) Convaincre les dirigeants de l’intérêt des investissements par rapport aux enjeux réels – pour l’entreprise – pas pour les informaticiens 4) Gérer le problème de la sécurité en fonction du budget alloué 5) « sensibiliser » les utilisateurs 6) Prévoir de faire évoluer le système 7) Auditer en permanence : ce n’est jamais acquis GOTO 1 ESIL, Sécurité 35 Stratégie générale • Il faut ramener la sécurité aux risques pris chaque jour par l’organisation – Il n’y a pas que l’informatique dans la société • Une assurance ne sert que lors d’un problème. Cela revient donc cher. Il faut être convaincant et performant • Pas de solution unique, pas de solution type • Réflexion globale : action (point1) + action (point2) + action (point3) ≠ action_cohérente (point1, point2, point3) principe de continuité du contrôle de la sécurité • à tous les niveaux • régulièrement • diffusion ESIL, Sécurité 36 18 Stratégie générale • Chercher à utiliser une méthode systématique – d’étude – d’analyse – normes, certifications, directives • Il faut une volonté et une implication de l’entreprise – – – – équipe dirigeante l’ensemble du personnel (risque maximum) force de conviction « faire ce que je dis et ce que je fais » • La démarche est pluridisciplinaire et participative • Beaucoup de bon sens, un peu de technique ESIL, Sécurité 37 Stratégie générale Il s’agit de trouver un compromis • acceptable • accepté de tous Entre • le coût • les performances du système • la confiance que l’on en a • la sécurité réelle • la facilité d’accès au système • la convivialité • Les ressources humaines disponibles ... ESIL, Sécurité 38 19 Stratégie générale Considération importante • Les coûts informatiques sont lourds pour une entreprise • Un système d’information demande beaucoup d’efforts – financiers – humains • Lors de la mise en place d’un projet, il faut mieux intégrer immédiatement la composante sécurité – la faire évoluer par la suite ☛ Plus crédible, donc mieux accepté ☛ Plus efficace ☛ Moins cher ESIL, Sécurité 39 Stratégie générale • La sécurité est comme une chaîne : Un seul maillon fragile et la chaîne casse • La résistance du système est celle du maillon le plus faible. Il faut équilibrer les efforts. ESIL, Sécurité 40 20 Stratégie générale Attention à : • L’incohérence des moyens (organisation, investissement) • Adéquation moyens ↔ enjeux • Installation de moyens – – – – sans étude préalable ou étude insuffisante sans concertation sans formation sans information • La cohésion des personnes • La technique • La technique dépend de la politique et non l’inverse ESIL, Sécurité 41 Aspects humains Rappel : Beaucoup de problèmes viennent de l’intérieur Attention à : • Politique de l’entreprise et à son respect • Relations humaines • La communication • Gestion du personnel : RISQUE LE PLUS IMPORTANT – – – – – les affectations les sensibilités le cloisonnement la sensibilisation la formation – la gestion des visiteurs ESIL, Sécurité 42 21 Aspects humains • Mettre en valeur l’aspect déontologique • Définir ou suivre des codes d’éthique – existent au niveau international • Définir des chartes d’utilisation – – – – signé par chaque utilisateur en complément de l’arsenal juridique politique interne sanctions internes • Ce qui est décidé doit être fait et doit être tenable – problème de crédibilité ESIL, Sécurité 43 Aspects humains • Comprendre les enjeux des utilisateurs et en tenir compte – meilleure acceptation de la politique • Faire comprendre les enjeux aux utilisateurs – meilleure participation à la politique • La participation doit être universelle • Tout peut être ruiné – par un refus de la politique – par ignorance – par négligence • machine sans mot de passe, modem, ... ESIL, Sécurité 44 22 Quelques principes • Attitudes possibles – ne rien faire – sécurité par l’obscurité (ne pas faire de bruit, ne rien diffuser officiellement, se dire que l’on est pas connu, …. – Sécurité individuelle (par machine) : peu efficace surtout dans un parc réparti et hétérogène • niveau de responsabilité et de confiance • micro-informatique • hétérogénéité des systèmes d’exploitation et des versions – Protection globale au niveau du réseau • Association des trois politiques • Attention aux solutions hétéroclites, farfelues, peu diffusées – ou maîtriser les risques ESIL, Sécurité 45 Quelques principes Il y a deux choix à faire : • Ce qui n’est pas explicitement autorisé est interdit • Ce qui n’est pas explicitement interdit est autorisé • Restriction maximale et ouverture partielle • Ouverture totale et restriction partielle ESIL, Sécurité 46 23 Quelques principes Le principe du moindre privilège • Il ne faut fournir à chacun que le minimum utile – Pourquoi fournir tout le trousseau de clés quand une clé est nécessaire ? – Voiture : clé de contact ≠ clé de portière ≠ clé du coffre • Idée simpliste, fondamentale • Est-elle respectée ? – Ex : qui a les clés de la salle machine ? ESIL, Sécurité 47 Quelques principes Deux problèmes à ce principe • Cheminement direct et indirect – clé du coffre séparée sur une voiture … et manette d’ouverture dans l’habitacle – accès modem via un smartphone, comptes multiples, machines multiples • Laisser suffisamment d’accès – protection de fichiers : il manque toujours des accès – contraintes pour les utilisateurs Attention aux réactions des utilisateurs frustrés ESIL, Sécurité 48 24 Quelques principes • Il est indispensable de bien connaître le système dans son intégralité pour avoir une vision globale, complète, cohérente • Il faut étudier les différents états du système, les régimes associés, les problèmes spécifiques de sécurité – un exemple, en cas de dysfonctionnement, il faut bloquer non ouvrir • filtrage de paquets : aucun paquet ne doit passer • accès bâtiment : blocage (dans le respect de la sécurité) • Faire des goulets d’étranglements réels et contrôlables – garde barrière – accès au bâtiment • Sécurité en cascade … pour un coût raisonnable – plusieurs verrous ESIL, Sécurité 49 Quelques principes • Mélanger différentes défenses – comme pour une maison ... • Prise en compte de l’aspect confidentialité des données internes. Faire une typologie des informations à protéger – aspect légal – rapport de confiance avec les utilisateurs • Définir un politique pour assurer la qualité du logiciel développé localement voire diffusé – conséquences locales – extérieures • aspects légaux, confiance • sécurité (aviation, espace, automobile, …) ESIL, Sécurité 50 25 Quelques principes • Il faut dégager des budgets pour la sécurité – formation – information – technique • Il faut éduquer en matière de sécurité – – – – – – PC sur le réseau sous tension en permanence portables enquêtes mots de passe de la bonne utilisation du réseau … apprendre à gérer les documents et les sauvegardes ESIL, Sécurité 51 Quelques principes • Il faut se documenter, documenter, informer – utiliser les forums, – les avis des sites fiables, – les « newsgroups » (indépendamment de la communauté) – attention néanmoins à la malveillance possible • Il faut gérer et assurer le suivi des problèmes (démarche qualité !) • Il faut avoir une attitude de veille technologique • On peut aussi réfléchir à – sous-traiter sa sécurité par des entreprises spécialisées – faire héberger ses applications ESIL, Sécurité 52 26 Conclusions • Ce qui n’est pas explicitement autorisé est interdit • On restreint au maximum et on ouvre partiellement • La sécurité a un coût. Il provient essentiellement des ressources humaines • Les principes à appliquer ne sont pas généralement pas complexes • La sécurité est un tout et le risque est très grand en interne • Porter une attention maximale aux mots de passe ESIL, Sécurité 53 Conclusions • La sécurité n’a pas de sens en dehors d’une politique générale clairement définie et massivement soutenue à tous les niveaux • La recherche de sécurité est un éternel labeur • La technique est loin de faire tout • Les relations humaines ont un rôle fondamental • Quid de la sécurité et de l’évolution de l’informatique – Cloud, smartphones, SMS, MMS, réseaux sociaux, …. Bonne chance pour la suite ! ESIL, Sécurité 54 27