LES STRATEGIES DE SECURITE ET SYSTEMES DE PROTECTION CONTRE LES INTRUSIONS

Dimension: px
Commencer à balayer dès la page:

Download "LES STRATEGIES DE SECURITE ET SYSTEMES DE PROTECTION CONTRE LES INTRUSIONS"

Transcription

1 ParisGraduateSchoolofManagement ECOLESUPERIEUREDEGESTION D INFORMATIQUEETDESSCIENCES ECOLESUPERIEUREDEGENIE INFORMATIQUE INGENIERIEINFORMATIQUERESEAUXETSECURITE MEMOIREDERECHERCHE Année2008 LESSTRATEGIESDESECURITEET SYSTEMESDEPROTECTIONCONTRE LESINTRUSIONS Présentépar MESSAVUSSUAdoteviEnyonam MOUMOUNIMOUSSAHarouna ESGISIIR Décembre2008 Sousladirectionde M.ATOHOUNBéthel ChefdépartementIIRESGIS

2 Remerciements Nostrèssincèresremerciementsvontà: M.ThierryMONLOUIS:LeDirecteurdel ESGIdeParisettoutsonpersonnel; M.MacyAKAKPO:LeDirecteurGénéralduGroupeESGIS; M.PascalDANON:LeConseillerpédagogiqueduGroupeESGIS; M.BéthelATOHOUN:LeConseillerchargédel Informatique,duréseauetduCycle IngénieurIIRduGroupeESGIS; Al ensembledupersonneldugroupeesgisàloméetàcotonou; M.AlainAINA:LeDirecteurTechniqueparintérimd AfriNICetDirecteurdeTRS. MmeMartineOUENDOpoursabienveillanceetsachaleureusehospitalité; PourMOUMOUNIMOUSSAHarouna AmestrèschersparentsMOUMOUNIMOUSSAetHassanaMAMOUDOU,jevousdédie cetravailquin estriend autrequ unfruitdevotreindéfectiblesoutien; AmononcleIssouMAMOUDOUetsafamille,pourlesoutieninconditionnelapportédurant ceparcours; AmonfrèreAbdouletmessœursMariama,Hawa,AdamaetNadia,enespérantvousservir demodèle; Amesamisdelonguedatepourleursencouragementsquinem ontjamaisfaitdéfaut:seyni, Douma,Chaibou,Yann,Salélé, AmanièceZeinabenespéranttedonnerdéjàlegoûtdutravail,surtoutbinefait; Au personnel de BENIN TELECOMS; en particulier à Joseph HONVO, Louis AGBAHOLOUetMaximeGODONOU DOSSOUpourleursconstantesdisponibilités; ANsiluMOANDAVodacomRDCpoursesmultiplesconseilsetsonassistancequinem ont jamaisfaitdéfautdurantceparcours; Atousmesprochesquejen aipuciterici. PourMESSAVUSSUAdoteviEnyonam AmesfeuxtrèschersparentsMESSAVUSSUAdoviKoffietMIKEMAdéviMartineàquije dédiecemémoire; AmoncousinetgrandfrèreFranckTIGOUE,safemmeClaudine,sesfrèresetsesenfants ChrisetWilliampourleursoutienindéfectibleetleurconfiancesansfailleenmescapacités; AmestantesMmeMESSAVUSSUAnyéléganEssivietMmeTIGOUEBenedictanée MESSAVUSSU,mononcleProsperMESSAVUSSUpourm avoirsupportéetsoutenutout aulongdececycleingénieur; A mes frères M. MESSAVUSSU Adoté Kossi (John), Ernesto, Moïse et à ma sœur Bélindapourleursencouragements; AmonfilsClaudeJuniorMESSAVUSSUetàsamèreHOUTONDJIAkouaviDjénépour leuramourquim atoujoursinspiré; A mes sœurs AGBODAZE Amévi Tékla, ATAYI Ayikoélé Augustine, mon frère AGBODAZEKodjoGloriaetmestantesMIKEMMamavietTEOURIRyssala; AtousmesamissincèresMuriel,Roland,Kézié,Claire,Jérémie,HervéetBenny. Etàtousmesproches,amisetconnaissancesquejen aipaspuciterici i

3 Résumé Ensebasantsurlesétudesetenquêtesmenéesàtraverslemonde,onserendbiencompte qu ildevientdeplusenpluscompliquédegarantirlasécuritédessystèmesd informations. Cettesituationquiestessentiellementdueàlamultiplicationinquiétantedesmenacesen matièredesécuritéinformatiques expliqueparlaproliférationdesoutilspermettantde réaliserlesattaquesinformatiquesetparladécroissancecontinueduniveaudeconnaissance nécessairepourl utilisationdecesoutils.faceàcettesituation,denouvellessolutionset mesuresdesécuritén ontpasaussicessédevoirlejouretdeseproliférer. Cependantleproblèmequiseposetoujoursc estdesavoircommentmettreenplaceces mesuresetsolutionsdesécuritéefficacementafinderéellementprotégerlessystèmes d informationcarlefaitdejuxtaposeretdemultiplierlessolutionsdesécuritésansanalyser aupréalableleurcompatibilitéetleursobjectifsrespectifsn ajamaisétéunesolutionfiable. Danscecontexte,lesstratégiesdesécuritédontl implémentationsetraduitparladéfinitionet lamiseenapplicationd unepolitiquedesécuritéconstituentlemeilleurmoyend atteindreles objectifsdelasécuritéinformatique. Malheureusement,onserendbiencompteaujourd huiquemalgrétouteslesmesureset stratégies de sécurité qu on peut mettre en place, les systèmes d informations restent néanmoinsvulnérablesàcertainesattaquescibléesouàdesintrusions.c estpourquoidepuis quelquesannées,lesexpertsdelasécuritéparlentdeplusenplusd unnouveauconceptà savoirladétectiond intrusion.l étudedeladétectiond intrusionnouspermettrademieux comprendrelessystèmesdedétectionetdepréventiond intrusionsetdevoircommentils arriventàrenforcerlasécuritéenfermantlestrousdesécuritélaissésparlesmesures classiquesdesécurité. Abstract Whilebasingoneselfonthestudiesandsurveyscarriedoutthroughouttheworld,onerealizes wellthatitbecomesincreasinglycomplicatedtoguaranteetheinformationsystemsecurity. Thissituationwhichisprimarilyduetotheworryingmultiplicationofthethreatsasregards computersecuritycanbeexplainedbyproliferationofthetoolsmakingitpossibletocarry outcyberattacksandbythedecreasinglevelofknowledgenecessaryfortheuseofthese tools.vis a visthissituation,newsolutionsandsafetymeasuresareinvented. Howeverthedifficultywhichalwaysarisesitistofindthewayhowtosetupthese measurementsandsolutionsofsafetyeffectivelyinordertoreallyprotecttheinformation systemsbecausethefactofjuxtaposingandmultiplyingthesolutionsofsafetywithoutfirst analyzingtheirrespectivecompatibilityandtheirobjectiveswasneverareliablesolution.in thiscontext,thestrategiesofsafetywhoseimplementationresultsinthedefinitionandthe implementationofapolicyofsafetyconstitutethebestmeansofachievingthegoalsofthe computersecurity. Unfortunately,onerealizeswelltodaythatdespiteeverymeasurementsandstrategiesof safetywhichonecansetup,theinformationsystemsremainneverthelessvulnerableto certaintargetedattacksorintrusions.thisiswhyforafewyears;theexpertsofsafetyhave spokenmoreandmoreaboutanewconceptwhichisintrusiondetection.thestudyof intrusiondetectionwillenableustobetterunderstandtheintrusiondetectionandprevention systemsandtoseehowtheycanbemanagedtoreinforcesafetybyclosingthesafetyholes leftbytraditionalsafetymeasurementsandsolutions. ii

4 Tabledesmatières Remerciements...i Résumé...ii Abstract...ii Tabledesmatières...iii Tabledesillustrations...vi Listedestableaux...viii Introduction...1 Chapitre1:Evolutionsdelasécuritéinformatique...2 I.1Evolutionsdel informatique...2 I.2Lesmenacesenmatièredesécuritéinformatique...4 I.2.1Lesattaquesinformatiques...5 I.2.2Lecasspécialdesintrusions...10 I.3Lessolutionsenmatièredesécuritéinformatique...13 I.3.1Lesservicesetmécanismesdesécuritéinformatique...14 I.3.2Classificationetprincipesdesmesuresdesécurité...16 I.4Etatdeslieuxdelasécuritéinformatiquedanslemonde...18 Chapitre2:Lesstratégiesdesécuritédessystèmesd information...30 II.1Définitionsetconceptsdesstratégiesdesécurité...30 II.1.1Définitions...30 II.1.2Conceptsdesstratégiesdesécurité...31 II.1.2.1Pourquoilesstratégiesdesécurité?...32 II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire...33 II.2Miseenplaced unedémarchesécuritaire...34 II.2.1Méthodesetnormesd élaborationdedémarchessécuritaires...35 II.2.1.1Principalesméthodesfrançaises...35 II.2.1.2NormesinternationalesISO/IEC II.2.2Lastratégieglobaled entreprise...37 II.2.3Lesstratégiesdesécuritédessystèmesd information...39 II.2.3.1Identificationdesvaleursetclassificationdesressources...40 II.2.3.2Analysedesrisques...41 II.2.4Lespolitiquesdesécurité...42 II.3Caspratiquesd unedémarchesécuritaireauseind unepme...43 II.3.1PrésentationdelaPME...44 II.3.1.1Présentationgénérale...44 II.3.1.2Patrimoineinformatique...44 iii

5 II.3.1.3Lasécurité...45 II.3.1.4Contexte...46 II.3.2ApplicationdeladémarcheMEHARI...47 II.3.2.1PrésentationdelaméthodeMEHARI...47 II.3.2.2Leplanstratégiquedesécurité...47 II Métriquedesrisquesetobjectifsdesécurité...48 II Valeursdel entreprise:classificationdesressources...50 II Lapolitiquedesécurité...55 II Lachartedemanagement...55 II.3.2.3Planopérationneldesécurité...55 II Préliminaires...56 II Auditdel existant...58 II Evaluationdelagravitédesscénarii...60 II Expressiondesbesoinsdesécurité...62 II.3.2.4Planopérationneld entreprise...63 II Choixd indicateursreprésentatifs...63 II Elaborationd untableaudeborddelasécuritédel entreprise...63 II Rééquilibragesetarbitragesentrelesunités...64 II Synthèse...64 Chapitre3:Lessystèmesdeprotectioncontrelesintrusions...65 III.1Situationdelasécuritédessystèmesd informationdanslasous régionouest africaine...66 III.2Conceptsdessystèmesdeprotectioncontrelesintrusions...68 III.2.1Définitionetprincipesdefonctionnement...68 III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions...70 III.3Typologiesetfamillesdessystèmesdeprotectioncontrelesintrusions...72 III.3.1Typologiesdessystèmesdeprotectioncontrelesintrusions...72 III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions...73 III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante...73 III.3.2.2LeHostIDS:Unesolutionquimonte...74 III.4Limitesdessystèmesdeprotectioncontrelesintrusions...75 III.4.1Fauxpositifsetfauxnégatifs...76 III.4.2Lemode promiscuous...77 III.4.3Ladéfinitionetlamaintenancedessignatures...77 III.4.4L apprentissageetlaconfigurationdesids...78 III.5Etudescomparativesdequelquessystèmesdeprotectioncontrelesintrusions..78 III.6PrésentationdeSnort,SnortSAMetdeBASE...80 III.6.1Description...80 iv

6 III.6.2Installation...80 III.6.3Configuration...82 III.6.5Exécution...82 III.6.6Créationdenouvellesrègles...83 III.6.7SnortSam...85 III.6.8LaconsoleBASE...85 Conclusion...87 Glossaire...88 Bibliographie...91 Webographie...92 v

7 Tabledesillustrations Figure1 1:Catégoriesderéseauxsansfils...3 Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis...5 Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique...6 Figure1 5:Répartitiondesattaquesdephishing...7 Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues)...8 Figure1 7:CampagnesdespamparpaysenMaietJuin Figure1 8:Payshébergeursdesitesmalveillants...8 Figure1 9:Partdesversionsdesnavigateurslesplussécurisés...9 Figure1 10:Etapesderéalisationd uneintrusioninformatique...12 Figure1 11:Top5desvirusenJuin Figure1 12:Statistiquesdessystèmesdesécuritédéployésen Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité...16 Figure1 14:Statistiquesdesréponsesparsecteurd activité...19 Figure1 15:Statistiquesdesréponsesparsituationgéographique...19 Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage...20 Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques...20 Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés...21 Figure1 19:Typesd usagedel ordinateurfamilial...22 Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées...22 Figure 1 21: Statistiques du nombre d incidents subit ces 12 derniers mois par les organisations...24 Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI...25 Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité...25 Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleur sitesweb...26 Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident...26 Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes...27 Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen Figure2 1:Objectifsdelasécurité...31 Figure2 2:étapesderéalisationd unedémarchesécuritaire...34 Figure2 3:lesméthodespréconiséesparleClusif...35 vi

8 Figure2 4:DomainesdesécuritédelanormeISO Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire...38 Figure2 6:lasécurité,uncompromis...38 Figure2 7:Maitrisedesrisquesetprocessusdesécurité...39 Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen Figure2 9:Stratégiesetpolitiquesdesécurité...43 Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics»...44 Figure2 11:Classificationdesvaleursdel entreprise...51 Figure2 12:Elaborationduplandesécurité...56 Figure3 1:Entreprisesdisposantd unestratégiedebackupoff site...66 Figure3 2:Pourcentagedesréponsesausujetdeladémarchesécuritaire...67 Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«passives»...67 Figure3 4:Pourcentagedeprotectioncontrelesintrusions«actives»...67 Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan...68 Figure3 6:Fonctionnementd unids...69 Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oude détectiond intrusions(nids)...69 Figure3 8:Fonctionnementd unips...70 Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions..72 Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE)...86 vii

9 Listedestableaux Tableau 1 1: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau 1 2: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau2 1:Analysedesrisquesdessystèmesd information...42 Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité...42 Tableau2 3:Mesuresdeprotection...48 Tableau2 4:Mesurespalliatives...48 Tableau2 5:Mesuresderécupération...48 Tableau2 6:Mesuresderéductiond impactduscénario...48 Tableau2 7:Grilled évaluationdel impactdescénario...49 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle...49 Tableau2 9:Mesuredissuasives...49 Tableau2 10:Mesurespréventives...49 Tableau2 11:Grilleduniveaudepotentialité...50 Tableau2 12:Grilled évaluationduniveauderisque...50 Tableau2 13:Domained activitésetprocessusde«bénincosmetic»...52 Tableau2 14:Déterminationdescritèresd impact...53 Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu...53 Tableau2 16:Recensementdesressources...54 Tableau2 17:Déterminationdelavaleurpropredechaqueressource...54 Tableau2 18:Tableaudesynthèsedelaclassificationdesressources...54 Tableau2 19:Décompositioncellulairedel entreprise...57 Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact...58 Tableau2 21:Extraitsduquestionnaired auditdeslocaux...59 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal...60 Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Base desconnaissances)...61 Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés...61 Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellule exploitationdesserveurs...62 Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécurité applicationges_drh...62 Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction...63 viii

10 Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretde fabrication...63 Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavec l usinedeparakou...63 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii...64 Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéet retouràunesituationnormale...64 Tableau3 1:LesentreprisesOuest africainesconcernéesparl enquête...66 Tableau3 2:ComportementsenvisageablespourunIDS...76 Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions..80 ix

11 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Introduction Lavaleurdenotrecivilisationsedéplaceinéluctablementverslasphèreimmatérielle.La miniaturisationcontinuedel électronique,l accélérationdesperformancesdesréseauxde communicationetledéploiementinexorabledesinfrastructuresinformatiquesédifientune urbanisationdigitalequifavorisel accèsàl informationetfacilitelacommunication.cette évolution de l informatique, de l électronique, et surtout des systèmes distribués a malheureusement contribué à faire évoluer de manière considérable les menaces informatiques.lesrisquesauxquelssontconfrontéeslesentreprisesetlesorganisations aujourd hui sont tels que la sécurité informatique prend une place de plus en plus prépondéranteetvitaleauseindesinstitutionsprivéesetpubliques.ilnes agitplusde considérerlasécuritécommeunluxeréservéauxgrandesorganisationsouentreprisescaril n estpasrared assisterdenosjoursàdesprisesd otagesdepetitssystèmesouréseauxafin des enservircommerelaispourréaliserdesattaquesdegrandesenverguressurdegros systèmesouréseaux. Aumêmemoment,leniveaudeconnaissancerequispourdevenirpiratenecessedediminuer enraisondelaproliférationd outilsetdelogicielsmalfaisants(malwares)disponibles gratuitementsurleweb.vuecettesituationinquiétante,poursurvivreetpoursuivre,avecun minimumdesécuritéleursactivités,lesentreprisesetlesorganisationsdoiventadopteret mettreenœuvredesstratégiesdesécurité.cesdernièressontenfaitdesensemblescohérents etcompatiblesdemesuresdesécuritéquivisentàprotégerlessystèmesd informationsdes entreprisesdesattaquesetd incidentsdetoutessortes,oud enréduireautantquepossibleles impacts. Toutefois,ilarriveparfoisquedesincidentsdetypesintrusionsouattaquessurviennent malgrétouteslesmesuresetstratégiesdesécuritémisesenplace.cesincidentsquisontde plusenplusnombreuxpeuventprovenirdel intérieurcommedel extérieurdesréseauxdes entreprisesoudesorganisations.faceàcettesituation,denouveauxsystèmesdesurveillance (lessystèmesdedétectiond intrusionouids)etdeprotection(lessystèmesdeprévention d intrusionouips)sontdéveloppésdepuisquelquesannéesparleséditeursdesolutionsde sécurité.malheureusement,cesoutilssontencoreméconnusettrèsrarementutilisésen Afrique. Danslapremièrepartiedecedocument,nousavonsréaliséuneétudeconcernantl évolution desmenacesetsolutionsenmatièredesécuritéinformatiquequiadébouchéesurunétatdes lieuxdelasécuritéinformatiquedanslemonde.dansladeuxièmepartie,nousavonsmisen évidencelanécessitépourlesorganisationsd allerversunevisionpluslargedelasécuritéde leurssystèmesd informationsàtraverslesstratégiesetpolitiquesdesécurité.c estdansce sensquenousavonsconcrétisécetteapprocheparl applicationdelaméthodemehariàune PMEduBénin.Latroisièmeetdernièrepartiedecedocumentapourobjectifdemontrer l intérêtpournosentreprises(ouestafricainesdansunemoindremesureetafricainesen général)d unemiseenplaceefficaceetstratégiquedenouveauxsystèmesdesurveillanceet deprotectioncontrelesintrusionsafinderenforcerlasécuritéauseindesinfrastructures informatiquesetréseaux. 1

12 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre1:Evolutionsdelasécuritéinformatique I.1Evolutionsdel informatique L'informatique peut être définie de manière classique comme la science du traitement automatique et rationnelle de l information. Son outil par excellence est l ordinateur. L informatiqueaconnudesévolutionsetparfoisdesrévolutionsquisesontsuccédéaucours desannées. L'èredesordinateursmodernesacommencéavecledéveloppementdel'électroniqueaucours delasecondeguerremondiale,ouvrantainsilaporteàlaréalisationconcrètedemachines opérationnelles.aumêmemoment,lemathématicienalanturingthéorisaitlepremiersurla notiond ordinateur,avecsonconceptdemachineuniverselle.l'informatiqueestdoncune science des temps modernes, même s'il trouve ses origines dans l'antiquité (avec la cryptographie)oudanslamachineàcalculerdeblaisepascal,auxviiesiècle.cen'estqu'à lafindelasecondeguerremondialequ'elleaétéreconnuecommeunedisciplineàpart entièreetadéveloppédestechniquesetdesméthodesquiluiétaientpropres. Danslesannées40,unordinateuroccupaituneplacegigantesqueetétaittrèsfréquemment soumisàdespannes.en1947,l inventiondessemi conducteursapermisderéaliserdes ordinateurspluspetitsetd uneplusgrandefiabilité.danslesannées50,lesgrandes organisationscommencèrentàutiliserdegrosordinateursdegestionfonctionnantavecdes programmessurcartesperforées.puisàlafindesannées50,lescircuitsintégrésqui combinaientquelquestransistorssurunepetitepucefirentleurapparition.lesannées60 virentl utilisationmassivedessystèmesd ordinateurscentrauxdesservantdesterminaux. Audébutdesannées70,lepremiermicroprocesseur,l Intel4004faisaitsonapparition.Il permettaitd'effectuerdesopérationssur4bitssimultanément.en1981,ibmcommercialise lepremier«pc»composéd'unprocesseur8088cadencéà4.77mhz. Actuellement,ilesttrèsdifficiledesuivrel'évolutiondesmicroprocesseurs.Eneffet,cette évolutionsuitlaloidemoorequifuténoncéeen1965pargordonmoore,cofondateurd'intel quiveutquelenombredetransistorssurunprocesseurdoubletouslesdeuxans,augmentant ainsisesperformances.intelestdéjàarrivéàmettrejusqu à1,7milliarddetransistorssurune pucede65nm(montecito).pourcomparaison,lefameuxpentium4(3,4ghz)qu onatant décrié était en fait une puce de 90 nm avec seulement 125 millions de transistors. Aujourd hui,intelréussiàréduirelatailledespucesà45nm. Laminiaturisationdescomposantsetlaréductiondescoûtsdeproduction,associéesàun besoindeplusenpluspressantdetraitementdesinformationsdetoutessortes(militaires, scientifiques,financières,commerciales,etc.)ontentraînéunediffusiondel'informatique danstouslessecteursd activitéshumaines.quantàl Afrique,cen estquedanslesannées 1980qu elleavuledébutdudéveloppementdel'informatique. Lanotionderéseauinformatiqueconnaîtaussidepuisprèsdequatredécennies,d énormes transformationsetévolutions.c estaudébutdesannées60quefurentconstituéslespremiers réseauxavecl apparitiondesmodems.cesderniersservaientàconnecterdesterminaux passifsàunordinateurcentral.lesmodemsavaientunevitessede300bits/s,soitune trentainedecaractèresparseconde.ensuite,danslesannées70,lessystèmesbbs(bulletin Board System) apparaissaient. Ils offraient des services informatisés d échanges d informations,auxquelslesutilisateurspouvaientseconnecternotammentpourafficherdes messagesetyrépondre.lavitessedeconnexionétaitencorede300bits/s.danslesannées80 lessystèmesbbssontdevenustrèsrépandusetlavitessede300b/sesttrèsvitedevenue 2

13 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS insuffisantepourletransfertdesdocumentsvolumineuxcommelesgraphiques.dansles années1990,ledébitdesmodemsestpasséà9600 bits/s.eten1998,lavitessestandardde années1990,ledébitdesmodemsestpasséà9600bits/s.eten1998,lavitessestandardde 56Kbits/s,aétéatteinte. Lesmédiasdetransmissionsontpassésdescâblescoaxiauxauxpairestorsadéespourenfin aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesr aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesréseaux fédérateurs(backbones). Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est à direla Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est libertédemouvementdesutilisateurs).cesréseauxontconnudepuisleurapparition,des évolutionsmajeures.lapremière normepourcesréseauxestleieee elleaété évolutionsmajeures.lapremièrenormepourcesréseauxestleieee elleaété publiéeen1997.elleoffraitundébitde1ou2mbits/sàunefréquencede2,4ghz.la deuxième(ieee802.11a;jusqu à54mbits/sà5ghz)etlatroisièmenorme(ieee802.11b; 11Mbits/set2,4GHzpourlafréquence)apparurentautourde1999.D autresnormesdansce urlafréquence)apparurentautourde1999.d autresnormesdansce domainecontinuentd êtreréalisées. domainecontinuentd êtreréalisées. Figure Figure1 1:Catégoriesderéseauxsansfils ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,leWimaxetlesréseauxsansfil ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,le etlesréseauxsansfil destélécommunications(gsm,gprs,umtsetc.). destélécommunications(gsm,gprs,umtsetc.). Ainsi,toutadébutéavecleconceptdel informatiquecentraliséeavecdetrèsgrands ordinateursquioccupaientdegrandessallesavecplusieursterminauxquigravitaienttout tdegrandessallesavecplusieursterminauxquigravitaienttout autour.ensuiteonestpasséàl informatiqueàdistanceavecl utilisationdesmodemsen empruntantlesréseauxpublicsdetélécommunication.etdéjààcetteétapeseposaitle problèmedeslignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. lignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. Commentpouvait ongarantirlasécuritédesinfo ongarantirlasécuritédesinformationsquiytransitaient rmationsquiytransitaient?l autresouci majeurquecréaitl Informatiquecentralisé quecesoitàdistanceounonc étaitquetoutesles majeurquecréaitl Informatiquecentraliséequecesoitàdistanceounonc étaitq applicationsrésidaientsuruneseuleetmêmemachine.cequifaisaitqu encasdepanneou d accident,uneentreprisepouvaittoutperdreenunbrefinstant. d accident,uneentreprisepouvaittoutperdreenunbrefinstant. Après cette étape, est arrivée celle de l informatique distribuée que nous connaissons connais maintenantavecl introductionparexempledemultiplesserveurschacundédiéàunetâche bienspécifique.danslessystèmesdistribués,onpeutretrouverparexemplepourune institutionbancaireunserveurpourlapaie,unautrepourgérerlareconn institutionbancaireunserveurpourlapaie,unautrepourgérerlareconnaissancedes signaturesdesclients,unautrepourgérerlescomptesdesclientsetc.ledéfiréelétaitdonc detrouverunmoyendefairefonctionnertoutcetarsenaldeserveursensemble.ils agissait surtoutd éviterauxutilisateursd avoiràs authen tifier(loguer)surchaqueserveur.des surtoutd éviterauxutilisateursd avoiràs authentifier(loguer)surchaqueserveur.des 3

14 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS systèmescentralisésd authentificationontdoncvulejour.ils agitdessystèmescomme Kerberos,Radius,Samba,ActiveDirectoryetc. Avecledéveloppentdesréseaux,unnouveautyperéseauavulejour.Ils agitd Internet. Aujourd hui,avecinternet,onassisteàuneunificationdesréseaux.ainsi,lesintérêtsdela miseenplaced'unréseausontmultiples,quecesoitpouruneentrepriseouunparticulier. Aprèsavoirdécortiquélesdifférentesétapesdel évolutiondel informatiqueetdesréseaux, nousallonspasserenrevuelesmenacesenmatièredesécuritéinformatique. I.2Lesmenacesenmatièredesécuritéinformatique Leconceptdelasécuritéinformatiqueetdel Internetn acessédechangerdevisageetde dimensionaumêmetitrequel évolutiondestechnologies;aucoursdesannées1940,la notiondesécuritéinformatiqueétaitessentiellementaxéesurdesaspectsphysiques.il suffisaitdesécuriserl accèsphysiqueàl ordinateurcentral(mainframe),auxterminauxet auxmédiasdeconnexionpourempêchertoutaccèsauxindividusnonautorisés.ilétait d autantplusfaciledegarantirlasécuritédesdonnéespuisqu onpouvaitdéterminerà l avancetouteslesportesd accèspossiblesetdéveloppersastratégiedesécurité. Lasécuritédesréseauxatoujoursétéunepréoccupation.Ilatoujoursexistédesentités décidéesàmenerdesactionspeurecommandablesàl égarddessystèmes. Le nombre d incidents de sécurité rapportés au Computer Emergency Response Team CoordinationCenter(CERT)augmentechaqueannéedefaçonexponentielle.Moinsde200 en1989,environ400en1991,1400en1993et2241en1994.aucoursdeladécennie lenombred incidentsrapportésatteignitles ilsseproduisentsurlessites gouvernementauxetmilitaires,parmilesgrossescompagnies,danslesuniversitésetdansles petitesentreprises.certainsincidentsn impliquentqu unseulcomptesurunsystème,tandis qued autrespeuventimpliquerplusde500000systèmesàlafois.cesnombresnesontbien sûrquelapartieémergéedel iceberg.denombreusesintrusionsouviolationsdesécuriténe sontsouventpasdéclaréesaucentredecoordinationducertouauxautresorganisations deréponseauxincidentsdesécurité.danscertainscasc estparcequelesorganisations victimespréfèrentévitertoutepublicitéouaccusationd imprudence,dansd autrescasc est parce que les intrusions ne sont même pas détectées. On ne peut estimer le nombre d intrusionsréellementdétectéesparlessitesattaqués,maislaplusgrandepartiedela communautédesexpertsensécuritéinformatiquepensequ ilnes agitqued unfaible pourcentage.billchestwick,desat&tbelllabs,pensequesurlesattaquesréussies,au moins40%desattaquantsaccèdentàuncomptesuper utilisateur(sourcefirewallsdigest,31 mars1995). Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à2003 4

15 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecyberespaceestunmondedangereux,ettroppeus enrendentcompte.auxpremiersjours del Internet,lessitesconnectésauréseaudisposaientengénérald équipesentièresde gourouss occupantdumatérieletdulogiciel.aujourd hui,seconnecteràinternetestdevenu sibanalequelesutilisateursoublientqu ilfautunecertainesophisticationtechniquepourse connecterentoutesécurité. Lesprogrèstechnologiquesneprofitentmalheureusementpasqu auxutilisateurslégaux;ils sontaussimisàcontributionpouraméliorerlestechniquesdeviolationdespolitiquesde sécurité.lestechniquesd attaquesontconnuuneévolutionremarquableaucoursdecesvingt (20)dernièresannées,lesoutilspermettantd attaquerlessystèmesd informationssont devenusbienpluspuissantsetplusfacileàutiliser.cettefacilitéd utilisationaabaisséle niveaudeconnaissancestechniquesnécessairespourlanceruneattaque,augmentanten conséquencedefaçonexponentiellelenombred assaillantspotentiels. Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis Danscettepartiedenotredocument,nousallonstenterdecatégoriserlesdangersoules risquesauxquelssontexposéslessystèmesd informationendeuxgrandescatégoriesque nousdécortiqueronssuccessivementenprofondeur.ils agiradevoirdansunpremiertemps lesdangersquel onappelleparfoisaussirisquesouattaquesinformatiquesengénéraletdans undeuxièmetempsnousparleronsducasspécialdesintrusions. I.2.1Lesattaquesinformatiques Uneattaqueinformatiqueestl'exploitationd'unefailled'unsystème(systèmed'exploitation, logicieloubienmêmedel'utilisateur)àdesfinsnonconnuesparl'exploitantdusystèmeet généralementpréjudiciables. SurInternetdesattaquesontlieuenpermanence.Cesattaquessontpourlaplupartlancées automatiquementàpartirdemachinesinfectées(appeléesbotnets)pardesvirus,deschevaux detroie,desversetautres,àl'insudeleurpropriétaire.lesmotivationsdesattaquespeuvent êtrededifférentessortes: obtenirunaccèsausystème; voler des informations, tels que des secrets industriels ou des propriétés intellectuelles; 5

16 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS glanerdesinformationspersonnellessurunutilisateur; récupérerdesdonnéesbancaires; s'informersurl'organisation(entreprisedel'utilisateur,etc.); troublerlebonfonctionnementd'unservice; utiliserlesystèmedel'utilisateurcomme«rebond»pouruneattaque; utiliserlesressourcesdusystèmedel'utilisateur,notammentlorsqueleréseausur lequelilestsituépossèdeunebandepassanteélevée. Lessystèmesinformatiquesmettentenœuvredifférentescomposantes,allantdel'électricité pouralimenterlesmachinesaulogicielexécutévialesystèmed'exploitationetutilisantle réseau.lesattaquespeuventinterveniràchaqu londecettechaîne,pourpeuqu'ilexiste unevulnérabilitéexploitable.leschémaci dessousrappelletrèssommairementlesdifférents niveauxpourlesquelsunrisqueenmatièredesécuritéexiste: Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique Ilyad abordlesattaquesquivisentl accèsphysiqueetl environnementdusystème d information.ils'agitdescasoùl'attaquantaaccèsauxlocauxetéventuellementmêmeaux machines.ils agitsouventdesévénementscomme: Lescoupuresdel'électricité; L extinctionmanuelledesordinateursoudesserveurs; Levandalisme; L ouverturedesboîtiersdesordinateursetlevoldesdisquesdurs composants; oud autres L écoutedirectedutraficsurleréseauc'est à direensebranchantdirectementsurle backboneousuruncore switch(commutateurprincipal)parexemple. Ces attaques que l on pourrait qualifier de basiques étaient surtout à la mode quand l informatiqueétaitencoreàsesdébuts.c'est à direl èredel informatiquecentralisée. Aprèslesattaquesvisantlesaccèsphysiquesetl environnement,ilyacellesutilisantles interceptionsdescommunicationscomme: L usurpationderessourcesoudesparamètresd'identité(motsdepasse,adressesip, adressesmac); Ledétournementoualtérationdemessages(ManIntheMiddle,BruteForceattack etc.); Levoldesession(sessionhijacking),l ARPpoisoning,l écouteréseau,lebalayagede portsetc. 6

17 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Ensuite,ilyalesattaquesdetypedénideservice.Ils'agitdesattaquesvisantàperturberle bonfonctionnementd'unservicedusystèmed exploitationoud uneapplication.ondistingue habituellementlestypesdedénideservicesuivant: ExploitationdefaiblessesdesprotocolesTCP/IP; Exploitationdevulnérabilitédeslogicielsserveurs. Parmilestechniquesutiliséespourréalisercetyped attaque,onpeutciterlesattaquespar réflexion,lesattaques«pingdelamort»(pingofdeath),lesattaquesparfragmentation,les attaquesland,lesattaquessynetc. Pourterminerlapremièrepartiedecettetypologiedesattaquesinformatiques,nousallons citerlesarnaquesréaliséesgrâceauxoutilsinformatiques.ilyadanscettesouscatégories l ingénieriesociale,lescam,lephishing(quiprenddel ampleurcesdernièresannées)et enfinlesfaussesloteriesd Internet(Hoaxenanglais). L ingénieriesocialeaatteintquantàelleunnouveaudegrédesophistication,avecnotamment lechevaldetroie«small.dam»quiacausédesravagesconsidérablesenjanvier2007. Souscouvertdesgrostitresdel'actualitéliésàdevéritablesévénementstelsquelestempêtes quisesontproduiteseneuropeenjanvier,ilaréussiàsepropagerdanslemondeentieren uneseulenuit. LaTurquie,quienmaidecetteannée2008avaitcréelasurpriseendépassantlesEtats Unis, demeureundespremierspaysenmatièredephishing.elletalonneeneffetlesetats Unisà 20,10%.Enmai2008,cettepartétaitde24,36%,contre16,94%pourlesEtats Unis.La Pologne,déjàclasséedepuisplusieursmoisavecprèsde10%desattaquesdephishing,faitun nouveaubondpouratteindreles15%.lachine,siellehébergedenombreuxsitesinfectés, restesousleseuildes7%,aprèstoutefoisêtremontéejusqu'à9%enmai. Figure1 5:Répartitiondesattaquesdephishing Souvent,lorsdesattaques,lespiratesgardenttoujoursàl'espritlerisquedesefairerepérer, c'estlaraisonpourlaquelleilsprivilégienthabituellementlesattaquesparrebond(par oppositionauxattaquesdirectes),consistantàattaquerunemachineparl'intermédiaired'une autre,afindemasquerlestracespermettantderemonteràlui(tellequesonadresseip)etdans lebutd'utiliserlesressourcesdelamachineservantderebond.celamontrel'intérêtde protéger son réseau ou son ordinateur personnel car il est possible de se retrouver «complice»d'uneattaqueetencasdeplaintedelavictime,lapremièrepersonneinterrogée seralepropriétairedelamachineayantserviderebond. Avecledéveloppementdesréseauxsansfils,lesattaquessontencoreplusfacilesàréaliser surtoutlorsqueleréseausansfilestmalsécurisé,unpiratesituéàproximitépeutl'utiliser pourlancerdesattaques. Toutesattaquesconfondues,laChinequirassemblaitàelleseule42,96%desmenacesenmai decetteannée2008,nereprésenteplusque12,95%decelles ci.lesetats Unisontrécupéré 7

18 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lapremièreplaceà25,91%,devantdeuxpaysfortsenmatièredephishing,àsavoirlaturquie etlapologne.larussiesouventprésentéecommeunétatsourced'attaquesdoublesapart entremaietjuin,pours'établirà5,54%. Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues) En matière de courriers indésirables (spam), le nombre de campagnes des deux superpuissancesduspamquesontlesetats UnisetlaChineétaitdenouveauàlahausseen Juin2008parrapportàmai2008.UneaugmentationétaitégalementànoterpourlaRussie. Figure1 7:CampagnesdespamparpaysenMaietJuin2008 Enrevanche,lescampagnesd'originesbritanniqueetcoréenneétaientellesenreculd'unmois surl'autre.cespaysenregistraientpourtantunehausseenmai.lesautresnationsémettrices despamétaient,parordredécroissant:allemagne(178),japon(153),france(145),brésil (128)etl'Inde(127). Ilyaaussidesvulnérabilitésduwebquisontsouventexploitéespourréaliserdesattaques. Parmielles,onalamanipulationd'URL,le«Cross SiteScripting»etlesinjectionsSQL. Encequiconcernelespayshébergeursdesitesmalveillants,legraphesuivantnouséclaire suffisamment.d'aprèsledernierrapportdel'associationstopbadware.org(juin2008),les siteswebmalveillantsseconcentrentenchine.ainsisur200000sitesinfectés,52%sont hébergéssurdesréseauxchinois. Figure1 8:Payshébergeursdesitesmalveillants LesEtats Unisarriventloinderrièreavec21%desitesdangereux.Quantauxautrespays,ils nedépassentpasleseuildes4%.cettepositiondelachineestl'unedesgrandestendances notéeparstopbadwareparrapportà2007.lepremierréseauhébergeurdesitesmalveillants 8

19 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS était alors américain (ipower) avec sites. Il s'agit désormais de CHINANET BACKBONEavec Aujourd hui,lesmenacesinformatiquesserventmêmedesobjectifsetdesintérêtspolitiques. C estdanscesensquerécemmentdansleconflitquiaopposélarussieetlagéorgie,les sites Web du gouvernement géorgien ont été victimes d'attaques en déni de service visiblementrelayéespardeshébergeursrussesselonlesaccusationsdelagéorgie Avecunemenacequis'estdéplacéeprogressivementdelamessagerieverslessitesWeb,et quicibledoncdésormaislesnavigateurs,leshabitudesetlespratiquesdesinternautesà l'égarddecesdernierssontdevenuescapitales.confrontésdeplusenplusàdespagesweb malveillantes,exploitantparexempleunefailledanslenavigateur,lesinternautessonten effetplusexposésdésormais.lasécurité,oudumoinslarobustessedunavigateurest devenuedoncuncritèremajeur.selonlemagazinejdnsolutions,deschercheursensécurité ontrévélésqueseuls60%desinternautesutilisentunnavigateuràjouretque40%utilisent unnavigateuràrisque.lesutilisateursdefirefoxseraientlesplusrigoureux.ceuxd'internet Explorerseraientenrevanchepluslaxistes. Figure1 9:Partdesversionsdesnavigateurslesplussécurisés Ainsi,cesontrespectivement83,3%desutilisateursdeFirefox,65,3%deSafari,56,1% d'operaet47,6%d'internetexplorerquidisposentd'uneversionàjour.leschercheursjugent leprocessusdemigrationgénéralementlent,hormispoursafari3verslequelplusde60%des utilisateursdesafariavaientmigrédanslestroismoisquiontsuivisasortie.cettemiseàjour accéléréepourraitselonl'études'expliquerparlaprocédure(décriée)automatiqueintégréeà d'autreslogiciels(dontitunes)décidéeparapple. Principauxvecteursdecourriersindésirables(spam),lesbotsseraientcentcinquantemillions selonVintonCerf,leco inventeurdetcp/ip.selonuneautreestimation,entre5 000et30000ordinateursseraienttransformésenPCzombieschaquejour.Lorsdeson dernierrapport,symantecendécomptait6millionsdanslemonde,enhaussede29%sur6 mois. Unréseaudemachineszombiespeutêtreconstituéetcontrôléparuneouplusieurspersonnes, afind'obtenirunecapacitéconsidérableetd'avoirunimpactplusimportant.certainsgroupes decrackersencontrôleraientplusieurscentainesdemilliersauseinderéseauxdezombies, qu'onappellebotnetsàl'instardesréseauxderobotsircdumêmenom.cesbotnetspeuvent êtreutiliséspourcommettredesdélitscommelevoldedonnéesbancairesetidentitairesà grandeéchelle.lesbotnetssontplusàl'avantaged'organisationscriminelles(mafieuses)que depiratesisolés,etpeuventêtremêmelouésàdestierspeuscrupuleux.unréseaude machineszombiespeutaussiêtreutiliséafindefournirauxpiratesunepuissancedecalcul phénoménale,leurpermettantdedéchiffreruncodeenuntempsconsidérablementpluscourt quesurunemachine. 9

20 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lenombredemachineszombiesdansunpayspeutêtreévaluéàpartirdelaprovenancedes courriersindésirablesdétectés.lenombredepourrielsenprovenanced'unpaysparrapportà laquantitéglobaledepourrielsdétectésdonnedoncuneindicationdunombredemachines zombiesd'unpaysparrapportàl'ensembledesmachinesconnectéessurleréseau. SelonSophos[ATT08],début2007,lapremièreplaceaétéattribuéeauxÉtats Unisavec 22,0%.LadeuxièmeplaceétaitpriseparlaChine(incluantHong Kong)avec15,9%,puis parlacoréedusudavec7,4%.lafranceétaitquatrièmedecepalmarèsavec5,4%,suivie deprèsparl'espagneavec5,1%despourrielsdétectés. Aprèscebrefaperçudesattaques,menacesetdangersinformatiquesdanslemonde,nous allonsàprésentnousconcentrersuruneattaquespécialequiconsistepourunintrusà s introduiredansunsystèmeouunréseauinformatiqueétranger. I.2.2Lecasspécialdesintrusions Uneintrusionestuneformeparticulièred attaqueinformatiquecarlaplupartdesautres attaquesserventsouventàpréparerouàrendrelesciblesplusvulnérablesafindefaciliterla réalisationdesintrusions. Lesintrusionssontsouventeffectuéesdanslescontextesd espionnageindustrieloupolitique. Parexempleautoutdébutdumoisd octobre2008selonlarédactiondu«journaldunet», despiratesontpus'introduiredanslesystèmeinformatiqued'unfabricantsud coréende missilesetdéroberdesdonnées.selonlepremierrapportdel'administrationdelasécurité nationaledupays,lenationalsecurityresearchinstitute,lescyber attaquantssontparvenus àinstallerunprogrammemalveillantsurleréseaudel'industriellignex1hyundaiheavy Industries. Pourpouvoirmettreenœuvreunexploit(ils'agitdutermetechniquesignifiantexploiterune vulnérabilité),lapremièreétapeduhackerconsisteàrécupérerlemaximumd'informations surl'architectureduréseauetsurlessystèmesd'exploitationsetapplicationsfonctionnantsur celui ci. L'obtentiond'informationssurl'adressageduréseauvisé,généralementqualifiéedeprise d'empreinte,estsouventlepréalableàtouteattaque.elleconsisteàrassemblerlemaximum d'informationsconcernantlesinfrastructuresdecommunicationduréseaucible: AdressageIP; Nomsdedomaine; Protocolesderéseau; Servicesactivés; Architecturedesserveurs; etc. Enconnaissantl'adresseIPpubliqued'unedesmachinesduréseauoubientoutsimplementle nom de domaine de l'organisation, un pirate est potentiellement capable de connaître l'adressageduréseautoutentier,c'est à direlaplaged'adressesippubliquesappartenantà l'organisationviséeetsondécoupageensous réseaux.pourcelailsuffitdeconsulterlesbases publiquesd'attributiondesadressesipetdesnomsdedomaine: Afrique; Unis. 10

21 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lorsquelatopologieduréseauestconnueparlepirate,ilpeutlescanner(letermebalayerest égalementutilisé),c'est à diredétermineràl'aided'unoutillogiciel(appeléscannerou scanneurenfrançais)quellessontlesadressesipactivessurleréseau,lesportsouverts correspondantàdesservicesaccessibles,etlesystèmed'exploitationutiliséparcesserveurs. L'undesoutilslesplusconnuspourscannerunréseauestNmap,reconnupardenombreux administrateursréseauxcommeunoutilindispensableàlasécurisationd'unréseau.cetoutil agitenenvoyantdespaquetstcpet/ouudpàunensembledemachinessurunréseau (déterminéparuneadresseréseauetunmasque),puisilanalyselesréponses.selonl'allure despaquetstcpreçus,illuiestpossiblededéterminerlesystèmed'exploitationdistantpour chaquemachinescannée. Lorsquelebalayageduréseauestterminé,ilsuffitaupirated'examinerlesrapportsdesoutils utiliséspourconnaîtrelesadressesipdesmachinesconnectéesauréseauetlesportsouverts sur celles ci. Les numéros de port ouverts sur les machines peuvent lui donner des informationssurletypedeserviceouvertetdoncl'inviteràinterrogerleserviceafind'obtenir des informations supplémentaires sur les versions des principales applications serveurs (Apacheparexemple)danslesinformationsditesde«bannière». Aprèsavoirétablil'inventaireduparclogicieletéventuellementmatériel,ilresteaupirateà déterminersidesfaillesexistent.lorsquelepirateadresséunecartographiedesressourceset desmachinesprésentessurleréseau,ilestenmesuredepréparersonintrusion.pourpouvoir s'introduiredansleréseau,lepirateabesoind'accéderàdescomptesvalidessurlesmachines qu'ilarecensées.pourcefaire,plusieursméthodessontutiliséesparlespirates: L'ingénierie sociale. Ceci est généralement fait en se faisant passer pour l'administrateurréseau. Laconsultationdel'annuaireoubiendesservicesdemessagerieoudepartagede fichiers,permettantdetrouverdesnomsd'utilisateursvalides. L'exploitationdesvulnérabilitésdescommandesR*deBerkeley. Lesattaquesparforcebrute(bruteforcecracking). Lorsquelepirateaobtenuunouplusieursaccèssurleréseauense«logant»surunou plusieurscomptespeuprotégés,celui civachercheràaugmentersesprivilègesenobtenant unaccèsroot(enfrançaissuperutilisateur),onparleainsid'extensiondeprivilèges. Dèsqu'unaccèsrootaétéobtenusurunemachine,l'attaquantalapossibilitéd'examinerle réseauàlarecherched'informationssupplémentaires.illuiestainsipossibled'installerun sniffeur(enanglaissniffer),c'est à direunlogicielcapabled'écouter(letermerenifler,ouen anglaissniffing,estégalementemployé)letraficréseauenprovenanceouàdestinationdes machinessituéessurlemêmebrin.grâceàcettetechnique,lepiratepeutespérerrécupérer lescouplesidentifiants/motsdepasseluipermettantd'accéderàdescomptespossédantdes privilègesétendussurd'autresmachinesduréseau(parexemplel'accèsaucompted'un administrateur)afind'êtreàmêmedecontrôleruneplusgrandepartieduréseau.lesserveurs NISprésentssurunréseausontégalementdesciblesdechoixpourlespiratescarils regorgentd'informationssurleréseauetsesutilisateurs. Grâceauxétapesprécédentes,lepirateapudresserunecartographiecomplèteduréseau,des machiness'ytrouvant,deleursfaillesetpossèdeunaccèsrootsuraumoinsl'uned'entre elles. Unefoislacartographiedusystèmeétablie,lehackerestenmesuredemettreenapplication desexploitsrelatifsauxversionsdesapplicationsqu'ilarecensées.unpremieraccèsàune 11

22 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellementd'étendresesprivilègessurlamachine. Lorsqu'unpiratearéussiàinfiltrerunréseaud'entrepriseetàcompromettreunemachine,il peutarriverqu'ilsouhaitepouvoirrevenir.pourcefairecelui civainstalleruneapplication afindecréerartificiellementunefailledesécurité,onparlealorsdeportedérobée(enanglais backdoor,letermetrappeestparfoiségalementemployé). Lorsquel'intrusaobtenuunniveaudemaîtrisesuffisantsurleréseau,illuiresteàeffacerles tracesdesonpassageensupprimantlesfichiersqu'ilacréésetennettoyantlesfichiersde logsdesmachinesdanslesquellesils'estintroduit,c'est à direensupprimantleslignes d'activitéconcernantsesactions. Parailleurs,ilexistedeslogiciels,appelés«kitsracine»(enanglais«rootkits»)permettant deremplacerlesoutilsd'administrationdusystèmepardesversionsmodifiéesafinde masquerlaprésencedupiratesurlesystème.eneffet,sil'administrateurseconnecteen mêmetempsquelepirate,ilestsusceptiblederemarquerlesservicesquelepiratealancéou toutsimplementqu'uneautrepersonnequeluiestconnectéesimultanément.l'objectifd'un rootkitestdoncdetromperl'administrateurenluimasquantlaréalité. S'ils'agitd'unpirateexpérimenté,ladernièreétapeconsisteàeffacersestraces,afind'éviter toutsoupçondelapartdel'administrateurduréseaucompromisetdetellemanièreàpouvoir garderlepluslongtempspossiblelecontrôledesmachinescompromises.leschémasuivant récapitulelaméthodologiecomplète: Figure1 10:Etapesderéalisationd uneintrusioninformatique Latechniqued intrusionlaplusrépanduedanslemondenumériqueestcelleréaliséeàl aide ouparlesvirus.en1986déjà,l'arpanetfutinfectéàcausedebrain,unvirusqui renommait tous les disques de démarrage de système d exploitation en (C)Brain. Les créateursdecevirusydonnaientleurnom,adresseetnumérodetéléphonecarc'étaitune publicitépoureux. Lechampd'applicationdesvirusvadelasimpleballedeping pongquitraversel'écranau virusdestructeurdedonnées,cedernierétantlaformedeviruslaplusdangereuse.ainsi, étantdonnéqu'ilexisteunevastegammedevirusayantdesactionsaussidiversesquevariées, lesvirusnesontpasclassésselonleursdégâtsmaisselonleurmodedepropagationet d'infection.ainsiondistingueainsiplusieurstypesdevirus: lesverssontdesviruscapablesdesepropageràtraversunréseau 12

23 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lestroyens(chevauxdetroie)sontdesviruspermettantdecréerunefailledansun système (généralement pour permettre à son concepteur de s'introduire dans le systèmeinfectéafind'enprendrelecontrôle) lesbombeslogiquessontdesviruscapablesdesedéclenchersuiteàunévénement particulier(datesystème,activationdistante,...) Il existe aussi des virus polymorphes qui, lors de leurs réplications, modifie leur représentationpourempêcherlesanti virusdelesidentifierparleursignature.bienqu'en apparencecesviruschangent,leurfonctionnement(leurméthoded'infectionetleurcharge utile)restelemême.lesalgorithmesnesontpasmodifiés,maisleurtraductionenlangage machinel'est. Commelemontrelegraphesuivant,NetskyandNyxemétaientlesdeuxviruslesplus répandusentremaietjuin2008. Figure1 11:Top5desvirusenJuin2008 Ilyaaussilesespiogiciels(enanglaisspyware)quisontdesprogrammeschargésderecueillir desinformationssurlesutilisateursdel'ordinateursurlequelilssontinstallés(onlesappelle doncparfoismouchards)afindelesenvoyeràlapersonnequilesdiffusepourluipermettre dedresserleprofildesinternautes.lesinformationsrecherchéessontsouventlesmots clés saisisdanslesmoteursderecherche,lesachatsréalisésviainternet,lesurldessitesvisités, lesinformationsdepaiementbancaire(numérodecartebleue/visa)etc. Aprèsavoirparlébrièvementdesattaquesinformatiquesengénéraletplusparticulièrement desintrusionsinformatiques,nousallonsàprésentvoirquellessontlessolutionsetmesures desécuritéqu ilestpossibleactuellementdemettreenœuvrepourgarantirunniveau satisfaisantdesécuritéauseindessystèmesd informationsdesentreprisesetorganismes. I.3Lessolutionsenmatièredesécuritéinformatique Lescontrôlesphysiquesn assurentqu uneprotectionlimitéedesdonnéesetdesressources; d autressystèmesetoutilscommeceuxdelafigure1 12sontprimordiauxpourlaréalisation delasécuritélogiquedesdonnéesetdesressources. Onretrouvedanscegraphelesantivirusetlespare feu(firewall)entêtedelistedu classementdesmesuresdesécuritélesplusutiliséesen2007selonlesauteursdurapport2007 duglobalsecuritysurvey[glo07].toutescesmesuresdesécuritéprésentéesdansce graphevisentàgarantirlesservicesdesécuritéquenousallonsexpliciterdanslasoussection suivante. 13

24 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Plusloindanslatroisièmepartiedecedocument,nousnousintéresseronsauxsystèmesde surveillance et de protection contre les intrusions afin de mieux comprendre leur fonctionnementetlesavantagesqu ilspeuventprocurerauxentreprisesdansunestratégieà longterme. Figure1 12:Statistiquesdessystèmesdesécuritédéployésen2007 I.3.1Lesservicesetmécanismesdesécuritéinformatique Lesservicesdesécuritésontlescritèresprincipauxquedoiventsatisfairelessolutionsde sécuritéafindegarantirdemanièreméthodiqueetorganiséelasécuritédessystèmesetdes réseaux.ils agitsurtoutdeladisponibilité,l intégrité,laconfidentialité,l authentification, l autorisation,lanon répudiation,latraçabilité,l auditabilitéetlecontrôled accès. Lecontrôled accèsestunprocessusconsistantàlimiterlesdroitsd accèsauxressourcesdu système.onpeutcitertroistypesdecontrôled accès: Les contrôles d accès administratifs qui sont fondés sur les politiques générales.lespolitiquesdesécuritédel informationdoiventénumérerles objectifsdel organisationenmatièredecontrôled accèsauxressources,la prisedeconsciencedesnotionsdesécurité,l embaucheetlagestiondu personnel. Les contrôles logiques qui sont constitués des mesures matérielles et logiciellespermettantdelimiterl accèsauréseau,commeleslistesdecontrôle d accès,lesprotocolesdecommunicationetlechiffrement. Lescontrôlesphysiquesquiserventàempêchertoutaccèsphysiquenon autoriséprèsdeséquipementsouprèsdessallesquicontiennentlematériel critiqueconstituantleréseau.undesrisquesàcesbasniveauxestl utilisation derenifleursetd analyseursdepaquets. 14

25 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecontrôled accèsreposedoncsurlavérificationdel identité(authentification),puissur l accorddeprivilègesselonl identitéenquestion(autorisation)etenfinsurlefaitdenepas pouvoirnierourejeterqu unévénementaeulieu(nonrépudiation). Lecontrôled'accèsconsisteàvérifiersiuneentité(unepersonne,unordinateur, ) demandantd'accéderàuneressourceàlesdroitsnécessairespourlefaire.lecontrôlepeut êtreréaliséàl'aidedel'utilisationd'élémentspermettantl'authentificationdel'entité(par exempleunmotdepasse,unecarte,uneclé,unélémentbiométrique, ).Dessystèmeset protocoles comme Samba, Active Directory, LDAP et Radius permettent de gérer l authentificationsouventnécessaireauxcontrôlesd accèslogiques.lesmisesenœuvre concrètesdessolutionsdecontrôled accèssontlesanti virus,lespare feux,lessystèmesde détectionetdepréventiond intrusion. Encequiconcernelesmécanismesdesécurité,ils agitengénéraldesalgorithmesoudes techniquescryptographiquesquipermettentdefournirl ensembledesservicesdesécurité citésci dessus.iln existepasunsimplemécanismedesécuritéquifournissel ensembledes servicesdesécurité.cependant,unélémentparticulierestàlabasedelaplupartdes mécanismesdesécurité.ils agitduchiffrement. Lessystèmesdechiffrementfontappelàdesalgorithmesdechiffrementsouventcomplexes quimodifient,àl'aided'uneclédechiffrementplusoumoinslongue,lescaractèresàprotéger pourgénérerdesdonnéesapparemmentaléatoires.letextechiffré(cyphertext)peutalorsêtre transmissurunréseaunonsécurisé.eneffet,mêmes'ilestintercepté,ilnepourraêtre compréhensibleparuntiersquinepossèdepaslaclédedéchiffrementpermettantd'obtenirle texteinitialenclair(plaintext). Lapuissancedel'algorithme,latailledelacléutiliséeetlacapacitéàgarderlescléssecrètes defaçonsécuriséedéterminentlarobustessed'unsystèmedechiffrement.l'algorithmen'a pasbesoind'êtresecret.ilestmêmerecommandéqu'ilsoitpublicetpubliéafinquela communautéscientifiquepuissetestersarésistanceauxattaquesettrouverlesfaillesavant qu'unattaquantnelesexploite.garderunalgorithmesecretnerenforcepassasécurité. Unsystèmedechiffrementestditfiable,robuste,sûrousécurisé s'ilresteinviolable indépendammentdelapuissancedecalculoudutempsdontdisposeunattaquant.ilpeutêtre qualifiéd'opérationnellementsécurisésisasécuritédépendd'uneséried'opérationsréalisables enthéorie,maisirréalisablespratiquement(tempsdetraitementtroplongenappliquantles méthodesderésolutionconnuesetenutilisantlapuissancedecalculdisponible). Ilexistedeuxtypesdechiffrement: Chiffrementsymétrique Lesystèmedechiffrementestqualifiédesymétriquesi,pourchiffreroudéchiffreruntexte,il fautdétenirunemêmeclépoureffectuercesdeuxopérations.l'émetteuretlerécepteur doiventposséderetutiliserlamêmeclésecrètepourrendreconfidentiellesdesdonnéeset pourpouvoirlescomprendre. Chiffrementasymétrique Unsystèmedechiffrementasymétriqueestbasésurl'usaged'uncoupleuniquededeuxclés complémentaires,calculéesl'uneparrapportàl'autre.cettepairedecléestconstituéed'une clépubliqueetd'unecléprivée.seulelacléditepubliquepeutêtreconnuedetous,tandisque lacléprivéedoitêtreconfidentielleettraitéecommeunsecret.ondoitconnaîtrelaclé publiqued'undestinatairepourluienvoyerdesdonnéeschiffrées.illesdéchiffreraàleur réceptionavecunecléprivéequ'ilestleseulàconnaître.lemessageestconfidentielpourle destinatairedanslamesureoùluiseulpeutledéchiffrer. 15

26 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS I.3.2Classificationetprincipesdesmesuresdesécurité Lesmesuresdesécuritésedistinguent(figure1 13)etseclassifientselonleurniveau d'intervention. Elles contribuent toutes à protéger les ressources critiques de menaces particulières.plusieurstypesgénériquesdemesuresdesécuritésontidentifiés: Lesmesuresstructurelles,commel'occultationdesressources,lesredondances,la fragmentation de l'information, par exemple, qui réduisent la vulnérabilité des ressourcesenagissantsurlastructureetl'architecturedusystèmed'information. Les mesures de dissuasion qui autorisent une prévention en décourageant les agresseursdemettreàexécutionunemenacepotentielle.ilpeuts'agirdeprocédures juridiquesetadministrativestouchantàlasensibilisationetàlagestiondesressources humaines,auxconditionsdetravailouauxmoyensdedétectionetdetraçage. Lesmesurespréventivesquiserventdebarrièreafind'empêcherl'aboutissementd'une agression(incident,malveillance,erreur,etc.)etfontensortequ'unemenacen'atteigne passacible.lesprocéduresdecontrôlesd'accèsphysiqueetlogique,lesdétecteursde virus,entreautres,peuventjouercerôle. Les mesures de protection qui ont pour objectifs de réduire les détériorations consécutivesàlaréalisationd'unemenace.enparticulier,lescontrôlesdecohérence, lesdétecteursd'intrusion,d'incendie,d'humidité,d'erreursdetransmission,etles structurescoupe feupermettentdeseprotégerdesagressionsoud'enlimiterl'ampleur. Les mesures palliatives ou correctives, telles que les sauvegardes, les plans de continuité,lesredondances,lesréparationsoucorrectionsparexemple,quipallientou réparentlesdégâtsengendrés. Lesmesuresderécupérationquilimitentlespertesconsécutivesàunsinistreetréduisentle préjudicesubiparuntransfertdespertessurdestiers(assurance)ouparattributionde dommagesetintérêtsconsécutifsàdesactionsenjustice. Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité Ilexistedesscanneursdevulnérabilitépermettantauxadministrateursdesoumettreleur réseauàdestestsd'intrusionafindeconstatersicertainesapplicationspossèdentdesfaillesde sécurité.lesdeuxprincipauxscanneursdefaillessont: Nessus SAINT Ilestégalementconseilléauxadministrateursderéseauxdeconsulterrégulièrementlessites tenantàjourunebasededonnéesdesvulnérabilités: 16

27 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS SecurityFocus/Vulnerabilities Ainsi,certainsorganismes,enparticulierlesCERT(ComputerEmergencyResponseTeam), sontchargésdecapitaliserlesvulnérabilitésetdefédérerlesinformationsconcernantles problèmesdesécurité. CERTISTdédiéàlacommunautéIndustrie,ServicesetTertiairefrançaise, CERTISTdédiéàl'administrationfrançaise, CERTRenaterdédiéàlacommunautédesmembresduGIPRENATER(Réseau National de télécommunications pour la Technologie, l'enseignement et la Recherche). Auniveaudesmesuresdesécuritéaussidesévolutionsontétéobservées.Enprenantpar exemplelecasdespare feux,lestoutpremiersétaientdits«stateless»ousansétat.unpare feusansétatregardechaquepaquetindépendammentdesautresetlecompareàunelistede règlespréconfigurées. Ladeuxièmegénérationdepare feuestlepare feuàétatsou«statefull».certainsprotocoles dits«àétats»commetcpintroduisentlanotiondeconnexion.lespare feuàétatsvérifient laconformitédespaquetsàuneconnexionencours. Latroisièmegénérationdepare feuestlepare feuapplicatif.dernièrevéritablemouturede pare feu,ilsvérifientlacomplèteconformitédupaquetàunprotocoleattendu.parexemple, cetypedepare feupermetdevérifierqueseulduhttppasseparleporttcp80. Laquatrièmegénérationdepare feuestlepare feuidentifiant.unpare feuidentifiantréalise l identificationdesconnexionspassantàtraverslefiltreip.l'administrateurpeutainsidéfinir lesrèglesdefiltrageparutilisateuretnonplusparip,etsuivrel'activitéréseauparutilisateur. Lacinquièmegénérationdepare feuestlepare feupersonnel.lespare feuxpersonnels généralementinstalléssurunemachinedetravail,agissentcommeunpare feuàétats.il s agitenfaitdenouveauxantivirusquiintègrentdespare feux.aujourd hui,toutesces évolutionsdespare feuxontconduitàunesituationtellequ iln estplusaisédedifférencier leseffetsd unpare feuclassiqueetceuxd unantivirus. Aprèslespare feuxsontapparuslesconceptsderéseauxprivésvirtuels(vpn).ensuitecefut letourdessystèmesdedétectionetdepréventiond intrusions.cessystèmesquisontréputés êtreplusfiablesquelespare feuxserontanalysésetdécortiquésdanslatroisièmepartiedece documentcarilsviennentenréponsesauxattaquescibléesquisemanifestentsouventsousla formed intrusionsinformatiques. Etantdonnél'augmentationdesmenacescombinées,duspametdesattaquesdephishing,il n'ajamaisétéaussiimportantdecommuniqueràl'utilisateurquelssontlesmeilleursmoyens deseprotéger. Uneéthiquesécuritairedoitêtredéveloppéeauseindel'entreprisepourtouslesacteursdu systèmed'information.elledoitsetraduireparunechartereconnueparchacunetparun engagementpersonnelàlarespecter.lasignaturedelachartedesécuritédoits'accompagner desmoyensauxsignatairesafinqu'ilspuissentlarespecter. Deplus,ilestégalementnécessaired'éduquer,d'informeretdeformerauxtechnologiesde traitementdel'informationetdescommunicationsetnonuniquementàlasécuritéetaux mesuresdedissuasion.lasensibilisationauxproblématiquesdesécuriténedoitpasselimiter àlapromotiond'unecertaineculturedelasécuritéetdesonéthique.enamontdelaculture sécuritaire,ildoityavoiruneculturedel'informatiquecequicorrespondàlanotionde permis de conduire informatique que prône le Cigref (Club informatique des grandes entreprisesfrançaisesdontlesiteinternetestwww.cigref.fr). 17

28 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS L'auditestuneprocéduredecontrôledelagestiond'uneactivitéetdel'exécutiondeses objectifs.enmatièredesystèmesd'information,l'auditdesécuritéapourobjectifdemesurer l'écartentrelasituationexistante(surlesplansorganisationnels,procédurauxettechniques)et lapolitiquedesécuritédel'entreprise,lesbonnespratiquesetl'étatdel'art. Unauditdesécuritédoitconduire,audelàduconstat,d'unepartàmesurerlesrisques opérationnelspourledomaineétudié,etparextensionpourtouteoupartiedesactivitésde l'entreprise,etd'autrepartàproposerdesrecommandationsetunpland'actionsquantifiéeset hiérarchiséespourcorrigerlesvulnérabilitésetréduirel'expositionauxrisques. Lesauditsfontintervenir: Soituneéquipepluridisciplinaired expertsinterneàl entreprise; Soituneéquipepluridisciplinairecomposéedeconsultantsetd'ingénieurs(experts dansleursdomaines)externesàl entreprise. Lestestsd'intrusion(enanglais«penetrationstests»,abrégéenpentests)consistentà éprouverlesmoyensdeprotectiond'unsystèmed'informationenessayantdes'introduiredans lesystèmeensituationréelle. Ondistinguegénéralementdeuxméthodesdistinctes: Laméthodedite «boîtenoire» (en anglais «blackbox»)consistantàessayer d'infiltrerleréseausansaucuneconnaissancedusystème,afinderéaliseruntesten situationréelle; Laméthodedite«boîteblanche»(enanglais«whitebox»)consistantàtenterde s'introduiredanslesystèmeenayantconnaissancedel'ensembledusystème,afin d'éprouveraumaximumlasécuritéduréseau; Untestd'intrusion,lorsqu'ilmetenévidenceunefaille,estunbonmoyendesensibiliserles acteursd'unprojet.acontrario,ilnepermetpasdegarantirlasécuritédusystème,dansla mesureoùdesvulnérabilitéspeuventavoiréchappéauxtesteurs.lesauditsdesécurité permettentd'obtenirunbienmeilleurniveaudeconfiancedanslasécuritéd'unsystèmeétant donnéqu'ilsprennentencomptedesaspectsorganisationnelsethumainsetquelasécuritéest analyséedel'intérieur. Aprésent,nousallonspasseràl étatdeslieuxdelasécuritéinformatiquedanslemonde. I.4 Etat des lieux de la sécurité informatique dans le monde Pour mieux prendre conscience de la problématique de la sécurité informatique et de l Internet,leschercheurssebasentsouventsurdesétudes,recherchesdelaboratoire,enquêtes etconstatsdescentresspécialisésdanslacollectedesinformationsconcernantl informatique etsonévolution. LeComputerCrimeandSecuritySurvey(CCSS CSI)réalisechaqueannéeundessondages lespluspertinentsauxetats Unisausujetdesproblèmesmenaçantlasécuritéinformatique. Elle mène ses recherches auprès des organismes gouvernementaux, institutions civiles, multinationales,universités,hôpitauxetc.le12èmesondageannuelducsiencollaboration aveclefederalbureauofinvestigation(fbi)afournideschiffresetstatistiquesalarmantssur l étatdelasécuritéinformatiqueetdel Internetencequiconcernel année

29 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LeGlobalSecuritySurvey,uneautreétudenonmoinsintéressanteémanedu«ItRisk ManagementAndSecurityServices»duGroupe«GlobalFinancialServicesIndustry (GFSI)».Cegroupeappartientaucabinetd auditetdeconseilbritannique«deloittetouche Tohmatsu(DTT)».Lesdomainesd activitédecettemultinationalesontl audit,lejuridique, lafinance,l expertisecomptable,lacertification,lafiscalité,laconsultationengestionetles conseilsfinanciers.ilpossèdeplusde150000collaborateursdanslemondeavecunchiffre d affaires élevantà23,1milliardsdedollarspourl exercice Cegroupeest présentàtravers69firmesdans142paysàtraverslemonde. LeClubdelaSécuritédel InformationFrançais(CLUSIF)aussiréalisechaqueannéeun rapportintitulé«lesmenacesetlespratiquesdesécurité».lerapport2008duclusifa concerné354entreprisesdeplusde200salariés,194collectivitéslocaleset1139individus issusdupaneld'internautesdel'institutspécialiséharrisinteractive. Figure1 14:Statistiquesdesréponsesparsecteurd activité TandisquelessondagesduCSIetduCLUSIFsefocalisentsurunepopulationtrèsdiversifiée maislimitéerespectivementauxetats Unis(figure1 14)etenFrance,lesondageduGFSI s intéresseplutôtauxinstitutionsfinancièrescommelesbanquesetlesfirmesd assurance danslemondeentier(figures1 15et1 16). Figure1 15:Statistiquesdesréponsesparsituationgéographique 19

30 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage Aprèsuneanalyseapprofondiedesrésultatsdecestroissondages,lepremierconstatquenous pouvonsfaireestquel ensembledesattaquesportéescontrelessystèmesetlesréseaux informatiques des entreprises et des organisations leur causent des pertes financières considérablesetd énormesdommagesencequiconcerneleurimageetleurréputation(lecas desdénisdeservice). Enanalysantlegraphiquedelafigure1 17tirédurapportduCSI,rienqu auxetats Unis,on estimelespertescauséesparlesfraudesfinancièresà$ et$ encequi concernelesvirusetlesspywares.toutcecirienqu en2007.lesfraudesfinancièresont doncprislapremièreplacequiétaitoccupéparlesvirus. Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques LesauteursdurapportduCSIontestiméquelespertesfinancierscauséesparlesdiverstypes d incidentsdesécuritéontconnuunebaisseprogressivecescinqdernièresannéesycompris enl an2006maispaspourl année2007.eneffet,letotaledespertesen2007(mêmesile 20

31 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS nombredepersonnesayantréponduàcettequestionrelativeauxpertesadiminué:194)aété estiméà$ cequiestunehaussesignificativecaren2006cetotalétaitde $ pour313réponsesobtenues. Lameilleuremanièred appréciercespertesfinancièresestdelesvoirsousformedemoyenne despertesparpersonneinterrogée(organismeoureprésentantayantparticipéausondage)et c estjustementcequemontrelafigure1 18.Cetteannée,lamoyennedespertesparpersonne interrogéeestde$345005cequireprésenteunetrèsfortehausseparrapportaurésultatde l an2006quiétaitde$ Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés. Lesmesuresdesécuritéprisesengénéralparlesorganisationscontrelesattaquessontbasées sur des composants et logiciels comme les antivirus et les pare feux qui ne sont fondamentalement pas parfait en raison de l évolution quasi quotidienne des menaces informatiques.celaestdûengrandepartieaufaitquecestechnologiessebasentsurla détectionpardessignatures.cetteapprocheparrecherchedesignaturedesmenacesconnues n estpastoujourstrèspratiquecarlesconcepteursdelogicielsmalveillants(virusetautres) ontprogressivementaugmentélasophisticationdeleursoutilsàunpointtelqu illeurest possibled outrepasserlesanti virusquasimentàvolonté(selonlesauteursdelapremière étude).certesc estsouventpouruncourtmoment(letempsquelesconcepteursd antivirus réagissent)maiscescourtsmomentssontsouventsuffisantspourcesmalfaisantspourréaliser leursméfaits. L usagedel informatiqueetd Internetàlamaisonestmaintenantlargementbanalisé.Le comportementdesutilisateursdel informatiqueenentrepriseestdeplusenplussouvent influencéparlapratiqueprivée,etlesfrontièresentrelesdeuxmondesdeviennentplus floues.l enquêteduclusifmontrequ untiersdesinternautesutilisentl ordinateurfamilial aussiàdesfinsprofessionnelles(figure1 19),cequiposequelquesquestionssurlaprotection desdonnéesdel entreprise Etsilesinternautessontglobalementprudentsdèsqu ils agit d achatsurinternet,etsemblentconscientsdel utilitédesoutilsdeprotection(antivirus,pare feupersonnels,etc.),ilsnesesententquepouruneminoritéd entreeuxvéritablementen«insécurité»surinternet. 21

32 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 19:Typesd usagedel ordinateurfamilial Pendantqueleslogicielsmalveillantsdeviennentdeplusenplussophistiqués,lessystèmes d exploitationactuelsdeviennentdeplusenpluscomplexes,comportantainsiuneinfinitéde vulnérabilités.ilsuffitdeconsulterlesbulletinsd informationdescertpourconstaterqu on endécouvrequasimenttouslesjours. Danscecontexteoùlesvirus,leschevaux de Troieetlesautreslogicielsmalveillants deviennentdeplusenplussophistiqués,onassisteàlarecrudescenced untyped attaquesqui était encore il y a cinq ans seulement évoqués dans les débats théoriques sur la cybercriminalité.aujourd huiceladevientuneréalitésionencroitlafigure1 20: Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées Ils agitdesattaquesciblées.selonlesauteursdusondage2007ducsi,cen estqu encette année(2007:annéedurapportactuel,c'est à direlerapportleplusrécentducsicarceluide 2008sortiraendébut2009)quecettequestionaétéajoutéedanslesformulairesdusondage. 32%deceuxquiontréponduàcettequestionestimentavoireffectivementessuyéscetype d attaque(figure1 20).Lesattaquescibléessontplusdifficilesàdétecterquelesattaques génériquesetconventionnellesquesubitl ensembledelacommunautédesutilisateursdes ressourcesinformatiques.c estpourquoiellessontplusdangereusescarlessystèmesvisésla plupartdutempsnes enrendentmêmepascompte(ouelless enrendentcompteparfoisbien longtempsaprès).etantdonnéquelesattaquescibléesréussissentleplussouventàatteindre leursobjectifs,silescriminelsquilefontsontattirésparl appâtdugain,ilestfortpossible quedanslesprochainsrapportsducsietdugfsi,onendénombreraencorebeaucoupplus. Par ailleurs, la demande croissante de mobilité et d interopérabilité des fonctions informatiquesetdelasécuritéaprogressivementconduitàunegrandevariétédemoyensde communication.toutescesméthodesettechniquesapportentbiensûrellesaussileurslotsde risquesenmatièredesécuritéinformatique.lesauteursdurapportduglobalsecuritysurvey [GLO07]rapportentainsique77%despersonnesetorganismesinterrogésontindiquésqu ils avaientfaitl expériencedeplusieurscasrépétésdedécouvertesdebrèchesdesécuritédans leursréseauxousystèmesinformatiques. Iln estdéjàpasbonsignededécelerdesbrèchesdanssonsystèmedesécuritémaisquand uneouplusieursmêmesbrèchesréapparaissentplusieursfoisdesuite(découverte,fermeture ensuiteredécouverte),celadevientunsérieuxrisquepourl entrepriseoul organisationetily alieudevraiments inquiéteretd approfondirlesinvestigations. Lesbrèchesdesécuritécauséesparlesvirusetleschevaux de Troiesontsouventplus fréquentsqueceuxcauséesparlesemployéstantintentionnellementqu accidentellement.le tableaudelafigure1 22montreunaperçugénéraldesréponsesobtenuesencequiconcerne lesbrèchescauséespardesfacteursexternes.ilestparticulièrementinquiétantdeconstater 22

33 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS quepourl année2007,lesattaquespare mail(spamsetspyware)ontprislapremièreplace danslalisteavec52%despersonnesinterrogéesquiontrapportéslesavoirsubit. Encequiconcernelesbrèchescrééespardesfacteursinternesauxorganismes(tableau1 1), ilestheureuxdeconstaterquelesincidentsdugenrevirus,versoufraudesfinancièresont largementbaisséscestroisdernièresannées.de31%en2005,onestpasséà28%en2006 puisà18%en2007.toutefoislescasd accidents(13%)etdepertesdesdonnéesprivéesdes clients(8%)ontétésignaléspourlapremièrefoisdanslerapportdecetteannéeselonle tableau1 2. Tableau1 1:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs Tableau1 2:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs SelonlesauteursdusondageduGFSI,parmilesdommagesoccasionnésparcesbrèches,58% sontdespertesfinancièresdirectes,30%despertesindirecteset12%despertessonttouchent négativementàlaréputationdesentreprises. LesauteursdusondageGFSIsoulignentaussilefaitqu àlaquestiondesavoirsileur organisation va au delà de l authentification par des mots de passe pour réaliser les transactionssurinternetavecleursclients,unpeuplusdelamoitié(51%)ontrépondupar l affirmativetandisque14%et7%ontréponduêtresurlepointdelefairerespectivement dansles12et24moisprochains. Quantàlaquestiondesavoirsiunévénementanormal(desévénementsautrequeceuxdu typeanalysecomplèteetrapideduréseaupardessniffers)aétéconstaté,46%despersonnes sondéesontréponduparl affirmativeselonlesauteursdurapport2007dusondageducsi. Cepourcentageestenbaisseparrapportau52%del année2006,au56%del année2005et surtoutaupicde70%del an

34 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Danslemêmesens,ilaétédemandéauxpersonnessondéesd estimerlenombred incidents qu ilsauraientessuyésdurantles12derniersmois(2007).lafigure1 21indiquequele nombred incidentsdétectésasignificativementaugmentésurtoutencequiconcernela tranchedeceuxquiontestiméavoirsubitplusde10attaques(de9à26%). Figure1 21:Statistiquesdunombred incidentssubitces12derniersmoisparlesorganisations. Lafigure1 22montrelepourcentagedesattaquesprovenantdel intérieurmêmedes entreprisesetdesorganisationsauxetats Unis.Commeonpeutlevoir,27%despersonnes sondéesattribuentmoinsde20%deleurspertesfinancièresauxmenacesinternes.37%des personnesinterrogéesestimentlepourcentagedeleurspertesattribuéesauxmenacesinternes entre20et40%.etseulement5%delapopulationsondéeattribueplusde80%deleurs pertesauxmenacesinternes. Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise. Encequiconcernelesentreprises,l édition2008durapportduclusiffaitressortirun inquiétantsentimentdestagnation.entre2004et2006desprogrèsnotablesavaientétéfait, enparticulierdansledomainedelaformalisationdespolitiquesetdeschartesdesécurité. Maisdepuis,ilsemblebienquelamiseenapplicationconcrètedecespolitiquessoitrestéeun vœupieu.40%desentreprisesnedisposenttoujourspasdeplandecontinuitéd activitépour traiterlescrisesmajeures,contre42%en2006(figure1 23).Et30%d entreelledisentne pasêtreenconformitéaveclaloiinformatiqueetliberté 24

35 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI Selonlediagrammeissudelafigure1 24durapportduCLUSIF,59%desentreprisesdisent réaliseruneveillesystématiqueoupartiellesurlesnouvellesfaillesdesécuritéetsurles nouvellesattaques. Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité Lesgrandesentreprisesdéclarentplussouventréaliseruneveillesystématique,c'est à dire couvranttrèslargementlepérimètredeleursenvironnementstechniques. Cechiffreresteà peuprèsstableparrapportà2006.lesentreprisesn ontglobalementpasrenforcéleur vigilancevis à visdesmenaces. Selonlesauteursde[CSI07],touteslescatégoriesd attaquesonttendanceàdiminueren nombredepuisquelquesannées.pourtant,pourl année2007,unehausseaétéconstatéeence quiconcerneparexemplelesabusliésaupersonnelinternedesentreprises(insiderabuseof networkaccessor )commelesvisitesdessiteswebpornographiquesoul utilisationdes logicielspiratés.de42%en2006onestpasséà59%.enoutre,pourlevoldesordinateurs portablesetautresaccessoiresmobiles,ondéploreaussiunelégèrehaussede47%à50%. Encequiconcernelepourcentagedesentreprisesouorganismesayantsubitdesincidentssur leursiteweb,lafigure1 25parled ellemême.40%desorganismesinterrogésestimentavoir essuyéentre1et5incidentsdecetype. 25

36 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleursitesweb. SelonlesauteursdurapportduCSIde2007[CSI07],lepourcentagedesorganisationsqui ont rapporté des intrusions dans leurs réseaux ou systèmes informatiques continue d augmenteraprèsavoirconnuunelonguepériodedebaisse(duecertainementaumanquede confiancedanslescertautourdesannées2000).cetteannée,29%desorganisationsqui ontparticipéausondagedisentavoirinformélesinstitutionscommelescert.c estune légèrehausseparrapportà2006(25%).lafigure1 26montrejustementlepourcentagedes actionsetmesuresdesécuritéprisesengénéralsuiteàuneattaqueouàunincidentde sécurité. Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident. Degrosseslacunesdanslacompréhensiondessituationsàrisqueontétéconstatéesparles auteursdurapportduclusif.pourlesinternautesinterrogéssurlescomportementsetles situationsàrisque,l'absencedeprotectionsvis à visdesmenacesviralesarrivelogiquement enpremièreplace(figure1 27). 26

37 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes Nousdevonsnoterlebesoind éducationetdesensibilisationauxbonnespratiquesdes utilisateursquiconsidèrentmajoritairementquenepasmettreàjourleurssystèmeset navigateursn augmentepasfortementlesrisques,alorsqu enpratique,c estprimordial.un systèmed exploitationpasàjour,mêmedotéd unantivirus,seralaplupartdutemps vulnérableauxattaquesexternes. Pourconclureleurrapport,lesexpertsduCLUSIF[MEN08]ontaffirméque:«la menacenefaiblitpasetnotreenquêtemontredenouveauquelesmalveillancesetles incidentsdesécuritésontbienréels,avecuneprésencetoujoursactivedesattaquesvirales, desvolsdematériel,etunaccroissementdesproblèmesdedivulgationd informationetdes attaqueslogiquesciblées.etl actualitérécenten acessédedémontrerlesgravesimpactsdes déficiencesenmatièredesécurité(fraudebancaire,divulgationdedonnéespersonnelles, etc).sortirdespolitiquesdesécurité«alibi»,quel onrédigepoursedonnerbonne conscience,pourallerversdespratiquesconcrètes,réellementancréesdanslesprocessusde gestiondel information,voilàdoncl enjeupourlesannéesàvenir» Quantauxauteursdesdeuxautresrapports[GLO07],[CSI07],ilss accordentpourdireque mêmes ilestmaldeprojeterlatendancedesrésultatsd uneseuleannéeauxannées prochaines,ilyanéanmoinsunefortesuggestionexprimantquelesmenacesémergentes commencentàsematérialiserendespertesfinancièresenfortecroissance.ilss accordent aussiàdirequelesnouvellesmenacesprennentdel ampleur(lesattaquescibléespar exemple). Gartner[CSI07]aestiméquelerevenumondialdeslogicielsdesécuritéestmontéà$7,4 milliardsen2005,uneaugmentationde14,8%durevenude2004quis élevaità$6,4 milliards;$4milliardsdecemontantconstituaitlerevenugénéréparleslogicielsanti virus. End'autrestermes,l'identificationdesmodèlesdeviruscomptaitpour54,3%detoute l'industriedeslogicielsdesécurité.enoutre,leslogicielsanti virusnesontpaslesseulsoutils desécuritéquiutilisentlarecherchebaséesurlessignatures.laplupartdeslogicielset matérielsdepare feufonctionnentselonlemêmeprincipe,pourtantcestechniquesde rechercheparsignaturesdeviennentinsuffisantsnotammentcontrelesattaquesciblées.les 27

38 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS piratesaméliorentleurslogicielsetoutilsmalveillantsàunpointoùladétectionpardes signaturesn estplusaussiefficacequ àsesdébuts. L undesproblèmesmajeuresauquellemondedestechnologiesfaitfaceactuellementestque lessystèmesd exploitation,lesapplicationsetleslogicielsquisontdéveloppésaujourd hui utilisentdestechnologiesetdescomposantstellementcomplexes(souventsousleprétexte d unmeilleurdesign)qu ilsregorgentmalheureusementdemultiplesvulnérabilitésqueles CERT découvrent et publient quasiment chaque jour. Pendant ce temps, les criminels informatiquesconçoiventdeslogicielsetoutilsdeplusenplussophistiqués.ainsi,pendant que les pirates disposent d armes de plus en plus performantes, les grandes firmes informatiques(microsoftetautres)leuroffrentsurdesplateauxdesciblesparfaitesquesont lesutilisateursfinaux(organisations,entreprisesetparticuliers). Danslepassé,lalutteausujetdelasécuritéinformatiqueavaitlieuentrelesprofessionnelsde lasécuritédesentreprisesetlescriminelsquiattaquaientleursréseaux.aujourd huic est devenuencorepluscompliqué.lescriminelsattaquentàlafoislesréseauxdesentrepriseset lesdonnéespersonnellesdesclientsdecesentreprises.c'est à direqu ilsvolentcesdonnées auseindesentreprisesetlesemploientaprèspourattaquerlesdifférentsclients. Unautreconstatestquel ensembledesfirmesdehautestechnologiessembleseconcentrer sérieusementsurlarénovationdessystèmesdegestiond'identité(figure1 28). Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen2007. C estunetendancequi,sielleréussit,pourraittrèsbiencourt circuitercetterecrudescencede cybercrimesquenousconstatonsdepuislesannées2000.eneffet,ilserabeaucoupplus difficiled'utiliserdesastucesinformatiquespourcommettredescrimesenlignesiles utilisateurssontobligésdes authentifiersanséquivoque,enemployantdesidentifiantsplus fiablesquedesadressese mail.lorsqu ilscommettrontdesinfractions,ilseraalorsfacilede retrouverleursnomsetadressesdanslemonderéel.c estpourquoilesentreprisesquiont participéausondagedugfsiontmisentêtedeleurlistedeprioritéslarénovationdeleur systèmedegestiond identitéscommelemontrelafigure1 28. Unegestiond'identitéplusrigoureuse(enparticulieravecdesprotectionsplusappropriéesde lavieprivée)pourraitêtreunebonnecarteàjouerpourlesentreprises(d autresentreprennent également les révisions de leurs applications pour les rendre moins vulnérables) qui désireraientselibérerdelamenaceoudel emprisedespirates. Arrivésàlafindecettepremièrepartie,nouscomprenonsclairementquelasituationdela sécuritéinformatiqueesttoutdemêmeinquiétante.commenousledisionsunpeuplushaut, pendantquelescybercriminelsdeviennentdeplusenplusnombreuxetquedesoutils permettantdemenerdesattaquesinformatiquesdeviennentdeplusenplusdisponiblesen libre téléchargement sur Internet, le nombre de failles ou de brèches des nouvelles applicationsetsystèmesd exploitationaugmenteégalementàgrandevitesse.l évolutiondes menaces informatiques suit donc l évolution de l informatique elle même et celle des 28

39 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS technologiesengénéral.leconstatestdoncquelesproblèmesdesécuritéinformatiquessont multiformesetmultidimensionnels(humains,juridiques,techniquesetc.)etfaceàcette complexité,ilexistedemultiplessolutionsparmilesquelsnousavonscitélechiffrement,les pare feux,lessystèmesdeprotectioncontrelesintrusionsetc. Leproblèmequiressortestdoncdesavoircommentmettreenœuvrecessolutionsdemanière àpouvoirrépondreefficacementetparconséquentdepouvoirréellementbienseprotégerde cesmenacesmultiplesetcomplexes. Danscecontexte,lasolutionqueproposentlesexpertsensécuritéestladéfinitionetlamise enapplicationd unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Lesresponsablesdesécuritéontdoncledevoirdefairetoutleurpossiblepourgarantirau mieuxlasécuritédansleursorganismesrespectifsenmettantenplacedesstratégiesde sécuritéadéquates.c'est à diredesstratégiesdesécuritéquiconviennentlemieuxaux prioritésdeleursorganismes.c estpourquoi,nousallonsdansladeuxièmepartiedenotre documentvoircequ estréellementunestratégiedesécurité. 29

40 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre2:Lesstratégiesdesécuritédessystèmes d information Lesprincipalespréoccupationsdesacteursdelasécuritésontrelativesàl appréhension globale de la maitrise des risques technologiques et informationnels via une approche intégrative et évolutive, tenant compte des facteurs d ordre humain, technologique, économiqueetpolitiquedesquestionsdesécurité. Entrebesoinsetsolutionsdesécurité,entrefacilitéd utilisationetefficacitédessolutionsde sécurité,entredélaisdedisponibilitédesolutionsefficacesetcoûtsdedéveloppementet d intégration,entreniveaudesécuritéetcoûtsdessolutions,l équilibreàtrouverpasseparun compromis.cedernier,résultatémanantduchoixconsistantàprivilégierunfacteurau détrimentd autres.unéquilibreestàobtenirentrelesbesoinsdesécuritéetlesdimensions financièresethumainesdelamiseenœuvreopérationnelledessolutionsdesécuritéviables. Leniveaudesécuritédesinfrastructuresrésultedoncd uncompromisentretroisprincipaux facteurs:lecoût,leniveaudesécuritéetletempsdelivraison.ilestillusoiredecroireque cestroisfacteurspourraientêtresatisfaisantssimultanément.deschoixdoiventêtreeffectués pourdéterminerlefacteuràfavoriseretàpartirduquel,lesdeuxautresdevrontêtreadaptés. Lasécuritéinformatiqued uneorganisationdoits appréhenderd unemanièreglobale.elle passeparladéfinitiond unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Cettedernièrecomporteralamotivationetlaformationdupersonnel,lamiseenplacede mesuresainsiqueparl optimisationdessolutions.l utilisationd outilsoudetechnologiesde sécuriténepeutpasrésoudrelesproblèmesdesécuritéd uneorganisation.enaucuncas,elle nesesubstitueàunegestioncohérentedel ensembledesproblèmesdesécurité. L abandondespolitiquesdesécurité«alibi»qu onrédigejustepoursedonnerbonne conscience,etl évolutionversdespratiquesconcrètesréellementélaboréesdanslesprocessus degestiondel information,voiladoncledéfitdesannéesfutures. II.1Définitionsetconceptsdesstratégiesdesécurité II.1.1Définitions L'objetdelasécuritépeutsedéfinircommeunecontributionàlapréservationdesforces,des moyensorganisationnels,humains,financiers,technologiquesetinformationnels,donts'est dotée une organisation pour la réalisation de ses objectifs. La finalité de la sécurité informatiqueauseind'uneorganisationestdegarantirqu'aucunpréjudicenepuissemettreen périllapérennitédel'entreprise.celaconsisteàdiminuerlaprobabilitédevoirdesmenaces seconcrétiser,àenlimiterlesatteintesoudysfonctionnementsinduits,etàautoriserleretour àunfonctionnementnormalàdescoûtsetdesdélaisacceptablesencasdesinistre. Unestratégiedesécuritéconsistedoncàconcevoiruneconduitegénéraledeprotection, d'organisationdeladéfense(démarcheproactive)etd'élaborationdeplansderéaction (démarcheréactive).elles'inscritdansuneapproched'intelligenceéconomiqueafinde permettreunevéritablemaîtrisedesrisquesopérationnels,technologiquesetinformationnels. 30

41 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 1:Objectifsdelasécurité Unrisqueestundangeréventuelplusoumoinsprévisible.Ilsemesureàlaprobabilitéqu'il seproduiseetauximpactsetdommagesconsécutifsàsaréalisation.unrisqueexprimela probabilitéqu'unevaleursoitperdueenfonctiond'unevulnérabilitéliéeàunemenace,àun danger. Lamaîtrisedesrisquesinformatiquesconsisteàlesréduireàunniveauacceptablepour l'organisationafind'éviterdemettreencausesaproductivitéetsapérennité. Lafrontièreentrelerisqueacceptableetceluiquinel'estpasestparfoisdifficileàdéterminer objectivementcar,elledépendfortementdesobjectifsdel'organisationetdudegrédecriticité desesressources. II.1.2Conceptsdesstratégiesdesécurité Lamiseenplaced unestratégiedesécuritéreposesurdesinvariantsqui,s ilssontadoptés parl ensembledel organisation,facilitentlamiseenplaceetlagestiondelasécurité.il s agitdesprincipesdebasesuivants: Principedevocabulairequiestuneabsoluenécessitédes accorder,auniveaude l organisation,surunlangagecommundedéfinitiondelasécurité; Principedecohérence,caruneaccumulationd outilssécuritairesn estpassuffisante pourréaliserunniveauglobaletcohérentdesécurité.lasécuritéd unsystème d information résulte de l intégration harmonieuse des outils, mécanismes et procéduresliésàlaprévention,àladétection,àlaprotectionetàlacorrectiondes sinistresrelatifsàdesfautes,àlamalveillanceouàdesélémentsnaturels; Principe de volonté directoriale qui résulte directement de la considération de l information comme ressource stratégique de l entreprise. Il est donc de la responsabilitédesesdirigeantsdelibérerlesmoyensnécessairesàlamiseenœuvreet àlagestiondelasécuritéinformatique; Principefinancier:lecoûtdelasécuritédoitêtreenrapportaveclesrisquesencourus. Lebudgetconsacréàlasécuritédoitêtrecohérentvis à visdesobjectifsdesécurité fixés; 31

42 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Principedesimplicitéetd universalité:lesmesuresdesécuritédoiventêtresimples, souples,compréhensiblespourtouslesutilisateursetdoivents appliqueràl ensemble dupersonnel; Principededynamicité:lasécuritédoitêtredynamiquepourintégrerladimension temporelledelaviedessystèmesetdel évolutiondesbesoinsetdesrisques; Principedecontinuum:L organisationdoitcontinueràfonctionnermêmeaprèsla survenued unsinistre.pourcela,ilfautdisposerdeprocéduresd urgenceetde reprise; Principed évaluation,decontrôleetd adaptation:ilestimpératifdepouvoirévaluer constammentl adéquationdesmesuresdesécuritéauregarddesbesoinseffectifsdela sécurité.celapermetdecontrôleretdevérifierquelesrisquessontmaitrisésde manièreoptimaledansunenvironnementdynamiqueetd adaptersinécessaireles solutionsdesécuritémisenœuvre.desoutilsdetype«tableaudebord»dela sécurité favorisent le suivi de la sécurité par une meilleure appréciation de la variabilitédescritèresdesécurité.l adéquationduniveaudesécuritéparrapportaux besoinsdesécuritédel entreprise,quisontparnatureévolutifs,estunsouciconstant duresponsablesécurité. Uneorganisationpeutainsirenonceràmettreenœuvreundispositifdesecours(backup)de soncentreinformatiqueauregarddesoncoûtrécurent.eneffet,cecoûtpeuts avérerêtre trèsélevéentermesderessourcesetdeprocéduresàutilisersil ontientcompte: Delaprobabilitédurisquededestructionphysiquetotaledesinfrastructures; Coûtdesmesures: 1. Desurveillanceetdedétection(incendie,inondation,intrusion,etc.); 2. Departitionnementdessallesmachinesignifugéesàdeuxheuresgaranties,sur lesquellessontrépartieslesapplicationscritiques. Decefait,lesrisquesrésiduels(attentats,chutesd avion,etc.)estleplussouventjugécomme acceptableparlesorganesdirigeantsdesinstitutions. II.1.2.1Pourquoilesstratégiesdesécurité? Lesrisquesetmenacespesantconstammentsurlessystèmesd information,unedéfaillance delasécuritédecesdernièresseraitcapabled entrainerdesconséquencesirréversiblessurla réalisationdesobjectifsstratégiquesdel organisationouvis à visdesescollaborateursou engagements. C estpourcetteraisonquelastratégiedesécuritédoitimpérativementprovenirdesplus hautessphèresdirigeantesdel organisme,entantqu instrumentdegestiondesrisques sécuritédusystèmed information.lastratégiedesécuritédessystèmesd informationtraduit fortementlareconnaissanceformelledel importanceaccordéeparladirectiondel organisme àlasécuritédesonousessystèmesd information. Faceàcesmenacessurlessystèmesd information,lesutilisateursexigentuneprotection adaptéedesinformationsetdesservicesde traitement,d archivage etdetransportde l information.lasécuritéestimmédiatementdevenuel unedesdimensionsessentiellesdela stratégiedel organismeetelledoitêtrepriseencomptedèslaconceptiond unsystème 32

43 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d informationafind assurerlaprotectiondesbiens,despersonnesetdupatrimoinede l organisme. Ainsi,lasécuritédessystèmesd informationviseenparticulieràprotégerlescomposantes suivantesdupatrimoine: Lepatrimoinematériel,composédebiensmatérielsnécessairesaufonctionnementde sesactivitésetdontladétériorationpourraitinterrompre,diminuer,oualtérerson activité;cepatrimoineestessentiellementcomposédestechnologiesdel information etdecommunication(serveurs,réseaux,postesdetravail,téléphonie),maisaussides procéduresetapplicationslogiciellestraduisantlesprocessusetlesfonctionsmétiers del organisme; Le patrimoine immatériel et intellectuel, composé de toutes les informations concourant au métier de l organisme (données scientifiques, techniques, administratives); Lesinformationsrelativesauxpersonnes(physiquesoumorales)avecquil organisme estenrelation,dontladestruction,l altération,l indisponibilitéouladivulgation pourraitentrainerdespertesouporteratteinteàsonimagedemarquevoireentrainer despoursuitesjudiciaires. II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire Lesconditionsdesuccèsdelaréalisationd unestratégiesécuritairesont,entreautres: Unevolontédirectoriale,carilnepeutyavoirdesuccèsd unestratégiesansla volontédirectoriale; Unepolitiquedesécuritésimple,précise,compréhensibleetapplicable; Lapublicationetdiffusiondelapolitiquedesécurité; Unegestioncentraliséedelasécuritéetunecertaineautomatisationdesprocessusde sécurité; Unniveaudeconfiancedéterminédespersonnes,dessystèmes,desoutilsimpliqués; Dupersonnelsensibiliséetforméàlasécurité,possédantunehautevaleurmorale; Desprocéduresd enregistrement,desurveillanceetd auditassurantlatraçabilitédes événementspourservirdepreuveencasdenécessité; Lavolontéd éviterdemettrelessystèmesetlesdonnéesensituationdangereuse; L expression,lecontrôleetlerespectdesclausesdesécuritédanslesdifférents contrats; Unecertaineéthiquedesacteursetlerespectdescontrainteslégales. L efficacitédesmesuresdesécuritéd unsystèmed informationnereposepasuniquementsur lesoutilsdesécurité,nisurlebudgetinvesti,maissurlaqualitédelastratégiedéfinie,sur l organisationmiseenplacepourlaréaliser,l évaluer,lafaireévoluerenfonctiondes besoins.celanécessiteunestructuredegestionadéquatepourconcevoirlastratégie,définir unepolitiquedesécurité,gérer,spécifierdesprocéduresetdesmesurescohérentes,mettreen place,valideretcontrôler. Il est clair que la stratégie relève du domaine de la direction générale; il faut donc comprendrequelesprérogativesdelastructureorganisationnelles inscriventdansundegré dedélégationappropriée.cettestructuredéterminelecomportement,lesprivilègesetles responsabilitésdechacun.ellecontribueàfairecomprendreàl ensembledesacteursde l organisationl importancedelasécuritéetdurespectdesrèglesdesécurité.ellespécifie(en 33

44 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS fonctiondefacteurscritiquesdesuccèsquipermettentd atteindrelesobjectifsdel entreprise) lesmesuresetlesdirectivessécuritairesappropriées.cesdernièresdoiventêtrerelationnelles parrapportauxplansdel entrepriseetdel informatique.unevisionstratégiquedelasécurité globaledel organisationestdoncprimordiale. II.2Miseenplaced unedémarchesécuritaire Lastratégiedesécuritérésidedansuncompromisjudicieuxentrelecoûtdesoutilsetdes procéduresàsupporterpourpallierlesrisquesréelsquipourraientaffecterlepatrimoinede l'entrepriseetlecoûtdesimpactsdelaréalisationdesrisques. Iln'existepasdestratégieprédéterminéeougénérale,niderecettepourdéfinirunestratégie. Chaquecontexted'organisation,descénarioderisquesoud'environnementestparticulier.On nepeutdéfinirderèglesgénéralesquidéterminentquellessontlesstratégiesousolutionsde sécuritéàimplanterpourmaîtriserunrisquedonné. Figure2 2:étapesderéalisationd unedémarchesécuritaire Ladémarchesécuritairesesubdiviseentroisgrandsaxes: Lastratégieglobaled entreprise; Lastratégiedesécurité; Lapolitiquedesécurité. Lapremièreétapestratégiqueconsisteàidentifierlesvaleursdel'entreprise,leurniveaude vulnérabilitéenfonctiondemenacesparticulièresetlerisquedepertetotaleoupartiellede cesvaleurs.àl'issuedecetteanalysedesrisques,unevisiondecequidoitêtreprotégé, contrequietpourquoiestformuléesouslaformed'unepolitiquedesécurité.ils'agitalorsde définirunevéritablestratégiedeprotectionetdegestiondelasécuritéenfonctiondes besoins,valeursetmenacesréellesqu'encourel'organisation.delapertinencedel'analysedes 34

45 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS risquesdépendral'identificationcorrectedesmoyensetdesmesuresdesécuritéàmettreen œuvrepourprotégerefficacementlesressourcesdusystèmed'information. L'étapesuivanteconsisteàchoisirpuisàmettreenplacelesoutilsetlesprocédures nécessairesàlagestiondesrisquesetàlasécuritédessystèmes,servicesetdonnées. Enfin,ilestimpératifdecontrôlernonseulementl'adéquationdessolutionsdesécuritéetleur cohérencelesunesparrapportauxautres,maiségalementlapertinencedelapolitiquede sécuritéenfonctiondesrisquesetdesmoyensfinanciersetlacohérencedesoutilsvis à vis delapolitique.uneévaluationpériodique,voireconstantedesmesuresdesécuritéenvuede leuroptimisation,permetderépondreaumieuxàl'évolutiondel'environnementdanslequel elless'inscrivent. II.2.1 Méthodes et normes d élaboration de démarches sécuritaires II.2.1.1Principalesméthodesfrançaises Ladémarchesécuritairetraitedel organisationdelasécurité,del inventairedesrisques relatifs aux actifs informationnels, de la définition d une architecture de sécurité, de l établissementd unplandecontinuité. Pour débuter une démarche sécuritaire, on s appuie sur une méthode qui facilite l identificationdespointsprincipauxàsécuriser(notiondechecklist).dansunpremier temps,ilfautpouvoiridentifierlesrisquesafind identifierlesparadesàmettreenplaceet gérerlerisquerésiduel.jusqu àprésent,lasécuritéreposeplussurunensemblereconnude bonnespratiquesquesuruneméthodologieunique. Diversesméthodespropriétairescommedesnormesinternationalesexistentetpeuventservir deguideàl élaborationd unepolitiquedesécurité.ellessontutiliséesplusoumoins complètementetleplussouventadaptéesàuncontexted analyse. LesméthodespréconiséesparleClusif(ClubdelaSécuritédel InformationFrançais)sontle MARION(Méthoded AnalysedesRisquesInformatiquesetOptimisationparNiveau)et MEHARI(MéthodeHarmoniséed AnalysedesRisques). Figure2 3:lesméthodespréconiséesparleClusif 35

46 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Au delàdel aideàl analysedesvulnérabilitésetdesrisques,méharipermetd avoirune visionglobaleetstratégiquedelaproblématiquedelasécuritédesentreprises,parla définitiond unplanstratégiquedesécuritéàpartirduqueldesplansopérationnelspourront être définis. Les différents niveaux de la sécurité sont ainsi appréhendés. Les vues stratégiques,tactiquesetopérationnellesainsiquelesmesuresspécifiquesàleursréalisations sontdistinguées. Laméthoded analysedesrisquesméhariseveutadaptable,évolutiveetcompatibleavecla normeiso Parailleurs,laDCSSI(DirectionCentraledelaSécuritédesSystèmesd Information)propose une méthode largement documentée, présentée et téléchargeable sur son site (http://www.ssi.gouv.fr).dénomméeebios(expressiondesbesoinsetidentificationdes objectifsdesécurité),cetteméthodeadoptéeparlesadministrationsfrançaises,permetde spécifierlesobjectifsdelasécuritédesorganisations,pourrépondreàdesbesoinsdéterminés. Ellefacilitélargementl appréhensionducontextedesécuritéetconstitueunevéritableaideà ladéfinitiondesobjectifsetdespolitiquesdesécurité.celapeutconduireàremplirle document«fiched ExpressionRationnelledesObjectifsdeSécurité(Feros)»pourcequi concernetouteslesressourcesclassées«défense»,afindedétermineraumieuxlesmesures desécuriténécessairesàleurprotection. Il existe également diverses directives nationales: allemandes issu du Bundesamt für Sicherheit Informationstechnik, canadiennes du CST (Centre de la Sécurité des Télécommunications),américainesissuesduNSI(NationalStandardsInstitue)desEtats Unis,parexemple,quitraitentdespolitiquesdesécurité. II.2.1.2NormesinternationalesISO/IEC17799 L'originedelanormeISO17799adoptéeparl'ISOàlafindel'année2000estlanormeBS 7799élaboréeparl'associationdenormalisationbritanniqueen1995.Avantd'êtrereconnue commeuneméthodederéférence,lanormeinternationaleiso17799atoutd'abordété contestéedufaitdesaprocédureaccéléréedenormalisation:ellen'avaitpasétéréviséepar lesétatsmembresavantd'êtrepubliéeetn'avaitdoncpastenucomptedessavoir faireet autresméthodesexistantsdansd'autrespays. L'adoptionparlemarchédelanormeISOaétéfavoriséeparlefaitquecertainescompagnies d'assurancedemandentl'applicationdecettenormeafindecouvrirlescyber risques. Baséesurlagestiondesrisques,lanormeproposeuncodedepratiquepourlagestiondela sécuritéetidentifiedesexigencesdesécuritésanstoutefoisspécifierlamanièredeles réaliser.onpeutainsiconsidérercettenormetouràtourcommeunréférentielcontribuantà ladéfinitiond'unepolitiquedesécurité,commeunelistedepointsderisquesàanalyser (CheckList),commeuneaideàl'auditdesécuritéenvueounond'uneprocédurede certification ou encore, comme un point de communication sur la sécurité. Diverses interprétationsetréalisationsdecettenormesontpossibles. Sonintérêtrésidedanslefaitquelanormeabordelesaspectsorganisationnels,humains, juridiquesettechnologiquesdelasécuritéenrapportauxdifférentesétapesdeconception, miseenœuvreetmaintiendelasécurité. 36

47 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 4:DomainesdesécuritédelanormeISO Elletraitededixdomainesdesécurité,de36objectifsdesécuritéetde127pointsdecontrôle. Unenouvelleversiondecettenorme(lSO/IEC17799:2005)aétééditéeenjuillet2005,elle adjointauxdixdomainesdesécuritépréalablementidentifiésdenouveauxparagraphesqui concernentl'évaluationetl'analysedesrisques,lagestiondesvaleursetdesbiensainsiquela gestiondesincidents.onremarquetoutel'importanceaccordéeàladimensionmanagérialede lasécuritédanslanouvelleversion. II.2.2Lastratégieglobaled entreprise En raison du caractère évolutif du contexte (évolution des besoins, des risques, des technologies,dessavoir fairedescyber délinquants),lessolutionsdesécuriténesontjamais niabsolues,nidéfinitives.celaposeleproblèmedelapérennitédessolutionsmisesenplace. Deplus,ladiversitéetlenombredesolutionspeuventcréerunproblèmedecohérence globaledel approchesécuritaire.enconséquence,latechnologienesuffitpas,elledoitêtre intégréedansunedémarchedegestion. Ainsi,latechnologiesécuritairedoitêtreauserviced unevisionpolitiquedelasécurité. Seuleladimensionmanagérialedelasécuritépermetdefairefaceaucaractèredynamiquedu risque.c estlaqualitédelagestionquipermetdetirerlemeilleurpartidesoutilsexistantet quiapporteuneréelleplus valueauservicedelasécurité.danscetteperspective,lasécurité dusystèmed informationn estqu unecomposantedelasécuritéglobaledel organisation.il estdoncextrêmementimportantquelesorientationsstratégiquesenmatièredesécuritésoient déterminéesauniveaudel état majordelastructureconcernée. 37

48 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire Lastratégieglobaled entrepriseestélaboréeparlalignemanagérialeauplushautniveaude l organisation.sonobjectifestdedégagerlesobjectifsdesécuritédel organisationpourfaire ensortequetouteslesactionsentreprisesetmisesenplacedanstouteslescomposantesde l organisation(partenaires,sitesdistants,clients,télétravailleurs)concourentverslesmêmes objectifsetprotègentlesressourcesenfonctiondeleurcriticité). Unepolitiquedesécuritéoffreuneréponsegraduéeàunproblèmesécuritairespécifique,en fonctiondel analysedesrisquesquienestfaite.elledoitexprimerl équilibreentreles besoinsdeproductionetdeprotection. Lechoixdesmesuresdesécuritérésultegénéralementd uncompromisentrelecoûtdurisque etceluidesaréduction.ildérivedel analyseàlong,moyenetcourttermedesbesoinsde productionetdeprotection. Figure2 6:lasécurité,uncompromis Ladéfinitiond unestratégiedesécuritéestuneaffairedebonsens,devision,d analyseetde choix.ellepourraitserésumeràunesuitedequestionssimplesauxquelleslegestionnairedoit apporterdesréponsesprécises: Quellessontlesvaleursdel organisation? Quelestleurniveaudesensibilitéoudecriticité? 38

49 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Dequi,dequoidoit onseprotéger? Quelssontlesrisquesencourus? Cesrisquessont ilssupportables? Quelestleniveauactueldesécurité? Quelestleniveaudesécuritéquel ondésireatteindre? Commentpasserduniveauactuelauniveaudésiré? Quellessontlescontrainteseffectives? Quelssontlesmoyensdisponibles? Cesontlàtouslesdéfisquiguettentlesorganisationsquisedécidentàmettreenœuvreune démarchesécuritaire. II.2.3Lesstratégiesdesécuritédessystèmesd information Réduirelasécuritéàsadimensiontechnologiquec estassurersonéchec.parailleurs,se retrancherderrièresdesrèglesdesécuritéprédéterminées,desréglementationsoudesproduits «leaders»dumarchédansleurnichesécuritairesansvaliderleuradéquationauxbesoinsde l organisation,maisuniquementparsoucisdenepasengagersaresponsabilité,metenpérilla missiondesécurité. Lefosséestsouventassezétroitentrelastratégied entrepriseetlastratégiedesécuritéd une organisation;ellesconcourenttouteslesdeuxàlamiseenplacedelapolitiquedesécuritéet servirontplustarddedocumentderéférencepourévaluerl efficacitédelapolitiquemiseen place. Chaqueorganisationdoitspécifiersapropremissiondesécuritépourréalisersastratégiede sécuritétellequedéfinieavecladirectiongénérale.l activitédecettemissionpeutse déclinerselonlesaxessuivants: L identificationdesvaleursetclassificationdesressourcesdel organisation; Laconceptiond unplandesécuritéenfonctiond uneanalysepréalabledesrisques; Ladéfinitiond unpérimètredevulnérabilitéliéàl usagedesnouvellestechnologies; L identificationdesimpacts. Figure2 7:Maitrisedesrisquesetprocessusdesécurité 39

50 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Seuleuneapprochepragmatique,inscritedansunedémarchequalitéquidéfinitprécisément desobjectifsdesécuritécohérentsainsiquedesmoyensconcretspourlesatteindre,permetde sécuriserrationnellementdesressourcesinformatiquespartagées. II.2.3.1Identificationdesvaleursetclassificationdesressources LeClubdelaSécuritédel InformationFrançais(CLUSIF),danssonrapportd enquêtesurla sécuritédessystèmesd informationconfirmequ en2008encore,l informatiqueestperçue commestratégiqueparunetrèslargemajoritédesentreprises:toussecteursconfonduset quelquesoitleurtaille,73%d entreellesjugentlourdedeconséquencesuneindisponibilité demoinsde24hdeleursoutilsinformatiques(avecunmaximumde83%pourlesecteurdu commerce). 1% 73% 26% Forte Modérée Faible Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen2008 Laréalisationd uninventairecompletetprécisdetouslesacteursetintervenantsdelachaine sécuritairecontribueàunemeilleureconnaissanceetdoncàlamaitrisedel environnementà protéger.c estdanslesphasesd analysedel existantetdesrisquesquecesdonnées d inventaireprennenttouteleurimportance.ellesinterviennentégalementdanslaphase d identificationdesvaleursetdeclassificationdesressourcespourdéterminerleurdegréde sensibilitéoudecriticité.ledegrédecriticitéd uneressourceindiquesonimportanceencas deperte,d altérationoudedivulgationdesdonnées.pluslesconséquencessontgravespour l organisation,pluslaressourceestsensibleetpossèdedelavaleur.laclassificationselonle degréd importancedesressourcesàprotéger,estnécessaireàlagestiondelasécurité.elle estdispensableàl élaborationfuturedelapolitiquedesécuritépourdéfinirdesmesureset procéduresàappliquer. Chaqueressourcepeutêtreperçuecommeunecibledesécuritépourlaquelle,ilfautidentifier lesrisquesetleursscénariipossibles(erreurd utilisationoudeparamétrage,accidents, malveillance, sabotage, attaque logique, etc.), les mécanismes de sécurité inhérents et applicatifs (configuration, paramètres, etc.), ainsi que les contraintes techniques et organisationnelles afin de déterminer la faisabilité technique et organisationnelle de la politiquedesécuritépourchaquecible. Ladéterminationdudegrédesensibilitédesdonnéesconsistetoutd abordàidentifierdes classesgénériquesdedonnéesauxquellesonassociedesvaleursentièresdéfinissantleur degrédesensibilité.celapermetdedisposerd unemétrique,dontl échelledesvaleursest déterminéeparl organisationetquireflèteledegréd importancedeladonnéepourcelle ci. Ainsi,parexemple,pouruneentrepriselesdonnéespeuventêtreclassées: Publiques:degrédesensibilité0;1; Financières:degrédesensibilité1; Privées:degrédesensibilité2; 40

51 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Secrètes:degrédesensibilité3; Cetteclassificationdoitêtreaffinéevoireadaptéeenfonctiondesbesoins.Deplus,c esten fonctiondudegrédesensibilitédesdonnéesetduprofildesutilisateursquel onattribueraà cesderniers,despermissionsetdroitsd accès. L identification des valeurs du système d information d une organisation répond essentiellement à la question: «Quelles informations sont critiques pour les besoins opérationnelsdel organisation?».cecipermettradedresseruninventairedetoutesles ressourcesouprocessusquientrentdanslefonctionnementnormaldel organisation. Cetteétapepeutserévélerassezcomplexedanslecadred unsystèmed informationpeuou pasmodélisé,nerépondantgénéralementàaucunstandard;avecdesprocessusmétiersnon élaborés.elleconstitueraaussiunesortededébutd auditpourlesystèmed information;et donneraunaperçuduniveaudecomplexitédesprocessus.ilestclairqu unsystème d informationquiadumalàrévélersesvaleursseratrèsdifficileàsécuriser;puisqueles brèchesdesécuritéserontnombreusesetsubtiles. Al issuedecetteétaped inventairedesressources,uneclassificationduniveaudecriticité desinformations,desprocessus,dessystèmesetdesréseauxconstitueral épreuvedela missiondesécurité. II.2.3.2Analysedesrisques Un risque provient du fait qu une organisation ou une entité possède des «valeurs» matériellesouimmatériellesquisontsusceptiblesdesubirdesdommagesouunedégradation. Cettedernièreayantdesconséquencespourl organisationconcernée:cecifaitgénéralement appelàquatrenotions: Celledela«valeur»,qu ilestd usaged appeler«actif»dansledomainedela sécuritédessystèmesd information; Cellededégradationoudedommagesubiparl actif; Celledeconséquencepourl entité; Cellequisuggèreunecausepossiblemaisnoncertaine; CONFIDENTIALITE DISPONIBILITE INTEGRITE Pertedeconfidentialitésansconséquence Délaisupérieuràunesemaine Lesinistrenerisquepasdeprovoquerunegênenotabledans lefonctionnementoulescapacitésdel'organisme. Ex:donnéespubliques,visiblespartous. Des services qui apportent un confort supplémentairemaispasindispensable. Lesinistrenerisquepasdeprovoquerunegêne notabledanslefonctionnementoulescapacitésde l'organisme. Ex:aucunevérification. Pertedeconfidentialitéentraînantdesgênes defonctionnement Délai>8heureset<=1semaine Perted'intégritéentraînantdesgênes defonctionnement Pertedeconfidentialitéentraînantdes conséquencesdommageables Délai>2heureset<=8heures Susceptibledeprovoquerunediminutiondescapacitésde l'organisme. Ressources pour lesquelles il existe une Ex:donnéesliéesauxcompétencesousavoir faireinternes, alternative. dansuncontextedegroupedeconfiance,dontvousprotégez Ex:imprimantes. touteslestracesécrites. Susceptibled'amoindrirlescapacitésdel'organisme,avec desconséquencestellesquedespertesfinancières,sanctions administrativesouréorganisation Ex:donnéesliéesàunengagementdeconfidentialitédans uncontrat. Pertedeconfidentialitéentraînantdes conséquencesgraves Sansconséquencevitalehumainement Ex:arrêtduréseau,delamessagerie,données vitalesnondisponibles... Délai:entretempsréelet<=2heures 41 Perted'intégritésansconséquence Susceptible de provoquer une diminution des capacitésdel'organisme. Ex:vérificationdesdonnées,sansvalidation:des fautesd'orthographesurunepagewebnuisentà l'imagedemarquedulaboratoire Perted'intégritéentraînantdes conséquencesdommageables Susceptible d'amoindrir les capacités de l'organisme,avecdesconséquencestellesquedes pertes financières, sanctions administratives ou réorganisation Ex:donnéesquisontvalidéesetcontrôléespar desmoyenstechniquesouhumains. Perted'intégritéentraînantdes conséquencesgraves

52 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Susceptibledeprovoquerunemodificationimportantedans les structures et la capacité de l'organisme comme la révocationdedirigeants,larestructurationdel'organisme, despertesfinancières. Ex:donnéessecretdéfense. Ressourcesquimettentenpérillavie(humaine ouanimaleoubiologique). Ex : expériences biologiques ou physiques pilotéesautomatiquement,systèmedesécurité. Susceptible de provoquer une modification importantedanslesstructuresetlacapacitéde l'organismecommelarévocationdedirigeants,la restructuration de l'organisme, des pertes financières. Ex:donnéesavecaumoinsdeuxniveauxde validationetdecontrôledifférents(techniquesou humains). Tableau2 1:Analysedesrisquesdessystèmesd information II.2.4Lespolitiquesdesécurité Préventiondesintrusionsetmalveillances, Gestiondesvulnérabilités,dissuasion,etc. Gestiondescrises,dessinistres,desplansdecontinuité,dereprise, Politiquederéaction demodification,d intervention,depoursuite,etc. Politiquedesuivi Audit,évaluation,optimisation,contrôle,surveillance,etc. Politiquedesensibilisation Politique d assurance Respectdescontrainteslégalesetréglementaires Politiquede protection Coût Mesuresetprocédures d accès Performance Politiquedesécurité Gestiondesidentités,desprofilsdesutilisateurs,despermissions, Politiquedecontrôle desdroits,etc. Convivialité Depuisledébutdesannées2000,lapriseencompteparlesorganisationsdesproblèmesliésà lasécuritéinformatiques estgénéraliséeaumoinsdanslesgrandesstructures.lasécuritéest demoinsenmoinsunejuxtapositiondetechnologieshétérogènesdesécurité.elleest dorénavantappréhendéeettraitée,commeunprocessuscontinu.cettevision«processus» met en avant la dimension managériale de la sécurité qui vise à l optimisation et la rationalisationdesinvestissements,toutenassurantlapérennitéetl efficacitédessolutionsde sécuritédansletemps. Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité L importanced unegestionrigoureusedelasécuritédessystèmesd information,etdeson appréhensionglobaleetintégréedanslescyclesdedécisiondel entreprise,estreflétéepar l adoptionparlesorganisationsdelanotiondegouvernancedelasécurité.cettedernière traduitlavolontédediriger,deconduire,d influencerdemanièredéterminantelasécurité, voirededominerlesrisquesliésàl insécuritétechnologique.ellepossèdeégalementune connotation de pouvoir politique qui positionne le problème de la sécurité au niveau stratégique et opérationnel. L apparition de nouvelles fonctions, comme celles de responsabilitésécurité,intégréesounonàladirectiongénérale,àladirectiondessystèmes d information,ouencoreauseind unedirectionmétierouaudit,concrétisecettenotionliéeà lagouvernancedelasécurité. Comptetenudelanouvelleimportanceaccordéeàlasécuritéetàlamanièrestratégiqueet globaledel appréhender,unepolitiquedesécurité,devientl expressiondelastratégie sécuritairedesorganisations.elleconstituepourlesorganisations,unoutilindispensablenon 42

53 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS seulementàlagouvernancedelasécuritémaisaussiàlaréalisationduplanstratégiquede sécurité. Figure2 9:Stratégiesetpolitiquesdesécurité Une politique de sécurité exprime la volonté managériale de protéger les valeurs informationnellesetlesressourcestechnologiquesdel organisation.ellespécifielesmoyens (ressources,procédures,outils,etc.)quirépondentdefaçoncomplèteetcohérenteaux objectifsstratégiquesdesécurité. Elle découle des grands principes de sécurité qui permettent de protéger le système d informationenévitantqu ilnedevienneunecibleetenfaisantensortequ ilnese transformepaslui mêmeenacteursd attaquesparuneprisedecontrôleàdistance(les Botnets). Cetteprotectionestassuréeparexemplepar: Desrègles:classificationdel information; Desoutils:chiffrement,desfirewalls; Descontrats:clausesetobligations; L enregistrement,lapreuve,l authentification,l identification,lemarquageoule tatouage; Ledépôtdesmarques,debrevets,etlaprotectiondudroitd auteur. Encomplément,ellepourraprévoirde: Dissuaderpardesrèglesetdescontrôles; Réagirparl existencedeplansdesecours,decontinuitéetdereprise; Gérerdesincidentsmajeursparunplandegestiondecrise; Poursuivre en justice et de demander des réparations en prévoyant un plan d interventionetdereportdesincidentsetdesmesuresd assurance,parexemple; Gérerlesperformancesetlesattentesdesutilisateurs. II.3 Cas pratiques d une démarche sécuritaire au sein d unepme L objectifdececaspratiqueestdemontrerlesétapesàsuivrepourmenerdansdebonnes conditionsunedémarchesécuritaire.ils appuiesurlaméthodemehari2007duclusif, maisapportedesaméliorationsetdessimplificationspourunréajustementdecestandard françaisauxréalitésdenosentrepriseslocalesquiontsouventdessystèmesd informations 43

54 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS peuoupasdutoutmodélisés;avecdesprocessustrèsmalélaborésetsouventsansaucune charted utilisation. II.3.1PrésentationdelaPME II.3.1.1Présentationgénérale «BéninCosmetics»estunesociétéfictiveinventéepourservirdecadred expérimentationà notreétude.nousluiavonsfaithériterdetouteslescaractéristiquesdespmelocales.elleest spécialiséedanslafabricationetladistributiondeproduitscosmétiques;elleasonunitéde fabricationàparakou(environ400kmaunorddecotonou),etsonsiègesocialàcotonou. Soneffectiftotals élèveàenviron250personnes. «BéninCosmetics»conçoitdenouvellesgammesdeproduitsdebeautéetdeprocédés chimiquesdefabricationausiègesocialpourl usinedeparakou.sapuissanteéquipede rechercheconstituéedechimistes,d esthéticiens,dedermatologuesetdebiologistesluia permisdesefairetrèsrapidementunesolideréputationdanslasous régionenterme d innovationsdanslafabricationdeproduitsdebeauté.pourcela,elles appuiesurson systèmed informationsquiluipermetd êtrevifauxdemandesdesclientsetlesnouvelles possibilitésdepartenariat. II.3.1.2Patrimoineinformatique Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics» 44

55 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 1. Matériel Lepatrimoinedusystèmed informationestconstituéd équipementshétérogènes: Desserveurspourlestockage,letraitementetlepartagedel information; DesordinateursdebureauquisontdetypePC; LesréseauxLANdusiègesocialdeCotonouetl usinedeparakousontdetypegiga Ethernet; LesréseauxWANd interconnexionetd accèsàinternetsontgérésparl opérateur historiquedestélécommunicationsaubenin«bénintélécomssa»,fournisseurde servicesinternet; 2. Logiciels Lamoitiédessystèmesd exploitationaétélégalementacquiseetpossèdentdesnumérosde licencevalides; II.3.1.3Lasécurité Lesystèmed information «BéninCosmetics»possèdeunepolitiquedesécuritédusystèmed information;ellefait partieintégrantedelapolitiqueglobaledesécuritédel organisation.unecharted utilisation desressourcesinformatiquesetdesservicesinternetaétéélaboréeetdiffuséeàl ensembledu personnel.ellepréciselesdroitsetdevoirsdechaqueutilisateur.lachartepeutserésumer enplusieurspoints: Lecontrôled accèssefaitparauthentificationavecunnomd utilisateuretunmotde passe; Obligationdesuivrelaprocéduredesauvegardepourtouslesdocumentsnumériques del entreprise; Laresponsabilitédechaqueutilisateursurtouslesfichiersqu iltraite,lesfichierssont sauvegardéssurlesserveurs;lesdocumentspapiersconservésdansdesarmoires sécurisées; Chaqueutilisateurestdirectementresponsabledesressourcesinformatiquesmisesàsa dispositiondanslecadredesonactivité; Chaqueutilisateurdoitsignalertouteanomalieconstatéeoucomportementbizarredu systèmedanslespluscourtsdélaisaudépartementinformatique; SécuritégénéraledusiègesocialàCotonou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréalisésunefoisparanencollaborationaveclesservicesdesécurité del immeuble; Existencedeconsignedefermeturedesbureauxàclé,maisaucuneprocédurede contrôle; Conditionnementdelatempératuredetouteslespièces; 45

56 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Existence de technologies de surveillance (camera de surveillance, alarme anti intrusion,détecteurdemouvement)activéedurantlesheuresdefermetures(18h45 07h15);desagentsdesécuritéveillentsurleslieux; L entretiendeslocauxsefaittouslesmatinsde07h30à08hparunesociété prestataire; L accèsauxbureauxestconditionnéparunbadgemagnétiqued authentification; Lesclientssontreçusparlesagentscommerciaux,danslessallesderéuniondansune zone avec vidéosurveillance; il y a possibilité de connecter des équipements informatiques; Lesressourcesinformatiques(serveurs,routeurs,autocommutateurs)sontsituéesdans unesalleisoléedudépartementinformatique;ellepossèdeunealimentationélectrique desecours; Sécuritégénéraledel usineàparakou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréaliséstroisfoisparanencollaborationaveclesservicesde sécuritédel immeuble; Postedegardiennagequifiltrelesentréesetsortiessurlesitedel usine,unegestion techniquecentraliséepourl ensembledesalarmesdusiteavecdeuxpersonnesen permanence. Consignesdefermetureàclédesbureaux;maisaucuneprocéduredecontrôlen aété miseenplace; Touslesbureauxsontclimatisés;etcontigusaupostedegardiennage;àl entréede l usine;àl écartdeszonesdeproduction; Alarmeanti intrusionestactivedurantlesheuresdefermeturedesbureaux(19h 7h), defréquentesrondesdegardiensontlieudanslebâtiment; Leservicedenettoyageexterneàl'entrepriseintervientde7hà8h; Plusieurssociétésconstituentsonvoisinage;defréquentesrondesdepoliceontlieu danslazoned'activité; Lesclientssontreçus,souslaresponsabilitédelapersonnevisitéeaprèsavoirdéposé unepièced'identitécontrelaremised'unbadgevisiteuraupostedegardiennage,dans dessallesderéunionsspécifiques;avecpossibilitédeconnecterdeséquipements informatiques; Lesitepossèdelaredondancepourlesfournituresénergétiques(arrivéeélectriqueprovenant de2cabines"hautetension",groupeélectrogène,onduleurs,arrivéelignestéléphoniquessur 2centrauxtéléphoniquesdifférents,etc.). II.3.1.4Contexte L interconnexiondusiègedecotonouàl usinedeparakouapermisd avoirunsystème d informationunifiéauniveauconnectivité.cequiapermisunenetteaméliorationdesdélais deréalisationdestravauxetdefairedesgainsencoûtsdecommunicationoudeliaison. «BéninCosmetics»aréponduauvœudesesdifférentspartenairesquiestdecorrespondre directementaveclesdifférentsservicesviainternetpourlatransmissiondetoustypesde documents(dossierstechniques,devis,appelsd offres,messages,etc.). 46

57 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D autrepart,unimportantcontratdecollaborationavecunechainedecosmétiquebaséeen Franceestconditionnéparlacapacitéde«BéninCosmetics»àassurer: Laconfidentialitédansleséchangesdesdocumentstechniques(formuleschimiques, procédésdefabrication,etc.); Ladisponibilitéetlarapiditédefournirdesproduitsfinis; II.3.2ApplicationdeladémarcheMEHARI II.3.2.1PrésentationdelaméthodeMEHARI MEHARIsignifie«MEthodeHarmoniséed'AnalysedesRIsques».Ils agitd uneméthode élaboréeen1996parleclusif(clubdelasécuritédel InformationFrançais)pourdéfinir lesactionsentermesdesécuritédessystèmesd Informationsauseindesorganisations.Le CLUSIFfournitlesdifférentssupportsaidantàlamiseenplaced unedémarchesécuritaire selonlaméthodemehari. LadémarcheMéharicomportetroisgrandesphases: Planstratégiquedesécurité(PSS): Métriquedesrisquesetobjectifsdesécurité; Valeursdel entreprise:classificationdesressources; Politiquedesécurité; Chartedemanagement; PlanOpérationneldesécurité(POS): Auditdel existant; Evaluationdesbesoinsdesécurité; Expressiondesbesoinsdesécurité; Constructionduplanopérationneldesécurité; PlanOpérationneld Entreprise(POE): Choixd indicateursreprésentatifs; Elaborationd untableaudeborddelasécuritédel entreprise; Rééquilibrageetarbitrageentreunités. II.3.2.2Leplanstratégiquedesécurité Leplanstratégiquedesécurité(PSS)constituelapremièrephasedelaMéthodeHarmonisée d AnalysedesRisques(MEHARI).Elleestélaboréeenétroitecollaborationaveclaligne managérialedel entreprisedemanièreàcequetouteslesactionsentreprisesetmisesenplace dansl ensembledel entreprise(sitesdistantsetaccèsdistantsinclus)tendentverscesmêmes objectifsetprotègentlesressourcesenfonctiondeleurclassification. Ilseraunindicateur clédesunitésopérationnellespourcequiconcernelesdécisionsà prendre en matière de sécurité. Elle verra la participation de la direction générale de l entreprise, ainsi que celle des cadres supérieurs responsables de chaque département opérationnel. 47

58 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Métriquedesrisquesetobjectifsdesécurité L objectifdelamétriquedesrisquesetobjectifsdesécuritéestdedégager,pardestableaux standards,communsàtoutel entreprise,lesélémentspermettant: D unepart,d affecterundegrédecriticitédechaquescénariodesinistre; D autrepart,defixerdefaçoncohérentelesobjectifsdesécuritéenfonctiondes niveauxpréétablisd acceptationouderefus,totalousouscondition,desrisques encourus. Statutsde protection Effetdesmesuresdeprotectionsurl'impactduscénario Effetdeprotectiontrèsfaible:lesinistreneseradétectéqu auboutd undélaiimportant.lesmesuresquipourrontalors êtreprisesnepourrontlimiterlapropagationdel incidentinitialetselimiterontàlabornerdansletemps.l étenduedes conséquencesdusinistreestdifficileàcerner. Effetdeprotectionmoyen:ledébutdesinistreneserapasidentifiétrèsviteetlesmesuresprisesleseronttardivement. Lesinistreauraprisunegrandeampleurmaisl étenduedesesconséquencesseraencoreidentifiable Effetimportant:lesinistreseradétectérapidementetdesmesuresdeprotectionserontprisessansdélai.Lesinistreaura néanmoinseuletempsdesepropager,maislesdégâtsserontcirconscritsetfacilementidentifiables. Effettrèsimportant:ledébutdesinistreseradétectéentempsréeletlesmesuresdéclenchéesimmédiatement.Lesinistre seralimitéauxdétériorationsdirectesprovoquéesparl accident,l erreuroulamalveillance. Tableau2 3:Mesuresdeprotection Statuts palliatifs Effetdesmesurespalliativessurl'impactduscénario Effettrèsfaible:lessolutionsdesecourséventuellementnécessairesdoiventêtreimprovisées.Iln estpasassuréqueles activitésdel entreprisetouchéesparlesinistrepourrontêtrepoursuivies.l activitédel ensembledesacteurstouchésparle sinistreesttrèsfortementperturbée. Effetmoyen:lessolutionsdesecoursontétéprévuesglobalementetpourl essentiel,maisl organisationdedétailresteà faire.lesactivitésprincipalestouchéespourrontsepoursuivreaprèsuntempsd adaptationquipeutêtrelong.lareprisedes autresactivitésetleretouràl étatd originedemanderadeseffortsimportantsetoccasionnerauneforteperturbationdes équipes. Effetimportant:lessolutionsdesecoursontétéprévues,organiséesdansledétailetvalidées.Lesactivitésprincipales pourrontsepoursuivreaprèsuntempsdereconfigurationacceptableetconnu.lareprisedesautresactivitésetleretourà l étatd origineontégalementétéprévusetsedéroulerontavecdeseffortsimportantsmaissupportables. Effettrèsimportant:lefonctionnementdesactivitésdel entrepriseestassurésansdiscontinuiténotable.lareprisede l activitéenmodenormalestplanifiéeetseraassuréesansperturbationnotable. Tableau2 4:Mesurespalliatives Statuts récupération Effetdesmesuresprisessurl'impactduscénario Effettrèsfaible:cequel onpeutespérerrécupérerdesassurancesoud unrecoursenjusticeestnégligeabledevant l ampleurdesdégâtssubis. Effetmoyen:cequel onpeutraisonnablementespérerrécupérern estpasnégligeable,maislessinistresmajeurs restentàlachargedel entreprise(sinistrenoncouvertetresponsablenonsolvable). Effetimportant:l entrepriseestcouvertepourlessinistresmajeurs,maiscequiresteàsacharge(franchise)demeure importantquoiquesupportable. Effettrèsimportant:l entrepriseestsuffisammentcouvertepourquel impactfinancier résiduelsoitnégligeable. Tableau2 5:Mesuresderécupération StatutsRI Effetdesmesuresprisessurlaréductiond'impactduscénario Effettrèsfaible Effetmoyen:impactmaximumjamaissupérieuràunimpactgrave:I<ou=3 Effetimportant:impactmaximumjamaissupérieuràunimpactmoyennementgrave:I<ou=2 Effettrèsimportant:impactduscénariotoujoursnégligeablequelquesoitl'impactintrinsèque Tableau2 6:Mesuresderéductiond impactduscénario 48

59 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lagrillesuivante,proposéeenstandard,permetd'évaluerl'impact"I": Classificationdesressources Statuts RI Tableau2 7:Grilled évaluationdel impactdescénario Statuts exposition Effetdesmesuresstructurellessurlapotentialitéduscénario 1 Expositiontrèsfaible:Desmesuresarchitecturalesontétéprisespourlimiterstructurellementlesrisques: cloisonnementdeslocaux,fragmentationdesinformations,rendantnégligeablelaprobabilitéd unrisque majeur. 2 Expositionfaible:L entreprise(leserviceoul unité)estparticulièrementpeuexposée:leclimatsocialest trèsfavorable,l environnementnelaissepascraindrelemoindreproblème,lapositiondesuiveurde l entrepriserendpeuprobableuneagressiviténotabledeconcurrents. 3 Expositionmoyenne:L entreprise(leserviceoul unité)n estpasparticulièrementexposée.leclimat socialn estpasmauvais,laconcurrenceestnormalementagressivesansplus,l environnementneprésente pasdemenaceparticulière. Expositionimportante:L entreprise(leserviceoul unité)estparticulièrementexposéeaurisqueenvisagé deparunclimatsocialesttrèsdéfavorableouunenvironnementàrisqueouunepositiontellequel onpeut craindredesréactionsspécialementagressivesdelaconcurrence. 4 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle Statuts dissuasion Effetdesmesuresdissuasivessurlapotentialitéduscénario 1 Effettrèsfaible:L auteurn encouraitaucunrisque:iln apratiquementaucunrisqued êtreidentifiéet detoutefaçoncelan auraitpourluiaucuneconséquence. 2 Effetmoyen:L auteurencouraitunrisquefaible:lerisqued êtreidentifiéestfaibleetlessanctions éventuelles,s ilétaitdécouvert,resteraientsupportables. 3 Effetimportant:L auteurdel erreuroudelamalveillanceencourraitunrisqueimportant:ilexisteune forteprobabilitéqu ilsoitdécouvertetlessanctionsencouruespourraientêtregraves. Effettrèsimportant:Seuluninconscientpourraitcouriruntelrisque:ilseradémasquéàcoupsûr,les sanctionsseronttrèslourdesettoutcelaestbienconnu. 4 Tableau2 9:Mesuredissuasives Statuts prévention Effetdesmesurespréventivessurlapotentialitéduscénario 1 Effettrèsfaible:Toutepersonnedel entrepriseoutoutinitiélaconnaissantunminimumestcapablede déclencheruntelscénario,avecdesmoyensqu ilestfaciled acquérir.descirconstancestoutàfait courantes(maladresse,erreur,conditionsmétéodéfavorablesraresmaisn ayantriend exceptionnel)sontà mêmededéclencheruntelscénario. 2 Effetmoyen:Lescénariopeutêtremisenœuvreparunprofessionnelsansautresmoyensqueceuxdont fontusagelespersonnelsdelaprofession.descirconstancesnaturellesraresmaisnonexceptionnelles peuventaboutiràcerésultat. 3 Effetimportant:Seulunspécialisteouunepersonnedotéedemoyensimportantsdécidéeàyconsacrerdu tempspeutaboutirdanslaréalisationd untelscénario.desconcoursdecirconstancespeuventrendrele scénarioplausible. 4 Effettrèsimportant:Seulsquelquesexpertssontcapables,avecdesmoyenstrèsimportants,demettreen œuvreuntelscénario.auniveaudesévénementsnaturels,seulesdescirconstancesexceptionnelles peuventconduireàdetelsrésultats(catastrophesnaturelles). Tableau2 10:Mesurespréventives 49

60 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leniveaudelapotentialité"P"estappréciéconformémentàlagrillestandardci après: Statutspotentialité Potentialité Potentialitéfaible,nesurviendrasansdoutejamais Possible,bienquepotentialitéfaible Potentialitécertaine,devraitarriverunjour Trèsfortepotentialité,surviendrasûrementàcourtterme Tableau2 11:Grilleduniveaudepotentialité L élaborationdesdéfinitionsdesobjectifsdesécuritédoitfairel objetd uneréflexion approfondieauplushautsommetde«benincosmetics»puisqu ellematérialiseseschoix stratégiquesenmatièredesécuritédusystèmed informations. Danslamesureoùilseraittotalementutopiquedeprétendreau«zéro risque»pourun systèmed information,ladéfinitiondesobjectifsdesécuritépermetdefixerlesniveauxde risque que l entreprise jugera acceptables, inadmissibles quoique supportables, ou insupportablesparcequenedisposantpasdesmoyenspourfairefaceàsesconséquences. L accordétanttrouvésurces3termes,leurdéfinitionetleslimitesqu ilsrecouvrent; l objectifseraderamener,pardesmesuresdesécuritéappropriées,touslesrisquesauniveau «acceptable». MEHARIproposeunegrilled aversionaurisque,construitesurlabasedel appréciationdu risqueparrapportàsonimpactetàsapotentialité.cettegrilleestvalidéeparladirection généraleetlesdépartementsopérationnelslorsdelaréunion. Tableau2 12:Grilled évaluationduniveauderisque Ladirectiongénéralede«BéninCosmetics»,auvudesesobjectifsexige,quesoient assurées: LadisponibilitédesmoyensdecommunicationausiègedeCotonoucommeàl usine deparakou; Ladisponibilitédelamessagerie; Laproduction; Laconfidentialitéetl intégritédessecretsdefabrication,entrelesiège,l usineetle partenaireenfrance; Lamiseàjourdesprogrammesdeproduction. II Valeursdel entreprise:classificationdesressources Cettepartieapourobjectifdefaireuneclassificationdesressourcesdel'entreprise: 50

61 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 11:Classificationdesvaleursdel entreprise Etape1:Définirlesdomainesd activitésetprocessus La direction générale et les départements opérationnels nous ont permis de valider la cartographiedesdomainesfonctionnelsdansletableaudesprocessusmajeursdel entreprise ci après: DOMAINE Management PROCESSUS Prisededécisions DépartementR&D Recherche Développement DépartementR&D Département Production Département Logistique DRH DRH Marketing Finance Finance Finance Finance Service Commercial Service Commercial Service Commercial Service Commercial Département informatique Département informatique Département informatique Production Logistique Paie DESCRIPTION Ensemble des éléments contribuant à la prise de décisions (acquisition, cession,donnéesbudgétairesetprévisionnels,etc.). Travauxderechercheavancéeconduisantàdesnouveauxprojetsde produits. Elaborationdesprocessusdefabricationdenouveauxproduits,et élaborationdescaractéristiquesdesproduits. Production des produits cosmétiques, contrôle qualité, conditionnement. Gestiondestocks,Préparationdescommandes,Expéditionversle réseaudedistributionsfranchisées. Gestiondelapaieetdescomptespersonnelsassociés(intéressement). Gestiondesfrais(avancessurfrais,paiementdesnotesdefrais,etc.). Recherchedesélémentssignificatifsdumarchéetélaborationd'une stratégiedevente. Comptabilitégénéraleetgestiondesobligationslégalesafférentes Comptabilité (fisc,comptessociaux,etc.) Gestionducontentieuxentrelalogistiqueetlacomptabilité(clientset Contentieux fournisseurs). Consolidationdescomptes,soldesdegestionettableaudebord. Contrôledegestion Gestionetoptimisationdesfluxdetrésorerie.Gestiondesrelations Trésorerie aveclesorganismesfinanciersetlesdouanes. Elaborationdesoutilsdeventespécifiquesd'untypedeproduitoude Commercialisation service. Propositioncommerciale Elaborationdel'offrespécifiqued'unclient(pourlesoffressurdevis). Frais Marketing Gestiondescommandes Gestionetsuividescommandesclient,depuisl'offrejusqu'àla livraison(incluantounonlamaintenance). Gestionpermanentedesclients,deleursparticularités.Gestiondes ciblescommerciales. Architectureexploitation Architectureréseaux&systèmes,Administrationetexploitationdes centresinformatiques. informatique Suividesclients Projetsinformatiques Développements d'applications informatiques. Maintenance des applicationsexistantes. Supportsauxutilisateurs Assistanceauxutilisateurs,Formation,conseil 51

62 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Achats Juridique Achats Accordsetcontrats Support Servicegénéraux Gestiondescommandes(produitsetservices)etdesfournisseurs Gestiondesaccordsetcontrats.Enregistrementetconservationdes piècescontractuelles. Ensembledesprocessusdesservicesgénéraux,courrier,standard téléphonique,entretien,etc. Tableau2 13:Domained activitésetprocessusde«bénincosmetic» Etape2:Détecterlesprocessussensibles D aprèsladirectiongénéraleetlesresponsablesdesdépartementsopérationnelsde«bénin Cosmetics),lesprocessuscritiquessont: «Achat»dansledomaine«Achat»; «Production»dansledomaine«DépartementProduction»; «gestiondescommandes»dansledomaine«commercial»; Leprocessus«Achat»permetauresponsabledesachatsdemieuxchoisirlesfournisseursde matièrespremièresenprenantencomptelescoûts,laqualitéetlesdélaisdelivraison.ilen résulterapour«bénincosmetics»unemeilleurecompétitivitéetunchiffred affaireen conséquence. Etape3:Déterminerlescritèresd impact Danscetteétape,ils'agitdedemanderauxresponsables,quelseraitl'impactsurl'entrepriseen termesopérationnels,financiersoud'imageencasdedysfonctionnementd'undesprocessus vitaux. Nousdéfinissonslescritèresd'impactpourlesprocessusdechaquedomaineàpartirdu tableausuivant: IMPACT Domaines DépartementR&D DépartementR&D DépartementR&D DépartementR&D Commercial Commercial Commercial Commercial Commercial Commercial Commercial DépartementProduction DépartementProduction DépartementProduction DépartementProduction Finance Finance Finance Finance Juridique Juridique Juridique Descriptiondel impact Divulgationdeplansdenouveauxproduitsoudesavoir faire Pertedesavoir faire Nontenuedesdélaisdedéveloppement Augmentationdeschargesdedéveloppement Incapacitéàexploiterdesopportunitéscommerciales Pertedechiffred'affaire Baissed'efficacitécommerciale Augmentationdeschargescommerciales Pertedecompétitivité Pertedeconfiancedesclients Incapacitéàremplirdesobligationscontractuelles Nontenuedesdélaisdeproduction Augmentationdeschargesdeproduction Pertedeproductivité Détériorationdelaqualitédelaproduction Paiementdepénalitéscontractuelles Détournementdefonds Augmentationdeschargesadministratives Augmentationdurisquedefraude Miseenexamend'unmembreduDirectoire Poursuitejudiciairedelasociété Pertedeprotectionjuridiquedupatrimoine 52

63 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Personnel Divulgationderenseignementsconcernantlavieprivée Management Prisedemauvaisesdécisionsdemanagement Tableau2 14:Déterminationdescritèresd impact Etape4:Définirlesseuilsdecriticité Ilestnécessaire,danscetteétape,d'établirlesquatreseuilsdecriticitéassociésàchaque critèred'impactretenu: Seuil1:Sansdommagesignificatifsurlesopérationsde«BéninCosmetics»; Seul 2: Dommage important sur les opérations de «Bénin Cosmetics» sur la compétitivité; Seuil3:Gravedommagenecompromettantpasundomainede«BéninCosmetics»; Seuil4:Dommagesextrêmementgravesmettantendangerlasurviede«Bénin Cosmetics»; Nousdéfinissonslesseuilsdegravitéd'impactpourchaquecritèred'impactretenuàpartirdu tableausuivant: SEUILSD'IMPACTS Indiquerpourchaquecritèred'impact,lesseuilsdegravité,ensebasantsurlesdéfinitionssuivantes: Gravité1:Impactnonsignificatifauniveaude«BéninCosmetics». Gravité2:Impactsignificatif,résorbéfacilementetrapidement. Gravité3:Sinistregravedont«BéninCosmetics»mettraplusieursmoisàseremettre. Gravité4:Sinistreextrêmementgravemenaçantlasurviede«BéninCosmetics»oudontellemettraplusieursannéesàseremettre. SEUILS TYPE Gravité1 Gravité2 Gravité3 Gravité4 D IMPACT Divulgationdeplans denouveauxproduits oudesavoir faire Pertedesavoir faire Nontenuedesdélais dedéveloppement Augmentationdes chargesde développement Divulgationpartielle nepermettantpasà laconcurrencede rattrapersonretard. Destructiondela copied'unou plusieursfichiers d'unreprésentanten tournée. retardinférieuràun mois <5% Divulgationpartielle permettantàlaconcurrence denousrattraperplusde6 moisaprèslelancement. Indisponibilitédelabase d'informationstechniques pourlamaintenance, pendantunedurée inférieureà1semaine Divulgationpermettantàla concurrencedenousrattraper audébutdulancementd'un produitstratégique(entre0et 6mois). Destructiondel'ensemblede l'aideautomatiséeàla maintenance(reconstitution: plusieursmois)ou indisponibilité>1semaine retardcomprisentre1et3 mois 5%<Delta<20% retardcomprisentre3et12 mois >20% Retardsupérieurà1an Départd'uneéquipe hautementspécialisée, seulecapabled'assurerla maintenanced'unproduit majeurdel'entreprise. Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu Etape5:Recenserlesressources Unefoisleniveaudedécompositionchoisi(enfonctiondelagranularitéd'analysesouhaitée) etaprèsavoirconfirméleslimitesdudomaineétudiéetprécisélesintentionsenmatière d'investigationplusoumoinspoussée,nousrecensons,àl'aided'untableaudumodèleci après,lesressourcesquel'onveutclassifier. RESSOURCES Indiquerlesressourcesquel'onsouhaiteclassifier,leurtype,ainsiqueleurdomaineetéventuellementlesprocessusauxquelselles appartiennent. Danslescolonnesdomainesetprocessus,"tous"signifiequelaressourceestuniquepourtouslesdomaines,"chaque"signifiequel'on identifieuneressourcedifférentepourchaquedomaine. NOM SiègesocialCotonou UsineParakou SalleserveursCotonou SalleserveursParakou CentredeproductionParakou TYPE Siteetbâtiments Siteetbâtiments Locaux Locaux Locaux 53 DOMAINES Tous Tous Tous Tous Tous PROCESSUS

64 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LANCotonou Réseau Tous LANParakou Réseau Tous Réseaupublic«BéninTélécoms» Réseau Tous Serveurdestockage Système Tous Serveurs«métiers» Système Tous Serveurmessagerie Système Tous SAGESAARI Logiciel commercial GES_DRH Logiciel Personnel Personnelinformatique Ressourcehumaine Tableau2 16:Recensementdesressources Tous Tous Etape6:Classifierlesressources L objectifdecetteétapeestdefaireuneclassificationdesressourcesretenuesdansl étape5. La classification des ressources, qui consiste à analyser si une perte de disponibilité, d intégritéoudeconfidentialitéd uneressourcepeutconduireàundescritèresd impacts retenuset,dansl affirmative,àquelniveaumaximum.ceniveauestalorslaclassificationde laressourcepourl'aspectconsidéré(disponibilité,intégritéouconfidentialité). Pourchacunedecesressources,onseposelesquestionssuivantes: Quesepasserait ilsilaressourceétaitnondisponible?(disponibilité); Quesepasserait ilsilaressourceétaitnonfiable?(intégrité); Que se passerait il si la ressource était atteinte par des tiers non autorisés? (Confidentialité); Cetteétapepermetdoncdetrouverunevaleurproprepourchaqueressource: Impact Disponibilité Intégrité Confidentialité Pertedechiffred affaire Pertedeconfiancedesclients Baissed efficacitécommerciale Synthèsedeclassification Tableau2 17:Déterminationdelavaleurpropredechaqueressource Ressource:SAGESAARI Lorsd'uneréunionaveclaDirectionGénéraleetlesdirectionsopérationnelles,nousvalidons laclassificationdesressourcesdansletableaudesynthèsedelaclassificationdesressources ci après: RESSOURCES NOM Disponibilité Intégrité Confidentialité SiègesocialCotonou UsineParakou SalleserveursCotonou SalleserveursParakou CentredeproductionParakou LANCotonou LANParakou Réseaupublic«BéninTélécoms» Serveurdestockage Serveurs«métiers» Serveurmessagerie SAGESAARI GES_DRH Personnelinformatique Tableau2 18:Tableaudesynthèsedelaclassificationdesressources 54

65 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Lapolitiquedesécurité La politique de sécurité du système d information ne peut s élaborer correctement et efficacementsiellenetientpascomptedelastratégieglobaledesécuritéde«bénin Cosmetics».Lapolitiquedesécuritésebasesurdesnormesnationalesetinternationalestout enrestantenconformitéavecleslégislationsenvigueurdanslepays. «BéninCosmetics»nedisposepasd unepolitiquedesécurité II Lachartedemanagement Aucoursd uneréunionaveclestaffmanagérialde«bénincosmetics»,ilnousprésentesa «CharteManagérialepourl usagedesressourcesinformatiquesetdesservicesinternetà l entreprisebénincosmetics» Cettechartedevraitpermettre: De renforcer la sécurité des systèmes d informations en informant et en responsabilisantlesutilisateurs; Depréciserlesprérogativesetlecadredetravaildechaquetyped acteurpouréviter desactionsdangereusesvoireillégales,pouvantengagerlaresponsabilitécivileou pénaledeleursauteurset/oudeladirectiongénéraleetledépartementinformatique; Devousmettreenconformitéaveclaloi. Cettechartedoitégalementinformerlesutilisateursdel existencededispositifsdecontrôleet d éventuellessanctions. II.3.2.3Planopérationneldesécurité Leplanopérationneldoitobligatoirementêtreprécédéd'unplanstratégiquedanslamesureoù la définition d'une métrique des risques et une classification des ressources sont indispensables,quellequesoitl'importancedel'entrepriseconsidérée,àl'évaluationdes risquesetàladéterminationobjectivedesbesoinsenservicesdesécurité.l'élaborationd'un planopérationneldesécuritérésultesoit: Deladécisiond'uneunitéindépendanteoud'unresponsabled'activité(casdespetites entreprises,professionslibérales,etc.).danscecas,onpeutconsidérerque,bienque faisantl'objetd'étapespréalablesspécifiques(impérativementladéfinitiondela métriquedesrisquesetlaclassificationdesressources),leplanstratégiquesera pratiquementintégrédansleplanopérationnel; deladécisiond'uneunitéautonome,quidevraseplierauxexigencesdéfiniesdansle planstratégiqueauxfinsdecoordinationetdecohérence; delamiseenœuvredelapolitiquedesécuritédécidéeauniveaucentraletdontle planopérationnelestundescomposants. Leplanopérationnelpeutêtreélaboré: soitàpartird'uneapprocheanalytiquebaséesurunauditdesservicesdesécuritéen place assuré principalement, parce que ce sont eux qui en ont la meilleure connaissance,pardestechniciens; 55

66 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS soitàpartird'uneévaluationdesfacteursderisque,c'estàdired'uneappréciationde leurincidencesurlagravitédurisque.unetelleapprocheglobale,faitd'abordappelà l'appréciationetauraisonnementdesutilisateursdessystèmesinformatiques. Figure2 12:Elaborationduplandesécurité II Préliminaires Etape1:Définitiondudomainecouvertoupérimètredel étude SurrecommandationdelaDirectionGénéralede«BéninCosmetics»,ledomainecouvert parl étudeest: Les2sitesdel entrepriseàcotonouetàparakou; LeslocauxtechniquesdusiègeàCotonouetàParakou; LecentredeproductionàParakou; LesréseauxlocauxdusiègeàCotonouetducentredeproductionàParakou; Réseaupublic«BéninTélécoms»; Lesserveurs; LesapplicationsSAGESAARIetGES_DRH; 56

67 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Etape2:réalisationdeladécompositioncellulaire Auseind uneorganisationcomme«bénincosmetics»quiestrepartieenplusieurssiteset plusieurssystèmesinformatiques,lesrésultatsd auditssontforcémentdifférentsselonles élémentsmisenjeu.laréalisationdenotreauditamisenlumièretoutescesdifférencesafin d avoirunevueréelledelavulnérabilitédessystèmesexistants.cettetâchenousaété facilitéeparladécompositioncellulaire. Lesservicesdesécuritésontrassemblésdanslestypesdecellulesauniveaudelabasede connaissances,cequifacilitel identificationduprofildesrépondants(untypedecellule rassemblantlesquestionsdestinéesàunprofilderépondant). Nousavonsretenupourl entreprise«bénincosmetics»ladécompositionsuivante: Entité:Entreprise«BéninCosmetics»; Sites:SiègeàCotonou,usineàParakou; Locaux:localtechniquesiège,localtechniqueusineParakou,centredeproduction, bureauxsiègescotonou,bureauxusineparakou; Architectureréseauxettélécom:LANsiègeCotonou,LANusineParakou,réseau étendu«bénintélécoms»; Exploitationréseauxettélécoms:exploitationdesréseauxtéléphoniques; Architecture des systèmes: serveur métier, serveur de stockage, serveur de messagerie; Applicationsopérationnelles:applicationSAGESAARI,GES_DRH; Ladécompositioncellulaireestuneétapedéterminantepourl étudedesrisques.ellesefait trèssouventàl aided outilscommerisicarequiautomatiseaussil étudedesrisques. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonouetusineàparakou C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou,localtechniqueàParakou,centrede productionàparakou,bureauxdusiègeàcotonou,bureauxusineàparakou; D. Domainedel architectureréseauettélécoms:landecotonou,landeparakou,réseauétendude «BéninTelecoms» E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage,serveurmétier, serveurdemessagerie G. Domainedelasécuritédelasécuritéapplicative:ApplicationSAGESAARI,application GES_DRH H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH Tableau2 19:Décompositioncellulairedel entreprise Etape3:Reprisedelaclassification Nousavonsreprislaclassificationdescellulesenfonctiondestroiscritèresd impact: disponibilité(d),intégrité(i),confidentialité(c).chaquecellules estvueaffectéed une valeurindiquantsondegrédecriticitéparrapportàuncritèredonné. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonou(1,1,2)etusineàparakou(2,1,2) C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou(4,4,4),localtechniqueàParakou (4,4,4),centredeproductionàParakou(2,2,1),bureauxdusiègeàCotonou,bureauxusineàParakou; D. Domainedel architectureréseauxettélécoms:landecotonou(4,4,4),landeparakou(4,4,4), réseauétendude«bénintelecoms»(4,4,4) 57

68 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques(4,4,4) F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage(2,2,2),serveur métier2,2,2),serveurdemessagerie(4,4,4) G. Domainedelasécuritéapplicative:ApplicationSAGESAARI(2,2,2),applicationGES_DRH(2, 2,2) H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH(2,2,2) Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact II Auditdel existant L auditdel existantsedécomposeendeuxépreuves:laréalisationdel auditetlaproduction desrésultatsdel audit. Pourchaquecellule,ilfallaitrencontrerlaoulespersonnesconcernéesparcelles cietayant leprofilassociéautypedecelluleauquelappartientcettecellule. Pourunequestionde pertinence,nous avonsporténotrepréférencesurdesquestions dichotomiques.cequiimpliquequelerépondantdoitindiqueruneréponseouiounon pourchaquequestion(encasd hésitationouderéponsepartiellementaffirmative,onachoisi derépondrenonparprudence).nousavonsaussidonnélapossibilitédechoisirs.opour sansobjetaucasoùlesquestionsd auditneconcernentpasl étude. Laproductiondesrésultatsdel auditpasseparuneconsolidationdesréponsesenvue d obtenirunenotepourlesousserviceauquelellesappartiennent.cecalculfaitintervenir unemoyennepondéréenorméede0à4plus,éventuellement,unenotiondeseuilmaximumet minimum. LeseuilMaxestutilisépourlesquestionsindispensablesauseind'unsousservice,il correspondàlalimitemaximumdeniveaudequalitéquepeutatteindrelesousservice lorsqu'onarépondunonàcesquestions. Al'inverseleseuilMinestutilisépourlesquestionssuffisantesauseind'unsousservice,il correspondàlanoteminimaleatteintelorsqu'onaréponduouiàcesquestions. Naturellementsiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMax différents,onretiendraleseuilmaxleplusfaible. Al'inversesiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMin différents,onretiendraleseuilminleplusélevé. EncasdeconflitentreseuilsMAXetMIN(c'estàdireundéclenchementdeseuilMAXde valeurinférieureàcelled'undéclenchementdeseuilmin),c'estleseuilmaxquiprévaudra. Cesrésultatsd'auditpeuventêtreutiliséspourproduiredestableauxdevulnérabilitépour chacunedescellules. QUESTIONNAIRED AUDIT:DOMAINEDESLOCAUX Question Qualitédelafournitured énergie L'énergieélectriquefournierépond elleauxexigencesmaximalesspécifiéespar lesfournisseursd'équipementsavecunemargesuffisante? Ya t ilunsystèmederégulationélectriquecomportantaumoinsunonduleur pourleséquipementssensibles? Continuitédelafournituredel'énergie Existe t iluneinstallationélectriquedesecourscapabled'assurerlacontinuitédu servicedeséquipementscritiques(s'appuyantsurungroupeélectrogèneassociéà uneréservedecarburantsuffisanteousurdesarrivéesindépendantesd'énergie)? Teste t onrégulièrementlacapacitédusystèmedesecoursàassurerlacharge prévue(lesdélestageséventuelsayantétéeffectués)? 58 Rép. P Max Min Commentaire

69 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sécuritédelaclimatisation Y a t il un système de climatisation créant une ambiance (température, hygrométrie, poussières) conforme aux prescriptions des constructeurs des 4 matérielsinstallés? Vérifie t onrégulièrementlacapacitédusystèmedeclimatisationàassurersa 4 fonctiondanslespiresconditionsclimatiquesenvisageables? Protectioncontrelafoudre L'immeubleest ilprotégéparunparatonnerre? 4 Lescircuitsélectriquesetlecâblagesont ilsprotégéscontrelessurtensionset 4 contrelafoudrepardeséquipementsspéciaux? Contrôled'accèsauxlocauxsensibles Lesdroitsd'accèspermanentsousemi permanents(pouruneduréedéterminée) auxlocauxsensiblessont ilsdéfinisparrapportàdes"profils"typesprenanten comptelafonctionetlestatut(personneld'exploitationinformatiqueoutélécom, 4 personnels des services généraux ou de sécurité, pompiers, prestataires de maintenanceoud'entretien,fournisseursdeservices,stagiaires,visiteurs,etc.)? Les profils permettent ils également de définir des créneaux horaires et 4 calendairesdetravail(heuresdébutetfindejournée,week end,vacances,etc.)? Lesbadgesoucartesmatérialisantlesautorisationsd'accèsauxlocauxsensibles 4 sont ilspersonnalisésaveclenomdutitulaireetsaphoto? Utilise t onunsystèmedecontrôled'accèssystématiqueauxlocauxsensibles? 4 L'authentification fait elle appel à des moyens infalsifiables détenus par 4 l'utilisateur(carteàpuceoureconnaissancebiométrique,parexemple)? Lesystèmedecontrôled'accèsgarantit iluncontrôleexhaustifdetoutepersonne entrantdansleslocaux(sasnepermettantlepassagequed'unepersonneàla 4 fois,processusinterdisantl'utilisationdumêmebadgeparplusieurspersonnes, etc.)? Sécuritéincendie A t onfaituneanalysesystématiqueetapprofondiedetouslesrisquesd'incendie (court circuitauniveauducâblage,effetdelafoudre,personnelfumantdansles locaux, appareillages électriques courants, échauffement d'équipement, 4 propagation depuis l'extérieur, propagation par les gaines techniques ou la climatisation,etc.)? Existe t iluneinstallationdedétectionautomatiqued'incendiecomplètepourles 2 locauxsensibles(fauxplanchersetfauxplafondss'ilsexistent)? L'installationdedétectionest ellecomposéed'aumoinsdeuxtypesdedétecteurs 4 (parexemple:détecteursdefuméeioniquesetoptiques)? Lepostedesurveillancea t illapossibilitédefaireintervenirrapidementune équiped'interventionayantlesmoyensd'actionsuffisantspouragir(diagnostic 2 précis de la situation, extinction manuelle, déclenchement ou validation de l'extinctionautomatique,appeldessecours,etc.)? Tableau2 21:Extraitsduquestionnaired auditdeslocaux QUESTIONNAIRED AUDIT:DOMAINEDURESEAULOCAL Question Sécuritédel'architectureduréseaulocal A t on effectué un partitionnement du réseau local en séparant du réseau strictementinterneleszonesdecommunicationavecl'extérieur(dmz)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? Enparticuliertoutréseausansfil(Wlan)est ilconsidérécommeundomaine distinctstrictementisoléduresteduréseau(parfirewall,routeurfiltrant,etc.)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? 59 Rép. P Max Min Commentaire

70 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sûretédefonctionnementdesélémentsd'architectureduréseaulocal A t onanalyséchaquedomainedesécuritépourdéterminerlesexigencesde continuité de service et en a t on déduit, si nécessaire, une architecture de 4 redondanceauniveaudespointsd'interconnexion,deséquipementsetdumaillage duréseau? L'architecturedeséquipementsderéseaupermet elleuneadaptationfacileaux 4 évolutionsdecharge(clusters,grappes,etc.)? Organisationdelamaintenancedeséquipementsduréseaulocal Tous les équipements du réseau local sont ils couverts par un contrat de 2 maintenance? A t on identifié les équipements critiques pour l'exploitation et la tenue des performances annoncées et, pour ceux ci, les délais de remise en service 4 souhaitableetlesdélaismaximumtolérablesencasdedéfaillance? Procéduresetplansderepriseduréseaulocalsurincidents A t onétabliunelistedesincidentspouvantaffecterlebonfonctionnementdu réseaulocalet,pourchacund'eux,lasolutionàmettreenœuvreetlesopérationsà 2 menerparlepersonneld'exploitation? Lesmoyensdediagnosticd'unepartetdepilotageduréseaulocal(reconfiguration) d'autrepartcouvrent ilsdemanièresatisfaisantetouslescasdefiguresanalyséset 4 permettent ilsdemettreenœuvrelessolutionsdécidéesdanslesdélaisspécifiés? A t ondéfini,pourchaqueincidentréseau,undélaiderésolutionetuneprocédure 4 d'escaladeencasd'insuccèsouderetarddesmesuresprévues? Plandesauvegardedesconfigurationsduréseaulocal A t onétabliunplandesauvegarde,couvrantl'ensembledesconfigurationsdu 4 réseaulocal,définissantlesobjetsàsauvegarderetlafréquencedessauvegardes? Ceplandesauvegardeest iltraduitenautomatismesdeproduction? 4 Teste t on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur documentation et de leur paramétrage permettent 4 effectivementdereconstitueràtoutmomentl'environnementdeproduction? PlandeReprised'Activité(PRA)duréseaulocal Existe t il une solution de secours, parfaitement opérationnelle, pour pallier 4 l'indisponibilitédetoutéquipementoudetouteliaisoncritique? Cessolutionssont ellesdécritesendétaildansdesplansdereprised'activité incluantlesrèglesdedéclenchement,lesactionsàmener,lespriorités,lesacteursà 4 mobiliseretleurscoordonnées? Cesplanssont ilstestésdemanièreopérationnelleaumoinsunefoisparan? 4 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal Cestableauxetgraphiquesnouspermettentdefaireunreportingsurlavulnérabilitédela société.bienquecenesoitpaslafinalitédelaméthodeméhari,celanousfacilitela comparaisondediversescellulesdumêmetypeetnouspermettraunsuividansletempsde cettevulnérabilité. II Evaluationdelagravitédesscénarii LabasedeconnaissancesMéharioffreunelistedescénariitypesainsiquelessixformules indiquantlessousservicesutiliséspourchaquetypedemesure(structurelle,dissuasive, Préventive,deProtection,Palliative,deRécupération). 06 Altérationdesdonnées 10 Accidentdetraitement I N 11 Accidentd exploitation Stru Diss Prév Min(01B05;01C01) Max(06D01;min(07A05;07D03)) Prot Pall Récup Min(08B04;07E03) Min(07D05;08D02) Min(01D02;01D05) 12 Altérationaccidentelledesdonnéespendantlamaintenance I N 60

71 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Stru Diss Min(01B05;01C01) Prot Pall Min(08B04;07E03) Min(07D05;08D02) Prév Max(07A05;09C01) Récup Min(01D02;01D05) 20 Erreurdesaisie 21 Enamontdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) 22 Lorsdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Basedes connaissances) Pourillustration,lesscénarii6.22quiconcernel altérationdedonnéesayantpourcauseune erreurdesaisiededonnéesetpourorigine,nousavonsquantifiélesmesuresstructurellespar laformule:min(01b05;01c01),celasignifiequelessousservices01b05:«sensibiliseret formeràlasécurité»et01c01:"motiverlepersonnel"sontimpliquésdanslaquantification decesmesuresstructurelles. Ensepenchantsul ensembledessousservicesdelabasedesconnaissancesméhari2007 impliquésdanslaquantificationdessixtypesdemesurespourcescénario,leconstatquise dégageestqu ilsappartiennentautypedecelluleentité,productioninformatiqueetsécurité Applicative,nousdironsquecescénarios appuiesurcestroistypesdecellulespourse réaliser. Pourunscénariotypeetlescellulesassociées(parexemplelescénario622dutableau précédent se réalisant dans les cellules Entité et Production Informatique et Sécurité Applicative),oncalculepourchaquetypedemesure(Structurelle,Dissuasive,Préventive,de Protection,PalliativedeRécupération),l efficacitédecelle ci:eff Stru,Eff Diss,Eff Prev, Eff Prot,Eff Recup.Pourcela,onutiliselesformulesassociéesàchaquetypedemesuredu scénariotypeétudié. Réplicationduscénariodanslescellules Code Domainede l organisation Domainede lasécurité desserveurs 0622/1 Entreprise «Bénin Cosmetics» Entreprise «Bénin Cosmetics» Exploitati ondes ApplicationSAGE serveurs SAARI Exploitati ondes ApplicationGES_DRH serveurs Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés 0622/2 Domainedelasécuritédes applications expo Diss Prev Prot Pall Recup P RI GMax OndéduitlapotentialitéSTATUS Pàpartirdestroisstatutsdepotentialité(STATUS EXPO, STATUS DISS,STATUS PREV)enutilisantlagrillecorrespondantautypedescénario(P MALVEILLANCE,P ERREUR,P ACCIDENT). Lescénario06.22: Altérationdedonnéesparerreurlorsdelasaisie estdetypeerreur. 61

72 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Expressiondesbesoinsdesécurité Les besoins de sécurité sont déduits de l'évaluation de la gravité des scénarii et de l'appréciation,aussiobjectivequepossibledesservicesdesécuritéayantuneinfluencesur cettegravité. Lesprincipauxsoucisdetouslesacteursdelasécuritéestnaturellementderéduireàleur strictminiumlesrisquesinsurmontables(enpriorité)puisinadmissibles,jusqu àcequele niveaudusinistrepotentielpassesouslabarreduseuilfixécommenedevantpasêtrefranchi. L expressiondesbesoinsdesécuritéseradonc,d'abord,l'expressiondesbesoinsdemesures spécifiquesrépondantauxrisquesmajeurs(insupportablespuisinadmissibles)découlantde l'étudedesscénariilesplusgraves. Mais,s ilestcrucialderéduirecesrisquesmajeurs,ilestégalementimpératifdeveilleràce quechaqueentitéappliquedesmesuresdesécuritégénéralequisoientconformesauxchoix définisparlapolitiquedel entrepriseetrépondentàsesrisquescourants.c estpourquoi l expressiondesbesoinssetraduira,outrelamiseenplacedesmesuresspécifiquesau domaineétudié,parunensembledemesuresrésultantd unecomparaisonentreleniveaude qualitédesmesuresenplaceetleniveauspécifiéparlapolitiquedesécuritédel entreprise. Mesuresgénéralespourlacelluleexploitationdesserveurs Note Code Sousservice A02 Sécuritédesimpressions D02 Organisationdelamaintenance E02 Traitementdesincidents A07 Contrôledelatélémaintenance A08 Administrationdesserveurs A01 Contratsdeservice Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacelluleexploitationdesserveurs Mesuresgénéralespourlacellulesécuritéapplicative Note Code Sousservice A02 Reconfigurationlogicielle D02 Identificationdel origine(signature ) E02 Localisationd unévénementdansletemps(horodatage) A07 Notarisation(anti répudiation) Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécuritéapplication GES_DRH Pour élaborer le plan d'action des mesures générales, nous prendrons en compte les contraintesorganisationnelles,techniquesmaisaussifinancières.pourl'ensembledesmesures généralesnouspourronstraiterlessousservicesutilisantdesaspectslégauxouréglementaires (preuveetcontrôle,traçabilité,auditabilité, ). Pourmenercetteétudeconcernant«BéninCosmetics»,nousavonstraitélessousservices suivants: 08F01Identificationdel'origine(signature,.); 08F06Localisationd'unévénementdansletemps(horodatage, ), 08F05Notarisation(anti répudiation) 62

73 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II.3.2.4Planopérationneld entreprise LePlanOpérationneld Entreprise(POE)estlaconsolidationdesactionsdesécuritéengagées danschaqueunité.c estdanscettephasequel ondoitpositionnerdesindicateursdesécurité pour suivre l évolution du niveau de sécurité globale de l entreprise. Ces indicateurs permettrontdesurveillerlespointssensiblesounévralgiquesdel entrepriseetàladirection Généraledesuivrel évolutionduniveauglobaldesécuritéenfonctiondeobjectifsdéfinis. LePOEdonneralieuàl établissementd untableaudebordetpourraaussiêtrel occasion d unéquilibrageentrelesunitésdel entreprise. Sidenouveauxbesoinsapparaissent(enraisondelaviemêmedel entreprise)lapolitiqueet lesobjectifsdesécuritédoiventêtremodifiésetlesphases1à3réitérées. II Choixd indicateursreprésentatifs EnraisondesobjectifsdesécuritéquenousafixélaDirectionGénéraleauniveaude l élaborationduplanstratégiquedelasécurité,lechoixdesindicateursporterasurlesscénarii suivants: Pourassurerlaproduction: Départdepersonnelstratégiqued exploitation Cescénarioconcernedirectementlesressourceshumaines Incendiedansunecorbeilleàpapier Cescénarioconcernedirectementleslocaux Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction Pourassurerlaconfidentialitéetlesecretdefabrication: Bombelogiquedansunlogicielparunutilisateur Cescénarioconcernedirectementlestraitementsinformatiques Pertedefichiersparvoldansunbureau Cescénarioconcernedirectementlesstructuressupport Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretdefabrication Pourassurerladisponibilitédesmoyensdecommunicationsavecl usinedeparakou: Accidentsoupannegraverendantindisponibleuneressourcematérielleinformatique(serveur, réseau,lan,wan,etc.) Cescénarioconcernedirectementlestraitementsinformatiques Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavecl usinedeparakou II Elaborationd untableaudeborddelasécuritédel entreprise Letableaudebordpourrapermettred apprécierparexemplelagravitédesscénariiretenusà l'étapeprécédente.l appréciationduniveaudecettegravitéseraréactualiséeàunefréquence déterminéeparl'entreprise Famille Libellédelafamilledescénarii Destructiond équipements Performancesdégradées Divulgationdesdonnées Détournementdesfichiersdedonnées 63 Gravitéinitiale Gravitéfinale

74 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 12 Poursuitejudiciaire 3 3 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii D'autretableaudebordavecdesindicateursspécifiquesavecletempsd'indisponibilitéet/ou retouràunesituationnormalepourraêtrefourniversladirectionsouslaformesuivante: ENTREPRISE«BENINCOSMETICS» Nombred incidentsliésaumotdepasse Nombredetentativesinfructueusesdeconnexionssur lesystème Nombredetentativesd intrusion Nombredeblocagedulogicielmétier Nombrederestaurationdedonnées Nombredevirusayantinfectélamessagerie,leS.I. 09/2008 Nombre Temps /2008 Nombre Temps Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéetretouràune situationnormale II Rééquilibragesetarbitragesentrelesunités Lesrééquilibragesetlesarbitragesbudgétairesentrelesunitésserontdéterminésenfonction desressources(humainesetfinancières)disponiblesquel'entreprise peutaccorder aux différentesunitéspourmettreenœuvrelesplansopérationnelsdesécurité. II Synthèse Lamiseenplaced unedémarchesécuritairebaséesurmehariestdenosjoursunedesplus fiablesdèslorsqu elleestmenéeavecunevolontédel instancemanagérialedel entreprise. Lasécuriténepeutseconcevoirsansunemaitriseréelledesrisquesencourusparl entreprise etsesvaleurs.labasedeconnaissanceetdesscénariiderisquesprédéfiniesfacilitent l identificationdesrisques.ladivisiondesprocessusencellulepermetuneévaluationdes risquesàuneéchelleinfinie. LadémarcheMEHARIestcertesassezharassanteetexigeunvéritableauditdusystème d informationconcerné,maiselleal avantaged êtrebiendocumentéeetrégulièrementmise àjourparleclusif. 64

75 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre3: Les systèmes de protection contre les intrusions Danslelangagecourant,uneintrusionestuneactionvisantàs introduiresansautorisation dansunlieudontonn estpaslepropriétaire.eninformatiqueaussilamêmedéfinitionest applicable;ellesignifielapénétrationdessystèmesd information,maisaussilestentatives desutilisateurslocauxd accéderàdeplushautprivilègesqueceuxquileursontattribués,ou tentativesdesadministrateursd abuserdeleursprivilèges.ellepeutaussirésulterd unver cherchantàassurersapropagation,ouencored uneattaqueautomatisée. Les deux premières parties de ce document ont traité des évolutions de la sécurité informatique,d unétatdeslieuxdelasécuritédessystèmesd informationdanslemondeet desstratégiesdesécuritédessystèmesd informationquisontd usagepoursemettreàl abri desmenacescourantes.cependant,lerapportmenaces/mesures,loind êtresatisfaisant demeuretoujoursunepréoccupationmajeurepourlesorganisationsetlesspécialistesdela sécuritédessystèmesd information. Eneffet,beaucoupdespécialistess accordentavecnataliedagornpourclamerqu «aucun système d information n est sûr à 100%! Parmi les préceptes connus sur la sécurité informatiquesetrouveceluiénonçantque,pouruneentrepriseconnectéeàl Internet,le problèmeaujourd huin estplusdesavoirsiellevasefaireattaquer,maisquandcelava arriver;unesolutionpossibleestalorsd essayerderepousserlesrisquesdansletempsparla miseenœuvredediversmoyensdestinésàaugmenterleniveaudesécurité»[dag]. Lesvulnérabilitésenmatièredesécurités'intensifientd annéeenannée.lecentrede coordinationcertindiqueque417vulnérabilitésontétésignaléesen1999.aucoursdes troispremierstrimestres2002,cechiffreestmontéjusqu'à3222. En2006cemêmechiffreétaitpasséà8064.Encetteannée2008,rienquepourlepremier semestrelenombrede4110vulnérabilitésadéjàétédépassé[crtv]. Àl'heureoùlescorrectifslogicielsnepeuventêtreappliquésaussivitequelatechnologie évolue,deuxquestionsdoiventêtreposées:combiencoûtelestempsd'indisponibilité,etquel estledegrédenuisanceprovoquéparlacompromissiondesdonnées? Parailleurs,unenouvelleinquiétudegrandit:lefaitquelesentreprisessoientpotentiellement responsablesdesdégâtsprovoquésparunpirateetdoiventprouveràlajusticequ'ellesont prislesmesuresnécessairespoursedéfendrecontrelesattaques. Auregarddecetableauinquiétantdelasécuritéinformatique,leséditeursetspécialistesdes solutionsdesécuritéontbienévidemmentréagitenconcevantdessystèmesoudispositifs capablesdeproscrirelesdangersquenepeuventempêcherlesantivirus,pare feuxetautres mesuresclassiquesdesécuritéjusque làenvogue. Dans cette troisième partie, nous allons aborder les systèmes de protection contre les intrusions.eneffet,nousmontreronsgrâceàuneenquêtequenousavonsréalisée,queces systèmesquiajoutentunniveausupplémentairedesécuritéauxsisontméconnusetnégligés auseindesentreprisesetorganisationsouestafricaines. 65

76 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.1Situationdelasécuritédessystèmesd information Situationdelasécuritédessystèmesd information danslasous régionouestafricaine régionouestafricaine Lebutdecedocumentétantdemontrerl importanceetlamiseenplace Lebutdecedocumentétantdemontrerl i mportanceetlamiseenplacedesstratégieset politiquesdesécurité,ilnousasembléopportundecompléterlesétudesetsondagesutilisés danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous région Ouestafricaine.Nousavonsporténotrechoixsur29organisationsduBénin,Nigeretdu avonsporténotrechoixsur29organisationsdubénin,nigeretdu Togo.L enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures.l enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant montrelesentreprisesconcernéesparl enquête concernéesparl enquête: Tableau3 1:LesentreprisesOuest :LesentreprisesOuest africainesconcernéesparl enquête africainesconcernéesparl enquête Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait:«Disposez Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait Disposez vousd une stratégiedesauvegardehors site(backupoff site(backupoff site)?» UnevéritablestratégiedesauvegardedoitressembleràcellemiseenplaceparAfriNIC (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduS (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduSud) disposed unsitederéplicationdesesdonnéesaucaire(egypte). C estleconceptdubackup disposed unsitederéplicationdesesdonnéesaucaire(egypte).c estleconceptdubackup off site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe naturellemêmeimportantenepuissepriverafrinicdesesressour ces.lessauvegardessont naturellemêmeimportantenepuissepriverafrinicdesesressources.lessauvegardessont quotidiennementeffectuéesenligne. quotidiennementeffectuéesenligne. Figure3 1:Entreprisesdisposantd unestratégiedebackupoff :Entreprisesdisposantd unestratégiedebackupoff site site Acettequestion,commelemontrelafigure3 2,79%denotreéchantillonàrépondu Acettequestion,commelemontre échantillonàrépondu «NON»etseuls21%disentêtreentraindeplanifiercesmesures»etseuls21%disentêtreentraindeplanifiercesmesuresneserait neserait cequ àl échelle d unevilleoud unpays. Lasecondequestiondel enquêteseprésentaitcommesuit:«disposez vousd unedémarche Lasecondequestiondel enquêteseprésentaitcommesuit vousd unedémarche sécuritaireconduisantàunevéritablestratégiepuispolitiquedesécurité àunevéritablestratégiepuispolitiquedesécuritéfiable? fiable?». 66

77 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 2:Pourcentagedes Pourcentagedesréponsesausujetdeladémarchesécuritaire. réponsesausujetdeladémarchesécuritaire. Seuls24%desentreprisesontestiméêtresurlepointdelefaireoudecommencerlesétapes Seuls24%desentreprisesontestiméêtresurlepointdele faireoudecommencerlesétapes préliminairesàsamiseenœuvre.76%ont àsamiseenœuvre.76%ontrépondu«non». Latroisièmequestionétait:«:«Disposez vousd undispositifvouspermettantdevousrendre vousd undispositifvouspermettantdevousrendre compted uneintrusionn ayantpascausédedégâts,maisquiapuocc compted uneintrusionn ayantpascausédedégâts,maisquiapuoccasionnervolde données?». Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«:Pourcentagedelacapacitédedétectiondesintrusions«passives passives» Pourcontinueraveclesintrusions,nousavonsaussidemandésiellespeuventprévenirou arrêterentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde terentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde services?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme lemontrelafigure3 5. Figure3 4:Pourcentagedeprotectioncontrelesintrusions«:Pourcentagedeprotectioncontrelesintrusions«actives actives» Enfin,ladernièrequestionétait questionétait:«disposez vousd unplandereprised activitéaprèsun vousd unplandereprised activitéaprèsun sinistre(disasterrecoveryplan) sinistre(disasterrecoveryplan)?». 67

78 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan Acettequestionaussilamajoritédesentreprisesc'est à dire93%ontréponduparlanégative. Acettequestionaussilamajoritédesentreprisesc'est dire93%ontréponduparlanégative. Seuls7%disentyavoirpensé. Seuls7%disentyavoirpensé. Leconstatquenouspouvonstirerdecetteétudeestquenosentreprisesnesontpasdutout Leconstatquenouspouvonstirerdecetteétudeestque nosentreprisesnesontpasdutout préparéesàfairefaceauxréelsrisquesauxquelselless exposentsurtoutencequiconcerne lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommes proposédeterminer lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommesproposé cetteétudeparlaprésentationd untypeassezrécentdesystèmedeprotectionquenos entreprisesdevraientincluredansleursstratégiesetpolitiquesdesécuritéàsavoirles systèmesdeprotectioncontrelesintrusions. protectioncontrelesintrusions. III.2 Concepts des des systèmes de protection contre les intrusions III.2.1Définitionetprincipesdefonctionnement Définitionetprincipesdefonctionnement Onentendparsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«appliances» (c'est à diredesboîtesnoires)capablesdeprotégerlesréseaux diredesboîtesnoires)capablesdeprotégerlesréseauxetsystèmesinformatiques etsystèmesinformatiques contrelesintrusions.commenousl avonsmentionnéprécédemment,cessystèmessebasent surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. Ainsi,ilexistedessystèmesdedétectiond intru essystèmesdedétectiond intrusionsdits«passifs»quiontétédép ontétédéployésde plusenpluslargementetquisont talonnéesaujourd huipardessystèmesdits«actifs»de plusenpluslargementetquisonttalonnéesaujourd huipardessystèmesdits«prévention d intrusions. La recherche et les découvertes en détection et prévention d intrusions sont toujours d actualité, d actualité, notamment en raison des évolutions rapides et incessantesdestechnologiesdes technologiesdessystèmesd information. Ladétectiond'intrusionspeutsedéfinircommel'ensembledespratiquesetdesmécanismes utilisésquipermettentdedétecterlesactionsvisan utilisésquipermettentdedétecterlesactionsvisantàcompromettrelaconfidentialité, tàcompromettrelaconfidentialité, l intégritéouladisponibilitéd uneressource.lanotiond'intrusionestàconsidérerausens largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. D uncôté,ilyalessystèmesdedétectiond dedétectiond intrusions(idspourintrusion (IDSpourIntrusionDetectionSystem) quisontdesmécanismesdestiné destinésàrepérerdesactivitésanormalesoususpectessurlacible àrepérerdesactivitésanormalesoususpectessurlacible analysée(unréseauouunhôte).il analysée(unréseauouunhôte).ilspermettentainsid avoiruneconnaissancesurles ainsid avoiruneconnaissancesurles tentativesréussiescommeéchouéesdesintrusions. chouéesdesintrusions. Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainprocèdeàl examen Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainpr defichiersdelogs(journaux) (journaux)àlarecherchedetoutsignesuspectpouvantindiquerune àlarecherchedetoutsignesuspectpouvantindiquerune intrusion.unsystèmequieffectueunedétectiond' intrusionautomatiséeestappelésystèmede intrusion.unsystèmequieffectueunedétectiond'intrusionautomatiséeestappelésystèmede détectiond intrusion(ids).lorsqu uneintrusionestdécouverteparunids,lesactions typiquesqu ilpeutentreprendresontparexempled enregistrerl informationpertinentedans 68

79 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS unfichierouunebasededonnées,degénérerunealertepare mailouunmessagesurun pager ou un téléphone mobile. Déterminer quelle est réellement l'intrusion détectée et entreprendrecertainesactionspourymettrefinoul'empêcherdesereproduire,nefont généralementpaspartiedudomainedeladétectiond'intrusion.cependant,quelquesformes deréactionautomatiquepeuventêtreimplémentéesparl'interactiondel'idsetdesystèmes decontrôled'accèscommelespare feu.lediagrammesuivantillustrelefonctionnementd un IDS. Trafic/Application Détection Abus/Anomalie Alerte Détection Abus/Anomalie Logs Collecte d informations surl attaque/ l attaquant Analysehumaine Blocage port Figure3 6:Fonctionnementd unids D unautrecôté,ilyalessystèmesdepréventiond intrusions(ipspourintrusionprevention System)quisontdesmécanismesayantpourbutd anticiperetdestopperlesattaques.la préventiond intrusionestappliquéeparquelquesidsrécentsetdiffèredestechniquesde détectiond'intrusiondécritesprécédemment.aulieud'analyserleslogsdutrafic,c'est à dire découvrirlesattaquesaprèsqu'ellessesoientdéroulées,lapréventiond'intrusionessaiede prévenircesattaques.làoùlessystèmesdedétectiond'intrusionsecontententdedonner l'alerte,lessystèmesdepréventiond'intrusionbloquentletraficjugédangereux. Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oudedétectiond intrusions (NIDS). 69

80 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leprincipedefonctionnementd unipsestsymétriqueàceluid unids(idshôteetids réseau),ajoutantàcelal analysedescontextesdeconnexion,l automatisationd'analysedes logsetlacoupuredesconnexionssuspectes. ContrairementauxIDSclassiques,aucunesignaturen'estutiliséepourdétecterlesattaques. Avanttouteaction,unedécisionentempsréelestexécutée(c'est à direquel'activitéest comparéeàunensemblederègles).sil'actionestconformeàl'ensemblederègles,la permissiondel exécuterseraaccordéeetl'actionseraexécutée.sil'actionestillégale(c'est à direquesileprogrammedemandedesdonnéesouveutleschangeralorsquecetteactionne luiestpaspermise),unealarmeestdonnée.danslaplupartdescas,lesautresdétecteursdu réseau(ouuneconsolecentrale)enserontaussiinformésdanslebutd empêcherlesautres ordinateursd'ouvriroud'exécuterdesfichiersspécifiques. Plusieursstratégiesdepréventiond intrusionexistent: Host basedmemoryandprocessprotection:quisurveillel exécutiondesprocessuset lestuedèslorsqu ilsontl airdangereux(bufferoverflow).cettetechnologieest utiliséedansleskips(kernelintrusionpreventionsystem); Sessioninterception(ousessionsniping):quitermineunesessionTCPavecla commandetcpresest(«rst»).ceciestbeaucouputilisédanslesnips(network IntrusionPeventionSystem); Gatewayintrusiondetection:siunNIPSestplacéentantquerouteur,ilbloquele trafic ou envoie des messages aux autres routeurs du réseau pour modifier adéquatementleurslistesd accèspourbloquerlessourcesjugéesagressives. Lediagrammeci aprèsillustrelefonctionnementd unips: Application Action Décisionentempsréel Refuser Permettre Alerte Exécuteruneaction Figure3 8:Fonctionnementd unips III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions Enprofitantdesbugslogiciels,enexploitantlesfaiblessesdesprotocolesetenpiratantles motsdepasse,lespiratespeuventrechercheretexploiterdesportesouvertesdansleslignes dedéfensed unréseaud entreprise.orcesportespeuventêtreferméesparunsystèmede détectionoudepréventiond intrusions: détectionprécisedesattaques; arrêtdesattaques; simplificationdelagestiondelasécurité; documentationappropriée(journauxdétaillés); flexibilitérequisepourrespecterlesrèglesdesécurité; doublevérification(aprèscelledespare feuxmalconfigurés); 70

81 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS vérificationdelabonneapplicationdesrèglesdesécurité; interceptiondesattaquesquelespare feulaissentpasserdemanièrelégitime; interceptiondestentativesinfructueuses; interceptiondespiratagesvenantdel'intérieur; détectiondesattaquesanormaleslancéesdepuisunterminalinoccupé; détectiondefaillespouvantêtreexploitéespardesintrus; documentationfournieavant,pendantetaprèsuneattaque. Lessystèmesdeprotectioncontrelesintrusionspeuventêtredéployésauniveaudespoints d'accès,derrièrelespare feux,surdiverssegmentsetserveursouàdifférentsemplacements oùilsferontofficed'agentsdesécuritédupérimètre.ensurveillantletraficpourprotégerles systèmesdesattaquesinternesetexternessurleréseau,cessystèmesdétectentetarrêtentles piratesquitententdes'introduiredanslesréseaux.lesméthodesdedétectionincluent l'utilisationdesignaturesd'attaque,lavérificationd'anomaliesdeprotocolesetd'actions inhabituelles. Lespiratesexploitentconstammentdenouvellesfailles.Entrouvantd'autresméthodespour accéderàvotreréseauinterne,ilslancentdenouvellesattaquessophistiquéesquinesuivent pasunschémadéfini.tandisqueladétectionbaséesurlessignaturesestunsystèmerobuste, ladétectiondesanomaliesdeprotocolespeutêtreutiliséepouridentifierlesdiversesattaques quin'observentpaslesscénariihabituels. Ainsi,ungrandnombred'attaquesréseaupeuventêtredéjouéesgrâceauxsystèmesde détectionetdepréventiondesintrusions.cesontdesoutilsquidemandentuneconfiguration fineetuneanalyserégulièredesfichiersjournaux. LessystèmesIDSetIPSappliquentdesméthodessimilaireslorsqu'ilsessaientd'intercepter desintrusoudesattaquessurleréseau.ilsontgénéralementunebasededonnéesde signatures,quipeutêtrerégulièrementmiseàjouràmesurequedenouvellesmenacessont identifiées. Lesadministrateursdesécuritédéploientdesagentsoudescapteurs,logicielsoumatériels,en despointsclésdeleurréseau.généralementenpériphérieousurlespasserellesversd'autres réseauxendesendroitsoùletraficréseauconverge,etquiontétéidentifiéscommeétantdes pointsdedétectionetd'interceptionstratégiques.lesplacerderrièrelespare feuxesttoujours unbonchoix.lescapteursàdistanceenvoientalorsleursrapportsàunemachinecentralequi gèrelesrèglesdusystème.ilstockelesdonnéesdansunseulendroitafindefaciliter l'enregistrement,lesalertesetl'élaborationdecomptes rendus. LescapteursIDS/IPSdéployéssurleréseauexaminentlesfluxdedonnéesquitransitentà leurniveau,puisanalysentletraficetlecomparentauxsignaturescontenuesdansleursbases dedonnées.lorsqu'unecorrespondanceesttrouvée,lesystèmeactiveeteffectuelestâches définiesparl'administrateur:interromprelaconnexiontcp,alerterl'équipedesécuritéou stocker les informations dans un journal ou log en vue d'une analyse ultérieure. Naturellement,lesperformancesduréseaudoiventêtreévaluéesavantdedéployerun capteur. Ilestégalementpossiblededéployerdifférentstypesdesystèmespouroffrirauréseau plusieursniveauxdesécurité.parexemple,encombinantunesolutionmatérielle(appliance) pourcontrôlerlespointsd'entrée/sortieduréseauavecdeslogicielsbaséssurhôtepour surveillerlesmachinescritiques. 71

82 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.3 Typologies et familles des systèmes de protection contrelesintrusions III.3.1 Typologies des systèmes de protection contre les intrusions Lacaractérisationdesdifférentssystèmesdeprotectioncontrelesintrusionspermetdeles différenciersuivantuncertainnombredecaractéristiques.cettecaractérisationaconduitàla classificationterminologiqueprésentéedanslafiguresuivante. Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions Dansunpremiertemps,onpeutfaireunedistinctionassezfondamentalesurlaméthodede détectionutiliséeparlessystèmesdeprotectioncontrelesintrusions.ilexistedeuxgrandes catégoriesdeméthodesdedétection: cellesbaséessuruneapprochecomportementale(parexemplel'analysestatistique, l'analysebayésienne,lesréseauxneuronaux) etcellesbaséessuruneapprocheparscénarii(parexemplelarecherchedesignatures oulepatternmatching). Globalement,lesapprochescomportementalesvisentàreconnaîtreuncomportementanormal, quecesoitparrapportàunedéfinitionducomportementnormalouanormalfournieau système de détection d'intrusion (par exemple une spécification de protocole de communication)ouparrapportàunemodélisationdescomportementsnormauxouanormaux appriseàpartird'uneobservationpréalabledusystème(ensalleblanche,outoutsimplement en réel). Dans le cadre d'une approche comportementale, l'apprentissage semble donc possible,toutcommelapossibilitédedétecterdesattaquesinconnuesaumomentdela conception de l'ids, à condition qu'elles génèrent des anomalies perceptibles dans le fonctionnementnormal. Parcontre,dansuneapprocheparscénarii,lessystèmesdeprotectioncontrelesintrusions s'appuientsurunebasedeconnaissancepréexistantedécrivantlescomportementsnormaux ouanormauxetutilisecetteconnaissancepourlareconnaissancedesévènementsproduitspar des actions d'intrusions dans le système informatique qu'ils observent. Cette méthode 72

83 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS implique donc la constitution et la mise à jour régulière d'une base de connaissance référençantlesdifférentesattaquesconnuessusceptiblesd'êtremisesenœuvredansun systèmeinformatique.c'estàpartirdecesinformations,affinéesparl'administrateuren fonctiondusystèmesurveillé,quelessystèmesdeprotectioncontrelesintrusionsidentifient leséventuellesattaquesayantlieudanslessystèmesinformatiques. Danscetteapproche,lessystèmesdeprotectioncontrelesintrusionssefocalisentdoncsur l'identificationdesutilisationsabusives(misuse).uneautremiseenœuvreconformeàla terminologiemaisoriginaledanslapratiquedecetteapprochededétectionparscénarii consisteàconstituerunebasedeconnaissancedescomportementspermisdanslesystème(et nondescomportementsabusifs)pourconfigurerlesactionsdedétection(desutilisations normalesenquelquesorte). Dansunsecondtemps,onpeutaussicomparerlessystèmesdeprotectioncontrelesintrusions enfonctiondumodedefonctionnementdesmécanismesdedétectionqu'ilsmettentenœuvre. Demanièregénérale,unsystèmedeprotectioncontrelesintrusionspeuttenterd'identifierdes attaquesens'appuyantsurdesinformationsrelativesauxtransitionsayantlieudansle système(l'exécutiondecertainsprogrammes,decertainesséquencesd'instructions,l'arrivée decertainspaquetsréseau,etc.)oubienenétudiantl'étatdecertainespartiesdusystème(par exemple,l'intégritédesprogrammesstockés,lesprivilègesdesutilisateurs,lestransfertsde droits,etc.). III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions Selonl'endroitqu'ilssurveillentetcequ'ilscontrôlent(les«sourcesd'information»),deux famillesprincipalesd IDSsontusuellementdistinguées: III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante Imaginonsqu'unerequêtemalintentionnéeaitpassélebarragedufirewall:ilfautdonc l'arrêter.laméthodelaplusclassiqueconsisteàfaireappelàunnetworkids unesolution dedétectiond'intrusionlargementéprouvée.sonrôleserad'immobiliserchaquerequête,de l'analyseretdeluilaissercontinuersoncheminseulementsiellenecorrespondpasau portrait robotd'uneattaqueréférencée.avantd'opterpouruntelsystème,ilfautconnaîtreles pointsclésdecettesolution. Lerôleessentield'unIDSréseau,appeléNIDS(Network basedintrusiondetectionsystem), estl'analyseetl'interprétationdespaquetscirculantsurceréseau.afinderepérerlespaquets àcontenumalicieuxcommeparexempledesexpressionscontenant«/etc/passwd»,des signaturessontcréées.desdétecteurs(souventdesimpleshôtes)sontutiliséspouranalyserle traficetsinécessaireenvoyerunealerte.unidsréseautravaillesurlestramesréseauàtous lesniveaux(couchesréseau,transport,application).deplusenplus,endisséquantlespaquets eten«comprenant»lesprotocoles,ilestcapablededétecterdespaquetsmalveillantsconçus pouroutrepasserunpare feuauxrèglesdefiltragetroplaxistes,etdechercherdessignes d attaqueàdifférentsendroitssurleréseau.quelquesexemplesdenids:netranger,nfr, Snort,DTK,ISSRealSecure7. LesIDSréseauontdesatouts,parexemple,lesdétecteurspeuventêtrebiensécurisés puisqu'ilsse«contentent»d'observerletrafic,lesscanssontdétectésplusfacilementgrâce auxsignatures,etc.cependant,lesproblèmesmajeursliésauxnidssontdeconserver 73

84 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS toujoursunebandepassantesuffisantepourl écoutedel ensembledespaquets,etdebien positionnerl IDSpourqu ilsoitefficace. PremiergagedequalitépourunNetworkIDS:l'exhaustivitédufichiercontenantles signaturesdesattaques.cefichierestcentraliséetmisàjourparlefabricantdesolutionsde NetworkIDS.Ilfautdoncpensertrèsrégulièrementàentéléchargerlalistelaplusrécente. Parextension,laqualitédeséquipesdeveilledufabricantconditionnelargementl'efficacité desesproduits:lesplusgrandesmarquesemploientplusieursdizainesdepersonnesàlamise àjourdecettelistedesignatures. UndespointscruciauxdesNIDSconcernelechoixdeleursemplacements.«Unesonde placéeàunmauvaisendroitpeutêtreinefficace»,soutientphilippesolini,networkdesign ConsultantchezUnisys.Ilestd'ailleurscourantquel'onnepuissepassecontenterd'unseul systèmedefiltrage:plusunréseauestcomplexe,plusilprésentedevulnérabilités.ilen devientlogiquementplusdifficileàprotéger.maischaquenetworkidsrajoutécoûtecher: cesmachinessontparticulièrementgourmandesenressources."lesdébitsanalyséssonttrès lourds,ilestdoncnécessairededédieraunetworkidsdesmachinestrèspuissantes,oudes appliances(boitesnoires)spécialiséspourparveniràlessoutenir",expliquephilippesolini. III.3.2.2LeHostIDS:Unesolutionquimonte Ensomme,leNetworkIDSestungendarmequicomparechaquetrameàunebanquede portraitsrobots.maisilnegarantitpasàluiseulunniveaudesécuritéprochede100%.pour yparvenir,ilfautmettreenfactionunautregendarme,quiobserveralecomportementde chaquetrameetsignaleratoutcequiluiparaîtrainhabituel.c'estlerôleduhostids,une véritablesondequiestplacéeindividuellementsurchaquesystèmeàprotéger.unsystème quicorrigelesfaiblessesdesnetworkids. LatechnologieHostIDSexcelledansladétectiondesanomaliesconnuesetinconnues:si uneattaqueparvientàsefaufileràtraverslesmaillesdufilet,lasondevalarepérer:"lehost IDSréaliseunephotographiedusystèmeàunmomentdonné.Ildéfinittoutcequiest légitime.toutcequisortducadreetdeshabitudesdusystèmeestconsidérécommeune attaque.unemodificationdelabasederegistresseradoncbloquéeetferal'objetd'une alerte",expliquepascaldelprat(consultantensécuritéchezciscoenfrance).untravail complémentaireàceluidunetworkids. UnesondeHostIDSestmoinsonéreusequ'unNetworkIDS,maisondoitenplacerunesur chaquemachineàsurveiller.onlesréservedoncleplussouventauxmachinestrèsprotégées. Ellessontégalementbeaucoupmoinsgourmandesenressourcessystèmesqu'unNetwork IDS:onlestrouvedoncsousformedelogiciel,etnonplusintégréesàunserveurouune appliancecommelesnetworkids.placéessurunemachine,ellesneconsommenteneffet pasplusde5%desressources. Ensemble,lesdeuxgendarmesfontaccéderunréseaud'entrepriseàunniveaudeprotection optimal.aconditiond'êtrechapeautésparunbrigadier chef:ilsnesaventpastravailler correctementsansêtreencadrés.leproblèmedel'administrationdesidsauquotidien représenteeneffetlepointleplusdélicatetlepluscrucialpourunsystèmededétection d'intrusion.sionlenéglige,ilestpréférabledegardersonbudgetpourl'investirailleurs. Lessystèmesdedétectiond'intrusionbaséssurl'hôte(postedetravail,serveur,etc.),ouHIDS (Host basedids),analysentexclusivementl'informationconcernantcethôte.commeils n'ontpasàcontrôlerletraficduréseaumais seulement lesactivitésd'unhôte,ilsse montrenthabituellementplusprécissurlesvariétésd'attaques.cesidsutilisentdeuxtypes 74

85 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS desourcespourfourniruneinformationsurl'activité:leslogsetlestracesd'auditdusystème d'exploitation.chacunasesavantages:lestracesd'auditsontplusprécises,détailléeset fournissent une meilleure information ; les logs, qui ne fournissent que l'information essentielle,sontpluspetitsetpeuventêtremieuxanalysésenraisondeleurtaille.iln existe pasdesolutionuniquehidscouvrantl ensembledesbesoins,maislessolutionsexistantes couvrentchacuneunchampd activitéspécifique,commel analysedelogssystèmeet applicatifs,lavérificationdel intégritédessystèmesdefichiers,l analysedutraficréseauen direction/provenancedel hôte,lecontrôled accèsauxappelssystème,l activitésurlesports réseau,etc.parexemple,ledémonsyslogpeutêtreconsidérépartiellementcommeun systèmehids,carilpermetdeconsignercertainesactivités,etàl aided unanalyseur commeswatch,dedétectercertainestentativesd intrusion(commebadlogin);tripwire, centrantsonactivitésurl intégritédusystèmedefichiers,peutaussiêtrevucommeunhids, SecurityManager,etc. Lessystèmesdedétectiond'intrusionbaséssurl'hôteontcertainsavantages:l'impactd'une attaquepeutêtreconstatéetpermetunemeilleureréaction,desattaquesdansuntraficchiffré peuventêtredétectées(impossibleavecunidsréseau),lesactivitéssurl'hôtepeuventêtre observéesavecprécision,etc.ilsprésententnéanmoinsdesinconvénients,parmilesquels:les scanssontdétectésavecmoinsdefacilité;ilssontplusvulnérablesauxattaquesdetypedos ;l'analysedestracesd'auditdusystèmeesttrèscontraignanteenraisondelatailledeces dernières;ilsconsommentbeaucoupderessourcescpu,etc. Une version d IDS hybride est possible et désormais supportée par différentes offres commerciales.mêmesiladistinctionentrehidsetnidsestencorecourante,certainshids possèdentmaintenantlesfonctionnalitésdebasedesnids.desidsbienconnuscommeiss RealSecuresenommentaujourd'hui IDShôteetréseau.Dansunfuturproche,ladifférence entrelesdeuxfamillesdevraits estomperdeplusenplus(cessystèmesdevraientévoluer ensemble).decesdeuxfamillesprincipales,denombreusesvariantessontissuesetpeuvent êtreétudiéesenprofondeurenconsultantlesrapportsderechercheconcernantladétectionet lapréventiond intrusiondenathaliedagorn(lienàretrouver) Concrètement,cesontdonclessystèmesdedétectiond'intrusionréseauutilisantdesbasesde signaturesquidominentlesmisesenœuvreopérationnellesdisponiblessurlemarché. III.4 Limites des systèmes de protection contre les intrusions Laplupartdesreprochesfaitsauxsystèmesdeprotectioncontrelesintrusionsconcerneen réalitélessystèmesdedétectiond intrusion.c estpourquoilessystèmesdeprévention d intrusionssontsouventconsidéréscommelesaméliorationsdesids. Lessystèmesdeprotectioncontrelesintrusionsdoiventpouvoirsupporterletraficmaximal attenduàl'endroitoùilsserontplacés.siuncapteurnepeutpasgérerledébit,despaquetsde donnéesserontperdus,etlesdonnéestransitantparcepointneserontpastoutesanalysées. Cettesituationpeutmêmeavoirunimpactsurlesperformancesglobalesduréseauencréant ungouletd'étranglement.ilestdoncpréférabledesurestimerletraficréseaupotentiel transitantparlepointdedéploiementducapteurquelecontraire. Laplusgrandemenacequipèsesurlesdéploiementsd'IDS/IPSestque,aufildutemps, l'équipedesécuriténefasseplusattentionauxdonnéesenregistrées.c'estunpointqu'ilfaut prendreencomptelorsduchoixdesrèglesdesécurité.mêmesiungrandnombrede 75

86 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS messagessontinterceptésàtortlorsqu'unsystèmeestdéployélapremièrefois,celui cidoit êtreconstammentreconfigurépourenréduirepeuàpeulenombre.lebutétantdedisposer d'unsystèmerobusteetpratiquesusceptibleunjourdesauverlesdonnéesdel'entreprise. L unedesprincipaleslimitesqu onconnaîtauxidsestlephénomènedesfauxpositifsetdes fauxnégatifs.aprèslephénomènedefauxpositifsetdesfauxnégatifs,ilexisteencore plusieursautresimperfectionsetlimitessouventattribuéesauxids.ils agitentreautresdu modepromiscuité,deladéfinitionetmaintenancedessignatures,leurapprentissageetleur configurationdel IDSetenfinleslimitesgénérales. III.4.1Fauxpositifsetfauxnégatifs ParmilescomportementspossiblespourunIDS,onpeutenvisagerlesquatrepossibilités recenséesdansletableausuivantqu'uneintrusionsoitounonencoursdanslesystème informatiqueetquelesystèmededétectiond'intrusionaitémisounonunealerte. Pasd alerte Alerte Pasd attaque Vrainégatif Fauxnégatif Attaqueencours Fauxnégatif Vrainégatif Tableau3 2:ComportementsenvisageablespourunIDS Parmicesquatrecomportements,lesvraisnégatifsetlesvraispositifscorrespondentaux comportements souhaités. Toutefois un IDS est généralement imparfait et conduit à l'apparition des deux autres comportements non désirés. Parmi eux, un faux négatif correspondàuneattaquenondétectée,etunfauxpositifàl'émissiond'unefaussealerte.les différentsidssouffrentgénéralementd'imperfectionsdonnantlieuàl'apparitiondeces comportementsnondésirés,maisselondesaxesdifférentssuivantlesméthodesdedétection qu'ilsutilisent. UnreprochefréquemmentfaitendirectiondesIDSutilisantuneméthodededétection comportementaleestdecontenirdansleurprincipemêmedefonctionnementlapossibilitéde faussesalertes(unchangementdecomportementlégitimedétectécommeanormal)oudefaux négatifs(parexemplepouruneattaquetrèslente);tandisquelesapprochesparscénarii semblentthéoriquementêtreplusexactes.toutefois,labasedeconnaissanceutiliséedansles IDSparscénariiexigeunemaintenanceconstanteet,danslapratique,souffreégalement nécessairementd'imperfections. Bienquelesfauxnégatifssoienteffectivementlepremierdescomportementsindésirables pourunids,lesfauxpositifssontimportantsaussi:ilspeuventconduireàuneréellepertede confiancedanslescapacitésdedétectiondel'idsdelapartdesadministrateursquipeutfinir parremettreencauselafinalitédel'ids.c'estmêmeunedesvoiesd'attaqueenvisageables contreunsystèmeéquipéd'unids:générerunnombresuffisammentimportantdefausses alertespourréduirel'attentiondesadministrateursetdissimuleruneattaqueréelle.deplus, danslapratique,lesfauxpositifsdusàl'environnementdel'idsouàdessignaturesd'attaque un peu trop affirmatives sont souvent nombreux ; et ceci nécessite généralement un reparamétragedel'idspourfacilitersonexploitation,auprixdel'introductiondepossibilités defauxnégatifs.lagestiondesfauxpositifsestlepremierproblèmeauxquelssontconfrontés lesadministrateursd'unids,etilestgénéralementdetaille. LesIDSbaséssuruneapprocheparscénarii,c'estàdirelaplupartdesIDScourants,souffrent surcepointd'unréelproblèmequidemanderaitcertainementdedévelopperàlafoisles 76

87 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS possibilités d'adaptation de l'ids à son environnement (peut être par des moyens de corrélation)etunemeilleurevalidationdessignaturesd'attaquedisponibles. L'utilisationdetechniquesdecorrélationd'alertesprovenantdeplusieursIDSsembleêtreune desvoiesenvisageablespourtraitercesproblèmesd'analysedesalertesetnotammentdes faussesalertes.danscecadre,ladiversificationdesméthodesdedétectionutiliséesparles différentsids,ainsiquedeleurssourcesdedonnéesestaussiànouveauenvisageable.(dans uncertainsens,ils'agitd'ailleursderé inventerlaroueunefoisdepluspuisqueleprécurseur des systèmes de détection d'intrusion, nommé IDES, combinait déjà l'utilisation d'une approchecomportementale statistique etd'uneapprocheàbasederègles systèmeexpert, danslesannées1980ducôtédestanford.). III.4.2Lemode promiscuous L utilisationdumode promiscuous présentequelquesinconvénients,notamment: Réponseinvolontairedusystème:parnature,lesIDSdoiventmettreleurcarteréseau enmode promiscuous afindepouvoirrecevoirl'intégralitédestramescirculantsur leréseau.ainsi,l'idsnegénéreragénéralementaucuntraficetsecontenterad'aspirer touslespaquets.cependant,cemodespécialdésactivelacouche2 liaison dela machine(lefiltragesurlesadressesmacn'estplusactivé).ilsepeutalorsquela machine réponde à certains messages (ICMP echo request généré avec l'outil Nemesis); Miseenévidencedelaprésenced unids:lemode promiscuous génèredesaccès mémoireetprocesseurimportants;ilestpossiblededétecterdetellessondesen comparantleslatencesdetempsderéponseaveccellesdesmachinesdumêmebrin LAN(ouproche).Destempsderéponsetropimportantssontsignificatifsd'une activitégourmandeenressourcestellequelesniffing,validantpossiblementla présenced'unids; L utilisation du mode promiscuous implique d installer une sonde par réseau commuté. III.4.3Ladéfinitionetlamaintenancedessignatures Touteslesattaquesnesontpasdétectées,selonlesfonctionnalitésdusystème,ladéfinitionde lasignature,lamiseàjourdelabase,lachargedusystème,etc.: Limites humaines :signaturespasàjouroumalconçues.ladétectiond abusapour impératifsunebonneconceptiondessignaturesd attaquesetunemiseàjourcontinue delalistedessignatures; Contexted utilisation:parfoislatechnologieestbaséesurdessignaturesquine reposentpassurlecontexted utilisation.laconséquenceestdouble:denombreux fauxpositifsetunedégradationimportantedesperformancesdusystème; Mêmesilaméthodedessignaturesdecorps(ycomprislessignaturesdechaîne) sembleêtreassezsûre,ilyamoyendelescontourner; Vulnérabilitéauxmutations:deparsonmanquedeflexibilité,ladétectionpar signaturesd'attaquesesttrèsvulnérableauxmutations.d unepart,pourpouvoir définirunesignature,ilfautavoirdéjàétéconfrontéàl'attaqueconsidérée; 77

88 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D'autrepart,certainesdecessignaturessebasentsurdescaractéristiques volatiles d'un outil,commeparexempleleportqu'unchevaldetroieouvrepardéfautoulavaleurd ISN (InitialSequenceNumber)choisieparcertainsoutilsdepiratage.Orceslogicielssontsouvent soit hautement configurables, soit open source donc librement modifiables. Les caractéristiques retenues pour définir la signature sont donc fragiles, et les signatures extrêmementsensiblesauxmutations. Fautededéfinition,lesnouvellesattaquespassentl IDSsansêtredétectées. III.4.4L apprentissageetlaconfigurationdesids L apprentissageducomportement«normal»n estpasaisé.automatiserleraisonnement conduisantàpenserquelecomportementest déviant parrapportàceluiconnuestunetâche difficile.parcontre,cettetechniqueestappliquéepardéfaut(laplupartdutemps)parles administrateursréseauousystème:lorsquequelque choseparaîtinhabituel(parexemple,des picsdebandepassante,desservicesquitombent,dessystèmesdefichiersquiseremplissent plusvitequ àl accoutumée,etc.),l usageveutquedesrecherchespluspousséessoient entreprises. Parailleurs,touteanomalienecorrespondpasforcémentàuneattaque,celapeutêtreun changementdecomportementdel utilisateurouunchangementdelaconfigurationduréseau. Enrèglegénérale,laconvergenceversunmodèlecomportemental normal estplutôtlongue. Lorsduparamétragedel IDS,touteladifficultépourunedétectionefficacerésidedansle choixdesmétriques,desmodèlesdecomportementetdansladéfinitiondesdifférentsprofils. Pourtoutescesraisons,lesIDSfonctionnantpardétectiond anomaliesontreconnuscomme étanttrèslongsetfastidieuxàconfigurer. Mêmeaprèsuneconfigurationefficace,rienn'empêcheunpiratesesachantsurveilléde rééduquer untelsystèmeenfaisantévoluerprogressivementsonmodèledeconvergence versuncomportementanormalpourl'analyste,maistout à fait normal d'unpointdevue statistique. III.5 Etudes comparatives de quelques systèmes de protectioncontrelesintrusions Danscettepartie,nousallonseffectuerunecomparaisondequelquesIDSetIPS.Ils agitde lescomparersuivantlescritèrescommel analysedutraficentempsréel,lacapacitéde blocagedesattaques,lesalertesentempsréel,lamiseenlogdespaquetsdedonnées,les méthodesdefiltrage.enanalysantletableaudecomparaisonsuivant,onconstatequetousles systèmesétudiésdisposentdesqualitéssuivantes: L analyseentempsréel; Ladétectiondesvirus,desversetdeschevauxdetroie; Ladétectiondesattaquesinternesetexternes; Lacapacitédeblocagedesattaques; Ladétectiondessondesexternesetinternes; Lacapacitédeblocagedessondes. Parmi ces systèmes, seuls Juniper IDP et Snort peuvent s exécuter dans les environnements Linux. Les autres pour la plupart fonctionnent dans les systèmes 78

89 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d exploitationwindows.quantàsonicwallipsservice,ilpeuts exécuterdanstousles environnementsip. CAeTRUST Intrusion detection3.0 JuniperIDP McAfee Intrushieldsérie I McAfee Intercept5.0 Snort2.1.3 SonicWALLIPS service Fournisseur Computer Associates Juniper McAfee McAfee Snort ACAPacific Analysedutrafic entempsréel Oui Oui Oui Oui Oui Oui Détectiondes virus/vers/chevaux detroie Oui Oui Oui Oui Oui Oui Détectiondes attaquesexternes Oui Oui Oui Oui Oui Oui Détectiondes attaquesinternes Oui Oui Oui Oui Oui Oui Capacitéde blocagedes attaques Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, intégrationtierce, personnalisables parl utilisateur Misesàjour Console, courrier électronique, pager,smspar courrier électronique Console, courrier électronique, pager, SNMP, génération de processus Fichiers journaux, courrier électronique,syslog, SGMS Fichiers journaux, courrier électronique, console, applications tierces Microsoft SQLServer ND ND PRODUITS Détectiondes sondesexternes Détectiondes sondesinternes Capacitéde blocagedessondes Définitionsdu blocagedessondes Oui Alerteentemps réel Courrier électronique, pager, application d exécution, SNMP,console Signatures avec données d état, anomalie de protocole,détection desportesdérobées, anomaliedetrafic, protection de couche 2, inondation Syn, profilage de la sécurité d entreprise Courrier électronique, syslog, SNMP, fichier journal, SMSexterne Espace de Syslog, base de Oracles, Miseenlogsdes travail donnéesinternes MySQL paquetsdedonnées (propriétaire), base de données ODBC Recherchede contenu Miseen correspondancedu contenu Filtrageducontenu Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui 79

90 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Base Méthodedefiltrage données d URL Outilsderapports Système d exploitation compatible de Définies par ND l administrateur ND Oui Définies par noire, l administrateur Liste tierces, définies par l administrateur ND (vendus ND (vendus séparément) séparément) de Linux, Tout Windows environnementip Oui Oui Oui Windows 2000 (autonome), Windows 2000/2003/XP pour le moteur à distance Console de gestion, Windows, Linux; Serveur degestionlinux, Solaris Console de Système gestion gestion Windows Windows ;console WindowsNT, 2000, XP, agents Windows, Solaris, HP/UX Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions Encequiconcernelesalertesentempsréel,touscessystèmesensontdotésdiversement.On adesalertesparsms,parcourrierélectronique,surlesconsoles,parledémonsyslog,les pagersetc. Snort2.1.3etSonicWALLIPSnefontpaslamiseenlogdespaquetsdedonnées.Cependant danscedomainelemeilleursystèmeestlemcafeeintrushieldserieicarilpeuttravailleren interactionavecdeuxdesmeilleurssgbdquiexistent.ils agitdemysqletoracle. III.6PrésentationdeSnort,SnortSAMetdeBASE III.6.1Description SnortestunNIDS/NIPSprovenantdumondeOpenSource.C estpourquoinousle recommandonsfortementauxentreprisesetorganisationsafricaines engénéralcarces dernièresn ontpassouventsuffisammentderessourcesfinancièresàaccorderàl achatdes logicielspropriétaires. Avecplusde2millionsdetéléchargements,ils'estimposécommelesystèmededétection d'intrusionsleplusutilisé.saversioncommerciale,pluscomplèteenfonctionsdemonitoring, luiadonnébonneréputationauprèsdesentreprises. Snortestcapabled'effectueruneanalysedutraficréseauentempsréeletestdotéde différentestechnologiesdedétectiond'intrusionstellesquel'analyseprotocolaireetlepattern matching.snortpeutdétecterdenombreuxtypesd'attaques:bufferoverflows,scansdeports furtifs,attaquescgi,sondessmb,tentativesdefingerprintingdesystèmed'exploitationetc. Snortestdotéd'unlangagederèglespermettantdedécrireletraficquidoitêtreacceptéou collecté.deplus,sonmoteurdedétectionutiliseunearchitecturemodulairedeplugins. NotonsqueSnortdisposedetroismodesdefonctionnement:snifferdepaquets,loggerde paquetsetsystèmededétection/préventiond'intrusions.nousnenousintéresseronsqu'àce derniermode. III.6.2Installation PourinstallerSnort,deuxméthodessontpossibles: 80

91 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lapremièreméthodeestcelledel installationautomatiqueetquiconsistesurun systèmed exploitationtellequelinuxdebianetchparexempleàexécutertout Ilfautnoterqu avec simplementlacommandesuivante:#apt getinstallsnort. l installationautomatiquetouteslesbibliothèquesetautreslogicielsnécessairessont aussiautomatiquementproposésetinstallésparlesystème. Ladeuxièmeméthodeconsisteàtéléchargerlessourcesetdelescompilersoimême aveclesoptionsetlesbibliothèquesquel ondésire. Voicibrièvementenquelquesétapescommentonpeutréaliserl installationparladeuxième méthode. 1. Téléchargerlessourcessurwww.snort.org.Lorsdel'écrituredecedocument,la dernièreversionstableétaitla TéléchargeretinstallerlesbibliothèquesnécessairespourSnort: libpcap(http://www.tcpdump.org):offredesfonctionsdesniffer PCRE(http://www.pcre.org):permetd'utiliserdesexpressionsrégulièresde type Perl. La compilation de ces bibliothèques se fait très aisément :./configure,make,makeinstall. 3. Ouvrirunterminal,décompresserensuitel'archivedeSnortetseplacerdansle répertoiredessourcesdécompressées. 4. Configurer la compilation de Snort afin d'activer plusieurs fonctionnalités :./configure[options]. Deuxoptionsnousontsembléintéressantes: with mysql=dir:activerlesupportdemysql.ainsisnortenregistrerales alertesdansunebasededonnéesaccessiblepard'autresapplications(ex: BASE,décriteplusloin).MySQLn'estbiensûrpasl'uniqueSGBDsupporté. PostgreSQLouOraclepeuventégalementêtreutilisésaveclesoptions withpostgresqlet with oracle. enable flexresp : activer les réponses flexibles en cas de tentatives de connexion hostile. Pour activer cette option, la bibliothèque libnet (http://www.packetfactory.net/libnet)estnécessaire. 5. Compilerlessources:make 6. InstallerSnort:makeinstallenmoderoot 7. PourqueSnortpuissefonctionnerenmodedétection/préventiond'intrusions,ilest nécessairedeluifournirdesfichiersderègles.lesitedesnortproposedeuxtypesde règles:lesrèglesofficiellesetlesrèglescrééesparlacommunauté.certainesrègles officiellesnesontdisponiblesquepourlesutilisateursenregistrés,tandisqueles règlescommunautairessontdisponiblesàtousetmisesàjourrégulièrement.ilest cependantimportantdenoterquelesrèglesproposéesparlacommunautén'ontpasété forcémenttestéesparl'équipeofficielledesnort.aprèstéléchargement,l'archivedes règlesdoitêtredécompressée.ilestconseillédeplacerlerépertoirerulesdansle dossierdesnort.nouspouvonsremarquerquelesrèglesconsistentendesimples fichierstextes,etqu'unfichierunpeuspécialestprésent:snort.conf.cedernierva nouspermettredeconfigurersnort. 81

92 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.6.3Configuration AfindeconfigurercorrectementSnortpourqu'ilpuissefonctionnerenmodedétection d'intrusions,ilfautmodifierlefichiersnort.conf.l'emplacementpardéfautdecefichierdoit normalement être /etc/snort.conf. Cependant, il sera possible de spécifier un autre emplacementlorsdel'exécutiondesnort,àl'aidedel'option c. Lefichierdeconfigurationcontientdenombreusesoptionsparamétrables,ainsiquedes explicationspourpouvoirlesmodifiercorrectement.nousn allonsnousintéressericiqu'à quelquesvariables: LavariableHOME_NETpermetdespécifierquelsréseauxouquellesinterfaces serontsurveilléesparsnort.lavaleuranysignaleàsnortdesurveillertoutletrafic. SileréseauàsurveillerpossèdedesserveursDNS,SMTP,FTP,etc,ilestpossiblede spécifier les adresses IP de ces serveurs via les variables DNS_SERVERS, SMTP_SERVERS,...Sileréseaunepossèdepasuntypespécifiquedeserveur,ilest conseillédecommenter(aveclecaractère#)laligneconcernée,afind'optimiserle traitementdesnort.eneffet,ilestinutiled'analyserdutrafichttpsiaucunserveur Webn'estdisponible. Certains ports de services peuvent être configurés via des variables telles que HTTP_PORTSouORACLE_PORTS. LavariableRULE_PATHesttrèsimportante.Ellepermetdespécifierlerépertoireoù sontstockéslesfichiersderèglesdesnort. Lesdirectivesincludepermettentd'incluredesfichiersderègles.Iciencore,ilest conseilléden'inclurequelesrèglesnécessairesenfonctiondesservicesdisponibles surleréseau. III.6.5Exécution L'exécutiondeSnortsefaitenlançantl'exécutablesnortenmoderootetavecdifférentes options.voyonslesprincipauxargumentsdesnort: A:générerdesalertes.Activépardéfautavecl'option c c<emplacementdesnort.conf>:lancersnortavecdesfichiersderègles. l<répertoiredelog>:spécifierlerépertoireoùleslogsd'alertesserontstockés (défaut:/var/log/snort) v:modeverbose.permetd'afficherlespaquetscapturés T:modetest.PermetdetesterlaconfigurationdeSnort AvantdelancerSnortenmodeNIDS,ilestpréférabledetestersileprogrammearriveà récupérerlespaquetsquicirculentsurleréseau.pourcela,nouspouvonsparexemplelancer SnortensimplemodeSniffer:snort v.siaucunpaquetn'estcapturéetaffiché,ilest probablequesnortn'écoutepassurlabonneinterface.l'option ipermetdespécifierune autreinterface. LançonsmaintenantSnortenmodeNIDS.Pourcela,nousluiprécisonsl'emplacementdu fichierdeconfigurationavecl'option c:#snort c/opt/snort/rules/snort.conf 82

93 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Touteslesalertesdétectéessontainsistockéesdanslefichier«/var/log/snort/alert».Pour chaque alerte, Snort donne une priorité, une description, les flags des paquets et éventuellementdesadressessurinternetoùsetrouventdeplusamplesinformationssurla tentatived'intrusion. Exemple: [**][1:1384:8]MISCUPnPmalformedadvertisement[**] [Classification:MiscAttack][Priority:2] 03/25 17:34: :1900 > :1900 UDPTTL:1TOS:0x0ID:37277IpLen:20DgmLen:437 Len:409 [Xref=> 059.mspx][Xref=>http://cve.mitre.org/cgibin/ cvename.cgi?name= ][Xref=> bin/cvename.cgi?name= ][Xref=>http://www.securityfocus.com/bid/3723] III.6.6Créationdenouvellesrègles BienquelesiteofficieldeSnortproposedesrèglesprêtesàl'emploietrégulièrementmisesà jour,ilpeutêtreintéressantdecréersespropresrèglesafind'adapteraumieuxsnortauréseau qu'ildoitsurveilleretprotéger.parconvention,lesnouvellesrèglespersonnellessontàplacer danslefichierlocal.rules. UnerègleSnortestcomposéededeuxpartiesetpossèdeleformatsuivant:Header(Options). LeformatdelapartieHeaderestdéfinidelamanièresuivante:actionprotocoleadresse1 port1directionadresse2port2 Lechampactionpeutprendrelesvaleurssuivantes: alert:générerunealerte+loggerlepaquet log:loggerlepaquet pass:ignorerlepaquet activate:activerunerègledynamique dynamic:définirunerègledynamique,quiestpassivetantqu'ellen'estpasactivéepar uneautrerègle drop:demanderàiptables(netfilter)debloquerlepaquet,puislelogger reject:demanderàiptablesdebloquerlepaquet,puislelogger,etenvoyerune commandetcprst(reset)ouuneréponseicmphostunreachable sdrop:demanderàiptablesdebloquerlepaquet.cederniern'estpasloggé. Lechampprotocolespécifieleprotocolepourlequellarègles'applique.Lesvaleurspossibles sont:tcp,udp,icmpouip. Leschampsadresse1etadresse2indiquentl'adresseIPsourceetdestinationdupaquet.Le mot clé any permet de spécifier une adresse quelconque. Les adresses doivent être numériques,lesadressessymboliquesnesontpasacceptées. 83

94 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leschampsport1/port2spécifientlesnumérosdeportutilisésparlasourceetladestination. Lemotcléanypermetdespécifierunportquelconque.Desnomsdeservicespeuventêtre utilisés:tcp,telnet,...demêmedesplagesdeportspeuventêtrespécifiéesaveclecaractère «:». Lechampdirectionspécifiel'orientationdupaquet.Cetopérateurpeutprendredeuxvaleurs: :adresse1versadresse2 :deadresse1versadresse2,oudeadresse2àadresse1 Notonsqu'iln'yapasd'opérateur. LapartieOptionsdesrèglescontientdifférentesoptions,séparéesparunpoint virgule,qui vontpermettredepréciserdescritèresdedétection.pourchaqueoption,leformatest nomoption:valeur1[,valeur2,...] Voicilesoptionsimportantes: msg:spécifierlemessagequiseraaffichédanslelogetdansl'alerte reference:faireréférenceàunsiteexpliquantl'attaquedétectée classtype:définirlaclassedel'attaque(troyen,shellcode,...) priority:définirlasévéritédel'attaque content:spécifierunechaînedecaractèresquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle rawbytes:spécifierunesuited'octetsquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle uricontent:identiqueàcontentmaisestadaptéauformatnormalisédesuri(ex: hexadécimalaccepté) pcre:utiliseruneexpressionrégulièrecompatibleperlpourspécifierlecontenudu paquet ttl:spécifierlavaleurduttldupaquet flags:spécifierlaprésenced'unflagtcpdanslepaquet(ex:syn,fin,...) fragbits:vérifierlaprésencedecertainsbitsip(morefragments,don'tfragmentoubit réservé) session:extrairetouteslesinformationsdelasessiontcpàlaquellelepaquetsuspect appartient resp:activeruneréponseflexible(flexresp)afindebloquerl'attaque.ilestainsi possibled'envoyerunecommandetcpouicmpprécise.cetteoptionnécessite l'activationdumodeflexresplorsdelacompilationdesnort. limit:limiterlenombred'actionspendantunintervalledetempspourlemême événement. Exemplederègle: alerttcpanyany >$HTTP_SERVERS$HTTP_PORTS(msg:"WEBATTACKS /bin/lscommandattempt";uricontent:"/bin/ls";nocase;classtype:web application attack;) Cetterèglepermetdegénérerunealertequandunpaquetprovientd'uncouple(adresse:port) quelconque,estàdestinationdesserveurshttpdéfinisdanssnort.conf,etcontientlachaîne «/bin/ls»dansl'uri.lemessagedel'alertesera«web ATTACKS/bin/lscommand 84

95 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS attempt».cetteattaqueseraclasséedanslaclasseweb application attack(prioritémedium pardéfaut). Ilestbiensûrimpossibled'êtreexhaustificipourdécrireleformatdesrèglesSnort.Le manuelutilisateurdisponiblesurlesiteofficielindiquecommentutiliserauxmieuxle langagedessignaturesdesnort. III.6.7SnortSam SnortSamestunpluginOpen Sourceetmulti plateformepoursnort.ilpermetdebloquer automatiquementdesadressesiplorsqu'ildétecteunetentatived'intrusion.leblocagesefait encommuniquantavecunfirewallmatériel(ex:ciscopix)oulogiciel(ex:packetfilter, IPtablesetc). SnortSamestconstruitautourd'unearchitectureclient/serveur(Snort/SnortSam)permettant demettreenplacelenipsdemanièredistribuée.deplus,pourdesraisonsdesécurité,toutes lescommunicationsréaliséesentresnortetl'agentdesnortsamsontcryptéesàl'aidede l'algorithmetwofish. Parmilesfonctionnalitésintéressantes,onnoteralaprésenced'une«White List»,c'est à dire unelisted'adressesipquinepeuventpasêtrebloquées.celareprésenteunesécuritépour éviterunblocaged'adressessensibles(routeur,serveurintranetetc)encasdespoofingdela partdupirate. LepluginSnortSamestégalementdotéd'unsystèmedelogetdenotificationpar des événements. Lamiseenplaced'actionsdeblocageesttrèssimple.IlsuffitdemodifierlesrèglesSnort poursignalerqueladétectiondecertainessignaturesdoitprovoquerunblocage.pourcela,le motcléfwsamaétérajouté.ilpermetnotammentdespécifieruneduréedeblocage.cette option de durée peut être intéressante lors d'un blocage après des tentatives répétées d'authentificationavecunmotdepasseerroné. III.6.8LaconsoleBASE Pardéfaut,lesalertesdeSnortsontenregistréesdansunsimplefichiertexte.L'analysedece fichiern'estpasaisée,mêmeenutilisantdesoutilsdefiltreetdetri.c'estpourcetteraison qu'ilestvivementconseilléd'utiliserdesoutilsdemonitoring.parmiceux ci,leplusenvogue actuellementestbase(basicanalysisandsecurityengine),unprojetopen sourcebasésur ACID(AnalysisConsoleforIntrusionDatabases).LaconsoleBASEestuneapplicationWeb écriteenphpquiinterfacelabasededonnéesdanslaquellesnortstockesesalertes. Pourfonctionner,BASEabesoind'uncertainnombrededépendances: UnSGBDinstallé,parexempleMySQL SnortcompiléaveclesupportdeceSGBD UnserveurHTTP,parexempleApache L'interpréteurPHPaveclessupportspourleSGBDchoisi,labibliothèqueGDetles sockets. LabibliothèqueADODB:http://adodb.sourceforge.net 85

96 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Nousnedétailleronspasicil'installationdechaquedépendance.Ladocumentationlivrée aveclessourcesdebase(disponiblessurhttp://secureideas.sourceforge.net)fournitles informationsnécessaires. Notonscependantquel'archivedessourcesdeSnortdisposeégalementd undossierschemas contenantlecodesqlpourcréerlastructuredelabasededonnéespourdifférentssgbd.le fichierdoc/readme.databasedonnetouteslesindicationspourcréerleschémadelabasede données. AfinqueSnortenregistrelesalertesdanslabasededonnées,ilnefautpasoublierdemodifier lefichiersnort.confetrajouteruneligneoutputdatabaseaveclesinformationspourse connecteràlabasededonnées. Exemple : output database: log, mysql, user=snortusr password=pwd dbname=snort host=localhost AprèsconfigurationetinstallationdeBASEainsiquedetoutessesdépendances,nous pouvonsyaccéderavecunnavigateurinternet.sitoutsepassebien,unécransimilaireà l'illustrationsuivanteestobtenu: Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE) PourterminercetteprésentationdeSnortetcescomposants,nousdironstoutsimplementque Snortestuntrèspuissantoutilconnucommeundesmeilleurssurlemarché,mêmequandil estcomparéàdesidsetipscommerciaux.ilauneplusgrandecommunautéd utilisateurset dechercheurs(denombreuxplugins,frontends,consolesdemanagementetc). Samiseenœuvrebasiquepeut êtrerapidementeffectuéegrâcenotammentauxnombreux livresetdocumentationsexistantsàsonsujet. 86

Qu'est-ce qu'un virus?

Qu'est-ce qu'un virus? Page Page 2 Qu'est-ce qu'un virus? Un virus est un programme qui a plusieurs objectifs distincts : -le principe même d un virus est de s'étendre de machine en machine (le code est dit auto-reproductible).

Plus en détail

Gestion du risque numérique

Gestion du risque numérique Gestion du risque numérique Auguste DIOP Arnaud PRINCE AGBODJAN TALENTYS www.talentys.ci 2ème édition des Journées de l Entreprise Numérique, 9 & 10 avril 2015 Qui sommes-nous? Fondée en 2007, TALENTYS

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

SEMINAIRE DE PRESENTATION DES ACTIVITES DU CIRT-BF

SEMINAIRE DE PRESENTATION DES ACTIVITES DU CIRT-BF SEMINAIRE DE PRESENTATION DES ACTIVITES DU CIRT-BF Ouagadougou, le 03 mai 2013 Hôtel Palm Beach PRESENTATION DU CIRT-BF Georges P. LALLOGO, Manager/CIRT-BF glallogo(at)cirt.bf AGENDA INTRODUCTION I. CONCEPT

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

La sécurité de l'information

La sécurité de l'information Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus

Plus en détail

Sécurité informatique

Sécurité informatique Sécurité informatique Principes et méthode Laurent Bloch Christoph Wolfhugel Préfaces de Christian Queinnec et Hervé Schauer Avec la contribution de Solveig, Florence Henry et Nat Makarévitch Groupe Eyrolles,

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

MAINTENANCE INFORMATIQUE - Introduction -

MAINTENANCE INFORMATIQUE - Introduction - ENSEIGNEMENT DE PROMOTION SOCIALE Cours de MAINTENANCE INFORMATIQUE - Introduction - H. Schyns Septembre 2005 1. Introduction 1.1. La notion d'ordinateur Aujourd'hui, quand on parle d'ordinateur, on comprend

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Rapports 2010-2014. Les chiffres des incidents rapportés au CERT.be

Rapports 2010-2014. Les chiffres des incidents rapportés au CERT.be Rapports 2010-2014 Les chiffres des incidents rapportés au CERT.be RÉSUMÉ 2010 2014 1.1 Nombre des notifications et incidents par mois: 1000 900 800 700 600 500 400 300 Notifications chez CERT.be/mois

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Nouvelle approche pour la protection complexe des réseaux d entreprise. Kaspersky. OpenSpaceSecurity

Nouvelle approche pour la protection complexe des réseaux d entreprise. Kaspersky. OpenSpaceSecurity Nouvelle approche pour la protection complexe des réseaux d entreprise Kaspersky Open Open Kaspersky Open Space Security est une solution développée pour la protection de tous les types de nœuds de réseau,

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure. Kaspersky. avec. Open Space Security

L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure. Kaspersky. avec. Open Space Security L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure 2010 avec Kaspersky Open Space Security Aujourd hui, le réseau d une entreprise est un espace ouvert dynamique, mobile.

Plus en détail

PARTIE 4 ACTIVE DIRECTORY. Arnaud Clérentin, IUT d Amiens, département Informatique, 2011-2012

PARTIE 4 ACTIVE DIRECTORY. Arnaud Clérentin, IUT d Amiens, département Informatique, 2011-2012 1 PARTIE 4 ACTIVE DIRECTORY Arnaud Clérentin, IUT d Amiens, département Informatique, 2011-2012 Plan 2 1- Introduction 2- Gestion des utilisateurs 3- Gestions des groupes d utilisateurs 4- Gestion des

Plus en détail

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Attention, menace : le Trojan Bancaire Trojan.Carberp! Protégez votre univers L aveugle ne craint pas le serpent Attention, menace : le Trojan Bancaire Trojan.Carberp! Attention, menace : le Trojan Bancaire Trojan.Carberp! Voici un exemple de contamination

Plus en détail

COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence"

COURS DE FORMATION Dans le cadre du  Réseau des Centres d'excellence COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence" Tunis Tunisie du 28 Septembre au 09 Octobre 2009 Organisé par: la Conférence des Nations Unies sur le Commerce et le Développement

Plus en détail

6 Conception de la gestion des correctifs

6 Conception de la gestion des correctifs Conception de la gestion des correctifs Par définition, la gestion des correctifs et mises à our est le processus qui permet de contrôler le déploiement et la maintenance des versions intermédiaires de

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

1 Introduction à l infrastructure Active Directory et réseau

1 Introduction à l infrastructure Active Directory et réseau 1 Introduction à l infrastructure Active Directory et réseau Objectifs d examen de ce chapitre Ce premier chapitre, qui donne un aperçu des technologies impliquées par la conception d une infrastructure

Plus en détail

ULYSSE EST DANS LA PLACE!

ULYSSE EST DANS LA PLACE! LE GUIDE ULYSSE EST DANS LA PLACE! Cheval de Troie. Programme discret, généralement inclus dans un logiciel anodin (jeu, utilitaire), contenant une portion de code malveillant qui contourne certains dispositifs

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente. Atelier : ASTARO

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente. Atelier : ASTARO Dans le cadre de SECURIDAY 2009 SECURINETS Présente Atelier : ASTARO Formateurs: 1. RHIMI BILEL 2. BEN MOUSSA RAHMA 3. GUIZANI ZEINEB 4. MHADHBI IMENE 5. DAHI NOUHA 6. JOUINI NADIA 1. Introduction : Pour

Plus en détail

Sécurité Informatique

Sécurité Informatique Sécurité : Sécurité informatique (Support de cours) R. MAHMOUDI (mahmoudr@esiee.fr) w 1 Sécurité Informatique Plan du cours - Introduction - Risques & Menaces - Vulnérabilités des réseaux - Firewall -

Plus en détail

supervision de la sécurité aspects juridiques organisation collecte d'information

supervision de la sécurité aspects juridiques organisation collecte d'information supervision de la sécurité aspects juridiques organisation collecte d'information 110 Supervision: aspects juridiques un exposé précis sort du cadre de cet enseignement (=> nous ne ferons que des constatations

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

face à la sinistralité

face à la sinistralité Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques

Plus en détail

Malware Logiciels malveillants Retour sur les premiers cours

Malware Logiciels malveillants Retour sur les premiers cours Malware Logiciels malveillants Retour sur les premiers cours Jean-Marc Robert Génie logiciel et des TI Plan du cours Logiciels malveillants Analyse de risque Politique de sécurité Moyens de protection

Plus en détail

LOGEON Vincent TSGERI 2011/2012

LOGEON Vincent TSGERI 2011/2012 LOGEON Vincent TSGERI 2011/2012 La sécurité informatique 1/12 Table des matières LA SECURITE...3 La biométrie...3 La sécurisation des accès physiques...5 La sécurité informatique :...6 Le travail sur ordinateur

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Malveillances Téléphoniques

Malveillances Téléphoniques 28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Le contournement de produits de sécurité

Le contournement de produits de sécurité Le contournement de produits de sécurité Jean-Baptiste Bédrune Sogeti / ESEC jean-baptiste.bedrune(at)sogeti.com Yoann Guillot Sogeti / ESEC yoann.guillot(at)sogeti.com Roadmap J.B. Bédrune & Y. Guillot

Plus en détail

Sécurité sous Windows 2000 Server

Sécurité sous Windows 2000 Server Sécurité sous Windows 2000 Server Thomas W. SHINDER Debra Littlejohn SHINDER D. Lynn WHITE Groupe Eyrolles, 2002 ISBN : 2-212-11185-1 Table des matières Remerciements..............................................

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

La Pédagogie au service de la Technologie

La Pédagogie au service de la Technologie La Pédagogie au service de la Technologie TECHNOLOGIE Formation Symantec Endpoint Protection 12.1 Administration Objectif >> A la fin de ce cours, les stagiaires seront à même d effectuer les tâches suivantes

Plus en détail

Les botnets: Le côté obscur de l'informatique dans le cloud

Les botnets: Le côté obscur de l'informatique dans le cloud Les botnets: Le côté obscur de l'informatique dans le cloud Par Angelo Comazzetto, Senior Product Manager Les botnets représentent une sérieuse menace pour votre réseau, vos activités, vos partenaires

Plus en détail

SHELLSHOCK. Membre : BAGHDADI Radhouane RT3 GAMMOUDI Ibtissem RT4 RAHMOUNI Mohamed RT3 BERGAOUI Halima RT4 JAAFAR Ali RT3 CHEBBI Sana RT4

SHELLSHOCK. Membre : BAGHDADI Radhouane RT3 GAMMOUDI Ibtissem RT4 RAHMOUNI Mohamed RT3 BERGAOUI Halima RT4 JAAFAR Ali RT3 CHEBBI Sana RT4 SHELLSHOCK Membre : BAGHDADI Radhouane RT3 GAMMOUDI Ibtissem RT4 RAHMOUNI Mohamed RT3 BERGAOUI Halima RT4 JAAFAR Ali RT3 CHEBBI Sana RT4 Table de matière 1. Présentation de l atelier... 2 1.1. Le SHELL...

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI)

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) Dernière version du 02 Septembre 2014 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction...

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction... Table des matières Introduction 1 Structure du livre 2 Nouveautés par rapport à la 3 e édition 2 Conventions typographiques 3 1 Vue d ensemble des réseaux 5 Qu est-ce qu un réseau? 6 Pourquoi créer un

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013 CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI ARTICLE 1 : OBJET Dernière version en date du 07/11/2013 Les présentes conditions particulières, complétant les conditions générales de services

Plus en détail

Desktop Firewall ASaP

Desktop Firewall ASaP Desktop Firewall ASaP Service complet de sécurisation par firewall il surveille, contrôle et tient l'historique de l'activité réseau de votre PC La plupart des utilisateurs d'ordinateurs personnels (PC)

Plus en détail

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une

Plus en détail

INF4420/ 6420 Sécurité informatique

INF4420/ 6420 Sécurité informatique Directives : INF4420/ 6420 Sécurité informatique Examen final - SOLUTIONS 8 décembre 2004 Profs. : François-R Boyer & José M. Fernandez - La durée de l examen est deux heures et demi L examen est long.

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE Version en date du 22/04/2014 RCS Chartres 807 381 157 Code APE 6202B Page 1 sur 6 ARTICLE 1 : OBJET DU DOCUMENT Les présentes conditions particulières,

Plus en détail

escan Entreprise Edititon Specialist Computer Distribution

escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edition escan entreprise Edition est une solution antivirale complète pour les entreprises de toutes tailles. Elle fournit une

Plus en détail

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Qu est ce qu un pirate informatique?

Qu est ce qu un pirate informatique? 1 aperçu, motivations des pirates, quelques conseils pour se protéger Qu est ce qu un pirate informatique? 2 La réponse pourrait être simple : une personne qui utilise de façon illégale un ordinateur.

Plus en détail

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Une nouvelle approche globale de la sécurité des réseaux d entreprises Une nouvelle approche globale de la sécurité des réseaux d entreprises Kaspersky Open Space Security est une suite de produits de sécurité couvrant tous les types de connexion réseau, des appareils mobiles

Plus en détail

BIENVENUE. Tour d horizon. Sécurité des actifs informatiques et informationnels. Atelier 3, 1 er octobre 2009

BIENVENUE. Tour d horizon. Sécurité des actifs informatiques et informationnels. Atelier 3, 1 er octobre 2009 BIENVENUE Sécurité des actifs informatiques et informationnels Tour d horizon Atelier 3, 1 er octobre 2009 Objectifs Apprendre l état actuel de la sécurité informatique et des actifs informationnels au

Plus en détail

Messagerie du Webmail académique. Le client de messagerie

Messagerie du Webmail académique. Le client de messagerie Le client de messagerie Sommaire Introduction I - VIII Ergonomie 1-6 Carnets d adresses 7-9 Écrire un message 10 Options de rédaction 11 Pièces jointes 12 Mise en forme des messages 13 Filtres de courrier

Plus en détail

Gestion des incidents

Gestion des incidents Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de

Plus en détail

RAID 1 LOGICIEL SOMMAIRE

RAID 1 LOGICIEL SOMMAIRE RAID 1 LOGICIEL SOMMAIRE I. Introduction II. Etude des disques III. Intégration du deuxième disque IV. Transformation du disque dur V. Test de fonctionnement VI. Vérification du boot VII. Conclusion INTRODUCTION

Plus en détail

Dr.Web Les Fonctionnalités

Dr.Web Les Fonctionnalités Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise

Plus en détail

Gestion des incidents

Gestion des incidents HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

Connaître les Menaces d Insécurité du Système d Information

Connaître les Menaces d Insécurité du Système d Information Connaître les Menaces d Insécurité du Système d Information 1. LES MENACES EXTERIEURES VIA L INTERNET ET INFORMATIQUE LES PROGRAMMES MALVEILLANTS : VIRUS / MALWARES LES SPYWARES (LOGICIELS-ESPIONS) : LOGICIEL

Plus en détail

Charte d utilisation du Portail d Accès aux Services Solidarité d EDF

Charte d utilisation du Portail d Accès aux Services Solidarité d EDF L'acceptation de la présente charte est un pré- requis pour accéder au Portail d Accès aux Services Solidarité d EDF. Vous devez lire attentivement les dispositions qui suivent. Elles établissent les conditions

Plus en détail

Prévenir les Risques liés à l usage d Internet dans une PME-PMI

Prévenir les Risques liés à l usage d Internet dans une PME-PMI Prévenir les Risques liés à l usage d Internet dans une PME-PMI Définition protocole Un protocole est un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau

Plus en détail

TRANSFORM IT + BUSINESS + YOURSELF. Copyright 2012 EMC Corporation. All rights reserved.

TRANSFORM IT + BUSINESS + YOURSELF. Copyright 2012 EMC Corporation. All rights reserved. TRANSFORM IT + BUSINESS + YOURSELF Transformer l'approche de la sécurité Garantir la confiance dans un monde de plus en plus numérique TRANSFORM IT + BUSINESS + YOURSELF Bernard MONTEL RSA France L entreprise

Plus en détail

Août 2014. Installation et activation de la sécurité dans GPI

Août 2014. Installation et activation de la sécurité dans GPI Août 2014 Installation et activation de la sécurité dans GPI Guide technique Installation et activation de la sécurité dans GPI Étapes à suivre pour installer et activer la sécurité dans GPI Sécurisation

Plus en détail

Gouvernance nationale de la sécurité des systèmes d information de santé. Diapositive N 1

Gouvernance nationale de la sécurité des systèmes d information de santé. Diapositive N 1 Gouvernance nationale de la sécurité des systèmes d information de santé Diapositive N 1 L évolution des pratiques Instruments chirurgicaux dans l encyclopédie médicale du XIe siècle du médecin musulman

Plus en détail

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique ASR3 Partie 2 Active Directory Arnaud Clérentin, IUT d Amiens, département Informatique Plan 1- Introduction 2- Gestion des utilisateurs 3- Gestions des groupes d utilisateurs 4- Gestion des machines 5-

Plus en détail

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO) LDAP Mise en place Introduction Limitation et Sécurité Déclarer un serveur MySQL dans l annuaire LDAP Associer un utilisateur DiaClientSQL à son compte Windows (SSO) Créer les collaborateurs DiaClientSQL

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez D-6428 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Cette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines.

Cette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines. Le BranchCache Cette fonctionnalité qui apparaît dans Windows 2008 R2 permet d optimiser l accès aux ressources partagées hébergées sur des partages de fichiers ou des serveurs webs internes de type documentaire

Plus en détail

L'écoute des conversations VoIP

L'écoute des conversations VoIP L'écoute des conversations VoIP Marc-André Meloche (OSCP, C EH, Security+) et Eric Gingras 5 à 7 Technique 21 Septembre 2010 Gardien Virtuel Entreprise de services-conseils spécialisée dans la sécurité

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Séminaire INTERNET. Nom de votre société. Séminaire Votre entreprise et INTERNET 1

Séminaire INTERNET. Nom de votre société. Séminaire Votre entreprise et INTERNET 1 Séminaire INTERNET Nom de votre société Séminaire Votre entreprise et INTERNET 1 Présentation du séminaire Introduction Historique Définitions Quelques chiffres Présentation d INTERNET Les composantes

Plus en détail

Les infections informatiques

Les infections informatiques Initiation à la sécurité 1/ 9 Les infos contenues dans cette page proviennent du site Pegase-secure à l'adresse ci-dessous. http://www.pegase-secure.com/definition-virus.html LES VIRUS INFORMATIQUES Cette

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-860 Désignation Firewall UTM NETDEFEND 860 Clientèle cible PME comptant jusqu à 150 utilisateurs Accroche marketing Le firewall UTM DFL-860 est une solution tout-en-un

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE SO YOU START ARTICLE 1 : OBJET Dernière version en date du 06/12/2013 Les présentes conditions particulières, complétant les conditions générales

Plus en détail

Toutes les solutions anti-malware ne sont pas égales

Toutes les solutions anti-malware ne sont pas égales Toutes les solutions anti-malware ne sont pas égales Internet est désormais le premier vecteur d'infection par malware. Sophos détecte une nouvelle page infectée presque toutes les secondes. Ce livre blanc

Plus en détail

Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques

Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques P. 1 Sensibilisation aux menaces Internet & Formation aux bonnes pratiques pour les utilisateurs (BPU) de systèmes informatiques Goodies Les ANTIVIRUS Septembre 2013 Que valent les antivirus? P. 2 Attention

Plus en détail

Sécurité informatique

Sécurité informatique Université Kasdi Merbah Ouargla Département informatique Introduction : généralités sur la sécurité informatique et motivations Octobre 2014 1- Généralités : concepts de base et motivations Sécurité des

Plus en détail

10 astuces pour la protection des données dans le nouvel espace de travail

10 astuces pour la protection des données dans le nouvel espace de travail 10 astuces pour la protection des données dans le nouvel espace de travail Trouver un équilibre entre la sécurité du lieu de travail et la productivité de l effectif La perte ou la fuite d informations

Plus en détail

Serveur RADIUS Point d accès Wifi

Serveur RADIUS Point d accès Wifi Serveur RADIUS Point d accès Wifi I. Pré- requis! Serveur Windows 2008 R2 avec les rôles suivant installé : - - - Service de domaine Active directory (adresse IP fixe) Service de certification Active Directory

Plus en détail

Sécurité des systèmes d information Risques et menaces

Sécurité des systèmes d information Risques et menaces Sécurité des systèmes d information Risques et menaces Journée Zonale Rhône Alpes 30 juin 2011 Diapositive N 1 Production et diffusion de l information Diapositive N 2 Stockage de l information Taille

Plus en détail

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Sommaire F-Secure Anti-Virus for Mac 2015 Sommaire Chapitre 1: Prise en main...3 1.1 Gestion des abonnements...4 1.2 Comment m'assurer que mon ordinateur est protégé...4

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet Sensibilisation à la Sécurité sur Internet Cours «2» : Menaces et Cours «2» : Menaces et vulnérabilités sur Internet Plan du cours Sécurité locale du PC Sécurité du réseau Sécurité de communication Outils

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe :

Malgré le cryptage effectué par le système, la sécurité d un système unix/linux repose aussi sur une bonne stratégie dans le choix du mot de passe : 0.1 Sécuriser une machine Unix/linux 0.2 Différencier les comptes Créer un compte administrateur et un compte utilisateur, même sur une machine personnelle. Toujours se connecter sur la machine en tant

Plus en détail

Service de sécurité géré du gouvernement du Canada (SSGGC) Annexe A-5 : Énoncé des travaux Antipourriel

Service de sécurité géré du gouvernement du Canada (SSGGC) Annexe A-5 : Énoncé des travaux Antipourriel Service de sécurité géré du gouvernement du Canada (SSGGC) Date : 8 juin 2012 TABLE DES MATIÈRES 1 ANTIPOURRIEL... 1 1.1 QUALITÉ DE SERVICE...1 1.2 DÉTECTION ET RÉPONSE...1 1.3 TRAITEMENT DES MESSAGES...2

Plus en détail