Etude methodes analyse de risques EBIOS - MEHARI - ISO 17799

Etude methodes analyse de risques EBIOS - MEHARI - ISO 17799

-

Documents
50 pages
Lire
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

PROJET DE SEC URITE D ES RESEAUXC omparaison E BIO S / ME HARI / ISO 1779 9+ é tude d e c as avec EBI OSMA STER 2 ASRM Marc R OZENBE RGUNIVE RSIT E D'E VRY V AL D'E SSONNEO b jet d u d oc ument P rojet SE R E : au di t de sécuritéDestinat ai re M . Ma rc R O Z EN B E R GPascal DU PEY RE – pasc al.dupeyr e@ netasr .netR éd act eursSylvain GARCIA – sylva in.garc ia@i synet.orgArm el LOSBA R – arme l. losba r@ free.frFa bien DE SB RUE RE S – fabi en@ desbrue res.frVersion / D at e Version 1. 0 – 1 4 f évrier 2 007Table d es matières1 - Int roduction.................................................................................................................................... .............31.1 - Présentation du p rojet.............................................................................................................. ............31.2 - Equ ipe pro jet...................................................................................................................... .................31.3 - Men ace et Risque........................................................................................................... .....................32 - Présentation des méthodes et des Best Practices........................................................................................ ..42.1 - Les or ganismes et la sécurité.............................................................................................. .................42.1.1 - DCS SI..... ...

Sujets

Informations

Publié par
Nombre de visites sur la page 5 998
Langue Français
Signaler un problème
PROJET DE SECURITE DES RESEAUX
Comparaison EBIOS / MEHARI / ISO 17799 étude de cas avec EBIOS +
MASTER 2 ASR M Marc ROZENBERG
UNIVERSITE D'EVRY VAL D'ESSONNE
Objet du document Destinataire Rédacteurs
Version / Date
Projet SERE : audit de sécurité M. Marc ROZENBERG Pascal DUPEYRE– pascal.dupeyre@netasr.net Sylvain GARCIA– sylvain.garcia@isynet.org Armel LOSBAR– armel.losbar@free.fr Fabien DESBRUERES– fabien@desbrueres.fr Version 1.0 – 14 février 2007
Table des matières 1 - Introduction.................................................................................................................................................3 1.1 - Présentation du projet.............................................................................................................. ............3 1.2 - Equipe projet...................................................................................................................... .................3 1.3 - Menace et Risque........................................................................................................... .....................3 2 - Présentation des méthodes et des Best Practices........................................................................................ ..4 2.1 - Les organismes et la sécurité.............................................................................................. .................4 2.1.1 - DCSSI................................................................................................................... ......................4 2.1.2 - CLUSIF............................................................................................................................ ...........5 2.1.3 - ISO.............................................................................................................................. ................5 2.2 - Présentation des méthodes et normes.......................................................................... ........................5 2.2.1 - Norme ou méthode ? .......................................................................................... ........................5 2.2.2 - Pourquoi une norme pour la sécurité de l’information ?...................................................... ........6 2.3 - Présentation d'EBIOS............................................................................................................. .............6 2.3.1 - Qu'est ce que c'est:...................................................................................................................... .6 2.3.2 - Quel est son but ?................................................................................................... .....................6 2.3.3 - Détail de la méthode EBIOS............................................................................ ...........................7 2.4 - MEHARI.................................................................................................................................. ...........8 2.4.1 - Le Plan Stratégique de Sécurité........................................................................................ ...........9   2.4.2 - Les Plans Opérationnels de Sécurité....................................................................................... .....9 2.4.3 - Le Plan Opérationnel d'Entreprise................................................................................. ..............9 2.5 - ISO 17799 : 2005..................................................................................................... .........................10 2.5.1 - Présentation des 10 chapitres constituant la norme ISO 17799............................................ ......11 2.6 - En quoi ces méthodes relèvent-elles de la problématique de sécurité ?........................... ..................18 2.7 - Comparaison des méthodes Mehari, EBIOS, ISO 17799...................................... ............................19 2.7.1 - Géneralités.................................................................................................................................19 2.7.2 - Méthodes ou best practice ?..................................................................................................... ..19 2.7.3 - Comment utiliser ce code de bonnes pratiques............................................................ ..............20 3 - Simulation par application de la méthode EBIOS .......................................................... ..........................21 3.1 - Architecture fonctionnelle.......................................................................................... .......................21 3.2 - Architecture technique générale............................................................................ ............................23 3.3 - Etude du contexte.............................................................................................................. ................23 3.3.1 - Etude de l’organisme..................................................................................................... ............24 3.3.2 - Etude du Système cible.................................................................................. ...........................24 3.3.3 - Détermination de la cible de l’étude........................................................................... ...............25 3.4 - Expression des besoins de sécurité................................................................................... .................27 3.4.1 - Détermination des fonctions et des informations sensibles.................................................... ....27 3.4.2 - Rédaction des fiches d’expression des besoins de sécurité.......................................... ..............27 3.4.3 - Synthèse des besoins de sécurité...................................................................... .........................33 3.5 - Etude des risques.................................................................................................................. .............33 3.5.1 - Etude des menaces génériques................................................................................................. ..33 3.5.2 - Etude des vulnérabilités spécifiques........................................................................... ...............35 3.5.3 - Analyse des risques spécifiques........................................................................................ .........39 3.5.4 - Confrontation des risques aux besoins................................................................................... ....39 3.6 - Mesures techniques de sécurité.............................................................................. ...........................48 3.7 - Matrice de traçabilité étendue........................................................................................................ ....49 4 - Conclusion.................................................................................................................................................50
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 2/50
1 INTRODNOITCU
1.1 PTNESÉRNIOAT DU PROJET
Dans le cadre du cours Sécurité des Réseaux informatique nous devions réaliser un comparatif global et une présentation des méthodes et best practice que sont : EBIOS MEHARI ISO 17799 Suite à cette analyse, nous devrions être capables de répondre aux différentes problématiques suivantes : A-t-on réellement le droit de parler de méthodes lorsque l’on parle d’EBIOS, méhari, ou iso 17799 ? Mais notamment en quoi ces méthodes constituent un moyen de consolider le fait qu’il s’agit bien de sécurité ? Ensuite nous réaliserons une simulation d’EBIOS sur une plateforme de test élaboré pour la gestion des votes des représentants d'un organisme français.
1.2 EQUIPE PROJET
Elle est composée de quatre étudiants du Master 2 Informatique et Systèmes de spécialité Architecture desSystèmes enRéseau de l’université d’Evry. Desbruères Fabien Fabien.desbrueres@netys.org Garcia Sylvain Sylvain.garcia@isynet.org Dupeyre Pascal Pascal.dupeyre@netasr.net Losbar Armel Armel.losbar@free.fr
1.3 MENACE ETRISQUE
Le risque est au centre des méthodes d’analyse de sécurité c’est pour cela qu’il ne faut pas confondre risque et menace : La menace est une atteinte potentielle à la sécurité d’un système. La prévention a pour but de diminuer le degré d’exposition d’un système à la menace. Le risque est la concrétisation de la menace sous la forme d’agressions et de sinistre entraînant ainsi des pertes ou plus généralement des préjudices ou des dommages.
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 3/50
Les causes de ces sinistres peuvent être de différentes natures, il peut s’agir notamment de pannes, d’événements naturels, de vol de données, d’infection par virus etc ... Il faut être en mesure de mettre en place des procédures pour réaliser dans des délais acceptables une reprise d’activité (PRA, PRS). Comment sécuriser les systèmes Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. Afin de sécuriser les Systèmes d’information nous pouvons donc avoir recours à des méthodes ou des best practice selon les besoins en sécurité engendrés par le SI. En effet, nous nous tournerons vers des méthodes différentes selon le contexte dans lequel nous évoluerons. De nombreuses questions permettront de définir s’il faut se pencher sur une analyse, une méthode, ou des règles de bonnes conduites. Certains systèmes sont dits sécurisés, mais ne respectent pas les éléments de bases liés à la sécurité (par exemple la rédaction de procédures de sécurité qui doivent être analysées par des équipes spécialisées et améliorées dès que possible) : donc dans ces cas là il vaudra peut-être mieux envisager une analyse par le haut (objet du best practice). Dans le cas d’une organisation nouvelle, ou d’une organisation qui ne possède pas réellement de stratégie ou de politique de sécurité, il faudra envisager une analyse par le bas (objet de la méthode ou du parcours). Dans ce rapport, nous nous intéresserons aux méthodes suivantes : EBIOS MEHARI Ainsi qu’à la normeISO 17799plus a ce que nous avons appelé précédemmentqui correspond des « best practice ».
2 PRÉSENTATION DES MÉTHODES ET DESBESTPRACTICES
2.1 LES SEORGANISM ET LA ÉSCÉRUTI
2.1.1 DCSSI
Créée en 2001, la DCSSI est le centre focal de l'État français pour la sécurité des systèmes d'information. Elle a pour mission : d'évaluer périodiquement la vulnérabilité des systèmes en service, de former les responsables informatiques à la sécurité informatique, de réguler les moyens de protection et de chiffrement des organismes publics, de contribuer à l'élaboration de la politique gouvernementale en terme de sécurité informatique.
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 4/50
2.1.2 CLUSIF
Le CLUSIF est un club professionnel, constitué en association indépendante, ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs issus de tous les secteurs d'activité de l'économie. La finalité du CLUSIF est d'agir pour la sécurité de l'information, facteur de pérennité des entreprises et des collectivités publiques. Il entend ainsi sensibiliser tous les acteurs en intégrant une dimension transversale dans ses groupes de réflexion : management des risques, droit, intelligence économique ... Les groupes de travail traitent de thématiques variées en fonction de l'actualité, des besoins des membres... Le CLUSIF a des relais régionaux, les CLUSIR et des partenaires européens, les CLUSI.
2.1.3 ISO
L'Organisation internationale de normalisation (ouISO International Organization for -Standardization) est un organisme de normalisation international composé de représentants d'organisation nationale de normalisation d'environ 150 pays. Cette organisation créée en 1947 a pour but de produire des normes internationales dans les domaines industriels et commerciaux appelées normes ISO. Elles sont utiles aux organisations industrielles et économiques de tout type, aux gouvernements, aux instances de réglementation, aux dirigeants de l’économie, aux professionnels de l’évaluation de la conformité, aux fournisseurs et acheteurs de produits et de services, dans les secteurs tant public que privé et, en fin de compte, elles servent les intérêts du public en général lorsque celui-ci agit en qualité de consommateur et utilisateur. Le secrétariat central de l'ISO est situé à Genève, en Suisse. Il assure aux membres de l'ISO le soutien administratif et technique, coordonne le programme décentralisé d'élaboration des normes et procède à leur publication. L'ISO est le plus grand organisme de normalisation au monde. C’est une organisation non gouvernementale représentant un réseau d’instituts nationaux de 146 pays, selon le principe d’un membre par pays.
2.2 PNOITATENÉSR DES DESOHTÉM ET NSORME
2.2.1 NORME OU DETÉOHM?
Une norme peut être définie ainsi : c’est undocument de référencebasé sur unconsensus couvrant unlarge intérêtindustriel ou économique et établi par un processus volontaire. À la différence, une méthode est un moyen d’arriver efficacement à un résultat souhaité, précis. Mais une méthode n’intègre pas la notion de document de référence, ni la notion de consensus. Il ne faut donc pas opposer norme et méthode, mais plutôt les associer, une méthode sera « l’outil » utilisé pour satisfaire à une norme. Ainsi pour mettre en oeuvre efficacement la norme ISO17799, il faut s’appuyer sur une méthode de gestion des risquesde type Mehari, Octave, EBIOS, …
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 5/50
2.2.2 PIOORUUQ UNE NORME POUR LA ÉURITSCÉ DE LNOITAMNFORI?
Les méthodes existantes de sécurité de l’information qu'elles soient privées (Marion, Mehari, ..) ou publics (EBIOS, …), ne constituent pas un label de confiance pour la sécurité globale de l'entreprise, liés à leur dimension locale et leur faible pérennité et évolutivité. C'est pour répondre à ce besoin de confiance globale de l’économie numérique, qu'ont été lancés des travaux pour établir des standards internationaux dans la sécurité de l’information. Des entreprises ayant de nombreux échanges de données avec d’autres sociétés (nationales ou internationales) ou avec de nombreux partenaires et clients ont senti depuis une dizaine d’années la nécessité de s'accorder sur des normes pour aider à sécuriser l’information et les processus d’échanges. C'est cet objectif, justement, qui a présidé à la création de cette norme ISO17799. Cette norme ISO17799 a pour objectif d’établir un label de confiance pour la sécurité globale de l’information de l'entreprise.
2.3 PRSÉNEATITNO D'EBIOS
2.3.1 QU'EST CE QUE C'EST:
EBIOS est l’acronyme Expression des Besoins et Identification des Objectifs de Sécurité. C’est une méthode publiée par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) en février 1997. Elle permet d’identifier les besoins de sécurité d’un système lors de la phase de spécification de ce dernier.
2.3.2 QUEL EST SON BUT?
Elle est reconnue comme la méthode idéale pour rédiger des FEROS. FEROS : Fiche d'Expression Rationnelle des Objectifs de Sécurité (des systèmes d’information). Cette méthode a été conçue dans ce but et permet la rédaction intégrale de la FEROS, en offrant plusieurs avantages comme: la pertinence des objectifs de sécurité, qui couvre les risques pesant réellement sur l'organisme, la justification des objectifs de sécurité à l'aide de l'appréciation des risques SSI, l'exhaustivité de l'étude grâce à sa démarche structurée, l'implication des parties prenantes, et notamment de l'autorité qui devra valider la FEROS.
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 6/50
2.3.3 DÉTAIL DE LA EODHTÉMEBIOS
La méthode EBIOS se décompose en 3 étapes : L'étude du contexte L'expression des besoins de sécurité L'étude des risques
Première étape : l'étude du contexte Le but de cette étape est de déterminer de façon précise et sans ambiguïté le système à concevoir ouexistant, et aussi qui mettra en oeuvre les mesures de sécurité, ainsi que le contexte d’utilisation de ce système. Une méthode telle que MERISE, SADT ou autre pourra aider à la représentation de ce système, afin d’identifier facilement et clairement l’ensemble des fonctions et informations en entrée et sortie du système. Deuxième étape : expression des besoins de sécurité Pour chaque fonction ou information répertoriée dans l’étape précédente, nous allons déterminer lasur l’impact que peut provoquer une altération desensibilité. Ces critères se basent ces données, informations oufonctions. Les impacts possibles sont : Interruption de service Perte d'image de marque Infraction aux lois et règlements Atteinte à la vie privée des usagers Pertes financières Pertes de clientèle Perte de réputation La sévérité de l’impact est classifiée de la manière suivante : 0 pour un impact nul 1 pour un impact faible ou acceptable 2 pour un impact moyen 3 pour un impact critique 4 pour un impact stratégique ou inacceptable Cet impact est apprécié selon 3 critères : LaedtnaiilCnoifté (C),l'Intégrité et la (I) Disponibilité(D). Troisième étape : étude des risques Le but de cette étape est d’identifier les risques qui pèseront sur le système parmi une liste de menaces générique et par une liste de vulnérabilités associées aux menaces retenues. Exemples de menaces génériques : Dégâts des eaux Perte de moyens de télécommunications Écoute passive
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 7/50
Divulgation externe Dysfonctionnement logiciel Altération des données Erreur d'utilisation Des exemples de vulnérabilités associées à la menace « Dysfonctionnement logiciel » sont: mauvaise conception et installation des logiciels mauvaise gestion des versions et configuration logicielle dysfonctionnements dus au réseau absence d'un responsable informatique Nous allons ensuite pondérer chaque menace en fonction de sa probabilité d’apparition ou de safaisabilité et déterminer si le risque est d’ordre technique ou non technique. Nous pourrons alors en déduire des scénarios. La méthode EBIOS demande "une confrontation des risques aux besoins". Pour chaque fonction ou information, nous allons spécifier quels risques peuvent y porter atteinte.
2.4 MEHARI
Mehari (MEthode Harmonisée d'Analyse de Risques) est développé par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé. Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios redoutés ?, et en la classification préalable des entités du SI en fonction de trois critères de sécurité de base (confidentialité, intégrité, disponibilité). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités du SI. Et enfin, l'analyse des risques proprement dite est réalisée.
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 8/50
Schéma général de la méthode Mehari
Mehari s'articule autour de 3 types de livrables : 1. le Plan Stratégique de Sécurité (PSS) 2. les Plans Opérationnels de Sécurité (POS) 3. le Plan Opérationnel d'Entreprise (POE)
2.4.1 LEPLANSEQUGITTRÉA DESÉCURITÉ
LePlan Stratégique de Sécurité les objectifs de sécurité ainsi que les métriques fixe permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs.
2.4.2 LESPLANSOÉPARENSLITNO DESÉCURITÉ
LesPlans Opérationnels de Sécuritédéfinissent pour chaque site les mesures de sécurité qui doivent être mises en oeuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires. Enfin, une planification de la mise à niveau de la sécurité du SI est faite.
2.4.3 LEPLANORAPÉONTILEN D'EPERTESIRN
LePlan Opérationnel d'Entrepriseassure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir.
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 9/50
Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques, proposent des liens entre menaces et parades... Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose permettent la création de plan d'actions concrètes. Cette méthode permet donc de construire une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits duPlans Opérationnels de Sécurité et d'atteindre le niveau de sécurité correspondant aux objectifs fixés dans lePlan Stratégique de Sécurité.
2.5 ISO 17799 : 2005
Issue de la norme britannique BS 7799, la norme ISO/CEI 17799:2005 donne des lignes directrices et des recommandations pour le management de la sécurité. L'ISO/CEI 17799:2005 établit des lignes directrices et des principes généraux pour préparer, mettre en oeuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. Les objectifs esquissés fournissent une orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l'information. L'ISO/CEI 17799:2005 est un code de bonne pratique pour les objectifs et mesures, dans les catégories suivantes de la gestion de la sécurité de l'information: politique de sécurité; organisation de la sécurité de l'information; gestion des biens; sécurité liée aux ressources humaines; sécurité physique et environnementale; gestion opérationnelle et gestion de la communication; contrôle d'accès; acquisition, développement et maintenance des systèmes d'information; incidents liés à la sécurité de l'information;gestion des gestion de la continuité de l'activité; conformité. Les objectifs et mesures décrits dans l'ISO/CEI 17799:2005 sont destinés à être mis en oeuvre pour répondre aux exigences identifiées par une évaluation du risque. L'ISO/CEI 17799:2005 est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l'organisation, mettre en oeuvre les pratiques efficaces de la gestion de la sécurité, et participer au développement de la confiance dans les activités entre organismes.
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 10/50
2.5.1 PONRENÉSTITA DES10SERHCTIPA NATISTNUOTC LA NORMEISO 17799
Chapitre 1 - Politique de sécurité de l'information
Politique de Sécurité de l'Information: Ce chapitre décrit les principaux domaines contenus dans le document depolitique sécurité générale: une définition de la sécurité de l'information, de ses objectifs, portée globale et importance de la sécurité dans le partage de l'information de l’implication de la direction de l’organisme, soutenant les buts et lesune déclaration principes de la sécurité de l'information. une brève explication des principes de sécurité, des normes et des exigences de conformité d'importance particulière pour l’organisme, par exemple: oconformité aux exigences légales et contractuelles. oformation des collaborateurs à la sécurité.exigences de oet détection des virus et tout autre logiciel malveillant.prévention ogestion de la continuité d’activité. oconséquences des violations de la politique de sécurité. responsabilités générales et spécifiques de la gestion de la sécuritéune définition des de l'information, y compris les modalités de déclaration des incidents de sécurité; les références à la documentation qui peuvent soutenir la politique, par exemple des politiques et des procédures plus détaillées de sécurité pour les utilisateurs spécifiques de systèmes d'information ou de règles de sécurité que les utilisateurs devront suivre.
Facteurs de succès de la mise en oeuvre d'une politique de sécurité de l'information : L’expérience a prouvé que les facteurs suivants sont souvent cruciaux pour assurer le succès de la mise en oeuvre de la gestion de la sécurité de l'information au sein d’une organisation : une politique, des objectifs et des activités de sécurité qui reflètent les objectifs de
Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©CopyrightFabien DESBRUERES/Pascal DUPEYRE/Sylvain GARCIA/Armel LOSBAR 11/50