LES STRATEGIES DE SECURITE ET SYSTEMES DE PROTECTION CONTRE LES INTRUSIONS

Dimension: px
Commencer à balayer dès la page:

Download "LES STRATEGIES DE SECURITE ET SYSTEMES DE PROTECTION CONTRE LES INTRUSIONS"

Transcription

1 ParisGraduateSchoolofManagement ECOLESUPERIEUREDEGESTION D INFORMATIQUEETDESSCIENCES ECOLESUPERIEUREDEGENIE INFORMATIQUE INGENIERIEINFORMATIQUERESEAUXETSECURITE MEMOIREDERECHERCHE Année2008 LESSTRATEGIESDESECURITEET SYSTEMESDEPROTECTIONCONTRE LESINTRUSIONS Présentépar MESSAVUSSUAdoteviEnyonam MOUMOUNIMOUSSAHarouna ESGISIIR Décembre2008 Sousladirectionde M.ATOHOUNBéthel ChefdépartementIIRESGIS

2 Remerciements Nostrèssincèresremerciementsvontà: M.ThierryMONLOUIS:LeDirecteurdel ESGIdeParisettoutsonpersonnel; M.MacyAKAKPO:LeDirecteurGénéralduGroupeESGIS; M.PascalDANON:LeConseillerpédagogiqueduGroupeESGIS; M.BéthelATOHOUN:LeConseillerchargédel Informatique,duréseauetduCycle IngénieurIIRduGroupeESGIS; Al ensembledupersonneldugroupeesgisàloméetàcotonou; M.AlainAINA:LeDirecteurTechniqueparintérimd AfriNICetDirecteurdeTRS. MmeMartineOUENDOpoursabienveillanceetsachaleureusehospitalité; PourMOUMOUNIMOUSSAHarouna AmestrèschersparentsMOUMOUNIMOUSSAetHassanaMAMOUDOU,jevousdédie cetravailquin estriend autrequ unfruitdevotreindéfectiblesoutien; AmononcleIssouMAMOUDOUetsafamille,pourlesoutieninconditionnelapportédurant ceparcours; AmonfrèreAbdouletmessœursMariama,Hawa,AdamaetNadia,enespérantvousservir demodèle; Amesamisdelonguedatepourleursencouragementsquinem ontjamaisfaitdéfaut:seyni, Douma,Chaibou,Yann,Salélé, AmanièceZeinabenespéranttedonnerdéjàlegoûtdutravail,surtoutbinefait; Au personnel de BENIN TELECOMS; en particulier à Joseph HONVO, Louis AGBAHOLOUetMaximeGODONOU DOSSOUpourleursconstantesdisponibilités; ANsiluMOANDAVodacomRDCpoursesmultiplesconseilsetsonassistancequinem ont jamaisfaitdéfautdurantceparcours; Atousmesprochesquejen aipuciterici. PourMESSAVUSSUAdoteviEnyonam AmesfeuxtrèschersparentsMESSAVUSSUAdoviKoffietMIKEMAdéviMartineàquije dédiecemémoire; AmoncousinetgrandfrèreFranckTIGOUE,safemmeClaudine,sesfrèresetsesenfants ChrisetWilliampourleursoutienindéfectibleetleurconfiancesansfailleenmescapacités; AmestantesMmeMESSAVUSSUAnyéléganEssivietMmeTIGOUEBenedictanée MESSAVUSSU,mononcleProsperMESSAVUSSUpourm avoirsupportéetsoutenutout aulongdececycleingénieur; A mes frères M. MESSAVUSSU Adoté Kossi (John), Ernesto, Moïse et à ma sœur Bélindapourleursencouragements; AmonfilsClaudeJuniorMESSAVUSSUetàsamèreHOUTONDJIAkouaviDjénépour leuramourquim atoujoursinspiré; A mes sœurs AGBODAZE Amévi Tékla, ATAYI Ayikoélé Augustine, mon frère AGBODAZEKodjoGloriaetmestantesMIKEMMamavietTEOURIRyssala; AtousmesamissincèresMuriel,Roland,Kézié,Claire,Jérémie,HervéetBenny. Etàtousmesproches,amisetconnaissancesquejen aipaspuciterici i

3 Résumé Ensebasantsurlesétudesetenquêtesmenéesàtraverslemonde,onserendbiencompte qu ildevientdeplusenpluscompliquédegarantirlasécuritédessystèmesd informations. Cettesituationquiestessentiellementdueàlamultiplicationinquiétantedesmenacesen matièredesécuritéinformatiques expliqueparlaproliférationdesoutilspermettantde réaliserlesattaquesinformatiquesetparladécroissancecontinueduniveaudeconnaissance nécessairepourl utilisationdecesoutils.faceàcettesituation,denouvellessolutionset mesuresdesécuritén ontpasaussicessédevoirlejouretdeseproliférer. Cependantleproblèmequiseposetoujoursc estdesavoircommentmettreenplaceces mesuresetsolutionsdesécuritéefficacementafinderéellementprotégerlessystèmes d informationcarlefaitdejuxtaposeretdemultiplierlessolutionsdesécuritésansanalyser aupréalableleurcompatibilitéetleursobjectifsrespectifsn ajamaisétéunesolutionfiable. Danscecontexte,lesstratégiesdesécuritédontl implémentationsetraduitparladéfinitionet lamiseenapplicationd unepolitiquedesécuritéconstituentlemeilleurmoyend atteindreles objectifsdelasécuritéinformatique. Malheureusement,onserendbiencompteaujourd huiquemalgrétouteslesmesureset stratégies de sécurité qu on peut mettre en place, les systèmes d informations restent néanmoinsvulnérablesàcertainesattaquescibléesouàdesintrusions.c estpourquoidepuis quelquesannées,lesexpertsdelasécuritéparlentdeplusenplusd unnouveauconceptà savoirladétectiond intrusion.l étudedeladétectiond intrusionnouspermettrademieux comprendrelessystèmesdedétectionetdepréventiond intrusionsetdevoircommentils arriventàrenforcerlasécuritéenfermantlestrousdesécuritélaissésparlesmesures classiquesdesécurité. Abstract Whilebasingoneselfonthestudiesandsurveyscarriedoutthroughouttheworld,onerealizes wellthatitbecomesincreasinglycomplicatedtoguaranteetheinformationsystemsecurity. Thissituationwhichisprimarilyduetotheworryingmultiplicationofthethreatsasregards computersecuritycanbeexplainedbyproliferationofthetoolsmakingitpossibletocarry outcyberattacksandbythedecreasinglevelofknowledgenecessaryfortheuseofthese tools.vis a visthissituation,newsolutionsandsafetymeasuresareinvented. Howeverthedifficultywhichalwaysarisesitistofindthewayhowtosetupthese measurementsandsolutionsofsafetyeffectivelyinordertoreallyprotecttheinformation systemsbecausethefactofjuxtaposingandmultiplyingthesolutionsofsafetywithoutfirst analyzingtheirrespectivecompatibilityandtheirobjectiveswasneverareliablesolution.in thiscontext,thestrategiesofsafetywhoseimplementationresultsinthedefinitionandthe implementationofapolicyofsafetyconstitutethebestmeansofachievingthegoalsofthe computersecurity. Unfortunately,onerealizeswelltodaythatdespiteeverymeasurementsandstrategiesof safetywhichonecansetup,theinformationsystemsremainneverthelessvulnerableto certaintargetedattacksorintrusions.thisiswhyforafewyears;theexpertsofsafetyhave spokenmoreandmoreaboutanewconceptwhichisintrusiondetection.thestudyof intrusiondetectionwillenableustobetterunderstandtheintrusiondetectionandprevention systemsandtoseehowtheycanbemanagedtoreinforcesafetybyclosingthesafetyholes leftbytraditionalsafetymeasurementsandsolutions. ii

4 Tabledesmatières Remerciements...i Résumé...ii Abstract...ii Tabledesmatières...iii Tabledesillustrations...vi Listedestableaux...viii Introduction...1 Chapitre1:Evolutionsdelasécuritéinformatique...2 I.1Evolutionsdel informatique...2 I.2Lesmenacesenmatièredesécuritéinformatique...4 I.2.1Lesattaquesinformatiques...5 I.2.2Lecasspécialdesintrusions...10 I.3Lessolutionsenmatièredesécuritéinformatique...13 I.3.1Lesservicesetmécanismesdesécuritéinformatique...14 I.3.2Classificationetprincipesdesmesuresdesécurité...16 I.4Etatdeslieuxdelasécuritéinformatiquedanslemonde...18 Chapitre2:Lesstratégiesdesécuritédessystèmesd information...30 II.1Définitionsetconceptsdesstratégiesdesécurité...30 II.1.1Définitions...30 II.1.2Conceptsdesstratégiesdesécurité...31 II.1.2.1Pourquoilesstratégiesdesécurité?...32 II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire...33 II.2Miseenplaced unedémarchesécuritaire...34 II.2.1Méthodesetnormesd élaborationdedémarchessécuritaires...35 II.2.1.1Principalesméthodesfrançaises...35 II.2.1.2NormesinternationalesISO/IEC II.2.2Lastratégieglobaled entreprise...37 II.2.3Lesstratégiesdesécuritédessystèmesd information...39 II.2.3.1Identificationdesvaleursetclassificationdesressources...40 II.2.3.2Analysedesrisques...41 II.2.4Lespolitiquesdesécurité...42 II.3Caspratiquesd unedémarchesécuritaireauseind unepme...43 II.3.1PrésentationdelaPME...44 II.3.1.1Présentationgénérale...44 II.3.1.2Patrimoineinformatique...44 iii

5 II.3.1.3Lasécurité...45 II.3.1.4Contexte...46 II.3.2ApplicationdeladémarcheMEHARI...47 II.3.2.1PrésentationdelaméthodeMEHARI...47 II.3.2.2Leplanstratégiquedesécurité...47 II Métriquedesrisquesetobjectifsdesécurité...48 II Valeursdel entreprise:classificationdesressources...50 II Lapolitiquedesécurité...55 II Lachartedemanagement...55 II.3.2.3Planopérationneldesécurité...55 II Préliminaires...56 II Auditdel existant...58 II Evaluationdelagravitédesscénarii...60 II Expressiondesbesoinsdesécurité...62 II.3.2.4Planopérationneld entreprise...63 II Choixd indicateursreprésentatifs...63 II Elaborationd untableaudeborddelasécuritédel entreprise...63 II Rééquilibragesetarbitragesentrelesunités...64 II Synthèse...64 Chapitre3:Lessystèmesdeprotectioncontrelesintrusions...65 III.1Situationdelasécuritédessystèmesd informationdanslasous régionouest africaine...66 III.2Conceptsdessystèmesdeprotectioncontrelesintrusions...68 III.2.1Définitionetprincipesdefonctionnement...68 III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions...70 III.3Typologiesetfamillesdessystèmesdeprotectioncontrelesintrusions...72 III.3.1Typologiesdessystèmesdeprotectioncontrelesintrusions...72 III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions...73 III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante...73 III.3.2.2LeHostIDS:Unesolutionquimonte...74 III.4Limitesdessystèmesdeprotectioncontrelesintrusions...75 III.4.1Fauxpositifsetfauxnégatifs...76 III.4.2Lemode promiscuous...77 III.4.3Ladéfinitionetlamaintenancedessignatures...77 III.4.4L apprentissageetlaconfigurationdesids...78 III.5Etudescomparativesdequelquessystèmesdeprotectioncontrelesintrusions..78 III.6PrésentationdeSnort,SnortSAMetdeBASE...80 III.6.1Description...80 iv

6 III.6.2Installation...80 III.6.3Configuration...82 III.6.5Exécution...82 III.6.6Créationdenouvellesrègles...83 III.6.7SnortSam...85 III.6.8LaconsoleBASE...85 Conclusion...87 Glossaire...88 Bibliographie...91 Webographie...92 v

7 Tabledesillustrations Figure1 1:Catégoriesderéseauxsansfils...3 Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis...5 Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique...6 Figure1 5:Répartitiondesattaquesdephishing...7 Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues)...8 Figure1 7:CampagnesdespamparpaysenMaietJuin Figure1 8:Payshébergeursdesitesmalveillants...8 Figure1 9:Partdesversionsdesnavigateurslesplussécurisés...9 Figure1 10:Etapesderéalisationd uneintrusioninformatique...12 Figure1 11:Top5desvirusenJuin Figure1 12:Statistiquesdessystèmesdesécuritédéployésen Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité...16 Figure1 14:Statistiquesdesréponsesparsecteurd activité...19 Figure1 15:Statistiquesdesréponsesparsituationgéographique...19 Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage...20 Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques...20 Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés...21 Figure1 19:Typesd usagedel ordinateurfamilial...22 Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées...22 Figure 1 21: Statistiques du nombre d incidents subit ces 12 derniers mois par les organisations...24 Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI...25 Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité...25 Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleur sitesweb...26 Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident...26 Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes...27 Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen Figure2 1:Objectifsdelasécurité...31 Figure2 2:étapesderéalisationd unedémarchesécuritaire...34 Figure2 3:lesméthodespréconiséesparleClusif...35 vi

8 Figure2 4:DomainesdesécuritédelanormeISO Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire...38 Figure2 6:lasécurité,uncompromis...38 Figure2 7:Maitrisedesrisquesetprocessusdesécurité...39 Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen Figure2 9:Stratégiesetpolitiquesdesécurité...43 Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics»...44 Figure2 11:Classificationdesvaleursdel entreprise...51 Figure2 12:Elaborationduplandesécurité...56 Figure3 1:Entreprisesdisposantd unestratégiedebackupoff site...66 Figure3 2:Pourcentagedesréponsesausujetdeladémarchesécuritaire...67 Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«passives»...67 Figure3 4:Pourcentagedeprotectioncontrelesintrusions«actives»...67 Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan...68 Figure3 6:Fonctionnementd unids...69 Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oude détectiond intrusions(nids)...69 Figure3 8:Fonctionnementd unips...70 Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions..72 Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE)...86 vii

9 Listedestableaux Tableau 1 1: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau 1 2: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau2 1:Analysedesrisquesdessystèmesd information...42 Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité...42 Tableau2 3:Mesuresdeprotection...48 Tableau2 4:Mesurespalliatives...48 Tableau2 5:Mesuresderécupération...48 Tableau2 6:Mesuresderéductiond impactduscénario...48 Tableau2 7:Grilled évaluationdel impactdescénario...49 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle...49 Tableau2 9:Mesuredissuasives...49 Tableau2 10:Mesurespréventives...49 Tableau2 11:Grilleduniveaudepotentialité...50 Tableau2 12:Grilled évaluationduniveauderisque...50 Tableau2 13:Domained activitésetprocessusde«bénincosmetic»...52 Tableau2 14:Déterminationdescritèresd impact...53 Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu...53 Tableau2 16:Recensementdesressources...54 Tableau2 17:Déterminationdelavaleurpropredechaqueressource...54 Tableau2 18:Tableaudesynthèsedelaclassificationdesressources...54 Tableau2 19:Décompositioncellulairedel entreprise...57 Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact...58 Tableau2 21:Extraitsduquestionnaired auditdeslocaux...59 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal...60 Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Base desconnaissances)...61 Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés...61 Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellule exploitationdesserveurs...62 Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécurité applicationges_drh...62 Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction...63 viii

10 Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretde fabrication...63 Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavec l usinedeparakou...63 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii...64 Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéet retouràunesituationnormale...64 Tableau3 1:LesentreprisesOuest africainesconcernéesparl enquête...66 Tableau3 2:ComportementsenvisageablespourunIDS...76 Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions..80 ix

11 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Introduction Lavaleurdenotrecivilisationsedéplaceinéluctablementverslasphèreimmatérielle.La miniaturisationcontinuedel électronique,l accélérationdesperformancesdesréseauxde communicationetledéploiementinexorabledesinfrastructuresinformatiquesédifientune urbanisationdigitalequifavorisel accèsàl informationetfacilitelacommunication.cette évolution de l informatique, de l électronique, et surtout des systèmes distribués a malheureusement contribué à faire évoluer de manière considérable les menaces informatiques.lesrisquesauxquelssontconfrontéeslesentreprisesetlesorganisations aujourd hui sont tels que la sécurité informatique prend une place de plus en plus prépondéranteetvitaleauseindesinstitutionsprivéesetpubliques.ilnes agitplusde considérerlasécuritécommeunluxeréservéauxgrandesorganisationsouentreprisescaril n estpasrared assisterdenosjoursàdesprisesd otagesdepetitssystèmesouréseauxafin des enservircommerelaispourréaliserdesattaquesdegrandesenverguressurdegros systèmesouréseaux. Aumêmemoment,leniveaudeconnaissancerequispourdevenirpiratenecessedediminuer enraisondelaproliférationd outilsetdelogicielsmalfaisants(malwares)disponibles gratuitementsurleweb.vuecettesituationinquiétante,poursurvivreetpoursuivre,avecun minimumdesécuritéleursactivités,lesentreprisesetlesorganisationsdoiventadopteret mettreenœuvredesstratégiesdesécurité.cesdernièressontenfaitdesensemblescohérents etcompatiblesdemesuresdesécuritéquivisentàprotégerlessystèmesd informationsdes entreprisesdesattaquesetd incidentsdetoutessortes,oud enréduireautantquepossibleles impacts. Toutefois,ilarriveparfoisquedesincidentsdetypesintrusionsouattaquessurviennent malgrétouteslesmesuresetstratégiesdesécuritémisesenplace.cesincidentsquisontde plusenplusnombreuxpeuventprovenirdel intérieurcommedel extérieurdesréseauxdes entreprisesoudesorganisations.faceàcettesituation,denouveauxsystèmesdesurveillance (lessystèmesdedétectiond intrusionouids)etdeprotection(lessystèmesdeprévention d intrusionouips)sontdéveloppésdepuisquelquesannéesparleséditeursdesolutionsde sécurité.malheureusement,cesoutilssontencoreméconnusettrèsrarementutilisésen Afrique. Danslapremièrepartiedecedocument,nousavonsréaliséuneétudeconcernantl évolution desmenacesetsolutionsenmatièredesécuritéinformatiquequiadébouchéesurunétatdes lieuxdelasécuritéinformatiquedanslemonde.dansladeuxièmepartie,nousavonsmisen évidencelanécessitépourlesorganisationsd allerversunevisionpluslargedelasécuritéde leurssystèmesd informationsàtraverslesstratégiesetpolitiquesdesécurité.c estdansce sensquenousavonsconcrétisécetteapprocheparl applicationdelaméthodemehariàune PMEduBénin.Latroisièmeetdernièrepartiedecedocumentapourobjectifdemontrer l intérêtpournosentreprises(ouestafricainesdansunemoindremesureetafricainesen général)d unemiseenplaceefficaceetstratégiquedenouveauxsystèmesdesurveillanceet deprotectioncontrelesintrusionsafinderenforcerlasécuritéauseindesinfrastructures informatiquesetréseaux. 1

12 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre1:Evolutionsdelasécuritéinformatique I.1Evolutionsdel informatique L'informatique peut être définie de manière classique comme la science du traitement automatique et rationnelle de l information. Son outil par excellence est l ordinateur. L informatiqueaconnudesévolutionsetparfoisdesrévolutionsquisesontsuccédéaucours desannées. L'èredesordinateursmodernesacommencéavecledéveloppementdel'électroniqueaucours delasecondeguerremondiale,ouvrantainsilaporteàlaréalisationconcrètedemachines opérationnelles.aumêmemoment,lemathématicienalanturingthéorisaitlepremiersurla notiond ordinateur,avecsonconceptdemachineuniverselle.l'informatiqueestdoncune science des temps modernes, même s'il trouve ses origines dans l'antiquité (avec la cryptographie)oudanslamachineàcalculerdeblaisepascal,auxviiesiècle.cen'estqu'à lafindelasecondeguerremondialequ'elleaétéreconnuecommeunedisciplineàpart entièreetadéveloppédestechniquesetdesméthodesquiluiétaientpropres. Danslesannées40,unordinateuroccupaituneplacegigantesqueetétaittrèsfréquemment soumisàdespannes.en1947,l inventiondessemi conducteursapermisderéaliserdes ordinateurspluspetitsetd uneplusgrandefiabilité.danslesannées50,lesgrandes organisationscommencèrentàutiliserdegrosordinateursdegestionfonctionnantavecdes programmessurcartesperforées.puisàlafindesannées50,lescircuitsintégrésqui combinaientquelquestransistorssurunepetitepucefirentleurapparition.lesannées60 virentl utilisationmassivedessystèmesd ordinateurscentrauxdesservantdesterminaux. Audébutdesannées70,lepremiermicroprocesseur,l Intel4004faisaitsonapparition.Il permettaitd'effectuerdesopérationssur4bitssimultanément.en1981,ibmcommercialise lepremier«pc»composéd'unprocesseur8088cadencéà4.77mhz. Actuellement,ilesttrèsdifficiledesuivrel'évolutiondesmicroprocesseurs.Eneffet,cette évolutionsuitlaloidemoorequifuténoncéeen1965pargordonmoore,cofondateurd'intel quiveutquelenombredetransistorssurunprocesseurdoubletouslesdeuxans,augmentant ainsisesperformances.intelestdéjàarrivéàmettrejusqu à1,7milliarddetransistorssurune pucede65nm(montecito).pourcomparaison,lefameuxpentium4(3,4ghz)qu onatant décrié était en fait une puce de 90 nm avec seulement 125 millions de transistors. Aujourd hui,intelréussiàréduirelatailledespucesà45nm. Laminiaturisationdescomposantsetlaréductiondescoûtsdeproduction,associéesàun besoindeplusenpluspressantdetraitementdesinformationsdetoutessortes(militaires, scientifiques,financières,commerciales,etc.)ontentraînéunediffusiondel'informatique danstouslessecteursd activitéshumaines.quantàl Afrique,cen estquedanslesannées 1980qu elleavuledébutdudéveloppementdel'informatique. Lanotionderéseauinformatiqueconnaîtaussidepuisprèsdequatredécennies,d énormes transformationsetévolutions.c estaudébutdesannées60quefurentconstituéslespremiers réseauxavecl apparitiondesmodems.cesderniersservaientàconnecterdesterminaux passifsàunordinateurcentral.lesmodemsavaientunevitessede300bits/s,soitune trentainedecaractèresparseconde.ensuite,danslesannées70,lessystèmesbbs(bulletin Board System) apparaissaient. Ils offraient des services informatisés d échanges d informations,auxquelslesutilisateurspouvaientseconnecternotammentpourafficherdes messagesetyrépondre.lavitessedeconnexionétaitencorede300bits/s.danslesannées80 lessystèmesbbssontdevenustrèsrépandusetlavitessede300b/sesttrèsvitedevenue 2

13 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS insuffisantepourletransfertdesdocumentsvolumineuxcommelesgraphiques.dansles années1990,ledébitdesmodemsestpasséà9600 bits/s.eten1998,lavitessestandardde années1990,ledébitdesmodemsestpasséà9600bits/s.eten1998,lavitessestandardde 56Kbits/s,aétéatteinte. Lesmédiasdetransmissionsontpassésdescâblescoaxiauxauxpairestorsadéespourenfin aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesr aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesréseaux fédérateurs(backbones). Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est à direla Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est libertédemouvementdesutilisateurs).cesréseauxontconnudepuisleurapparition,des évolutionsmajeures.lapremière normepourcesréseauxestleieee elleaété évolutionsmajeures.lapremièrenormepourcesréseauxestleieee elleaété publiéeen1997.elleoffraitundébitde1ou2mbits/sàunefréquencede2,4ghz.la deuxième(ieee802.11a;jusqu à54mbits/sà5ghz)etlatroisièmenorme(ieee802.11b; 11Mbits/set2,4GHzpourlafréquence)apparurentautourde1999.D autresnormesdansce urlafréquence)apparurentautourde1999.d autresnormesdansce domainecontinuentd êtreréalisées. domainecontinuentd êtreréalisées. Figure Figure1 1:Catégoriesderéseauxsansfils ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,leWimaxetlesréseauxsansfil ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,le etlesréseauxsansfil destélécommunications(gsm,gprs,umtsetc.). destélécommunications(gsm,gprs,umtsetc.). Ainsi,toutadébutéavecleconceptdel informatiquecentraliséeavecdetrèsgrands ordinateursquioccupaientdegrandessallesavecplusieursterminauxquigravitaienttout tdegrandessallesavecplusieursterminauxquigravitaienttout autour.ensuiteonestpasséàl informatiqueàdistanceavecl utilisationdesmodemsen empruntantlesréseauxpublicsdetélécommunication.etdéjààcetteétapeseposaitle problèmedeslignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. lignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. Commentpouvait ongarantirlasécuritédesinfo ongarantirlasécuritédesinformationsquiytransitaient rmationsquiytransitaient?l autresouci majeurquecréaitl Informatiquecentralisé quecesoitàdistanceounonc étaitquetoutesles majeurquecréaitl Informatiquecentraliséequecesoitàdistanceounonc étaitq applicationsrésidaientsuruneseuleetmêmemachine.cequifaisaitqu encasdepanneou d accident,uneentreprisepouvaittoutperdreenunbrefinstant. d accident,uneentreprisepouvaittoutperdreenunbrefinstant. Après cette étape, est arrivée celle de l informatique distribuée que nous connaissons connais maintenantavecl introductionparexempledemultiplesserveurschacundédiéàunetâche bienspécifique.danslessystèmesdistribués,onpeutretrouverparexemplepourune institutionbancaireunserveurpourlapaie,unautrepourgérerlareconn institutionbancaireunserveurpourlapaie,unautrepourgérerlareconnaissancedes signaturesdesclients,unautrepourgérerlescomptesdesclientsetc.ledéfiréelétaitdonc detrouverunmoyendefairefonctionnertoutcetarsenaldeserveursensemble.ils agissait surtoutd éviterauxutilisateursd avoiràs authen tifier(loguer)surchaqueserveur.des surtoutd éviterauxutilisateursd avoiràs authentifier(loguer)surchaqueserveur.des 3

14 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS systèmescentralisésd authentificationontdoncvulejour.ils agitdessystèmescomme Kerberos,Radius,Samba,ActiveDirectoryetc. Avecledéveloppentdesréseaux,unnouveautyperéseauavulejour.Ils agitd Internet. Aujourd hui,avecinternet,onassisteàuneunificationdesréseaux.ainsi,lesintérêtsdela miseenplaced'unréseausontmultiples,quecesoitpouruneentrepriseouunparticulier. Aprèsavoirdécortiquélesdifférentesétapesdel évolutiondel informatiqueetdesréseaux, nousallonspasserenrevuelesmenacesenmatièredesécuritéinformatique. I.2Lesmenacesenmatièredesécuritéinformatique Leconceptdelasécuritéinformatiqueetdel Internetn acessédechangerdevisageetde dimensionaumêmetitrequel évolutiondestechnologies;aucoursdesannées1940,la notiondesécuritéinformatiqueétaitessentiellementaxéesurdesaspectsphysiques.il suffisaitdesécuriserl accèsphysiqueàl ordinateurcentral(mainframe),auxterminauxet auxmédiasdeconnexionpourempêchertoutaccèsauxindividusnonautorisés.ilétait d autantplusfaciledegarantirlasécuritédesdonnéespuisqu onpouvaitdéterminerà l avancetouteslesportesd accèspossiblesetdéveloppersastratégiedesécurité. Lasécuritédesréseauxatoujoursétéunepréoccupation.Ilatoujoursexistédesentités décidéesàmenerdesactionspeurecommandablesàl égarddessystèmes. Le nombre d incidents de sécurité rapportés au Computer Emergency Response Team CoordinationCenter(CERT)augmentechaqueannéedefaçonexponentielle.Moinsde200 en1989,environ400en1991,1400en1993et2241en1994.aucoursdeladécennie lenombred incidentsrapportésatteignitles ilsseproduisentsurlessites gouvernementauxetmilitaires,parmilesgrossescompagnies,danslesuniversitésetdansles petitesentreprises.certainsincidentsn impliquentqu unseulcomptesurunsystème,tandis qued autrespeuventimpliquerplusde500000systèmesàlafois.cesnombresnesontbien sûrquelapartieémergéedel iceberg.denombreusesintrusionsouviolationsdesécuriténe sontsouventpasdéclaréesaucentredecoordinationducertouauxautresorganisations deréponseauxincidentsdesécurité.danscertainscasc estparcequelesorganisations victimespréfèrentévitertoutepublicitéouaccusationd imprudence,dansd autrescasc est parce que les intrusions ne sont même pas détectées. On ne peut estimer le nombre d intrusionsréellementdétectéesparlessitesattaqués,maislaplusgrandepartiedela communautédesexpertsensécuritéinformatiquepensequ ilnes agitqued unfaible pourcentage.billchestwick,desat&tbelllabs,pensequesurlesattaquesréussies,au moins40%desattaquantsaccèdentàuncomptesuper utilisateur(sourcefirewallsdigest,31 mars1995). Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à2003 4

15 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecyberespaceestunmondedangereux,ettroppeus enrendentcompte.auxpremiersjours del Internet,lessitesconnectésauréseaudisposaientengénérald équipesentièresde gourouss occupantdumatérieletdulogiciel.aujourd hui,seconnecteràinternetestdevenu sibanalequelesutilisateursoublientqu ilfautunecertainesophisticationtechniquepourse connecterentoutesécurité. Lesprogrèstechnologiquesneprofitentmalheureusementpasqu auxutilisateurslégaux;ils sontaussimisàcontributionpouraméliorerlestechniquesdeviolationdespolitiquesde sécurité.lestechniquesd attaquesontconnuuneévolutionremarquableaucoursdecesvingt (20)dernièresannées,lesoutilspermettantd attaquerlessystèmesd informationssont devenusbienpluspuissantsetplusfacileàutiliser.cettefacilitéd utilisationaabaisséle niveaudeconnaissancestechniquesnécessairespourlanceruneattaque,augmentanten conséquencedefaçonexponentiellelenombred assaillantspotentiels. Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis Danscettepartiedenotredocument,nousallonstenterdecatégoriserlesdangersoules risquesauxquelssontexposéslessystèmesd informationendeuxgrandescatégoriesque nousdécortiqueronssuccessivementenprofondeur.ils agiradevoirdansunpremiertemps lesdangersquel onappelleparfoisaussirisquesouattaquesinformatiquesengénéraletdans undeuxièmetempsnousparleronsducasspécialdesintrusions. I.2.1Lesattaquesinformatiques Uneattaqueinformatiqueestl'exploitationd'unefailled'unsystème(systèmed'exploitation, logicieloubienmêmedel'utilisateur)àdesfinsnonconnuesparl'exploitantdusystèmeet généralementpréjudiciables. SurInternetdesattaquesontlieuenpermanence.Cesattaquessontpourlaplupartlancées automatiquementàpartirdemachinesinfectées(appeléesbotnets)pardesvirus,deschevaux detroie,desversetautres,àl'insudeleurpropriétaire.lesmotivationsdesattaquespeuvent êtrededifférentessortes: obtenirunaccèsausystème; voler des informations, tels que des secrets industriels ou des propriétés intellectuelles; 5

16 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS glanerdesinformationspersonnellessurunutilisateur; récupérerdesdonnéesbancaires; s'informersurl'organisation(entreprisedel'utilisateur,etc.); troublerlebonfonctionnementd'unservice; utiliserlesystèmedel'utilisateurcomme«rebond»pouruneattaque; utiliserlesressourcesdusystèmedel'utilisateur,notammentlorsqueleréseausur lequelilestsituépossèdeunebandepassanteélevée. Lessystèmesinformatiquesmettentenœuvredifférentescomposantes,allantdel'électricité pouralimenterlesmachinesaulogicielexécutévialesystèmed'exploitationetutilisantle réseau.lesattaquespeuventinterveniràchaqu londecettechaîne,pourpeuqu'ilexiste unevulnérabilitéexploitable.leschémaci dessousrappelletrèssommairementlesdifférents niveauxpourlesquelsunrisqueenmatièredesécuritéexiste: Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique Ilyad abordlesattaquesquivisentl accèsphysiqueetl environnementdusystème d information.ils'agitdescasoùl'attaquantaaccèsauxlocauxetéventuellementmêmeaux machines.ils agitsouventdesévénementscomme: Lescoupuresdel'électricité; L extinctionmanuelledesordinateursoudesserveurs; Levandalisme; L ouverturedesboîtiersdesordinateursetlevoldesdisquesdurs composants; oud autres L écoutedirectedutraficsurleréseauc'est à direensebranchantdirectementsurle backboneousuruncore switch(commutateurprincipal)parexemple. Ces attaques que l on pourrait qualifier de basiques étaient surtout à la mode quand l informatiqueétaitencoreàsesdébuts.c'est à direl èredel informatiquecentralisée. Aprèslesattaquesvisantlesaccèsphysiquesetl environnement,ilyacellesutilisantles interceptionsdescommunicationscomme: L usurpationderessourcesoudesparamètresd'identité(motsdepasse,adressesip, adressesmac); Ledétournementoualtérationdemessages(ManIntheMiddle,BruteForceattack etc.); Levoldesession(sessionhijacking),l ARPpoisoning,l écouteréseau,lebalayagede portsetc. 6

17 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Ensuite,ilyalesattaquesdetypedénideservice.Ils'agitdesattaquesvisantàperturberle bonfonctionnementd'unservicedusystèmed exploitationoud uneapplication.ondistingue habituellementlestypesdedénideservicesuivant: ExploitationdefaiblessesdesprotocolesTCP/IP; Exploitationdevulnérabilitédeslogicielsserveurs. Parmilestechniquesutiliséespourréalisercetyped attaque,onpeutciterlesattaquespar réflexion,lesattaques«pingdelamort»(pingofdeath),lesattaquesparfragmentation,les attaquesland,lesattaquessynetc. Pourterminerlapremièrepartiedecettetypologiedesattaquesinformatiques,nousallons citerlesarnaquesréaliséesgrâceauxoutilsinformatiques.ilyadanscettesouscatégories l ingénieriesociale,lescam,lephishing(quiprenddel ampleurcesdernièresannées)et enfinlesfaussesloteriesd Internet(Hoaxenanglais). L ingénieriesocialeaatteintquantàelleunnouveaudegrédesophistication,avecnotamment lechevaldetroie«small.dam»quiacausédesravagesconsidérablesenjanvier2007. Souscouvertdesgrostitresdel'actualitéliésàdevéritablesévénementstelsquelestempêtes quisesontproduiteseneuropeenjanvier,ilaréussiàsepropagerdanslemondeentieren uneseulenuit. LaTurquie,quienmaidecetteannée2008avaitcréelasurpriseendépassantlesEtats Unis, demeureundespremierspaysenmatièredephishing.elletalonneeneffetlesetats Unisà 20,10%.Enmai2008,cettepartétaitde24,36%,contre16,94%pourlesEtats Unis.La Pologne,déjàclasséedepuisplusieursmoisavecprèsde10%desattaquesdephishing,faitun nouveaubondpouratteindreles15%.lachine,siellehébergedenombreuxsitesinfectés, restesousleseuildes7%,aprèstoutefoisêtremontéejusqu'à9%enmai. Figure1 5:Répartitiondesattaquesdephishing Souvent,lorsdesattaques,lespiratesgardenttoujoursàl'espritlerisquedesefairerepérer, c'estlaraisonpourlaquelleilsprivilégienthabituellementlesattaquesparrebond(par oppositionauxattaquesdirectes),consistantàattaquerunemachineparl'intermédiaired'une autre,afindemasquerlestracespermettantderemonteràlui(tellequesonadresseip)etdans lebutd'utiliserlesressourcesdelamachineservantderebond.celamontrel'intérêtde protéger son réseau ou son ordinateur personnel car il est possible de se retrouver «complice»d'uneattaqueetencasdeplaintedelavictime,lapremièrepersonneinterrogée seralepropriétairedelamachineayantserviderebond. Avecledéveloppementdesréseauxsansfils,lesattaquessontencoreplusfacilesàréaliser surtoutlorsqueleréseausansfilestmalsécurisé,unpiratesituéàproximitépeutl'utiliser pourlancerdesattaques. Toutesattaquesconfondues,laChinequirassemblaitàelleseule42,96%desmenacesenmai decetteannée2008,nereprésenteplusque12,95%decelles ci.lesetats Unisontrécupéré 7

18 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lapremièreplaceà25,91%,devantdeuxpaysfortsenmatièredephishing,àsavoirlaturquie etlapologne.larussiesouventprésentéecommeunétatsourced'attaquesdoublesapart entremaietjuin,pours'établirà5,54%. Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues) En matière de courriers indésirables (spam), le nombre de campagnes des deux superpuissancesduspamquesontlesetats UnisetlaChineétaitdenouveauàlahausseen Juin2008parrapportàmai2008.UneaugmentationétaitégalementànoterpourlaRussie. Figure1 7:CampagnesdespamparpaysenMaietJuin2008 Enrevanche,lescampagnesd'originesbritanniqueetcoréenneétaientellesenreculd'unmois surl'autre.cespaysenregistraientpourtantunehausseenmai.lesautresnationsémettrices despamétaient,parordredécroissant:allemagne(178),japon(153),france(145),brésil (128)etl'Inde(127). Ilyaaussidesvulnérabilitésduwebquisontsouventexploitéespourréaliserdesattaques. Parmielles,onalamanipulationd'URL,le«Cross SiteScripting»etlesinjectionsSQL. Encequiconcernelespayshébergeursdesitesmalveillants,legraphesuivantnouséclaire suffisamment.d'aprèsledernierrapportdel'associationstopbadware.org(juin2008),les siteswebmalveillantsseconcentrentenchine.ainsisur200000sitesinfectés,52%sont hébergéssurdesréseauxchinois. Figure1 8:Payshébergeursdesitesmalveillants LesEtats Unisarriventloinderrièreavec21%desitesdangereux.Quantauxautrespays,ils nedépassentpasleseuildes4%.cettepositiondelachineestl'unedesgrandestendances notéeparstopbadwareparrapportà2007.lepremierréseauhébergeurdesitesmalveillants 8

19 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS était alors américain (ipower) avec sites. Il s'agit désormais de CHINANET BACKBONEavec Aujourd hui,lesmenacesinformatiquesserventmêmedesobjectifsetdesintérêtspolitiques. C estdanscesensquerécemmentdansleconflitquiaopposélarussieetlagéorgie,les sites Web du gouvernement géorgien ont été victimes d'attaques en déni de service visiblementrelayéespardeshébergeursrussesselonlesaccusationsdelagéorgie Avecunemenacequis'estdéplacéeprogressivementdelamessagerieverslessitesWeb,et quicibledoncdésormaislesnavigateurs,leshabitudesetlespratiquesdesinternautesà l'égarddecesdernierssontdevenuescapitales.confrontésdeplusenplusàdespagesweb malveillantes,exploitantparexempleunefailledanslenavigateur,lesinternautessonten effetplusexposésdésormais.lasécurité,oudumoinslarobustessedunavigateurest devenuedoncuncritèremajeur.selonlemagazinejdnsolutions,deschercheursensécurité ontrévélésqueseuls60%desinternautesutilisentunnavigateuràjouretque40%utilisent unnavigateuràrisque.lesutilisateursdefirefoxseraientlesplusrigoureux.ceuxd'internet Explorerseraientenrevanchepluslaxistes. Figure1 9:Partdesversionsdesnavigateurslesplussécurisés Ainsi,cesontrespectivement83,3%desutilisateursdeFirefox,65,3%deSafari,56,1% d'operaet47,6%d'internetexplorerquidisposentd'uneversionàjour.leschercheursjugent leprocessusdemigrationgénéralementlent,hormispoursafari3verslequelplusde60%des utilisateursdesafariavaientmigrédanslestroismoisquiontsuivisasortie.cettemiseàjour accéléréepourraitselonl'études'expliquerparlaprocédure(décriée)automatiqueintégréeà d'autreslogiciels(dontitunes)décidéeparapple. Principauxvecteursdecourriersindésirables(spam),lesbotsseraientcentcinquantemillions selonVintonCerf,leco inventeurdetcp/ip.selonuneautreestimation,entre5 000et30000ordinateursseraienttransformésenPCzombieschaquejour.Lorsdeson dernierrapport,symantecendécomptait6millionsdanslemonde,enhaussede29%sur6 mois. Unréseaudemachineszombiespeutêtreconstituéetcontrôléparuneouplusieurspersonnes, afind'obtenirunecapacitéconsidérableetd'avoirunimpactplusimportant.certainsgroupes decrackersencontrôleraientplusieurscentainesdemilliersauseinderéseauxdezombies, qu'onappellebotnetsàl'instardesréseauxderobotsircdumêmenom.cesbotnetspeuvent êtreutiliséspourcommettredesdélitscommelevoldedonnéesbancairesetidentitairesà grandeéchelle.lesbotnetssontplusàl'avantaged'organisationscriminelles(mafieuses)que depiratesisolés,etpeuventêtremêmelouésàdestierspeuscrupuleux.unréseaude machineszombiespeutaussiêtreutiliséafindefournirauxpiratesunepuissancedecalcul phénoménale,leurpermettantdedéchiffreruncodeenuntempsconsidérablementpluscourt quesurunemachine. 9

20 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lenombredemachineszombiesdansunpayspeutêtreévaluéàpartirdelaprovenancedes courriersindésirablesdétectés.lenombredepourrielsenprovenanced'unpaysparrapportà laquantitéglobaledepourrielsdétectésdonnedoncuneindicationdunombredemachines zombiesd'unpaysparrapportàl'ensembledesmachinesconnectéessurleréseau. SelonSophos[ATT08],début2007,lapremièreplaceaétéattribuéeauxÉtats Unisavec 22,0%.LadeuxièmeplaceétaitpriseparlaChine(incluantHong Kong)avec15,9%,puis parlacoréedusudavec7,4%.lafranceétaitquatrièmedecepalmarèsavec5,4%,suivie deprèsparl'espagneavec5,1%despourrielsdétectés. Aprèscebrefaperçudesattaques,menacesetdangersinformatiquesdanslemonde,nous allonsàprésentnousconcentrersuruneattaquespécialequiconsistepourunintrusà s introduiredansunsystèmeouunréseauinformatiqueétranger. I.2.2Lecasspécialdesintrusions Uneintrusionestuneformeparticulièred attaqueinformatiquecarlaplupartdesautres attaquesserventsouventàpréparerouàrendrelesciblesplusvulnérablesafindefaciliterla réalisationdesintrusions. Lesintrusionssontsouventeffectuéesdanslescontextesd espionnageindustrieloupolitique. Parexempleautoutdébutdumoisd octobre2008selonlarédactiondu«journaldunet», despiratesontpus'introduiredanslesystèmeinformatiqued'unfabricantsud coréende missilesetdéroberdesdonnées.selonlepremierrapportdel'administrationdelasécurité nationaledupays,lenationalsecurityresearchinstitute,lescyber attaquantssontparvenus àinstallerunprogrammemalveillantsurleréseaudel'industriellignex1hyundaiheavy Industries. Pourpouvoirmettreenœuvreunexploit(ils'agitdutermetechniquesignifiantexploiterune vulnérabilité),lapremièreétapeduhackerconsisteàrécupérerlemaximumd'informations surl'architectureduréseauetsurlessystèmesd'exploitationsetapplicationsfonctionnantsur celui ci. L'obtentiond'informationssurl'adressageduréseauvisé,généralementqualifiéedeprise d'empreinte,estsouventlepréalableàtouteattaque.elleconsisteàrassemblerlemaximum d'informationsconcernantlesinfrastructuresdecommunicationduréseaucible: AdressageIP; Nomsdedomaine; Protocolesderéseau; Servicesactivés; Architecturedesserveurs; etc. Enconnaissantl'adresseIPpubliqued'unedesmachinesduréseauoubientoutsimplementle nom de domaine de l'organisation, un pirate est potentiellement capable de connaître l'adressageduréseautoutentier,c'est à direlaplaged'adressesippubliquesappartenantà l'organisationviséeetsondécoupageensous réseaux.pourcelailsuffitdeconsulterlesbases publiquesd'attributiondesadressesipetdesnomsdedomaine: Afrique; Unis. 10

21 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lorsquelatopologieduréseauestconnueparlepirate,ilpeutlescanner(letermebalayerest égalementutilisé),c'est à diredétermineràl'aided'unoutillogiciel(appeléscannerou scanneurenfrançais)quellessontlesadressesipactivessurleréseau,lesportsouverts correspondantàdesservicesaccessibles,etlesystèmed'exploitationutiliséparcesserveurs. L'undesoutilslesplusconnuspourscannerunréseauestNmap,reconnupardenombreux administrateursréseauxcommeunoutilindispensableàlasécurisationd'unréseau.cetoutil agitenenvoyantdespaquetstcpet/ouudpàunensembledemachinessurunréseau (déterminéparuneadresseréseauetunmasque),puisilanalyselesréponses.selonl'allure despaquetstcpreçus,illuiestpossiblededéterminerlesystèmed'exploitationdistantpour chaquemachinescannée. Lorsquelebalayageduréseauestterminé,ilsuffitaupirated'examinerlesrapportsdesoutils utiliséspourconnaîtrelesadressesipdesmachinesconnectéesauréseauetlesportsouverts sur celles ci. Les numéros de port ouverts sur les machines peuvent lui donner des informationssurletypedeserviceouvertetdoncl'inviteràinterrogerleserviceafind'obtenir des informations supplémentaires sur les versions des principales applications serveurs (Apacheparexemple)danslesinformationsditesde«bannière». Aprèsavoirétablil'inventaireduparclogicieletéventuellementmatériel,ilresteaupirateà déterminersidesfaillesexistent.lorsquelepirateadresséunecartographiedesressourceset desmachinesprésentessurleréseau,ilestenmesuredepréparersonintrusion.pourpouvoir s'introduiredansleréseau,lepirateabesoind'accéderàdescomptesvalidessurlesmachines qu'ilarecensées.pourcefaire,plusieursméthodessontutiliséesparlespirates: L'ingénierie sociale. Ceci est généralement fait en se faisant passer pour l'administrateurréseau. Laconsultationdel'annuaireoubiendesservicesdemessagerieoudepartagede fichiers,permettantdetrouverdesnomsd'utilisateursvalides. L'exploitationdesvulnérabilitésdescommandesR*deBerkeley. Lesattaquesparforcebrute(bruteforcecracking). Lorsquelepirateaobtenuunouplusieursaccèssurleréseauense«logant»surunou plusieurscomptespeuprotégés,celui civachercheràaugmentersesprivilègesenobtenant unaccèsroot(enfrançaissuperutilisateur),onparleainsid'extensiondeprivilèges. Dèsqu'unaccèsrootaétéobtenusurunemachine,l'attaquantalapossibilitéd'examinerle réseauàlarecherched'informationssupplémentaires.illuiestainsipossibled'installerun sniffeur(enanglaissniffer),c'est à direunlogicielcapabled'écouter(letermerenifler,ouen anglaissniffing,estégalementemployé)letraficréseauenprovenanceouàdestinationdes machinessituéessurlemêmebrin.grâceàcettetechnique,lepiratepeutespérerrécupérer lescouplesidentifiants/motsdepasseluipermettantd'accéderàdescomptespossédantdes privilègesétendussurd'autresmachinesduréseau(parexemplel'accèsaucompted'un administrateur)afind'êtreàmêmedecontrôleruneplusgrandepartieduréseau.lesserveurs NISprésentssurunréseausontégalementdesciblesdechoixpourlespiratescarils regorgentd'informationssurleréseauetsesutilisateurs. Grâceauxétapesprécédentes,lepirateapudresserunecartographiecomplèteduréseau,des machiness'ytrouvant,deleursfaillesetpossèdeunaccèsrootsuraumoinsl'uned'entre elles. Unefoislacartographiedusystèmeétablie,lehackerestenmesuredemettreenapplication desexploitsrelatifsauxversionsdesapplicationsqu'ilarecensées.unpremieraccèsàune 11

22 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellementd'étendresesprivilègessurlamachine. Lorsqu'unpiratearéussiàinfiltrerunréseaud'entrepriseetàcompromettreunemachine,il peutarriverqu'ilsouhaitepouvoirrevenir.pourcefairecelui civainstalleruneapplication afindecréerartificiellementunefailledesécurité,onparlealorsdeportedérobée(enanglais backdoor,letermetrappeestparfoiségalementemployé). Lorsquel'intrusaobtenuunniveaudemaîtrisesuffisantsurleréseau,illuiresteàeffacerles tracesdesonpassageensupprimantlesfichiersqu'ilacréésetennettoyantlesfichiersde logsdesmachinesdanslesquellesils'estintroduit,c'est à direensupprimantleslignes d'activitéconcernantsesactions. Parailleurs,ilexistedeslogiciels,appelés«kitsracine»(enanglais«rootkits»)permettant deremplacerlesoutilsd'administrationdusystèmepardesversionsmodifiéesafinde masquerlaprésencedupiratesurlesystème.eneffet,sil'administrateurseconnecteen mêmetempsquelepirate,ilestsusceptiblederemarquerlesservicesquelepiratealancéou toutsimplementqu'uneautrepersonnequeluiestconnectéesimultanément.l'objectifd'un rootkitestdoncdetromperl'administrateurenluimasquantlaréalité. S'ils'agitd'unpirateexpérimenté,ladernièreétapeconsisteàeffacersestraces,afind'éviter toutsoupçondelapartdel'administrateurduréseaucompromisetdetellemanièreàpouvoir garderlepluslongtempspossiblelecontrôledesmachinescompromises.leschémasuivant récapitulelaméthodologiecomplète: Figure1 10:Etapesderéalisationd uneintrusioninformatique Latechniqued intrusionlaplusrépanduedanslemondenumériqueestcelleréaliséeàl aide ouparlesvirus.en1986déjà,l'arpanetfutinfectéàcausedebrain,unvirusqui renommait tous les disques de démarrage de système d exploitation en (C)Brain. Les créateursdecevirusydonnaientleurnom,adresseetnumérodetéléphonecarc'étaitune publicitépoureux. Lechampd'applicationdesvirusvadelasimpleballedeping pongquitraversel'écranau virusdestructeurdedonnées,cedernierétantlaformedeviruslaplusdangereuse.ainsi, étantdonnéqu'ilexisteunevastegammedevirusayantdesactionsaussidiversesquevariées, lesvirusnesontpasclassésselonleursdégâtsmaisselonleurmodedepropagationet d'infection.ainsiondistingueainsiplusieurstypesdevirus: lesverssontdesviruscapablesdesepropageràtraversunréseau 12

23 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lestroyens(chevauxdetroie)sontdesviruspermettantdecréerunefailledansun système (généralement pour permettre à son concepteur de s'introduire dans le systèmeinfectéafind'enprendrelecontrôle) lesbombeslogiquessontdesviruscapablesdesedéclenchersuiteàunévénement particulier(datesystème,activationdistante,...) Il existe aussi des virus polymorphes qui, lors de leurs réplications, modifie leur représentationpourempêcherlesanti virusdelesidentifierparleursignature.bienqu'en apparencecesviruschangent,leurfonctionnement(leurméthoded'infectionetleurcharge utile)restelemême.lesalgorithmesnesontpasmodifiés,maisleurtraductionenlangage machinel'est. Commelemontrelegraphesuivant,NetskyandNyxemétaientlesdeuxviruslesplus répandusentremaietjuin2008. Figure1 11:Top5desvirusenJuin2008 Ilyaaussilesespiogiciels(enanglaisspyware)quisontdesprogrammeschargésderecueillir desinformationssurlesutilisateursdel'ordinateursurlequelilssontinstallés(onlesappelle doncparfoismouchards)afindelesenvoyeràlapersonnequilesdiffusepourluipermettre dedresserleprofildesinternautes.lesinformationsrecherchéessontsouventlesmots clés saisisdanslesmoteursderecherche,lesachatsréalisésviainternet,lesurldessitesvisités, lesinformationsdepaiementbancaire(numérodecartebleue/visa)etc. Aprèsavoirparlébrièvementdesattaquesinformatiquesengénéraletplusparticulièrement desintrusionsinformatiques,nousallonsàprésentvoirquellessontlessolutionsetmesures desécuritéqu ilestpossibleactuellementdemettreenœuvrepourgarantirunniveau satisfaisantdesécuritéauseindessystèmesd informationsdesentreprisesetorganismes. I.3Lessolutionsenmatièredesécuritéinformatique Lescontrôlesphysiquesn assurentqu uneprotectionlimitéedesdonnéesetdesressources; d autressystèmesetoutilscommeceuxdelafigure1 12sontprimordiauxpourlaréalisation delasécuritélogiquedesdonnéesetdesressources. Onretrouvedanscegraphelesantivirusetlespare feu(firewall)entêtedelistedu classementdesmesuresdesécuritélesplusutiliséesen2007selonlesauteursdurapport2007 duglobalsecuritysurvey[glo07].toutescesmesuresdesécuritéprésentéesdansce graphevisentàgarantirlesservicesdesécuritéquenousallonsexpliciterdanslasoussection suivante. 13

24 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Plusloindanslatroisièmepartiedecedocument,nousnousintéresseronsauxsystèmesde surveillance et de protection contre les intrusions afin de mieux comprendre leur fonctionnementetlesavantagesqu ilspeuventprocurerauxentreprisesdansunestratégieà longterme. Figure1 12:Statistiquesdessystèmesdesécuritédéployésen2007 I.3.1Lesservicesetmécanismesdesécuritéinformatique Lesservicesdesécuritésontlescritèresprincipauxquedoiventsatisfairelessolutionsde sécuritéafindegarantirdemanièreméthodiqueetorganiséelasécuritédessystèmesetdes réseaux.ils agitsurtoutdeladisponibilité,l intégrité,laconfidentialité,l authentification, l autorisation,lanon répudiation,latraçabilité,l auditabilitéetlecontrôled accès. Lecontrôled accèsestunprocessusconsistantàlimiterlesdroitsd accèsauxressourcesdu système.onpeutcitertroistypesdecontrôled accès: Les contrôles d accès administratifs qui sont fondés sur les politiques générales.lespolitiquesdesécuritédel informationdoiventénumérerles objectifsdel organisationenmatièredecontrôled accèsauxressources,la prisedeconsciencedesnotionsdesécurité,l embaucheetlagestiondu personnel. Les contrôles logiques qui sont constitués des mesures matérielles et logiciellespermettantdelimiterl accèsauréseau,commeleslistesdecontrôle d accès,lesprotocolesdecommunicationetlechiffrement. Lescontrôlesphysiquesquiserventàempêchertoutaccèsphysiquenon autoriséprèsdeséquipementsouprèsdessallesquicontiennentlematériel critiqueconstituantleréseau.undesrisquesàcesbasniveauxestl utilisation derenifleursetd analyseursdepaquets. 14

25 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecontrôled accèsreposedoncsurlavérificationdel identité(authentification),puissur l accorddeprivilègesselonl identitéenquestion(autorisation)etenfinsurlefaitdenepas pouvoirnierourejeterqu unévénementaeulieu(nonrépudiation). Lecontrôled'accèsconsisteàvérifiersiuneentité(unepersonne,unordinateur, ) demandantd'accéderàuneressourceàlesdroitsnécessairespourlefaire.lecontrôlepeut êtreréaliséàl'aidedel'utilisationd'élémentspermettantl'authentificationdel'entité(par exempleunmotdepasse,unecarte,uneclé,unélémentbiométrique, ).Dessystèmeset protocoles comme Samba, Active Directory, LDAP et Radius permettent de gérer l authentificationsouventnécessaireauxcontrôlesd accèslogiques.lesmisesenœuvre concrètesdessolutionsdecontrôled accèssontlesanti virus,lespare feux,lessystèmesde détectionetdepréventiond intrusion. Encequiconcernelesmécanismesdesécurité,ils agitengénéraldesalgorithmesoudes techniquescryptographiquesquipermettentdefournirl ensembledesservicesdesécurité citésci dessus.iln existepasunsimplemécanismedesécuritéquifournissel ensembledes servicesdesécurité.cependant,unélémentparticulierestàlabasedelaplupartdes mécanismesdesécurité.ils agitduchiffrement. Lessystèmesdechiffrementfontappelàdesalgorithmesdechiffrementsouventcomplexes quimodifient,àl'aided'uneclédechiffrementplusoumoinslongue,lescaractèresàprotéger pourgénérerdesdonnéesapparemmentaléatoires.letextechiffré(cyphertext)peutalorsêtre transmissurunréseaunonsécurisé.eneffet,mêmes'ilestintercepté,ilnepourraêtre compréhensibleparuntiersquinepossèdepaslaclédedéchiffrementpermettantd'obtenirle texteinitialenclair(plaintext). Lapuissancedel'algorithme,latailledelacléutiliséeetlacapacitéàgarderlescléssecrètes defaçonsécuriséedéterminentlarobustessed'unsystèmedechiffrement.l'algorithmen'a pasbesoind'êtresecret.ilestmêmerecommandéqu'ilsoitpublicetpubliéafinquela communautéscientifiquepuissetestersarésistanceauxattaquesettrouverlesfaillesavant qu'unattaquantnelesexploite.garderunalgorithmesecretnerenforcepassasécurité. Unsystèmedechiffrementestditfiable,robuste,sûrousécurisé s'ilresteinviolable indépendammentdelapuissancedecalculoudutempsdontdisposeunattaquant.ilpeutêtre qualifiéd'opérationnellementsécurisésisasécuritédépendd'uneséried'opérationsréalisables enthéorie,maisirréalisablespratiquement(tempsdetraitementtroplongenappliquantles méthodesderésolutionconnuesetenutilisantlapuissancedecalculdisponible). Ilexistedeuxtypesdechiffrement: Chiffrementsymétrique Lesystèmedechiffrementestqualifiédesymétriquesi,pourchiffreroudéchiffreruntexte,il fautdétenirunemêmeclépoureffectuercesdeuxopérations.l'émetteuretlerécepteur doiventposséderetutiliserlamêmeclésecrètepourrendreconfidentiellesdesdonnéeset pourpouvoirlescomprendre. Chiffrementasymétrique Unsystèmedechiffrementasymétriqueestbasésurl'usaged'uncoupleuniquededeuxclés complémentaires,calculéesl'uneparrapportàl'autre.cettepairedecléestconstituéed'une clépubliqueetd'unecléprivée.seulelacléditepubliquepeutêtreconnuedetous,tandisque lacléprivéedoitêtreconfidentielleettraitéecommeunsecret.ondoitconnaîtrelaclé publiqued'undestinatairepourluienvoyerdesdonnéeschiffrées.illesdéchiffreraàleur réceptionavecunecléprivéequ'ilestleseulàconnaître.lemessageestconfidentielpourle destinatairedanslamesureoùluiseulpeutledéchiffrer. 15

26 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS I.3.2Classificationetprincipesdesmesuresdesécurité Lesmesuresdesécuritésedistinguent(figure1 13)etseclassifientselonleurniveau d'intervention. Elles contribuent toutes à protéger les ressources critiques de menaces particulières.plusieurstypesgénériquesdemesuresdesécuritésontidentifiés: Lesmesuresstructurelles,commel'occultationdesressources,lesredondances,la fragmentation de l'information, par exemple, qui réduisent la vulnérabilité des ressourcesenagissantsurlastructureetl'architecturedusystèmed'information. Les mesures de dissuasion qui autorisent une prévention en décourageant les agresseursdemettreàexécutionunemenacepotentielle.ilpeuts'agirdeprocédures juridiquesetadministrativestouchantàlasensibilisationetàlagestiondesressources humaines,auxconditionsdetravailouauxmoyensdedétectionetdetraçage. Lesmesurespréventivesquiserventdebarrièreafind'empêcherl'aboutissementd'une agression(incident,malveillance,erreur,etc.)etfontensortequ'unemenacen'atteigne passacible.lesprocéduresdecontrôlesd'accèsphysiqueetlogique,lesdétecteursde virus,entreautres,peuventjouercerôle. Les mesures de protection qui ont pour objectifs de réduire les détériorations consécutivesàlaréalisationd'unemenace.enparticulier,lescontrôlesdecohérence, lesdétecteursd'intrusion,d'incendie,d'humidité,d'erreursdetransmission,etles structurescoupe feupermettentdeseprotégerdesagressionsoud'enlimiterl'ampleur. Les mesures palliatives ou correctives, telles que les sauvegardes, les plans de continuité,lesredondances,lesréparationsoucorrectionsparexemple,quipallientou réparentlesdégâtsengendrés. Lesmesuresderécupérationquilimitentlespertesconsécutivesàunsinistreetréduisentle préjudicesubiparuntransfertdespertessurdestiers(assurance)ouparattributionde dommagesetintérêtsconsécutifsàdesactionsenjustice. Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité Ilexistedesscanneursdevulnérabilitépermettantauxadministrateursdesoumettreleur réseauàdestestsd'intrusionafindeconstatersicertainesapplicationspossèdentdesfaillesde sécurité.lesdeuxprincipauxscanneursdefaillessont: Nessus SAINT Ilestégalementconseilléauxadministrateursderéseauxdeconsulterrégulièrementlessites tenantàjourunebasededonnéesdesvulnérabilités: 16

27 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS SecurityFocus/Vulnerabilities Ainsi,certainsorganismes,enparticulierlesCERT(ComputerEmergencyResponseTeam), sontchargésdecapitaliserlesvulnérabilitésetdefédérerlesinformationsconcernantles problèmesdesécurité. CERTISTdédiéàlacommunautéIndustrie,ServicesetTertiairefrançaise, CERTISTdédiéàl'administrationfrançaise, CERTRenaterdédiéàlacommunautédesmembresduGIPRENATER(Réseau National de télécommunications pour la Technologie, l'enseignement et la Recherche). Auniveaudesmesuresdesécuritéaussidesévolutionsontétéobservées.Enprenantpar exemplelecasdespare feux,lestoutpremiersétaientdits«stateless»ousansétat.unpare feusansétatregardechaquepaquetindépendammentdesautresetlecompareàunelistede règlespréconfigurées. Ladeuxièmegénérationdepare feuestlepare feuàétatsou«statefull».certainsprotocoles dits«àétats»commetcpintroduisentlanotiondeconnexion.lespare feuàétatsvérifient laconformitédespaquetsàuneconnexionencours. Latroisièmegénérationdepare feuestlepare feuapplicatif.dernièrevéritablemouturede pare feu,ilsvérifientlacomplèteconformitédupaquetàunprotocoleattendu.parexemple, cetypedepare feupermetdevérifierqueseulduhttppasseparleporttcp80. Laquatrièmegénérationdepare feuestlepare feuidentifiant.unpare feuidentifiantréalise l identificationdesconnexionspassantàtraverslefiltreip.l'administrateurpeutainsidéfinir lesrèglesdefiltrageparutilisateuretnonplusparip,etsuivrel'activitéréseauparutilisateur. Lacinquièmegénérationdepare feuestlepare feupersonnel.lespare feuxpersonnels généralementinstalléssurunemachinedetravail,agissentcommeunpare feuàétats.il s agitenfaitdenouveauxantivirusquiintègrentdespare feux.aujourd hui,toutesces évolutionsdespare feuxontconduitàunesituationtellequ iln estplusaisédedifférencier leseffetsd unpare feuclassiqueetceuxd unantivirus. Aprèslespare feuxsontapparuslesconceptsderéseauxprivésvirtuels(vpn).ensuitecefut letourdessystèmesdedétectionetdepréventiond intrusions.cessystèmesquisontréputés êtreplusfiablesquelespare feuxserontanalysésetdécortiquésdanslatroisièmepartiedece documentcarilsviennentenréponsesauxattaquescibléesquisemanifestentsouventsousla formed intrusionsinformatiques. Etantdonnél'augmentationdesmenacescombinées,duspametdesattaquesdephishing,il n'ajamaisétéaussiimportantdecommuniqueràl'utilisateurquelssontlesmeilleursmoyens deseprotéger. Uneéthiquesécuritairedoitêtredéveloppéeauseindel'entreprisepourtouslesacteursdu systèmed'information.elledoitsetraduireparunechartereconnueparchacunetparun engagementpersonnelàlarespecter.lasignaturedelachartedesécuritédoits'accompagner desmoyensauxsignatairesafinqu'ilspuissentlarespecter. Deplus,ilestégalementnécessaired'éduquer,d'informeretdeformerauxtechnologiesde traitementdel'informationetdescommunicationsetnonuniquementàlasécuritéetaux mesuresdedissuasion.lasensibilisationauxproblématiquesdesécuriténedoitpasselimiter àlapromotiond'unecertaineculturedelasécuritéetdesonéthique.enamontdelaculture sécuritaire,ildoityavoiruneculturedel'informatiquecequicorrespondàlanotionde permis de conduire informatique que prône le Cigref (Club informatique des grandes entreprisesfrançaisesdontlesiteinternetestwww.cigref.fr). 17

28 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS L'auditestuneprocéduredecontrôledelagestiond'uneactivitéetdel'exécutiondeses objectifs.enmatièredesystèmesd'information,l'auditdesécuritéapourobjectifdemesurer l'écartentrelasituationexistante(surlesplansorganisationnels,procédurauxettechniques)et lapolitiquedesécuritédel'entreprise,lesbonnespratiquesetl'étatdel'art. Unauditdesécuritédoitconduire,audelàduconstat,d'unepartàmesurerlesrisques opérationnelspourledomaineétudié,etparextensionpourtouteoupartiedesactivitésde l'entreprise,etd'autrepartàproposerdesrecommandationsetunpland'actionsquantifiéeset hiérarchiséespourcorrigerlesvulnérabilitésetréduirel'expositionauxrisques. Lesauditsfontintervenir: Soituneéquipepluridisciplinaired expertsinterneàl entreprise; Soituneéquipepluridisciplinairecomposéedeconsultantsetd'ingénieurs(experts dansleursdomaines)externesàl entreprise. Lestestsd'intrusion(enanglais«penetrationstests»,abrégéenpentests)consistentà éprouverlesmoyensdeprotectiond'unsystèmed'informationenessayantdes'introduiredans lesystèmeensituationréelle. Ondistinguegénéralementdeuxméthodesdistinctes: Laméthodedite «boîtenoire» (en anglais «blackbox»)consistantàessayer d'infiltrerleréseausansaucuneconnaissancedusystème,afinderéaliseruntesten situationréelle; Laméthodedite«boîteblanche»(enanglais«whitebox»)consistantàtenterde s'introduiredanslesystèmeenayantconnaissancedel'ensembledusystème,afin d'éprouveraumaximumlasécuritéduréseau; Untestd'intrusion,lorsqu'ilmetenévidenceunefaille,estunbonmoyendesensibiliserles acteursd'unprojet.acontrario,ilnepermetpasdegarantirlasécuritédusystème,dansla mesureoùdesvulnérabilitéspeuventavoiréchappéauxtesteurs.lesauditsdesécurité permettentd'obtenirunbienmeilleurniveaudeconfiancedanslasécuritéd'unsystèmeétant donnéqu'ilsprennentencomptedesaspectsorganisationnelsethumainsetquelasécuritéest analyséedel'intérieur. Aprésent,nousallonspasseràl étatdeslieuxdelasécuritéinformatiquedanslemonde. I.4 Etat des lieux de la sécurité informatique dans le monde Pour mieux prendre conscience de la problématique de la sécurité informatique et de l Internet,leschercheurssebasentsouventsurdesétudes,recherchesdelaboratoire,enquêtes etconstatsdescentresspécialisésdanslacollectedesinformationsconcernantl informatique etsonévolution. LeComputerCrimeandSecuritySurvey(CCSS CSI)réalisechaqueannéeundessondages lespluspertinentsauxetats Unisausujetdesproblèmesmenaçantlasécuritéinformatique. Elle mène ses recherches auprès des organismes gouvernementaux, institutions civiles, multinationales,universités,hôpitauxetc.le12èmesondageannuelducsiencollaboration aveclefederalbureauofinvestigation(fbi)afournideschiffresetstatistiquesalarmantssur l étatdelasécuritéinformatiqueetdel Internetencequiconcernel année

29 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LeGlobalSecuritySurvey,uneautreétudenonmoinsintéressanteémanedu«ItRisk ManagementAndSecurityServices»duGroupe«GlobalFinancialServicesIndustry (GFSI)».Cegroupeappartientaucabinetd auditetdeconseilbritannique«deloittetouche Tohmatsu(DTT)».Lesdomainesd activitédecettemultinationalesontl audit,lejuridique, lafinance,l expertisecomptable,lacertification,lafiscalité,laconsultationengestionetles conseilsfinanciers.ilpossèdeplusde150000collaborateursdanslemondeavecunchiffre d affaires élevantà23,1milliardsdedollarspourl exercice Cegroupeest présentàtravers69firmesdans142paysàtraverslemonde. LeClubdelaSécuritédel InformationFrançais(CLUSIF)aussiréalisechaqueannéeun rapportintitulé«lesmenacesetlespratiquesdesécurité».lerapport2008duclusifa concerné354entreprisesdeplusde200salariés,194collectivitéslocaleset1139individus issusdupaneld'internautesdel'institutspécialiséharrisinteractive. Figure1 14:Statistiquesdesréponsesparsecteurd activité TandisquelessondagesduCSIetduCLUSIFsefocalisentsurunepopulationtrèsdiversifiée maislimitéerespectivementauxetats Unis(figure1 14)etenFrance,lesondageduGFSI s intéresseplutôtauxinstitutionsfinancièrescommelesbanquesetlesfirmesd assurance danslemondeentier(figures1 15et1 16). Figure1 15:Statistiquesdesréponsesparsituationgéographique 19

30 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage Aprèsuneanalyseapprofondiedesrésultatsdecestroissondages,lepremierconstatquenous pouvonsfaireestquel ensembledesattaquesportéescontrelessystèmesetlesréseaux informatiques des entreprises et des organisations leur causent des pertes financières considérablesetd énormesdommagesencequiconcerneleurimageetleurréputation(lecas desdénisdeservice). Enanalysantlegraphiquedelafigure1 17tirédurapportduCSI,rienqu auxetats Unis,on estimelespertescauséesparlesfraudesfinancièresà$ et$ encequi concernelesvirusetlesspywares.toutcecirienqu en2007.lesfraudesfinancièresont doncprislapremièreplacequiétaitoccupéparlesvirus. Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques LesauteursdurapportduCSIontestiméquelespertesfinancierscauséesparlesdiverstypes d incidentsdesécuritéontconnuunebaisseprogressivecescinqdernièresannéesycompris enl an2006maispaspourl année2007.eneffet,letotaledespertesen2007(mêmesile 20

31 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS nombredepersonnesayantréponduàcettequestionrelativeauxpertesadiminué:194)aété estiméà$ cequiestunehaussesignificativecaren2006cetotalétaitde $ pour313réponsesobtenues. Lameilleuremanièred appréciercespertesfinancièresestdelesvoirsousformedemoyenne despertesparpersonneinterrogée(organismeoureprésentantayantparticipéausondage)et c estjustementcequemontrelafigure1 18.Cetteannée,lamoyennedespertesparpersonne interrogéeestde$345005cequireprésenteunetrèsfortehausseparrapportaurésultatde l an2006quiétaitde$ Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés. Lesmesuresdesécuritéprisesengénéralparlesorganisationscontrelesattaquessontbasées sur des composants et logiciels comme les antivirus et les pare feux qui ne sont fondamentalement pas parfait en raison de l évolution quasi quotidienne des menaces informatiques.celaestdûengrandepartieaufaitquecestechnologiessebasentsurla détectionpardessignatures.cetteapprocheparrecherchedesignaturedesmenacesconnues n estpastoujourstrèspratiquecarlesconcepteursdelogicielsmalveillants(virusetautres) ontprogressivementaugmentélasophisticationdeleursoutilsàunpointtelqu illeurest possibled outrepasserlesanti virusquasimentàvolonté(selonlesauteursdelapremière étude).certesc estsouventpouruncourtmoment(letempsquelesconcepteursd antivirus réagissent)maiscescourtsmomentssontsouventsuffisantspourcesmalfaisantspourréaliser leursméfaits. L usagedel informatiqueetd Internetàlamaisonestmaintenantlargementbanalisé.Le comportementdesutilisateursdel informatiqueenentrepriseestdeplusenplussouvent influencéparlapratiqueprivée,etlesfrontièresentrelesdeuxmondesdeviennentplus floues.l enquêteduclusifmontrequ untiersdesinternautesutilisentl ordinateurfamilial aussiàdesfinsprofessionnelles(figure1 19),cequiposequelquesquestionssurlaprotection desdonnéesdel entreprise Etsilesinternautessontglobalementprudentsdèsqu ils agit d achatsurinternet,etsemblentconscientsdel utilitédesoutilsdeprotection(antivirus,pare feupersonnels,etc.),ilsnesesententquepouruneminoritéd entreeuxvéritablementen«insécurité»surinternet. 21

32 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 19:Typesd usagedel ordinateurfamilial Pendantqueleslogicielsmalveillantsdeviennentdeplusenplussophistiqués,lessystèmes d exploitationactuelsdeviennentdeplusenpluscomplexes,comportantainsiuneinfinitéde vulnérabilités.ilsuffitdeconsulterlesbulletinsd informationdescertpourconstaterqu on endécouvrequasimenttouslesjours. Danscecontexteoùlesvirus,leschevaux de Troieetlesautreslogicielsmalveillants deviennentdeplusenplussophistiqués,onassisteàlarecrudescenced untyped attaquesqui était encore il y a cinq ans seulement évoqués dans les débats théoriques sur la cybercriminalité.aujourd huiceladevientuneréalitésionencroitlafigure1 20: Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées Ils agitdesattaquesciblées.selonlesauteursdusondage2007ducsi,cen estqu encette année(2007:annéedurapportactuel,c'est à direlerapportleplusrécentducsicarceluide 2008sortiraendébut2009)quecettequestionaétéajoutéedanslesformulairesdusondage. 32%deceuxquiontréponduàcettequestionestimentavoireffectivementessuyéscetype d attaque(figure1 20).Lesattaquescibléessontplusdifficilesàdétecterquelesattaques génériquesetconventionnellesquesubitl ensembledelacommunautédesutilisateursdes ressourcesinformatiques.c estpourquoiellessontplusdangereusescarlessystèmesvisésla plupartdutempsnes enrendentmêmepascompte(ouelless enrendentcompteparfoisbien longtempsaprès).etantdonnéquelesattaquescibléesréussissentleplussouventàatteindre leursobjectifs,silescriminelsquilefontsontattirésparl appâtdugain,ilestfortpossible quedanslesprochainsrapportsducsietdugfsi,onendénombreraencorebeaucoupplus. Par ailleurs, la demande croissante de mobilité et d interopérabilité des fonctions informatiquesetdelasécuritéaprogressivementconduitàunegrandevariétédemoyensde communication.toutescesméthodesettechniquesapportentbiensûrellesaussileurslotsde risquesenmatièredesécuritéinformatique.lesauteursdurapportduglobalsecuritysurvey [GLO07]rapportentainsique77%despersonnesetorganismesinterrogésontindiquésqu ils avaientfaitl expériencedeplusieurscasrépétésdedécouvertesdebrèchesdesécuritédans leursréseauxousystèmesinformatiques. Iln estdéjàpasbonsignededécelerdesbrèchesdanssonsystèmedesécuritémaisquand uneouplusieursmêmesbrèchesréapparaissentplusieursfoisdesuite(découverte,fermeture ensuiteredécouverte),celadevientunsérieuxrisquepourl entrepriseoul organisationetily alieudevraiments inquiéteretd approfondirlesinvestigations. Lesbrèchesdesécuritécauséesparlesvirusetleschevaux de Troiesontsouventplus fréquentsqueceuxcauséesparlesemployéstantintentionnellementqu accidentellement.le tableaudelafigure1 22montreunaperçugénéraldesréponsesobtenuesencequiconcerne lesbrèchescauséespardesfacteursexternes.ilestparticulièrementinquiétantdeconstater 22

33 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS quepourl année2007,lesattaquespare mail(spamsetspyware)ontprislapremièreplace danslalisteavec52%despersonnesinterrogéesquiontrapportéslesavoirsubit. Encequiconcernelesbrèchescrééespardesfacteursinternesauxorganismes(tableau1 1), ilestheureuxdeconstaterquelesincidentsdugenrevirus,versoufraudesfinancièresont largementbaisséscestroisdernièresannées.de31%en2005,onestpasséà28%en2006 puisà18%en2007.toutefoislescasd accidents(13%)etdepertesdesdonnéesprivéesdes clients(8%)ontétésignaléspourlapremièrefoisdanslerapportdecetteannéeselonle tableau1 2. Tableau1 1:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs Tableau1 2:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs SelonlesauteursdusondageduGFSI,parmilesdommagesoccasionnésparcesbrèches,58% sontdespertesfinancièresdirectes,30%despertesindirecteset12%despertessonttouchent négativementàlaréputationdesentreprises. LesauteursdusondageGFSIsoulignentaussilefaitqu àlaquestiondesavoirsileur organisation va au delà de l authentification par des mots de passe pour réaliser les transactionssurinternetavecleursclients,unpeuplusdelamoitié(51%)ontrépondupar l affirmativetandisque14%et7%ontréponduêtresurlepointdelefairerespectivement dansles12et24moisprochains. Quantàlaquestiondesavoirsiunévénementanormal(desévénementsautrequeceuxdu typeanalysecomplèteetrapideduréseaupardessniffers)aétéconstaté,46%despersonnes sondéesontréponduparl affirmativeselonlesauteursdurapport2007dusondageducsi. Cepourcentageestenbaisseparrapportau52%del année2006,au56%del année2005et surtoutaupicde70%del an

34 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Danslemêmesens,ilaétédemandéauxpersonnessondéesd estimerlenombred incidents qu ilsauraientessuyésdurantles12derniersmois(2007).lafigure1 21indiquequele nombred incidentsdétectésasignificativementaugmentésurtoutencequiconcernela tranchedeceuxquiontestiméavoirsubitplusde10attaques(de9à26%). Figure1 21:Statistiquesdunombred incidentssubitces12derniersmoisparlesorganisations. Lafigure1 22montrelepourcentagedesattaquesprovenantdel intérieurmêmedes entreprisesetdesorganisationsauxetats Unis.Commeonpeutlevoir,27%despersonnes sondéesattribuentmoinsde20%deleurspertesfinancièresauxmenacesinternes.37%des personnesinterrogéesestimentlepourcentagedeleurspertesattribuéesauxmenacesinternes entre20et40%.etseulement5%delapopulationsondéeattribueplusde80%deleurs pertesauxmenacesinternes. Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise. Encequiconcernelesentreprises,l édition2008durapportduclusiffaitressortirun inquiétantsentimentdestagnation.entre2004et2006desprogrèsnotablesavaientétéfait, enparticulierdansledomainedelaformalisationdespolitiquesetdeschartesdesécurité. Maisdepuis,ilsemblebienquelamiseenapplicationconcrètedecespolitiquessoitrestéeun vœupieu.40%desentreprisesnedisposenttoujourspasdeplandecontinuitéd activitépour traiterlescrisesmajeures,contre42%en2006(figure1 23).Et30%d entreelledisentne pasêtreenconformitéaveclaloiinformatiqueetliberté 24

35 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI Selonlediagrammeissudelafigure1 24durapportduCLUSIF,59%desentreprisesdisent réaliseruneveillesystématiqueoupartiellesurlesnouvellesfaillesdesécuritéetsurles nouvellesattaques. Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité Lesgrandesentreprisesdéclarentplussouventréaliseruneveillesystématique,c'est à dire couvranttrèslargementlepérimètredeleursenvironnementstechniques. Cechiffreresteà peuprèsstableparrapportà2006.lesentreprisesn ontglobalementpasrenforcéleur vigilancevis à visdesmenaces. Selonlesauteursde[CSI07],touteslescatégoriesd attaquesonttendanceàdiminueren nombredepuisquelquesannées.pourtant,pourl année2007,unehausseaétéconstatéeence quiconcerneparexemplelesabusliésaupersonnelinternedesentreprises(insiderabuseof networkaccessor )commelesvisitesdessiteswebpornographiquesoul utilisationdes logicielspiratés.de42%en2006onestpasséà59%.enoutre,pourlevoldesordinateurs portablesetautresaccessoiresmobiles,ondéploreaussiunelégèrehaussede47%à50%. Encequiconcernelepourcentagedesentreprisesouorganismesayantsubitdesincidentssur leursiteweb,lafigure1 25parled ellemême.40%desorganismesinterrogésestimentavoir essuyéentre1et5incidentsdecetype. 25

36 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleursitesweb. SelonlesauteursdurapportduCSIde2007[CSI07],lepourcentagedesorganisationsqui ont rapporté des intrusions dans leurs réseaux ou systèmes informatiques continue d augmenteraprèsavoirconnuunelonguepériodedebaisse(duecertainementaumanquede confiancedanslescertautourdesannées2000).cetteannée,29%desorganisationsqui ontparticipéausondagedisentavoirinformélesinstitutionscommelescert.c estune légèrehausseparrapportà2006(25%).lafigure1 26montrejustementlepourcentagedes actionsetmesuresdesécuritéprisesengénéralsuiteàuneattaqueouàunincidentde sécurité. Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident. Degrosseslacunesdanslacompréhensiondessituationsàrisqueontétéconstatéesparles auteursdurapportduclusif.pourlesinternautesinterrogéssurlescomportementsetles situationsàrisque,l'absencedeprotectionsvis à visdesmenacesviralesarrivelogiquement enpremièreplace(figure1 27). 26

37 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes Nousdevonsnoterlebesoind éducationetdesensibilisationauxbonnespratiquesdes utilisateursquiconsidèrentmajoritairementquenepasmettreàjourleurssystèmeset navigateursn augmentepasfortementlesrisques,alorsqu enpratique,c estprimordial.un systèmed exploitationpasàjour,mêmedotéd unantivirus,seralaplupartdutemps vulnérableauxattaquesexternes. Pourconclureleurrapport,lesexpertsduCLUSIF[MEN08]ontaffirméque:«la menacenefaiblitpasetnotreenquêtemontredenouveauquelesmalveillancesetles incidentsdesécuritésontbienréels,avecuneprésencetoujoursactivedesattaquesvirales, desvolsdematériel,etunaccroissementdesproblèmesdedivulgationd informationetdes attaqueslogiquesciblées.etl actualitérécenten acessédedémontrerlesgravesimpactsdes déficiencesenmatièredesécurité(fraudebancaire,divulgationdedonnéespersonnelles, etc).sortirdespolitiquesdesécurité«alibi»,quel onrédigepoursedonnerbonne conscience,pourallerversdespratiquesconcrètes,réellementancréesdanslesprocessusde gestiondel information,voilàdoncl enjeupourlesannéesàvenir» Quantauxauteursdesdeuxautresrapports[GLO07],[CSI07],ilss accordentpourdireque mêmes ilestmaldeprojeterlatendancedesrésultatsd uneseuleannéeauxannées prochaines,ilyanéanmoinsunefortesuggestionexprimantquelesmenacesémergentes commencentàsematérialiserendespertesfinancièresenfortecroissance.ilss accordent aussiàdirequelesnouvellesmenacesprennentdel ampleur(lesattaquescibléespar exemple). Gartner[CSI07]aestiméquelerevenumondialdeslogicielsdesécuritéestmontéà$7,4 milliardsen2005,uneaugmentationde14,8%durevenude2004quis élevaità$6,4 milliards;$4milliardsdecemontantconstituaitlerevenugénéréparleslogicielsanti virus. End'autrestermes,l'identificationdesmodèlesdeviruscomptaitpour54,3%detoute l'industriedeslogicielsdesécurité.enoutre,leslogicielsanti virusnesontpaslesseulsoutils desécuritéquiutilisentlarecherchebaséesurlessignatures.laplupartdeslogicielset matérielsdepare feufonctionnentselonlemêmeprincipe,pourtantcestechniquesde rechercheparsignaturesdeviennentinsuffisantsnotammentcontrelesattaquesciblées.les 27

38 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS piratesaméliorentleurslogicielsetoutilsmalveillantsàunpointoùladétectionpardes signaturesn estplusaussiefficacequ àsesdébuts. L undesproblèmesmajeuresauquellemondedestechnologiesfaitfaceactuellementestque lessystèmesd exploitation,lesapplicationsetleslogicielsquisontdéveloppésaujourd hui utilisentdestechnologiesetdescomposantstellementcomplexes(souventsousleprétexte d unmeilleurdesign)qu ilsregorgentmalheureusementdemultiplesvulnérabilitésqueles CERT découvrent et publient quasiment chaque jour. Pendant ce temps, les criminels informatiquesconçoiventdeslogicielsetoutilsdeplusenplussophistiqués.ainsi,pendant que les pirates disposent d armes de plus en plus performantes, les grandes firmes informatiques(microsoftetautres)leuroffrentsurdesplateauxdesciblesparfaitesquesont lesutilisateursfinaux(organisations,entreprisesetparticuliers). Danslepassé,lalutteausujetdelasécuritéinformatiqueavaitlieuentrelesprofessionnelsde lasécuritédesentreprisesetlescriminelsquiattaquaientleursréseaux.aujourd huic est devenuencorepluscompliqué.lescriminelsattaquentàlafoislesréseauxdesentrepriseset lesdonnéespersonnellesdesclientsdecesentreprises.c'est à direqu ilsvolentcesdonnées auseindesentreprisesetlesemploientaprèspourattaquerlesdifférentsclients. Unautreconstatestquel ensembledesfirmesdehautestechnologiessembleseconcentrer sérieusementsurlarénovationdessystèmesdegestiond'identité(figure1 28). Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen2007. C estunetendancequi,sielleréussit,pourraittrèsbiencourt circuitercetterecrudescencede cybercrimesquenousconstatonsdepuislesannées2000.eneffet,ilserabeaucoupplus difficiled'utiliserdesastucesinformatiquespourcommettredescrimesenlignesiles utilisateurssontobligésdes authentifiersanséquivoque,enemployantdesidentifiantsplus fiablesquedesadressese mail.lorsqu ilscommettrontdesinfractions,ilseraalorsfacilede retrouverleursnomsetadressesdanslemonderéel.c estpourquoilesentreprisesquiont participéausondagedugfsiontmisentêtedeleurlistedeprioritéslarénovationdeleur systèmedegestiond identitéscommelemontrelafigure1 28. Unegestiond'identitéplusrigoureuse(enparticulieravecdesprotectionsplusappropriéesde lavieprivée)pourraitêtreunebonnecarteàjouerpourlesentreprises(d autresentreprennent également les révisions de leurs applications pour les rendre moins vulnérables) qui désireraientselibérerdelamenaceoudel emprisedespirates. Arrivésàlafindecettepremièrepartie,nouscomprenonsclairementquelasituationdela sécuritéinformatiqueesttoutdemêmeinquiétante.commenousledisionsunpeuplushaut, pendantquelescybercriminelsdeviennentdeplusenplusnombreuxetquedesoutils permettantdemenerdesattaquesinformatiquesdeviennentdeplusenplusdisponiblesen libre téléchargement sur Internet, le nombre de failles ou de brèches des nouvelles applicationsetsystèmesd exploitationaugmenteégalementàgrandevitesse.l évolutiondes menaces informatiques suit donc l évolution de l informatique elle même et celle des 28

39 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS technologiesengénéral.leconstatestdoncquelesproblèmesdesécuritéinformatiquessont multiformesetmultidimensionnels(humains,juridiques,techniquesetc.)etfaceàcette complexité,ilexistedemultiplessolutionsparmilesquelsnousavonscitélechiffrement,les pare feux,lessystèmesdeprotectioncontrelesintrusionsetc. Leproblèmequiressortestdoncdesavoircommentmettreenœuvrecessolutionsdemanière àpouvoirrépondreefficacementetparconséquentdepouvoirréellementbienseprotégerde cesmenacesmultiplesetcomplexes. Danscecontexte,lasolutionqueproposentlesexpertsensécuritéestladéfinitionetlamise enapplicationd unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Lesresponsablesdesécuritéontdoncledevoirdefairetoutleurpossiblepourgarantirau mieuxlasécuritédansleursorganismesrespectifsenmettantenplacedesstratégiesde sécuritéadéquates.c'est à diredesstratégiesdesécuritéquiconviennentlemieuxaux prioritésdeleursorganismes.c estpourquoi,nousallonsdansladeuxièmepartiedenotre documentvoircequ estréellementunestratégiedesécurité. 29

40 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre2:Lesstratégiesdesécuritédessystèmes d information Lesprincipalespréoccupationsdesacteursdelasécuritésontrelativesàl appréhension globale de la maitrise des risques technologiques et informationnels via une approche intégrative et évolutive, tenant compte des facteurs d ordre humain, technologique, économiqueetpolitiquedesquestionsdesécurité. Entrebesoinsetsolutionsdesécurité,entrefacilitéd utilisationetefficacitédessolutionsde sécurité,entredélaisdedisponibilitédesolutionsefficacesetcoûtsdedéveloppementet d intégration,entreniveaudesécuritéetcoûtsdessolutions,l équilibreàtrouverpasseparun compromis.cedernier,résultatémanantduchoixconsistantàprivilégierunfacteurau détrimentd autres.unéquilibreestàobtenirentrelesbesoinsdesécuritéetlesdimensions financièresethumainesdelamiseenœuvreopérationnelledessolutionsdesécuritéviables. Leniveaudesécuritédesinfrastructuresrésultedoncd uncompromisentretroisprincipaux facteurs:lecoût,leniveaudesécuritéetletempsdelivraison.ilestillusoiredecroireque cestroisfacteurspourraientêtresatisfaisantssimultanément.deschoixdoiventêtreeffectués pourdéterminerlefacteuràfavoriseretàpartirduquel,lesdeuxautresdevrontêtreadaptés. Lasécuritéinformatiqued uneorganisationdoits appréhenderd unemanièreglobale.elle passeparladéfinitiond unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Cettedernièrecomporteralamotivationetlaformationdupersonnel,lamiseenplacede mesuresainsiqueparl optimisationdessolutions.l utilisationd outilsoudetechnologiesde sécuriténepeutpasrésoudrelesproblèmesdesécuritéd uneorganisation.enaucuncas,elle nesesubstitueàunegestioncohérentedel ensembledesproblèmesdesécurité. L abandondespolitiquesdesécurité«alibi»qu onrédigejustepoursedonnerbonne conscience,etl évolutionversdespratiquesconcrètesréellementélaboréesdanslesprocessus degestiondel information,voiladoncledéfitdesannéesfutures. II.1Définitionsetconceptsdesstratégiesdesécurité II.1.1Définitions L'objetdelasécuritépeutsedéfinircommeunecontributionàlapréservationdesforces,des moyensorganisationnels,humains,financiers,technologiquesetinformationnels,donts'est dotée une organisation pour la réalisation de ses objectifs. La finalité de la sécurité informatiqueauseind'uneorganisationestdegarantirqu'aucunpréjudicenepuissemettreen périllapérennitédel'entreprise.celaconsisteàdiminuerlaprobabilitédevoirdesmenaces seconcrétiser,àenlimiterlesatteintesoudysfonctionnementsinduits,etàautoriserleretour àunfonctionnementnormalàdescoûtsetdesdélaisacceptablesencasdesinistre. Unestratégiedesécuritéconsistedoncàconcevoiruneconduitegénéraledeprotection, d'organisationdeladéfense(démarcheproactive)etd'élaborationdeplansderéaction (démarcheréactive).elles'inscritdansuneapproched'intelligenceéconomiqueafinde permettreunevéritablemaîtrisedesrisquesopérationnels,technologiquesetinformationnels. 30

41 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 1:Objectifsdelasécurité Unrisqueestundangeréventuelplusoumoinsprévisible.Ilsemesureàlaprobabilitéqu'il seproduiseetauximpactsetdommagesconsécutifsàsaréalisation.unrisqueexprimela probabilitéqu'unevaleursoitperdueenfonctiond'unevulnérabilitéliéeàunemenace,àun danger. Lamaîtrisedesrisquesinformatiquesconsisteàlesréduireàunniveauacceptablepour l'organisationafind'éviterdemettreencausesaproductivitéetsapérennité. Lafrontièreentrelerisqueacceptableetceluiquinel'estpasestparfoisdifficileàdéterminer objectivementcar,elledépendfortementdesobjectifsdel'organisationetdudegrédecriticité desesressources. II.1.2Conceptsdesstratégiesdesécurité Lamiseenplaced unestratégiedesécuritéreposesurdesinvariantsqui,s ilssontadoptés parl ensembledel organisation,facilitentlamiseenplaceetlagestiondelasécurité.il s agitdesprincipesdebasesuivants: Principedevocabulairequiestuneabsoluenécessitédes accorder,auniveaude l organisation,surunlangagecommundedéfinitiondelasécurité; Principedecohérence,caruneaccumulationd outilssécuritairesn estpassuffisante pourréaliserunniveauglobaletcohérentdesécurité.lasécuritéd unsystème d information résulte de l intégration harmonieuse des outils, mécanismes et procéduresliésàlaprévention,àladétection,àlaprotectionetàlacorrectiondes sinistresrelatifsàdesfautes,àlamalveillanceouàdesélémentsnaturels; Principe de volonté directoriale qui résulte directement de la considération de l information comme ressource stratégique de l entreprise. Il est donc de la responsabilitédesesdirigeantsdelibérerlesmoyensnécessairesàlamiseenœuvreet àlagestiondelasécuritéinformatique; Principefinancier:lecoûtdelasécuritédoitêtreenrapportaveclesrisquesencourus. Lebudgetconsacréàlasécuritédoitêtrecohérentvis à visdesobjectifsdesécurité fixés; 31

42 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Principedesimplicitéetd universalité:lesmesuresdesécuritédoiventêtresimples, souples,compréhensiblespourtouslesutilisateursetdoivents appliqueràl ensemble dupersonnel; Principededynamicité:lasécuritédoitêtredynamiquepourintégrerladimension temporelledelaviedessystèmesetdel évolutiondesbesoinsetdesrisques; Principedecontinuum:L organisationdoitcontinueràfonctionnermêmeaprèsla survenued unsinistre.pourcela,ilfautdisposerdeprocéduresd urgenceetde reprise; Principed évaluation,decontrôleetd adaptation:ilestimpératifdepouvoirévaluer constammentl adéquationdesmesuresdesécuritéauregarddesbesoinseffectifsdela sécurité.celapermetdecontrôleretdevérifierquelesrisquessontmaitrisésde manièreoptimaledansunenvironnementdynamiqueetd adaptersinécessaireles solutionsdesécuritémisenœuvre.desoutilsdetype«tableaudebord»dela sécurité favorisent le suivi de la sécurité par une meilleure appréciation de la variabilitédescritèresdesécurité.l adéquationduniveaudesécuritéparrapportaux besoinsdesécuritédel entreprise,quisontparnatureévolutifs,estunsouciconstant duresponsablesécurité. Uneorganisationpeutainsirenonceràmettreenœuvreundispositifdesecours(backup)de soncentreinformatiqueauregarddesoncoûtrécurent.eneffet,cecoûtpeuts avérerêtre trèsélevéentermesderessourcesetdeprocéduresàutilisersil ontientcompte: Delaprobabilitédurisquededestructionphysiquetotaledesinfrastructures; Coûtdesmesures: 1. Desurveillanceetdedétection(incendie,inondation,intrusion,etc.); 2. Departitionnementdessallesmachinesignifugéesàdeuxheuresgaranties,sur lesquellessontrépartieslesapplicationscritiques. Decefait,lesrisquesrésiduels(attentats,chutesd avion,etc.)estleplussouventjugécomme acceptableparlesorganesdirigeantsdesinstitutions. II.1.2.1Pourquoilesstratégiesdesécurité? Lesrisquesetmenacespesantconstammentsurlessystèmesd information,unedéfaillance delasécuritédecesdernièresseraitcapabled entrainerdesconséquencesirréversiblessurla réalisationdesobjectifsstratégiquesdel organisationouvis à visdesescollaborateursou engagements. C estpourcetteraisonquelastratégiedesécuritédoitimpérativementprovenirdesplus hautessphèresdirigeantesdel organisme,entantqu instrumentdegestiondesrisques sécuritédusystèmed information.lastratégiedesécuritédessystèmesd informationtraduit fortementlareconnaissanceformelledel importanceaccordéeparladirectiondel organisme àlasécuritédesonousessystèmesd information. Faceàcesmenacessurlessystèmesd information,lesutilisateursexigentuneprotection adaptéedesinformationsetdesservicesde traitement,d archivage etdetransportde l information.lasécuritéestimmédiatementdevenuel unedesdimensionsessentiellesdela stratégiedel organismeetelledoitêtrepriseencomptedèslaconceptiond unsystème 32

43 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d informationafind assurerlaprotectiondesbiens,despersonnesetdupatrimoinede l organisme. Ainsi,lasécuritédessystèmesd informationviseenparticulieràprotégerlescomposantes suivantesdupatrimoine: Lepatrimoinematériel,composédebiensmatérielsnécessairesaufonctionnementde sesactivitésetdontladétériorationpourraitinterrompre,diminuer,oualtérerson activité;cepatrimoineestessentiellementcomposédestechnologiesdel information etdecommunication(serveurs,réseaux,postesdetravail,téléphonie),maisaussides procéduresetapplicationslogiciellestraduisantlesprocessusetlesfonctionsmétiers del organisme; Le patrimoine immatériel et intellectuel, composé de toutes les informations concourant au métier de l organisme (données scientifiques, techniques, administratives); Lesinformationsrelativesauxpersonnes(physiquesoumorales)avecquil organisme estenrelation,dontladestruction,l altération,l indisponibilitéouladivulgation pourraitentrainerdespertesouporteratteinteàsonimagedemarquevoireentrainer despoursuitesjudiciaires. II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire Lesconditionsdesuccèsdelaréalisationd unestratégiesécuritairesont,entreautres: Unevolontédirectoriale,carilnepeutyavoirdesuccèsd unestratégiesansla volontédirectoriale; Unepolitiquedesécuritésimple,précise,compréhensibleetapplicable; Lapublicationetdiffusiondelapolitiquedesécurité; Unegestioncentraliséedelasécuritéetunecertaineautomatisationdesprocessusde sécurité; Unniveaudeconfiancedéterminédespersonnes,dessystèmes,desoutilsimpliqués; Dupersonnelsensibiliséetforméàlasécurité,possédantunehautevaleurmorale; Desprocéduresd enregistrement,desurveillanceetd auditassurantlatraçabilitédes événementspourservirdepreuveencasdenécessité; Lavolontéd éviterdemettrelessystèmesetlesdonnéesensituationdangereuse; L expression,lecontrôleetlerespectdesclausesdesécuritédanslesdifférents contrats; Unecertaineéthiquedesacteursetlerespectdescontrainteslégales. L efficacitédesmesuresdesécuritéd unsystèmed informationnereposepasuniquementsur lesoutilsdesécurité,nisurlebudgetinvesti,maissurlaqualitédelastratégiedéfinie,sur l organisationmiseenplacepourlaréaliser,l évaluer,lafaireévoluerenfonctiondes besoins.celanécessiteunestructuredegestionadéquatepourconcevoirlastratégie,définir unepolitiquedesécurité,gérer,spécifierdesprocéduresetdesmesurescohérentes,mettreen place,valideretcontrôler. Il est clair que la stratégie relève du domaine de la direction générale; il faut donc comprendrequelesprérogativesdelastructureorganisationnelles inscriventdansundegré dedélégationappropriée.cettestructuredéterminelecomportement,lesprivilègesetles responsabilitésdechacun.ellecontribueàfairecomprendreàl ensembledesacteursde l organisationl importancedelasécuritéetdurespectdesrèglesdesécurité.ellespécifie(en 33

44 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS fonctiondefacteurscritiquesdesuccèsquipermettentd atteindrelesobjectifsdel entreprise) lesmesuresetlesdirectivessécuritairesappropriées.cesdernièresdoiventêtrerelationnelles parrapportauxplansdel entrepriseetdel informatique.unevisionstratégiquedelasécurité globaledel organisationestdoncprimordiale. II.2Miseenplaced unedémarchesécuritaire Lastratégiedesécuritérésidedansuncompromisjudicieuxentrelecoûtdesoutilsetdes procéduresàsupporterpourpallierlesrisquesréelsquipourraientaffecterlepatrimoinede l'entrepriseetlecoûtdesimpactsdelaréalisationdesrisques. Iln'existepasdestratégieprédéterminéeougénérale,niderecettepourdéfinirunestratégie. Chaquecontexted'organisation,descénarioderisquesoud'environnementestparticulier.On nepeutdéfinirderèglesgénéralesquidéterminentquellessontlesstratégiesousolutionsde sécuritéàimplanterpourmaîtriserunrisquedonné. Figure2 2:étapesderéalisationd unedémarchesécuritaire Ladémarchesécuritairesesubdiviseentroisgrandsaxes: Lastratégieglobaled entreprise; Lastratégiedesécurité; Lapolitiquedesécurité. Lapremièreétapestratégiqueconsisteàidentifierlesvaleursdel'entreprise,leurniveaude vulnérabilitéenfonctiondemenacesparticulièresetlerisquedepertetotaleoupartiellede cesvaleurs.àl'issuedecetteanalysedesrisques,unevisiondecequidoitêtreprotégé, contrequietpourquoiestformuléesouslaformed'unepolitiquedesécurité.ils'agitalorsde définirunevéritablestratégiedeprotectionetdegestiondelasécuritéenfonctiondes besoins,valeursetmenacesréellesqu'encourel'organisation.delapertinencedel'analysedes 34

45 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS risquesdépendral'identificationcorrectedesmoyensetdesmesuresdesécuritéàmettreen œuvrepourprotégerefficacementlesressourcesdusystèmed'information. L'étapesuivanteconsisteàchoisirpuisàmettreenplacelesoutilsetlesprocédures nécessairesàlagestiondesrisquesetàlasécuritédessystèmes,servicesetdonnées. Enfin,ilestimpératifdecontrôlernonseulementl'adéquationdessolutionsdesécuritéetleur cohérencelesunesparrapportauxautres,maiségalementlapertinencedelapolitiquede sécuritéenfonctiondesrisquesetdesmoyensfinanciersetlacohérencedesoutilsvis à vis delapolitique.uneévaluationpériodique,voireconstantedesmesuresdesécuritéenvuede leuroptimisation,permetderépondreaumieuxàl'évolutiondel'environnementdanslequel elless'inscrivent. II.2.1 Méthodes et normes d élaboration de démarches sécuritaires II.2.1.1Principalesméthodesfrançaises Ladémarchesécuritairetraitedel organisationdelasécurité,del inventairedesrisques relatifs aux actifs informationnels, de la définition d une architecture de sécurité, de l établissementd unplandecontinuité. Pour débuter une démarche sécuritaire, on s appuie sur une méthode qui facilite l identificationdespointsprincipauxàsécuriser(notiondechecklist).dansunpremier temps,ilfautpouvoiridentifierlesrisquesafind identifierlesparadesàmettreenplaceet gérerlerisquerésiduel.jusqu àprésent,lasécuritéreposeplussurunensemblereconnude bonnespratiquesquesuruneméthodologieunique. Diversesméthodespropriétairescommedesnormesinternationalesexistentetpeuventservir deguideàl élaborationd unepolitiquedesécurité.ellessontutiliséesplusoumoins complètementetleplussouventadaptéesàuncontexted analyse. LesméthodespréconiséesparleClusif(ClubdelaSécuritédel InformationFrançais)sontle MARION(Méthoded AnalysedesRisquesInformatiquesetOptimisationparNiveau)et MEHARI(MéthodeHarmoniséed AnalysedesRisques). Figure2 3:lesméthodespréconiséesparleClusif 35

46 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Au delàdel aideàl analysedesvulnérabilitésetdesrisques,méharipermetd avoirune visionglobaleetstratégiquedelaproblématiquedelasécuritédesentreprises,parla définitiond unplanstratégiquedesécuritéàpartirduqueldesplansopérationnelspourront être définis. Les différents niveaux de la sécurité sont ainsi appréhendés. Les vues stratégiques,tactiquesetopérationnellesainsiquelesmesuresspécifiquesàleursréalisations sontdistinguées. Laméthoded analysedesrisquesméhariseveutadaptable,évolutiveetcompatibleavecla normeiso Parailleurs,laDCSSI(DirectionCentraledelaSécuritédesSystèmesd Information)propose une méthode largement documentée, présentée et téléchargeable sur son site (http://www.ssi.gouv.fr).dénomméeebios(expressiondesbesoinsetidentificationdes objectifsdesécurité),cetteméthodeadoptéeparlesadministrationsfrançaises,permetde spécifierlesobjectifsdelasécuritédesorganisations,pourrépondreàdesbesoinsdéterminés. Ellefacilitélargementl appréhensionducontextedesécuritéetconstitueunevéritableaideà ladéfinitiondesobjectifsetdespolitiquesdesécurité.celapeutconduireàremplirle document«fiched ExpressionRationnelledesObjectifsdeSécurité(Feros)»pourcequi concernetouteslesressourcesclassées«défense»,afindedétermineraumieuxlesmesures desécuriténécessairesàleurprotection. Il existe également diverses directives nationales: allemandes issu du Bundesamt für Sicherheit Informationstechnik, canadiennes du CST (Centre de la Sécurité des Télécommunications),américainesissuesduNSI(NationalStandardsInstitue)desEtats Unis,parexemple,quitraitentdespolitiquesdesécurité. II.2.1.2NormesinternationalesISO/IEC17799 L'originedelanormeISO17799adoptéeparl'ISOàlafindel'année2000estlanormeBS 7799élaboréeparl'associationdenormalisationbritanniqueen1995.Avantd'êtrereconnue commeuneméthodederéférence,lanormeinternationaleiso17799atoutd'abordété contestéedufaitdesaprocédureaccéléréedenormalisation:ellen'avaitpasétéréviséepar lesétatsmembresavantd'êtrepubliéeetn'avaitdoncpastenucomptedessavoir faireet autresméthodesexistantsdansd'autrespays. L'adoptionparlemarchédelanormeISOaétéfavoriséeparlefaitquecertainescompagnies d'assurancedemandentl'applicationdecettenormeafindecouvrirlescyber risques. Baséesurlagestiondesrisques,lanormeproposeuncodedepratiquepourlagestiondela sécuritéetidentifiedesexigencesdesécuritésanstoutefoisspécifierlamanièredeles réaliser.onpeutainsiconsidérercettenormetouràtourcommeunréférentielcontribuantà ladéfinitiond'unepolitiquedesécurité,commeunelistedepointsderisquesàanalyser (CheckList),commeuneaideàl'auditdesécuritéenvueounond'uneprocédurede certification ou encore, comme un point de communication sur la sécurité. Diverses interprétationsetréalisationsdecettenormesontpossibles. Sonintérêtrésidedanslefaitquelanormeabordelesaspectsorganisationnels,humains, juridiquesettechnologiquesdelasécuritéenrapportauxdifférentesétapesdeconception, miseenœuvreetmaintiendelasécurité. 36

47 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 4:DomainesdesécuritédelanormeISO Elletraitededixdomainesdesécurité,de36objectifsdesécuritéetde127pointsdecontrôle. Unenouvelleversiondecettenorme(lSO/IEC17799:2005)aétééditéeenjuillet2005,elle adjointauxdixdomainesdesécuritépréalablementidentifiésdenouveauxparagraphesqui concernentl'évaluationetl'analysedesrisques,lagestiondesvaleursetdesbiensainsiquela gestiondesincidents.onremarquetoutel'importanceaccordéeàladimensionmanagérialede lasécuritédanslanouvelleversion. II.2.2Lastratégieglobaled entreprise En raison du caractère évolutif du contexte (évolution des besoins, des risques, des technologies,dessavoir fairedescyber délinquants),lessolutionsdesécuriténesontjamais niabsolues,nidéfinitives.celaposeleproblèmedelapérennitédessolutionsmisesenplace. Deplus,ladiversitéetlenombredesolutionspeuventcréerunproblèmedecohérence globaledel approchesécuritaire.enconséquence,latechnologienesuffitpas,elledoitêtre intégréedansunedémarchedegestion. Ainsi,latechnologiesécuritairedoitêtreauserviced unevisionpolitiquedelasécurité. Seuleladimensionmanagérialedelasécuritépermetdefairefaceaucaractèredynamiquedu risque.c estlaqualitédelagestionquipermetdetirerlemeilleurpartidesoutilsexistantet quiapporteuneréelleplus valueauservicedelasécurité.danscetteperspective,lasécurité dusystèmed informationn estqu unecomposantedelasécuritéglobaledel organisation.il estdoncextrêmementimportantquelesorientationsstratégiquesenmatièredesécuritésoient déterminéesauniveaudel état majordelastructureconcernée. 37

48 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire Lastratégieglobaled entrepriseestélaboréeparlalignemanagérialeauplushautniveaude l organisation.sonobjectifestdedégagerlesobjectifsdesécuritédel organisationpourfaire ensortequetouteslesactionsentreprisesetmisesenplacedanstouteslescomposantesde l organisation(partenaires,sitesdistants,clients,télétravailleurs)concourentverslesmêmes objectifsetprotègentlesressourcesenfonctiondeleurcriticité). Unepolitiquedesécuritéoffreuneréponsegraduéeàunproblèmesécuritairespécifique,en fonctiondel analysedesrisquesquienestfaite.elledoitexprimerl équilibreentreles besoinsdeproductionetdeprotection. Lechoixdesmesuresdesécuritérésultegénéralementd uncompromisentrelecoûtdurisque etceluidesaréduction.ildérivedel analyseàlong,moyenetcourttermedesbesoinsde productionetdeprotection. Figure2 6:lasécurité,uncompromis Ladéfinitiond unestratégiedesécuritéestuneaffairedebonsens,devision,d analyseetde choix.ellepourraitserésumeràunesuitedequestionssimplesauxquelleslegestionnairedoit apporterdesréponsesprécises: Quellessontlesvaleursdel organisation? Quelestleurniveaudesensibilitéoudecriticité? 38

49 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Dequi,dequoidoit onseprotéger? Quelssontlesrisquesencourus? Cesrisquessont ilssupportables? Quelestleniveauactueldesécurité? Quelestleniveaudesécuritéquel ondésireatteindre? Commentpasserduniveauactuelauniveaudésiré? Quellessontlescontrainteseffectives? Quelssontlesmoyensdisponibles? Cesontlàtouslesdéfisquiguettentlesorganisationsquisedécidentàmettreenœuvreune démarchesécuritaire. II.2.3Lesstratégiesdesécuritédessystèmesd information Réduirelasécuritéàsadimensiontechnologiquec estassurersonéchec.parailleurs,se retrancherderrièresdesrèglesdesécuritéprédéterminées,desréglementationsoudesproduits «leaders»dumarchédansleurnichesécuritairesansvaliderleuradéquationauxbesoinsde l organisation,maisuniquementparsoucisdenepasengagersaresponsabilité,metenpérilla missiondesécurité. Lefosséestsouventassezétroitentrelastratégied entrepriseetlastratégiedesécuritéd une organisation;ellesconcourenttouteslesdeuxàlamiseenplacedelapolitiquedesécuritéet servirontplustarddedocumentderéférencepourévaluerl efficacitédelapolitiquemiseen place. Chaqueorganisationdoitspécifiersapropremissiondesécuritépourréalisersastratégiede sécuritétellequedéfinieavecladirectiongénérale.l activitédecettemissionpeutse déclinerselonlesaxessuivants: L identificationdesvaleursetclassificationdesressourcesdel organisation; Laconceptiond unplandesécuritéenfonctiond uneanalysepréalabledesrisques; Ladéfinitiond unpérimètredevulnérabilitéliéàl usagedesnouvellestechnologies; L identificationdesimpacts. Figure2 7:Maitrisedesrisquesetprocessusdesécurité 39

50 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Seuleuneapprochepragmatique,inscritedansunedémarchequalitéquidéfinitprécisément desobjectifsdesécuritécohérentsainsiquedesmoyensconcretspourlesatteindre,permetde sécuriserrationnellementdesressourcesinformatiquespartagées. II.2.3.1Identificationdesvaleursetclassificationdesressources LeClubdelaSécuritédel InformationFrançais(CLUSIF),danssonrapportd enquêtesurla sécuritédessystèmesd informationconfirmequ en2008encore,l informatiqueestperçue commestratégiqueparunetrèslargemajoritédesentreprises:toussecteursconfonduset quelquesoitleurtaille,73%d entreellesjugentlourdedeconséquencesuneindisponibilité demoinsde24hdeleursoutilsinformatiques(avecunmaximumde83%pourlesecteurdu commerce). 1% 73% 26% Forte Modérée Faible Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen2008 Laréalisationd uninventairecompletetprécisdetouslesacteursetintervenantsdelachaine sécuritairecontribueàunemeilleureconnaissanceetdoncàlamaitrisedel environnementà protéger.c estdanslesphasesd analysedel existantetdesrisquesquecesdonnées d inventaireprennenttouteleurimportance.ellesinterviennentégalementdanslaphase d identificationdesvaleursetdeclassificationdesressourcespourdéterminerleurdegréde sensibilitéoudecriticité.ledegrédecriticitéd uneressourceindiquesonimportanceencas deperte,d altérationoudedivulgationdesdonnées.pluslesconséquencessontgravespour l organisation,pluslaressourceestsensibleetpossèdedelavaleur.laclassificationselonle degréd importancedesressourcesàprotéger,estnécessaireàlagestiondelasécurité.elle estdispensableàl élaborationfuturedelapolitiquedesécuritépourdéfinirdesmesureset procéduresàappliquer. Chaqueressourcepeutêtreperçuecommeunecibledesécuritépourlaquelle,ilfautidentifier lesrisquesetleursscénariipossibles(erreurd utilisationoudeparamétrage,accidents, malveillance, sabotage, attaque logique, etc.), les mécanismes de sécurité inhérents et applicatifs (configuration, paramètres, etc.), ainsi que les contraintes techniques et organisationnelles afin de déterminer la faisabilité technique et organisationnelle de la politiquedesécuritépourchaquecible. Ladéterminationdudegrédesensibilitédesdonnéesconsistetoutd abordàidentifierdes classesgénériquesdedonnéesauxquellesonassociedesvaleursentièresdéfinissantleur degrédesensibilité.celapermetdedisposerd unemétrique,dontl échelledesvaleursest déterminéeparl organisationetquireflèteledegréd importancedeladonnéepourcelle ci. Ainsi,parexemple,pouruneentrepriselesdonnéespeuventêtreclassées: Publiques:degrédesensibilité0;1; Financières:degrédesensibilité1; Privées:degrédesensibilité2; 40

51 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Secrètes:degrédesensibilité3; Cetteclassificationdoitêtreaffinéevoireadaptéeenfonctiondesbesoins.Deplus,c esten fonctiondudegrédesensibilitédesdonnéesetduprofildesutilisateursquel onattribueraà cesderniers,despermissionsetdroitsd accès. L identification des valeurs du système d information d une organisation répond essentiellement à la question: «Quelles informations sont critiques pour les besoins opérationnelsdel organisation?».cecipermettradedresseruninventairedetoutesles ressourcesouprocessusquientrentdanslefonctionnementnormaldel organisation. Cetteétapepeutserévélerassezcomplexedanslecadred unsystèmed informationpeuou pasmodélisé,nerépondantgénéralementàaucunstandard;avecdesprocessusmétiersnon élaborés.elleconstitueraaussiunesortededébutd auditpourlesystèmed information;et donneraunaperçuduniveaudecomplexitédesprocessus.ilestclairqu unsystème d informationquiadumalàrévélersesvaleursseratrèsdifficileàsécuriser;puisqueles brèchesdesécuritéserontnombreusesetsubtiles. Al issuedecetteétaped inventairedesressources,uneclassificationduniveaudecriticité desinformations,desprocessus,dessystèmesetdesréseauxconstitueral épreuvedela missiondesécurité. II.2.3.2Analysedesrisques Un risque provient du fait qu une organisation ou une entité possède des «valeurs» matériellesouimmatériellesquisontsusceptiblesdesubirdesdommagesouunedégradation. Cettedernièreayantdesconséquencespourl organisationconcernée:cecifaitgénéralement appelàquatrenotions: Celledela«valeur»,qu ilestd usaged appeler«actif»dansledomainedela sécuritédessystèmesd information; Cellededégradationoudedommagesubiparl actif; Celledeconséquencepourl entité; Cellequisuggèreunecausepossiblemaisnoncertaine; CONFIDENTIALITE DISPONIBILITE INTEGRITE Pertedeconfidentialitésansconséquence Délaisupérieuràunesemaine Lesinistrenerisquepasdeprovoquerunegênenotabledans lefonctionnementoulescapacitésdel'organisme. Ex:donnéespubliques,visiblespartous. Des services qui apportent un confort supplémentairemaispasindispensable. Lesinistrenerisquepasdeprovoquerunegêne notabledanslefonctionnementoulescapacitésde l'organisme. Ex:aucunevérification. Pertedeconfidentialitéentraînantdesgênes defonctionnement Délai>8heureset<=1semaine Perted'intégritéentraînantdesgênes defonctionnement Pertedeconfidentialitéentraînantdes conséquencesdommageables Délai>2heureset<=8heures Susceptibledeprovoquerunediminutiondescapacitésde l'organisme. Ressources pour lesquelles il existe une Ex:donnéesliéesauxcompétencesousavoir faireinternes, alternative. dansuncontextedegroupedeconfiance,dontvousprotégez Ex:imprimantes. touteslestracesécrites. Susceptibled'amoindrirlescapacitésdel'organisme,avec desconséquencestellesquedespertesfinancières,sanctions administrativesouréorganisation Ex:donnéesliéesàunengagementdeconfidentialitédans uncontrat. Pertedeconfidentialitéentraînantdes conséquencesgraves Sansconséquencevitalehumainement Ex:arrêtduréseau,delamessagerie,données vitalesnondisponibles... Délai:entretempsréelet<=2heures 41 Perted'intégritésansconséquence Susceptible de provoquer une diminution des capacitésdel'organisme. Ex:vérificationdesdonnées,sansvalidation:des fautesd'orthographesurunepagewebnuisentà l'imagedemarquedulaboratoire Perted'intégritéentraînantdes conséquencesdommageables Susceptible d'amoindrir les capacités de l'organisme,avecdesconséquencestellesquedes pertes financières, sanctions administratives ou réorganisation Ex:donnéesquisontvalidéesetcontrôléespar desmoyenstechniquesouhumains. Perted'intégritéentraînantdes conséquencesgraves

52 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Susceptibledeprovoquerunemodificationimportantedans les structures et la capacité de l'organisme comme la révocationdedirigeants,larestructurationdel'organisme, despertesfinancières. Ex:donnéessecretdéfense. Ressourcesquimettentenpérillavie(humaine ouanimaleoubiologique). Ex : expériences biologiques ou physiques pilotéesautomatiquement,systèmedesécurité. Susceptible de provoquer une modification importantedanslesstructuresetlacapacitéde l'organismecommelarévocationdedirigeants,la restructuration de l'organisme, des pertes financières. Ex:donnéesavecaumoinsdeuxniveauxde validationetdecontrôledifférents(techniquesou humains). Tableau2 1:Analysedesrisquesdessystèmesd information II.2.4Lespolitiquesdesécurité Préventiondesintrusionsetmalveillances, Gestiondesvulnérabilités,dissuasion,etc. Gestiondescrises,dessinistres,desplansdecontinuité,dereprise, Politiquederéaction demodification,d intervention,depoursuite,etc. Politiquedesuivi Audit,évaluation,optimisation,contrôle,surveillance,etc. Politiquedesensibilisation Politique d assurance Respectdescontrainteslégalesetréglementaires Politiquede protection Coût Mesuresetprocédures d accès Performance Politiquedesécurité Gestiondesidentités,desprofilsdesutilisateurs,despermissions, Politiquedecontrôle desdroits,etc. Convivialité Depuisledébutdesannées2000,lapriseencompteparlesorganisationsdesproblèmesliésà lasécuritéinformatiques estgénéraliséeaumoinsdanslesgrandesstructures.lasécuritéest demoinsenmoinsunejuxtapositiondetechnologieshétérogènesdesécurité.elleest dorénavantappréhendéeettraitée,commeunprocessuscontinu.cettevision«processus» met en avant la dimension managériale de la sécurité qui vise à l optimisation et la rationalisationdesinvestissements,toutenassurantlapérennitéetl efficacitédessolutionsde sécuritédansletemps. Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité L importanced unegestionrigoureusedelasécuritédessystèmesd information,etdeson appréhensionglobaleetintégréedanslescyclesdedécisiondel entreprise,estreflétéepar l adoptionparlesorganisationsdelanotiondegouvernancedelasécurité.cettedernière traduitlavolontédediriger,deconduire,d influencerdemanièredéterminantelasécurité, voirededominerlesrisquesliésàl insécuritétechnologique.ellepossèdeégalementune connotation de pouvoir politique qui positionne le problème de la sécurité au niveau stratégique et opérationnel. L apparition de nouvelles fonctions, comme celles de responsabilitésécurité,intégréesounonàladirectiongénérale,àladirectiondessystèmes d information,ouencoreauseind unedirectionmétierouaudit,concrétisecettenotionliéeà lagouvernancedelasécurité. Comptetenudelanouvelleimportanceaccordéeàlasécuritéetàlamanièrestratégiqueet globaledel appréhender,unepolitiquedesécurité,devientl expressiondelastratégie sécuritairedesorganisations.elleconstituepourlesorganisations,unoutilindispensablenon 42

53 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS seulementàlagouvernancedelasécuritémaisaussiàlaréalisationduplanstratégiquede sécurité. Figure2 9:Stratégiesetpolitiquesdesécurité Une politique de sécurité exprime la volonté managériale de protéger les valeurs informationnellesetlesressourcestechnologiquesdel organisation.ellespécifielesmoyens (ressources,procédures,outils,etc.)quirépondentdefaçoncomplèteetcohérenteaux objectifsstratégiquesdesécurité. Elle découle des grands principes de sécurité qui permettent de protéger le système d informationenévitantqu ilnedevienneunecibleetenfaisantensortequ ilnese transformepaslui mêmeenacteursd attaquesparuneprisedecontrôleàdistance(les Botnets). Cetteprotectionestassuréeparexemplepar: Desrègles:classificationdel information; Desoutils:chiffrement,desfirewalls; Descontrats:clausesetobligations; L enregistrement,lapreuve,l authentification,l identification,lemarquageoule tatouage; Ledépôtdesmarques,debrevets,etlaprotectiondudroitd auteur. Encomplément,ellepourraprévoirde: Dissuaderpardesrèglesetdescontrôles; Réagirparl existencedeplansdesecours,decontinuitéetdereprise; Gérerdesincidentsmajeursparunplandegestiondecrise; Poursuivre en justice et de demander des réparations en prévoyant un plan d interventionetdereportdesincidentsetdesmesuresd assurance,parexemple; Gérerlesperformancesetlesattentesdesutilisateurs. II.3 Cas pratiques d une démarche sécuritaire au sein d unepme L objectifdececaspratiqueestdemontrerlesétapesàsuivrepourmenerdansdebonnes conditionsunedémarchesécuritaire.ils appuiesurlaméthodemehari2007duclusif, maisapportedesaméliorationsetdessimplificationspourunréajustementdecestandard françaisauxréalitésdenosentrepriseslocalesquiontsouventdessystèmesd informations 43

54 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS peuoupasdutoutmodélisés;avecdesprocessustrèsmalélaborésetsouventsansaucune charted utilisation. II.3.1PrésentationdelaPME II.3.1.1Présentationgénérale «BéninCosmetics»estunesociétéfictiveinventéepourservirdecadred expérimentationà notreétude.nousluiavonsfaithériterdetouteslescaractéristiquesdespmelocales.elleest spécialiséedanslafabricationetladistributiondeproduitscosmétiques;elleasonunitéde fabricationàparakou(environ400kmaunorddecotonou),etsonsiègesocialàcotonou. Soneffectiftotals élèveàenviron250personnes. «BéninCosmetics»conçoitdenouvellesgammesdeproduitsdebeautéetdeprocédés chimiquesdefabricationausiègesocialpourl usinedeparakou.sapuissanteéquipede rechercheconstituéedechimistes,d esthéticiens,dedermatologuesetdebiologistesluia permisdesefairetrèsrapidementunesolideréputationdanslasous régionenterme d innovationsdanslafabricationdeproduitsdebeauté.pourcela,elles appuiesurson systèmed informationsquiluipermetd êtrevifauxdemandesdesclientsetlesnouvelles possibilitésdepartenariat. II.3.1.2Patrimoineinformatique Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics» 44

55 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 1. Matériel Lepatrimoinedusystèmed informationestconstituéd équipementshétérogènes: Desserveurspourlestockage,letraitementetlepartagedel information; DesordinateursdebureauquisontdetypePC; LesréseauxLANdusiègesocialdeCotonouetl usinedeparakousontdetypegiga Ethernet; LesréseauxWANd interconnexionetd accèsàinternetsontgérésparl opérateur historiquedestélécommunicationsaubenin«bénintélécomssa»,fournisseurde servicesinternet; 2. Logiciels Lamoitiédessystèmesd exploitationaétélégalementacquiseetpossèdentdesnumérosde licencevalides; II.3.1.3Lasécurité Lesystèmed information «BéninCosmetics»possèdeunepolitiquedesécuritédusystèmed information;ellefait partieintégrantedelapolitiqueglobaledesécuritédel organisation.unecharted utilisation desressourcesinformatiquesetdesservicesinternetaétéélaboréeetdiffuséeàl ensembledu personnel.ellepréciselesdroitsetdevoirsdechaqueutilisateur.lachartepeutserésumer enplusieurspoints: Lecontrôled accèssefaitparauthentificationavecunnomd utilisateuretunmotde passe; Obligationdesuivrelaprocéduredesauvegardepourtouslesdocumentsnumériques del entreprise; Laresponsabilitédechaqueutilisateursurtouslesfichiersqu iltraite,lesfichierssont sauvegardéssurlesserveurs;lesdocumentspapiersconservésdansdesarmoires sécurisées; Chaqueutilisateurestdirectementresponsabledesressourcesinformatiquesmisesàsa dispositiondanslecadredesonactivité; Chaqueutilisateurdoitsignalertouteanomalieconstatéeoucomportementbizarredu systèmedanslespluscourtsdélaisaudépartementinformatique; SécuritégénéraledusiègesocialàCotonou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréalisésunefoisparanencollaborationaveclesservicesdesécurité del immeuble; Existencedeconsignedefermeturedesbureauxàclé,maisaucuneprocédurede contrôle; Conditionnementdelatempératuredetouteslespièces; 45

56 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Existence de technologies de surveillance (camera de surveillance, alarme anti intrusion,détecteurdemouvement)activéedurantlesheuresdefermetures(18h45 07h15);desagentsdesécuritéveillentsurleslieux; L entretiendeslocauxsefaittouslesmatinsde07h30à08hparunesociété prestataire; L accèsauxbureauxestconditionnéparunbadgemagnétiqued authentification; Lesclientssontreçusparlesagentscommerciaux,danslessallesderéuniondansune zone avec vidéosurveillance; il y a possibilité de connecter des équipements informatiques; Lesressourcesinformatiques(serveurs,routeurs,autocommutateurs)sontsituéesdans unesalleisoléedudépartementinformatique;ellepossèdeunealimentationélectrique desecours; Sécuritégénéraledel usineàparakou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréaliséstroisfoisparanencollaborationaveclesservicesde sécuritédel immeuble; Postedegardiennagequifiltrelesentréesetsortiessurlesitedel usine,unegestion techniquecentraliséepourl ensembledesalarmesdusiteavecdeuxpersonnesen permanence. Consignesdefermetureàclédesbureaux;maisaucuneprocéduredecontrôlen aété miseenplace; Touslesbureauxsontclimatisés;etcontigusaupostedegardiennage;àl entréede l usine;àl écartdeszonesdeproduction; Alarmeanti intrusionestactivedurantlesheuresdefermeturedesbureaux(19h 7h), defréquentesrondesdegardiensontlieudanslebâtiment; Leservicedenettoyageexterneàl'entrepriseintervientde7hà8h; Plusieurssociétésconstituentsonvoisinage;defréquentesrondesdepoliceontlieu danslazoned'activité; Lesclientssontreçus,souslaresponsabilitédelapersonnevisitéeaprèsavoirdéposé unepièced'identitécontrelaremised'unbadgevisiteuraupostedegardiennage,dans dessallesderéunionsspécifiques;avecpossibilitédeconnecterdeséquipements informatiques; Lesitepossèdelaredondancepourlesfournituresénergétiques(arrivéeélectriqueprovenant de2cabines"hautetension",groupeélectrogène,onduleurs,arrivéelignestéléphoniquessur 2centrauxtéléphoniquesdifférents,etc.). II.3.1.4Contexte L interconnexiondusiègedecotonouàl usinedeparakouapermisd avoirunsystème d informationunifiéauniveauconnectivité.cequiapermisunenetteaméliorationdesdélais deréalisationdestravauxetdefairedesgainsencoûtsdecommunicationoudeliaison. «BéninCosmetics»aréponduauvœudesesdifférentspartenairesquiestdecorrespondre directementaveclesdifférentsservicesviainternetpourlatransmissiondetoustypesde documents(dossierstechniques,devis,appelsd offres,messages,etc.). 46

57 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D autrepart,unimportantcontratdecollaborationavecunechainedecosmétiquebaséeen Franceestconditionnéparlacapacitéde«BéninCosmetics»àassurer: Laconfidentialitédansleséchangesdesdocumentstechniques(formuleschimiques, procédésdefabrication,etc.); Ladisponibilitéetlarapiditédefournirdesproduitsfinis; II.3.2ApplicationdeladémarcheMEHARI II.3.2.1PrésentationdelaméthodeMEHARI MEHARIsignifie«MEthodeHarmoniséed'AnalysedesRIsques».Ils agitd uneméthode élaboréeen1996parleclusif(clubdelasécuritédel InformationFrançais)pourdéfinir lesactionsentermesdesécuritédessystèmesd Informationsauseindesorganisations.Le CLUSIFfournitlesdifférentssupportsaidantàlamiseenplaced unedémarchesécuritaire selonlaméthodemehari. LadémarcheMéharicomportetroisgrandesphases: Planstratégiquedesécurité(PSS): Métriquedesrisquesetobjectifsdesécurité; Valeursdel entreprise:classificationdesressources; Politiquedesécurité; Chartedemanagement; PlanOpérationneldesécurité(POS): Auditdel existant; Evaluationdesbesoinsdesécurité; Expressiondesbesoinsdesécurité; Constructionduplanopérationneldesécurité; PlanOpérationneld Entreprise(POE): Choixd indicateursreprésentatifs; Elaborationd untableaudeborddelasécuritédel entreprise; Rééquilibrageetarbitrageentreunités. II.3.2.2Leplanstratégiquedesécurité Leplanstratégiquedesécurité(PSS)constituelapremièrephasedelaMéthodeHarmonisée d AnalysedesRisques(MEHARI).Elleestélaboréeenétroitecollaborationaveclaligne managérialedel entreprisedemanièreàcequetouteslesactionsentreprisesetmisesenplace dansl ensembledel entreprise(sitesdistantsetaccèsdistantsinclus)tendentverscesmêmes objectifsetprotègentlesressourcesenfonctiondeleurclassification. Ilseraunindicateur clédesunitésopérationnellespourcequiconcernelesdécisionsà prendre en matière de sécurité. Elle verra la participation de la direction générale de l entreprise, ainsi que celle des cadres supérieurs responsables de chaque département opérationnel. 47

58 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Métriquedesrisquesetobjectifsdesécurité L objectifdelamétriquedesrisquesetobjectifsdesécuritéestdedégager,pardestableaux standards,communsàtoutel entreprise,lesélémentspermettant: D unepart,d affecterundegrédecriticitédechaquescénariodesinistre; D autrepart,defixerdefaçoncohérentelesobjectifsdesécuritéenfonctiondes niveauxpréétablisd acceptationouderefus,totalousouscondition,desrisques encourus. Statutsde protection Effetdesmesuresdeprotectionsurl'impactduscénario Effetdeprotectiontrèsfaible:lesinistreneseradétectéqu auboutd undélaiimportant.lesmesuresquipourrontalors êtreprisesnepourrontlimiterlapropagationdel incidentinitialetselimiterontàlabornerdansletemps.l étenduedes conséquencesdusinistreestdifficileàcerner. Effetdeprotectionmoyen:ledébutdesinistreneserapasidentifiétrèsviteetlesmesuresprisesleseronttardivement. Lesinistreauraprisunegrandeampleurmaisl étenduedesesconséquencesseraencoreidentifiable Effetimportant:lesinistreseradétectérapidementetdesmesuresdeprotectionserontprisessansdélai.Lesinistreaura néanmoinseuletempsdesepropager,maislesdégâtsserontcirconscritsetfacilementidentifiables. Effettrèsimportant:ledébutdesinistreseradétectéentempsréeletlesmesuresdéclenchéesimmédiatement.Lesinistre seralimitéauxdétériorationsdirectesprovoquéesparl accident,l erreuroulamalveillance. Tableau2 3:Mesuresdeprotection Statuts palliatifs Effetdesmesurespalliativessurl'impactduscénario Effettrèsfaible:lessolutionsdesecourséventuellementnécessairesdoiventêtreimprovisées.Iln estpasassuréqueles activitésdel entreprisetouchéesparlesinistrepourrontêtrepoursuivies.l activitédel ensembledesacteurstouchésparle sinistreesttrèsfortementperturbée. Effetmoyen:lessolutionsdesecoursontétéprévuesglobalementetpourl essentiel,maisl organisationdedétailresteà faire.lesactivitésprincipalestouchéespourrontsepoursuivreaprèsuntempsd adaptationquipeutêtrelong.lareprisedes autresactivitésetleretouràl étatd originedemanderadeseffortsimportantsetoccasionnerauneforteperturbationdes équipes. Effetimportant:lessolutionsdesecoursontétéprévues,organiséesdansledétailetvalidées.Lesactivitésprincipales pourrontsepoursuivreaprèsuntempsdereconfigurationacceptableetconnu.lareprisedesautresactivitésetleretourà l étatd origineontégalementétéprévusetsedéroulerontavecdeseffortsimportantsmaissupportables. Effettrèsimportant:lefonctionnementdesactivitésdel entrepriseestassurésansdiscontinuiténotable.lareprisede l activitéenmodenormalestplanifiéeetseraassuréesansperturbationnotable. Tableau2 4:Mesurespalliatives Statuts récupération Effetdesmesuresprisessurl'impactduscénario Effettrèsfaible:cequel onpeutespérerrécupérerdesassurancesoud unrecoursenjusticeestnégligeabledevant l ampleurdesdégâtssubis. Effetmoyen:cequel onpeutraisonnablementespérerrécupérern estpasnégligeable,maislessinistresmajeurs restentàlachargedel entreprise(sinistrenoncouvertetresponsablenonsolvable). Effetimportant:l entrepriseestcouvertepourlessinistresmajeurs,maiscequiresteàsacharge(franchise)demeure importantquoiquesupportable. Effettrèsimportant:l entrepriseestsuffisammentcouvertepourquel impactfinancier résiduelsoitnégligeable. Tableau2 5:Mesuresderécupération StatutsRI Effetdesmesuresprisessurlaréductiond'impactduscénario Effettrèsfaible Effetmoyen:impactmaximumjamaissupérieuràunimpactgrave:I<ou=3 Effetimportant:impactmaximumjamaissupérieuràunimpactmoyennementgrave:I<ou=2 Effettrèsimportant:impactduscénariotoujoursnégligeablequelquesoitl'impactintrinsèque Tableau2 6:Mesuresderéductiond impactduscénario 48

59 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lagrillesuivante,proposéeenstandard,permetd'évaluerl'impact"I": Classificationdesressources Statuts RI Tableau2 7:Grilled évaluationdel impactdescénario Statuts exposition Effetdesmesuresstructurellessurlapotentialitéduscénario 1 Expositiontrèsfaible:Desmesuresarchitecturalesontétéprisespourlimiterstructurellementlesrisques: cloisonnementdeslocaux,fragmentationdesinformations,rendantnégligeablelaprobabilitéd unrisque majeur. 2 Expositionfaible:L entreprise(leserviceoul unité)estparticulièrementpeuexposée:leclimatsocialest trèsfavorable,l environnementnelaissepascraindrelemoindreproblème,lapositiondesuiveurde l entrepriserendpeuprobableuneagressiviténotabledeconcurrents. 3 Expositionmoyenne:L entreprise(leserviceoul unité)n estpasparticulièrementexposée.leclimat socialn estpasmauvais,laconcurrenceestnormalementagressivesansplus,l environnementneprésente pasdemenaceparticulière. Expositionimportante:L entreprise(leserviceoul unité)estparticulièrementexposéeaurisqueenvisagé deparunclimatsocialesttrèsdéfavorableouunenvironnementàrisqueouunepositiontellequel onpeut craindredesréactionsspécialementagressivesdelaconcurrence. 4 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle Statuts dissuasion Effetdesmesuresdissuasivessurlapotentialitéduscénario 1 Effettrèsfaible:L auteurn encouraitaucunrisque:iln apratiquementaucunrisqued êtreidentifiéet detoutefaçoncelan auraitpourluiaucuneconséquence. 2 Effetmoyen:L auteurencouraitunrisquefaible:lerisqued êtreidentifiéestfaibleetlessanctions éventuelles,s ilétaitdécouvert,resteraientsupportables. 3 Effetimportant:L auteurdel erreuroudelamalveillanceencourraitunrisqueimportant:ilexisteune forteprobabilitéqu ilsoitdécouvertetlessanctionsencouruespourraientêtregraves. Effettrèsimportant:Seuluninconscientpourraitcouriruntelrisque:ilseradémasquéàcoupsûr,les sanctionsseronttrèslourdesettoutcelaestbienconnu. 4 Tableau2 9:Mesuredissuasives Statuts prévention Effetdesmesurespréventivessurlapotentialitéduscénario 1 Effettrèsfaible:Toutepersonnedel entrepriseoutoutinitiélaconnaissantunminimumestcapablede déclencheruntelscénario,avecdesmoyensqu ilestfaciled acquérir.descirconstancestoutàfait courantes(maladresse,erreur,conditionsmétéodéfavorablesraresmaisn ayantriend exceptionnel)sontà mêmededéclencheruntelscénario. 2 Effetmoyen:Lescénariopeutêtremisenœuvreparunprofessionnelsansautresmoyensqueceuxdont fontusagelespersonnelsdelaprofession.descirconstancesnaturellesraresmaisnonexceptionnelles peuventaboutiràcerésultat. 3 Effetimportant:Seulunspécialisteouunepersonnedotéedemoyensimportantsdécidéeàyconsacrerdu tempspeutaboutirdanslaréalisationd untelscénario.desconcoursdecirconstancespeuventrendrele scénarioplausible. 4 Effettrèsimportant:Seulsquelquesexpertssontcapables,avecdesmoyenstrèsimportants,demettreen œuvreuntelscénario.auniveaudesévénementsnaturels,seulesdescirconstancesexceptionnelles peuventconduireàdetelsrésultats(catastrophesnaturelles). Tableau2 10:Mesurespréventives 49

60 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leniveaudelapotentialité"P"estappréciéconformémentàlagrillestandardci après: Statutspotentialité Potentialité Potentialitéfaible,nesurviendrasansdoutejamais Possible,bienquepotentialitéfaible Potentialitécertaine,devraitarriverunjour Trèsfortepotentialité,surviendrasûrementàcourtterme Tableau2 11:Grilleduniveaudepotentialité L élaborationdesdéfinitionsdesobjectifsdesécuritédoitfairel objetd uneréflexion approfondieauplushautsommetde«benincosmetics»puisqu ellematérialiseseschoix stratégiquesenmatièredesécuritédusystèmed informations. Danslamesureoùilseraittotalementutopiquedeprétendreau«zéro risque»pourun systèmed information,ladéfinitiondesobjectifsdesécuritépermetdefixerlesniveauxde risque que l entreprise jugera acceptables, inadmissibles quoique supportables, ou insupportablesparcequenedisposantpasdesmoyenspourfairefaceàsesconséquences. L accordétanttrouvésurces3termes,leurdéfinitionetleslimitesqu ilsrecouvrent; l objectifseraderamener,pardesmesuresdesécuritéappropriées,touslesrisquesauniveau «acceptable». MEHARIproposeunegrilled aversionaurisque,construitesurlabasedel appréciationdu risqueparrapportàsonimpactetàsapotentialité.cettegrilleestvalidéeparladirection généraleetlesdépartementsopérationnelslorsdelaréunion. Tableau2 12:Grilled évaluationduniveauderisque Ladirectiongénéralede«BéninCosmetics»,auvudesesobjectifsexige,quesoient assurées: LadisponibilitédesmoyensdecommunicationausiègedeCotonoucommeàl usine deparakou; Ladisponibilitédelamessagerie; Laproduction; Laconfidentialitéetl intégritédessecretsdefabrication,entrelesiège,l usineetle partenaireenfrance; Lamiseàjourdesprogrammesdeproduction. II Valeursdel entreprise:classificationdesressources Cettepartieapourobjectifdefaireuneclassificationdesressourcesdel'entreprise: 50

61 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 11:Classificationdesvaleursdel entreprise Etape1:Définirlesdomainesd activitésetprocessus La direction générale et les départements opérationnels nous ont permis de valider la cartographiedesdomainesfonctionnelsdansletableaudesprocessusmajeursdel entreprise ci après: DOMAINE Management PROCESSUS Prisededécisions DépartementR&D Recherche Développement DépartementR&D Département Production Département Logistique DRH DRH Marketing Finance Finance Finance Finance Service Commercial Service Commercial Service Commercial Service Commercial Département informatique Département informatique Département informatique Production Logistique Paie DESCRIPTION Ensemble des éléments contribuant à la prise de décisions (acquisition, cession,donnéesbudgétairesetprévisionnels,etc.). Travauxderechercheavancéeconduisantàdesnouveauxprojetsde produits. Elaborationdesprocessusdefabricationdenouveauxproduits,et élaborationdescaractéristiquesdesproduits. Production des produits cosmétiques, contrôle qualité, conditionnement. Gestiondestocks,Préparationdescommandes,Expéditionversle réseaudedistributionsfranchisées. Gestiondelapaieetdescomptespersonnelsassociés(intéressement). Gestiondesfrais(avancessurfrais,paiementdesnotesdefrais,etc.). Recherchedesélémentssignificatifsdumarchéetélaborationd'une stratégiedevente. Comptabilitégénéraleetgestiondesobligationslégalesafférentes Comptabilité (fisc,comptessociaux,etc.) Gestionducontentieuxentrelalogistiqueetlacomptabilité(clientset Contentieux fournisseurs). Consolidationdescomptes,soldesdegestionettableaudebord. Contrôledegestion Gestionetoptimisationdesfluxdetrésorerie.Gestiondesrelations Trésorerie aveclesorganismesfinanciersetlesdouanes. Elaborationdesoutilsdeventespécifiquesd'untypedeproduitoude Commercialisation service. Propositioncommerciale Elaborationdel'offrespécifiqued'unclient(pourlesoffressurdevis). Frais Marketing Gestiondescommandes Gestionetsuividescommandesclient,depuisl'offrejusqu'àla livraison(incluantounonlamaintenance). Gestionpermanentedesclients,deleursparticularités.Gestiondes ciblescommerciales. Architectureexploitation Architectureréseaux&systèmes,Administrationetexploitationdes centresinformatiques. informatique Suividesclients Projetsinformatiques Développements d'applications informatiques. Maintenance des applicationsexistantes. Supportsauxutilisateurs Assistanceauxutilisateurs,Formation,conseil 51

62 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Achats Juridique Achats Accordsetcontrats Support Servicegénéraux Gestiondescommandes(produitsetservices)etdesfournisseurs Gestiondesaccordsetcontrats.Enregistrementetconservationdes piècescontractuelles. Ensembledesprocessusdesservicesgénéraux,courrier,standard téléphonique,entretien,etc. Tableau2 13:Domained activitésetprocessusde«bénincosmetic» Etape2:Détecterlesprocessussensibles D aprèsladirectiongénéraleetlesresponsablesdesdépartementsopérationnelsde«bénin Cosmetics),lesprocessuscritiquessont: «Achat»dansledomaine«Achat»; «Production»dansledomaine«DépartementProduction»; «gestiondescommandes»dansledomaine«commercial»; Leprocessus«Achat»permetauresponsabledesachatsdemieuxchoisirlesfournisseursde matièrespremièresenprenantencomptelescoûts,laqualitéetlesdélaisdelivraison.ilen résulterapour«bénincosmetics»unemeilleurecompétitivitéetunchiffred affaireen conséquence. Etape3:Déterminerlescritèresd impact Danscetteétape,ils'agitdedemanderauxresponsables,quelseraitl'impactsurl'entrepriseen termesopérationnels,financiersoud'imageencasdedysfonctionnementd'undesprocessus vitaux. Nousdéfinissonslescritèresd'impactpourlesprocessusdechaquedomaineàpartirdu tableausuivant: IMPACT Domaines DépartementR&D DépartementR&D DépartementR&D DépartementR&D Commercial Commercial Commercial Commercial Commercial Commercial Commercial DépartementProduction DépartementProduction DépartementProduction DépartementProduction Finance Finance Finance Finance Juridique Juridique Juridique Descriptiondel impact Divulgationdeplansdenouveauxproduitsoudesavoir faire Pertedesavoir faire Nontenuedesdélaisdedéveloppement Augmentationdeschargesdedéveloppement Incapacitéàexploiterdesopportunitéscommerciales Pertedechiffred'affaire Baissed'efficacitécommerciale Augmentationdeschargescommerciales Pertedecompétitivité Pertedeconfiancedesclients Incapacitéàremplirdesobligationscontractuelles Nontenuedesdélaisdeproduction Augmentationdeschargesdeproduction Pertedeproductivité Détériorationdelaqualitédelaproduction Paiementdepénalitéscontractuelles Détournementdefonds Augmentationdeschargesadministratives Augmentationdurisquedefraude Miseenexamend'unmembreduDirectoire Poursuitejudiciairedelasociété Pertedeprotectionjuridiquedupatrimoine 52

63 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Personnel Divulgationderenseignementsconcernantlavieprivée Management Prisedemauvaisesdécisionsdemanagement Tableau2 14:Déterminationdescritèresd impact Etape4:Définirlesseuilsdecriticité Ilestnécessaire,danscetteétape,d'établirlesquatreseuilsdecriticitéassociésàchaque critèred'impactretenu: Seuil1:Sansdommagesignificatifsurlesopérationsde«BéninCosmetics»; Seul 2: Dommage important sur les opérations de «Bénin Cosmetics» sur la compétitivité; Seuil3:Gravedommagenecompromettantpasundomainede«BéninCosmetics»; Seuil4:Dommagesextrêmementgravesmettantendangerlasurviede«Bénin Cosmetics»; Nousdéfinissonslesseuilsdegravitéd'impactpourchaquecritèred'impactretenuàpartirdu tableausuivant: SEUILSD'IMPACTS Indiquerpourchaquecritèred'impact,lesseuilsdegravité,ensebasantsurlesdéfinitionssuivantes: Gravité1:Impactnonsignificatifauniveaude«BéninCosmetics». Gravité2:Impactsignificatif,résorbéfacilementetrapidement. Gravité3:Sinistregravedont«BéninCosmetics»mettraplusieursmoisàseremettre. Gravité4:Sinistreextrêmementgravemenaçantlasurviede«BéninCosmetics»oudontellemettraplusieursannéesàseremettre. SEUILS TYPE Gravité1 Gravité2 Gravité3 Gravité4 D IMPACT Divulgationdeplans denouveauxproduits oudesavoir faire Pertedesavoir faire Nontenuedesdélais dedéveloppement Augmentationdes chargesde développement Divulgationpartielle nepermettantpasà laconcurrencede rattrapersonretard. Destructiondela copied'unou plusieursfichiers d'unreprésentanten tournée. retardinférieuràun mois <5% Divulgationpartielle permettantàlaconcurrence denousrattraperplusde6 moisaprèslelancement. Indisponibilitédelabase d'informationstechniques pourlamaintenance, pendantunedurée inférieureà1semaine Divulgationpermettantàla concurrencedenousrattraper audébutdulancementd'un produitstratégique(entre0et 6mois). Destructiondel'ensemblede l'aideautomatiséeàla maintenance(reconstitution: plusieursmois)ou indisponibilité>1semaine retardcomprisentre1et3 mois 5%<Delta<20% retardcomprisentre3et12 mois >20% Retardsupérieurà1an Départd'uneéquipe hautementspécialisée, seulecapabled'assurerla maintenanced'unproduit majeurdel'entreprise. Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu Etape5:Recenserlesressources Unefoisleniveaudedécompositionchoisi(enfonctiondelagranularitéd'analysesouhaitée) etaprèsavoirconfirméleslimitesdudomaineétudiéetprécisélesintentionsenmatière d'investigationplusoumoinspoussée,nousrecensons,àl'aided'untableaudumodèleci après,lesressourcesquel'onveutclassifier. RESSOURCES Indiquerlesressourcesquel'onsouhaiteclassifier,leurtype,ainsiqueleurdomaineetéventuellementlesprocessusauxquelselles appartiennent. Danslescolonnesdomainesetprocessus,"tous"signifiequelaressourceestuniquepourtouslesdomaines,"chaque"signifiequel'on identifieuneressourcedifférentepourchaquedomaine. NOM SiègesocialCotonou UsineParakou SalleserveursCotonou SalleserveursParakou CentredeproductionParakou TYPE Siteetbâtiments Siteetbâtiments Locaux Locaux Locaux 53 DOMAINES Tous Tous Tous Tous Tous PROCESSUS

64 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LANCotonou Réseau Tous LANParakou Réseau Tous Réseaupublic«BéninTélécoms» Réseau Tous Serveurdestockage Système Tous Serveurs«métiers» Système Tous Serveurmessagerie Système Tous SAGESAARI Logiciel commercial GES_DRH Logiciel Personnel Personnelinformatique Ressourcehumaine Tableau2 16:Recensementdesressources Tous Tous Etape6:Classifierlesressources L objectifdecetteétapeestdefaireuneclassificationdesressourcesretenuesdansl étape5. La classification des ressources, qui consiste à analyser si une perte de disponibilité, d intégritéoudeconfidentialitéd uneressourcepeutconduireàundescritèresd impacts retenuset,dansl affirmative,àquelniveaumaximum.ceniveauestalorslaclassificationde laressourcepourl'aspectconsidéré(disponibilité,intégritéouconfidentialité). Pourchacunedecesressources,onseposelesquestionssuivantes: Quesepasserait ilsilaressourceétaitnondisponible?(disponibilité); Quesepasserait ilsilaressourceétaitnonfiable?(intégrité); Que se passerait il si la ressource était atteinte par des tiers non autorisés? (Confidentialité); Cetteétapepermetdoncdetrouverunevaleurproprepourchaqueressource: Impact Disponibilité Intégrité Confidentialité Pertedechiffred affaire Pertedeconfiancedesclients Baissed efficacitécommerciale Synthèsedeclassification Tableau2 17:Déterminationdelavaleurpropredechaqueressource Ressource:SAGESAARI Lorsd'uneréunionaveclaDirectionGénéraleetlesdirectionsopérationnelles,nousvalidons laclassificationdesressourcesdansletableaudesynthèsedelaclassificationdesressources ci après: RESSOURCES NOM Disponibilité Intégrité Confidentialité SiègesocialCotonou UsineParakou SalleserveursCotonou SalleserveursParakou CentredeproductionParakou LANCotonou LANParakou Réseaupublic«BéninTélécoms» Serveurdestockage Serveurs«métiers» Serveurmessagerie SAGESAARI GES_DRH Personnelinformatique Tableau2 18:Tableaudesynthèsedelaclassificationdesressources 54

65 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Lapolitiquedesécurité La politique de sécurité du système d information ne peut s élaborer correctement et efficacementsiellenetientpascomptedelastratégieglobaledesécuritéde«bénin Cosmetics».Lapolitiquedesécuritésebasesurdesnormesnationalesetinternationalestout enrestantenconformitéavecleslégislationsenvigueurdanslepays. «BéninCosmetics»nedisposepasd unepolitiquedesécurité II Lachartedemanagement Aucoursd uneréunionaveclestaffmanagérialde«bénincosmetics»,ilnousprésentesa «CharteManagérialepourl usagedesressourcesinformatiquesetdesservicesinternetà l entreprisebénincosmetics» Cettechartedevraitpermettre: De renforcer la sécurité des systèmes d informations en informant et en responsabilisantlesutilisateurs; Depréciserlesprérogativesetlecadredetravaildechaquetyped acteurpouréviter desactionsdangereusesvoireillégales,pouvantengagerlaresponsabilitécivileou pénaledeleursauteurset/oudeladirectiongénéraleetledépartementinformatique; Devousmettreenconformitéaveclaloi. Cettechartedoitégalementinformerlesutilisateursdel existencededispositifsdecontrôleet d éventuellessanctions. II.3.2.3Planopérationneldesécurité Leplanopérationneldoitobligatoirementêtreprécédéd'unplanstratégiquedanslamesureoù la définition d'une métrique des risques et une classification des ressources sont indispensables,quellequesoitl'importancedel'entrepriseconsidérée,àl'évaluationdes risquesetàladéterminationobjectivedesbesoinsenservicesdesécurité.l'élaborationd'un planopérationneldesécuritérésultesoit: Deladécisiond'uneunitéindépendanteoud'unresponsabled'activité(casdespetites entreprises,professionslibérales,etc.).danscecas,onpeutconsidérerque,bienque faisantl'objetd'étapespréalablesspécifiques(impérativementladéfinitiondela métriquedesrisquesetlaclassificationdesressources),leplanstratégiquesera pratiquementintégrédansleplanopérationnel; deladécisiond'uneunitéautonome,quidevraseplierauxexigencesdéfiniesdansle planstratégiqueauxfinsdecoordinationetdecohérence; delamiseenœuvredelapolitiquedesécuritédécidéeauniveaucentraletdontle planopérationnelestundescomposants. Leplanopérationnelpeutêtreélaboré: soitàpartird'uneapprocheanalytiquebaséesurunauditdesservicesdesécuritéen place assuré principalement, parce que ce sont eux qui en ont la meilleure connaissance,pardestechniciens; 55

66 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS soitàpartird'uneévaluationdesfacteursderisque,c'estàdired'uneappréciationde leurincidencesurlagravitédurisque.unetelleapprocheglobale,faitd'abordappelà l'appréciationetauraisonnementdesutilisateursdessystèmesinformatiques. Figure2 12:Elaborationduplandesécurité II Préliminaires Etape1:Définitiondudomainecouvertoupérimètredel étude SurrecommandationdelaDirectionGénéralede«BéninCosmetics»,ledomainecouvert parl étudeest: Les2sitesdel entrepriseàcotonouetàparakou; LeslocauxtechniquesdusiègeàCotonouetàParakou; LecentredeproductionàParakou; LesréseauxlocauxdusiègeàCotonouetducentredeproductionàParakou; Réseaupublic«BéninTélécoms»; Lesserveurs; LesapplicationsSAGESAARIetGES_DRH; 56

67 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Etape2:réalisationdeladécompositioncellulaire Auseind uneorganisationcomme«bénincosmetics»quiestrepartieenplusieurssiteset plusieurssystèmesinformatiques,lesrésultatsd auditssontforcémentdifférentsselonles élémentsmisenjeu.laréalisationdenotreauditamisenlumièretoutescesdifférencesafin d avoirunevueréelledelavulnérabilitédessystèmesexistants.cettetâchenousaété facilitéeparladécompositioncellulaire. Lesservicesdesécuritésontrassemblésdanslestypesdecellulesauniveaudelabasede connaissances,cequifacilitel identificationduprofildesrépondants(untypedecellule rassemblantlesquestionsdestinéesàunprofilderépondant). Nousavonsretenupourl entreprise«bénincosmetics»ladécompositionsuivante: Entité:Entreprise«BéninCosmetics»; Sites:SiègeàCotonou,usineàParakou; Locaux:localtechniquesiège,localtechniqueusineParakou,centredeproduction, bureauxsiègescotonou,bureauxusineparakou; Architectureréseauxettélécom:LANsiègeCotonou,LANusineParakou,réseau étendu«bénintélécoms»; Exploitationréseauxettélécoms:exploitationdesréseauxtéléphoniques; Architecture des systèmes: serveur métier, serveur de stockage, serveur de messagerie; Applicationsopérationnelles:applicationSAGESAARI,GES_DRH; Ladécompositioncellulaireestuneétapedéterminantepourl étudedesrisques.ellesefait trèssouventàl aided outilscommerisicarequiautomatiseaussil étudedesrisques. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonouetusineàparakou C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou,localtechniqueàParakou,centrede productionàparakou,bureauxdusiègeàcotonou,bureauxusineàparakou; D. Domainedel architectureréseauettélécoms:landecotonou,landeparakou,réseauétendude «BéninTelecoms» E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage,serveurmétier, serveurdemessagerie G. Domainedelasécuritédelasécuritéapplicative:ApplicationSAGESAARI,application GES_DRH H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH Tableau2 19:Décompositioncellulairedel entreprise Etape3:Reprisedelaclassification Nousavonsreprislaclassificationdescellulesenfonctiondestroiscritèresd impact: disponibilité(d),intégrité(i),confidentialité(c).chaquecellules estvueaffectéed une valeurindiquantsondegrédecriticitéparrapportàuncritèredonné. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonou(1,1,2)etusineàparakou(2,1,2) C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou(4,4,4),localtechniqueàParakou (4,4,4),centredeproductionàParakou(2,2,1),bureauxdusiègeàCotonou,bureauxusineàParakou; D. Domainedel architectureréseauxettélécoms:landecotonou(4,4,4),landeparakou(4,4,4), réseauétendude«bénintelecoms»(4,4,4) 57

68 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques(4,4,4) F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage(2,2,2),serveur métier2,2,2),serveurdemessagerie(4,4,4) G. Domainedelasécuritéapplicative:ApplicationSAGESAARI(2,2,2),applicationGES_DRH(2, 2,2) H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH(2,2,2) Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact II Auditdel existant L auditdel existantsedécomposeendeuxépreuves:laréalisationdel auditetlaproduction desrésultatsdel audit. Pourchaquecellule,ilfallaitrencontrerlaoulespersonnesconcernéesparcelles cietayant leprofilassociéautypedecelluleauquelappartientcettecellule. Pourunequestionde pertinence,nous avonsporténotrepréférencesurdesquestions dichotomiques.cequiimpliquequelerépondantdoitindiqueruneréponseouiounon pourchaquequestion(encasd hésitationouderéponsepartiellementaffirmative,onachoisi derépondrenonparprudence).nousavonsaussidonnélapossibilitédechoisirs.opour sansobjetaucasoùlesquestionsd auditneconcernentpasl étude. Laproductiondesrésultatsdel auditpasseparuneconsolidationdesréponsesenvue d obtenirunenotepourlesousserviceauquelellesappartiennent.cecalculfaitintervenir unemoyennepondéréenorméede0à4plus,éventuellement,unenotiondeseuilmaximumet minimum. LeseuilMaxestutilisépourlesquestionsindispensablesauseind'unsousservice,il correspondàlalimitemaximumdeniveaudequalitéquepeutatteindrelesousservice lorsqu'onarépondunonàcesquestions. Al'inverseleseuilMinestutilisépourlesquestionssuffisantesauseind'unsousservice,il correspondàlanoteminimaleatteintelorsqu'onaréponduouiàcesquestions. Naturellementsiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMax différents,onretiendraleseuilmaxleplusfaible. Al'inversesiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMin différents,onretiendraleseuilminleplusélevé. EncasdeconflitentreseuilsMAXetMIN(c'estàdireundéclenchementdeseuilMAXde valeurinférieureàcelled'undéclenchementdeseuilmin),c'estleseuilmaxquiprévaudra. Cesrésultatsd'auditpeuventêtreutiliséspourproduiredestableauxdevulnérabilitépour chacunedescellules. QUESTIONNAIRED AUDIT:DOMAINEDESLOCAUX Question Qualitédelafournitured énergie L'énergieélectriquefournierépond elleauxexigencesmaximalesspécifiéespar lesfournisseursd'équipementsavecunemargesuffisante? Ya t ilunsystèmederégulationélectriquecomportantaumoinsunonduleur pourleséquipementssensibles? Continuitédelafournituredel'énergie Existe t iluneinstallationélectriquedesecourscapabled'assurerlacontinuitédu servicedeséquipementscritiques(s'appuyantsurungroupeélectrogèneassociéà uneréservedecarburantsuffisanteousurdesarrivéesindépendantesd'énergie)? Teste t onrégulièrementlacapacitédusystèmedesecoursàassurerlacharge prévue(lesdélestageséventuelsayantétéeffectués)? 58 Rép. P Max Min Commentaire

69 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sécuritédelaclimatisation Y a t il un système de climatisation créant une ambiance (température, hygrométrie, poussières) conforme aux prescriptions des constructeurs des 4 matérielsinstallés? Vérifie t onrégulièrementlacapacitédusystèmedeclimatisationàassurersa 4 fonctiondanslespiresconditionsclimatiquesenvisageables? Protectioncontrelafoudre L'immeubleest ilprotégéparunparatonnerre? 4 Lescircuitsélectriquesetlecâblagesont ilsprotégéscontrelessurtensionset 4 contrelafoudrepardeséquipementsspéciaux? Contrôled'accèsauxlocauxsensibles Lesdroitsd'accèspermanentsousemi permanents(pouruneduréedéterminée) auxlocauxsensiblessont ilsdéfinisparrapportàdes"profils"typesprenanten comptelafonctionetlestatut(personneld'exploitationinformatiqueoutélécom, 4 personnels des services généraux ou de sécurité, pompiers, prestataires de maintenanceoud'entretien,fournisseursdeservices,stagiaires,visiteurs,etc.)? Les profils permettent ils également de définir des créneaux horaires et 4 calendairesdetravail(heuresdébutetfindejournée,week end,vacances,etc.)? Lesbadgesoucartesmatérialisantlesautorisationsd'accèsauxlocauxsensibles 4 sont ilspersonnalisésaveclenomdutitulaireetsaphoto? Utilise t onunsystèmedecontrôled'accèssystématiqueauxlocauxsensibles? 4 L'authentification fait elle appel à des moyens infalsifiables détenus par 4 l'utilisateur(carteàpuceoureconnaissancebiométrique,parexemple)? Lesystèmedecontrôled'accèsgarantit iluncontrôleexhaustifdetoutepersonne entrantdansleslocaux(sasnepermettantlepassagequed'unepersonneàla 4 fois,processusinterdisantl'utilisationdumêmebadgeparplusieurspersonnes, etc.)? Sécuritéincendie A t onfaituneanalysesystématiqueetapprofondiedetouslesrisquesd'incendie (court circuitauniveauducâblage,effetdelafoudre,personnelfumantdansles locaux, appareillages électriques courants, échauffement d'équipement, 4 propagation depuis l'extérieur, propagation par les gaines techniques ou la climatisation,etc.)? Existe t iluneinstallationdedétectionautomatiqued'incendiecomplètepourles 2 locauxsensibles(fauxplanchersetfauxplafondss'ilsexistent)? L'installationdedétectionest ellecomposéed'aumoinsdeuxtypesdedétecteurs 4 (parexemple:détecteursdefuméeioniquesetoptiques)? Lepostedesurveillancea t illapossibilitédefaireintervenirrapidementune équiped'interventionayantlesmoyensd'actionsuffisantspouragir(diagnostic 2 précis de la situation, extinction manuelle, déclenchement ou validation de l'extinctionautomatique,appeldessecours,etc.)? Tableau2 21:Extraitsduquestionnaired auditdeslocaux QUESTIONNAIRED AUDIT:DOMAINEDURESEAULOCAL Question Sécuritédel'architectureduréseaulocal A t on effectué un partitionnement du réseau local en séparant du réseau strictementinterneleszonesdecommunicationavecl'extérieur(dmz)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? Enparticuliertoutréseausansfil(Wlan)est ilconsidérécommeundomaine distinctstrictementisoléduresteduréseau(parfirewall,routeurfiltrant,etc.)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? 59 Rép. P Max Min Commentaire

70 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sûretédefonctionnementdesélémentsd'architectureduréseaulocal A t onanalyséchaquedomainedesécuritépourdéterminerlesexigencesde continuité de service et en a t on déduit, si nécessaire, une architecture de 4 redondanceauniveaudespointsd'interconnexion,deséquipementsetdumaillage duréseau? L'architecturedeséquipementsderéseaupermet elleuneadaptationfacileaux 4 évolutionsdecharge(clusters,grappes,etc.)? Organisationdelamaintenancedeséquipementsduréseaulocal Tous les équipements du réseau local sont ils couverts par un contrat de 2 maintenance? A t on identifié les équipements critiques pour l'exploitation et la tenue des performances annoncées et, pour ceux ci, les délais de remise en service 4 souhaitableetlesdélaismaximumtolérablesencasdedéfaillance? Procéduresetplansderepriseduréseaulocalsurincidents A t onétabliunelistedesincidentspouvantaffecterlebonfonctionnementdu réseaulocalet,pourchacund'eux,lasolutionàmettreenœuvreetlesopérationsà 2 menerparlepersonneld'exploitation? Lesmoyensdediagnosticd'unepartetdepilotageduréseaulocal(reconfiguration) d'autrepartcouvrent ilsdemanièresatisfaisantetouslescasdefiguresanalyséset 4 permettent ilsdemettreenœuvrelessolutionsdécidéesdanslesdélaisspécifiés? A t ondéfini,pourchaqueincidentréseau,undélaiderésolutionetuneprocédure 4 d'escaladeencasd'insuccèsouderetarddesmesuresprévues? Plandesauvegardedesconfigurationsduréseaulocal A t onétabliunplandesauvegarde,couvrantl'ensembledesconfigurationsdu 4 réseaulocal,définissantlesobjetsàsauvegarderetlafréquencedessauvegardes? Ceplandesauvegardeest iltraduitenautomatismesdeproduction? 4 Teste t on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur documentation et de leur paramétrage permettent 4 effectivementdereconstitueràtoutmomentl'environnementdeproduction? PlandeReprised'Activité(PRA)duréseaulocal Existe t il une solution de secours, parfaitement opérationnelle, pour pallier 4 l'indisponibilitédetoutéquipementoudetouteliaisoncritique? Cessolutionssont ellesdécritesendétaildansdesplansdereprised'activité incluantlesrèglesdedéclenchement,lesactionsàmener,lespriorités,lesacteursà 4 mobiliseretleurscoordonnées? Cesplanssont ilstestésdemanièreopérationnelleaumoinsunefoisparan? 4 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal Cestableauxetgraphiquesnouspermettentdefaireunreportingsurlavulnérabilitédela société.bienquecenesoitpaslafinalitédelaméthodeméhari,celanousfacilitela comparaisondediversescellulesdumêmetypeetnouspermettraunsuividansletempsde cettevulnérabilité. II Evaluationdelagravitédesscénarii LabasedeconnaissancesMéharioffreunelistedescénariitypesainsiquelessixformules indiquantlessousservicesutiliséspourchaquetypedemesure(structurelle,dissuasive, Préventive,deProtection,Palliative,deRécupération). 06 Altérationdesdonnées 10 Accidentdetraitement I N 11 Accidentd exploitation Stru Diss Prév Min(01B05;01C01) Max(06D01;min(07A05;07D03)) Prot Pall Récup Min(08B04;07E03) Min(07D05;08D02) Min(01D02;01D05) 12 Altérationaccidentelledesdonnéespendantlamaintenance I N 60

71 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Stru Diss Min(01B05;01C01) Prot Pall Min(08B04;07E03) Min(07D05;08D02) Prév Max(07A05;09C01) Récup Min(01D02;01D05) 20 Erreurdesaisie 21 Enamontdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) 22 Lorsdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Basedes connaissances) Pourillustration,lesscénarii6.22quiconcernel altérationdedonnéesayantpourcauseune erreurdesaisiededonnéesetpourorigine,nousavonsquantifiélesmesuresstructurellespar laformule:min(01b05;01c01),celasignifiequelessousservices01b05:«sensibiliseret formeràlasécurité»et01c01:"motiverlepersonnel"sontimpliquésdanslaquantification decesmesuresstructurelles. Ensepenchantsul ensembledessousservicesdelabasedesconnaissancesméhari2007 impliquésdanslaquantificationdessixtypesdemesurespourcescénario,leconstatquise dégageestqu ilsappartiennentautypedecelluleentité,productioninformatiqueetsécurité Applicative,nousdironsquecescénarios appuiesurcestroistypesdecellulespourse réaliser. Pourunscénariotypeetlescellulesassociées(parexemplelescénario622dutableau précédent se réalisant dans les cellules Entité et Production Informatique et Sécurité Applicative),oncalculepourchaquetypedemesure(Structurelle,Dissuasive,Préventive,de Protection,PalliativedeRécupération),l efficacitédecelle ci:eff Stru,Eff Diss,Eff Prev, Eff Prot,Eff Recup.Pourcela,onutiliselesformulesassociéesàchaquetypedemesuredu scénariotypeétudié. Réplicationduscénariodanslescellules Code Domainede l organisation Domainede lasécurité desserveurs 0622/1 Entreprise «Bénin Cosmetics» Entreprise «Bénin Cosmetics» Exploitati ondes ApplicationSAGE serveurs SAARI Exploitati ondes ApplicationGES_DRH serveurs Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés 0622/2 Domainedelasécuritédes applications expo Diss Prev Prot Pall Recup P RI GMax OndéduitlapotentialitéSTATUS Pàpartirdestroisstatutsdepotentialité(STATUS EXPO, STATUS DISS,STATUS PREV)enutilisantlagrillecorrespondantautypedescénario(P MALVEILLANCE,P ERREUR,P ACCIDENT). Lescénario06.22: Altérationdedonnéesparerreurlorsdelasaisie estdetypeerreur. 61

72 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Expressiondesbesoinsdesécurité Les besoins de sécurité sont déduits de l'évaluation de la gravité des scénarii et de l'appréciation,aussiobjectivequepossibledesservicesdesécuritéayantuneinfluencesur cettegravité. Lesprincipauxsoucisdetouslesacteursdelasécuritéestnaturellementderéduireàleur strictminiumlesrisquesinsurmontables(enpriorité)puisinadmissibles,jusqu àcequele niveaudusinistrepotentielpassesouslabarreduseuilfixécommenedevantpasêtrefranchi. L expressiondesbesoinsdesécuritéseradonc,d'abord,l'expressiondesbesoinsdemesures spécifiquesrépondantauxrisquesmajeurs(insupportablespuisinadmissibles)découlantde l'étudedesscénariilesplusgraves. Mais,s ilestcrucialderéduirecesrisquesmajeurs,ilestégalementimpératifdeveilleràce quechaqueentitéappliquedesmesuresdesécuritégénéralequisoientconformesauxchoix définisparlapolitiquedel entrepriseetrépondentàsesrisquescourants.c estpourquoi l expressiondesbesoinssetraduira,outrelamiseenplacedesmesuresspécifiquesau domaineétudié,parunensembledemesuresrésultantd unecomparaisonentreleniveaude qualitédesmesuresenplaceetleniveauspécifiéparlapolitiquedesécuritédel entreprise. Mesuresgénéralespourlacelluleexploitationdesserveurs Note Code Sousservice A02 Sécuritédesimpressions D02 Organisationdelamaintenance E02 Traitementdesincidents A07 Contrôledelatélémaintenance A08 Administrationdesserveurs A01 Contratsdeservice Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacelluleexploitationdesserveurs Mesuresgénéralespourlacellulesécuritéapplicative Note Code Sousservice A02 Reconfigurationlogicielle D02 Identificationdel origine(signature ) E02 Localisationd unévénementdansletemps(horodatage) A07 Notarisation(anti répudiation) Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécuritéapplication GES_DRH Pour élaborer le plan d'action des mesures générales, nous prendrons en compte les contraintesorganisationnelles,techniquesmaisaussifinancières.pourl'ensembledesmesures généralesnouspourronstraiterlessousservicesutilisantdesaspectslégauxouréglementaires (preuveetcontrôle,traçabilité,auditabilité, ). Pourmenercetteétudeconcernant«BéninCosmetics»,nousavonstraitélessousservices suivants: 08F01Identificationdel'origine(signature,.); 08F06Localisationd'unévénementdansletemps(horodatage, ), 08F05Notarisation(anti répudiation) 62

73 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II.3.2.4Planopérationneld entreprise LePlanOpérationneld Entreprise(POE)estlaconsolidationdesactionsdesécuritéengagées danschaqueunité.c estdanscettephasequel ondoitpositionnerdesindicateursdesécurité pour suivre l évolution du niveau de sécurité globale de l entreprise. Ces indicateurs permettrontdesurveillerlespointssensiblesounévralgiquesdel entrepriseetàladirection Généraledesuivrel évolutionduniveauglobaldesécuritéenfonctiondeobjectifsdéfinis. LePOEdonneralieuàl établissementd untableaudebordetpourraaussiêtrel occasion d unéquilibrageentrelesunitésdel entreprise. Sidenouveauxbesoinsapparaissent(enraisondelaviemêmedel entreprise)lapolitiqueet lesobjectifsdesécuritédoiventêtremodifiésetlesphases1à3réitérées. II Choixd indicateursreprésentatifs EnraisondesobjectifsdesécuritéquenousafixélaDirectionGénéraleauniveaude l élaborationduplanstratégiquedelasécurité,lechoixdesindicateursporterasurlesscénarii suivants: Pourassurerlaproduction: Départdepersonnelstratégiqued exploitation Cescénarioconcernedirectementlesressourceshumaines Incendiedansunecorbeilleàpapier Cescénarioconcernedirectementleslocaux Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction Pourassurerlaconfidentialitéetlesecretdefabrication: Bombelogiquedansunlogicielparunutilisateur Cescénarioconcernedirectementlestraitementsinformatiques Pertedefichiersparvoldansunbureau Cescénarioconcernedirectementlesstructuressupport Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretdefabrication Pourassurerladisponibilitédesmoyensdecommunicationsavecl usinedeparakou: Accidentsoupannegraverendantindisponibleuneressourcematérielleinformatique(serveur, réseau,lan,wan,etc.) Cescénarioconcernedirectementlestraitementsinformatiques Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavecl usinedeparakou II Elaborationd untableaudeborddelasécuritédel entreprise Letableaudebordpourrapermettred apprécierparexemplelagravitédesscénariiretenusà l'étapeprécédente.l appréciationduniveaudecettegravitéseraréactualiséeàunefréquence déterminéeparl'entreprise Famille Libellédelafamilledescénarii Destructiond équipements Performancesdégradées Divulgationdesdonnées Détournementdesfichiersdedonnées 63 Gravitéinitiale Gravitéfinale

74 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 12 Poursuitejudiciaire 3 3 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii D'autretableaudebordavecdesindicateursspécifiquesavecletempsd'indisponibilitéet/ou retouràunesituationnormalepourraêtrefourniversladirectionsouslaformesuivante: ENTREPRISE«BENINCOSMETICS» Nombred incidentsliésaumotdepasse Nombredetentativesinfructueusesdeconnexionssur lesystème Nombredetentativesd intrusion Nombredeblocagedulogicielmétier Nombrederestaurationdedonnées Nombredevirusayantinfectélamessagerie,leS.I. 09/2008 Nombre Temps /2008 Nombre Temps Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéetretouràune situationnormale II Rééquilibragesetarbitragesentrelesunités Lesrééquilibragesetlesarbitragesbudgétairesentrelesunitésserontdéterminésenfonction desressources(humainesetfinancières)disponiblesquel'entreprise peutaccorder aux différentesunitéspourmettreenœuvrelesplansopérationnelsdesécurité. II Synthèse Lamiseenplaced unedémarchesécuritairebaséesurmehariestdenosjoursunedesplus fiablesdèslorsqu elleestmenéeavecunevolontédel instancemanagérialedel entreprise. Lasécuriténepeutseconcevoirsansunemaitriseréelledesrisquesencourusparl entreprise etsesvaleurs.labasedeconnaissanceetdesscénariiderisquesprédéfiniesfacilitent l identificationdesrisques.ladivisiondesprocessusencellulepermetuneévaluationdes risquesàuneéchelleinfinie. LadémarcheMEHARIestcertesassezharassanteetexigeunvéritableauditdusystème d informationconcerné,maiselleal avantaged êtrebiendocumentéeetrégulièrementmise àjourparleclusif. 64

75 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre3: Les systèmes de protection contre les intrusions Danslelangagecourant,uneintrusionestuneactionvisantàs introduiresansautorisation dansunlieudontonn estpaslepropriétaire.eninformatiqueaussilamêmedéfinitionest applicable;ellesignifielapénétrationdessystèmesd information,maisaussilestentatives desutilisateurslocauxd accéderàdeplushautprivilègesqueceuxquileursontattribués,ou tentativesdesadministrateursd abuserdeleursprivilèges.ellepeutaussirésulterd unver cherchantàassurersapropagation,ouencored uneattaqueautomatisée. Les deux premières parties de ce document ont traité des évolutions de la sécurité informatique,d unétatdeslieuxdelasécuritédessystèmesd informationdanslemondeet desstratégiesdesécuritédessystèmesd informationquisontd usagepoursemettreàl abri desmenacescourantes.cependant,lerapportmenaces/mesures,loind êtresatisfaisant demeuretoujoursunepréoccupationmajeurepourlesorganisationsetlesspécialistesdela sécuritédessystèmesd information. Eneffet,beaucoupdespécialistess accordentavecnataliedagornpourclamerqu «aucun système d information n est sûr à 100%! Parmi les préceptes connus sur la sécurité informatiquesetrouveceluiénonçantque,pouruneentrepriseconnectéeàl Internet,le problèmeaujourd huin estplusdesavoirsiellevasefaireattaquer,maisquandcelava arriver;unesolutionpossibleestalorsd essayerderepousserlesrisquesdansletempsparla miseenœuvredediversmoyensdestinésàaugmenterleniveaudesécurité»[dag]. Lesvulnérabilitésenmatièredesécurités'intensifientd annéeenannée.lecentrede coordinationcertindiqueque417vulnérabilitésontétésignaléesen1999.aucoursdes troispremierstrimestres2002,cechiffreestmontéjusqu'à3222. En2006cemêmechiffreétaitpasséà8064.Encetteannée2008,rienquepourlepremier semestrelenombrede4110vulnérabilitésadéjàétédépassé[crtv]. Àl'heureoùlescorrectifslogicielsnepeuventêtreappliquésaussivitequelatechnologie évolue,deuxquestionsdoiventêtreposées:combiencoûtelestempsd'indisponibilité,etquel estledegrédenuisanceprovoquéparlacompromissiondesdonnées? Parailleurs,unenouvelleinquiétudegrandit:lefaitquelesentreprisessoientpotentiellement responsablesdesdégâtsprovoquésparunpirateetdoiventprouveràlajusticequ'ellesont prislesmesuresnécessairespoursedéfendrecontrelesattaques. Auregarddecetableauinquiétantdelasécuritéinformatique,leséditeursetspécialistesdes solutionsdesécuritéontbienévidemmentréagitenconcevantdessystèmesoudispositifs capablesdeproscrirelesdangersquenepeuventempêcherlesantivirus,pare feuxetautres mesuresclassiquesdesécuritéjusque làenvogue. Dans cette troisième partie, nous allons aborder les systèmes de protection contre les intrusions.eneffet,nousmontreronsgrâceàuneenquêtequenousavonsréalisée,queces systèmesquiajoutentunniveausupplémentairedesécuritéauxsisontméconnusetnégligés auseindesentreprisesetorganisationsouestafricaines. 65

76 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.1Situationdelasécuritédessystèmesd information Situationdelasécuritédessystèmesd information danslasous régionouestafricaine régionouestafricaine Lebutdecedocumentétantdemontrerl importanceetlamiseenplace Lebutdecedocumentétantdemontrerl i mportanceetlamiseenplacedesstratégieset politiquesdesécurité,ilnousasembléopportundecompléterlesétudesetsondagesutilisés danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous région Ouestafricaine.Nousavonsporténotrechoixsur29organisationsduBénin,Nigeretdu avonsporténotrechoixsur29organisationsdubénin,nigeretdu Togo.L enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures.l enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant montrelesentreprisesconcernéesparl enquête concernéesparl enquête: Tableau3 1:LesentreprisesOuest :LesentreprisesOuest africainesconcernéesparl enquête africainesconcernéesparl enquête Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait:«Disposez Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait Disposez vousd une stratégiedesauvegardehors site(backupoff site(backupoff site)?» UnevéritablestratégiedesauvegardedoitressembleràcellemiseenplaceparAfriNIC (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduS (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduSud) disposed unsitederéplicationdesesdonnéesaucaire(egypte). C estleconceptdubackup disposed unsitederéplicationdesesdonnéesaucaire(egypte).c estleconceptdubackup off site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe naturellemêmeimportantenepuissepriverafrinicdesesressour ces.lessauvegardessont naturellemêmeimportantenepuissepriverafrinicdesesressources.lessauvegardessont quotidiennementeffectuéesenligne. quotidiennementeffectuéesenligne. Figure3 1:Entreprisesdisposantd unestratégiedebackupoff :Entreprisesdisposantd unestratégiedebackupoff site site Acettequestion,commelemontrelafigure3 2,79%denotreéchantillonàrépondu Acettequestion,commelemontre échantillonàrépondu «NON»etseuls21%disentêtreentraindeplanifiercesmesures»etseuls21%disentêtreentraindeplanifiercesmesuresneserait neserait cequ àl échelle d unevilleoud unpays. Lasecondequestiondel enquêteseprésentaitcommesuit:«disposez vousd unedémarche Lasecondequestiondel enquêteseprésentaitcommesuit vousd unedémarche sécuritaireconduisantàunevéritablestratégiepuispolitiquedesécurité àunevéritablestratégiepuispolitiquedesécuritéfiable? fiable?». 66

77 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 2:Pourcentagedes Pourcentagedesréponsesausujetdeladémarchesécuritaire. réponsesausujetdeladémarchesécuritaire. Seuls24%desentreprisesontestiméêtresurlepointdelefaireoudecommencerlesétapes Seuls24%desentreprisesontestiméêtresurlepointdele faireoudecommencerlesétapes préliminairesàsamiseenœuvre.76%ont àsamiseenœuvre.76%ontrépondu«non». Latroisièmequestionétait:«:«Disposez vousd undispositifvouspermettantdevousrendre vousd undispositifvouspermettantdevousrendre compted uneintrusionn ayantpascausédedégâts,maisquiapuocc compted uneintrusionn ayantpascausédedégâts,maisquiapuoccasionnervolde données?». Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«:Pourcentagedelacapacitédedétectiondesintrusions«passives passives» Pourcontinueraveclesintrusions,nousavonsaussidemandésiellespeuventprévenirou arrêterentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde terentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde services?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme lemontrelafigure3 5. Figure3 4:Pourcentagedeprotectioncontrelesintrusions«:Pourcentagedeprotectioncontrelesintrusions«actives actives» Enfin,ladernièrequestionétait questionétait:«disposez vousd unplandereprised activitéaprèsun vousd unplandereprised activitéaprèsun sinistre(disasterrecoveryplan) sinistre(disasterrecoveryplan)?». 67

78 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan Acettequestionaussilamajoritédesentreprisesc'est à dire93%ontréponduparlanégative. Acettequestionaussilamajoritédesentreprisesc'est dire93%ontréponduparlanégative. Seuls7%disentyavoirpensé. Seuls7%disentyavoirpensé. Leconstatquenouspouvonstirerdecetteétudeestquenosentreprisesnesontpasdutout Leconstatquenouspouvonstirerdecetteétudeestque nosentreprisesnesontpasdutout préparéesàfairefaceauxréelsrisquesauxquelselless exposentsurtoutencequiconcerne lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommes proposédeterminer lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommesproposé cetteétudeparlaprésentationd untypeassezrécentdesystèmedeprotectionquenos entreprisesdevraientincluredansleursstratégiesetpolitiquesdesécuritéàsavoirles systèmesdeprotectioncontrelesintrusions. protectioncontrelesintrusions. III.2 Concepts des des systèmes de protection contre les intrusions III.2.1Définitionetprincipesdefonctionnement Définitionetprincipesdefonctionnement Onentendparsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«appliances» (c'est à diredesboîtesnoires)capablesdeprotégerlesréseaux diredesboîtesnoires)capablesdeprotégerlesréseauxetsystèmesinformatiques etsystèmesinformatiques contrelesintrusions.commenousl avonsmentionnéprécédemment,cessystèmessebasent surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. Ainsi,ilexistedessystèmesdedétectiond intru essystèmesdedétectiond intrusionsdits«passifs»quiontétédép ontétédéployésde plusenpluslargementetquisont talonnéesaujourd huipardessystèmesdits«actifs»de plusenpluslargementetquisonttalonnéesaujourd huipardessystèmesdits«prévention d intrusions. La recherche et les découvertes en détection et prévention d intrusions sont toujours d actualité, d actualité, notamment en raison des évolutions rapides et incessantesdestechnologiesdes technologiesdessystèmesd information. Ladétectiond'intrusionspeutsedéfinircommel'ensembledespratiquesetdesmécanismes utilisésquipermettentdedétecterlesactionsvisan utilisésquipermettentdedétecterlesactionsvisantàcompromettrelaconfidentialité, tàcompromettrelaconfidentialité, l intégritéouladisponibilitéd uneressource.lanotiond'intrusionestàconsidérerausens largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. D uncôté,ilyalessystèmesdedétectiond dedétectiond intrusions(idspourintrusion (IDSpourIntrusionDetectionSystem) quisontdesmécanismesdestiné destinésàrepérerdesactivitésanormalesoususpectessurlacible àrepérerdesactivitésanormalesoususpectessurlacible analysée(unréseauouunhôte).il analysée(unréseauouunhôte).ilspermettentainsid avoiruneconnaissancesurles ainsid avoiruneconnaissancesurles tentativesréussiescommeéchouéesdesintrusions. chouéesdesintrusions. Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainprocèdeàl examen Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainpr defichiersdelogs(journaux) (journaux)àlarecherchedetoutsignesuspectpouvantindiquerune àlarecherchedetoutsignesuspectpouvantindiquerune intrusion.unsystèmequieffectueunedétectiond' intrusionautomatiséeestappelésystèmede intrusion.unsystèmequieffectueunedétectiond'intrusionautomatiséeestappelésystèmede détectiond intrusion(ids).lorsqu uneintrusionestdécouverteparunids,lesactions typiquesqu ilpeutentreprendresontparexempled enregistrerl informationpertinentedans 68

79 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS unfichierouunebasededonnées,degénérerunealertepare mailouunmessagesurun pager ou un téléphone mobile. Déterminer quelle est réellement l'intrusion détectée et entreprendrecertainesactionspourymettrefinoul'empêcherdesereproduire,nefont généralementpaspartiedudomainedeladétectiond'intrusion.cependant,quelquesformes deréactionautomatiquepeuventêtreimplémentéesparl'interactiondel'idsetdesystèmes decontrôled'accèscommelespare feu.lediagrammesuivantillustrelefonctionnementd un IDS. Trafic/Application Détection Abus/Anomalie Alerte Détection Abus/Anomalie Logs Collecte d informations surl attaque/ l attaquant Analysehumaine Blocage port Figure3 6:Fonctionnementd unids D unautrecôté,ilyalessystèmesdepréventiond intrusions(ipspourintrusionprevention System)quisontdesmécanismesayantpourbutd anticiperetdestopperlesattaques.la préventiond intrusionestappliquéeparquelquesidsrécentsetdiffèredestechniquesde détectiond'intrusiondécritesprécédemment.aulieud'analyserleslogsdutrafic,c'est à dire découvrirlesattaquesaprèsqu'ellessesoientdéroulées,lapréventiond'intrusionessaiede prévenircesattaques.làoùlessystèmesdedétectiond'intrusionsecontententdedonner l'alerte,lessystèmesdepréventiond'intrusionbloquentletraficjugédangereux. Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oudedétectiond intrusions (NIDS). 69

80 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leprincipedefonctionnementd unipsestsymétriqueàceluid unids(idshôteetids réseau),ajoutantàcelal analysedescontextesdeconnexion,l automatisationd'analysedes logsetlacoupuredesconnexionssuspectes. ContrairementauxIDSclassiques,aucunesignaturen'estutiliséepourdétecterlesattaques. Avanttouteaction,unedécisionentempsréelestexécutée(c'est à direquel'activitéest comparéeàunensemblederègles).sil'actionestconformeàl'ensemblederègles,la permissiondel exécuterseraaccordéeetl'actionseraexécutée.sil'actionestillégale(c'est à direquesileprogrammedemandedesdonnéesouveutleschangeralorsquecetteactionne luiestpaspermise),unealarmeestdonnée.danslaplupartdescas,lesautresdétecteursdu réseau(ouuneconsolecentrale)enserontaussiinformésdanslebutd empêcherlesautres ordinateursd'ouvriroud'exécuterdesfichiersspécifiques. Plusieursstratégiesdepréventiond intrusionexistent: Host basedmemoryandprocessprotection:quisurveillel exécutiondesprocessuset lestuedèslorsqu ilsontl airdangereux(bufferoverflow).cettetechnologieest utiliséedansleskips(kernelintrusionpreventionsystem); Sessioninterception(ousessionsniping):quitermineunesessionTCPavecla commandetcpresest(«rst»).ceciestbeaucouputilisédanslesnips(network IntrusionPeventionSystem); Gatewayintrusiondetection:siunNIPSestplacéentantquerouteur,ilbloquele trafic ou envoie des messages aux autres routeurs du réseau pour modifier adéquatementleurslistesd accèspourbloquerlessourcesjugéesagressives. Lediagrammeci aprèsillustrelefonctionnementd unips: Application Action Décisionentempsréel Refuser Permettre Alerte Exécuteruneaction Figure3 8:Fonctionnementd unips III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions Enprofitantdesbugslogiciels,enexploitantlesfaiblessesdesprotocolesetenpiratantles motsdepasse,lespiratespeuventrechercheretexploiterdesportesouvertesdansleslignes dedéfensed unréseaud entreprise.orcesportespeuventêtreferméesparunsystèmede détectionoudepréventiond intrusions: détectionprécisedesattaques; arrêtdesattaques; simplificationdelagestiondelasécurité; documentationappropriée(journauxdétaillés); flexibilitérequisepourrespecterlesrèglesdesécurité; doublevérification(aprèscelledespare feuxmalconfigurés); 70

81 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS vérificationdelabonneapplicationdesrèglesdesécurité; interceptiondesattaquesquelespare feulaissentpasserdemanièrelégitime; interceptiondestentativesinfructueuses; interceptiondespiratagesvenantdel'intérieur; détectiondesattaquesanormaleslancéesdepuisunterminalinoccupé; détectiondefaillespouvantêtreexploitéespardesintrus; documentationfournieavant,pendantetaprèsuneattaque. Lessystèmesdeprotectioncontrelesintrusionspeuventêtredéployésauniveaudespoints d'accès,derrièrelespare feux,surdiverssegmentsetserveursouàdifférentsemplacements oùilsferontofficed'agentsdesécuritédupérimètre.ensurveillantletraficpourprotégerles systèmesdesattaquesinternesetexternessurleréseau,cessystèmesdétectentetarrêtentles piratesquitententdes'introduiredanslesréseaux.lesméthodesdedétectionincluent l'utilisationdesignaturesd'attaque,lavérificationd'anomaliesdeprotocolesetd'actions inhabituelles. Lespiratesexploitentconstammentdenouvellesfailles.Entrouvantd'autresméthodespour accéderàvotreréseauinterne,ilslancentdenouvellesattaquessophistiquéesquinesuivent pasunschémadéfini.tandisqueladétectionbaséesurlessignaturesestunsystèmerobuste, ladétectiondesanomaliesdeprotocolespeutêtreutiliséepouridentifierlesdiversesattaques quin'observentpaslesscénariihabituels. Ainsi,ungrandnombred'attaquesréseaupeuventêtredéjouéesgrâceauxsystèmesde détectionetdepréventiondesintrusions.cesontdesoutilsquidemandentuneconfiguration fineetuneanalyserégulièredesfichiersjournaux. LessystèmesIDSetIPSappliquentdesméthodessimilaireslorsqu'ilsessaientd'intercepter desintrusoudesattaquessurleréseau.ilsontgénéralementunebasededonnéesde signatures,quipeutêtrerégulièrementmiseàjouràmesurequedenouvellesmenacessont identifiées. Lesadministrateursdesécuritédéploientdesagentsoudescapteurs,logicielsoumatériels,en despointsclésdeleurréseau.généralementenpériphérieousurlespasserellesversd'autres réseauxendesendroitsoùletraficréseauconverge,etquiontétéidentifiéscommeétantdes pointsdedétectionetd'interceptionstratégiques.lesplacerderrièrelespare feuxesttoujours unbonchoix.lescapteursàdistanceenvoientalorsleursrapportsàunemachinecentralequi gèrelesrèglesdusystème.ilstockelesdonnéesdansunseulendroitafindefaciliter l'enregistrement,lesalertesetl'élaborationdecomptes rendus. LescapteursIDS/IPSdéployéssurleréseauexaminentlesfluxdedonnéesquitransitentà leurniveau,puisanalysentletraficetlecomparentauxsignaturescontenuesdansleursbases dedonnées.lorsqu'unecorrespondanceesttrouvée,lesystèmeactiveeteffectuelestâches définiesparl'administrateur:interromprelaconnexiontcp,alerterl'équipedesécuritéou stocker les informations dans un journal ou log en vue d'une analyse ultérieure. Naturellement,lesperformancesduréseaudoiventêtreévaluéesavantdedéployerun capteur. Ilestégalementpossiblededéployerdifférentstypesdesystèmespouroffrirauréseau plusieursniveauxdesécurité.parexemple,encombinantunesolutionmatérielle(appliance) pourcontrôlerlespointsd'entrée/sortieduréseauavecdeslogicielsbaséssurhôtepour surveillerlesmachinescritiques. 71

82 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.3 Typologies et familles des systèmes de protection contrelesintrusions III.3.1 Typologies des systèmes de protection contre les intrusions Lacaractérisationdesdifférentssystèmesdeprotectioncontrelesintrusionspermetdeles différenciersuivantuncertainnombredecaractéristiques.cettecaractérisationaconduitàla classificationterminologiqueprésentéedanslafiguresuivante. Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions Dansunpremiertemps,onpeutfaireunedistinctionassezfondamentalesurlaméthodede détectionutiliséeparlessystèmesdeprotectioncontrelesintrusions.ilexistedeuxgrandes catégoriesdeméthodesdedétection: cellesbaséessuruneapprochecomportementale(parexemplel'analysestatistique, l'analysebayésienne,lesréseauxneuronaux) etcellesbaséessuruneapprocheparscénarii(parexemplelarecherchedesignatures oulepatternmatching). Globalement,lesapprochescomportementalesvisentàreconnaîtreuncomportementanormal, quecesoitparrapportàunedéfinitionducomportementnormalouanormalfournieau système de détection d'intrusion (par exemple une spécification de protocole de communication)ouparrapportàunemodélisationdescomportementsnormauxouanormaux appriseàpartird'uneobservationpréalabledusystème(ensalleblanche,outoutsimplement en réel). Dans le cadre d'une approche comportementale, l'apprentissage semble donc possible,toutcommelapossibilitédedétecterdesattaquesinconnuesaumomentdela conception de l'ids, à condition qu'elles génèrent des anomalies perceptibles dans le fonctionnementnormal. Parcontre,dansuneapprocheparscénarii,lessystèmesdeprotectioncontrelesintrusions s'appuientsurunebasedeconnaissancepréexistantedécrivantlescomportementsnormaux ouanormauxetutilisecetteconnaissancepourlareconnaissancedesévènementsproduitspar des actions d'intrusions dans le système informatique qu'ils observent. Cette méthode 72

83 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS implique donc la constitution et la mise à jour régulière d'une base de connaissance référençantlesdifférentesattaquesconnuessusceptiblesd'êtremisesenœuvredansun systèmeinformatique.c'estàpartirdecesinformations,affinéesparl'administrateuren fonctiondusystèmesurveillé,quelessystèmesdeprotectioncontrelesintrusionsidentifient leséventuellesattaquesayantlieudanslessystèmesinformatiques. Danscetteapproche,lessystèmesdeprotectioncontrelesintrusionssefocalisentdoncsur l'identificationdesutilisationsabusives(misuse).uneautremiseenœuvreconformeàla terminologiemaisoriginaledanslapratiquedecetteapprochededétectionparscénarii consisteàconstituerunebasedeconnaissancedescomportementspermisdanslesystème(et nondescomportementsabusifs)pourconfigurerlesactionsdedétection(desutilisations normalesenquelquesorte). Dansunsecondtemps,onpeutaussicomparerlessystèmesdeprotectioncontrelesintrusions enfonctiondumodedefonctionnementdesmécanismesdedétectionqu'ilsmettentenœuvre. Demanièregénérale,unsystèmedeprotectioncontrelesintrusionspeuttenterd'identifierdes attaquesens'appuyantsurdesinformationsrelativesauxtransitionsayantlieudansle système(l'exécutiondecertainsprogrammes,decertainesséquencesd'instructions,l'arrivée decertainspaquetsréseau,etc.)oubienenétudiantl'étatdecertainespartiesdusystème(par exemple,l'intégritédesprogrammesstockés,lesprivilègesdesutilisateurs,lestransfertsde droits,etc.). III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions Selonl'endroitqu'ilssurveillentetcequ'ilscontrôlent(les«sourcesd'information»),deux famillesprincipalesd IDSsontusuellementdistinguées: III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante Imaginonsqu'unerequêtemalintentionnéeaitpassélebarragedufirewall:ilfautdonc l'arrêter.laméthodelaplusclassiqueconsisteàfaireappelàunnetworkids unesolution dedétectiond'intrusionlargementéprouvée.sonrôleserad'immobiliserchaquerequête,de l'analyseretdeluilaissercontinuersoncheminseulementsiellenecorrespondpasau portrait robotd'uneattaqueréférencée.avantd'opterpouruntelsystème,ilfautconnaîtreles pointsclésdecettesolution. Lerôleessentield'unIDSréseau,appeléNIDS(Network basedintrusiondetectionsystem), estl'analyseetl'interprétationdespaquetscirculantsurceréseau.afinderepérerlespaquets àcontenumalicieuxcommeparexempledesexpressionscontenant«/etc/passwd»,des signaturessontcréées.desdétecteurs(souventdesimpleshôtes)sontutiliséspouranalyserle traficetsinécessaireenvoyerunealerte.unidsréseautravaillesurlestramesréseauàtous lesniveaux(couchesréseau,transport,application).deplusenplus,endisséquantlespaquets eten«comprenant»lesprotocoles,ilestcapablededétecterdespaquetsmalveillantsconçus pouroutrepasserunpare feuauxrèglesdefiltragetroplaxistes,etdechercherdessignes d attaqueàdifférentsendroitssurleréseau.quelquesexemplesdenids:netranger,nfr, Snort,DTK,ISSRealSecure7. LesIDSréseauontdesatouts,parexemple,lesdétecteurspeuventêtrebiensécurisés puisqu'ilsse«contentent»d'observerletrafic,lesscanssontdétectésplusfacilementgrâce auxsignatures,etc.cependant,lesproblèmesmajeursliésauxnidssontdeconserver 73

84 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS toujoursunebandepassantesuffisantepourl écoutedel ensembledespaquets,etdebien positionnerl IDSpourqu ilsoitefficace. PremiergagedequalitépourunNetworkIDS:l'exhaustivitédufichiercontenantles signaturesdesattaques.cefichierestcentraliséetmisàjourparlefabricantdesolutionsde NetworkIDS.Ilfautdoncpensertrèsrégulièrementàentéléchargerlalistelaplusrécente. Parextension,laqualitédeséquipesdeveilledufabricantconditionnelargementl'efficacité desesproduits:lesplusgrandesmarquesemploientplusieursdizainesdepersonnesàlamise àjourdecettelistedesignatures. UndespointscruciauxdesNIDSconcernelechoixdeleursemplacements.«Unesonde placéeàunmauvaisendroitpeutêtreinefficace»,soutientphilippesolini,networkdesign ConsultantchezUnisys.Ilestd'ailleurscourantquel'onnepuissepassecontenterd'unseul systèmedefiltrage:plusunréseauestcomplexe,plusilprésentedevulnérabilités.ilen devientlogiquementplusdifficileàprotéger.maischaquenetworkidsrajoutécoûtecher: cesmachinessontparticulièrementgourmandesenressources."lesdébitsanalyséssonttrès lourds,ilestdoncnécessairededédieraunetworkidsdesmachinestrèspuissantes,oudes appliances(boitesnoires)spécialiséspourparveniràlessoutenir",expliquephilippesolini. III.3.2.2LeHostIDS:Unesolutionquimonte Ensomme,leNetworkIDSestungendarmequicomparechaquetrameàunebanquede portraitsrobots.maisilnegarantitpasàluiseulunniveaudesécuritéprochede100%.pour yparvenir,ilfautmettreenfactionunautregendarme,quiobserveralecomportementde chaquetrameetsignaleratoutcequiluiparaîtrainhabituel.c'estlerôleduhostids,une véritablesondequiestplacéeindividuellementsurchaquesystèmeàprotéger.unsystème quicorrigelesfaiblessesdesnetworkids. LatechnologieHostIDSexcelledansladétectiondesanomaliesconnuesetinconnues:si uneattaqueparvientàsefaufileràtraverslesmaillesdufilet,lasondevalarepérer:"lehost IDSréaliseunephotographiedusystèmeàunmomentdonné.Ildéfinittoutcequiest légitime.toutcequisortducadreetdeshabitudesdusystèmeestconsidérécommeune attaque.unemodificationdelabasederegistresseradoncbloquéeetferal'objetd'une alerte",expliquepascaldelprat(consultantensécuritéchezciscoenfrance).untravail complémentaireàceluidunetworkids. UnesondeHostIDSestmoinsonéreusequ'unNetworkIDS,maisondoitenplacerunesur chaquemachineàsurveiller.onlesréservedoncleplussouventauxmachinestrèsprotégées. Ellessontégalementbeaucoupmoinsgourmandesenressourcessystèmesqu'unNetwork IDS:onlestrouvedoncsousformedelogiciel,etnonplusintégréesàunserveurouune appliancecommelesnetworkids.placéessurunemachine,ellesneconsommenteneffet pasplusde5%desressources. Ensemble,lesdeuxgendarmesfontaccéderunréseaud'entrepriseàunniveaudeprotection optimal.aconditiond'êtrechapeautésparunbrigadier chef:ilsnesaventpastravailler correctementsansêtreencadrés.leproblèmedel'administrationdesidsauquotidien représenteeneffetlepointleplusdélicatetlepluscrucialpourunsystèmededétection d'intrusion.sionlenéglige,ilestpréférabledegardersonbudgetpourl'investirailleurs. Lessystèmesdedétectiond'intrusionbaséssurl'hôte(postedetravail,serveur,etc.),ouHIDS (Host basedids),analysentexclusivementl'informationconcernantcethôte.commeils n'ontpasàcontrôlerletraficduréseaumais seulement lesactivitésd'unhôte,ilsse montrenthabituellementplusprécissurlesvariétésd'attaques.cesidsutilisentdeuxtypes 74

85 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS desourcespourfourniruneinformationsurl'activité:leslogsetlestracesd'auditdusystème d'exploitation.chacunasesavantages:lestracesd'auditsontplusprécises,détailléeset fournissent une meilleure information ; les logs, qui ne fournissent que l'information essentielle,sontpluspetitsetpeuventêtremieuxanalysésenraisondeleurtaille.iln existe pasdesolutionuniquehidscouvrantl ensembledesbesoins,maislessolutionsexistantes couvrentchacuneunchampd activitéspécifique,commel analysedelogssystèmeet applicatifs,lavérificationdel intégritédessystèmesdefichiers,l analysedutraficréseauen direction/provenancedel hôte,lecontrôled accèsauxappelssystème,l activitésurlesports réseau,etc.parexemple,ledémonsyslogpeutêtreconsidérépartiellementcommeun systèmehids,carilpermetdeconsignercertainesactivités,etàl aided unanalyseur commeswatch,dedétectercertainestentativesd intrusion(commebadlogin);tripwire, centrantsonactivitésurl intégritédusystèmedefichiers,peutaussiêtrevucommeunhids, SecurityManager,etc. Lessystèmesdedétectiond'intrusionbaséssurl'hôteontcertainsavantages:l'impactd'une attaquepeutêtreconstatéetpermetunemeilleureréaction,desattaquesdansuntraficchiffré peuventêtredétectées(impossibleavecunidsréseau),lesactivitéssurl'hôtepeuventêtre observéesavecprécision,etc.ilsprésententnéanmoinsdesinconvénients,parmilesquels:les scanssontdétectésavecmoinsdefacilité;ilssontplusvulnérablesauxattaquesdetypedos ;l'analysedestracesd'auditdusystèmeesttrèscontraignanteenraisondelatailledeces dernières;ilsconsommentbeaucoupderessourcescpu,etc. Une version d IDS hybride est possible et désormais supportée par différentes offres commerciales.mêmesiladistinctionentrehidsetnidsestencorecourante,certainshids possèdentmaintenantlesfonctionnalitésdebasedesnids.desidsbienconnuscommeiss RealSecuresenommentaujourd'hui IDShôteetréseau.Dansunfuturproche,ladifférence entrelesdeuxfamillesdevraits estomperdeplusenplus(cessystèmesdevraientévoluer ensemble).decesdeuxfamillesprincipales,denombreusesvariantessontissuesetpeuvent êtreétudiéesenprofondeurenconsultantlesrapportsderechercheconcernantladétectionet lapréventiond intrusiondenathaliedagorn(lienàretrouver) Concrètement,cesontdonclessystèmesdedétectiond'intrusionréseauutilisantdesbasesde signaturesquidominentlesmisesenœuvreopérationnellesdisponiblessurlemarché. III.4 Limites des systèmes de protection contre les intrusions Laplupartdesreprochesfaitsauxsystèmesdeprotectioncontrelesintrusionsconcerneen réalitélessystèmesdedétectiond intrusion.c estpourquoilessystèmesdeprévention d intrusionssontsouventconsidéréscommelesaméliorationsdesids. Lessystèmesdeprotectioncontrelesintrusionsdoiventpouvoirsupporterletraficmaximal attenduàl'endroitoùilsserontplacés.siuncapteurnepeutpasgérerledébit,despaquetsde donnéesserontperdus,etlesdonnéestransitantparcepointneserontpastoutesanalysées. Cettesituationpeutmêmeavoirunimpactsurlesperformancesglobalesduréseauencréant ungouletd'étranglement.ilestdoncpréférabledesurestimerletraficréseaupotentiel transitantparlepointdedéploiementducapteurquelecontraire. Laplusgrandemenacequipèsesurlesdéploiementsd'IDS/IPSestque,aufildutemps, l'équipedesécuriténefasseplusattentionauxdonnéesenregistrées.c'estunpointqu'ilfaut prendreencomptelorsduchoixdesrèglesdesécurité.mêmesiungrandnombrede 75

86 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS messagessontinterceptésàtortlorsqu'unsystèmeestdéployélapremièrefois,celui cidoit êtreconstammentreconfigurépourenréduirepeuàpeulenombre.lebutétantdedisposer d'unsystèmerobusteetpratiquesusceptibleunjourdesauverlesdonnéesdel'entreprise. L unedesprincipaleslimitesqu onconnaîtauxidsestlephénomènedesfauxpositifsetdes fauxnégatifs.aprèslephénomènedefauxpositifsetdesfauxnégatifs,ilexisteencore plusieursautresimperfectionsetlimitessouventattribuéesauxids.ils agitentreautresdu modepromiscuité,deladéfinitionetmaintenancedessignatures,leurapprentissageetleur configurationdel IDSetenfinleslimitesgénérales. III.4.1Fauxpositifsetfauxnégatifs ParmilescomportementspossiblespourunIDS,onpeutenvisagerlesquatrepossibilités recenséesdansletableausuivantqu'uneintrusionsoitounonencoursdanslesystème informatiqueetquelesystèmededétectiond'intrusionaitémisounonunealerte. Pasd alerte Alerte Pasd attaque Vrainégatif Fauxnégatif Attaqueencours Fauxnégatif Vrainégatif Tableau3 2:ComportementsenvisageablespourunIDS Parmicesquatrecomportements,lesvraisnégatifsetlesvraispositifscorrespondentaux comportements souhaités. Toutefois un IDS est généralement imparfait et conduit à l'apparition des deux autres comportements non désirés. Parmi eux, un faux négatif correspondàuneattaquenondétectée,etunfauxpositifàl'émissiond'unefaussealerte.les différentsidssouffrentgénéralementd'imperfectionsdonnantlieuàl'apparitiondeces comportementsnondésirés,maisselondesaxesdifférentssuivantlesméthodesdedétection qu'ilsutilisent. UnreprochefréquemmentfaitendirectiondesIDSutilisantuneméthodededétection comportementaleestdecontenirdansleurprincipemêmedefonctionnementlapossibilitéde faussesalertes(unchangementdecomportementlégitimedétectécommeanormal)oudefaux négatifs(parexemplepouruneattaquetrèslente);tandisquelesapprochesparscénarii semblentthéoriquementêtreplusexactes.toutefois,labasedeconnaissanceutiliséedansles IDSparscénariiexigeunemaintenanceconstanteet,danslapratique,souffreégalement nécessairementd'imperfections. Bienquelesfauxnégatifssoienteffectivementlepremierdescomportementsindésirables pourunids,lesfauxpositifssontimportantsaussi:ilspeuventconduireàuneréellepertede confiancedanslescapacitésdedétectiondel'idsdelapartdesadministrateursquipeutfinir parremettreencauselafinalitédel'ids.c'estmêmeunedesvoiesd'attaqueenvisageables contreunsystèmeéquipéd'unids:générerunnombresuffisammentimportantdefausses alertespourréduirel'attentiondesadministrateursetdissimuleruneattaqueréelle.deplus, danslapratique,lesfauxpositifsdusàl'environnementdel'idsouàdessignaturesd'attaque un peu trop affirmatives sont souvent nombreux ; et ceci nécessite généralement un reparamétragedel'idspourfacilitersonexploitation,auprixdel'introductiondepossibilités defauxnégatifs.lagestiondesfauxpositifsestlepremierproblèmeauxquelssontconfrontés lesadministrateursd'unids,etilestgénéralementdetaille. LesIDSbaséssuruneapprocheparscénarii,c'estàdirelaplupartdesIDScourants,souffrent surcepointd'unréelproblèmequidemanderaitcertainementdedévelopperàlafoisles 76

87 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS possibilités d'adaptation de l'ids à son environnement (peut être par des moyens de corrélation)etunemeilleurevalidationdessignaturesd'attaquedisponibles. L'utilisationdetechniquesdecorrélationd'alertesprovenantdeplusieursIDSsembleêtreune desvoiesenvisageablespourtraitercesproblèmesd'analysedesalertesetnotammentdes faussesalertes.danscecadre,ladiversificationdesméthodesdedétectionutiliséesparles différentsids,ainsiquedeleurssourcesdedonnéesestaussiànouveauenvisageable.(dans uncertainsens,ils'agitd'ailleursderé inventerlaroueunefoisdepluspuisqueleprécurseur des systèmes de détection d'intrusion, nommé IDES, combinait déjà l'utilisation d'une approchecomportementale statistique etd'uneapprocheàbasederègles systèmeexpert, danslesannées1980ducôtédestanford.). III.4.2Lemode promiscuous L utilisationdumode promiscuous présentequelquesinconvénients,notamment: Réponseinvolontairedusystème:parnature,lesIDSdoiventmettreleurcarteréseau enmode promiscuous afindepouvoirrecevoirl'intégralitédestramescirculantsur leréseau.ainsi,l'idsnegénéreragénéralementaucuntraficetsecontenterad'aspirer touslespaquets.cependant,cemodespécialdésactivelacouche2 liaison dela machine(lefiltragesurlesadressesmacn'estplusactivé).ilsepeutalorsquela machine réponde à certains messages (ICMP echo request généré avec l'outil Nemesis); Miseenévidencedelaprésenced unids:lemode promiscuous génèredesaccès mémoireetprocesseurimportants;ilestpossiblededétecterdetellessondesen comparantleslatencesdetempsderéponseaveccellesdesmachinesdumêmebrin LAN(ouproche).Destempsderéponsetropimportantssontsignificatifsd'une activitégourmandeenressourcestellequelesniffing,validantpossiblementla présenced'unids; L utilisation du mode promiscuous implique d installer une sonde par réseau commuté. III.4.3Ladéfinitionetlamaintenancedessignatures Touteslesattaquesnesontpasdétectées,selonlesfonctionnalitésdusystème,ladéfinitionde lasignature,lamiseàjourdelabase,lachargedusystème,etc.: Limites humaines :signaturespasàjouroumalconçues.ladétectiond abusapour impératifsunebonneconceptiondessignaturesd attaquesetunemiseàjourcontinue delalistedessignatures; Contexted utilisation:parfoislatechnologieestbaséesurdessignaturesquine reposentpassurlecontexted utilisation.laconséquenceestdouble:denombreux fauxpositifsetunedégradationimportantedesperformancesdusystème; Mêmesilaméthodedessignaturesdecorps(ycomprislessignaturesdechaîne) sembleêtreassezsûre,ilyamoyendelescontourner; Vulnérabilitéauxmutations:deparsonmanquedeflexibilité,ladétectionpar signaturesd'attaquesesttrèsvulnérableauxmutations.d unepart,pourpouvoir définirunesignature,ilfautavoirdéjàétéconfrontéàl'attaqueconsidérée; 77

88 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D'autrepart,certainesdecessignaturessebasentsurdescaractéristiques volatiles d'un outil,commeparexempleleportqu'unchevaldetroieouvrepardéfautoulavaleurd ISN (InitialSequenceNumber)choisieparcertainsoutilsdepiratage.Orceslogicielssontsouvent soit hautement configurables, soit open source donc librement modifiables. Les caractéristiques retenues pour définir la signature sont donc fragiles, et les signatures extrêmementsensiblesauxmutations. Fautededéfinition,lesnouvellesattaquespassentl IDSsansêtredétectées. III.4.4L apprentissageetlaconfigurationdesids L apprentissageducomportement«normal»n estpasaisé.automatiserleraisonnement conduisantàpenserquelecomportementest déviant parrapportàceluiconnuestunetâche difficile.parcontre,cettetechniqueestappliquéepardéfaut(laplupartdutemps)parles administrateursréseauousystème:lorsquequelque choseparaîtinhabituel(parexemple,des picsdebandepassante,desservicesquitombent,dessystèmesdefichiersquiseremplissent plusvitequ àl accoutumée,etc.),l usageveutquedesrecherchespluspousséessoient entreprises. Parailleurs,touteanomalienecorrespondpasforcémentàuneattaque,celapeutêtreun changementdecomportementdel utilisateurouunchangementdelaconfigurationduréseau. Enrèglegénérale,laconvergenceversunmodèlecomportemental normal estplutôtlongue. Lorsduparamétragedel IDS,touteladifficultépourunedétectionefficacerésidedansle choixdesmétriques,desmodèlesdecomportementetdansladéfinitiondesdifférentsprofils. Pourtoutescesraisons,lesIDSfonctionnantpardétectiond anomaliesontreconnuscomme étanttrèslongsetfastidieuxàconfigurer. Mêmeaprèsuneconfigurationefficace,rienn'empêcheunpiratesesachantsurveilléde rééduquer untelsystèmeenfaisantévoluerprogressivementsonmodèledeconvergence versuncomportementanormalpourl'analyste,maistout à fait normal d'unpointdevue statistique. III.5 Etudes comparatives de quelques systèmes de protectioncontrelesintrusions Danscettepartie,nousallonseffectuerunecomparaisondequelquesIDSetIPS.Ils agitde lescomparersuivantlescritèrescommel analysedutraficentempsréel,lacapacitéde blocagedesattaques,lesalertesentempsréel,lamiseenlogdespaquetsdedonnées,les méthodesdefiltrage.enanalysantletableaudecomparaisonsuivant,onconstatequetousles systèmesétudiésdisposentdesqualitéssuivantes: L analyseentempsréel; Ladétectiondesvirus,desversetdeschevauxdetroie; Ladétectiondesattaquesinternesetexternes; Lacapacitédeblocagedesattaques; Ladétectiondessondesexternesetinternes; Lacapacitédeblocagedessondes. Parmi ces systèmes, seuls Juniper IDP et Snort peuvent s exécuter dans les environnements Linux. Les autres pour la plupart fonctionnent dans les systèmes 78

89 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d exploitationwindows.quantàsonicwallipsservice,ilpeuts exécuterdanstousles environnementsip. CAeTRUST Intrusion detection3.0 JuniperIDP McAfee Intrushieldsérie I McAfee Intercept5.0 Snort2.1.3 SonicWALLIPS service Fournisseur Computer Associates Juniper McAfee McAfee Snort ACAPacific Analysedutrafic entempsréel Oui Oui Oui Oui Oui Oui Détectiondes virus/vers/chevaux detroie Oui Oui Oui Oui Oui Oui Détectiondes attaquesexternes Oui Oui Oui Oui Oui Oui Détectiondes attaquesinternes Oui Oui Oui Oui Oui Oui Capacitéde blocagedes attaques Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, intégrationtierce, personnalisables parl utilisateur Misesàjour Console, courrier électronique, pager,smspar courrier électronique Console, courrier électronique, pager, SNMP, génération de processus Fichiers journaux, courrier électronique,syslog, SGMS Fichiers journaux, courrier électronique, console, applications tierces Microsoft SQLServer ND ND PRODUITS Détectiondes sondesexternes Détectiondes sondesinternes Capacitéde blocagedessondes Définitionsdu blocagedessondes Oui Alerteentemps réel Courrier électronique, pager, application d exécution, SNMP,console Signatures avec données d état, anomalie de protocole,détection desportesdérobées, anomaliedetrafic, protection de couche 2, inondation Syn, profilage de la sécurité d entreprise Courrier électronique, syslog, SNMP, fichier journal, SMSexterne Espace de Syslog, base de Oracles, Miseenlogsdes travail donnéesinternes MySQL paquetsdedonnées (propriétaire), base de données ODBC Recherchede contenu Miseen correspondancedu contenu Filtrageducontenu Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui 79

90 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Base Méthodedefiltrage données d URL Outilsderapports Système d exploitation compatible de Définies par ND l administrateur ND Oui Définies par noire, l administrateur Liste tierces, définies par l administrateur ND (vendus ND (vendus séparément) séparément) de Linux, Tout Windows environnementip Oui Oui Oui Windows 2000 (autonome), Windows 2000/2003/XP pour le moteur à distance Console de gestion, Windows, Linux; Serveur degestionlinux, Solaris Console de Système gestion gestion Windows Windows ;console WindowsNT, 2000, XP, agents Windows, Solaris, HP/UX Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions Encequiconcernelesalertesentempsréel,touscessystèmesensontdotésdiversement.On adesalertesparsms,parcourrierélectronique,surlesconsoles,parledémonsyslog,les pagersetc. Snort2.1.3etSonicWALLIPSnefontpaslamiseenlogdespaquetsdedonnées.Cependant danscedomainelemeilleursystèmeestlemcafeeintrushieldserieicarilpeuttravailleren interactionavecdeuxdesmeilleurssgbdquiexistent.ils agitdemysqletoracle. III.6PrésentationdeSnort,SnortSAMetdeBASE III.6.1Description SnortestunNIDS/NIPSprovenantdumondeOpenSource.C estpourquoinousle recommandonsfortementauxentreprisesetorganisationsafricaines engénéralcarces dernièresn ontpassouventsuffisammentderessourcesfinancièresàaccorderàl achatdes logicielspropriétaires. Avecplusde2millionsdetéléchargements,ils'estimposécommelesystèmededétection d'intrusionsleplusutilisé.saversioncommerciale,pluscomplèteenfonctionsdemonitoring, luiadonnébonneréputationauprèsdesentreprises. Snortestcapabled'effectueruneanalysedutraficréseauentempsréeletestdotéde différentestechnologiesdedétectiond'intrusionstellesquel'analyseprotocolaireetlepattern matching.snortpeutdétecterdenombreuxtypesd'attaques:bufferoverflows,scansdeports furtifs,attaquescgi,sondessmb,tentativesdefingerprintingdesystèmed'exploitationetc. Snortestdotéd'unlangagederèglespermettantdedécrireletraficquidoitêtreacceptéou collecté.deplus,sonmoteurdedétectionutiliseunearchitecturemodulairedeplugins. NotonsqueSnortdisposedetroismodesdefonctionnement:snifferdepaquets,loggerde paquetsetsystèmededétection/préventiond'intrusions.nousnenousintéresseronsqu'àce derniermode. III.6.2Installation PourinstallerSnort,deuxméthodessontpossibles: 80

91 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lapremièreméthodeestcelledel installationautomatiqueetquiconsistesurun systèmed exploitationtellequelinuxdebianetchparexempleàexécutertout Ilfautnoterqu avec simplementlacommandesuivante:#apt getinstallsnort. l installationautomatiquetouteslesbibliothèquesetautreslogicielsnécessairessont aussiautomatiquementproposésetinstallésparlesystème. Ladeuxièmeméthodeconsisteàtéléchargerlessourcesetdelescompilersoimême aveclesoptionsetlesbibliothèquesquel ondésire. Voicibrièvementenquelquesétapescommentonpeutréaliserl installationparladeuxième méthode. 1. Téléchargerlessourcessurwww.snort.org.Lorsdel'écrituredecedocument,la dernièreversionstableétaitla TéléchargeretinstallerlesbibliothèquesnécessairespourSnort: libpcap(http://www.tcpdump.org):offredesfonctionsdesniffer PCRE(http://www.pcre.org):permetd'utiliserdesexpressionsrégulièresde type Perl. La compilation de ces bibliothèques se fait très aisément :./configure,make,makeinstall. 3. Ouvrirunterminal,décompresserensuitel'archivedeSnortetseplacerdansle répertoiredessourcesdécompressées. 4. Configurer la compilation de Snort afin d'activer plusieurs fonctionnalités :./configure[options]. Deuxoptionsnousontsembléintéressantes: with mysql=dir:activerlesupportdemysql.ainsisnortenregistrerales alertesdansunebasededonnéesaccessiblepard'autresapplications(ex: BASE,décriteplusloin).MySQLn'estbiensûrpasl'uniqueSGBDsupporté. PostgreSQLouOraclepeuventégalementêtreutilisésaveclesoptions withpostgresqlet with oracle. enable flexresp : activer les réponses flexibles en cas de tentatives de connexion hostile. Pour activer cette option, la bibliothèque libnet (http://www.packetfactory.net/libnet)estnécessaire. 5. Compilerlessources:make 6. InstallerSnort:makeinstallenmoderoot 7. PourqueSnortpuissefonctionnerenmodedétection/préventiond'intrusions,ilest nécessairedeluifournirdesfichiersderègles.lesitedesnortproposedeuxtypesde règles:lesrèglesofficiellesetlesrèglescrééesparlacommunauté.certainesrègles officiellesnesontdisponiblesquepourlesutilisateursenregistrés,tandisqueles règlescommunautairessontdisponiblesàtousetmisesàjourrégulièrement.ilest cependantimportantdenoterquelesrèglesproposéesparlacommunautén'ontpasété forcémenttestéesparl'équipeofficielledesnort.aprèstéléchargement,l'archivedes règlesdoitêtredécompressée.ilestconseillédeplacerlerépertoirerulesdansle dossierdesnort.nouspouvonsremarquerquelesrèglesconsistentendesimples fichierstextes,etqu'unfichierunpeuspécialestprésent:snort.conf.cedernierva nouspermettredeconfigurersnort. 81

92 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.6.3Configuration AfindeconfigurercorrectementSnortpourqu'ilpuissefonctionnerenmodedétection d'intrusions,ilfautmodifierlefichiersnort.conf.l'emplacementpardéfautdecefichierdoit normalement être /etc/snort.conf. Cependant, il sera possible de spécifier un autre emplacementlorsdel'exécutiondesnort,àl'aidedel'option c. Lefichierdeconfigurationcontientdenombreusesoptionsparamétrables,ainsiquedes explicationspourpouvoirlesmodifiercorrectement.nousn allonsnousintéressericiqu'à quelquesvariables: LavariableHOME_NETpermetdespécifierquelsréseauxouquellesinterfaces serontsurveilléesparsnort.lavaleuranysignaleàsnortdesurveillertoutletrafic. SileréseauàsurveillerpossèdedesserveursDNS,SMTP,FTP,etc,ilestpossiblede spécifier les adresses IP de ces serveurs via les variables DNS_SERVERS, SMTP_SERVERS,...Sileréseaunepossèdepasuntypespécifiquedeserveur,ilest conseillédecommenter(aveclecaractère#)laligneconcernée,afind'optimiserle traitementdesnort.eneffet,ilestinutiled'analyserdutrafichttpsiaucunserveur Webn'estdisponible. Certains ports de services peuvent être configurés via des variables telles que HTTP_PORTSouORACLE_PORTS. LavariableRULE_PATHesttrèsimportante.Ellepermetdespécifierlerépertoireoù sontstockéslesfichiersderèglesdesnort. Lesdirectivesincludepermettentd'incluredesfichiersderègles.Iciencore,ilest conseilléden'inclurequelesrèglesnécessairesenfonctiondesservicesdisponibles surleréseau. III.6.5Exécution L'exécutiondeSnortsefaitenlançantl'exécutablesnortenmoderootetavecdifférentes options.voyonslesprincipauxargumentsdesnort: A:générerdesalertes.Activépardéfautavecl'option c c<emplacementdesnort.conf>:lancersnortavecdesfichiersderègles. l<répertoiredelog>:spécifierlerépertoireoùleslogsd'alertesserontstockés (défaut:/var/log/snort) v:modeverbose.permetd'afficherlespaquetscapturés T:modetest.PermetdetesterlaconfigurationdeSnort AvantdelancerSnortenmodeNIDS,ilestpréférabledetestersileprogrammearriveà récupérerlespaquetsquicirculentsurleréseau.pourcela,nouspouvonsparexemplelancer SnortensimplemodeSniffer:snort v.siaucunpaquetn'estcapturéetaffiché,ilest probablequesnortn'écoutepassurlabonneinterface.l'option ipermetdespécifierune autreinterface. LançonsmaintenantSnortenmodeNIDS.Pourcela,nousluiprécisonsl'emplacementdu fichierdeconfigurationavecl'option c:#snort c/opt/snort/rules/snort.conf 82

93 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Touteslesalertesdétectéessontainsistockéesdanslefichier«/var/log/snort/alert».Pour chaque alerte, Snort donne une priorité, une description, les flags des paquets et éventuellementdesadressessurinternetoùsetrouventdeplusamplesinformationssurla tentatived'intrusion. Exemple: [**][1:1384:8]MISCUPnPmalformedadvertisement[**] [Classification:MiscAttack][Priority:2] 03/25 17:34: :1900 > :1900 UDPTTL:1TOS:0x0ID:37277IpLen:20DgmLen:437 Len:409 [Xref=> 059.mspx][Xref=>http://cve.mitre.org/cgibin/ cvename.cgi?name= ][Xref=> bin/cvename.cgi?name= ][Xref=>http://www.securityfocus.com/bid/3723] III.6.6Créationdenouvellesrègles BienquelesiteofficieldeSnortproposedesrèglesprêtesàl'emploietrégulièrementmisesà jour,ilpeutêtreintéressantdecréersespropresrèglesafind'adapteraumieuxsnortauréseau qu'ildoitsurveilleretprotéger.parconvention,lesnouvellesrèglespersonnellessontàplacer danslefichierlocal.rules. UnerègleSnortestcomposéededeuxpartiesetpossèdeleformatsuivant:Header(Options). LeformatdelapartieHeaderestdéfinidelamanièresuivante:actionprotocoleadresse1 port1directionadresse2port2 Lechampactionpeutprendrelesvaleurssuivantes: alert:générerunealerte+loggerlepaquet log:loggerlepaquet pass:ignorerlepaquet activate:activerunerègledynamique dynamic:définirunerègledynamique,quiestpassivetantqu'ellen'estpasactivéepar uneautrerègle drop:demanderàiptables(netfilter)debloquerlepaquet,puislelogger reject:demanderàiptablesdebloquerlepaquet,puislelogger,etenvoyerune commandetcprst(reset)ouuneréponseicmphostunreachable sdrop:demanderàiptablesdebloquerlepaquet.cederniern'estpasloggé. Lechampprotocolespécifieleprotocolepourlequellarègles'applique.Lesvaleurspossibles sont:tcp,udp,icmpouip. Leschampsadresse1etadresse2indiquentl'adresseIPsourceetdestinationdupaquet.Le mot clé any permet de spécifier une adresse quelconque. Les adresses doivent être numériques,lesadressessymboliquesnesontpasacceptées. 83

94 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leschampsport1/port2spécifientlesnumérosdeportutilisésparlasourceetladestination. Lemotcléanypermetdespécifierunportquelconque.Desnomsdeservicespeuventêtre utilisés:tcp,telnet,...demêmedesplagesdeportspeuventêtrespécifiéesaveclecaractère «:». Lechampdirectionspécifiel'orientationdupaquet.Cetopérateurpeutprendredeuxvaleurs: :adresse1versadresse2 :deadresse1versadresse2,oudeadresse2àadresse1 Notonsqu'iln'yapasd'opérateur. LapartieOptionsdesrèglescontientdifférentesoptions,séparéesparunpoint virgule,qui vontpermettredepréciserdescritèresdedétection.pourchaqueoption,leformatest nomoption:valeur1[,valeur2,...] Voicilesoptionsimportantes: msg:spécifierlemessagequiseraaffichédanslelogetdansl'alerte reference:faireréférenceàunsiteexpliquantl'attaquedétectée classtype:définirlaclassedel'attaque(troyen,shellcode,...) priority:définirlasévéritédel'attaque content:spécifierunechaînedecaractèresquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle rawbytes:spécifierunesuited'octetsquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle uricontent:identiqueàcontentmaisestadaptéauformatnormalisédesuri(ex: hexadécimalaccepté) pcre:utiliseruneexpressionrégulièrecompatibleperlpourspécifierlecontenudu paquet ttl:spécifierlavaleurduttldupaquet flags:spécifierlaprésenced'unflagtcpdanslepaquet(ex:syn,fin,...) fragbits:vérifierlaprésencedecertainsbitsip(morefragments,don'tfragmentoubit réservé) session:extrairetouteslesinformationsdelasessiontcpàlaquellelepaquetsuspect appartient resp:activeruneréponseflexible(flexresp)afindebloquerl'attaque.ilestainsi possibled'envoyerunecommandetcpouicmpprécise.cetteoptionnécessite l'activationdumodeflexresplorsdelacompilationdesnort. limit:limiterlenombred'actionspendantunintervalledetempspourlemême événement. Exemplederègle: alerttcpanyany >$HTTP_SERVERS$HTTP_PORTS(msg:"WEBATTACKS /bin/lscommandattempt";uricontent:"/bin/ls";nocase;classtype:web application attack;) Cetterèglepermetdegénérerunealertequandunpaquetprovientd'uncouple(adresse:port) quelconque,estàdestinationdesserveurshttpdéfinisdanssnort.conf,etcontientlachaîne «/bin/ls»dansl'uri.lemessagedel'alertesera«web ATTACKS/bin/lscommand 84

95 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS attempt».cetteattaqueseraclasséedanslaclasseweb application attack(prioritémedium pardéfaut). Ilestbiensûrimpossibled'êtreexhaustificipourdécrireleformatdesrèglesSnort.Le manuelutilisateurdisponiblesurlesiteofficielindiquecommentutiliserauxmieuxle langagedessignaturesdesnort. III.6.7SnortSam SnortSamestunpluginOpen Sourceetmulti plateformepoursnort.ilpermetdebloquer automatiquementdesadressesiplorsqu'ildétecteunetentatived'intrusion.leblocagesefait encommuniquantavecunfirewallmatériel(ex:ciscopix)oulogiciel(ex:packetfilter, IPtablesetc). SnortSamestconstruitautourd'unearchitectureclient/serveur(Snort/SnortSam)permettant demettreenplacelenipsdemanièredistribuée.deplus,pourdesraisonsdesécurité,toutes lescommunicationsréaliséesentresnortetl'agentdesnortsamsontcryptéesàl'aidede l'algorithmetwofish. Parmilesfonctionnalitésintéressantes,onnoteralaprésenced'une«White List»,c'est à dire unelisted'adressesipquinepeuventpasêtrebloquées.celareprésenteunesécuritépour éviterunblocaged'adressessensibles(routeur,serveurintranetetc)encasdespoofingdela partdupirate. LepluginSnortSamestégalementdotéd'unsystèmedelogetdenotificationpar des événements. Lamiseenplaced'actionsdeblocageesttrèssimple.IlsuffitdemodifierlesrèglesSnort poursignalerqueladétectiondecertainessignaturesdoitprovoquerunblocage.pourcela,le motcléfwsamaétérajouté.ilpermetnotammentdespécifieruneduréedeblocage.cette option de durée peut être intéressante lors d'un blocage après des tentatives répétées d'authentificationavecunmotdepasseerroné. III.6.8LaconsoleBASE Pardéfaut,lesalertesdeSnortsontenregistréesdansunsimplefichiertexte.L'analysedece fichiern'estpasaisée,mêmeenutilisantdesoutilsdefiltreetdetri.c'estpourcetteraison qu'ilestvivementconseilléd'utiliserdesoutilsdemonitoring.parmiceux ci,leplusenvogue actuellementestbase(basicanalysisandsecurityengine),unprojetopen sourcebasésur ACID(AnalysisConsoleforIntrusionDatabases).LaconsoleBASEestuneapplicationWeb écriteenphpquiinterfacelabasededonnéesdanslaquellesnortstockesesalertes. Pourfonctionner,BASEabesoind'uncertainnombrededépendances: UnSGBDinstallé,parexempleMySQL SnortcompiléaveclesupportdeceSGBD UnserveurHTTP,parexempleApache L'interpréteurPHPaveclessupportspourleSGBDchoisi,labibliothèqueGDetles sockets. LabibliothèqueADODB:http://adodb.sourceforge.net 85

96 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Nousnedétailleronspasicil'installationdechaquedépendance.Ladocumentationlivrée aveclessourcesdebase(disponiblessurhttp://secureideas.sourceforge.net)fournitles informationsnécessaires. Notonscependantquel'archivedessourcesdeSnortdisposeégalementd undossierschemas contenantlecodesqlpourcréerlastructuredelabasededonnéespourdifférentssgbd.le fichierdoc/readme.databasedonnetouteslesindicationspourcréerleschémadelabasede données. AfinqueSnortenregistrelesalertesdanslabasededonnées,ilnefautpasoublierdemodifier lefichiersnort.confetrajouteruneligneoutputdatabaseaveclesinformationspourse connecteràlabasededonnées. Exemple : output database: log, mysql, user=snortusr password=pwd dbname=snort host=localhost AprèsconfigurationetinstallationdeBASEainsiquedetoutessesdépendances,nous pouvonsyaccéderavecunnavigateurinternet.sitoutsepassebien,unécransimilaireà l'illustrationsuivanteestobtenu: Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE) PourterminercetteprésentationdeSnortetcescomposants,nousdironstoutsimplementque Snortestuntrèspuissantoutilconnucommeundesmeilleurssurlemarché,mêmequandil estcomparéàdesidsetipscommerciaux.ilauneplusgrandecommunautéd utilisateurset dechercheurs(denombreuxplugins,frontends,consolesdemanagementetc). Samiseenœuvrebasiquepeut êtrerapidementeffectuéegrâcenotammentauxnombreux livresetdocumentationsexistantsàsonsujet. 86

Qu'est-ce qu'un virus?

Qu'est-ce qu'un virus? Page Page 2 Qu'est-ce qu'un virus? Un virus est un programme qui a plusieurs objectifs distincts : -le principe même d un virus est de s'étendre de machine en machine (le code est dit auto-reproductible).

Plus en détail

Gestion du risque numérique

Gestion du risque numérique Gestion du risque numérique Auguste DIOP Arnaud PRINCE AGBODJAN TALENTYS www.talentys.ci 2ème édition des Journées de l Entreprise Numérique, 9 & 10 avril 2015 Qui sommes-nous? Fondée en 2007, TALENTYS

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Nouvelle approche pour la protection complexe des réseaux d entreprise. Kaspersky. OpenSpaceSecurity

Nouvelle approche pour la protection complexe des réseaux d entreprise. Kaspersky. OpenSpaceSecurity Nouvelle approche pour la protection complexe des réseaux d entreprise Kaspersky Open Open Kaspersky Open Space Security est une solution développée pour la protection de tous les types de nœuds de réseau,

Plus en détail

L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure. Kaspersky. avec. Open Space Security

L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure. Kaspersky. avec. Open Space Security L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure 2010 avec Kaspersky Open Space Security Aujourd hui, le réseau d une entreprise est un espace ouvert dynamique, mobile.

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

1 Introduction à l infrastructure Active Directory et réseau

1 Introduction à l infrastructure Active Directory et réseau 1 Introduction à l infrastructure Active Directory et réseau Objectifs d examen de ce chapitre Ce premier chapitre, qui donne un aperçu des technologies impliquées par la conception d une infrastructure

Plus en détail

face à la sinistralité

face à la sinistralité Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

La sécurité de l'information

La sécurité de l'information Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus

Plus en détail

Desktop Firewall ASaP

Desktop Firewall ASaP Desktop Firewall ASaP Service complet de sécurisation par firewall il surveille, contrôle et tient l'historique de l'activité réseau de votre PC La plupart des utilisateurs d'ordinateurs personnels (PC)

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Une nouvelle approche globale de la sécurité des réseaux d entreprises Une nouvelle approche globale de la sécurité des réseaux d entreprises Kaspersky Open Space Security est une suite de produits de sécurité couvrant tous les types de connexion réseau, des appareils mobiles

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

Dr.Web Les Fonctionnalités

Dr.Web Les Fonctionnalités Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise

Plus en détail

L'écoute des conversations VoIP

L'écoute des conversations VoIP L'écoute des conversations VoIP Marc-André Meloche (OSCP, C EH, Security+) et Eric Gingras 5 à 7 Technique 21 Septembre 2010 Gardien Virtuel Entreprise de services-conseils spécialisée dans la sécurité

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

6 Conception de la gestion des correctifs

6 Conception de la gestion des correctifs Conception de la gestion des correctifs Par définition, la gestion des correctifs et mises à our est le processus qui permet de contrôler le déploiement et la maintenance des versions intermédiaires de

Plus en détail

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants :

LA SÉCURITÉ DANS LES RÉSEAUX POURQUOI SÉCURISER? Ce cours traitera essentiellement les points suivants : LA SÉCURITÉ DANS LES RÉSEAUX Page:1/6 Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les attaques : - les techniques d intrusion : - le sniffing - le «craquage» de mot de

Plus en détail

curité en Afrique: Appel pour une collaboration régionale r et internationale

curité en Afrique: Appel pour une collaboration régionale r et internationale West Africa workshop on policy and regulatory frameworks for cybersecurity and CIIP Praia, 27-29 November 2007 CyberSécurit curité en Afrique: Appel pour une collaboration régionale r et internationale

Plus en détail

INF4420/ 6420 Sécurité informatique

INF4420/ 6420 Sécurité informatique Directives : INF4420/ 6420 Sécurité informatique Examen final - SOLUTIONS 8 décembre 2004 Profs. : François-R Boyer & José M. Fernandez - La durée de l examen est deux heures et demi L examen est long.

Plus en détail

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? Cyber-sécurité Cyber-crime Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions? SIRM Forum 2011 Nov. 9 th, 2011, Pfäffikon Par Alexandre VOISIN, Corporate Insurance & Risk

Plus en détail

Les botnets: Le côté obscur de l'informatique dans le cloud

Les botnets: Le côté obscur de l'informatique dans le cloud Les botnets: Le côté obscur de l'informatique dans le cloud Par Angelo Comazzetto, Senior Product Manager Les botnets représentent une sérieuse menace pour votre réseau, vos activités, vos partenaires

Plus en détail

Prévenir les Risques liés à l usage d Internet dans une PME-PMI

Prévenir les Risques liés à l usage d Internet dans une PME-PMI Prévenir les Risques liés à l usage d Internet dans une PME-PMI Définition protocole Un protocole est un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau

Plus en détail

LA VALEUR AJOUTéE DE LA SéCURITé INFORMATIQUE POUR VOTRE ENTREPRISE. LES SOLUTIONS ENTREPRISES DE KASPERSKy LAb

LA VALEUR AJOUTéE DE LA SéCURITé INFORMATIQUE POUR VOTRE ENTREPRISE. LES SOLUTIONS ENTREPRISES DE KASPERSKy LAb LA VALEUR AJOUTéE DE LA SéCURITé INFORMATIQUE POUR VOTRE ENTREPRISE LES SOLUTIONS ENTREPRISES DE KASPERSKy LAb À PROPOS DE KASPERSKy LAb Kaspersky Lab est un éditeur russe reconnu de systèmes de protection

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

supervision de la sécurité aspects juridiques organisation collecte d'information

supervision de la sécurité aspects juridiques organisation collecte d'information supervision de la sécurité aspects juridiques organisation collecte d'information 110 Supervision: aspects juridiques un exposé précis sort du cadre de cet enseignement (=> nous ne ferons que des constatations

Plus en détail

FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT "CYBERSECURITY"

FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT CYBERSECURITY FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT "CYBERSECURITY" Plan Le Cloud Privé Inquiétudes liées à la sécurité et au Cloud L authentification Sécurisation de la communication Les données La détection

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Plan d intervention d urgence. en cas d attaque contre les systèmes d information. ou de faille technique des systèmes d information.

Plan d intervention d urgence. en cas d attaque contre les systèmes d information. ou de faille technique des systèmes d information. Plan d intervention d urgence en cas d attaque contre les systèmes d information ou de faille technique des systèmes d information «PIU Cyber» (version publique) Ministère d État Ministère de l Économie

Plus en détail

Sécurité de base. 8.1 Menaces sur les réseaux. 8.1.1 Risques d intrusion sur les réseaux

Sécurité de base. 8.1 Menaces sur les réseaux. 8.1.1 Risques d intrusion sur les réseaux Page 1 sur 34 Sécurité de base 8.1 Menaces sur les réseaux 8.1.1 Risques d intrusion sur les réseaux Qu ils soient filaires ou sans fil, les réseaux d ordinateurs deviennent rapidement indispensables pour

Plus en détail

Chiffrement des terminaux : comment ça marche?

Chiffrement des terminaux : comment ça marche? Livre blanc : Chiffrement des terminaux : comment ça marche? Chiffrement des terminaux : comment ça marche? Public cible Administrateurs informatiques et de la sécurité Sommaire Présentation du chiffrement

Plus en détail

Gestion des incidents

Gestion des incidents HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des incidents liés à la sécurité de l'information Conférence

Plus en détail

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est

Plus en détail

Sécurité informatique

Sécurité informatique Sécurité informatique Université Kasdi Merbah Ouargla Master RCS Octobre 2014 Département Informatique 1 Master RCS 1 Sécurité informatique Organisation du cours Ce cours a pour but de présenter les fondements

Plus en détail

Les infections informatiques

Les infections informatiques Initiation à la sécurité 1/ 9 Les infos contenues dans cette page proviennent du site Pegase-secure à l'adresse ci-dessous. http://www.pegase-secure.com/definition-virus.html LES VIRUS INFORMATIQUES Cette

Plus en détail

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité

Pourquoi se protéger? Croissance exponentielle des incidents. www.cert.org. 2004 Hades Security - Hadès Sécurité Cours 3 : Sécurité 160000 140000 120000 100000 80000 60000 40000 20000 0 Pourquoi se protéger? 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 Croissance exponentielle des incidents

Plus en détail

La Pédagogie au service de la Technologie

La Pédagogie au service de la Technologie La Pédagogie au service de la Technologie TECHNOLOGIE Formation Symantec Endpoint Protection 12.1 Administration Objectif >> A la fin de ce cours, les stagiaires seront à même d effectuer les tâches suivantes

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI)

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE KS (KIMSUFI) Dernière version du 02 Septembre 2014 ARTICLE 1 : OBJET Les présentes conditions particulières, complétant les conditions générales

Plus en détail

Congrès national des SDIS 2013

Congrès national des SDIS 2013 DSIC Pôle SSI Voie Fonctionnelle SSI Congrès national des SDIS 2013 10 Octobre 2013 SG/DSIC/Pôle SSI Congrès national SDIS Octobre 2013 1 Sommaire Focus sur les menaces La SSI dans la «vrai vie» De vrais

Plus en détail

CÔTE D IVOIRE - COMPUTER EMERGENCY RESPONSE TEAM RAPPORT ANNEE 2013. Côte d Ivoire - Computer Emergency and Response Team 2012

CÔTE D IVOIRE - COMPUTER EMERGENCY RESPONSE TEAM RAPPORT ANNEE 2013. Côte d Ivoire - Computer Emergency and Response Team 2012 CÔTE D IVOIRE - COMPUTER EMERGENCY RESPONSE TEAM RAPPORT ANNEE 2013 Côte d Ivoire - Computer Emergency and Response Team 2012 Côte d Ivoire - Computer Emergency Response Team Page 1 SOMMAIRE RESUME....3

Plus en détail

Charte. Hébergement par la Ville de Marche-en-Famenne de sites web.

Charte. Hébergement par la Ville de Marche-en-Famenne de sites web. Charte Hébergement par la Ville de Marche-en-Famenne de sites web. Centre de Support Télématique Tél : 084/327054 Fax :084/327072 22, rue des Carmes 6900 Marche-en-Famenne cst@marche.be - http://www.marche.be

Plus en détail

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Une nouvelle approche globale de la sécurité des réseaux d entreprises Une nouvelle approche globale de la sécurité des réseaux d entreprises Kaspersky Open Space Security est une suite de produits de sécurité couvrant tous les types de connexion réseau, des appareils mobiles

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013

CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI. Dernière version en date du 07/11/2013 CONDITIONS PARTICULIERES DE LOCATION D'UN SERVEUR DEDIE KIMSUFI ARTICLE 1 : OBJET Dernière version en date du 07/11/2013 Les présentes conditions particulières, complétant les conditions générales de services

Plus en détail

Malveillances Téléphoniques

Malveillances Téléphoniques 28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Directive de la remontée d'incident de sécurité. Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille

Directive de la remontée d'incident de sécurité. Release Status Date Written by Edited by Approved by FR_1.0 Final 01/06/2014 Alain Houbaille ISMS (Information Security Management System) Directive de la remontée d'incident de sécurité Version control please always check if you are using the latest version. Doc. Ref. :isms.051.security incident

Plus en détail

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE

CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE CONDITIONS PARTICULIERES DE LOCATION D UN SERVEUR DEDIE Version en date du 22/04/2014 RCS Chartres 807 381 157 Code APE 6202B Page 1 sur 6 ARTICLE 1 : OBJET DU DOCUMENT Les présentes conditions particulières,

Plus en détail

Sécurisation des données

Sécurisation des données Sécurisation des données 1 Sommaire Introduction Les données informatiques et ce qu il faut savoir. Comment faire? Les solutions. Démo Présentation de deux logiciels Conclusion Pour conclure ce qu il faut

Plus en détail

Economic Cyber Crime. Exigences minimales de prévention pour les PME. Romain Roubaty, novembre 2012

Economic Cyber Crime. Exigences minimales de prévention pour les PME. Romain Roubaty, novembre 2012 Economic Cyber Crime Exigences minimales de prévention pour les PME Romain Roubaty, novembre 2012 En 16 leçons Leçon n 1 «Dieu me garde de mes amis, mes ennemis je m'en charge» Maréchal de Villars Le danger

Plus en détail

Rapport de Projet de fin d études

Rapport de Projet de fin d études Listedesabréviations CycledeformationdesingénieursenTélécommunications Option : IngénieriedesRéseaux Rapport de Projet de fin d études Thème : Développementetintégrationdesolutions CTIdansuneplateformeCisco.

Plus en détail

A SEARCH FOR FAME : INITIATIVES POUR UN DEVELOPPEMENT INTEGRE DURABLE IDID : A LA RECHERCHE D UNE NOTORIÉTÉ : LE CHEMIN DE L ONG IDID AU BÉNIN

A SEARCH FOR FAME : INITIATIVES POUR UN DEVELOPPEMENT INTEGRE DURABLE IDID : A LA RECHERCHE D UNE NOTORIÉTÉ : LE CHEMIN DE L ONG IDID AU BÉNIN A SEARCH FOR FAME : INITIATIVES POUR UN DEVELOPPEMENT INTEGRE DURABLE IDID : A LA RECHERCHE D UNE NOTORIÉTÉ : LE CHEMIN DE L ONG IDID AU BÉNIN Introduction Initiatives pour un Développement Intégré Durable

Plus en détail

L Agence Nationale de la Sécurité des Systèmes d Information

L Agence Nationale de la Sécurité des Systèmes d Information L Agence Nationale de la Sécurité des Systèmes d Information Franck Veysset 01/12/2009 www.certa.ssi.gouv.fr Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur

Plus en détail

1: Veille sur les vulnérabilités et les menaces

1: Veille sur les vulnérabilités et les menaces Evolution des failles et attaques Bilan de l année 2012 www.cert-ist.com Mars 2013 Philippe Bourgeois Plan de la présentation 1) Veille sur les vulnérabilités et les menaces 2) Evénements majeurs de 2012

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Gouvernance nationale de la sécurité des systèmes d information de santé. Diapositive N 1

Gouvernance nationale de la sécurité des systèmes d information de santé. Diapositive N 1 Gouvernance nationale de la sécurité des systèmes d information de santé Diapositive N 1 L évolution des pratiques Instruments chirurgicaux dans l encyclopédie médicale du XIe siècle du médecin musulman

Plus en détail

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E Résumé Le présent rapport de recherche décrit les composantes d une infrastructure TI sécurisée pour le commerce électronique. L objectif est de fournir une description exhaustive des enjeux liés à la

Plus en détail

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie.

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie. Livre blanc : CRYPTAGE Au regard du formidable succès des disques durs externes pour le stockage et la sauvegarde des données personnelles, commerciales et organisationnelles, le besoin de protection des

Plus en détail

Charte d'utilisation des systèmes informatiques

Charte d'utilisation des systèmes informatiques Charte d'utilisation des systèmes informatiques I. Préambule Les outils informatiques mis à la disposition des agents de la commune de Neufchâteau se sont multipliés et diversifiés au cours de ces dernières

Plus en détail

Sécurité informatique

Sécurité informatique Université Kasdi Merbah Ouargla Département informatique Introduction : généralités sur la sécurité informatique et motivations Octobre 2014 1- Généralités : concepts de base et motivations Sécurité des

Plus en détail

ULYSSE EST DANS LA PLACE!

ULYSSE EST DANS LA PLACE! LE GUIDE ULYSSE EST DANS LA PLACE! Cheval de Troie. Programme discret, généralement inclus dans un logiciel anodin (jeu, utilitaire), contenant une portion de code malveillant qui contourne certains dispositifs

Plus en détail

Consultation!Alegria!Consulting!inc.! 219,!boulevard!Provencher,!3e!étage! SaintEBoniface!(Manitoba)! R2H!0G4! Tél.!:!204E891E1920!

Consultation!Alegria!Consulting!inc.! 219,!boulevard!Provencher,!3e!étage! SaintEBoniface!(Manitoba)! R2H!0G4! Tél.!:!204E891E1920! Capacitépotentielledesétablissementspostsecondaires delafrancophoniecanadienneàappuyer ledéveloppementdusecteurprivéfrancophoneetbilinguedansles communautésfrancophonesensituationminoritaire Étudeprésentéeà

Plus en détail

Le contournement de produits de sécurité

Le contournement de produits de sécurité Le contournement de produits de sécurité Jean-Baptiste Bédrune Sogeti / ESEC jean-baptiste.bedrune(at)sogeti.com Yoann Guillot Sogeti / ESEC yoann.guillot(at)sogeti.com Roadmap J.B. Bédrune & Y. Guillot

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) Mai 2014 Stratégie de cybersécurité du Canada Depuis la publication de la Stratégie de cybersécurité du Canada en 2010, Sécurité publique

Plus en détail

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique ASR3 Partie 2 Active Directory Arnaud Clérentin, IUT d Amiens, département Informatique Plan 1- Introduction 2- Gestion des utilisateurs 3- Gestions des groupes d utilisateurs 4- Gestion des machines 5-

Plus en détail

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - 145-147 rue Yves Le Coz 78 000 Versailles Tél. : 01.39.24.16.66 Fax : 01.39.24.16.67

Plus en détail

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une

Plus en détail

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé

Plus en détail

Séminaire INTERNET. Nom de votre société. Séminaire Votre entreprise et INTERNET 1

Séminaire INTERNET. Nom de votre société. Séminaire Votre entreprise et INTERNET 1 Séminaire INTERNET Nom de votre société Séminaire Votre entreprise et INTERNET 1 Présentation du séminaire Introduction Historique Définitions Quelques chiffres Présentation d INTERNET Les composantes

Plus en détail

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security Le Saviez-vous? La Cybercriminalité génère plus d argent que le trafic de drogue* La progression des malwares

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

Comment votre PC peut-il être piraté sur Internet?

Comment votre PC peut-il être piraté sur Internet? Edited By BIANCHI Lorenzo A.C.S2013SERVICES INFORMATIQUE 2014 Comment votre PC peut-il être piraté sur Internet? Comment votre PC peut-il être piraté sur Internet? Toujours le fait de personnes malveillantes,

Plus en détail

Internet Security & Acceleration (ISA) Server 2004

Internet Security & Acceleration (ISA) Server 2004 Microsoft Internet Security & Acceleration (ISA) Server 2004 - Protection Avancée. - Facilité d utilisation. - Accès Web rapide et sécurisé pour tous types de réseaux. Membre de Microsoft Windows Server

Plus en détail

Les délits informatiques, les lois les punissant et la pratique

Les délits informatiques, les lois les punissant et la pratique Les délits informatiques, les lois les punissant et la pratique Atelier de l Afrique de l ouest sur les cadres politiques et réglementaires pour la cybersécurité et la protection de l infrastructure de

Plus en détail

escan Entreprise Edititon Specialist Computer Distribution

escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edition escan entreprise Edition est une solution antivirale complète pour les entreprises de toutes tailles. Elle fournit une

Plus en détail

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques? Xavier PANCHAUD Juin 2012, Paris Le groupe BNP Paribas 2 Organisation du BNP Paribas La sécurité des SI

Plus en détail

Sécurité des systèmes d'information

Sécurité des systèmes d'information Module 312 Sécurité des systèmes d'information Introduction Les dangers qui guettent les SI Les aspects de la sécurité informatique Bibliographie Gérard-Michel Cochard cochard@u-picardie.fr Introduction

Plus en détail

Parole d utilisateur. Parole d'utilisateur. Cable & Wireless renforce la protection de son environnement informatique. Témoignage Windows Server 2003

Parole d utilisateur. Parole d'utilisateur. Cable & Wireless renforce la protection de son environnement informatique. Témoignage Windows Server 2003 Parole d utilisateur Parole d'utilisateur Témoignage Windows Server 2003 Grâce à la gamme de produits Forefront, nous sommes à même d améliorer la sécurité des services orientés clients et ce, pour un

Plus en détail

Mac OS X Server Administration des services de fichiers Pour Leopard version 10.5

Mac OS X Server Administration des services de fichiers Pour Leopard version 10.5 Mac OS X Server Administration des services de fichiers Pour Leopard version 10.5 K AppleInc. 2007AppleInc.Tousdroitsréservés. Lepropriétaireoul utilisateurautoriséd unexemplaire enregistrédulogicielmacosxserverpeutreproduire

Plus en détail

Enjeux, menaces, vulnérabilités

Enjeux, menaces, vulnérabilités Enjeux, menaces, vulnérabilités B. Boutherin 1 Pourquoi la sécurité informatique? Enjeux * Menaces * Vulnérabilités = Risque informatique B. Boutherin 2 Enjeux Image de marque et exemplarité de l état

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur

Plus en détail

Gestion des incidents

Gestion des incidents Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Brevets américains 7 814 545, 7 343 624, 7 665 140, 7 653 698, 7 546 348. Email Security Software. Install CD

Brevets américains 7 814 545, 7 343 624, 7 665 140, 7 653 698, 7 546 348. Email Security Software. Install CD Install CD Appliances et logiciels Protection puissante et simple d utilisation contre les violations de conformité et les menaces visant le courrier électronique La messagerie électronique est un moyen

Plus en détail