Pourquoi Et Comment Adapter Une Politique De S Ecurit E .
Pourquoi et Comment Adapter une Politique deSécurité pour les Entités du CNRS.Olivier Servas, Nicole Dausque, Anne Facq, Françoise Gazelle, Gabrielle FeltinTo cite this version:Olivier Servas, Nicole Dausque, Anne Facq, Françoise Gazelle, Gabrielle Feltin. Pourquoi etComment Adapter une Politique de Sécurité pour les Entités du CNRS. Politique de Sécuritédu Système d’Information. 2006. halshs-00096276 HAL Id: /halshs-00096276Submitted on 19 Sep 2006HAL is a multi-disciplinary open accessarchive for the deposit and dissemination of scientific research documents, whether they are published or not. The documents may come fromteaching and research institutions in France orabroad, or from public or private research centers.L’archive ouverte pluridisciplinaire HAL, estdestinée au dépôt et à la diffusion de documentsscientifiques de niveau recherche, publiés ou non,émanant des établissements d’enseignement et derecherche français ou étrangers, des laboratoirespublics ou privés.
Pourquoi et Comment Adapter une Politique de Sécurité pour les Entitésdu CNRSNicole Dausque,UREC - Unité Réseau du CNRSNicole.Dausque urec.cnrs.frAnne FacqCRPP - Centre de Recherche Paul PascalAnne.Facq crpp-bordeaux.cnrs.frGabrielle FeltinLORIA - Laboratoire Lorrain de Recherche en Informatique et ses ApplicationsGabrielle.Feltin loria.frFrançoise GazelleObservatoire de BesançonFrancoise.Gazelle obs-besancon.frOlivier ServasATILF - Analyse et Traitement Informatique de la Langue FrançaiseOlivier.Servas atilf.frRésuméAprès une brève présentation de la genèse et des objectifsdu groupe de travail CAPSEC « Comment Adapter unePolitique de Sécurité pour les Entités du CNRS », nousverrons pourquoi il est important qu’une entité définisse saPSSI « Politique de Sécurité du Système d’Information » ,quelles sont les différentes méthodes étudiées par legroupe CAPSEC et quelle démarche a été utilisée par cegroupe pour générer des documents aidant les entités duCNRS à définir leur PSSI.Ensuite nous détaillerons les étapes que doit suivre uneentité pour étudier et mettre en place sa PSSI.Enfin, nous décrirons des mises en œuvre des documentsCAPSEC dans des laboratoires du CNRS puis de l’université de Franche-Comté.Mots clefsSécurité, confidentialité, disponibilité, intégrité, BS 7799,ISO 17799, EBIOS, PSSI, SI, politique de sécuritéinformatique, besoins de sécurité, objectifs de sécurité,principes de sécurité, règles de sécurité, menaces,vulnérabilités, risques, enjeux, informations sensibles.1ContexteD’une part, compte tenu de la complexité et del’hétérogénéité du SI « Système d’information » urs,développement du nomadisme), il s’avère nécessaired’utiliser des méthodes pour recenser et classifierexactement ce qu’il faut sécuriser, par rapport à quoi(menaces potentielles internes et/ou externes), dans quelcontexte et comment.D’autre part, en partant du constat qu’il n’existe pas dePSSI « Politique de Sécurité du Système d’Information »clairement définie dans les entités du CNRS, alors que denombreux documents issus des CERTs « ComputerEmergency Response Team » [1] ou de l’UREC « UnitéRÉseau du CNRS » [2], des séminaires et écolesthématiques [3] incitent au respect de la politique desécurité en vigueur, un réel besoin de formalisme se faitsentir, d’autant plus que cette notion devient courante danstous les organismes.L’objectif du groupe de travail CAPSEC « CommentAdapter une Politique de Sécurité pour les Entités duCNRS » est la rédaction de documents permettant d’aiderles entités du CNRS à définir leur propre politique desécurité. L’entité peut être un laboratoire, un institut, uneunité, une équipe de recherche du CNRS. Le terme entitépourra être généralisé à une structure d’un organisme derecherche et/ou de formation.Le groupe CAPSEC, créé à l’initiative de Gabrielle Feltinet Françoise Gazelle, a été validé par l’UREC en Juin 2003dans le cadre d’un groupe de travail du CNRS. Ce groupeest constitué de 5 coordinateurs sécurité 1 [4] CNRSprovenant d’entités à structure différente (UMR, UMS,UPR, UPS, multi tutelle) et d’un conseiller de la DCSSI[5] « Direction Centrale de la Sécurité des Systèmesd’Information », Matthieu Grall.1Les coordinateurs sécurité CNRS coordonnent les actions sécuritéinformatique et réseaux au niveau de groupes de laboratoires(généralement sur une région) et assurent la liaison entre les entitésnationales CNRS (UREC et Fonctionnaire de Sécurité de Défense) et leslaboratoires
2Pourquoi une PSSI ?Une PSSI permet à une entité d'avoir une approcheméthodique et systématique pour garantir une sécuritéhomogène de son SI, de plus, l’étude de la PSSI estl’occasion pour une entité :– De mesurer l'importance stratégique de son SI pourl'accomplissement de ses missions démontrant ainsi lanécessité de le sécuriser afin de protéger les résultats derecherche (articles avant leur publication, brevets,contrats industriels.) et de conserver ses savoir-faire– De prendre conscience des menaces pesant sur son SI etde définir les mesures et moyens à mettre en oeuvrepour le protéger ou pour diminuer les impacts desintrusions– De rédiger et d’organiser des procédures de reprises desservices en cas de problèmes matériels ou d’intrusion.Une PSSI est également un document de dialogue entre lesdifférents acteurs du SI (instances décisionnelles,responsables d'équipes de recherche ou de services,membres de l’entité, le ou les ASR « AdministrateurSystème et Réseau » du service informatique, intervenantsextérieurs, prestataires de services). Il est important que lespersonnels de l’entité participent au pilotage de la sécuritéet donc ne la subissent pas.À l'issue de ce dialogue, un consensus doit se dégagerautour de la PSSI afin de définir une gestion des risques enfonction des moyens que l’entité peut ou doit investir dansla sécurisation de son SI et en tenant compte duprincipe qu’il ne faut pas entraver le travail des utilisateurs,mais éventuellement modifier leurs habitudes. Ils doiventpouvoir utiliser le SI en toute confiance tout en connaissantses limites.Dans ce but, il est important de sécuriser son SI de manièrecohérente et de définir des périmètres de sécurité adaptésaux différents besoins de sécurité des membres de l’entité.À titre d’exemple nous pouvons citer comme menacespesant sur le SI :– La perte d'un contrat industriel en raison de ladivulgation d'un document confidentiel suite à unemauvaise gestion des accès aux données.La PSSI va alors préciser les mesures de sécurité àsuivre pour protéger l'accès aux données confidentiellesdu SI– Les menaces pesant sur la messagerie du SI : les virus,les pourriels (spams), l’atteinte à l’intégrité et laconfidentialité des messages, la falsification del’identité de l’émetteur. La PSSI va alors préciser lesmesures de sécurité dans les principes à suivre pourgérer ces différents risques et définir les règlespermettant de protéger la messagerie.La PSSI est un ensemble de documents vivants qui doitêtre révisé régulièrement afin de prendre en compte lesévolutions des besoins au sein de l’entité (modification del'organisation de l’entité, de son personnel, du SI.) et desmenaces nouvelles ou consécutives à ces évolutions del’entité (enjeux, variation des besoins de sécurité.).3La démarche CAPSECDe juin 2003 à janvier 2004, nous avons commencé parune étude des différentes méthodes existantes.3.1Les Critères CommunsPour dégager des critères de sécurité, notre première actionfut une étude des Critères Communs version 2.1,normalisés par l'ISO en 1999 ISO/IEC 15408 sous le nom« Critères Communs pour l’évaluation de la sécurité destechnologies de l’information » [6].Ils fournissent des critères d’évaluation de la sécurité dessystèmes d’informations.Ils traitent de la protection des informations contre leurdivulgation, modification ou perte d’usage non autorisés(confidentialité, disponibilité et intégrité).Ils définissent le contexte général de la sécurité : « Lasécurité a trait à la protection des biens contre les menaces,ces dernières étant classées selon leur potentiel de nuisanceenvers les biens protégés ».Ils permettent de déterminer un vocabulaire et des conceptscommuns à tous les acteurs de la sécurité.Figure 1- Concepts de sécurité et relationsPour réaliser les objectifs de sécurité identifiés, la cible desécurité doit définir clairement quelles sont lesfonctionnalités de sécurité qui doivent être implémentées :– Audit de sécurité– Communication– Support cryptographique– Protection des données de l’utilisateur– Identification et authentification– Protection de la vie privée– Protection des fonctions de sécurité
– Utilisation des ressources– Chemins et canaux de confiance.Les critères communs proposent une approche méthodiqueet cohérente pour examiner la façon dont est prise encompte la sécurité (cf la Figure 1). Cette approche exige enparticulier que les objectifs de sécurité aient été définis aupréalable pour que l'on puisse apprécier, grâce àl'évaluation, la manière dont les fonctions de sécuritéparviennent à les satisfaire.3.2Les normesISO/IEC 13335 [7] : Guidelines for the Management ofthe IT Security. C’est un guide du management de lasécurité informatique. Il se décompose actuellement en 5rapports techniques ISO TR 13335 :– Définition, modèle et concepts de base– Information sur l’organisation à prévoir dans l’entité(management et planification)– Approche générale de la gestion de la sécurité des SI– Guide de choix des mesures préventives– Recommandations sur la sécurité des réseaux.La norme d’origine anglaise BS 7799-2:2002 dont lapremière partie a été normalisée par l’ISO « InternationalOrganization for Standardization » sous la référenceISO/IEC 17799:2005 : contient les codes de bonnespratiques pour la sécurité de l’information et des contrôlesqui y sont liés [7] .Elle a pour objectif d’établir un label de confiance pour lasécurité globale de l’information.Elle propose un ensemble de mesures de sécuritéorganisationnelles et techniques.Elle se compose de 11 chapitres et intègre 133 mesures decontrôle.Elle développe des points structurants de la sécurité (cf laFigure 3):– L’appui nécessaire de la direction pour la mise en placed’une politique de sécurité et l’identification desmoyens correspondants– L’identification des menaces propres à l’entité et lapondération des risques– La classification des informations pour ne protégerefficacement que ce qui est nécessaire– L’organisation à mettre en œuvre.Chaque chapitre présente une thématique de sécuritédétaillée en sous-chapitres, qui sont structurés autour :– D’activités (par exemple pour le personnel :recrutement, formation, gestion des incidents)– D’objets (par exemple pour la sécurité physique :périmètre de sécurité, équipement)– D’un mélange des deux (par exemple pourl’exploitation : validation de système, virus, sauvegarde,gestion des réseaux, support, échanges).Figure 2 - Synthèse du processus de management du risque(ISO 13335-2)Une partie va devenir norme internationale (IS pourInternational Standard) :– ISO/IEC IS 13335-1 : Concept et management pour lasécurité– ISO/IEC IS 13335-2 : Techniques de gestion de risques(cf la Figure 2).Une autre partie restera sous forme de rapports techniques.Figure 3- Architecture de la norme ISO 17799Chacun de ces chapitres présente des objectifs de sécurité,des recommandations sur les mesures à mettre en œuvre etdes contrôles à effectuer.
Cette norme ISO/IEC [7] requiert d’autres méthodologiespour établir la liste des biens sensibles, la liste des menaceset une analyse de risques.3.3Méthodes d’analyse de risquesPour mettre en œuvre une politique de sécurité, il fautdéfinir les objectifs de sécurité.Or seule une méthode permet d’obtenir une vision globaleet cohérente de la sécurité ; c’est un outil qui offre lapossibilité d'analyser, de concevoir, d'évaluer ou decontrôler, ensemble ou séparément, la sécurisation dessystèmes d'information ; il donne le moyen d’analyser etde hiérarchiser les enjeux, les objectifs de sécurité, lesmenaces et les vulnérabilités et de proposer des paradesadaptées ; il intègre une base de connaissances.MEHARI « MEthode Harmonisée d’Analyse desRisques » proposée par le CLUSIF [8] « Club de lasécurité des systèmes d'information français ».La méthode a été conçue pour les grandes entreprises et lesorganismes afin de mettre à disposition des règles, modesde présentation et schémas de décision. L'objectif de laméthode est de proposer un plan de sécurité qui se traduitpar un ensemble cohérent de mesures permettant de pallierau mieux les failles constatées et d'atteindre le niveau desécurité répondant aux exigences des objectifs fixés.Le modèle de risque MEHARI se base sur :– Six facteurs de risque indépendants : trois influant sur lapotentialité du risque et trois influant sur son impact– Six types de mesures de sécurité (structurelles,dissuasives, préventives et de protection, palliatives etde récupération) chacune agissant sur un des facteurs derisque.Un logiciel (non gratuit) d’assistance à la démarche estproposé par la société BUCSA.La méthode ne possède par de déclinaison par type demétiers, d’entreprise ou d’organisme.EBIOS « Expression des Besoins et Identification desObjectifs de Sécurité » [9] est une méthode de gestion desrisques de sécurité des systèmes d'information développéepar la DCSSI.EBIOS se positionne autant au niveau du systèmed’information que de l’entreprise. Cette méthode sefocalise sur les besoins de sécurité.Elle repose sur 5 étapes (cf la Figure 4) :– Étude du contexte,– Expression des besoins de sécurité– Étude des menaces– Identification des objectifs de sécurité– Détermination des exigences de sécurité.Figure 4 - Synoptique d'EBIOSEBIOS est utilisée par le secteur public et le secteur privé,en France et à l'international. Un logiciel d’assistance estdisponible gratuitement sur demande auprès de la DCSSI,il inclut des bases de connaissances sur les méthodesd'attaque, les vulnérabilités, les objectifs et exigences desécurité 3.4Choix de la démarche de la PSSINotre choix s’est porté sur la méthode EBIOS à laquellenous avons associé le guide PSSI [10], tous les deux mis àdisposition par la DCSSI.Le guide PSSI permet l’élaboration d’une Politique deSécurité des Systèmes d’Information. Il liste un ensemblede principes à intégrer dans une politique de sécurité, àl’instar de l’ISO 17799.Il donne de plus, une démarche de conception de lapolitique, en listant les groupes de travail à monter, lesdifférentes étapes avec des documents en entrée et ensortie. Il repose sur une détermination des objectifs desécurité après une analyse effectuée avec la méthodeEBIOS.Nous avons choisi la méthode EBIOS et le guide PSSI car :– Ils sont parfaitement adaptés pour mettre en œuvre uneétude générique– Ils s’appuient sur les Critères Communs– Ils sont gratuits– Ils sont accompagnés d’une assistance de la DCSSI.La méthode EBIOS nous a permis de réaliser une étudegénérique des besoins de sécurité et des menaces pour lesentités du CNRS, afin d’apprécier puis traiter les risquesliés à la sécurité des SI.La mise en œuvre de la méthode EBIOS et du guide PSSIpar le groupe CAPSEC se traduit par une politique desécurité qui se décompose en trois parties : une partie
stratégique, une partie politique (principes) et une partietechnique (règles) :– La note de stratégie de sécurité comporte : uneprésentation de l'entité, de son SI, des enjeux du SI,d'éléments de stratégie (référentiel réglementaireapplicable, échelle de besoins, menaces retenues )– Les principes de sécurité s’articulent en principesorganisationnels, principes de mise en œuvre etprincipes techniques– Les règles de sécurité sont des règles d’applicationdonnant entre autres les informations techniquespermettant de satisfaire les principes de sécurité ; pourles écrire nous nous sommes appuyés en grande partiesur les documentations et recommandations techniquesexistantes de l’UREC.En résumé, entre janvier 2004 et juin 2005 le travail dugroupe CAPSEC a consisté en :– La réalisation d’une étude EBIOS générique pour lesentités du CNRS– La rédaction d’une fiche d’enquête– L’établissement d’un schéma de circulation des donnéesentre les acteurs du SI– Le recensement des enjeux pour les entités du CNRS– L’établissement de la liste des données et fonctions àprendre en compte– La détermination de l’échelle des besoins de sécurité surles données et les services– L’établissement de la liste des menaces retenuesuniquement sur le SI– La rédaction des principes de sécurité et des règles desécurité.4Les étapes de définition d’une PSSIpour une entitéSuite au travail réalisé par le groupe CAPSEC [11], ils’avère que la définition de la PSSI pour une entité CNRSest composée de 4 étapes :I. Une enquête sur les besoins de sécurité desutilisateurs du SIII. Une étude des menaces pesant sur le SIIII. Une définition des principes de sécurité et leurvalidation par les instances politiques de l’entitéIV. Une élaboration des règles de sécuritépermettant de respecter les principes.Les deux premières étapes correspondent à la définitiondes besoins de sécurité pour les utilisateurs.Les deux dernières étapes concernent la mise en place de laPSSI au sein de l’entité.Au sein de l’entité, un Comité PSSI chargé d’étudier etd’adapter la PSSI de l’entité est tout d’abord constitué etvalidé par l’instance décisionnelle : il comprend desacteurs du SI de l’entité : direction, représentants desutilisateurs de l’entité, correspondant sécurité 2 [4] ouéventuellement des collaborateurs externes (CRI, ). Lenombre de participants à ce groupe peut être compris entre5 et 10. Il doit être suffisant pour être représentatif desactivités de l’entité mais pas trop élevé, car il serait alorsdifficile de travailler avec un groupe dont les membres sonttrop nombreux.4.1Enquête sur les besoins de sécurité desutilisateurs du SIL’objectif de cette étape est de déterminer le niveau desécurité à appliquer aux données et aux fonctions (ouservices au sens informatique du terme) courammentutilisées au sein de l’entité par l’ensemble des utilisateurs.Chaque membre du Comité PSSI est chargé de remplir uneenquête dans laquelle il spécifie les données et lesfonctions du SI à sécuriser tout en ayant conscience desenjeux qu’elles représentent pour l’entité.Les différents types d’enjeux établis par le groupeCAPSEC sont :– Financiers (contrats pouvant être dénoncés car lesexpérimentations n'ont pas abouti en raison deproblèmes de sécurité matériels ou logiciels)– Politiques (image de marque, visibilité de l'organisme,crédibilité en rapport avec les plans stratégiques desorganismes)– Techniques (recherche spécifique et de pointe,protection et maîtrise des résultats liés aux découvertes,confidentialité et conservation des savoir-fairetechniques).La première partie de cette enquête permet à chaquemembre du Comité PSSI d’exprimer le besoin de sécuritésur les types de données qu’il utilise.Il commence donc par sélectionner et ajouter si besoin lesdonnées qu’il utilise dans la liste ci-dessous :– Données d’authentification (mots de passe)– Données liées à des contrats confidentiels (mise aupoint, résultat des contrats)– Données liées à des savoir-faire (bases de connaissance)– Données liées à des coopérations nationales ouinternationales (rédaction d’articles)– Données liées à l’enseignement (notes et sujetsd’examen)– Données expérimentales (résultats d’expériences)– Données de gestion financières et comptables (XLAB,NABUCO)2Le correspondant sécurité coordonne les actions sécurité informatique etréseaux dans son laboratoire en liaison avec les entités régionales(coordinateurs) et nationales CNRS (UREC et Fonctionnaire de Sécuritéde Défense
– Données liées à des informations sur la sécurité– Données nominatives (gestion des personnels)– Données politiques ou stratégiques– Données scientifiques labellisées « secret défense »– Données liées à la vie privée de personnes.Une fois la sélection
Comment Adapter une Politique de S ecurit e pour les Entit es du CNRS. Politique de S ecurit e . – Approche générale de la gestion de la sécurité des SI – Guide de choix des mesures préventives – Recommandations sur la sécurité des réseaux. . – La classification des informations pour ne protéger
3825-34, Chrysler 3 Adapter 3825-12, Ford EEC Adapter 3825-16, Ford ABS Adapter 3421-93, Kia Adapter 3825-11, MECS ABS Adapter 3825-13, Geo-Isuzu Adapter 3825-14, Mazda MECS Adapter 3825-15, Universal 9 Pin Adapter 3825-17, Toyota DCL 1/ Adapter 3825-18, Toyota DCL 2/ Adapter 3825-19, Mitsubishi/ Chrysler “Y” Adpater 3825-20, Nissan 1 Adapter
DAM-G 52 Male Adapter DAM-U 53 Male Adapter DAM-UO 53 Female Adapter DAF-N 54 Female Adapter DAF-R 55 Female Adapter DAF-GR 55 Female Gauge Adapter DAF-GG 56 Elbow Adapter DLA 57 Run Tee Adapter DTRA 57 Branch Tee Adapter DTBA 57 All dimensions are in millimeters unless othe
HTC Power Bank (BB G1000) HTC Wall adapter (TC P5000-AU) HTC Wall adapter (TC P5000-CN) HTC Wall adapter (TC P5000-EU) HTC Wall adapter (TC P5000-IN) HTC Wall adapter (TC P5000-UK) HTC Wall adapter (TC P5000-US) IDMIX Power Mint 10000 iKits Power Bank (PBM-G-Q50B) iKits Wall Adapter (W0920X-1U02F) Imazing Power .
Understand the Salesforce Adapter. Salesforce Adapter Capabilities1-1. Salesforce Adapter Restrictions1-2. What Application Version Is Supported?1-3. Salesforce Adapter Use Cases1-3. Workflow to Create and Add a Salesforce Adapter Connection to an Integration1-3. Create a Salesforce Adapter Connection. Prerequisites for Creating a Connection2-1
N450 WiFi Cable Modem Router (N450) 54 N600 WiFi Cable Modem Router (C3700) 55 AC1750 WiFi Cable Modem Router (C6300) 56 WiFi USB Adapters. AC1200 High Gain WiFi USB Adapter (AC1200) 58 AC600 WiFi USB Mini Adapter (A6100) 59 N600 WiFi USB Adapter (WNDA3100) 59 N300 WiFi USB Adapter (WNA3100) 60 N300 WiFi USB Mini Adapter (WNA3100M) 60 N150 WiFi USB Adapter (WNA1100) 61 N150 WiFi USB Micro .
Gehl to Mini Universal Adapter Plate ASV RC-30 or Terex PT-30 to Mini Universal Adapter Plate Mini Universal Adapter - Bolt or Weld-on. Thomas to Mini Universal Adapter Plate MT-50/52/55 & 463 to Mini Universal Adapter Plate Mini Universal Adapter - Bolt or Weld-on. SS Universal Quick Attach
ASP2 Adapter Set for Pentax flexible endoscopes, includes 1 - Suction Tube Adapter, 1 - Suction Port Cap, 1 - Air/Water Port Adapter, 1 - Biopsy Port Cap, and 1 - Auxiliary Water Jet Port Adapter. For use with Pentax flexible endoscopes. 120 ASF2 Adapter Set for Fuji flexible endoscopes, includes 1 - Suction Tube Adapter,
Library of Congress Cataloging-in-Publication Data Bosco, Giovanni, Saint, 1815-1888. [Memorie dell'Oratorio di S. Francesco di Sales dal 1815 al 1855. English] Memoirs of the Oratory of Saint Francis de Sales from 1815 to 1855: the autobiography of Saint John Bosco / translated by Daniel Lyons; with notes and commentary by Eugenio Ceria, Lawrence Castelvecchi, and Michael Mendl. Includes .
