Scribd
Importer
30 vues16 pages

Chapitre 3

Transféré par

ahmedbn147
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
30 vues16 pages

Chapitre 3

Transféré par

ahmedbn147
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Politique de sécurité

1
Plan du cours

•Définition d’une politique de sécurité

•Mise en œuvre d’une politique de sécurité

•Validation d’une politique de sécurité

•Gestion de la continuité d’activité

2
Définition d’une politique de sécurité

sécurité
Liste des biens à
Que protéger ? protéger

De quoi les protéger Liste des menaces


?

Quels sont les Liste des impacts et


risques ? probabilités

Comment protéger Liste des contre-


l’entreprise ? mesures

3
Définition d’une politique de sécurité

Une politique de sécurité doit être bien définie


cohérente
complète
Une politique de sécurité doit être mise en application:
sensibilisation
simplicité (définition et implantation)

Une politique de sécurité doit être un document de


référence adopté par tous
4
Définition d’une politique de sécurité

les politiques de sécurité sont classées en 3


catégories

les politiques de sécurité internes

les politiques de sécurité techniques

les politiques de sécurité système

5
Définition d’une politique de sécurité

les politiques de sécurité internes

aspects organisationnels

procédures sur la :

répartition des tâches et responsabilités entre


utilisateurs

limitation du cumul de pouvoir

séparation de pouvoir dans une organisation

6
Définition d’une politique de sécurité

les politiques de sécurité techniques

aspects matériels et logiciels

procédures sur :
le vol
les catastrophes naturelles
le feu, · · ·

7
Définition d’une politique de sécurité

les politiques de sécurité internes


Une politique de sécurité système spécifie l’ensemble:

et les autres ressources sensibles au sein du SI

8
Définition d’une politique de sécurité

les politiques de sécurité système s’appuie sur

politique d’identification: identifier de manière unique

chaque utilisateur
politique d’authentification: permet à l’utilisateur de
prouver son identité
politique d’autorisation: détermine les opérations
légitimes qu’un utilisateur peut réaliser

9
Définition d’une politique de sécurité

Règlement de sécurité a pour objectif de définir les


actions que les agents ont :

2 types de contraintes

contraintes fonctionnelles: s’appliquent aux agents


lorsqu’ils effectuent des actions portant sur des objets
contraintes organisationnelles: s’appliquent aux agents
lorsqu’ils interagissent avec d’autres agents
10
Mise en œuvre d’une politique de sécurité

choix des mécanismes les plus simples possibles permettant de


protéger les ressources, de manière la plus efficace avec un coût
acceptable
 système d’authentification (biométrie, serveur d’authentification , · · · )
 chiffrement (PKI, mécanismes intégrés à des protocoles de
communication (IPsec), · · · )
 pare feux (firewall)
 système anti-virus
 outil de détection de failles de sécurité
 système de détection d’intrusions
 système d’exploitation sécurisé
11
···
Mise en œuvre d’une politique de sécurité

validation d’une politique de sécurité

audit de sécurité par un tiers de confiance

valide les moyens de protection mis en œuvre par rapport à la


politique de sécurité
vérifie que
chaque règle de sécurité est correctement appliquée
l’ensemble des dispositions forme un tout cohérent et sûr

12
Validation d’une politique de sécurité

test d’une politique de sécurité

test d’intrusion : éprouver les moyens de protection


d’un SI en essayant de s’introduire dans le système en
situation réelle deux méthodes :

black box
s’introduire dans le système sans aucune connaissance préalable de
celui-ci (situation réelle)

white box
s’introduire dans le système en ayant connaissance de l’ensemble du
système (éprouver au maximum le système)
13
Validation d’une politique de sécurité

test d’une politique de sécurité

se fait avec l’accord de la hiérarchie

le propriétaire du système doit donner une autorisation


dégâts possibles sur le système

permet de sensibiliser le personnel

14
Validation d’une politique de sécurité

gestion des incidents

que faire après une attaque ?

 obtention de l’adresse du pirate ?


 extinction de l’alimentation de la machine ?
 débranchement de la machine du réseau ?
 réinstallation du système ?

plan de continuité de l’activité 15


Gestion de la continuité d’activité

définition des responsabilités (à l’avance)


 constitution de preuves sur l’attaque ( en cas d’enquête
judiciaire)
 datation de l’intrusion (degré de compromission de la
machine (impact de l’attaque))
confinement (enfermer) de la compromission (éviter la
propagation)
 sauvegarde (comparaison des données du système avec
la sauvegarde)
mise en place d’un plan de repli (continuité de service) 16

Vous aimerez peut-être aussi