1 / 38

ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Jan

ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008. © 2008 SOLUZEN. © 2008 DREAMLAB TECHNOLOGIES AG. 2. Participants. Didier Drapeau, Soluzen Philipp Egli, Dreamlab Technologies SA Alexandre Fernandez-Toro, HSC.

kentaro
Télécharger la présentation

ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Jan

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ITIL, ISO 27001, OSSTMM:Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr30. Janvier 2008 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  2. 2 Participants • Didier Drapeau, Soluzen • Philipp Egli, Dreamlab Technologies SA • Alexandre Fernandez-Toro, HSC © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  3. 3 Agenda • Positionnement des Standards • OSSTMM 3.0 • Présentation de la methode • Complementarité et Compatibilité avec l‘ISO 27001 • Pause • Mutualisation entre ITIL et ISO 27001 • Convergence entre ITIL, ISO 27001 et OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  4. 4 ITIL, ISO 27001, OSSTMM • Pour un système d’information plus fiable et plus sûr • Pourquoi ? (2001) • Comment ? (2008) • Avec l’ISO 20000 (ITIL)/27001 • insuffisant car pas de garantie du niveau de sécurité • Ce qu’offre l’OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  5. Positionnement des Standards © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  6. 6 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  7. Pare-feux PRA Stockage… Plan directeur Politique directives Contrôles Mise en conformité Projets Certificat ISO27001 Certificat OSSTMM Diag./Audit initial Mise en œuvre ISO 27001 et OSSTMM dans la démarche globale de sécurité 7 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  8. Sommes nous protégés? © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  9. Sommes nous protégés?OSSTMM 3.0 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  10. 10 Sécurité parfaite... © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  11. 11 Sécurité parfaite... adaptée à la situation © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  12. 12 OSSTMM signification • Open Source Security Testing Methodology Manual © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  13. 13 OSSTMM historique • Depuis 2001 (Version actuelle 3.0) • Edité par ISECOM (Institute for Security and Open Methodologies) • Concept pour « mesurer » la sécurité des systèmes operationels • Scientifique (Transparence / Reproductibilité) • Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  14. 14 la méthode: Investigations © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  15. 15 la méthode: Tests © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  16. 16 OSSTMM: Une métrique de sécurité, le RAV(Risk Assessment Value) • Le calcul du RAV est composé de trois éléments • Operational Security (OPSEC) (Porosité de l‘asset mesuré) • Pour être operationel un système doit être ouvert aux communications ce qui le rend vulnérable • Controls (Mesures de sécurité) • Class A controls: 5 types de mesures qui sécurisent les interactions • Class B controls: 5 types de mesures qui sécurisent les procesus • Limitations „Vulnérabilités“ • les classes de vulnérabilités © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  17. 17 Balance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  18. 18 OSSTMM: OPSEC • OPSEC (Dependant du vecteur d‘attaque) • Visibility: Les cibles visibles dans le périmètre. Exemple: Scan de serveurs qui donne leurs adresses IP • Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts. • Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web. © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  19. 19 OSSTMM: Controls A • INTERACTIVE (Class A) • Authentication: Mot de passe • Indemnification: Bannière „Défense d‘entrer“ • Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées. • Subjugation (Renforcement): Redirection automatique des flux http vers https. • Continuity: Load Balancing / Redondance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  20. 20 OSSTMM: Controls B • PROCESS (Class B) • Non-repudiation: Traces utilisateurExemple: Log Files qui permet de déterminer l‘identité d‘un visiteur d‘un site web. • Confidentiality: Encryption des données et des flux • Privacy: Transactions au sein d‘une zone sécurisée sans chiffrement. • Integrity: Checksum / Algorithme • Alarm: IDS / Monitoring / Surveillance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  21. 21 OSSTMM: Limitations • Limitations • Vulnerability: Possibilité de contourner les mesures de sécurité. • Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,) • Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.) • Exposure: Divulgation d‘informations • Anomaly: Operations anormalesExemple: Serveur visible par intermittence sans raisons apparentes © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  22. 22 Outil de calcul du RAV © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  23. 23 OSSTMM: RAV • Avons nous calculé le risque avec le RAV? © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  24. 24 OSSTMM: RAV • Avons nous calculé le risque avec le RAV? • Non © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  25. 25 OSSTMM et gestion de risquesAvant application des mesures Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  26. 26 Matrice Impact - Probabilité © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  27. 27 Risque après les corrections Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  28. 28 PilotageOutils de calcul automatiques du RAV © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  29. 29 Certification • Par qui: ISECOM et Organisme Certificateur • Quoi: Produits, services, Personnes • Conditions: • Maintien du RAV > 90 % • Certification annuelle • Recertification en cas de changement de périmètre • Personnels certifiés: • Testeur (OPST) • Analyste (OPSA) • Expert (OPSE) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  30. Complémentarités OSSTMM / ISO 27001 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  31. ISO27001 : Pilotage & maîtrise des risques 31 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  32. ISO27001: Contrôles et mesure du niveau de sécurité 32 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  33. Sécurité du système d’information: certification 33 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  34. OSSTMM vs ISO 27001 34 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  35. OSSTMM: vs ISO 27001 35 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  36. Questions / Pause © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  37. Convergences 37 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

  38. Perspectives 38 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG

More Related