La Sécurité Informatique.
Download
Report
Transcript La Sécurité Informatique.
La Sécurité Informatique.
Plan de l’exposé.
• I. Pourquoi la Sécurité Informatique.
• II.La politique de Sécurité Informatique.
• III. Mise en œuvre de la sécurité
Informatique.
• IV. Attaques, Contre-mesures.
• Conclusion
I. Pourquoi la Sécurité Informatique.
• Question Liminaire:
• Qu’elle est votre vision de la Sécurité
Informatique ?
• Vous confiez vos données, qu’elle
conscience avez vous des possibles
évènements fâcheux?
État des lieux, Clusif 2002
• Entreprises françaises attentistes
• Il y a un budget.
• Sinistres en 2002
– Recul des vols, beaucoup d’erreurs de
conception
– Beaucoup de pannes et de virus
– Sous estimation, ignorance de la menace
interne.
Le besoin de Sécurité Informatique.
• Les sociétés sont devenus dépendantes de
leur outil informatique.
• Internet et le travail avec les réseaux ouverts
introduisent une révolution pour la sécurité.
– Les systèmes d’Intelligence sont répartis.
– Les morceaux sont interconnectés.
– Le succès d’Internet n’a pas été prévu.
Les conditions du bon
fonctionnement du système.
• Intégrité des données.
– Limitation des accès,…
• Confidentialité des données.
– Obligation légale, confiance,...
• Assurer la disponibilité des services.
– Fiabilité, performance,…
II. La politique de Sécurité
Informatique.
La PSI est l’ensemble des principes et des
règles de sécurité pour la gestion et le
fonctionnement du système d’information.
Objectif de la PSI
Son objectif est de protéger les actifs
informatiques contre les risques, d’une
manière adaptée à l’entreprise, à son
environnement et à l’état de son outil
informatique.
Objectif:
Ce qui implique que le responsable de sécurité se
charge des activités de:
Protéger…
Conception, mise en œuvre, et maintenance des
contre-mesures de sécurité
…les actifs informatiques de
l'entreprise…
Identification des actifs informatiques (information,
applications, systèmes, ressources humaines).
Détermination de la valeur des actifs:
•pour l'entreprise, et
•pour les intrus potentiels
…contre les risques…
Identification des risques, ce qui implique
l'identification des actifs vulnérables sur lesquels
pèsent des menaces significatives
…et ce, d'une manière qui est
adaptée à l'entreprise,…
Détermination du niveau de criticité des différents
actifs informatiques. Détermination du meilleur
équilibre entre risques et coût de protection
…à son environnement…
Identification des menaces:
•internes et externes,
•d'origine accidentelle ou intentionnelle
…et à l'état de son outil
informatique.
Identification des vulnérabilités des actifs informatiques
Chronologie de la PSI
Identification des actifs
Identification des
menaces
Détermination de la valeur
des actifs
Identification des
vulnérabilités
Identification des
risques
Détermination du niveau de
criticité des actifs
Conception, mise en œuvre et maintenance des
contre-mesures
Principes de bases.
• La Sécurité à 100% est une utopie.
• Le tout sécurité est pire que le mal.
• Toujours avoir une vision globale
• La Sécurité est un éternel compromis.
III. Mise en œuvre de la PSI.
• Protéger quoi?
• Pourquoi?
• Contre Quoi?
• Contre Qui?
• A quel coût?
Vulnérabilité, Menaces, Risques.
• Définition de la vulnérabilité:
– Faille matérielle ou logicielle qui permet
d’obtenir un accès non autorisé ou de
provoquer un Déni de Service.
– Naturelle, Physique, Logique,…
– Ex. eau, incendie, lecteur, absence de MJ…
Menaces.
• Définition de la Menace:
– Expression de nuire à autrui.
On distingue, les attaques externes, internes et
physiques.
Les attaques externes.
• Intrusion via le réseau
• Diffusion de virus
• Elles sont médiatisées, connues
• Elles sont rares (20%)
• Nécessites pare-feu, la surveillance du
réseau…, isolation des zones sensibles.
Les attaques internes.
• Le cas typique est l’employé pas content,
mais alors pas du tout content.
• Ce sont les plus fréquentes.
• Lutte complexe.
• Employer des serveurs distincts.
Les attaques physiques.
• C’est un risque majeur.
• Difficile à contrer sans une réflexion en
amont. (Ex. Française des Jeux,…)
• La plus connue est la pose d’un sniffeur.
Postulat.
• Plus le niveau de sécurité initial sera élevé,
plus il sera simple de développer et de
suivre les standards et les procédures pour
le maintenir à niveau.
• Éviter de s’en remettre à la chance.
Le coût.
• Aucune assurance n’est gratuite.
• La politique de sécurité est là pour le rendre
acceptable.
• C’est un compromis.
• La perte de données vitales coûte beaucoup
plus (Perte d’exploitation, etc.)
Bases d’une PSI (1)
• Volonté de la direction Générale.
• Exercé par un Responsable de la sécurité.
• Elle concerne tout le monde. (pas
d’exception)
• Elle est discutée, on y adhère.
Bases d’une PSI (2)
• Elle ne dépend pas de la technique.
• Elle définit la technique utilisée.
• Elle se base surtout sur l’information et la
FORMATION.
Concrètement
• Une SI c’est 80% de bon sens.
• Il faut connaître son environnement.
• Être informé, SANS, CERT, CNRS-CRU, le
site du fabriquant de votre OS.
• Elle doit être COHÉRENTE, sinon vous
êtes le maillon faible,…
La gestion des incidents de
sécurtité. PARLER SANS HONTE
• Recommandations pour les incidents de sécurité.
– Informer la direction. (plainte)
– Informer le responsable de sécurité (traitement de
l’incident)
– Stopper les services compromis
– SAUVEGARDER le système pour garder les traces
– NE PAS DONNER D’INFORMATIONS SUR
L’INCIDENT
– Analyse et comprendre l’intrusion et évaluer les
dégâts.
– Faire changer les mots de passe.
– Recherche les sniffeurs éventuels,…
Aspects légaux.
• Voir feuille de synthèse.
• Le non droit est une idée reçue,
• Le problème c’est la preuve et la complexité
des recours.
Législation (1)
• Loi relative à la propriété intellectuelle.
– Droit d’auteur. Loi 85-660 du 3 juillet 1985.
– Code de la propriété intellectuelle.
– Propriété intellectuelle des œuvres numériques.
• Article sur la situation du logiciel en France.
• Fraude informatique, Loi du 5 janvier 1988 Godfrain
– Délibération de juillet 1981 sur la SSI
– Organisation mondiale de la propriété intellectuelle.
Législation (2)
• Protection des données
• Protection des personnes.
– CNIL loi 6 janvier 1978.
• Responsabilité civile
– Art 1382 cciv
•
•
•
•
Code pénal, art 462-2 à 462-9.
La signature électronique.
Loi de réglementation des télécommunications
Loi Toubon.
La gestion des incidents de
sécurité.
• Recommandations pour les incidents de sécurité.
– Informer la direction. (plainte)
– Informer le responsable de sécurité (traitement de
l’incident)
– Stopper les services compromis
– SAUVEGARDER le système pour garder les traces
– NE PAS DONNER D’INFORMATIONS SUR
L’INCIDENT
– Analyse et comprendre l’intrusion et évaluer les
dégâts.
– Faire changer les mots de passe.
– Recherche les sniffeurs éventuels.
IV Attaques, Techniques de
Défenses.
Inventaire des outils de défense.
• Les Firewall. (remarques ils ne sont pas
infaillibles)
• Évaluation de vulnérabilité, scanners.
• Systèmes de détection d’intrusion.
• Journalisation et audit
• Perceur de mots de passe
• La cryptographie.
• Le bon sens
Survol des menaces externes
• Attaque par connaissance.
• Attaque par négligence.
• Attaque aveugle.
Attaque par connaissance.
• Exploite:
– La mauvaise gestion des mots de passe
– La mauvaise administration des appareils
(gestion des logins, gestion de la configuration
des routeurs.
Attaque par négligence.
• Exploite:
–
–
–
–
–
–
Mauvaise information .
Mauvaise stratégie de Mots de Passe,…
Faiblesse des contrôles
Faille dans les mises à jours (patchs, virus, etc.)
Mauvais paramètres de Firewall
…
Attaque aveugle.
• Exploite:
• Toutes les failles de l’attaque par
négligence.
• Conséquence d’une mauvaise gestion du
système.
Petite liste des attaques connues.
• Attaque par spoofing ou attaque par
usurpation
• Attaque par dissimulation d’identité.
• Le problème des sniffeurs (présent dans une
majorité d’attaque.)
• Attaque de Déni de Service.
• Vers virus
• Troyens
CONCLUSION
• Le risque majeur devient un
risque résiduel.
• Pour aller plus loin, Le Hacking, les méthodes de
sécurités, les stratégies réseaux,…