2017-12-11 14:06:38 +01:00
# La sécurité informatique en entreprise
## Tour d'horizon
William Petit - S.C.O.P. Cadoles - 2017
---
<!-- page_number: true -->
# Qu'est ce que la sécurité ?
2017-12-11 15:46:52 +01:00
## Menaces, vulnérabilités, contre-mesures et risque
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## Menace
> Cause potentielle d'un incident, pouvant causer des dommages à un système ou une organisation.
>
> -- <cite>Définition (traduite) de "menace" dans le standard ISO/IEC 27000</cite>
Source: [ISO/IEC 27000 - Wikipédia ](https://en.wikipedia.org/wiki/ISO/IEC_27000 )
---
<!-- page_number: true -->
## Vulnérabilité
> Faiblesse d'un "bien" ou d'un "contrôle" pouvant être exploité par une ou plusieurs "menaces".
>
> -- <cite>Définition (traduite) de "vulnérabilité" dans le standard ISO/IEC 27000</cite>
Source: [ISO/IEC 27000 - Wikipédia ](https://en.wikipedia.org/wiki/ISO/IEC_27000 )
---
<!-- page_number: true -->
## Contre-mesure
2017-12-11 15:46:52 +01:00
> Disposition prise pour s'opposer à une action, à un effet, à un événement, ou pour les prévenir.
2017-12-11 14:06:38 +01:00
>
2017-12-11 15:46:52 +01:00
> -- <cite>Définition de "contre-mesure"</cite>
2017-12-11 14:06:38 +01:00
2017-12-11 15:46:52 +01:00
Source: [Wiktionnaire ](https://fr.wiktionary.org/wiki/contre-mesure )
---
<!-- page_number: true -->
## Risque
> Possibilité d’ un événement négatif, péril possible, hasard dangereux.
>
> -- <cite>Définition de "risque"</cite>
2017-12-11 14:06:38 +01:00
2017-12-11 15:46:52 +01:00
Source: [Wiktionnaire ](https://fr.wiktionary.org/wiki/risque )
### Formule empirique
$$Risque= \frac {\mathit{Vuln \acute{e}rabilit\acute{e}} \times \mathit{Menace}} {\mathit{ContreMesure}}$$
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
# Responsabilité légale
## Responsabilité et peines pour l'attaquant
## Responsabilité et peines pour l'entreprise
---
<!-- page_number: true -->
## Responsabilité et peines pour l'attaquant
> Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de **deux ans d'emprisonnement et de 60 000 € d'amende**.
> [...]
> Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à **cinq ans d'emprisonnement et à 150 000 € d'amende**.
>
> -- <cite>Extrait de l'article 323-1 du Code Pénal</cite>
Source: [Légifrance ](https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719 )
---
<!-- page_number: true -->
## Responsabilité et peines pour l'entreprise
### Qu'est ce qu'une "donnée personnelle" ?
> Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être **identifiée, directement ou indirectement**, notamment par **référence à un identifiant**, tel qu'un **nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale**
>
> -- <cite>Extrait de l'article 4 du RGPD</cite>
Source: [CNIL ](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4 )
---
<!-- page_number: true -->
## Responsabilité et peines pour l'entreprise
### Réponsabilité au niveau national
> Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
>
> -- <cite>Article 34 de la loi n° 78-17 du 6 janvier 1978</cite>
Source: [Légifrance ](https://www.legifrance.gouv.fr/affichTexteArticle.do?cidTexte=JORFTEXT000000886460&idArticle=LEGIARTI000006528131&dateTexte=&categorieLien=cid )
---
<!-- page_number: true -->
### Réponsabilité au niveau européen
2017-12-26 10:46:56 +01:00
> [..] le responsable du traitement doit mettre en oeuvre les mesures techniques et d'organisation appropriées pour **protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés**, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que **contre toute autre forme de traitement illicite**.
2017-12-11 14:06:38 +01:00
>
> -- <cite>Extrait de l'article 17 de la directive européenne 95/46/CE du 24 octobre 1995</cite>
Source: [EURLex ](http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX%3A31995L0046%3AFR%3AHTML )
---
<!-- page_number: true -->
### Peines au niveau national
> Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de **cinq ans d'emprisonnement et de 300 000 euros d'amende**.
>
> -- <cite>Article 226-17 du Code Pénal</cite>
Source: [Légifrance ](https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417964&cidTexte=LEGITEXT000006070719 )
---
<!-- page_number: true -->
# Objectifs de la sécurité informatique
## Maintenir l'intégrité des données
## S'assurer du niveaux d'authentification et d'autorisation
## Maintenir la disponibilité des services
## Assurer la traçabilité des échanges
## Éviter la fuite d'informations
---
<!-- page_number: true -->
## Maintenir l'intégrité des données
2017-12-12 11:35:12 +01:00
- Mitiger les risques de corruption de données (volontaire ou involontaire)
- Mitiger les risques de perte de données
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## S'assurer du niveaux d'authentification et d'autorisation
2017-12-12 11:35:12 +01:00
- S'assurer que les acteurs ** (humains ou non)** de l'infrastructure sont correctement identifiés
- S'assurer que les acteurs ne peuvent effectuer que les actions que leur niveau d'accréditation permet
- S'assurer que chaque acteur n'a pas un niveau d'accréditation supérieur à ce que requiert ses missions
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## Maintenir la disponibilité des services
2017-12-12 11:35:12 +01:00
- S'assurer que les services de l'infrastructure sont accessibles aux acteurs autorisés
- S'assurer que la qualité de service correspond aux attentes "métier"
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## Assurer la traçabilité des échanges
2017-12-12 11:35:12 +01:00
- S'assurer que pour toute opération sur une ressource "sensible", on est capable d'identifier l'acteur à l'origine de celle ci
- S'assurer qu'on est capable d'identifier les "chaines d'opérations" d'un acteur donné
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## Éviter la fuite d'informations
2017-12-12 11:35:12 +01:00
- Protéger les ressources sensibles des accès non autorisés
- S'assurer que chaque acteur n'a accès qu'aux informations nécessaires à ses missions
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
# Une politique de sécurité, plusieurs niveaux d'application
### Identifier les différents contextes et leurs spécificités
2017-12-12 11:35:12 +01:00
### Nécessité de la démarche globale et intégration du facteur humain
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## Identifier les différents contextes et leurs spécificités
### Le lieu de travail
### Le poste de travail
### L'intranet
### L'extranet
### L'utilisateur
---
<!-- page_number: true -->
## Le lieu de travail
2017-12-12 11:35:12 +01:00
- Y a-t-il un inventaire des ressources techniques/matérielles avec leur localisation ?
- Quelle est la politique de ségrégation des ressources techniques vis à vis de leur niveau de criticité pour l'entreprise ?
- Quels personnels ont potentiellement accès aux ressources matérielles ? Quels mécanismes sont utilisés pour filtrer les accès ?
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## Le poste de travail
2017-12-12 11:35:12 +01:00
- Quelle est la politique d'authentification des utilisateurs sur leur poste de travail ?
- Quelles libertés les utilisateurs ont ils quant à l'installation/configuration de leur poste de travail ?
- Quelle est la politique de supervision des postes de travail ?
- Quelles données sont sauvegardées ? Comment sont elles sauvegardées ?
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## L'intranet
2017-12-12 11:35:12 +01:00
- Quelle est la politique d'authentification des utilisateurs sur l'intranet ?
- Quelle est la politique d'accès des utilisateurs itinérants ?
- Quelles données sont sauvegardées ? Comment sont elles sauvegardées ?
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## L'extranet
2017-12-12 11:35:12 +01:00
- Quelle est la politique d'authentification des utilisateurs sur l'intranet ?
- Quelles sont les données d'utilisateurs externes stockés dans le système d'information ?
- Quels sont les échanges entre l'extranet et l'intranet ?
- Quelles données sont sauvegardées ? Comment sont elles sauvegardées ?
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
## L'utilisateur
2017-12-12 11:35:12 +01:00
- L'utilisateur est il sensibilisé aux problèmatiques de sécurité dans l'entreprise ?
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
2017-12-12 11:35:12 +01:00
## Nécessité de la démarche globale et l'intégration du facteur humain
- Les chartes d'utilisation
- La formation continue des salariés
- L'approche "dépénalisante" et l'identification des référents
- Actions de sensibilisation
2017-12-26 10:46:56 +01:00
- Bulletins d'information
2017-12-12 11:35:12 +01:00
- Un processus continue avec une réévaluation constante
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
# La démarche d'audit
2017-12-11 17:17:43 +01:00
## Les différents types d'audit
## Déroulement d'un audit
Source : [ANSSI - PASSI 2.1 - Référentiel d'exigences pour les auditeurs ](https://www.ssi.gouv.fr/uploads/2014/12/PASSI_referentiel-exigences_v2.1.pdf )
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
2017-12-11 17:17:43 +01:00
## Les différents types d'audit
### Audit d’ architecture
### Audit de configuration
### Audit de code source
### Tests d’ intrusion
### Audit organisationnel et physique
### Audit de systèmes industriels
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
2017-12-11 17:17:43 +01:00
## Déroulement d'un audit
### Établissement d’ une convention
### Préparation et déclenchement de la prestation
### Exécution de la prestation
### Restitution
### Élaboration du rapport d’ audit
### Clôture de la prestation
2017-12-11 14:06:38 +01:00
---
<!-- page_number: true -->
2017-12-11 17:17:43 +01:00
## Travaux pratiques
### Tests d'intrusion sur les applications Web
2017-12-11 14:06:38 +01:00
---
2017-12-11 17:17:43 +01:00
2017-12-11 15:46:52 +01:00
# Licence
## CC BY-NC-SA 3.0 FR
[Creative Commons - Attribution - Pas d’ Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France ](https://creativecommons.org/licenses/by-nc-sa/3.0/fr/ )