WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Audit et definition de la politique de sécurité du réseau informatique de la first bank

( Télécharger le fichier original )
par Gustave KOUALOROH
Université de Yaoundé I - Master professionnel en réseaux & applications multimédia 2008
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

2. STRATEGIE DE SECURITE RESEAU

L'établissement de stratégie de sécurité exige de prendre en compte l'historique de l'entreprise, l'étendue de son réseau, le nombre d'employés, la sous-traitance avec des tierces parties, le nombre de serveurs, l'organisation du réseau, etc.

D'une manière générale, une bonne stratégie de sécurité vise à définir et mettre en oeuvre des mécanismes de sécurité, des procédures de surveillance des équipements de sécurité, des procédures de réponse aux incidents de sécurité et des contrôles et audits de sécurité. Elle veille en outre à ce que les dirigeants de l'entreprise approuvent la politique de sécurité de l'entreprise.

Nous allons montrer comment élaborer une stratégie de sécurité et donnerons les règles élémentaires à considérer dans son élaboration, ainsi que quelques exemples de stratégie de sécurité.

2.1. MÉTHODOLOGIE POUR ÉLABORER UNE STRATÉGIE DE SÉCURITÉ RÉSEAU

Nous décrivons dans ce chapitre la méthodologie générique pour élaborer une stratégie de sécurité réseau.

2.1.1. Prédiction des attaques potentielles et analyse de risque

La première étape consiste à déterminer les menaces qui pèsent sur les biens de l'entreprise, ainsi que les impacts de ces menaces sur l'activité de l'entreprise si elles devaient se concrétiser.

Le rapprochement entre les ressources critiques de l'entreprise et les risques de sécurités associés, déterminés par les valeurs menaces-conséquences-vulnérabilités, permet de définir la stratégie de sécurité de l'entreprise.

Afin de protéger ses biens critiques des menaces identifiées, l'entreprise doit aussi analyser les techniques d'attaques utilisées pour enfreindre les contrôles de sécurité ou tirer parti des vulnérabilités. Ce deuxième niveau d'analyse permet de définir des stratégies de sécurité proactives, visant à diminuer les probabilités d'occurrence des menaces.

Typologie des menaces:

Les différentes catégories de menaces qui pèsent sur les systèmes d'informations peuvent être classés comme sur le schéma suivant :


Les menaces non intentionnelles ou imprévisibles, comme les catastrophes naturelles, ne mettent pas en oeuvre d'outils ou de techniques particulières et n'ont évidemment pas d'objectifs déterminés. A l'inverse, les menaces intentionnelles mettent généralement en oeuvre des outils et des techniques d'attaques très variés.

Des études ont montrés que, dans les trois quarts des cas, les menaces réelles de sécurité viennent de l'intérieur de l'entreprise. Face aux menaces identifiées lors de la première étape, des stratégies proactives ou réactives doivent être définies pour tous les cas.

Stratégie proactive:

Une stratégie proactive consiste en un ensemble d'étapes prédéfinies qui doivent être exécutées afin de se prémunir d'attaque identifiées.

Une telle stratégie doit tout d'abord évaluer les dommages causés par une stratégie donnée. Ces dommages peuvent aller d'un impact mineur jusqu'à la perte totale du bien attaqué.

La stratégie proactive évalue ensuite les degrés de vulnérabilité et les faiblesses exploitées par chaque attaque identifiée. Cette étape vise à définir  de manière précise les éléments de contre-mesure à mettre en place en tenant compte de différents types de contraintes. Les risques associés aux vulnérabilités et faiblesses détectées doivent être réduits par la mise en place de ces éléments de contre-mesure.

La dernière étape de la stratégie proactive consiste  à élaborer un plan de contingence, ou Business Continuity Plan, visant à définir les actions à mettre en oeuvre en cas d'attaque réussie. Ce plan définit chaque tâche à exécuter, ainsi que le moment de son exécution et la personne qui en a la charge. Il doit résoudre le problème de la restauration des données. Il peut inclure une contrainte de déplacement du bien vers un autre lieu, en cas d'impact physique sur les locaux.

Un tel plan doit faire l'objet d'exercices réguliers afin que le personnel soit parfaitement préparé au moment où le plan devra être réellement en oeuvre.

Stratégie réactive:

Une stratégie réactive définit les étapes à mettre en oeuvre après ou pendant un incident. Elle suppose que la stratégie proactive a échoué.

Cette stratégie consiste à analyser l'incident de sécurité afin de déterminer les dommages causés, les techniques et outils d'attaque utilisés. Il est primordial de déterminer le plus vite possible l'étendue des dommages afin de décider des actions d'urgence à entreprendre.

Non moins importante est la détermination des causes de l'incident par une analyse des traces système et réseau, sur les pare-feu, mais aussi par la détection de signatures de programmes ou de « root kits », de zone utilisées comme nid par l'intrus, sur les systèmes attaqués.

L'étape suivante commence dès la fin de l'analyse post-mortem. Elle consiste à réparer les dommages causés. Elle vient nécessairement à la fin de l'analyse de façon que la restauration des données affectées n'écrase pas les traces de l'incident de sécurité. Cette logique est à rapprocher de celle à l'oeuvre dans les autopsies consécutives à des affaires criminelles, lors desquelles les services de médecine ne sont pas autorisés à toucher au cadavre avant que les enquêteurs aient fini l'investigation.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Le don sans la technique n'est qu'une maladie"