LES STRATEGIES DE SECURITE ET SYSTEMES DE PROTECTION CONTRE LES INTRUSIONS

Dimension: px
Commencer à balayer dès la page:

Download "LES STRATEGIES DE SECURITE ET SYSTEMES DE PROTECTION CONTRE LES INTRUSIONS"

Transcription

1 ParisGraduateSchoolofManagement ECOLESUPERIEUREDEGESTION D INFORMATIQUEETDESSCIENCES ECOLESUPERIEUREDEGENIE INFORMATIQUE INGENIERIEINFORMATIQUERESEAUXETSECURITE MEMOIREDERECHERCHE Année2008 LESSTRATEGIESDESECURITEET SYSTEMESDEPROTECTIONCONTRE LESINTRUSIONS Présentépar MESSAVUSSUAdoteviEnyonam MOUMOUNIMOUSSAHarouna ESGISIIR Décembre2008 Sousladirectionde M.ATOHOUNBéthel ChefdépartementIIRESGIS

2 Remerciements Nostrèssincèresremerciementsvontà: M.ThierryMONLOUIS:LeDirecteurdel ESGIdeParisettoutsonpersonnel; M.MacyAKAKPO:LeDirecteurGénéralduGroupeESGIS; M.PascalDANON:LeConseillerpédagogiqueduGroupeESGIS; M.BéthelATOHOUN:LeConseillerchargédel Informatique,duréseauetduCycle IngénieurIIRduGroupeESGIS; Al ensembledupersonneldugroupeesgisàloméetàcotonou; M.AlainAINA:LeDirecteurTechniqueparintérimd AfriNICetDirecteurdeTRS. MmeMartineOUENDOpoursabienveillanceetsachaleureusehospitalité; PourMOUMOUNIMOUSSAHarouna AmestrèschersparentsMOUMOUNIMOUSSAetHassanaMAMOUDOU,jevousdédie cetravailquin estriend autrequ unfruitdevotreindéfectiblesoutien; AmononcleIssouMAMOUDOUetsafamille,pourlesoutieninconditionnelapportédurant ceparcours; AmonfrèreAbdouletmessœursMariama,Hawa,AdamaetNadia,enespérantvousservir demodèle; Amesamisdelonguedatepourleursencouragementsquinem ontjamaisfaitdéfaut:seyni, Douma,Chaibou,Yann,Salélé, AmanièceZeinabenespéranttedonnerdéjàlegoûtdutravail,surtoutbinefait; Au personnel de BENIN TELECOMS; en particulier à Joseph HONVO, Louis AGBAHOLOUetMaximeGODONOU DOSSOUpourleursconstantesdisponibilités; ANsiluMOANDAVodacomRDCpoursesmultiplesconseilsetsonassistancequinem ont jamaisfaitdéfautdurantceparcours; Atousmesprochesquejen aipuciterici. PourMESSAVUSSUAdoteviEnyonam AmesfeuxtrèschersparentsMESSAVUSSUAdoviKoffietMIKEMAdéviMartineàquije dédiecemémoire; AmoncousinetgrandfrèreFranckTIGOUE,safemmeClaudine,sesfrèresetsesenfants ChrisetWilliampourleursoutienindéfectibleetleurconfiancesansfailleenmescapacités; AmestantesMmeMESSAVUSSUAnyéléganEssivietMmeTIGOUEBenedictanée MESSAVUSSU,mononcleProsperMESSAVUSSUpourm avoirsupportéetsoutenutout aulongdececycleingénieur; A mes frères M. MESSAVUSSU Adoté Kossi (John), Ernesto, Moïse et à ma sœur Bélindapourleursencouragements; AmonfilsClaudeJuniorMESSAVUSSUetàsamèreHOUTONDJIAkouaviDjénépour leuramourquim atoujoursinspiré; A mes sœurs AGBODAZE Amévi Tékla, ATAYI Ayikoélé Augustine, mon frère AGBODAZEKodjoGloriaetmestantesMIKEMMamavietTEOURIRyssala; AtousmesamissincèresMuriel,Roland,Kézié,Claire,Jérémie,HervéetBenny. Etàtousmesproches,amisetconnaissancesquejen aipaspuciterici i

3 Résumé Ensebasantsurlesétudesetenquêtesmenéesàtraverslemonde,onserendbiencompte qu ildevientdeplusenpluscompliquédegarantirlasécuritédessystèmesd informations. Cettesituationquiestessentiellementdueàlamultiplicationinquiétantedesmenacesen matièredesécuritéinformatiques expliqueparlaproliférationdesoutilspermettantde réaliserlesattaquesinformatiquesetparladécroissancecontinueduniveaudeconnaissance nécessairepourl utilisationdecesoutils.faceàcettesituation,denouvellessolutionset mesuresdesécuritén ontpasaussicessédevoirlejouretdeseproliférer. Cependantleproblèmequiseposetoujoursc estdesavoircommentmettreenplaceces mesuresetsolutionsdesécuritéefficacementafinderéellementprotégerlessystèmes d informationcarlefaitdejuxtaposeretdemultiplierlessolutionsdesécuritésansanalyser aupréalableleurcompatibilitéetleursobjectifsrespectifsn ajamaisétéunesolutionfiable. Danscecontexte,lesstratégiesdesécuritédontl implémentationsetraduitparladéfinitionet lamiseenapplicationd unepolitiquedesécuritéconstituentlemeilleurmoyend atteindreles objectifsdelasécuritéinformatique. Malheureusement,onserendbiencompteaujourd huiquemalgrétouteslesmesureset stratégies de sécurité qu on peut mettre en place, les systèmes d informations restent néanmoinsvulnérablesàcertainesattaquescibléesouàdesintrusions.c estpourquoidepuis quelquesannées,lesexpertsdelasécuritéparlentdeplusenplusd unnouveauconceptà savoirladétectiond intrusion.l étudedeladétectiond intrusionnouspermettrademieux comprendrelessystèmesdedétectionetdepréventiond intrusionsetdevoircommentils arriventàrenforcerlasécuritéenfermantlestrousdesécuritélaissésparlesmesures classiquesdesécurité. Abstract Whilebasingoneselfonthestudiesandsurveyscarriedoutthroughouttheworld,onerealizes wellthatitbecomesincreasinglycomplicatedtoguaranteetheinformationsystemsecurity. Thissituationwhichisprimarilyduetotheworryingmultiplicationofthethreatsasregards computersecuritycanbeexplainedbyproliferationofthetoolsmakingitpossibletocarry outcyberattacksandbythedecreasinglevelofknowledgenecessaryfortheuseofthese tools.vis a visthissituation,newsolutionsandsafetymeasuresareinvented. Howeverthedifficultywhichalwaysarisesitistofindthewayhowtosetupthese measurementsandsolutionsofsafetyeffectivelyinordertoreallyprotecttheinformation systemsbecausethefactofjuxtaposingandmultiplyingthesolutionsofsafetywithoutfirst analyzingtheirrespectivecompatibilityandtheirobjectiveswasneverareliablesolution.in thiscontext,thestrategiesofsafetywhoseimplementationresultsinthedefinitionandthe implementationofapolicyofsafetyconstitutethebestmeansofachievingthegoalsofthe computersecurity. Unfortunately,onerealizeswelltodaythatdespiteeverymeasurementsandstrategiesof safetywhichonecansetup,theinformationsystemsremainneverthelessvulnerableto certaintargetedattacksorintrusions.thisiswhyforafewyears;theexpertsofsafetyhave spokenmoreandmoreaboutanewconceptwhichisintrusiondetection.thestudyof intrusiondetectionwillenableustobetterunderstandtheintrusiondetectionandprevention systemsandtoseehowtheycanbemanagedtoreinforcesafetybyclosingthesafetyholes leftbytraditionalsafetymeasurementsandsolutions. ii

4 Tabledesmatières Remerciements...i Résumé...ii Abstract...ii Tabledesmatières...iii Tabledesillustrations...vi Listedestableaux...viii Introduction...1 Chapitre1:Evolutionsdelasécuritéinformatique...2 I.1Evolutionsdel informatique...2 I.2Lesmenacesenmatièredesécuritéinformatique...4 I.2.1Lesattaquesinformatiques...5 I.2.2Lecasspécialdesintrusions...10 I.3Lessolutionsenmatièredesécuritéinformatique...13 I.3.1Lesservicesetmécanismesdesécuritéinformatique...14 I.3.2Classificationetprincipesdesmesuresdesécurité...16 I.4Etatdeslieuxdelasécuritéinformatiquedanslemonde...18 Chapitre2:Lesstratégiesdesécuritédessystèmesd information...30 II.1Définitionsetconceptsdesstratégiesdesécurité...30 II.1.1Définitions...30 II.1.2Conceptsdesstratégiesdesécurité...31 II.1.2.1Pourquoilesstratégiesdesécurité?...32 II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire...33 II.2Miseenplaced unedémarchesécuritaire...34 II.2.1Méthodesetnormesd élaborationdedémarchessécuritaires...35 II.2.1.1Principalesméthodesfrançaises...35 II.2.1.2NormesinternationalesISO/IEC II.2.2Lastratégieglobaled entreprise...37 II.2.3Lesstratégiesdesécuritédessystèmesd information...39 II.2.3.1Identificationdesvaleursetclassificationdesressources...40 II.2.3.2Analysedesrisques...41 II.2.4Lespolitiquesdesécurité...42 II.3Caspratiquesd unedémarchesécuritaireauseind unepme...43 II.3.1PrésentationdelaPME...44 II.3.1.1Présentationgénérale...44 II.3.1.2Patrimoineinformatique...44 iii

5 II.3.1.3Lasécurité...45 II.3.1.4Contexte...46 II.3.2ApplicationdeladémarcheMEHARI...47 II.3.2.1PrésentationdelaméthodeMEHARI...47 II.3.2.2Leplanstratégiquedesécurité...47 II Métriquedesrisquesetobjectifsdesécurité...48 II Valeursdel entreprise:classificationdesressources...50 II Lapolitiquedesécurité...55 II Lachartedemanagement...55 II.3.2.3Planopérationneldesécurité...55 II Préliminaires...56 II Auditdel existant...58 II Evaluationdelagravitédesscénarii...60 II Expressiondesbesoinsdesécurité...62 II.3.2.4Planopérationneld entreprise...63 II Choixd indicateursreprésentatifs...63 II Elaborationd untableaudeborddelasécuritédel entreprise...63 II Rééquilibragesetarbitragesentrelesunités...64 II Synthèse...64 Chapitre3:Lessystèmesdeprotectioncontrelesintrusions...65 III.1Situationdelasécuritédessystèmesd informationdanslasous régionouest africaine...66 III.2Conceptsdessystèmesdeprotectioncontrelesintrusions...68 III.2.1Définitionetprincipesdefonctionnement...68 III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions...70 III.3Typologiesetfamillesdessystèmesdeprotectioncontrelesintrusions...72 III.3.1Typologiesdessystèmesdeprotectioncontrelesintrusions...72 III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions...73 III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante...73 III.3.2.2LeHostIDS:Unesolutionquimonte...74 III.4Limitesdessystèmesdeprotectioncontrelesintrusions...75 III.4.1Fauxpositifsetfauxnégatifs...76 III.4.2Lemode promiscuous...77 III.4.3Ladéfinitionetlamaintenancedessignatures...77 III.4.4L apprentissageetlaconfigurationdesids...78 III.5Etudescomparativesdequelquessystèmesdeprotectioncontrelesintrusions..78 III.6PrésentationdeSnort,SnortSAMetdeBASE...80 III.6.1Description...80 iv

6 III.6.2Installation...80 III.6.3Configuration...82 III.6.5Exécution...82 III.6.6Créationdenouvellesrègles...83 III.6.7SnortSam...85 III.6.8LaconsoleBASE...85 Conclusion...87 Glossaire...88 Bibliographie...91 Webographie...92 v

7 Tabledesillustrations Figure1 1:Catégoriesderéseauxsansfils...3 Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis...5 Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique...6 Figure1 5:Répartitiondesattaquesdephishing...7 Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues)...8 Figure1 7:CampagnesdespamparpaysenMaietJuin Figure1 8:Payshébergeursdesitesmalveillants...8 Figure1 9:Partdesversionsdesnavigateurslesplussécurisés...9 Figure1 10:Etapesderéalisationd uneintrusioninformatique...12 Figure1 11:Top5desvirusenJuin Figure1 12:Statistiquesdessystèmesdesécuritédéployésen Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité...16 Figure1 14:Statistiquesdesréponsesparsecteurd activité...19 Figure1 15:Statistiquesdesréponsesparsituationgéographique...19 Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage...20 Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques...20 Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés...21 Figure1 19:Typesd usagedel ordinateurfamilial...22 Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées...22 Figure 1 21: Statistiques du nombre d incidents subit ces 12 derniers mois par les organisations...24 Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI...25 Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité...25 Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleur sitesweb...26 Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident...26 Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes...27 Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen Figure2 1:Objectifsdelasécurité...31 Figure2 2:étapesderéalisationd unedémarchesécuritaire...34 Figure2 3:lesméthodespréconiséesparleClusif...35 vi

8 Figure2 4:DomainesdesécuritédelanormeISO Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire...38 Figure2 6:lasécurité,uncompromis...38 Figure2 7:Maitrisedesrisquesetprocessusdesécurité...39 Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen Figure2 9:Stratégiesetpolitiquesdesécurité...43 Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics»...44 Figure2 11:Classificationdesvaleursdel entreprise...51 Figure2 12:Elaborationduplandesécurité...56 Figure3 1:Entreprisesdisposantd unestratégiedebackupoff site...66 Figure3 2:Pourcentagedesréponsesausujetdeladémarchesécuritaire...67 Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«passives»...67 Figure3 4:Pourcentagedeprotectioncontrelesintrusions«actives»...67 Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan...68 Figure3 6:Fonctionnementd unids...69 Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oude détectiond intrusions(nids)...69 Figure3 8:Fonctionnementd unips...70 Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions..72 Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE)...86 vii

9 Listedestableaux Tableau 1 1: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau 1 2: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau2 1:Analysedesrisquesdessystèmesd information...42 Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité...42 Tableau2 3:Mesuresdeprotection...48 Tableau2 4:Mesurespalliatives...48 Tableau2 5:Mesuresderécupération...48 Tableau2 6:Mesuresderéductiond impactduscénario...48 Tableau2 7:Grilled évaluationdel impactdescénario...49 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle...49 Tableau2 9:Mesuredissuasives...49 Tableau2 10:Mesurespréventives...49 Tableau2 11:Grilleduniveaudepotentialité...50 Tableau2 12:Grilled évaluationduniveauderisque...50 Tableau2 13:Domained activitésetprocessusde«bénincosmetic»...52 Tableau2 14:Déterminationdescritèresd impact...53 Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu...53 Tableau2 16:Recensementdesressources...54 Tableau2 17:Déterminationdelavaleurpropredechaqueressource...54 Tableau2 18:Tableaudesynthèsedelaclassificationdesressources...54 Tableau2 19:Décompositioncellulairedel entreprise...57 Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact...58 Tableau2 21:Extraitsduquestionnaired auditdeslocaux...59 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal...60 Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Base desconnaissances)...61 Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés...61 Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellule exploitationdesserveurs...62 Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécurité applicationges_drh...62 Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction...63 viii

10 Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretde fabrication...63 Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavec l usinedeparakou...63 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii...64 Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéet retouràunesituationnormale...64 Tableau3 1:LesentreprisesOuest africainesconcernéesparl enquête...66 Tableau3 2:ComportementsenvisageablespourunIDS...76 Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions..80 ix

11 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Introduction Lavaleurdenotrecivilisationsedéplaceinéluctablementverslasphèreimmatérielle.La miniaturisationcontinuedel électronique,l accélérationdesperformancesdesréseauxde communicationetledéploiementinexorabledesinfrastructuresinformatiquesédifientune urbanisationdigitalequifavorisel accèsàl informationetfacilitelacommunication.cette évolution de l informatique, de l électronique, et surtout des systèmes distribués a malheureusement contribué à faire évoluer de manière considérable les menaces informatiques.lesrisquesauxquelssontconfrontéeslesentreprisesetlesorganisations aujourd hui sont tels que la sécurité informatique prend une place de plus en plus prépondéranteetvitaleauseindesinstitutionsprivéesetpubliques.ilnes agitplusde considérerlasécuritécommeunluxeréservéauxgrandesorganisationsouentreprisescaril n estpasrared assisterdenosjoursàdesprisesd otagesdepetitssystèmesouréseauxafin des enservircommerelaispourréaliserdesattaquesdegrandesenverguressurdegros systèmesouréseaux. Aumêmemoment,leniveaudeconnaissancerequispourdevenirpiratenecessedediminuer enraisondelaproliférationd outilsetdelogicielsmalfaisants(malwares)disponibles gratuitementsurleweb.vuecettesituationinquiétante,poursurvivreetpoursuivre,avecun minimumdesécuritéleursactivités,lesentreprisesetlesorganisationsdoiventadopteret mettreenœuvredesstratégiesdesécurité.cesdernièressontenfaitdesensemblescohérents etcompatiblesdemesuresdesécuritéquivisentàprotégerlessystèmesd informationsdes entreprisesdesattaquesetd incidentsdetoutessortes,oud enréduireautantquepossibleles impacts. Toutefois,ilarriveparfoisquedesincidentsdetypesintrusionsouattaquessurviennent malgrétouteslesmesuresetstratégiesdesécuritémisesenplace.cesincidentsquisontde plusenplusnombreuxpeuventprovenirdel intérieurcommedel extérieurdesréseauxdes entreprisesoudesorganisations.faceàcettesituation,denouveauxsystèmesdesurveillance (lessystèmesdedétectiond intrusionouids)etdeprotection(lessystèmesdeprévention d intrusionouips)sontdéveloppésdepuisquelquesannéesparleséditeursdesolutionsde sécurité.malheureusement,cesoutilssontencoreméconnusettrèsrarementutilisésen Afrique. Danslapremièrepartiedecedocument,nousavonsréaliséuneétudeconcernantl évolution desmenacesetsolutionsenmatièredesécuritéinformatiquequiadébouchéesurunétatdes lieuxdelasécuritéinformatiquedanslemonde.dansladeuxièmepartie,nousavonsmisen évidencelanécessitépourlesorganisationsd allerversunevisionpluslargedelasécuritéde leurssystèmesd informationsàtraverslesstratégiesetpolitiquesdesécurité.c estdansce sensquenousavonsconcrétisécetteapprocheparl applicationdelaméthodemehariàune PMEduBénin.Latroisièmeetdernièrepartiedecedocumentapourobjectifdemontrer l intérêtpournosentreprises(ouestafricainesdansunemoindremesureetafricainesen général)d unemiseenplaceefficaceetstratégiquedenouveauxsystèmesdesurveillanceet deprotectioncontrelesintrusionsafinderenforcerlasécuritéauseindesinfrastructures informatiquesetréseaux. 1

12 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre1:Evolutionsdelasécuritéinformatique I.1Evolutionsdel informatique L'informatique peut être définie de manière classique comme la science du traitement automatique et rationnelle de l information. Son outil par excellence est l ordinateur. L informatiqueaconnudesévolutionsetparfoisdesrévolutionsquisesontsuccédéaucours desannées. L'èredesordinateursmodernesacommencéavecledéveloppementdel'électroniqueaucours delasecondeguerremondiale,ouvrantainsilaporteàlaréalisationconcrètedemachines opérationnelles.aumêmemoment,lemathématicienalanturingthéorisaitlepremiersurla notiond ordinateur,avecsonconceptdemachineuniverselle.l'informatiqueestdoncune science des temps modernes, même s'il trouve ses origines dans l'antiquité (avec la cryptographie)oudanslamachineàcalculerdeblaisepascal,auxviiesiècle.cen'estqu'à lafindelasecondeguerremondialequ'elleaétéreconnuecommeunedisciplineàpart entièreetadéveloppédestechniquesetdesméthodesquiluiétaientpropres. Danslesannées40,unordinateuroccupaituneplacegigantesqueetétaittrèsfréquemment soumisàdespannes.en1947,l inventiondessemi conducteursapermisderéaliserdes ordinateurspluspetitsetd uneplusgrandefiabilité.danslesannées50,lesgrandes organisationscommencèrentàutiliserdegrosordinateursdegestionfonctionnantavecdes programmessurcartesperforées.puisàlafindesannées50,lescircuitsintégrésqui combinaientquelquestransistorssurunepetitepucefirentleurapparition.lesannées60 virentl utilisationmassivedessystèmesd ordinateurscentrauxdesservantdesterminaux. Audébutdesannées70,lepremiermicroprocesseur,l Intel4004faisaitsonapparition.Il permettaitd'effectuerdesopérationssur4bitssimultanément.en1981,ibmcommercialise lepremier«pc»composéd'unprocesseur8088cadencéà4.77mhz. Actuellement,ilesttrèsdifficiledesuivrel'évolutiondesmicroprocesseurs.Eneffet,cette évolutionsuitlaloidemoorequifuténoncéeen1965pargordonmoore,cofondateurd'intel quiveutquelenombredetransistorssurunprocesseurdoubletouslesdeuxans,augmentant ainsisesperformances.intelestdéjàarrivéàmettrejusqu à1,7milliarddetransistorssurune pucede65nm(montecito).pourcomparaison,lefameuxpentium4(3,4ghz)qu onatant décrié était en fait une puce de 90 nm avec seulement 125 millions de transistors. Aujourd hui,intelréussiàréduirelatailledespucesà45nm. Laminiaturisationdescomposantsetlaréductiondescoûtsdeproduction,associéesàun besoindeplusenpluspressantdetraitementdesinformationsdetoutessortes(militaires, scientifiques,financières,commerciales,etc.)ontentraînéunediffusiondel'informatique danstouslessecteursd activitéshumaines.quantàl Afrique,cen estquedanslesannées 1980qu elleavuledébutdudéveloppementdel'informatique. Lanotionderéseauinformatiqueconnaîtaussidepuisprèsdequatredécennies,d énormes transformationsetévolutions.c estaudébutdesannées60quefurentconstituéslespremiers réseauxavecl apparitiondesmodems.cesderniersservaientàconnecterdesterminaux passifsàunordinateurcentral.lesmodemsavaientunevitessede300bits/s,soitune trentainedecaractèresparseconde.ensuite,danslesannées70,lessystèmesbbs(bulletin Board System) apparaissaient. Ils offraient des services informatisés d échanges d informations,auxquelslesutilisateurspouvaientseconnecternotammentpourafficherdes messagesetyrépondre.lavitessedeconnexionétaitencorede300bits/s.danslesannées80 lessystèmesbbssontdevenustrèsrépandusetlavitessede300b/sesttrèsvitedevenue 2

13 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS insuffisantepourletransfertdesdocumentsvolumineuxcommelesgraphiques.dansles années1990,ledébitdesmodemsestpasséà9600 bits/s.eten1998,lavitessestandardde années1990,ledébitdesmodemsestpasséà9600bits/s.eten1998,lavitessestandardde 56Kbits/s,aétéatteinte. Lesmédiasdetransmissionsontpassésdescâblescoaxiauxauxpairestorsadéespourenfin aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesr aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesréseaux fédérateurs(backbones). Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est à direla Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est libertédemouvementdesutilisateurs).cesréseauxontconnudepuisleurapparition,des évolutionsmajeures.lapremière normepourcesréseauxestleieee elleaété évolutionsmajeures.lapremièrenormepourcesréseauxestleieee elleaété publiéeen1997.elleoffraitundébitde1ou2mbits/sàunefréquencede2,4ghz.la deuxième(ieee802.11a;jusqu à54mbits/sà5ghz)etlatroisièmenorme(ieee802.11b; 11Mbits/set2,4GHzpourlafréquence)apparurentautourde1999.D autresnormesdansce urlafréquence)apparurentautourde1999.d autresnormesdansce domainecontinuentd êtreréalisées. domainecontinuentd êtreréalisées. Figure Figure1 1:Catégoriesderéseauxsansfils ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,leWimaxetlesréseauxsansfil ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,le etlesréseauxsansfil destélécommunications(gsm,gprs,umtsetc.). destélécommunications(gsm,gprs,umtsetc.). Ainsi,toutadébutéavecleconceptdel informatiquecentraliséeavecdetrèsgrands ordinateursquioccupaientdegrandessallesavecplusieursterminauxquigravitaienttout tdegrandessallesavecplusieursterminauxquigravitaienttout autour.ensuiteonestpasséàl informatiqueàdistanceavecl utilisationdesmodemsen empruntantlesréseauxpublicsdetélécommunication.etdéjààcetteétapeseposaitle problèmedeslignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. lignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. Commentpouvait ongarantirlasécuritédesinfo ongarantirlasécuritédesinformationsquiytransitaient rmationsquiytransitaient?l autresouci majeurquecréaitl Informatiquecentralisé quecesoitàdistanceounonc étaitquetoutesles majeurquecréaitl Informatiquecentraliséequecesoitàdistanceounonc étaitq applicationsrésidaientsuruneseuleetmêmemachine.cequifaisaitqu encasdepanneou d accident,uneentreprisepouvaittoutperdreenunbrefinstant. d accident,uneentreprisepouvaittoutperdreenunbrefinstant. Après cette étape, est arrivée celle de l informatique distribuée que nous connaissons connais maintenantavecl introductionparexempledemultiplesserveurschacundédiéàunetâche bienspécifique.danslessystèmesdistribués,onpeutretrouverparexemplepourune institutionbancaireunserveurpourlapaie,unautrepourgérerlareconn institutionbancaireunserveurpourlapaie,unautrepourgérerlareconnaissancedes signaturesdesclients,unautrepourgérerlescomptesdesclientsetc.ledéfiréelétaitdonc detrouverunmoyendefairefonctionnertoutcetarsenaldeserveursensemble.ils agissait surtoutd éviterauxutilisateursd avoiràs authen tifier(loguer)surchaqueserveur.des surtoutd éviterauxutilisateursd avoiràs authentifier(loguer)surchaqueserveur.des 3

14 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS systèmescentralisésd authentificationontdoncvulejour.ils agitdessystèmescomme Kerberos,Radius,Samba,ActiveDirectoryetc. Avecledéveloppentdesréseaux,unnouveautyperéseauavulejour.Ils agitd Internet. Aujourd hui,avecinternet,onassisteàuneunificationdesréseaux.ainsi,lesintérêtsdela miseenplaced'unréseausontmultiples,quecesoitpouruneentrepriseouunparticulier. Aprèsavoirdécortiquélesdifférentesétapesdel évolutiondel informatiqueetdesréseaux, nousallonspasserenrevuelesmenacesenmatièredesécuritéinformatique. I.2Lesmenacesenmatièredesécuritéinformatique Leconceptdelasécuritéinformatiqueetdel Internetn acessédechangerdevisageetde dimensionaumêmetitrequel évolutiondestechnologies;aucoursdesannées1940,la notiondesécuritéinformatiqueétaitessentiellementaxéesurdesaspectsphysiques.il suffisaitdesécuriserl accèsphysiqueàl ordinateurcentral(mainframe),auxterminauxet auxmédiasdeconnexionpourempêchertoutaccèsauxindividusnonautorisés.ilétait d autantplusfaciledegarantirlasécuritédesdonnéespuisqu onpouvaitdéterminerà l avancetouteslesportesd accèspossiblesetdéveloppersastratégiedesécurité. Lasécuritédesréseauxatoujoursétéunepréoccupation.Ilatoujoursexistédesentités décidéesàmenerdesactionspeurecommandablesàl égarddessystèmes. Le nombre d incidents de sécurité rapportés au Computer Emergency Response Team CoordinationCenter(CERT)augmentechaqueannéedefaçonexponentielle.Moinsde200 en1989,environ400en1991,1400en1993et2241en1994.aucoursdeladécennie lenombred incidentsrapportésatteignitles ilsseproduisentsurlessites gouvernementauxetmilitaires,parmilesgrossescompagnies,danslesuniversitésetdansles petitesentreprises.certainsincidentsn impliquentqu unseulcomptesurunsystème,tandis qued autrespeuventimpliquerplusde500000systèmesàlafois.cesnombresnesontbien sûrquelapartieémergéedel iceberg.denombreusesintrusionsouviolationsdesécuriténe sontsouventpasdéclaréesaucentredecoordinationducertouauxautresorganisations deréponseauxincidentsdesécurité.danscertainscasc estparcequelesorganisations victimespréfèrentévitertoutepublicitéouaccusationd imprudence,dansd autrescasc est parce que les intrusions ne sont même pas détectées. On ne peut estimer le nombre d intrusionsréellementdétectéesparlessitesattaqués,maislaplusgrandepartiedela communautédesexpertsensécuritéinformatiquepensequ ilnes agitqued unfaible pourcentage.billchestwick,desat&tbelllabs,pensequesurlesattaquesréussies,au moins40%desattaquantsaccèdentàuncomptesuper utilisateur(sourcefirewallsdigest,31 mars1995). Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à2003 4

15 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecyberespaceestunmondedangereux,ettroppeus enrendentcompte.auxpremiersjours del Internet,lessitesconnectésauréseaudisposaientengénérald équipesentièresde gourouss occupantdumatérieletdulogiciel.aujourd hui,seconnecteràinternetestdevenu sibanalequelesutilisateursoublientqu ilfautunecertainesophisticationtechniquepourse connecterentoutesécurité. Lesprogrèstechnologiquesneprofitentmalheureusementpasqu auxutilisateurslégaux;ils sontaussimisàcontributionpouraméliorerlestechniquesdeviolationdespolitiquesde sécurité.lestechniquesd attaquesontconnuuneévolutionremarquableaucoursdecesvingt (20)dernièresannées,lesoutilspermettantd attaquerlessystèmesd informationssont devenusbienpluspuissantsetplusfacileàutiliser.cettefacilitéd utilisationaabaisséle niveaudeconnaissancestechniquesnécessairespourlanceruneattaque,augmentanten conséquencedefaçonexponentiellelenombred assaillantspotentiels. Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis Danscettepartiedenotredocument,nousallonstenterdecatégoriserlesdangersoules risquesauxquelssontexposéslessystèmesd informationendeuxgrandescatégoriesque nousdécortiqueronssuccessivementenprofondeur.ils agiradevoirdansunpremiertemps lesdangersquel onappelleparfoisaussirisquesouattaquesinformatiquesengénéraletdans undeuxièmetempsnousparleronsducasspécialdesintrusions. I.2.1Lesattaquesinformatiques Uneattaqueinformatiqueestl'exploitationd'unefailled'unsystème(systèmed'exploitation, logicieloubienmêmedel'utilisateur)àdesfinsnonconnuesparl'exploitantdusystèmeet généralementpréjudiciables. SurInternetdesattaquesontlieuenpermanence.Cesattaquessontpourlaplupartlancées automatiquementàpartirdemachinesinfectées(appeléesbotnets)pardesvirus,deschevaux detroie,desversetautres,àl'insudeleurpropriétaire.lesmotivationsdesattaquespeuvent êtrededifférentessortes: obtenirunaccèsausystème; voler des informations, tels que des secrets industriels ou des propriétés intellectuelles; 5

16 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS glanerdesinformationspersonnellessurunutilisateur; récupérerdesdonnéesbancaires; s'informersurl'organisation(entreprisedel'utilisateur,etc.); troublerlebonfonctionnementd'unservice; utiliserlesystèmedel'utilisateurcomme«rebond»pouruneattaque; utiliserlesressourcesdusystèmedel'utilisateur,notammentlorsqueleréseausur lequelilestsituépossèdeunebandepassanteélevée. Lessystèmesinformatiquesmettentenœuvredifférentescomposantes,allantdel'électricité pouralimenterlesmachinesaulogicielexécutévialesystèmed'exploitationetutilisantle réseau.lesattaquespeuventinterveniràchaqu londecettechaîne,pourpeuqu'ilexiste unevulnérabilitéexploitable.leschémaci dessousrappelletrèssommairementlesdifférents niveauxpourlesquelsunrisqueenmatièredesécuritéexiste: Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique Ilyad abordlesattaquesquivisentl accèsphysiqueetl environnementdusystème d information.ils'agitdescasoùl'attaquantaaccèsauxlocauxetéventuellementmêmeaux machines.ils agitsouventdesévénementscomme: Lescoupuresdel'électricité; L extinctionmanuelledesordinateursoudesserveurs; Levandalisme; L ouverturedesboîtiersdesordinateursetlevoldesdisquesdurs composants; oud autres L écoutedirectedutraficsurleréseauc'est à direensebranchantdirectementsurle backboneousuruncore switch(commutateurprincipal)parexemple. Ces attaques que l on pourrait qualifier de basiques étaient surtout à la mode quand l informatiqueétaitencoreàsesdébuts.c'est à direl èredel informatiquecentralisée. Aprèslesattaquesvisantlesaccèsphysiquesetl environnement,ilyacellesutilisantles interceptionsdescommunicationscomme: L usurpationderessourcesoudesparamètresd'identité(motsdepasse,adressesip, adressesmac); Ledétournementoualtérationdemessages(ManIntheMiddle,BruteForceattack etc.); Levoldesession(sessionhijacking),l ARPpoisoning,l écouteréseau,lebalayagede portsetc. 6

17 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Ensuite,ilyalesattaquesdetypedénideservice.Ils'agitdesattaquesvisantàperturberle bonfonctionnementd'unservicedusystèmed exploitationoud uneapplication.ondistingue habituellementlestypesdedénideservicesuivant: ExploitationdefaiblessesdesprotocolesTCP/IP; Exploitationdevulnérabilitédeslogicielsserveurs. Parmilestechniquesutiliséespourréalisercetyped attaque,onpeutciterlesattaquespar réflexion,lesattaques«pingdelamort»(pingofdeath),lesattaquesparfragmentation,les attaquesland,lesattaquessynetc. Pourterminerlapremièrepartiedecettetypologiedesattaquesinformatiques,nousallons citerlesarnaquesréaliséesgrâceauxoutilsinformatiques.ilyadanscettesouscatégories l ingénieriesociale,lescam,lephishing(quiprenddel ampleurcesdernièresannées)et enfinlesfaussesloteriesd Internet(Hoaxenanglais). L ingénieriesocialeaatteintquantàelleunnouveaudegrédesophistication,avecnotamment lechevaldetroie«small.dam»quiacausédesravagesconsidérablesenjanvier2007. Souscouvertdesgrostitresdel'actualitéliésàdevéritablesévénementstelsquelestempêtes quisesontproduiteseneuropeenjanvier,ilaréussiàsepropagerdanslemondeentieren uneseulenuit. LaTurquie,quienmaidecetteannée2008avaitcréelasurpriseendépassantlesEtats Unis, demeureundespremierspaysenmatièredephishing.elletalonneeneffetlesetats Unisà 20,10%.Enmai2008,cettepartétaitde24,36%,contre16,94%pourlesEtats Unis.La Pologne,déjàclasséedepuisplusieursmoisavecprèsde10%desattaquesdephishing,faitun nouveaubondpouratteindreles15%.lachine,siellehébergedenombreuxsitesinfectés, restesousleseuildes7%,aprèstoutefoisêtremontéejusqu'à9%enmai. Figure1 5:Répartitiondesattaquesdephishing Souvent,lorsdesattaques,lespiratesgardenttoujoursàl'espritlerisquedesefairerepérer, c'estlaraisonpourlaquelleilsprivilégienthabituellementlesattaquesparrebond(par oppositionauxattaquesdirectes),consistantàattaquerunemachineparl'intermédiaired'une autre,afindemasquerlestracespermettantderemonteràlui(tellequesonadresseip)etdans lebutd'utiliserlesressourcesdelamachineservantderebond.celamontrel'intérêtde protéger son réseau ou son ordinateur personnel car il est possible de se retrouver «complice»d'uneattaqueetencasdeplaintedelavictime,lapremièrepersonneinterrogée seralepropriétairedelamachineayantserviderebond. Avecledéveloppementdesréseauxsansfils,lesattaquessontencoreplusfacilesàréaliser surtoutlorsqueleréseausansfilestmalsécurisé,unpiratesituéàproximitépeutl'utiliser pourlancerdesattaques. Toutesattaquesconfondues,laChinequirassemblaitàelleseule42,96%desmenacesenmai decetteannée2008,nereprésenteplusque12,95%decelles ci.lesetats Unisontrécupéré 7

18 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lapremièreplaceà25,91%,devantdeuxpaysfortsenmatièredephishing,àsavoirlaturquie etlapologne.larussiesouventprésentéecommeunétatsourced'attaquesdoublesapart entremaietjuin,pours'établirà5,54%. Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues) En matière de courriers indésirables (spam), le nombre de campagnes des deux superpuissancesduspamquesontlesetats UnisetlaChineétaitdenouveauàlahausseen Juin2008parrapportàmai2008.UneaugmentationétaitégalementànoterpourlaRussie. Figure1 7:CampagnesdespamparpaysenMaietJuin2008 Enrevanche,lescampagnesd'originesbritanniqueetcoréenneétaientellesenreculd'unmois surl'autre.cespaysenregistraientpourtantunehausseenmai.lesautresnationsémettrices despamétaient,parordredécroissant:allemagne(178),japon(153),france(145),brésil (128)etl'Inde(127). Ilyaaussidesvulnérabilitésduwebquisontsouventexploitéespourréaliserdesattaques. Parmielles,onalamanipulationd'URL,le«Cross SiteScripting»etlesinjectionsSQL. Encequiconcernelespayshébergeursdesitesmalveillants,legraphesuivantnouséclaire suffisamment.d'aprèsledernierrapportdel'associationstopbadware.org(juin2008),les siteswebmalveillantsseconcentrentenchine.ainsisur200000sitesinfectés,52%sont hébergéssurdesréseauxchinois. Figure1 8:Payshébergeursdesitesmalveillants LesEtats Unisarriventloinderrièreavec21%desitesdangereux.Quantauxautrespays,ils nedépassentpasleseuildes4%.cettepositiondelachineestl'unedesgrandestendances notéeparstopbadwareparrapportà2007.lepremierréseauhébergeurdesitesmalveillants 8

19 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS était alors américain (ipower) avec sites. Il s'agit désormais de CHINANET BACKBONEavec Aujourd hui,lesmenacesinformatiquesserventmêmedesobjectifsetdesintérêtspolitiques. C estdanscesensquerécemmentdansleconflitquiaopposélarussieetlagéorgie,les sites Web du gouvernement géorgien ont été victimes d'attaques en déni de service visiblementrelayéespardeshébergeursrussesselonlesaccusationsdelagéorgie Avecunemenacequis'estdéplacéeprogressivementdelamessagerieverslessitesWeb,et quicibledoncdésormaislesnavigateurs,leshabitudesetlespratiquesdesinternautesà l'égarddecesdernierssontdevenuescapitales.confrontésdeplusenplusàdespagesweb malveillantes,exploitantparexempleunefailledanslenavigateur,lesinternautessonten effetplusexposésdésormais.lasécurité,oudumoinslarobustessedunavigateurest devenuedoncuncritèremajeur.selonlemagazinejdnsolutions,deschercheursensécurité ontrévélésqueseuls60%desinternautesutilisentunnavigateuràjouretque40%utilisent unnavigateuràrisque.lesutilisateursdefirefoxseraientlesplusrigoureux.ceuxd'internet Explorerseraientenrevanchepluslaxistes. Figure1 9:Partdesversionsdesnavigateurslesplussécurisés Ainsi,cesontrespectivement83,3%desutilisateursdeFirefox,65,3%deSafari,56,1% d'operaet47,6%d'internetexplorerquidisposentd'uneversionàjour.leschercheursjugent leprocessusdemigrationgénéralementlent,hormispoursafari3verslequelplusde60%des utilisateursdesafariavaientmigrédanslestroismoisquiontsuivisasortie.cettemiseàjour accéléréepourraitselonl'études'expliquerparlaprocédure(décriée)automatiqueintégréeà d'autreslogiciels(dontitunes)décidéeparapple. Principauxvecteursdecourriersindésirables(spam),lesbotsseraientcentcinquantemillions selonVintonCerf,leco inventeurdetcp/ip.selonuneautreestimation,entre5 000et30000ordinateursseraienttransformésenPCzombieschaquejour.Lorsdeson dernierrapport,symantecendécomptait6millionsdanslemonde,enhaussede29%sur6 mois. Unréseaudemachineszombiespeutêtreconstituéetcontrôléparuneouplusieurspersonnes, afind'obtenirunecapacitéconsidérableetd'avoirunimpactplusimportant.certainsgroupes decrackersencontrôleraientplusieurscentainesdemilliersauseinderéseauxdezombies, qu'onappellebotnetsàl'instardesréseauxderobotsircdumêmenom.cesbotnetspeuvent êtreutiliséspourcommettredesdélitscommelevoldedonnéesbancairesetidentitairesà grandeéchelle.lesbotnetssontplusàl'avantaged'organisationscriminelles(mafieuses)que depiratesisolés,etpeuventêtremêmelouésàdestierspeuscrupuleux.unréseaude machineszombiespeutaussiêtreutiliséafindefournirauxpiratesunepuissancedecalcul phénoménale,leurpermettantdedéchiffreruncodeenuntempsconsidérablementpluscourt quesurunemachine. 9

20 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lenombredemachineszombiesdansunpayspeutêtreévaluéàpartirdelaprovenancedes courriersindésirablesdétectés.lenombredepourrielsenprovenanced'unpaysparrapportà laquantitéglobaledepourrielsdétectésdonnedoncuneindicationdunombredemachines zombiesd'unpaysparrapportàl'ensembledesmachinesconnectéessurleréseau. SelonSophos[ATT08],début2007,lapremièreplaceaétéattribuéeauxÉtats Unisavec 22,0%.LadeuxièmeplaceétaitpriseparlaChine(incluantHong Kong)avec15,9%,puis parlacoréedusudavec7,4%.lafranceétaitquatrièmedecepalmarèsavec5,4%,suivie deprèsparl'espagneavec5,1%despourrielsdétectés. Aprèscebrefaperçudesattaques,menacesetdangersinformatiquesdanslemonde,nous allonsàprésentnousconcentrersuruneattaquespécialequiconsistepourunintrusà s introduiredansunsystèmeouunréseauinformatiqueétranger. I.2.2Lecasspécialdesintrusions Uneintrusionestuneformeparticulièred attaqueinformatiquecarlaplupartdesautres attaquesserventsouventàpréparerouàrendrelesciblesplusvulnérablesafindefaciliterla réalisationdesintrusions. Lesintrusionssontsouventeffectuéesdanslescontextesd espionnageindustrieloupolitique. Parexempleautoutdébutdumoisd octobre2008selonlarédactiondu«journaldunet», despiratesontpus'introduiredanslesystèmeinformatiqued'unfabricantsud coréende missilesetdéroberdesdonnées.selonlepremierrapportdel'administrationdelasécurité nationaledupays,lenationalsecurityresearchinstitute,lescyber attaquantssontparvenus àinstallerunprogrammemalveillantsurleréseaudel'industriellignex1hyundaiheavy Industries. Pourpouvoirmettreenœuvreunexploit(ils'agitdutermetechniquesignifiantexploiterune vulnérabilité),lapremièreétapeduhackerconsisteàrécupérerlemaximumd'informations surl'architectureduréseauetsurlessystèmesd'exploitationsetapplicationsfonctionnantsur celui ci. L'obtentiond'informationssurl'adressageduréseauvisé,généralementqualifiéedeprise d'empreinte,estsouventlepréalableàtouteattaque.elleconsisteàrassemblerlemaximum d'informationsconcernantlesinfrastructuresdecommunicationduréseaucible: AdressageIP; Nomsdedomaine; Protocolesderéseau; Servicesactivés; Architecturedesserveurs; etc. Enconnaissantl'adresseIPpubliqued'unedesmachinesduréseauoubientoutsimplementle nom de domaine de l'organisation, un pirate est potentiellement capable de connaître l'adressageduréseautoutentier,c'est à direlaplaged'adressesippubliquesappartenantà l'organisationviséeetsondécoupageensous réseaux.pourcelailsuffitdeconsulterlesbases publiquesd'attributiondesadressesipetdesnomsdedomaine: Afrique; Unis. 10

21 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lorsquelatopologieduréseauestconnueparlepirate,ilpeutlescanner(letermebalayerest égalementutilisé),c'est à diredétermineràl'aided'unoutillogiciel(appeléscannerou scanneurenfrançais)quellessontlesadressesipactivessurleréseau,lesportsouverts correspondantàdesservicesaccessibles,etlesystèmed'exploitationutiliséparcesserveurs. L'undesoutilslesplusconnuspourscannerunréseauestNmap,reconnupardenombreux administrateursréseauxcommeunoutilindispensableàlasécurisationd'unréseau.cetoutil agitenenvoyantdespaquetstcpet/ouudpàunensembledemachinessurunréseau (déterminéparuneadresseréseauetunmasque),puisilanalyselesréponses.selonl'allure despaquetstcpreçus,illuiestpossiblededéterminerlesystèmed'exploitationdistantpour chaquemachinescannée. Lorsquelebalayageduréseauestterminé,ilsuffitaupirated'examinerlesrapportsdesoutils utiliséspourconnaîtrelesadressesipdesmachinesconnectéesauréseauetlesportsouverts sur celles ci. Les numéros de port ouverts sur les machines peuvent lui donner des informationssurletypedeserviceouvertetdoncl'inviteràinterrogerleserviceafind'obtenir des informations supplémentaires sur les versions des principales applications serveurs (Apacheparexemple)danslesinformationsditesde«bannière». Aprèsavoirétablil'inventaireduparclogicieletéventuellementmatériel,ilresteaupirateà déterminersidesfaillesexistent.lorsquelepirateadresséunecartographiedesressourceset desmachinesprésentessurleréseau,ilestenmesuredepréparersonintrusion.pourpouvoir s'introduiredansleréseau,lepirateabesoind'accéderàdescomptesvalidessurlesmachines qu'ilarecensées.pourcefaire,plusieursméthodessontutiliséesparlespirates: L'ingénierie sociale. Ceci est généralement fait en se faisant passer pour l'administrateurréseau. Laconsultationdel'annuaireoubiendesservicesdemessagerieoudepartagede fichiers,permettantdetrouverdesnomsd'utilisateursvalides. L'exploitationdesvulnérabilitésdescommandesR*deBerkeley. Lesattaquesparforcebrute(bruteforcecracking). Lorsquelepirateaobtenuunouplusieursaccèssurleréseauense«logant»surunou plusieurscomptespeuprotégés,celui civachercheràaugmentersesprivilègesenobtenant unaccèsroot(enfrançaissuperutilisateur),onparleainsid'extensiondeprivilèges. Dèsqu'unaccèsrootaétéobtenusurunemachine,l'attaquantalapossibilitéd'examinerle réseauàlarecherched'informationssupplémentaires.illuiestainsipossibled'installerun sniffeur(enanglaissniffer),c'est à direunlogicielcapabled'écouter(letermerenifler,ouen anglaissniffing,estégalementemployé)letraficréseauenprovenanceouàdestinationdes machinessituéessurlemêmebrin.grâceàcettetechnique,lepiratepeutespérerrécupérer lescouplesidentifiants/motsdepasseluipermettantd'accéderàdescomptespossédantdes privilègesétendussurd'autresmachinesduréseau(parexemplel'accèsaucompted'un administrateur)afind'êtreàmêmedecontrôleruneplusgrandepartieduréseau.lesserveurs NISprésentssurunréseausontégalementdesciblesdechoixpourlespiratescarils regorgentd'informationssurleréseauetsesutilisateurs. Grâceauxétapesprécédentes,lepirateapudresserunecartographiecomplèteduréseau,des machiness'ytrouvant,deleursfaillesetpossèdeunaccèsrootsuraumoinsl'uned'entre elles. Unefoislacartographiedusystèmeétablie,lehackerestenmesuredemettreenapplication desexploitsrelatifsauxversionsdesapplicationsqu'ilarecensées.unpremieraccèsàune 11

22 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellementd'étendresesprivilègessurlamachine. Lorsqu'unpiratearéussiàinfiltrerunréseaud'entrepriseetàcompromettreunemachine,il peutarriverqu'ilsouhaitepouvoirrevenir.pourcefairecelui civainstalleruneapplication afindecréerartificiellementunefailledesécurité,onparlealorsdeportedérobée(enanglais backdoor,letermetrappeestparfoiségalementemployé). Lorsquel'intrusaobtenuunniveaudemaîtrisesuffisantsurleréseau,illuiresteàeffacerles tracesdesonpassageensupprimantlesfichiersqu'ilacréésetennettoyantlesfichiersde logsdesmachinesdanslesquellesils'estintroduit,c'est à direensupprimantleslignes d'activitéconcernantsesactions. Parailleurs,ilexistedeslogiciels,appelés«kitsracine»(enanglais«rootkits»)permettant deremplacerlesoutilsd'administrationdusystèmepardesversionsmodifiéesafinde masquerlaprésencedupiratesurlesystème.eneffet,sil'administrateurseconnecteen mêmetempsquelepirate,ilestsusceptiblederemarquerlesservicesquelepiratealancéou toutsimplementqu'uneautrepersonnequeluiestconnectéesimultanément.l'objectifd'un rootkitestdoncdetromperl'administrateurenluimasquantlaréalité. S'ils'agitd'unpirateexpérimenté,ladernièreétapeconsisteàeffacersestraces,afind'éviter toutsoupçondelapartdel'administrateurduréseaucompromisetdetellemanièreàpouvoir garderlepluslongtempspossiblelecontrôledesmachinescompromises.leschémasuivant récapitulelaméthodologiecomplète: Figure1 10:Etapesderéalisationd uneintrusioninformatique Latechniqued intrusionlaplusrépanduedanslemondenumériqueestcelleréaliséeàl aide ouparlesvirus.en1986déjà,l'arpanetfutinfectéàcausedebrain,unvirusqui renommait tous les disques de démarrage de système d exploitation en (C)Brain. Les créateursdecevirusydonnaientleurnom,adresseetnumérodetéléphonecarc'étaitune publicitépoureux. Lechampd'applicationdesvirusvadelasimpleballedeping pongquitraversel'écranau virusdestructeurdedonnées,cedernierétantlaformedeviruslaplusdangereuse.ainsi, étantdonnéqu'ilexisteunevastegammedevirusayantdesactionsaussidiversesquevariées, lesvirusnesontpasclassésselonleursdégâtsmaisselonleurmodedepropagationet d'infection.ainsiondistingueainsiplusieurstypesdevirus: lesverssontdesviruscapablesdesepropageràtraversunréseau 12

23 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lestroyens(chevauxdetroie)sontdesviruspermettantdecréerunefailledansun système (généralement pour permettre à son concepteur de s'introduire dans le systèmeinfectéafind'enprendrelecontrôle) lesbombeslogiquessontdesviruscapablesdesedéclenchersuiteàunévénement particulier(datesystème,activationdistante,...) Il existe aussi des virus polymorphes qui, lors de leurs réplications, modifie leur représentationpourempêcherlesanti virusdelesidentifierparleursignature.bienqu'en apparencecesviruschangent,leurfonctionnement(leurméthoded'infectionetleurcharge utile)restelemême.lesalgorithmesnesontpasmodifiés,maisleurtraductionenlangage machinel'est. Commelemontrelegraphesuivant,NetskyandNyxemétaientlesdeuxviruslesplus répandusentremaietjuin2008. Figure1 11:Top5desvirusenJuin2008 Ilyaaussilesespiogiciels(enanglaisspyware)quisontdesprogrammeschargésderecueillir desinformationssurlesutilisateursdel'ordinateursurlequelilssontinstallés(onlesappelle doncparfoismouchards)afindelesenvoyeràlapersonnequilesdiffusepourluipermettre dedresserleprofildesinternautes.lesinformationsrecherchéessontsouventlesmots clés saisisdanslesmoteursderecherche,lesachatsréalisésviainternet,lesurldessitesvisités, lesinformationsdepaiementbancaire(numérodecartebleue/visa)etc. Aprèsavoirparlébrièvementdesattaquesinformatiquesengénéraletplusparticulièrement desintrusionsinformatiques,nousallonsàprésentvoirquellessontlessolutionsetmesures desécuritéqu ilestpossibleactuellementdemettreenœuvrepourgarantirunniveau satisfaisantdesécuritéauseindessystèmesd informationsdesentreprisesetorganismes. I.3Lessolutionsenmatièredesécuritéinformatique Lescontrôlesphysiquesn assurentqu uneprotectionlimitéedesdonnéesetdesressources; d autressystèmesetoutilscommeceuxdelafigure1 12sontprimordiauxpourlaréalisation delasécuritélogiquedesdonnéesetdesressources. Onretrouvedanscegraphelesantivirusetlespare feu(firewall)entêtedelistedu classementdesmesuresdesécuritélesplusutiliséesen2007selonlesauteursdurapport2007 duglobalsecuritysurvey[glo07].toutescesmesuresdesécuritéprésentéesdansce graphevisentàgarantirlesservicesdesécuritéquenousallonsexpliciterdanslasoussection suivante. 13

24 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Plusloindanslatroisièmepartiedecedocument,nousnousintéresseronsauxsystèmesde surveillance et de protection contre les intrusions afin de mieux comprendre leur fonctionnementetlesavantagesqu ilspeuventprocurerauxentreprisesdansunestratégieà longterme. Figure1 12:Statistiquesdessystèmesdesécuritédéployésen2007 I.3.1Lesservicesetmécanismesdesécuritéinformatique Lesservicesdesécuritésontlescritèresprincipauxquedoiventsatisfairelessolutionsde sécuritéafindegarantirdemanièreméthodiqueetorganiséelasécuritédessystèmesetdes réseaux.ils agitsurtoutdeladisponibilité,l intégrité,laconfidentialité,l authentification, l autorisation,lanon répudiation,latraçabilité,l auditabilitéetlecontrôled accès. Lecontrôled accèsestunprocessusconsistantàlimiterlesdroitsd accèsauxressourcesdu système.onpeutcitertroistypesdecontrôled accès: Les contrôles d accès administratifs qui sont fondés sur les politiques générales.lespolitiquesdesécuritédel informationdoiventénumérerles objectifsdel organisationenmatièredecontrôled accèsauxressources,la prisedeconsciencedesnotionsdesécurité,l embaucheetlagestiondu personnel. Les contrôles logiques qui sont constitués des mesures matérielles et logiciellespermettantdelimiterl accèsauréseau,commeleslistesdecontrôle d accès,lesprotocolesdecommunicationetlechiffrement. Lescontrôlesphysiquesquiserventàempêchertoutaccèsphysiquenon autoriséprèsdeséquipementsouprèsdessallesquicontiennentlematériel critiqueconstituantleréseau.undesrisquesàcesbasniveauxestl utilisation derenifleursetd analyseursdepaquets. 14

25 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecontrôled accèsreposedoncsurlavérificationdel identité(authentification),puissur l accorddeprivilègesselonl identitéenquestion(autorisation)etenfinsurlefaitdenepas pouvoirnierourejeterqu unévénementaeulieu(nonrépudiation). Lecontrôled'accèsconsisteàvérifiersiuneentité(unepersonne,unordinateur, ) demandantd'accéderàuneressourceàlesdroitsnécessairespourlefaire.lecontrôlepeut êtreréaliséàl'aidedel'utilisationd'élémentspermettantl'authentificationdel'entité(par exempleunmotdepasse,unecarte,uneclé,unélémentbiométrique, ).Dessystèmeset protocoles comme Samba, Active Directory, LDAP et Radius permettent de gérer l authentificationsouventnécessaireauxcontrôlesd accèslogiques.lesmisesenœuvre concrètesdessolutionsdecontrôled accèssontlesanti virus,lespare feux,lessystèmesde détectionetdepréventiond intrusion. Encequiconcernelesmécanismesdesécurité,ils agitengénéraldesalgorithmesoudes techniquescryptographiquesquipermettentdefournirl ensembledesservicesdesécurité citésci dessus.iln existepasunsimplemécanismedesécuritéquifournissel ensembledes servicesdesécurité.cependant,unélémentparticulierestàlabasedelaplupartdes mécanismesdesécurité.ils agitduchiffrement. Lessystèmesdechiffrementfontappelàdesalgorithmesdechiffrementsouventcomplexes quimodifient,àl'aided'uneclédechiffrementplusoumoinslongue,lescaractèresàprotéger pourgénérerdesdonnéesapparemmentaléatoires.letextechiffré(cyphertext)peutalorsêtre transmissurunréseaunonsécurisé.eneffet,mêmes'ilestintercepté,ilnepourraêtre compréhensibleparuntiersquinepossèdepaslaclédedéchiffrementpermettantd'obtenirle texteinitialenclair(plaintext). Lapuissancedel'algorithme,latailledelacléutiliséeetlacapacitéàgarderlescléssecrètes defaçonsécuriséedéterminentlarobustessed'unsystèmedechiffrement.l'algorithmen'a pasbesoind'êtresecret.ilestmêmerecommandéqu'ilsoitpublicetpubliéafinquela communautéscientifiquepuissetestersarésistanceauxattaquesettrouverlesfaillesavant qu'unattaquantnelesexploite.garderunalgorithmesecretnerenforcepassasécurité. Unsystèmedechiffrementestditfiable,robuste,sûrousécurisé s'ilresteinviolable indépendammentdelapuissancedecalculoudutempsdontdisposeunattaquant.ilpeutêtre qualifiéd'opérationnellementsécurisésisasécuritédépendd'uneséried'opérationsréalisables enthéorie,maisirréalisablespratiquement(tempsdetraitementtroplongenappliquantles méthodesderésolutionconnuesetenutilisantlapuissancedecalculdisponible). Ilexistedeuxtypesdechiffrement: Chiffrementsymétrique Lesystèmedechiffrementestqualifiédesymétriquesi,pourchiffreroudéchiffreruntexte,il fautdétenirunemêmeclépoureffectuercesdeuxopérations.l'émetteuretlerécepteur doiventposséderetutiliserlamêmeclésecrètepourrendreconfidentiellesdesdonnéeset pourpouvoirlescomprendre. Chiffrementasymétrique Unsystèmedechiffrementasymétriqueestbasésurl'usaged'uncoupleuniquededeuxclés complémentaires,calculéesl'uneparrapportàl'autre.cettepairedecléestconstituéed'une clépubliqueetd'unecléprivée.seulelacléditepubliquepeutêtreconnuedetous,tandisque lacléprivéedoitêtreconfidentielleettraitéecommeunsecret.ondoitconnaîtrelaclé publiqued'undestinatairepourluienvoyerdesdonnéeschiffrées.illesdéchiffreraàleur réceptionavecunecléprivéequ'ilestleseulàconnaître.lemessageestconfidentielpourle destinatairedanslamesureoùluiseulpeutledéchiffrer. 15

26 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS I.3.2Classificationetprincipesdesmesuresdesécurité Lesmesuresdesécuritésedistinguent(figure1 13)etseclassifientselonleurniveau d'intervention. Elles contribuent toutes à protéger les ressources critiques de menaces particulières.plusieurstypesgénériquesdemesuresdesécuritésontidentifiés: Lesmesuresstructurelles,commel'occultationdesressources,lesredondances,la fragmentation de l'information, par exemple, qui réduisent la vulnérabilité des ressourcesenagissantsurlastructureetl'architecturedusystèmed'information. Les mesures de dissuasion qui autorisent une prévention en décourageant les agresseursdemettreàexécutionunemenacepotentielle.ilpeuts'agirdeprocédures juridiquesetadministrativestouchantàlasensibilisationetàlagestiondesressources humaines,auxconditionsdetravailouauxmoyensdedétectionetdetraçage. Lesmesurespréventivesquiserventdebarrièreafind'empêcherl'aboutissementd'une agression(incident,malveillance,erreur,etc.)etfontensortequ'unemenacen'atteigne passacible.lesprocéduresdecontrôlesd'accèsphysiqueetlogique,lesdétecteursde virus,entreautres,peuventjouercerôle. Les mesures de protection qui ont pour objectifs de réduire les détériorations consécutivesàlaréalisationd'unemenace.enparticulier,lescontrôlesdecohérence, lesdétecteursd'intrusion,d'incendie,d'humidité,d'erreursdetransmission,etles structurescoupe feupermettentdeseprotégerdesagressionsoud'enlimiterl'ampleur. Les mesures palliatives ou correctives, telles que les sauvegardes, les plans de continuité,lesredondances,lesréparationsoucorrectionsparexemple,quipallientou réparentlesdégâtsengendrés. Lesmesuresderécupérationquilimitentlespertesconsécutivesàunsinistreetréduisentle préjudicesubiparuntransfertdespertessurdestiers(assurance)ouparattributionde dommagesetintérêtsconsécutifsàdesactionsenjustice. Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité Ilexistedesscanneursdevulnérabilitépermettantauxadministrateursdesoumettreleur réseauàdestestsd'intrusionafindeconstatersicertainesapplicationspossèdentdesfaillesde sécurité.lesdeuxprincipauxscanneursdefaillessont: Nessus SAINT Ilestégalementconseilléauxadministrateursderéseauxdeconsulterrégulièrementlessites tenantàjourunebasededonnéesdesvulnérabilités: 16

27 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS SecurityFocus/Vulnerabilities Ainsi,certainsorganismes,enparticulierlesCERT(ComputerEmergencyResponseTeam), sontchargésdecapitaliserlesvulnérabilitésetdefédérerlesinformationsconcernantles problèmesdesécurité. CERTISTdédiéàlacommunautéIndustrie,ServicesetTertiairefrançaise, CERTISTdédiéàl'administrationfrançaise, CERTRenaterdédiéàlacommunautédesmembresduGIPRENATER(Réseau National de télécommunications pour la Technologie, l'enseignement et la Recherche). Auniveaudesmesuresdesécuritéaussidesévolutionsontétéobservées.Enprenantpar exemplelecasdespare feux,lestoutpremiersétaientdits«stateless»ousansétat.unpare feusansétatregardechaquepaquetindépendammentdesautresetlecompareàunelistede règlespréconfigurées. Ladeuxièmegénérationdepare feuestlepare feuàétatsou«statefull».certainsprotocoles dits«àétats»commetcpintroduisentlanotiondeconnexion.lespare feuàétatsvérifient laconformitédespaquetsàuneconnexionencours. Latroisièmegénérationdepare feuestlepare feuapplicatif.dernièrevéritablemouturede pare feu,ilsvérifientlacomplèteconformitédupaquetàunprotocoleattendu.parexemple, cetypedepare feupermetdevérifierqueseulduhttppasseparleporttcp80. Laquatrièmegénérationdepare feuestlepare feuidentifiant.unpare feuidentifiantréalise l identificationdesconnexionspassantàtraverslefiltreip.l'administrateurpeutainsidéfinir lesrèglesdefiltrageparutilisateuretnonplusparip,etsuivrel'activitéréseauparutilisateur. Lacinquièmegénérationdepare feuestlepare feupersonnel.lespare feuxpersonnels généralementinstalléssurunemachinedetravail,agissentcommeunpare feuàétats.il s agitenfaitdenouveauxantivirusquiintègrentdespare feux.aujourd hui,toutesces évolutionsdespare feuxontconduitàunesituationtellequ iln estplusaisédedifférencier leseffetsd unpare feuclassiqueetceuxd unantivirus. Aprèslespare feuxsontapparuslesconceptsderéseauxprivésvirtuels(vpn).ensuitecefut letourdessystèmesdedétectionetdepréventiond intrusions.cessystèmesquisontréputés êtreplusfiablesquelespare feuxserontanalysésetdécortiquésdanslatroisièmepartiedece documentcarilsviennentenréponsesauxattaquescibléesquisemanifestentsouventsousla formed intrusionsinformatiques. Etantdonnél'augmentationdesmenacescombinées,duspametdesattaquesdephishing,il n'ajamaisétéaussiimportantdecommuniqueràl'utilisateurquelssontlesmeilleursmoyens deseprotéger. Uneéthiquesécuritairedoitêtredéveloppéeauseindel'entreprisepourtouslesacteursdu systèmed'information.elledoitsetraduireparunechartereconnueparchacunetparun engagementpersonnelàlarespecter.lasignaturedelachartedesécuritédoits'accompagner desmoyensauxsignatairesafinqu'ilspuissentlarespecter. Deplus,ilestégalementnécessaired'éduquer,d'informeretdeformerauxtechnologiesde traitementdel'informationetdescommunicationsetnonuniquementàlasécuritéetaux mesuresdedissuasion.lasensibilisationauxproblématiquesdesécuriténedoitpasselimiter àlapromotiond'unecertaineculturedelasécuritéetdesonéthique.enamontdelaculture sécuritaire,ildoityavoiruneculturedel'informatiquecequicorrespondàlanotionde permis de conduire informatique que prône le Cigref (Club informatique des grandes entreprisesfrançaisesdontlesiteinternetestwww.cigref.fr). 17

28 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS L'auditestuneprocéduredecontrôledelagestiond'uneactivitéetdel'exécutiondeses objectifs.enmatièredesystèmesd'information,l'auditdesécuritéapourobjectifdemesurer l'écartentrelasituationexistante(surlesplansorganisationnels,procédurauxettechniques)et lapolitiquedesécuritédel'entreprise,lesbonnespratiquesetl'étatdel'art. Unauditdesécuritédoitconduire,audelàduconstat,d'unepartàmesurerlesrisques opérationnelspourledomaineétudié,etparextensionpourtouteoupartiedesactivitésde l'entreprise,etd'autrepartàproposerdesrecommandationsetunpland'actionsquantifiéeset hiérarchiséespourcorrigerlesvulnérabilitésetréduirel'expositionauxrisques. Lesauditsfontintervenir: Soituneéquipepluridisciplinaired expertsinterneàl entreprise; Soituneéquipepluridisciplinairecomposéedeconsultantsetd'ingénieurs(experts dansleursdomaines)externesàl entreprise. Lestestsd'intrusion(enanglais«penetrationstests»,abrégéenpentests)consistentà éprouverlesmoyensdeprotectiond'unsystèmed'informationenessayantdes'introduiredans lesystèmeensituationréelle. Ondistinguegénéralementdeuxméthodesdistinctes: Laméthodedite «boîtenoire» (en anglais «blackbox»)consistantàessayer d'infiltrerleréseausansaucuneconnaissancedusystème,afinderéaliseruntesten situationréelle; Laméthodedite«boîteblanche»(enanglais«whitebox»)consistantàtenterde s'introduiredanslesystèmeenayantconnaissancedel'ensembledusystème,afin d'éprouveraumaximumlasécuritéduréseau; Untestd'intrusion,lorsqu'ilmetenévidenceunefaille,estunbonmoyendesensibiliserles acteursd'unprojet.acontrario,ilnepermetpasdegarantirlasécuritédusystème,dansla mesureoùdesvulnérabilitéspeuventavoiréchappéauxtesteurs.lesauditsdesécurité permettentd'obtenirunbienmeilleurniveaudeconfiancedanslasécuritéd'unsystèmeétant donnéqu'ilsprennentencomptedesaspectsorganisationnelsethumainsetquelasécuritéest analyséedel'intérieur. Aprésent,nousallonspasseràl étatdeslieuxdelasécuritéinformatiquedanslemonde. I.4 Etat des lieux de la sécurité informatique dans le monde Pour mieux prendre conscience de la problématique de la sécurité informatique et de l Internet,leschercheurssebasentsouventsurdesétudes,recherchesdelaboratoire,enquêtes etconstatsdescentresspécialisésdanslacollectedesinformationsconcernantl informatique etsonévolution. LeComputerCrimeandSecuritySurvey(CCSS CSI)réalisechaqueannéeundessondages lespluspertinentsauxetats Unisausujetdesproblèmesmenaçantlasécuritéinformatique. Elle mène ses recherches auprès des organismes gouvernementaux, institutions civiles, multinationales,universités,hôpitauxetc.le12èmesondageannuelducsiencollaboration aveclefederalbureauofinvestigation(fbi)afournideschiffresetstatistiquesalarmantssur l étatdelasécuritéinformatiqueetdel Internetencequiconcernel année

29 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LeGlobalSecuritySurvey,uneautreétudenonmoinsintéressanteémanedu«ItRisk ManagementAndSecurityServices»duGroupe«GlobalFinancialServicesIndustry (GFSI)».Cegroupeappartientaucabinetd auditetdeconseilbritannique«deloittetouche Tohmatsu(DTT)».Lesdomainesd activitédecettemultinationalesontl audit,lejuridique, lafinance,l expertisecomptable,lacertification,lafiscalité,laconsultationengestionetles conseilsfinanciers.ilpossèdeplusde150000collaborateursdanslemondeavecunchiffre d affaires élevantà23,1milliardsdedollarspourl exercice Cegroupeest présentàtravers69firmesdans142paysàtraverslemonde. LeClubdelaSécuritédel InformationFrançais(CLUSIF)aussiréalisechaqueannéeun rapportintitulé«lesmenacesetlespratiquesdesécurité».lerapport2008duclusifa concerné354entreprisesdeplusde200salariés,194collectivitéslocaleset1139individus issusdupaneld'internautesdel'institutspécialiséharrisinteractive. Figure1 14:Statistiquesdesréponsesparsecteurd activité TandisquelessondagesduCSIetduCLUSIFsefocalisentsurunepopulationtrèsdiversifiée maislimitéerespectivementauxetats Unis(figure1 14)etenFrance,lesondageduGFSI s intéresseplutôtauxinstitutionsfinancièrescommelesbanquesetlesfirmesd assurance danslemondeentier(figures1 15et1 16). Figure1 15:Statistiquesdesréponsesparsituationgéographique 19

30 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage Aprèsuneanalyseapprofondiedesrésultatsdecestroissondages,lepremierconstatquenous pouvonsfaireestquel ensembledesattaquesportéescontrelessystèmesetlesréseaux informatiques des entreprises et des organisations leur causent des pertes financières considérablesetd énormesdommagesencequiconcerneleurimageetleurréputation(lecas desdénisdeservice). Enanalysantlegraphiquedelafigure1 17tirédurapportduCSI,rienqu auxetats Unis,on estimelespertescauséesparlesfraudesfinancièresà$ et$ encequi concernelesvirusetlesspywares.toutcecirienqu en2007.lesfraudesfinancièresont doncprislapremièreplacequiétaitoccupéparlesvirus. Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques LesauteursdurapportduCSIontestiméquelespertesfinancierscauséesparlesdiverstypes d incidentsdesécuritéontconnuunebaisseprogressivecescinqdernièresannéesycompris enl an2006maispaspourl année2007.eneffet,letotaledespertesen2007(mêmesile 20

31 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS nombredepersonnesayantréponduàcettequestionrelativeauxpertesadiminué:194)aété estiméà$ cequiestunehaussesignificativecaren2006cetotalétaitde $ pour313réponsesobtenues. Lameilleuremanièred appréciercespertesfinancièresestdelesvoirsousformedemoyenne despertesparpersonneinterrogée(organismeoureprésentantayantparticipéausondage)et c estjustementcequemontrelafigure1 18.Cetteannée,lamoyennedespertesparpersonne interrogéeestde$345005cequireprésenteunetrèsfortehausseparrapportaurésultatde l an2006quiétaitde$ Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés. Lesmesuresdesécuritéprisesengénéralparlesorganisationscontrelesattaquessontbasées sur des composants et logiciels comme les antivirus et les pare feux qui ne sont fondamentalement pas parfait en raison de l évolution quasi quotidienne des menaces informatiques.celaestdûengrandepartieaufaitquecestechnologiessebasentsurla détectionpardessignatures.cetteapprocheparrecherchedesignaturedesmenacesconnues n estpastoujourstrèspratiquecarlesconcepteursdelogicielsmalveillants(virusetautres) ontprogressivementaugmentélasophisticationdeleursoutilsàunpointtelqu illeurest possibled outrepasserlesanti virusquasimentàvolonté(selonlesauteursdelapremière étude).certesc estsouventpouruncourtmoment(letempsquelesconcepteursd antivirus réagissent)maiscescourtsmomentssontsouventsuffisantspourcesmalfaisantspourréaliser leursméfaits. L usagedel informatiqueetd Internetàlamaisonestmaintenantlargementbanalisé.Le comportementdesutilisateursdel informatiqueenentrepriseestdeplusenplussouvent influencéparlapratiqueprivée,etlesfrontièresentrelesdeuxmondesdeviennentplus floues.l enquêteduclusifmontrequ untiersdesinternautesutilisentl ordinateurfamilial aussiàdesfinsprofessionnelles(figure1 19),cequiposequelquesquestionssurlaprotection desdonnéesdel entreprise Etsilesinternautessontglobalementprudentsdèsqu ils agit d achatsurinternet,etsemblentconscientsdel utilitédesoutilsdeprotection(antivirus,pare feupersonnels,etc.),ilsnesesententquepouruneminoritéd entreeuxvéritablementen«insécurité»surinternet. 21

32 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 19:Typesd usagedel ordinateurfamilial Pendantqueleslogicielsmalveillantsdeviennentdeplusenplussophistiqués,lessystèmes d exploitationactuelsdeviennentdeplusenpluscomplexes,comportantainsiuneinfinitéde vulnérabilités.ilsuffitdeconsulterlesbulletinsd informationdescertpourconstaterqu on endécouvrequasimenttouslesjours. Danscecontexteoùlesvirus,leschevaux de Troieetlesautreslogicielsmalveillants deviennentdeplusenplussophistiqués,onassisteàlarecrudescenced untyped attaquesqui était encore il y a cinq ans seulement évoqués dans les débats théoriques sur la cybercriminalité.aujourd huiceladevientuneréalitésionencroitlafigure1 20: Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées Ils agitdesattaquesciblées.selonlesauteursdusondage2007ducsi,cen estqu encette année(2007:annéedurapportactuel,c'est à direlerapportleplusrécentducsicarceluide 2008sortiraendébut2009)quecettequestionaétéajoutéedanslesformulairesdusondage. 32%deceuxquiontréponduàcettequestionestimentavoireffectivementessuyéscetype d attaque(figure1 20).Lesattaquescibléessontplusdifficilesàdétecterquelesattaques génériquesetconventionnellesquesubitl ensembledelacommunautédesutilisateursdes ressourcesinformatiques.c estpourquoiellessontplusdangereusescarlessystèmesvisésla plupartdutempsnes enrendentmêmepascompte(ouelless enrendentcompteparfoisbien longtempsaprès).etantdonnéquelesattaquescibléesréussissentleplussouventàatteindre leursobjectifs,silescriminelsquilefontsontattirésparl appâtdugain,ilestfortpossible quedanslesprochainsrapportsducsietdugfsi,onendénombreraencorebeaucoupplus. Par ailleurs, la demande croissante de mobilité et d interopérabilité des fonctions informatiquesetdelasécuritéaprogressivementconduitàunegrandevariétédemoyensde communication.toutescesméthodesettechniquesapportentbiensûrellesaussileurslotsde risquesenmatièredesécuritéinformatique.lesauteursdurapportduglobalsecuritysurvey [GLO07]rapportentainsique77%despersonnesetorganismesinterrogésontindiquésqu ils avaientfaitl expériencedeplusieurscasrépétésdedécouvertesdebrèchesdesécuritédans leursréseauxousystèmesinformatiques. Iln estdéjàpasbonsignededécelerdesbrèchesdanssonsystèmedesécuritémaisquand uneouplusieursmêmesbrèchesréapparaissentplusieursfoisdesuite(découverte,fermeture ensuiteredécouverte),celadevientunsérieuxrisquepourl entrepriseoul organisationetily alieudevraiments inquiéteretd approfondirlesinvestigations. Lesbrèchesdesécuritécauséesparlesvirusetleschevaux de Troiesontsouventplus fréquentsqueceuxcauséesparlesemployéstantintentionnellementqu accidentellement.le tableaudelafigure1 22montreunaperçugénéraldesréponsesobtenuesencequiconcerne lesbrèchescauséespardesfacteursexternes.ilestparticulièrementinquiétantdeconstater 22

33 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS quepourl année2007,lesattaquespare mail(spamsetspyware)ontprislapremièreplace danslalisteavec52%despersonnesinterrogéesquiontrapportéslesavoirsubit. Encequiconcernelesbrèchescrééespardesfacteursinternesauxorganismes(tableau1 1), ilestheureuxdeconstaterquelesincidentsdugenrevirus,versoufraudesfinancièresont largementbaisséscestroisdernièresannées.de31%en2005,onestpasséà28%en2006 puisà18%en2007.toutefoislescasd accidents(13%)etdepertesdesdonnéesprivéesdes clients(8%)ontétésignaléspourlapremièrefoisdanslerapportdecetteannéeselonle tableau1 2. Tableau1 1:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs Tableau1 2:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs SelonlesauteursdusondageduGFSI,parmilesdommagesoccasionnésparcesbrèches,58% sontdespertesfinancièresdirectes,30%despertesindirecteset12%despertessonttouchent négativementàlaréputationdesentreprises. LesauteursdusondageGFSIsoulignentaussilefaitqu àlaquestiondesavoirsileur organisation va au delà de l authentification par des mots de passe pour réaliser les transactionssurinternetavecleursclients,unpeuplusdelamoitié(51%)ontrépondupar l affirmativetandisque14%et7%ontréponduêtresurlepointdelefairerespectivement dansles12et24moisprochains. Quantàlaquestiondesavoirsiunévénementanormal(desévénementsautrequeceuxdu typeanalysecomplèteetrapideduréseaupardessniffers)aétéconstaté,46%despersonnes sondéesontréponduparl affirmativeselonlesauteursdurapport2007dusondageducsi. Cepourcentageestenbaisseparrapportau52%del année2006,au56%del année2005et surtoutaupicde70%del an

34 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Danslemêmesens,ilaétédemandéauxpersonnessondéesd estimerlenombred incidents qu ilsauraientessuyésdurantles12derniersmois(2007).lafigure1 21indiquequele nombred incidentsdétectésasignificativementaugmentésurtoutencequiconcernela tranchedeceuxquiontestiméavoirsubitplusde10attaques(de9à26%). Figure1 21:Statistiquesdunombred incidentssubitces12derniersmoisparlesorganisations. Lafigure1 22montrelepourcentagedesattaquesprovenantdel intérieurmêmedes entreprisesetdesorganisationsauxetats Unis.Commeonpeutlevoir,27%despersonnes sondéesattribuentmoinsde20%deleurspertesfinancièresauxmenacesinternes.37%des personnesinterrogéesestimentlepourcentagedeleurspertesattribuéesauxmenacesinternes entre20et40%.etseulement5%delapopulationsondéeattribueplusde80%deleurs pertesauxmenacesinternes. Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise. Encequiconcernelesentreprises,l édition2008durapportduclusiffaitressortirun inquiétantsentimentdestagnation.entre2004et2006desprogrèsnotablesavaientétéfait, enparticulierdansledomainedelaformalisationdespolitiquesetdeschartesdesécurité. Maisdepuis,ilsemblebienquelamiseenapplicationconcrètedecespolitiquessoitrestéeun vœupieu.40%desentreprisesnedisposenttoujourspasdeplandecontinuitéd activitépour traiterlescrisesmajeures,contre42%en2006(figure1 23).Et30%d entreelledisentne pasêtreenconformitéaveclaloiinformatiqueetliberté 24

35 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI Selonlediagrammeissudelafigure1 24durapportduCLUSIF,59%desentreprisesdisent réaliseruneveillesystématiqueoupartiellesurlesnouvellesfaillesdesécuritéetsurles nouvellesattaques. Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité Lesgrandesentreprisesdéclarentplussouventréaliseruneveillesystématique,c'est à dire couvranttrèslargementlepérimètredeleursenvironnementstechniques. Cechiffreresteà peuprèsstableparrapportà2006.lesentreprisesn ontglobalementpasrenforcéleur vigilancevis à visdesmenaces. Selonlesauteursde[CSI07],touteslescatégoriesd attaquesonttendanceàdiminueren nombredepuisquelquesannées.pourtant,pourl année2007,unehausseaétéconstatéeence quiconcerneparexemplelesabusliésaupersonnelinternedesentreprises(insiderabuseof networkaccessor )commelesvisitesdessiteswebpornographiquesoul utilisationdes logicielspiratés.de42%en2006onestpasséà59%.enoutre,pourlevoldesordinateurs portablesetautresaccessoiresmobiles,ondéploreaussiunelégèrehaussede47%à50%. Encequiconcernelepourcentagedesentreprisesouorganismesayantsubitdesincidentssur leursiteweb,lafigure1 25parled ellemême.40%desorganismesinterrogésestimentavoir essuyéentre1et5incidentsdecetype. 25

36 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleursitesweb. SelonlesauteursdurapportduCSIde2007[CSI07],lepourcentagedesorganisationsqui ont rapporté des intrusions dans leurs réseaux ou systèmes informatiques continue d augmenteraprèsavoirconnuunelonguepériodedebaisse(duecertainementaumanquede confiancedanslescertautourdesannées2000).cetteannée,29%desorganisationsqui ontparticipéausondagedisentavoirinformélesinstitutionscommelescert.c estune légèrehausseparrapportà2006(25%).lafigure1 26montrejustementlepourcentagedes actionsetmesuresdesécuritéprisesengénéralsuiteàuneattaqueouàunincidentde sécurité. Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident. Degrosseslacunesdanslacompréhensiondessituationsàrisqueontétéconstatéesparles auteursdurapportduclusif.pourlesinternautesinterrogéssurlescomportementsetles situationsàrisque,l'absencedeprotectionsvis à visdesmenacesviralesarrivelogiquement enpremièreplace(figure1 27). 26

37 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes Nousdevonsnoterlebesoind éducationetdesensibilisationauxbonnespratiquesdes utilisateursquiconsidèrentmajoritairementquenepasmettreàjourleurssystèmeset navigateursn augmentepasfortementlesrisques,alorsqu enpratique,c estprimordial.un systèmed exploitationpasàjour,mêmedotéd unantivirus,seralaplupartdutemps vulnérableauxattaquesexternes. Pourconclureleurrapport,lesexpertsduCLUSIF[MEN08]ontaffirméque:«la menacenefaiblitpasetnotreenquêtemontredenouveauquelesmalveillancesetles incidentsdesécuritésontbienréels,avecuneprésencetoujoursactivedesattaquesvirales, desvolsdematériel,etunaccroissementdesproblèmesdedivulgationd informationetdes attaqueslogiquesciblées.etl actualitérécenten acessédedémontrerlesgravesimpactsdes déficiencesenmatièredesécurité(fraudebancaire,divulgationdedonnéespersonnelles, etc).sortirdespolitiquesdesécurité«alibi»,quel onrédigepoursedonnerbonne conscience,pourallerversdespratiquesconcrètes,réellementancréesdanslesprocessusde gestiondel information,voilàdoncl enjeupourlesannéesàvenir» Quantauxauteursdesdeuxautresrapports[GLO07],[CSI07],ilss accordentpourdireque mêmes ilestmaldeprojeterlatendancedesrésultatsd uneseuleannéeauxannées prochaines,ilyanéanmoinsunefortesuggestionexprimantquelesmenacesémergentes commencentàsematérialiserendespertesfinancièresenfortecroissance.ilss accordent aussiàdirequelesnouvellesmenacesprennentdel ampleur(lesattaquescibléespar exemple). Gartner[CSI07]aestiméquelerevenumondialdeslogicielsdesécuritéestmontéà$7,4 milliardsen2005,uneaugmentationde14,8%durevenude2004quis élevaità$6,4 milliards;$4milliardsdecemontantconstituaitlerevenugénéréparleslogicielsanti virus. End'autrestermes,l'identificationdesmodèlesdeviruscomptaitpour54,3%detoute l'industriedeslogicielsdesécurité.enoutre,leslogicielsanti virusnesontpaslesseulsoutils desécuritéquiutilisentlarecherchebaséesurlessignatures.laplupartdeslogicielset matérielsdepare feufonctionnentselonlemêmeprincipe,pourtantcestechniquesde rechercheparsignaturesdeviennentinsuffisantsnotammentcontrelesattaquesciblées.les 27

38 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS piratesaméliorentleurslogicielsetoutilsmalveillantsàunpointoùladétectionpardes signaturesn estplusaussiefficacequ àsesdébuts. L undesproblèmesmajeuresauquellemondedestechnologiesfaitfaceactuellementestque lessystèmesd exploitation,lesapplicationsetleslogicielsquisontdéveloppésaujourd hui utilisentdestechnologiesetdescomposantstellementcomplexes(souventsousleprétexte d unmeilleurdesign)qu ilsregorgentmalheureusementdemultiplesvulnérabilitésqueles CERT découvrent et publient quasiment chaque jour. Pendant ce temps, les criminels informatiquesconçoiventdeslogicielsetoutilsdeplusenplussophistiqués.ainsi,pendant que les pirates disposent d armes de plus en plus performantes, les grandes firmes informatiques(microsoftetautres)leuroffrentsurdesplateauxdesciblesparfaitesquesont lesutilisateursfinaux(organisations,entreprisesetparticuliers). Danslepassé,lalutteausujetdelasécuritéinformatiqueavaitlieuentrelesprofessionnelsde lasécuritédesentreprisesetlescriminelsquiattaquaientleursréseaux.aujourd huic est devenuencorepluscompliqué.lescriminelsattaquentàlafoislesréseauxdesentrepriseset lesdonnéespersonnellesdesclientsdecesentreprises.c'est à direqu ilsvolentcesdonnées auseindesentreprisesetlesemploientaprèspourattaquerlesdifférentsclients. Unautreconstatestquel ensembledesfirmesdehautestechnologiessembleseconcentrer sérieusementsurlarénovationdessystèmesdegestiond'identité(figure1 28). Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen2007. C estunetendancequi,sielleréussit,pourraittrèsbiencourt circuitercetterecrudescencede cybercrimesquenousconstatonsdepuislesannées2000.eneffet,ilserabeaucoupplus difficiled'utiliserdesastucesinformatiquespourcommettredescrimesenlignesiles utilisateurssontobligésdes authentifiersanséquivoque,enemployantdesidentifiantsplus fiablesquedesadressese mail.lorsqu ilscommettrontdesinfractions,ilseraalorsfacilede retrouverleursnomsetadressesdanslemonderéel.c estpourquoilesentreprisesquiont participéausondagedugfsiontmisentêtedeleurlistedeprioritéslarénovationdeleur systèmedegestiond identitéscommelemontrelafigure1 28. Unegestiond'identitéplusrigoureuse(enparticulieravecdesprotectionsplusappropriéesde lavieprivée)pourraitêtreunebonnecarteàjouerpourlesentreprises(d autresentreprennent également les révisions de leurs applications pour les rendre moins vulnérables) qui désireraientselibérerdelamenaceoudel emprisedespirates. Arrivésàlafindecettepremièrepartie,nouscomprenonsclairementquelasituationdela sécuritéinformatiqueesttoutdemêmeinquiétante.commenousledisionsunpeuplushaut, pendantquelescybercriminelsdeviennentdeplusenplusnombreuxetquedesoutils permettantdemenerdesattaquesinformatiquesdeviennentdeplusenplusdisponiblesen libre téléchargement sur Internet, le nombre de failles ou de brèches des nouvelles applicationsetsystèmesd exploitationaugmenteégalementàgrandevitesse.l évolutiondes menaces informatiques suit donc l évolution de l informatique elle même et celle des 28

39 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS technologiesengénéral.leconstatestdoncquelesproblèmesdesécuritéinformatiquessont multiformesetmultidimensionnels(humains,juridiques,techniquesetc.)etfaceàcette complexité,ilexistedemultiplessolutionsparmilesquelsnousavonscitélechiffrement,les pare feux,lessystèmesdeprotectioncontrelesintrusionsetc. Leproblèmequiressortestdoncdesavoircommentmettreenœuvrecessolutionsdemanière àpouvoirrépondreefficacementetparconséquentdepouvoirréellementbienseprotégerde cesmenacesmultiplesetcomplexes. Danscecontexte,lasolutionqueproposentlesexpertsensécuritéestladéfinitionetlamise enapplicationd unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Lesresponsablesdesécuritéontdoncledevoirdefairetoutleurpossiblepourgarantirau mieuxlasécuritédansleursorganismesrespectifsenmettantenplacedesstratégiesde sécuritéadéquates.c'est à diredesstratégiesdesécuritéquiconviennentlemieuxaux prioritésdeleursorganismes.c estpourquoi,nousallonsdansladeuxièmepartiedenotre documentvoircequ estréellementunestratégiedesécurité. 29

40 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre2:Lesstratégiesdesécuritédessystèmes d information Lesprincipalespréoccupationsdesacteursdelasécuritésontrelativesàl appréhension globale de la maitrise des risques technologiques et informationnels via une approche intégrative et évolutive, tenant compte des facteurs d ordre humain, technologique, économiqueetpolitiquedesquestionsdesécurité. Entrebesoinsetsolutionsdesécurité,entrefacilitéd utilisationetefficacitédessolutionsde sécurité,entredélaisdedisponibilitédesolutionsefficacesetcoûtsdedéveloppementet d intégration,entreniveaudesécuritéetcoûtsdessolutions,l équilibreàtrouverpasseparun compromis.cedernier,résultatémanantduchoixconsistantàprivilégierunfacteurau détrimentd autres.unéquilibreestàobtenirentrelesbesoinsdesécuritéetlesdimensions financièresethumainesdelamiseenœuvreopérationnelledessolutionsdesécuritéviables. Leniveaudesécuritédesinfrastructuresrésultedoncd uncompromisentretroisprincipaux facteurs:lecoût,leniveaudesécuritéetletempsdelivraison.ilestillusoiredecroireque cestroisfacteurspourraientêtresatisfaisantssimultanément.deschoixdoiventêtreeffectués pourdéterminerlefacteuràfavoriseretàpartirduquel,lesdeuxautresdevrontêtreadaptés. Lasécuritéinformatiqued uneorganisationdoits appréhenderd unemanièreglobale.elle passeparladéfinitiond unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Cettedernièrecomporteralamotivationetlaformationdupersonnel,lamiseenplacede mesuresainsiqueparl optimisationdessolutions.l utilisationd outilsoudetechnologiesde sécuriténepeutpasrésoudrelesproblèmesdesécuritéd uneorganisation.enaucuncas,elle nesesubstitueàunegestioncohérentedel ensembledesproblèmesdesécurité. L abandondespolitiquesdesécurité«alibi»qu onrédigejustepoursedonnerbonne conscience,etl évolutionversdespratiquesconcrètesréellementélaboréesdanslesprocessus degestiondel information,voiladoncledéfitdesannéesfutures. II.1Définitionsetconceptsdesstratégiesdesécurité II.1.1Définitions L'objetdelasécuritépeutsedéfinircommeunecontributionàlapréservationdesforces,des moyensorganisationnels,humains,financiers,technologiquesetinformationnels,donts'est dotée une organisation pour la réalisation de ses objectifs. La finalité de la sécurité informatiqueauseind'uneorganisationestdegarantirqu'aucunpréjudicenepuissemettreen périllapérennitédel'entreprise.celaconsisteàdiminuerlaprobabilitédevoirdesmenaces seconcrétiser,àenlimiterlesatteintesoudysfonctionnementsinduits,etàautoriserleretour àunfonctionnementnormalàdescoûtsetdesdélaisacceptablesencasdesinistre. Unestratégiedesécuritéconsistedoncàconcevoiruneconduitegénéraledeprotection, d'organisationdeladéfense(démarcheproactive)etd'élaborationdeplansderéaction (démarcheréactive).elles'inscritdansuneapproched'intelligenceéconomiqueafinde permettreunevéritablemaîtrisedesrisquesopérationnels,technologiquesetinformationnels. 30

41 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 1:Objectifsdelasécurité Unrisqueestundangeréventuelplusoumoinsprévisible.Ilsemesureàlaprobabilitéqu'il seproduiseetauximpactsetdommagesconsécutifsàsaréalisation.unrisqueexprimela probabilitéqu'unevaleursoitperdueenfonctiond'unevulnérabilitéliéeàunemenace,àun danger. Lamaîtrisedesrisquesinformatiquesconsisteàlesréduireàunniveauacceptablepour l'organisationafind'éviterdemettreencausesaproductivitéetsapérennité. Lafrontièreentrelerisqueacceptableetceluiquinel'estpasestparfoisdifficileàdéterminer objectivementcar,elledépendfortementdesobjectifsdel'organisationetdudegrédecriticité desesressources. II.1.2Conceptsdesstratégiesdesécurité Lamiseenplaced unestratégiedesécuritéreposesurdesinvariantsqui,s ilssontadoptés parl ensembledel organisation,facilitentlamiseenplaceetlagestiondelasécurité.il s agitdesprincipesdebasesuivants: Principedevocabulairequiestuneabsoluenécessitédes accorder,auniveaude l organisation,surunlangagecommundedéfinitiondelasécurité; Principedecohérence,caruneaccumulationd outilssécuritairesn estpassuffisante pourréaliserunniveauglobaletcohérentdesécurité.lasécuritéd unsystème d information résulte de l intégration harmonieuse des outils, mécanismes et procéduresliésàlaprévention,àladétection,àlaprotectionetàlacorrectiondes sinistresrelatifsàdesfautes,àlamalveillanceouàdesélémentsnaturels; Principe de volonté directoriale qui résulte directement de la considération de l information comme ressource stratégique de l entreprise. Il est donc de la responsabilitédesesdirigeantsdelibérerlesmoyensnécessairesàlamiseenœuvreet àlagestiondelasécuritéinformatique; Principefinancier:lecoûtdelasécuritédoitêtreenrapportaveclesrisquesencourus. Lebudgetconsacréàlasécuritédoitêtrecohérentvis à visdesobjectifsdesécurité fixés; 31

42 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Principedesimplicitéetd universalité:lesmesuresdesécuritédoiventêtresimples, souples,compréhensiblespourtouslesutilisateursetdoivents appliqueràl ensemble dupersonnel; Principededynamicité:lasécuritédoitêtredynamiquepourintégrerladimension temporelledelaviedessystèmesetdel évolutiondesbesoinsetdesrisques; Principedecontinuum:L organisationdoitcontinueràfonctionnermêmeaprèsla survenued unsinistre.pourcela,ilfautdisposerdeprocéduresd urgenceetde reprise; Principed évaluation,decontrôleetd adaptation:ilestimpératifdepouvoirévaluer constammentl adéquationdesmesuresdesécuritéauregarddesbesoinseffectifsdela sécurité.celapermetdecontrôleretdevérifierquelesrisquessontmaitrisésde manièreoptimaledansunenvironnementdynamiqueetd adaptersinécessaireles solutionsdesécuritémisenœuvre.desoutilsdetype«tableaudebord»dela sécurité favorisent le suivi de la sécurité par une meilleure appréciation de la variabilitédescritèresdesécurité.l adéquationduniveaudesécuritéparrapportaux besoinsdesécuritédel entreprise,quisontparnatureévolutifs,estunsouciconstant duresponsablesécurité. Uneorganisationpeutainsirenonceràmettreenœuvreundispositifdesecours(backup)de soncentreinformatiqueauregarddesoncoûtrécurent.eneffet,cecoûtpeuts avérerêtre trèsélevéentermesderessourcesetdeprocéduresàutilisersil ontientcompte: Delaprobabilitédurisquededestructionphysiquetotaledesinfrastructures; Coûtdesmesures: 1. Desurveillanceetdedétection(incendie,inondation,intrusion,etc.); 2. Departitionnementdessallesmachinesignifugéesàdeuxheuresgaranties,sur lesquellessontrépartieslesapplicationscritiques. Decefait,lesrisquesrésiduels(attentats,chutesd avion,etc.)estleplussouventjugécomme acceptableparlesorganesdirigeantsdesinstitutions. II.1.2.1Pourquoilesstratégiesdesécurité? Lesrisquesetmenacespesantconstammentsurlessystèmesd information,unedéfaillance delasécuritédecesdernièresseraitcapabled entrainerdesconséquencesirréversiblessurla réalisationdesobjectifsstratégiquesdel organisationouvis à visdesescollaborateursou engagements. C estpourcetteraisonquelastratégiedesécuritédoitimpérativementprovenirdesplus hautessphèresdirigeantesdel organisme,entantqu instrumentdegestiondesrisques sécuritédusystèmed information.lastratégiedesécuritédessystèmesd informationtraduit fortementlareconnaissanceformelledel importanceaccordéeparladirectiondel organisme àlasécuritédesonousessystèmesd information. Faceàcesmenacessurlessystèmesd information,lesutilisateursexigentuneprotection adaptéedesinformationsetdesservicesde traitement,d archivage etdetransportde l information.lasécuritéestimmédiatementdevenuel unedesdimensionsessentiellesdela stratégiedel organismeetelledoitêtrepriseencomptedèslaconceptiond unsystème 32

43 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d informationafind assurerlaprotectiondesbiens,despersonnesetdupatrimoinede l organisme. Ainsi,lasécuritédessystèmesd informationviseenparticulieràprotégerlescomposantes suivantesdupatrimoine: Lepatrimoinematériel,composédebiensmatérielsnécessairesaufonctionnementde sesactivitésetdontladétériorationpourraitinterrompre,diminuer,oualtérerson activité;cepatrimoineestessentiellementcomposédestechnologiesdel information etdecommunication(serveurs,réseaux,postesdetravail,téléphonie),maisaussides procéduresetapplicationslogiciellestraduisantlesprocessusetlesfonctionsmétiers del organisme; Le patrimoine immatériel et intellectuel, composé de toutes les informations concourant au métier de l organisme (données scientifiques, techniques, administratives); Lesinformationsrelativesauxpersonnes(physiquesoumorales)avecquil organisme estenrelation,dontladestruction,l altération,l indisponibilitéouladivulgation pourraitentrainerdespertesouporteratteinteàsonimagedemarquevoireentrainer despoursuitesjudiciaires. II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire Lesconditionsdesuccèsdelaréalisationd unestratégiesécuritairesont,entreautres: Unevolontédirectoriale,carilnepeutyavoirdesuccèsd unestratégiesansla volontédirectoriale; Unepolitiquedesécuritésimple,précise,compréhensibleetapplicable; Lapublicationetdiffusiondelapolitiquedesécurité; Unegestioncentraliséedelasécuritéetunecertaineautomatisationdesprocessusde sécurité; Unniveaudeconfiancedéterminédespersonnes,dessystèmes,desoutilsimpliqués; Dupersonnelsensibiliséetforméàlasécurité,possédantunehautevaleurmorale; Desprocéduresd enregistrement,desurveillanceetd auditassurantlatraçabilitédes événementspourservirdepreuveencasdenécessité; Lavolontéd éviterdemettrelessystèmesetlesdonnéesensituationdangereuse; L expression,lecontrôleetlerespectdesclausesdesécuritédanslesdifférents contrats; Unecertaineéthiquedesacteursetlerespectdescontrainteslégales. L efficacitédesmesuresdesécuritéd unsystèmed informationnereposepasuniquementsur lesoutilsdesécurité,nisurlebudgetinvesti,maissurlaqualitédelastratégiedéfinie,sur l organisationmiseenplacepourlaréaliser,l évaluer,lafaireévoluerenfonctiondes besoins.celanécessiteunestructuredegestionadéquatepourconcevoirlastratégie,définir unepolitiquedesécurité,gérer,spécifierdesprocéduresetdesmesurescohérentes,mettreen place,valideretcontrôler. Il est clair que la stratégie relève du domaine de la direction générale; il faut donc comprendrequelesprérogativesdelastructureorganisationnelles inscriventdansundegré dedélégationappropriée.cettestructuredéterminelecomportement,lesprivilègesetles responsabilitésdechacun.ellecontribueàfairecomprendreàl ensembledesacteursde l organisationl importancedelasécuritéetdurespectdesrèglesdesécurité.ellespécifie(en 33

44 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS fonctiondefacteurscritiquesdesuccèsquipermettentd atteindrelesobjectifsdel entreprise) lesmesuresetlesdirectivessécuritairesappropriées.cesdernièresdoiventêtrerelationnelles parrapportauxplansdel entrepriseetdel informatique.unevisionstratégiquedelasécurité globaledel organisationestdoncprimordiale. II.2Miseenplaced unedémarchesécuritaire Lastratégiedesécuritérésidedansuncompromisjudicieuxentrelecoûtdesoutilsetdes procéduresàsupporterpourpallierlesrisquesréelsquipourraientaffecterlepatrimoinede l'entrepriseetlecoûtdesimpactsdelaréalisationdesrisques. Iln'existepasdestratégieprédéterminéeougénérale,niderecettepourdéfinirunestratégie. Chaquecontexted'organisation,descénarioderisquesoud'environnementestparticulier.On nepeutdéfinirderèglesgénéralesquidéterminentquellessontlesstratégiesousolutionsde sécuritéàimplanterpourmaîtriserunrisquedonné. Figure2 2:étapesderéalisationd unedémarchesécuritaire Ladémarchesécuritairesesubdiviseentroisgrandsaxes: Lastratégieglobaled entreprise; Lastratégiedesécurité; Lapolitiquedesécurité. Lapremièreétapestratégiqueconsisteàidentifierlesvaleursdel'entreprise,leurniveaude vulnérabilitéenfonctiondemenacesparticulièresetlerisquedepertetotaleoupartiellede cesvaleurs.àl'issuedecetteanalysedesrisques,unevisiondecequidoitêtreprotégé, contrequietpourquoiestformuléesouslaformed'unepolitiquedesécurité.ils'agitalorsde définirunevéritablestratégiedeprotectionetdegestiondelasécuritéenfonctiondes besoins,valeursetmenacesréellesqu'encourel'organisation.delapertinencedel'analysedes 34

45 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS risquesdépendral'identificationcorrectedesmoyensetdesmesuresdesécuritéàmettreen œuvrepourprotégerefficacementlesressourcesdusystèmed'information. L'étapesuivanteconsisteàchoisirpuisàmettreenplacelesoutilsetlesprocédures nécessairesàlagestiondesrisquesetàlasécuritédessystèmes,servicesetdonnées. Enfin,ilestimpératifdecontrôlernonseulementl'adéquationdessolutionsdesécuritéetleur cohérencelesunesparrapportauxautres,maiségalementlapertinencedelapolitiquede sécuritéenfonctiondesrisquesetdesmoyensfinanciersetlacohérencedesoutilsvis à vis delapolitique.uneévaluationpériodique,voireconstantedesmesuresdesécuritéenvuede leuroptimisation,permetderépondreaumieuxàl'évolutiondel'environnementdanslequel elless'inscrivent. II.2.1 Méthodes et normes d élaboration de démarches sécuritaires II.2.1.1Principalesméthodesfrançaises Ladémarchesécuritairetraitedel organisationdelasécurité,del inventairedesrisques relatifs aux actifs informationnels, de la définition d une architecture de sécurité, de l établissementd unplandecontinuité. Pour débuter une démarche sécuritaire, on s appuie sur une méthode qui facilite l identificationdespointsprincipauxàsécuriser(notiondechecklist).dansunpremier temps,ilfautpouvoiridentifierlesrisquesafind identifierlesparadesàmettreenplaceet gérerlerisquerésiduel.jusqu àprésent,lasécuritéreposeplussurunensemblereconnude bonnespratiquesquesuruneméthodologieunique. Diversesméthodespropriétairescommedesnormesinternationalesexistentetpeuventservir deguideàl élaborationd unepolitiquedesécurité.ellessontutiliséesplusoumoins complètementetleplussouventadaptéesàuncontexted analyse. LesméthodespréconiséesparleClusif(ClubdelaSécuritédel InformationFrançais)sontle MARION(Méthoded AnalysedesRisquesInformatiquesetOptimisationparNiveau)et MEHARI(MéthodeHarmoniséed AnalysedesRisques). Figure2 3:lesméthodespréconiséesparleClusif 35

46 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Au delàdel aideàl analysedesvulnérabilitésetdesrisques,méharipermetd avoirune visionglobaleetstratégiquedelaproblématiquedelasécuritédesentreprises,parla définitiond unplanstratégiquedesécuritéàpartirduqueldesplansopérationnelspourront être définis. Les différents niveaux de la sécurité sont ainsi appréhendés. Les vues stratégiques,tactiquesetopérationnellesainsiquelesmesuresspécifiquesàleursréalisations sontdistinguées. Laméthoded analysedesrisquesméhariseveutadaptable,évolutiveetcompatibleavecla normeiso Parailleurs,laDCSSI(DirectionCentraledelaSécuritédesSystèmesd Information)propose une méthode largement documentée, présentée et téléchargeable sur son site (http://www.ssi.gouv.fr).dénomméeebios(expressiondesbesoinsetidentificationdes objectifsdesécurité),cetteméthodeadoptéeparlesadministrationsfrançaises,permetde spécifierlesobjectifsdelasécuritédesorganisations,pourrépondreàdesbesoinsdéterminés. Ellefacilitélargementl appréhensionducontextedesécuritéetconstitueunevéritableaideà ladéfinitiondesobjectifsetdespolitiquesdesécurité.celapeutconduireàremplirle document«fiched ExpressionRationnelledesObjectifsdeSécurité(Feros)»pourcequi concernetouteslesressourcesclassées«défense»,afindedétermineraumieuxlesmesures desécuriténécessairesàleurprotection. Il existe également diverses directives nationales: allemandes issu du Bundesamt für Sicherheit Informationstechnik, canadiennes du CST (Centre de la Sécurité des Télécommunications),américainesissuesduNSI(NationalStandardsInstitue)desEtats Unis,parexemple,quitraitentdespolitiquesdesécurité. II.2.1.2NormesinternationalesISO/IEC17799 L'originedelanormeISO17799adoptéeparl'ISOàlafindel'année2000estlanormeBS 7799élaboréeparl'associationdenormalisationbritanniqueen1995.Avantd'êtrereconnue commeuneméthodederéférence,lanormeinternationaleiso17799atoutd'abordété contestéedufaitdesaprocédureaccéléréedenormalisation:ellen'avaitpasétéréviséepar lesétatsmembresavantd'êtrepubliéeetn'avaitdoncpastenucomptedessavoir faireet autresméthodesexistantsdansd'autrespays. L'adoptionparlemarchédelanormeISOaétéfavoriséeparlefaitquecertainescompagnies d'assurancedemandentl'applicationdecettenormeafindecouvrirlescyber risques. Baséesurlagestiondesrisques,lanormeproposeuncodedepratiquepourlagestiondela sécuritéetidentifiedesexigencesdesécuritésanstoutefoisspécifierlamanièredeles réaliser.onpeutainsiconsidérercettenormetouràtourcommeunréférentielcontribuantà ladéfinitiond'unepolitiquedesécurité,commeunelistedepointsderisquesàanalyser (CheckList),commeuneaideàl'auditdesécuritéenvueounond'uneprocédurede certification ou encore, comme un point de communication sur la sécurité. Diverses interprétationsetréalisationsdecettenormesontpossibles. Sonintérêtrésidedanslefaitquelanormeabordelesaspectsorganisationnels,humains, juridiquesettechnologiquesdelasécuritéenrapportauxdifférentesétapesdeconception, miseenœuvreetmaintiendelasécurité. 36

47 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 4:DomainesdesécuritédelanormeISO Elletraitededixdomainesdesécurité,de36objectifsdesécuritéetde127pointsdecontrôle. Unenouvelleversiondecettenorme(lSO/IEC17799:2005)aétééditéeenjuillet2005,elle adjointauxdixdomainesdesécuritépréalablementidentifiésdenouveauxparagraphesqui concernentl'évaluationetl'analysedesrisques,lagestiondesvaleursetdesbiensainsiquela gestiondesincidents.onremarquetoutel'importanceaccordéeàladimensionmanagérialede lasécuritédanslanouvelleversion. II.2.2Lastratégieglobaled entreprise En raison du caractère évolutif du contexte (évolution des besoins, des risques, des technologies,dessavoir fairedescyber délinquants),lessolutionsdesécuriténesontjamais niabsolues,nidéfinitives.celaposeleproblèmedelapérennitédessolutionsmisesenplace. Deplus,ladiversitéetlenombredesolutionspeuventcréerunproblèmedecohérence globaledel approchesécuritaire.enconséquence,latechnologienesuffitpas,elledoitêtre intégréedansunedémarchedegestion. Ainsi,latechnologiesécuritairedoitêtreauserviced unevisionpolitiquedelasécurité. Seuleladimensionmanagérialedelasécuritépermetdefairefaceaucaractèredynamiquedu risque.c estlaqualitédelagestionquipermetdetirerlemeilleurpartidesoutilsexistantet quiapporteuneréelleplus valueauservicedelasécurité.danscetteperspective,lasécurité dusystèmed informationn estqu unecomposantedelasécuritéglobaledel organisation.il estdoncextrêmementimportantquelesorientationsstratégiquesenmatièredesécuritésoient déterminéesauniveaudel état majordelastructureconcernée. 37

48 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire Lastratégieglobaled entrepriseestélaboréeparlalignemanagérialeauplushautniveaude l organisation.sonobjectifestdedégagerlesobjectifsdesécuritédel organisationpourfaire ensortequetouteslesactionsentreprisesetmisesenplacedanstouteslescomposantesde l organisation(partenaires,sitesdistants,clients,télétravailleurs)concourentverslesmêmes objectifsetprotègentlesressourcesenfonctiondeleurcriticité). Unepolitiquedesécuritéoffreuneréponsegraduéeàunproblèmesécuritairespécifique,en fonctiondel analysedesrisquesquienestfaite.elledoitexprimerl équilibreentreles besoinsdeproductionetdeprotection. Lechoixdesmesuresdesécuritérésultegénéralementd uncompromisentrelecoûtdurisque etceluidesaréduction.ildérivedel analyseàlong,moyenetcourttermedesbesoinsde productionetdeprotection. Figure2 6:lasécurité,uncompromis Ladéfinitiond unestratégiedesécuritéestuneaffairedebonsens,devision,d analyseetde choix.ellepourraitserésumeràunesuitedequestionssimplesauxquelleslegestionnairedoit apporterdesréponsesprécises: Quellessontlesvaleursdel organisation? Quelestleurniveaudesensibilitéoudecriticité? 38

49 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Dequi,dequoidoit onseprotéger? Quelssontlesrisquesencourus? Cesrisquessont ilssupportables? Quelestleniveauactueldesécurité? Quelestleniveaudesécuritéquel ondésireatteindre? Commentpasserduniveauactuelauniveaudésiré? Quellessontlescontrainteseffectives? Quelssontlesmoyensdisponibles? Cesontlàtouslesdéfisquiguettentlesorganisationsquisedécidentàmettreenœuvreune démarchesécuritaire. II.2.3Lesstratégiesdesécuritédessystèmesd information Réduirelasécuritéàsadimensiontechnologiquec estassurersonéchec.parailleurs,se retrancherderrièresdesrèglesdesécuritéprédéterminées,desréglementationsoudesproduits «leaders»dumarchédansleurnichesécuritairesansvaliderleuradéquationauxbesoinsde l organisation,maisuniquementparsoucisdenepasengagersaresponsabilité,metenpérilla missiondesécurité. Lefosséestsouventassezétroitentrelastratégied entrepriseetlastratégiedesécuritéd une organisation;ellesconcourenttouteslesdeuxàlamiseenplacedelapolitiquedesécuritéet servirontplustarddedocumentderéférencepourévaluerl efficacitédelapolitiquemiseen place. Chaqueorganisationdoitspécifiersapropremissiondesécuritépourréalisersastratégiede sécuritétellequedéfinieavecladirectiongénérale.l activitédecettemissionpeutse déclinerselonlesaxessuivants: L identificationdesvaleursetclassificationdesressourcesdel organisation; Laconceptiond unplandesécuritéenfonctiond uneanalysepréalabledesrisques; Ladéfinitiond unpérimètredevulnérabilitéliéàl usagedesnouvellestechnologies; L identificationdesimpacts. Figure2 7:Maitrisedesrisquesetprocessusdesécurité 39

50 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Seuleuneapprochepragmatique,inscritedansunedémarchequalitéquidéfinitprécisément desobjectifsdesécuritécohérentsainsiquedesmoyensconcretspourlesatteindre,permetde sécuriserrationnellementdesressourcesinformatiquespartagées. II.2.3.1Identificationdesvaleursetclassificationdesressources LeClubdelaSécuritédel InformationFrançais(CLUSIF),danssonrapportd enquêtesurla sécuritédessystèmesd informationconfirmequ en2008encore,l informatiqueestperçue commestratégiqueparunetrèslargemajoritédesentreprises:toussecteursconfonduset quelquesoitleurtaille,73%d entreellesjugentlourdedeconséquencesuneindisponibilité demoinsde24hdeleursoutilsinformatiques(avecunmaximumde83%pourlesecteurdu commerce). 1% 73% 26% Forte Modérée Faible Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen2008 Laréalisationd uninventairecompletetprécisdetouslesacteursetintervenantsdelachaine sécuritairecontribueàunemeilleureconnaissanceetdoncàlamaitrisedel environnementà protéger.c estdanslesphasesd analysedel existantetdesrisquesquecesdonnées d inventaireprennenttouteleurimportance.ellesinterviennentégalementdanslaphase d identificationdesvaleursetdeclassificationdesressourcespourdéterminerleurdegréde sensibilitéoudecriticité.ledegrédecriticitéd uneressourceindiquesonimportanceencas deperte,d altérationoudedivulgationdesdonnées.pluslesconséquencessontgravespour l organisation,pluslaressourceestsensibleetpossèdedelavaleur.laclassificationselonle degréd importancedesressourcesàprotéger,estnécessaireàlagestiondelasécurité.elle estdispensableàl élaborationfuturedelapolitiquedesécuritépourdéfinirdesmesureset procéduresàappliquer. Chaqueressourcepeutêtreperçuecommeunecibledesécuritépourlaquelle,ilfautidentifier lesrisquesetleursscénariipossibles(erreurd utilisationoudeparamétrage,accidents, malveillance, sabotage, attaque logique, etc.), les mécanismes de sécurité inhérents et applicatifs (configuration, paramètres, etc.), ainsi que les contraintes techniques et organisationnelles afin de déterminer la faisabilité technique et organisationnelle de la politiquedesécuritépourchaquecible. Ladéterminationdudegrédesensibilitédesdonnéesconsistetoutd abordàidentifierdes classesgénériquesdedonnéesauxquellesonassociedesvaleursentièresdéfinissantleur degrédesensibilité.celapermetdedisposerd unemétrique,dontl échelledesvaleursest déterminéeparl organisationetquireflèteledegréd importancedeladonnéepourcelle ci. Ainsi,parexemple,pouruneentrepriselesdonnéespeuventêtreclassées: Publiques:degrédesensibilité0;1; Financières:degrédesensibilité1; Privées:degrédesensibilité2; 40

51 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Secrètes:degrédesensibilité3; Cetteclassificationdoitêtreaffinéevoireadaptéeenfonctiondesbesoins.Deplus,c esten fonctiondudegrédesensibilitédesdonnéesetduprofildesutilisateursquel onattribueraà cesderniers,despermissionsetdroitsd accès. L identification des valeurs du système d information d une organisation répond essentiellement à la question: «Quelles informations sont critiques pour les besoins opérationnelsdel organisation?».cecipermettradedresseruninventairedetoutesles ressourcesouprocessusquientrentdanslefonctionnementnormaldel organisation. Cetteétapepeutserévélerassezcomplexedanslecadred unsystèmed informationpeuou pasmodélisé,nerépondantgénéralementàaucunstandard;avecdesprocessusmétiersnon élaborés.elleconstitueraaussiunesortededébutd auditpourlesystèmed information;et donneraunaperçuduniveaudecomplexitédesprocessus.ilestclairqu unsystème d informationquiadumalàrévélersesvaleursseratrèsdifficileàsécuriser;puisqueles brèchesdesécuritéserontnombreusesetsubtiles. Al issuedecetteétaped inventairedesressources,uneclassificationduniveaudecriticité desinformations,desprocessus,dessystèmesetdesréseauxconstitueral épreuvedela missiondesécurité. II.2.3.2Analysedesrisques Un risque provient du fait qu une organisation ou une entité possède des «valeurs» matériellesouimmatériellesquisontsusceptiblesdesubirdesdommagesouunedégradation. Cettedernièreayantdesconséquencespourl organisationconcernée:cecifaitgénéralement appelàquatrenotions: Celledela«valeur»,qu ilestd usaged appeler«actif»dansledomainedela sécuritédessystèmesd information; Cellededégradationoudedommagesubiparl actif; Celledeconséquencepourl entité; Cellequisuggèreunecausepossiblemaisnoncertaine; CONFIDENTIALITE DISPONIBILITE INTEGRITE Pertedeconfidentialitésansconséquence Délaisupérieuràunesemaine Lesinistrenerisquepasdeprovoquerunegênenotabledans lefonctionnementoulescapacitésdel'organisme. Ex:donnéespubliques,visiblespartous. Des services qui apportent un confort supplémentairemaispasindispensable. Lesinistrenerisquepasdeprovoquerunegêne notabledanslefonctionnementoulescapacitésde l'organisme. Ex:aucunevérification. Pertedeconfidentialitéentraînantdesgênes defonctionnement Délai>8heureset<=1semaine Perted'intégritéentraînantdesgênes defonctionnement Pertedeconfidentialitéentraînantdes conséquencesdommageables Délai>2heureset<=8heures Susceptibledeprovoquerunediminutiondescapacitésde l'organisme. Ressources pour lesquelles il existe une Ex:donnéesliéesauxcompétencesousavoir faireinternes, alternative. dansuncontextedegroupedeconfiance,dontvousprotégez Ex:imprimantes. touteslestracesécrites. Susceptibled'amoindrirlescapacitésdel'organisme,avec desconséquencestellesquedespertesfinancières,sanctions administrativesouréorganisation Ex:donnéesliéesàunengagementdeconfidentialitédans uncontrat. Pertedeconfidentialitéentraînantdes conséquencesgraves Sansconséquencevitalehumainement Ex:arrêtduréseau,delamessagerie,données vitalesnondisponibles... Délai:entretempsréelet<=2heures 41 Perted'intégritésansconséquence Susceptible de provoquer une diminution des capacitésdel'organisme. Ex:vérificationdesdonnées,sansvalidation:des fautesd'orthographesurunepagewebnuisentà l'imagedemarquedulaboratoire Perted'intégritéentraînantdes conséquencesdommageables Susceptible d'amoindrir les capacités de l'organisme,avecdesconséquencestellesquedes pertes financières, sanctions administratives ou réorganisation Ex:donnéesquisontvalidéesetcontrôléespar desmoyenstechniquesouhumains. Perted'intégritéentraînantdes conséquencesgraves

52 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Susceptibledeprovoquerunemodificationimportantedans les structures et la capacité de l'organisme comme la révocationdedirigeants,larestructurationdel'organisme, despertesfinancières. Ex:donnéessecretdéfense. Ressourcesquimettentenpérillavie(humaine ouanimaleoubiologique). Ex : expériences biologiques ou physiques pilotéesautomatiquement,systèmedesécurité. Susceptible de provoquer une modification importantedanslesstructuresetlacapacitéde l'organismecommelarévocationdedirigeants,la restructuration de l'organisme, des pertes financières. Ex:donnéesavecaumoinsdeuxniveauxde validationetdecontrôledifférents(techniquesou humains). Tableau2 1:Analysedesrisquesdessystèmesd information II.2.4Lespolitiquesdesécurité Préventiondesintrusionsetmalveillances, Gestiondesvulnérabilités,dissuasion,etc. Gestiondescrises,dessinistres,desplansdecontinuité,dereprise, Politiquederéaction demodification,d intervention,depoursuite,etc. Politiquedesuivi Audit,évaluation,optimisation,contrôle,surveillance,etc. Politiquedesensibilisation Politique d assurance Respectdescontrainteslégalesetréglementaires Politiquede protection Coût Mesuresetprocédures d accès Performance Politiquedesécurité Gestiondesidentités,desprofilsdesutilisateurs,despermissions, Politiquedecontrôle desdroits,etc. Convivialité Depuisledébutdesannées2000,lapriseencompteparlesorganisationsdesproblèmesliésà lasécuritéinformatiques estgénéraliséeaumoinsdanslesgrandesstructures.lasécuritéest demoinsenmoinsunejuxtapositiondetechnologieshétérogènesdesécurité.elleest dorénavantappréhendéeettraitée,commeunprocessuscontinu.cettevision«processus» met en avant la dimension managériale de la sécurité qui vise à l optimisation et la rationalisationdesinvestissements,toutenassurantlapérennitéetl efficacitédessolutionsde sécuritédansletemps. Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité L importanced unegestionrigoureusedelasécuritédessystèmesd information,etdeson appréhensionglobaleetintégréedanslescyclesdedécisiondel entreprise,estreflétéepar l adoptionparlesorganisationsdelanotiondegouvernancedelasécurité.cettedernière traduitlavolontédediriger,deconduire,d influencerdemanièredéterminantelasécurité, voirededominerlesrisquesliésàl insécuritétechnologique.ellepossèdeégalementune connotation de pouvoir politique qui positionne le problème de la sécurité au niveau stratégique et opérationnel. L apparition de nouvelles fonctions, comme celles de responsabilitésécurité,intégréesounonàladirectiongénérale,àladirectiondessystèmes d information,ouencoreauseind unedirectionmétierouaudit,concrétisecettenotionliéeà lagouvernancedelasécurité. Comptetenudelanouvelleimportanceaccordéeàlasécuritéetàlamanièrestratégiqueet globaledel appréhender,unepolitiquedesécurité,devientl expressiondelastratégie sécuritairedesorganisations.elleconstituepourlesorganisations,unoutilindispensablenon 42

53 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS seulementàlagouvernancedelasécuritémaisaussiàlaréalisationduplanstratégiquede sécurité. Figure2 9:Stratégiesetpolitiquesdesécurité Une politique de sécurité exprime la volonté managériale de protéger les valeurs informationnellesetlesressourcestechnologiquesdel organisation.ellespécifielesmoyens (ressources,procédures,outils,etc.)quirépondentdefaçoncomplèteetcohérenteaux objectifsstratégiquesdesécurité. Elle découle des grands principes de sécurité qui permettent de protéger le système d informationenévitantqu ilnedevienneunecibleetenfaisantensortequ ilnese transformepaslui mêmeenacteursd attaquesparuneprisedecontrôleàdistance(les Botnets). Cetteprotectionestassuréeparexemplepar: Desrègles:classificationdel information; Desoutils:chiffrement,desfirewalls; Descontrats:clausesetobligations; L enregistrement,lapreuve,l authentification,l identification,lemarquageoule tatouage; Ledépôtdesmarques,debrevets,etlaprotectiondudroitd auteur. Encomplément,ellepourraprévoirde: Dissuaderpardesrèglesetdescontrôles; Réagirparl existencedeplansdesecours,decontinuitéetdereprise; Gérerdesincidentsmajeursparunplandegestiondecrise; Poursuivre en justice et de demander des réparations en prévoyant un plan d interventionetdereportdesincidentsetdesmesuresd assurance,parexemple; Gérerlesperformancesetlesattentesdesutilisateurs. II.3 Cas pratiques d une démarche sécuritaire au sein d unepme L objectifdececaspratiqueestdemontrerlesétapesàsuivrepourmenerdansdebonnes conditionsunedémarchesécuritaire.ils appuiesurlaméthodemehari2007duclusif, maisapportedesaméliorationsetdessimplificationspourunréajustementdecestandard françaisauxréalitésdenosentrepriseslocalesquiontsouventdessystèmesd informations 43

54 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS peuoupasdutoutmodélisés;avecdesprocessustrèsmalélaborésetsouventsansaucune charted utilisation. II.3.1PrésentationdelaPME II.3.1.1Présentationgénérale «BéninCosmetics»estunesociétéfictiveinventéepourservirdecadred expérimentationà notreétude.nousluiavonsfaithériterdetouteslescaractéristiquesdespmelocales.elleest spécialiséedanslafabricationetladistributiondeproduitscosmétiques;elleasonunitéde fabricationàparakou(environ400kmaunorddecotonou),etsonsiègesocialàcotonou. Soneffectiftotals élèveàenviron250personnes. «BéninCosmetics»conçoitdenouvellesgammesdeproduitsdebeautéetdeprocédés chimiquesdefabricationausiègesocialpourl usinedeparakou.sapuissanteéquipede rechercheconstituéedechimistes,d esthéticiens,dedermatologuesetdebiologistesluia permisdesefairetrèsrapidementunesolideréputationdanslasous régionenterme d innovationsdanslafabricationdeproduitsdebeauté.pourcela,elles appuiesurson systèmed informationsquiluipermetd êtrevifauxdemandesdesclientsetlesnouvelles possibilitésdepartenariat. II.3.1.2Patrimoineinformatique Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics» 44

55 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 1. Matériel Lepatrimoinedusystèmed informationestconstituéd équipementshétérogènes: Desserveurspourlestockage,letraitementetlepartagedel information; DesordinateursdebureauquisontdetypePC; LesréseauxLANdusiègesocialdeCotonouetl usinedeparakousontdetypegiga Ethernet; LesréseauxWANd interconnexionetd accèsàinternetsontgérésparl opérateur historiquedestélécommunicationsaubenin«bénintélécomssa»,fournisseurde servicesinternet; 2. Logiciels Lamoitiédessystèmesd exploitationaétélégalementacquiseetpossèdentdesnumérosde licencevalides; II.3.1.3Lasécurité Lesystèmed information «BéninCosmetics»possèdeunepolitiquedesécuritédusystèmed information;ellefait partieintégrantedelapolitiqueglobaledesécuritédel organisation.unecharted utilisation desressourcesinformatiquesetdesservicesinternetaétéélaboréeetdiffuséeàl ensembledu personnel.ellepréciselesdroitsetdevoirsdechaqueutilisateur.lachartepeutserésumer enplusieurspoints: Lecontrôled accèssefaitparauthentificationavecunnomd utilisateuretunmotde passe; Obligationdesuivrelaprocéduredesauvegardepourtouslesdocumentsnumériques del entreprise; Laresponsabilitédechaqueutilisateursurtouslesfichiersqu iltraite,lesfichierssont sauvegardéssurlesserveurs;lesdocumentspapiersconservésdansdesarmoires sécurisées; Chaqueutilisateurestdirectementresponsabledesressourcesinformatiquesmisesàsa dispositiondanslecadredesonactivité; Chaqueutilisateurdoitsignalertouteanomalieconstatéeoucomportementbizarredu systèmedanslespluscourtsdélaisaudépartementinformatique; SécuritégénéraledusiègesocialàCotonou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréalisésunefoisparanencollaborationaveclesservicesdesécurité del immeuble; Existencedeconsignedefermeturedesbureauxàclé,maisaucuneprocédurede contrôle; Conditionnementdelatempératuredetouteslespièces; 45

56 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Existence de technologies de surveillance (camera de surveillance, alarme anti intrusion,détecteurdemouvement)activéedurantlesheuresdefermetures(18h45 07h15);desagentsdesécuritéveillentsurleslieux; L entretiendeslocauxsefaittouslesmatinsde07h30à08hparunesociété prestataire; L accèsauxbureauxestconditionnéparunbadgemagnétiqued authentification; Lesclientssontreçusparlesagentscommerciaux,danslessallesderéuniondansune zone avec vidéosurveillance; il y a possibilité de connecter des équipements informatiques; Lesressourcesinformatiques(serveurs,routeurs,autocommutateurs)sontsituéesdans unesalleisoléedudépartementinformatique;ellepossèdeunealimentationélectrique desecours; Sécuritégénéraledel usineàparakou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréaliséstroisfoisparanencollaborationaveclesservicesde sécuritédel immeuble; Postedegardiennagequifiltrelesentréesetsortiessurlesitedel usine,unegestion techniquecentraliséepourl ensembledesalarmesdusiteavecdeuxpersonnesen permanence. Consignesdefermetureàclédesbureaux;maisaucuneprocéduredecontrôlen aété miseenplace; Touslesbureauxsontclimatisés;etcontigusaupostedegardiennage;àl entréede l usine;àl écartdeszonesdeproduction; Alarmeanti intrusionestactivedurantlesheuresdefermeturedesbureaux(19h 7h), defréquentesrondesdegardiensontlieudanslebâtiment; Leservicedenettoyageexterneàl'entrepriseintervientde7hà8h; Plusieurssociétésconstituentsonvoisinage;defréquentesrondesdepoliceontlieu danslazoned'activité; Lesclientssontreçus,souslaresponsabilitédelapersonnevisitéeaprèsavoirdéposé unepièced'identitécontrelaremised'unbadgevisiteuraupostedegardiennage,dans dessallesderéunionsspécifiques;avecpossibilitédeconnecterdeséquipements informatiques; Lesitepossèdelaredondancepourlesfournituresénergétiques(arrivéeélectriqueprovenant de2cabines"hautetension",groupeélectrogène,onduleurs,arrivéelignestéléphoniquessur 2centrauxtéléphoniquesdifférents,etc.). II.3.1.4Contexte L interconnexiondusiègedecotonouàl usinedeparakouapermisd avoirunsystème d informationunifiéauniveauconnectivité.cequiapermisunenetteaméliorationdesdélais deréalisationdestravauxetdefairedesgainsencoûtsdecommunicationoudeliaison. «BéninCosmetics»aréponduauvœudesesdifférentspartenairesquiestdecorrespondre directementaveclesdifférentsservicesviainternetpourlatransmissiondetoustypesde documents(dossierstechniques,devis,appelsd offres,messages,etc.). 46

57 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D autrepart,unimportantcontratdecollaborationavecunechainedecosmétiquebaséeen Franceestconditionnéparlacapacitéde«BéninCosmetics»àassurer: Laconfidentialitédansleséchangesdesdocumentstechniques(formuleschimiques, procédésdefabrication,etc.); Ladisponibilitéetlarapiditédefournirdesproduitsfinis; II.3.2ApplicationdeladémarcheMEHARI II.3.2.1PrésentationdelaméthodeMEHARI MEHARIsignifie«MEthodeHarmoniséed'AnalysedesRIsques».Ils agitd uneméthode élaboréeen1996parleclusif(clubdelasécuritédel InformationFrançais)pourdéfinir lesactionsentermesdesécuritédessystèmesd Informationsauseindesorganisations.Le CLUSIFfournitlesdifférentssupportsaidantàlamiseenplaced unedémarchesécuritaire selonlaméthodemehari. LadémarcheMéharicomportetroisgrandesphases: Planstratégiquedesécurité(PSS): Métriquedesrisquesetobjectifsdesécurité; Valeursdel entreprise:classificationdesressources; Politiquedesécurité; Chartedemanagement; PlanOpérationneldesécurité(POS): Auditdel existant; Evaluationdesbesoinsdesécurité; Expressiondesbesoinsdesécurité; Constructionduplanopérationneldesécurité; PlanOpérationneld Entreprise(POE): Choixd indicateursreprésentatifs; Elaborationd untableaudeborddelasécuritédel entreprise; Rééquilibrageetarbitrageentreunités. II.3.2.2Leplanstratégiquedesécurité Leplanstratégiquedesécurité(PSS)constituelapremièrephasedelaMéthodeHarmonisée d AnalysedesRisques(MEHARI).Elleestélaboréeenétroitecollaborationaveclaligne managérialedel entreprisedemanièreàcequetouteslesactionsentreprisesetmisesenplace dansl ensembledel entreprise(sitesdistantsetaccèsdistantsinclus)tendentverscesmêmes objectifsetprotègentlesressourcesenfonctiondeleurclassification. Ilseraunindicateur clédesunitésopérationnellespourcequiconcernelesdécisionsà prendre en matière de sécurité. Elle verra la participation de la direction générale de l entreprise, ainsi que celle des cadres supérieurs responsables de chaque département opérationnel. 47

58 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Métriquedesrisquesetobjectifsdesécurité L objectifdelamétriquedesrisquesetobjectifsdesécuritéestdedégager,pardestableaux standards,communsàtoutel entreprise,lesélémentspermettant: D unepart,d affecterundegrédecriticitédechaquescénariodesinistre; D autrepart,defixerdefaçoncohérentelesobjectifsdesécuritéenfonctiondes niveauxpréétablisd acceptationouderefus,totalousouscondition,desrisques encourus. Statutsde protection Effetdesmesuresdeprotectionsurl'impactduscénario Effetdeprotectiontrèsfaible:lesinistreneseradétectéqu auboutd undélaiimportant.lesmesuresquipourrontalors êtreprisesnepourrontlimiterlapropagationdel incidentinitialetselimiterontàlabornerdansletemps.l étenduedes conséquencesdusinistreestdifficileàcerner. Effetdeprotectionmoyen:ledébutdesinistreneserapasidentifiétrèsviteetlesmesuresprisesleseronttardivement. Lesinistreauraprisunegrandeampleurmaisl étenduedesesconséquencesseraencoreidentifiable Effetimportant:lesinistreseradétectérapidementetdesmesuresdeprotectionserontprisessansdélai.Lesinistreaura néanmoinseuletempsdesepropager,maislesdégâtsserontcirconscritsetfacilementidentifiables. Effettrèsimportant:ledébutdesinistreseradétectéentempsréeletlesmesuresdéclenchéesimmédiatement.Lesinistre seralimitéauxdétériorationsdirectesprovoquéesparl accident,l erreuroulamalveillance. Tableau2 3:Mesuresdeprotection Statuts palliatifs Effetdesmesurespalliativessurl'impactduscénario Effettrèsfaible:lessolutionsdesecourséventuellementnécessairesdoiventêtreimprovisées.Iln estpasassuréqueles activitésdel entreprisetouchéesparlesinistrepourrontêtrepoursuivies.l activitédel ensembledesacteurstouchésparle sinistreesttrèsfortementperturbée. Effetmoyen:lessolutionsdesecoursontétéprévuesglobalementetpourl essentiel,maisl organisationdedétailresteà faire.lesactivitésprincipalestouchéespourrontsepoursuivreaprèsuntempsd adaptationquipeutêtrelong.lareprisedes autresactivitésetleretouràl étatd originedemanderadeseffortsimportantsetoccasionnerauneforteperturbationdes équipes. Effetimportant:lessolutionsdesecoursontétéprévues,organiséesdansledétailetvalidées.Lesactivitésprincipales pourrontsepoursuivreaprèsuntempsdereconfigurationacceptableetconnu.lareprisedesautresactivitésetleretourà l étatd origineontégalementétéprévusetsedéroulerontavecdeseffortsimportantsmaissupportables. Effettrèsimportant:lefonctionnementdesactivitésdel entrepriseestassurésansdiscontinuiténotable.lareprisede l activitéenmodenormalestplanifiéeetseraassuréesansperturbationnotable. Tableau2 4:Mesurespalliatives Statuts récupération Effetdesmesuresprisessurl'impactduscénario Effettrèsfaible:cequel onpeutespérerrécupérerdesassurancesoud unrecoursenjusticeestnégligeabledevant l ampleurdesdégâtssubis. Effetmoyen:cequel onpeutraisonnablementespérerrécupérern estpasnégligeable,maislessinistresmajeurs restentàlachargedel entreprise(sinistrenoncouvertetresponsablenonsolvable). Effetimportant:l entrepriseestcouvertepourlessinistresmajeurs,maiscequiresteàsacharge(franchise)demeure importantquoiquesupportable. Effettrèsimportant:l entrepriseestsuffisammentcouvertepourquel impactfinancier résiduelsoitnégligeable. Tableau2 5:Mesuresderécupération StatutsRI Effetdesmesuresprisessurlaréductiond'impactduscénario Effettrèsfaible Effetmoyen:impactmaximumjamaissupérieuràunimpactgrave:I<ou=3 Effetimportant:impactmaximumjamaissupérieuràunimpactmoyennementgrave:I<ou=2 Effettrèsimportant:impactduscénariotoujoursnégligeablequelquesoitl'impactintrinsèque Tableau2 6:Mesuresderéductiond impactduscénario 48

59 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lagrillesuivante,proposéeenstandard,permetd'évaluerl'impact"I": Classificationdesressources Statuts RI Tableau2 7:Grilled évaluationdel impactdescénario Statuts exposition Effetdesmesuresstructurellessurlapotentialitéduscénario 1 Expositiontrèsfaible:Desmesuresarchitecturalesontétéprisespourlimiterstructurellementlesrisques: cloisonnementdeslocaux,fragmentationdesinformations,rendantnégligeablelaprobabilitéd unrisque majeur. 2 Expositionfaible:L entreprise(leserviceoul unité)estparticulièrementpeuexposée:leclimatsocialest trèsfavorable,l environnementnelaissepascraindrelemoindreproblème,lapositiondesuiveurde l entrepriserendpeuprobableuneagressiviténotabledeconcurrents. 3 Expositionmoyenne:L entreprise(leserviceoul unité)n estpasparticulièrementexposée.leclimat socialn estpasmauvais,laconcurrenceestnormalementagressivesansplus,l environnementneprésente pasdemenaceparticulière. Expositionimportante:L entreprise(leserviceoul unité)estparticulièrementexposéeaurisqueenvisagé deparunclimatsocialesttrèsdéfavorableouunenvironnementàrisqueouunepositiontellequel onpeut craindredesréactionsspécialementagressivesdelaconcurrence. 4 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle Statuts dissuasion Effetdesmesuresdissuasivessurlapotentialitéduscénario 1 Effettrèsfaible:L auteurn encouraitaucunrisque:iln apratiquementaucunrisqued êtreidentifiéet detoutefaçoncelan auraitpourluiaucuneconséquence. 2 Effetmoyen:L auteurencouraitunrisquefaible:lerisqued êtreidentifiéestfaibleetlessanctions éventuelles,s ilétaitdécouvert,resteraientsupportables. 3 Effetimportant:L auteurdel erreuroudelamalveillanceencourraitunrisqueimportant:ilexisteune forteprobabilitéqu ilsoitdécouvertetlessanctionsencouruespourraientêtregraves. Effettrèsimportant:Seuluninconscientpourraitcouriruntelrisque:ilseradémasquéàcoupsûr,les sanctionsseronttrèslourdesettoutcelaestbienconnu. 4 Tableau2 9:Mesuredissuasives Statuts prévention Effetdesmesurespréventivessurlapotentialitéduscénario 1 Effettrèsfaible:Toutepersonnedel entrepriseoutoutinitiélaconnaissantunminimumestcapablede déclencheruntelscénario,avecdesmoyensqu ilestfaciled acquérir.descirconstancestoutàfait courantes(maladresse,erreur,conditionsmétéodéfavorablesraresmaisn ayantriend exceptionnel)sontà mêmededéclencheruntelscénario. 2 Effetmoyen:Lescénariopeutêtremisenœuvreparunprofessionnelsansautresmoyensqueceuxdont fontusagelespersonnelsdelaprofession.descirconstancesnaturellesraresmaisnonexceptionnelles peuventaboutiràcerésultat. 3 Effetimportant:Seulunspécialisteouunepersonnedotéedemoyensimportantsdécidéeàyconsacrerdu tempspeutaboutirdanslaréalisationd untelscénario.desconcoursdecirconstancespeuventrendrele scénarioplausible. 4 Effettrèsimportant:Seulsquelquesexpertssontcapables,avecdesmoyenstrèsimportants,demettreen œuvreuntelscénario.auniveaudesévénementsnaturels,seulesdescirconstancesexceptionnelles peuventconduireàdetelsrésultats(catastrophesnaturelles). Tableau2 10:Mesurespréventives 49

60 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leniveaudelapotentialité"P"estappréciéconformémentàlagrillestandardci après: Statutspotentialité Potentialité Potentialitéfaible,nesurviendrasansdoutejamais Possible,bienquepotentialitéfaible Potentialitécertaine,devraitarriverunjour Trèsfortepotentialité,surviendrasûrementàcourtterme Tableau2 11:Grilleduniveaudepotentialité L élaborationdesdéfinitionsdesobjectifsdesécuritédoitfairel objetd uneréflexion approfondieauplushautsommetde«benincosmetics»puisqu ellematérialiseseschoix stratégiquesenmatièredesécuritédusystèmed informations. Danslamesureoùilseraittotalementutopiquedeprétendreau«zéro risque»pourun systèmed information,ladéfinitiondesobjectifsdesécuritépermetdefixerlesniveauxde risque que l entreprise jugera acceptables, inadmissibles quoique supportables, ou insupportablesparcequenedisposantpasdesmoyenspourfairefaceàsesconséquences. L accordétanttrouvésurces3termes,leurdéfinitionetleslimitesqu ilsrecouvrent; l objectifseraderamener,pardesmesuresdesécuritéappropriées,touslesrisquesauniveau «acceptable». MEHARIproposeunegrilled aversionaurisque,construitesurlabasedel appréciationdu risqueparrapportàsonimpactetàsapotentialité.cettegrilleestvalidéeparladirection généraleetlesdépartementsopérationnelslorsdelaréunion. Tableau2 12:Grilled évaluationduniveauderisque Ladirectiongénéralede«BéninCosmetics»,auvudesesobjectifsexige,quesoient assurées: LadisponibilitédesmoyensdecommunicationausiègedeCotonoucommeàl usine deparakou; Ladisponibilitédelamessagerie; Laproduction; Laconfidentialitéetl intégritédessecretsdefabrication,entrelesiège,l usineetle partenaireenfrance; Lamiseàjourdesprogrammesdeproduction. II Valeursdel entreprise:classificationdesressources Cettepartieapourobjectifdefaireuneclassificationdesressourcesdel'entreprise: 50

61 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 11:Classificationdesvaleursdel entreprise Etape1:Définirlesdomainesd activitésetprocessus La direction générale et les départements opérationnels nous ont permis de valider la cartographiedesdomainesfonctionnelsdansletableaudesprocessusmajeursdel entreprise ci après: DOMAINE Management PROCESSUS Prisededécisions DépartementR&D Recherche Développement DépartementR&D Département Production Département Logistique DRH DRH Marketing Finance Finance Finance Finance Service Commercial Service Commercial Service Commercial Service Commercial Département informatique Département informatique Département informatique Production Logistique Paie DESCRIPTION Ensemble des éléments contribuant à la prise de décisions (acquisition, cession,donnéesbudgétairesetprévisionnels,etc.). Travauxderechercheavancéeconduisantàdesnouveauxprojetsde produits. Elaborationdesprocessusdefabricationdenouveauxproduits,et élaborationdescaractéristiquesdesproduits. Production des produits cosmétiques, contrôle qualité, conditionnement. Gestiondestocks,Préparationdescommandes,Expéditionversle réseaudedistributionsfranchisées. Gestiondelapaieetdescomptespersonnelsassociés(intéressement). Gestiondesfrais(avancessurfrais,paiementdesnotesdefrais,etc.). Recherchedesélémentssignificatifsdumarchéetélaborationd'une stratégiedevente. Comptabilitégénéraleetgestiondesobligationslégalesafférentes Comptabilité (fisc,comptessociaux,etc.) Gestionducontentieuxentrelalogistiqueetlacomptabilité(clientset Contentieux fournisseurs). Consolidationdescomptes,soldesdegestionettableaudebord. Contrôledegestion Gestionetoptimisationdesfluxdetrésorerie.Gestiondesrelations Trésorerie aveclesorganismesfinanciersetlesdouanes. Elaborationdesoutilsdeventespécifiquesd'untypedeproduitoude Commercialisation service. Propositioncommerciale Elaborationdel'offrespécifiqued'unclient(pourlesoffressurdevis). Frais Marketing Gestiondescommandes Gestionetsuividescommandesclient,depuisl'offrejusqu'àla livraison(incluantounonlamaintenance). Gestionpermanentedesclients,deleursparticularités.Gestiondes ciblescommerciales. Architectureexploitation Architectureréseaux&systèmes,Administrationetexploitationdes centresinformatiques. informatique Suividesclients Projetsinformatiques Développements d'applications informatiques. Maintenance des applicationsexistantes. Supportsauxutilisateurs Assistanceauxutilisateurs,Formation,conseil 51

62 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Achats Juridique Achats Accordsetcontrats Support Servicegénéraux Gestiondescommandes(produitsetservices)etdesfournisseurs Gestiondesaccordsetcontrats.Enregistrementetconservationdes piècescontractuelles. Ensembledesprocessusdesservicesgénéraux,courrier,standard téléphonique,entretien,etc. Tableau2 13:Domained activitésetprocessusde«bénincosmetic» Etape2:Détecterlesprocessussensibles D aprèsladirectiongénéraleetlesresponsablesdesdépartementsopérationnelsde«bénin Cosmetics),lesprocessuscritiquessont: «Achat»dansledomaine«Achat»; «Production»dansledomaine«DépartementProduction»; «gestiondescommandes»dansledomaine«commercial»; Leprocessus«Achat»permetauresponsabledesachatsdemieuxchoisirlesfournisseursde matièrespremièresenprenantencomptelescoûts,laqualitéetlesdélaisdelivraison.ilen résulterapour«bénincosmetics»unemeilleurecompétitivitéetunchiffred affaireen conséquence. Etape3:Déterminerlescritèresd impact Danscetteétape,ils'agitdedemanderauxresponsables,quelseraitl'impactsurl'entrepriseen termesopérationnels,financiersoud'imageencasdedysfonctionnementd'undesprocessus vitaux. Nousdéfinissonslescritèresd'impactpourlesprocessusdechaquedomaineàpartirdu tableausuivant: IMPACT Domaines DépartementR&D DépartementR&D DépartementR&D DépartementR&D Commercial Commercial Commercial Commercial Commercial Commercial Commercial DépartementProduction DépartementProduction DépartementProduction DépartementProduction Finance Finance Finance Finance Juridique Juridique Juridique Descriptiondel impact Divulgationdeplansdenouveauxproduitsoudesavoir faire Pertedesavoir faire Nontenuedesdélaisdedéveloppement Augmentationdeschargesdedéveloppement Incapacitéàexploiterdesopportunitéscommerciales Pertedechiffred'affaire Baissed'efficacitécommerciale Augmentationdeschargescommerciales Pertedecompétitivité Pertedeconfiancedesclients Incapacitéàremplirdesobligationscontractuelles Nontenuedesdélaisdeproduction Augmentationdeschargesdeproduction Pertedeproductivité Détériorationdelaqualitédelaproduction Paiementdepénalitéscontractuelles Détournementdefonds Augmentationdeschargesadministratives Augmentationdurisquedefraude Miseenexamend'unmembreduDirectoire Poursuitejudiciairedelasociété Pertedeprotectionjuridiquedupatrimoine 52

63 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Personnel Divulgationderenseignementsconcernantlavieprivée Management Prisedemauvaisesdécisionsdemanagement Tableau2 14:Déterminationdescritèresd impact Etape4:Définirlesseuilsdecriticité Ilestnécessaire,danscetteétape,d'établirlesquatreseuilsdecriticitéassociésàchaque critèred'impactretenu: Seuil1:Sansdommagesignificatifsurlesopérationsde«BéninCosmetics»; Seul 2: Dommage important sur les opérations de «Bénin Cosmetics» sur la compétitivité; Seuil3:Gravedommagenecompromettantpasundomainede«BéninCosmetics»; Seuil4:Dommagesextrêmementgravesmettantendangerlasurviede«Bénin Cosmetics»; Nousdéfinissonslesseuilsdegravitéd'impactpourchaquecritèred'impactretenuàpartirdu tableausuivant: SEUILSD'IMPACTS Indiquerpourchaquecritèred'impact,lesseuilsdegravité,ensebasantsurlesdéfinitionssuivantes: Gravité1:Impactnonsignificatifauniveaude«BéninCosmetics». Gravité2:Impactsignificatif,résorbéfacilementetrapidement. Gravité3:Sinistregravedont«BéninCosmetics»mettraplusieursmoisàseremettre. Gravité4:Sinistreextrêmementgravemenaçantlasurviede«BéninCosmetics»oudontellemettraplusieursannéesàseremettre. SEUILS TYPE Gravité1 Gravité2 Gravité3 Gravité4 D IMPACT Divulgationdeplans denouveauxproduits oudesavoir faire Pertedesavoir faire Nontenuedesdélais dedéveloppement Augmentationdes chargesde développement Divulgationpartielle nepermettantpasà laconcurrencede rattrapersonretard. Destructiondela copied'unou plusieursfichiers d'unreprésentanten tournée. retardinférieuràun mois <5% Divulgationpartielle permettantàlaconcurrence denousrattraperplusde6 moisaprèslelancement. Indisponibilitédelabase d'informationstechniques pourlamaintenance, pendantunedurée inférieureà1semaine Divulgationpermettantàla concurrencedenousrattraper audébutdulancementd'un produitstratégique(entre0et 6mois). Destructiondel'ensemblede l'aideautomatiséeàla maintenance(reconstitution: plusieursmois)ou indisponibilité>1semaine retardcomprisentre1et3 mois 5%<Delta<20% retardcomprisentre3et12 mois >20% Retardsupérieurà1an Départd'uneéquipe hautementspécialisée, seulecapabled'assurerla maintenanced'unproduit majeurdel'entreprise. Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu Etape5:Recenserlesressources Unefoisleniveaudedécompositionchoisi(enfonctiondelagranularitéd'analysesouhaitée) etaprèsavoirconfirméleslimitesdudomaineétudiéetprécisélesintentionsenmatière d'investigationplusoumoinspoussée,nousrecensons,àl'aided'untableaudumodèleci après,lesressourcesquel'onveutclassifier. RESSOURCES Indiquerlesressourcesquel'onsouhaiteclassifier,leurtype,ainsiqueleurdomaineetéventuellementlesprocessusauxquelselles appartiennent. Danslescolonnesdomainesetprocessus,"tous"signifiequelaressourceestuniquepourtouslesdomaines,"chaque"signifiequel'on identifieuneressourcedifférentepourchaquedomaine. NOM SiègesocialCotonou UsineParakou SalleserveursCotonou SalleserveursParakou CentredeproductionParakou TYPE Siteetbâtiments Siteetbâtiments Locaux Locaux Locaux 53 DOMAINES Tous Tous Tous Tous Tous PROCESSUS

64 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LANCotonou Réseau Tous LANParakou Réseau Tous Réseaupublic«BéninTélécoms» Réseau Tous Serveurdestockage Système Tous Serveurs«métiers» Système Tous Serveurmessagerie Système Tous SAGESAARI Logiciel commercial GES_DRH Logiciel Personnel Personnelinformatique Ressourcehumaine Tableau2 16:Recensementdesressources Tous Tous Etape6:Classifierlesressources L objectifdecetteétapeestdefaireuneclassificationdesressourcesretenuesdansl étape5. La classification des ressources, qui consiste à analyser si une perte de disponibilité, d intégritéoudeconfidentialitéd uneressourcepeutconduireàundescritèresd impacts retenuset,dansl affirmative,àquelniveaumaximum.ceniveauestalorslaclassificationde laressourcepourl'aspectconsidéré(disponibilité,intégritéouconfidentialité). Pourchacunedecesressources,onseposelesquestionssuivantes: Quesepasserait ilsilaressourceétaitnondisponible?(disponibilité); Quesepasserait ilsilaressourceétaitnonfiable?(intégrité); Que se passerait il si la ressource était atteinte par des tiers non autorisés? (Confidentialité); Cetteétapepermetdoncdetrouverunevaleurproprepourchaqueressource: Impact Disponibilité Intégrité Confidentialité Pertedechiffred affaire Pertedeconfiancedesclients Baissed efficacitécommerciale Synthèsedeclassification Tableau2 17:Déterminationdelavaleurpropredechaqueressource Ressource:SAGESAARI Lorsd'uneréunionaveclaDirectionGénéraleetlesdirectionsopérationnelles,nousvalidons laclassificationdesressourcesdansletableaudesynthèsedelaclassificationdesressources ci après: RESSOURCES NOM Disponibilité Intégrité Confidentialité SiègesocialCotonou UsineParakou SalleserveursCotonou SalleserveursParakou CentredeproductionParakou LANCotonou LANParakou Réseaupublic«BéninTélécoms» Serveurdestockage Serveurs«métiers» Serveurmessagerie SAGESAARI GES_DRH Personnelinformatique Tableau2 18:Tableaudesynthèsedelaclassificationdesressources 54

65 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Lapolitiquedesécurité La politique de sécurité du système d information ne peut s élaborer correctement et efficacementsiellenetientpascomptedelastratégieglobaledesécuritéde«bénin Cosmetics».Lapolitiquedesécuritésebasesurdesnormesnationalesetinternationalestout enrestantenconformitéavecleslégislationsenvigueurdanslepays. «BéninCosmetics»nedisposepasd unepolitiquedesécurité II Lachartedemanagement Aucoursd uneréunionaveclestaffmanagérialde«bénincosmetics»,ilnousprésentesa «CharteManagérialepourl usagedesressourcesinformatiquesetdesservicesinternetà l entreprisebénincosmetics» Cettechartedevraitpermettre: De renforcer la sécurité des systèmes d informations en informant et en responsabilisantlesutilisateurs; Depréciserlesprérogativesetlecadredetravaildechaquetyped acteurpouréviter desactionsdangereusesvoireillégales,pouvantengagerlaresponsabilitécivileou pénaledeleursauteurset/oudeladirectiongénéraleetledépartementinformatique; Devousmettreenconformitéaveclaloi. Cettechartedoitégalementinformerlesutilisateursdel existencededispositifsdecontrôleet d éventuellessanctions. II.3.2.3Planopérationneldesécurité Leplanopérationneldoitobligatoirementêtreprécédéd'unplanstratégiquedanslamesureoù la définition d'une métrique des risques et une classification des ressources sont indispensables,quellequesoitl'importancedel'entrepriseconsidérée,àl'évaluationdes risquesetàladéterminationobjectivedesbesoinsenservicesdesécurité.l'élaborationd'un planopérationneldesécuritérésultesoit: Deladécisiond'uneunitéindépendanteoud'unresponsabled'activité(casdespetites entreprises,professionslibérales,etc.).danscecas,onpeutconsidérerque,bienque faisantl'objetd'étapespréalablesspécifiques(impérativementladéfinitiondela métriquedesrisquesetlaclassificationdesressources),leplanstratégiquesera pratiquementintégrédansleplanopérationnel; deladécisiond'uneunitéautonome,quidevraseplierauxexigencesdéfiniesdansle planstratégiqueauxfinsdecoordinationetdecohérence; delamiseenœuvredelapolitiquedesécuritédécidéeauniveaucentraletdontle planopérationnelestundescomposants. Leplanopérationnelpeutêtreélaboré: soitàpartird'uneapprocheanalytiquebaséesurunauditdesservicesdesécuritéen place assuré principalement, parce que ce sont eux qui en ont la meilleure connaissance,pardestechniciens; 55

66 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS soitàpartird'uneévaluationdesfacteursderisque,c'estàdired'uneappréciationde leurincidencesurlagravitédurisque.unetelleapprocheglobale,faitd'abordappelà l'appréciationetauraisonnementdesutilisateursdessystèmesinformatiques. Figure2 12:Elaborationduplandesécurité II Préliminaires Etape1:Définitiondudomainecouvertoupérimètredel étude SurrecommandationdelaDirectionGénéralede«BéninCosmetics»,ledomainecouvert parl étudeest: Les2sitesdel entrepriseàcotonouetàparakou; LeslocauxtechniquesdusiègeàCotonouetàParakou; LecentredeproductionàParakou; LesréseauxlocauxdusiègeàCotonouetducentredeproductionàParakou; Réseaupublic«BéninTélécoms»; Lesserveurs; LesapplicationsSAGESAARIetGES_DRH; 56

67 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Etape2:réalisationdeladécompositioncellulaire Auseind uneorganisationcomme«bénincosmetics»quiestrepartieenplusieurssiteset plusieurssystèmesinformatiques,lesrésultatsd auditssontforcémentdifférentsselonles élémentsmisenjeu.laréalisationdenotreauditamisenlumièretoutescesdifférencesafin d avoirunevueréelledelavulnérabilitédessystèmesexistants.cettetâchenousaété facilitéeparladécompositioncellulaire. Lesservicesdesécuritésontrassemblésdanslestypesdecellulesauniveaudelabasede connaissances,cequifacilitel identificationduprofildesrépondants(untypedecellule rassemblantlesquestionsdestinéesàunprofilderépondant). Nousavonsretenupourl entreprise«bénincosmetics»ladécompositionsuivante: Entité:Entreprise«BéninCosmetics»; Sites:SiègeàCotonou,usineàParakou; Locaux:localtechniquesiège,localtechniqueusineParakou,centredeproduction, bureauxsiègescotonou,bureauxusineparakou; Architectureréseauxettélécom:LANsiègeCotonou,LANusineParakou,réseau étendu«bénintélécoms»; Exploitationréseauxettélécoms:exploitationdesréseauxtéléphoniques; Architecture des systèmes: serveur métier, serveur de stockage, serveur de messagerie; Applicationsopérationnelles:applicationSAGESAARI,GES_DRH; Ladécompositioncellulaireestuneétapedéterminantepourl étudedesrisques.ellesefait trèssouventàl aided outilscommerisicarequiautomatiseaussil étudedesrisques. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonouetusineàparakou C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou,localtechniqueàParakou,centrede productionàparakou,bureauxdusiègeàcotonou,bureauxusineàparakou; D. Domainedel architectureréseauettélécoms:landecotonou,landeparakou,réseauétendude «BéninTelecoms» E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage,serveurmétier, serveurdemessagerie G. Domainedelasécuritédelasécuritéapplicative:ApplicationSAGESAARI,application GES_DRH H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH Tableau2 19:Décompositioncellulairedel entreprise Etape3:Reprisedelaclassification Nousavonsreprislaclassificationdescellulesenfonctiondestroiscritèresd impact: disponibilité(d),intégrité(i),confidentialité(c).chaquecellules estvueaffectéed une valeurindiquantsondegrédecriticitéparrapportàuncritèredonné. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonou(1,1,2)etusineàparakou(2,1,2) C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou(4,4,4),localtechniqueàParakou (4,4,4),centredeproductionàParakou(2,2,1),bureauxdusiègeàCotonou,bureauxusineàParakou; D. Domainedel architectureréseauxettélécoms:landecotonou(4,4,4),landeparakou(4,4,4), réseauétendude«bénintelecoms»(4,4,4) 57

68 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques(4,4,4) F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage(2,2,2),serveur métier2,2,2),serveurdemessagerie(4,4,4) G. Domainedelasécuritéapplicative:ApplicationSAGESAARI(2,2,2),applicationGES_DRH(2, 2,2) H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH(2,2,2) Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact II Auditdel existant L auditdel existantsedécomposeendeuxépreuves:laréalisationdel auditetlaproduction desrésultatsdel audit. Pourchaquecellule,ilfallaitrencontrerlaoulespersonnesconcernéesparcelles cietayant leprofilassociéautypedecelluleauquelappartientcettecellule. Pourunequestionde pertinence,nous avonsporténotrepréférencesurdesquestions dichotomiques.cequiimpliquequelerépondantdoitindiqueruneréponseouiounon pourchaquequestion(encasd hésitationouderéponsepartiellementaffirmative,onachoisi derépondrenonparprudence).nousavonsaussidonnélapossibilitédechoisirs.opour sansobjetaucasoùlesquestionsd auditneconcernentpasl étude. Laproductiondesrésultatsdel auditpasseparuneconsolidationdesréponsesenvue d obtenirunenotepourlesousserviceauquelellesappartiennent.cecalculfaitintervenir unemoyennepondéréenorméede0à4plus,éventuellement,unenotiondeseuilmaximumet minimum. LeseuilMaxestutilisépourlesquestionsindispensablesauseind'unsousservice,il correspondàlalimitemaximumdeniveaudequalitéquepeutatteindrelesousservice lorsqu'onarépondunonàcesquestions. Al'inverseleseuilMinestutilisépourlesquestionssuffisantesauseind'unsousservice,il correspondàlanoteminimaleatteintelorsqu'onaréponduouiàcesquestions. Naturellementsiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMax différents,onretiendraleseuilmaxleplusfaible. Al'inversesiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMin différents,onretiendraleseuilminleplusélevé. EncasdeconflitentreseuilsMAXetMIN(c'estàdireundéclenchementdeseuilMAXde valeurinférieureàcelled'undéclenchementdeseuilmin),c'estleseuilmaxquiprévaudra. Cesrésultatsd'auditpeuventêtreutiliséspourproduiredestableauxdevulnérabilitépour chacunedescellules. QUESTIONNAIRED AUDIT:DOMAINEDESLOCAUX Question Qualitédelafournitured énergie L'énergieélectriquefournierépond elleauxexigencesmaximalesspécifiéespar lesfournisseursd'équipementsavecunemargesuffisante? Ya t ilunsystèmederégulationélectriquecomportantaumoinsunonduleur pourleséquipementssensibles? Continuitédelafournituredel'énergie Existe t iluneinstallationélectriquedesecourscapabled'assurerlacontinuitédu servicedeséquipementscritiques(s'appuyantsurungroupeélectrogèneassociéà uneréservedecarburantsuffisanteousurdesarrivéesindépendantesd'énergie)? Teste t onrégulièrementlacapacitédusystèmedesecoursàassurerlacharge prévue(lesdélestageséventuelsayantétéeffectués)? 58 Rép. P Max Min Commentaire

69 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sécuritédelaclimatisation Y a t il un système de climatisation créant une ambiance (température, hygrométrie, poussières) conforme aux prescriptions des constructeurs des 4 matérielsinstallés? Vérifie t onrégulièrementlacapacitédusystèmedeclimatisationàassurersa 4 fonctiondanslespiresconditionsclimatiquesenvisageables? Protectioncontrelafoudre L'immeubleest ilprotégéparunparatonnerre? 4 Lescircuitsélectriquesetlecâblagesont ilsprotégéscontrelessurtensionset 4 contrelafoudrepardeséquipementsspéciaux? Contrôled'accèsauxlocauxsensibles Lesdroitsd'accèspermanentsousemi permanents(pouruneduréedéterminée) auxlocauxsensiblessont ilsdéfinisparrapportàdes"profils"typesprenanten comptelafonctionetlestatut(personneld'exploitationinformatiqueoutélécom, 4 personnels des services généraux ou de sécurité, pompiers, prestataires de maintenanceoud'entretien,fournisseursdeservices,stagiaires,visiteurs,etc.)? Les profils permettent ils également de définir des créneaux horaires et 4 calendairesdetravail(heuresdébutetfindejournée,week end,vacances,etc.)? Lesbadgesoucartesmatérialisantlesautorisationsd'accèsauxlocauxsensibles 4 sont ilspersonnalisésaveclenomdutitulaireetsaphoto? Utilise t onunsystèmedecontrôled'accèssystématiqueauxlocauxsensibles? 4 L'authentification fait elle appel à des moyens infalsifiables détenus par 4 l'utilisateur(carteàpuceoureconnaissancebiométrique,parexemple)? Lesystèmedecontrôled'accèsgarantit iluncontrôleexhaustifdetoutepersonne entrantdansleslocaux(sasnepermettantlepassagequed'unepersonneàla 4 fois,processusinterdisantl'utilisationdumêmebadgeparplusieurspersonnes, etc.)? Sécuritéincendie A t onfaituneanalysesystématiqueetapprofondiedetouslesrisquesd'incendie (court circuitauniveauducâblage,effetdelafoudre,personnelfumantdansles locaux, appareillages électriques courants, échauffement d'équipement, 4 propagation depuis l'extérieur, propagation par les gaines techniques ou la climatisation,etc.)? Existe t iluneinstallationdedétectionautomatiqued'incendiecomplètepourles 2 locauxsensibles(fauxplanchersetfauxplafondss'ilsexistent)? L'installationdedétectionest ellecomposéed'aumoinsdeuxtypesdedétecteurs 4 (parexemple:détecteursdefuméeioniquesetoptiques)? Lepostedesurveillancea t illapossibilitédefaireintervenirrapidementune équiped'interventionayantlesmoyensd'actionsuffisantspouragir(diagnostic 2 précis de la situation, extinction manuelle, déclenchement ou validation de l'extinctionautomatique,appeldessecours,etc.)? Tableau2 21:Extraitsduquestionnaired auditdeslocaux QUESTIONNAIRED AUDIT:DOMAINEDURESEAULOCAL Question Sécuritédel'architectureduréseaulocal A t on effectué un partitionnement du réseau local en séparant du réseau strictementinterneleszonesdecommunicationavecl'extérieur(dmz)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? Enparticuliertoutréseausansfil(Wlan)est ilconsidérécommeundomaine distinctstrictementisoléduresteduréseau(parfirewall,routeurfiltrant,etc.)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? 59 Rép. P Max Min Commentaire

70 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sûretédefonctionnementdesélémentsd'architectureduréseaulocal A t onanalyséchaquedomainedesécuritépourdéterminerlesexigencesde continuité de service et en a t on déduit, si nécessaire, une architecture de 4 redondanceauniveaudespointsd'interconnexion,deséquipementsetdumaillage duréseau? L'architecturedeséquipementsderéseaupermet elleuneadaptationfacileaux 4 évolutionsdecharge(clusters,grappes,etc.)? Organisationdelamaintenancedeséquipementsduréseaulocal Tous les équipements du réseau local sont ils couverts par un contrat de 2 maintenance? A t on identifié les équipements critiques pour l'exploitation et la tenue des performances annoncées et, pour ceux ci, les délais de remise en service 4 souhaitableetlesdélaismaximumtolérablesencasdedéfaillance? Procéduresetplansderepriseduréseaulocalsurincidents A t onétabliunelistedesincidentspouvantaffecterlebonfonctionnementdu réseaulocalet,pourchacund'eux,lasolutionàmettreenœuvreetlesopérationsà 2 menerparlepersonneld'exploitation? Lesmoyensdediagnosticd'unepartetdepilotageduréseaulocal(reconfiguration) d'autrepartcouvrent ilsdemanièresatisfaisantetouslescasdefiguresanalyséset 4 permettent ilsdemettreenœuvrelessolutionsdécidéesdanslesdélaisspécifiés? A t ondéfini,pourchaqueincidentréseau,undélaiderésolutionetuneprocédure 4 d'escaladeencasd'insuccèsouderetarddesmesuresprévues? Plandesauvegardedesconfigurationsduréseaulocal A t onétabliunplandesauvegarde,couvrantl'ensembledesconfigurationsdu 4 réseaulocal,définissantlesobjetsàsauvegarderetlafréquencedessauvegardes? Ceplandesauvegardeest iltraduitenautomatismesdeproduction? 4 Teste t on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur documentation et de leur paramétrage permettent 4 effectivementdereconstitueràtoutmomentl'environnementdeproduction? PlandeReprised'Activité(PRA)duréseaulocal Existe t il une solution de secours, parfaitement opérationnelle, pour pallier 4 l'indisponibilitédetoutéquipementoudetouteliaisoncritique? Cessolutionssont ellesdécritesendétaildansdesplansdereprised'activité incluantlesrèglesdedéclenchement,lesactionsàmener,lespriorités,lesacteursà 4 mobiliseretleurscoordonnées? Cesplanssont ilstestésdemanièreopérationnelleaumoinsunefoisparan? 4 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal Cestableauxetgraphiquesnouspermettentdefaireunreportingsurlavulnérabilitédela société.bienquecenesoitpaslafinalitédelaméthodeméhari,celanousfacilitela comparaisondediversescellulesdumêmetypeetnouspermettraunsuividansletempsde cettevulnérabilité. II Evaluationdelagravitédesscénarii LabasedeconnaissancesMéharioffreunelistedescénariitypesainsiquelessixformules indiquantlessousservicesutiliséspourchaquetypedemesure(structurelle,dissuasive, Préventive,deProtection,Palliative,deRécupération). 06 Altérationdesdonnées 10 Accidentdetraitement I N 11 Accidentd exploitation Stru Diss Prév Min(01B05;01C01) Max(06D01;min(07A05;07D03)) Prot Pall Récup Min(08B04;07E03) Min(07D05;08D02) Min(01D02;01D05) 12 Altérationaccidentelledesdonnéespendantlamaintenance I N 60

71 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Stru Diss Min(01B05;01C01) Prot Pall Min(08B04;07E03) Min(07D05;08D02) Prév Max(07A05;09C01) Récup Min(01D02;01D05) 20 Erreurdesaisie 21 Enamontdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) 22 Lorsdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Basedes connaissances) Pourillustration,lesscénarii6.22quiconcernel altérationdedonnéesayantpourcauseune erreurdesaisiededonnéesetpourorigine,nousavonsquantifiélesmesuresstructurellespar laformule:min(01b05;01c01),celasignifiequelessousservices01b05:«sensibiliseret formeràlasécurité»et01c01:"motiverlepersonnel"sontimpliquésdanslaquantification decesmesuresstructurelles. Ensepenchantsul ensembledessousservicesdelabasedesconnaissancesméhari2007 impliquésdanslaquantificationdessixtypesdemesurespourcescénario,leconstatquise dégageestqu ilsappartiennentautypedecelluleentité,productioninformatiqueetsécurité Applicative,nousdironsquecescénarios appuiesurcestroistypesdecellulespourse réaliser. Pourunscénariotypeetlescellulesassociées(parexemplelescénario622dutableau précédent se réalisant dans les cellules Entité et Production Informatique et Sécurité Applicative),oncalculepourchaquetypedemesure(Structurelle,Dissuasive,Préventive,de Protection,PalliativedeRécupération),l efficacitédecelle ci:eff Stru,Eff Diss,Eff Prev, Eff Prot,Eff Recup.Pourcela,onutiliselesformulesassociéesàchaquetypedemesuredu scénariotypeétudié. Réplicationduscénariodanslescellules Code Domainede l organisation Domainede lasécurité desserveurs 0622/1 Entreprise «Bénin Cosmetics» Entreprise «Bénin Cosmetics» Exploitati ondes ApplicationSAGE serveurs SAARI Exploitati ondes ApplicationGES_DRH serveurs Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés 0622/2 Domainedelasécuritédes applications expo Diss Prev Prot Pall Recup P RI GMax OndéduitlapotentialitéSTATUS Pàpartirdestroisstatutsdepotentialité(STATUS EXPO, STATUS DISS,STATUS PREV)enutilisantlagrillecorrespondantautypedescénario(P MALVEILLANCE,P ERREUR,P ACCIDENT). Lescénario06.22: Altérationdedonnéesparerreurlorsdelasaisie estdetypeerreur. 61

72 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II Expressiondesbesoinsdesécurité Les besoins de sécurité sont déduits de l'évaluation de la gravité des scénarii et de l'appréciation,aussiobjectivequepossibledesservicesdesécuritéayantuneinfluencesur cettegravité. Lesprincipauxsoucisdetouslesacteursdelasécuritéestnaturellementderéduireàleur strictminiumlesrisquesinsurmontables(enpriorité)puisinadmissibles,jusqu àcequele niveaudusinistrepotentielpassesouslabarreduseuilfixécommenedevantpasêtrefranchi. L expressiondesbesoinsdesécuritéseradonc,d'abord,l'expressiondesbesoinsdemesures spécifiquesrépondantauxrisquesmajeurs(insupportablespuisinadmissibles)découlantde l'étudedesscénariilesplusgraves. Mais,s ilestcrucialderéduirecesrisquesmajeurs,ilestégalementimpératifdeveilleràce quechaqueentitéappliquedesmesuresdesécuritégénéralequisoientconformesauxchoix définisparlapolitiquedel entrepriseetrépondentàsesrisquescourants.c estpourquoi l expressiondesbesoinssetraduira,outrelamiseenplacedesmesuresspécifiquesau domaineétudié,parunensembledemesuresrésultantd unecomparaisonentreleniveaude qualitédesmesuresenplaceetleniveauspécifiéparlapolitiquedesécuritédel entreprise. Mesuresgénéralespourlacelluleexploitationdesserveurs Note Code Sousservice A02 Sécuritédesimpressions D02 Organisationdelamaintenance E02 Traitementdesincidents A07 Contrôledelatélémaintenance A08 Administrationdesserveurs A01 Contratsdeservice Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacelluleexploitationdesserveurs Mesuresgénéralespourlacellulesécuritéapplicative Note Code Sousservice A02 Reconfigurationlogicielle D02 Identificationdel origine(signature ) E02 Localisationd unévénementdansletemps(horodatage) A07 Notarisation(anti répudiation) Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécuritéapplication GES_DRH Pour élaborer le plan d'action des mesures générales, nous prendrons en compte les contraintesorganisationnelles,techniquesmaisaussifinancières.pourl'ensembledesmesures généralesnouspourronstraiterlessousservicesutilisantdesaspectslégauxouréglementaires (preuveetcontrôle,traçabilité,auditabilité, ). Pourmenercetteétudeconcernant«BéninCosmetics»,nousavonstraitélessousservices suivants: 08F01Identificationdel'origine(signature,.); 08F06Localisationd'unévénementdansletemps(horodatage, ), 08F05Notarisation(anti répudiation) 62

73 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II.3.2.4Planopérationneld entreprise LePlanOpérationneld Entreprise(POE)estlaconsolidationdesactionsdesécuritéengagées danschaqueunité.c estdanscettephasequel ondoitpositionnerdesindicateursdesécurité pour suivre l évolution du niveau de sécurité globale de l entreprise. Ces indicateurs permettrontdesurveillerlespointssensiblesounévralgiquesdel entrepriseetàladirection Généraledesuivrel évolutionduniveauglobaldesécuritéenfonctiondeobjectifsdéfinis. LePOEdonneralieuàl établissementd untableaudebordetpourraaussiêtrel occasion d unéquilibrageentrelesunitésdel entreprise. Sidenouveauxbesoinsapparaissent(enraisondelaviemêmedel entreprise)lapolitiqueet lesobjectifsdesécuritédoiventêtremodifiésetlesphases1à3réitérées. II Choixd indicateursreprésentatifs EnraisondesobjectifsdesécuritéquenousafixélaDirectionGénéraleauniveaude l élaborationduplanstratégiquedelasécurité,lechoixdesindicateursporterasurlesscénarii suivants: Pourassurerlaproduction: Départdepersonnelstratégiqued exploitation Cescénarioconcernedirectementlesressourceshumaines Incendiedansunecorbeilleàpapier Cescénarioconcernedirectementleslocaux Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction Pourassurerlaconfidentialitéetlesecretdefabrication: Bombelogiquedansunlogicielparunutilisateur Cescénarioconcernedirectementlestraitementsinformatiques Pertedefichiersparvoldansunbureau Cescénarioconcernedirectementlesstructuressupport Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretdefabrication Pourassurerladisponibilitédesmoyensdecommunicationsavecl usinedeparakou: Accidentsoupannegraverendantindisponibleuneressourcematérielleinformatique(serveur, réseau,lan,wan,etc.) Cescénarioconcernedirectementlestraitementsinformatiques Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavecl usinedeparakou II Elaborationd untableaudeborddelasécuritédel entreprise Letableaudebordpourrapermettred apprécierparexemplelagravitédesscénariiretenusà l'étapeprécédente.l appréciationduniveaudecettegravitéseraréactualiséeàunefréquence déterminéeparl'entreprise Famille Libellédelafamilledescénarii Destructiond équipements Performancesdégradées Divulgationdesdonnées Détournementdesfichiersdedonnées 63 Gravitéinitiale Gravitéfinale

74 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 12 Poursuitejudiciaire 3 3 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii D'autretableaudebordavecdesindicateursspécifiquesavecletempsd'indisponibilitéet/ou retouràunesituationnormalepourraêtrefourniversladirectionsouslaformesuivante: ENTREPRISE«BENINCOSMETICS» Nombred incidentsliésaumotdepasse Nombredetentativesinfructueusesdeconnexionssur lesystème Nombredetentativesd intrusion Nombredeblocagedulogicielmétier Nombrederestaurationdedonnées Nombredevirusayantinfectélamessagerie,leS.I. 09/2008 Nombre Temps /2008 Nombre Temps Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéetretouràune situationnormale II Rééquilibragesetarbitragesentrelesunités Lesrééquilibragesetlesarbitragesbudgétairesentrelesunitésserontdéterminésenfonction desressources(humainesetfinancières)disponiblesquel'entreprise peutaccorder aux différentesunitéspourmettreenœuvrelesplansopérationnelsdesécurité. II Synthèse Lamiseenplaced unedémarchesécuritairebaséesurmehariestdenosjoursunedesplus fiablesdèslorsqu elleestmenéeavecunevolontédel instancemanagérialedel entreprise. Lasécuriténepeutseconcevoirsansunemaitriseréelledesrisquesencourusparl entreprise etsesvaleurs.labasedeconnaissanceetdesscénariiderisquesprédéfiniesfacilitent l identificationdesrisques.ladivisiondesprocessusencellulepermetuneévaluationdes risquesàuneéchelleinfinie. LadémarcheMEHARIestcertesassezharassanteetexigeunvéritableauditdusystème d informationconcerné,maiselleal avantaged êtrebiendocumentéeetrégulièrementmise àjourparleclusif. 64

75 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre3: Les systèmes de protection contre les intrusions Danslelangagecourant,uneintrusionestuneactionvisantàs introduiresansautorisation dansunlieudontonn estpaslepropriétaire.eninformatiqueaussilamêmedéfinitionest applicable;ellesignifielapénétrationdessystèmesd information,maisaussilestentatives desutilisateurslocauxd accéderàdeplushautprivilègesqueceuxquileursontattribués,ou tentativesdesadministrateursd abuserdeleursprivilèges.ellepeutaussirésulterd unver cherchantàassurersapropagation,ouencored uneattaqueautomatisée. Les deux premières parties de ce document ont traité des évolutions de la sécurité informatique,d unétatdeslieuxdelasécuritédessystèmesd informationdanslemondeet desstratégiesdesécuritédessystèmesd informationquisontd usagepoursemettreàl abri desmenacescourantes.cependant,lerapportmenaces/mesures,loind êtresatisfaisant demeuretoujoursunepréoccupationmajeurepourlesorganisationsetlesspécialistesdela sécuritédessystèmesd information. Eneffet,beaucoupdespécialistess accordentavecnataliedagornpourclamerqu «aucun système d information n est sûr à 100%! Parmi les préceptes connus sur la sécurité informatiquesetrouveceluiénonçantque,pouruneentrepriseconnectéeàl Internet,le problèmeaujourd huin estplusdesavoirsiellevasefaireattaquer,maisquandcelava arriver;unesolutionpossibleestalorsd essayerderepousserlesrisquesdansletempsparla miseenœuvredediversmoyensdestinésàaugmenterleniveaudesécurité»[dag]. Lesvulnérabilitésenmatièredesécurités'intensifientd annéeenannée.lecentrede coordinationcertindiqueque417vulnérabilitésontétésignaléesen1999.aucoursdes troispremierstrimestres2002,cechiffreestmontéjusqu'à3222. En2006cemêmechiffreétaitpasséà8064.Encetteannée2008,rienquepourlepremier semestrelenombrede4110vulnérabilitésadéjàétédépassé[crtv]. Àl'heureoùlescorrectifslogicielsnepeuventêtreappliquésaussivitequelatechnologie évolue,deuxquestionsdoiventêtreposées:combiencoûtelestempsd'indisponibilité,etquel estledegrédenuisanceprovoquéparlacompromissiondesdonnées? Parailleurs,unenouvelleinquiétudegrandit:lefaitquelesentreprisessoientpotentiellement responsablesdesdégâtsprovoquésparunpirateetdoiventprouveràlajusticequ'ellesont prislesmesuresnécessairespoursedéfendrecontrelesattaques. Auregarddecetableauinquiétantdelasécuritéinformatique,leséditeursetspécialistesdes solutionsdesécuritéontbienévidemmentréagitenconcevantdessystèmesoudispositifs capablesdeproscrirelesdangersquenepeuventempêcherlesantivirus,pare feuxetautres mesuresclassiquesdesécuritéjusque làenvogue. Dans cette troisième partie, nous allons aborder les systèmes de protection contre les intrusions.eneffet,nousmontreronsgrâceàuneenquêtequenousavonsréalisée,queces systèmesquiajoutentunniveausupplémentairedesécuritéauxsisontméconnusetnégligés auseindesentreprisesetorganisationsouestafricaines. 65

76 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.1Situationdelasécuritédessystèmesd information Situationdelasécuritédessystèmesd information danslasous régionouestafricaine régionouestafricaine Lebutdecedocumentétantdemontrerl importanceetlamiseenplace Lebutdecedocumentétantdemontrerl i mportanceetlamiseenplacedesstratégieset politiquesdesécurité,ilnousasembléopportundecompléterlesétudesetsondagesutilisés danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous région Ouestafricaine.Nousavonsporténotrechoixsur29organisationsduBénin,Nigeretdu avonsporténotrechoixsur29organisationsdubénin,nigeretdu Togo.L enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures.l enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant montrelesentreprisesconcernéesparl enquête concernéesparl enquête: Tableau3 1:LesentreprisesOuest :LesentreprisesOuest africainesconcernéesparl enquête africainesconcernéesparl enquête Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait:«Disposez Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait Disposez vousd une stratégiedesauvegardehors site(backupoff site(backupoff site)?» UnevéritablestratégiedesauvegardedoitressembleràcellemiseenplaceparAfriNIC (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduS (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduSud) disposed unsitederéplicationdesesdonnéesaucaire(egypte). C estleconceptdubackup disposed unsitederéplicationdesesdonnéesaucaire(egypte).c estleconceptdubackup off site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe naturellemêmeimportantenepuissepriverafrinicdesesressour ces.lessauvegardessont naturellemêmeimportantenepuissepriverafrinicdesesressources.lessauvegardessont quotidiennementeffectuéesenligne. quotidiennementeffectuéesenligne. Figure3 1:Entreprisesdisposantd unestratégiedebackupoff :Entreprisesdisposantd unestratégiedebackupoff site site Acettequestion,commelemontrelafigure3 2,79%denotreéchantillonàrépondu Acettequestion,commelemontre échantillonàrépondu «NON»etseuls21%disentêtreentraindeplanifiercesmesures»etseuls21%disentêtreentraindeplanifiercesmesuresneserait neserait cequ àl échelle d unevilleoud unpays. Lasecondequestiondel enquêteseprésentaitcommesuit:«disposez vousd unedémarche Lasecondequestiondel enquêteseprésentaitcommesuit vousd unedémarche sécuritaireconduisantàunevéritablestratégiepuispolitiquedesécurité àunevéritablestratégiepuispolitiquedesécuritéfiable? fiable?». 66

77 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 2:Pourcentagedes Pourcentagedesréponsesausujetdeladémarchesécuritaire. réponsesausujetdeladémarchesécuritaire. Seuls24%desentreprisesontestiméêtresurlepointdelefaireoudecommencerlesétapes Seuls24%desentreprisesontestiméêtresurlepointdele faireoudecommencerlesétapes préliminairesàsamiseenœuvre.76%ont àsamiseenœuvre.76%ontrépondu«non». Latroisièmequestionétait:«:«Disposez vousd undispositifvouspermettantdevousrendre vousd undispositifvouspermettantdevousrendre compted uneintrusionn ayantpascausédedégâts,maisquiapuocc compted uneintrusionn ayantpascausédedégâts,maisquiapuoccasionnervolde données?». Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«:Pourcentagedelacapacitédedétectiondesintrusions«passives passives» Pourcontinueraveclesintrusions,nousavonsaussidemandésiellespeuventprévenirou arrêterentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde terentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde services?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme lemontrelafigure3 5. Figure3 4:Pourcentagedeprotectioncontrelesintrusions«:Pourcentagedeprotectioncontrelesintrusions«actives actives» Enfin,ladernièrequestionétait questionétait:«disposez vousd unplandereprised activitéaprèsun vousd unplandereprised activitéaprèsun sinistre(disasterrecoveryplan) sinistre(disasterrecoveryplan)?». 67

78 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan Acettequestionaussilamajoritédesentreprisesc'est à dire93%ontréponduparlanégative. Acettequestionaussilamajoritédesentreprisesc'est dire93%ontréponduparlanégative. Seuls7%disentyavoirpensé. Seuls7%disentyavoirpensé. Leconstatquenouspouvonstirerdecetteétudeestquenosentreprisesnesontpasdutout Leconstatquenouspouvonstirerdecetteétudeestque nosentreprisesnesontpasdutout préparéesàfairefaceauxréelsrisquesauxquelselless exposentsurtoutencequiconcerne lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommes proposédeterminer lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommesproposé cetteétudeparlaprésentationd untypeassezrécentdesystèmedeprotectionquenos entreprisesdevraientincluredansleursstratégiesetpolitiquesdesécuritéàsavoirles systèmesdeprotectioncontrelesintrusions. protectioncontrelesintrusions. III.2 Concepts des des systèmes de protection contre les intrusions III.2.1Définitionetprincipesdefonctionnement Définitionetprincipesdefonctionnement Onentendparsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«appliances» (c'est à diredesboîtesnoires)capablesdeprotégerlesréseaux diredesboîtesnoires)capablesdeprotégerlesréseauxetsystèmesinformatiques etsystèmesinformatiques contrelesintrusions.commenousl avonsmentionnéprécédemment,cessystèmessebasent surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. Ainsi,ilexistedessystèmesdedétectiond intru essystèmesdedétectiond intrusionsdits«passifs»quiontétédép ontétédéployésde plusenpluslargementetquisont talonnéesaujourd huipardessystèmesdits«actifs»de plusenpluslargementetquisonttalonnéesaujourd huipardessystèmesdits«prévention d intrusions. La recherche et les découvertes en détection et prévention d intrusions sont toujours d actualité, d actualité, notamment en raison des évolutions rapides et incessantesdestechnologiesdes technologiesdessystèmesd information. Ladétectiond'intrusionspeutsedéfinircommel'ensembledespratiquesetdesmécanismes utilisésquipermettentdedétecterlesactionsvisan utilisésquipermettentdedétecterlesactionsvisantàcompromettrelaconfidentialité, tàcompromettrelaconfidentialité, l intégritéouladisponibilitéd uneressource.lanotiond'intrusionestàconsidérerausens largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. D uncôté,ilyalessystèmesdedétectiond dedétectiond intrusions(idspourintrusion (IDSpourIntrusionDetectionSystem) quisontdesmécanismesdestiné destinésàrepérerdesactivitésanormalesoususpectessurlacible àrepérerdesactivitésanormalesoususpectessurlacible analysée(unréseauouunhôte).il analysée(unréseauouunhôte).ilspermettentainsid avoiruneconnaissancesurles ainsid avoiruneconnaissancesurles tentativesréussiescommeéchouéesdesintrusions. chouéesdesintrusions. Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainprocèdeàl examen Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainpr defichiersdelogs(journaux) (journaux)àlarecherchedetoutsignesuspectpouvantindiquerune àlarecherchedetoutsignesuspectpouvantindiquerune intrusion.unsystèmequieffectueunedétectiond' intrusionautomatiséeestappelésystèmede intrusion.unsystèmequieffectueunedétectiond'intrusionautomatiséeestappelésystèmede détectiond intrusion(ids).lorsqu uneintrusionestdécouverteparunids,lesactions typiquesqu ilpeutentreprendresontparexempled enregistrerl informationpertinentedans 68

79 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS unfichierouunebasededonnées,degénérerunealertepare mailouunmessagesurun pager ou un téléphone mobile. Déterminer quelle est réellement l'intrusion détectée et entreprendrecertainesactionspourymettrefinoul'empêcherdesereproduire,nefont généralementpaspartiedudomainedeladétectiond'intrusion.cependant,quelquesformes deréactionautomatiquepeuventêtreimplémentéesparl'interactiondel'idsetdesystèmes decontrôled'accèscommelespare feu.lediagrammesuivantillustrelefonctionnementd un IDS. Trafic/Application Détection Abus/Anomalie Alerte Détection Abus/Anomalie Logs Collecte d informations surl attaque/ l attaquant Analysehumaine Blocage port Figure3 6:Fonctionnementd unids D unautrecôté,ilyalessystèmesdepréventiond intrusions(ipspourintrusionprevention System)quisontdesmécanismesayantpourbutd anticiperetdestopperlesattaques.la préventiond intrusionestappliquéeparquelquesidsrécentsetdiffèredestechniquesde détectiond'intrusiondécritesprécédemment.aulieud'analyserleslogsdutrafic,c'est à dire découvrirlesattaquesaprèsqu'ellessesoientdéroulées,lapréventiond'intrusionessaiede prévenircesattaques.làoùlessystèmesdedétectiond'intrusionsecontententdedonner l'alerte,lessystèmesdepréventiond'intrusionbloquentletraficjugédangereux. Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oudedétectiond intrusions (NIDS). 69

80 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leprincipedefonctionnementd unipsestsymétriqueàceluid unids(idshôteetids réseau),ajoutantàcelal analysedescontextesdeconnexion,l automatisationd'analysedes logsetlacoupuredesconnexionssuspectes. ContrairementauxIDSclassiques,aucunesignaturen'estutiliséepourdétecterlesattaques. Avanttouteaction,unedécisionentempsréelestexécutée(c'est à direquel'activitéest comparéeàunensemblederègles).sil'actionestconformeàl'ensemblederègles,la permissiondel exécuterseraaccordéeetl'actionseraexécutée.sil'actionestillégale(c'est à direquesileprogrammedemandedesdonnéesouveutleschangeralorsquecetteactionne luiestpaspermise),unealarmeestdonnée.danslaplupartdescas,lesautresdétecteursdu réseau(ouuneconsolecentrale)enserontaussiinformésdanslebutd empêcherlesautres ordinateursd'ouvriroud'exécuterdesfichiersspécifiques. Plusieursstratégiesdepréventiond intrusionexistent: Host basedmemoryandprocessprotection:quisurveillel exécutiondesprocessuset lestuedèslorsqu ilsontl airdangereux(bufferoverflow).cettetechnologieest utiliséedansleskips(kernelintrusionpreventionsystem); Sessioninterception(ousessionsniping):quitermineunesessionTCPavecla commandetcpresest(«rst»).ceciestbeaucouputilisédanslesnips(network IntrusionPeventionSystem); Gatewayintrusiondetection:siunNIPSestplacéentantquerouteur,ilbloquele trafic ou envoie des messages aux autres routeurs du réseau pour modifier adéquatementleurslistesd accèspourbloquerlessourcesjugéesagressives. Lediagrammeci aprèsillustrelefonctionnementd unips: Application Action Décisionentempsréel Refuser Permettre Alerte Exécuteruneaction Figure3 8:Fonctionnementd unips III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions Enprofitantdesbugslogiciels,enexploitantlesfaiblessesdesprotocolesetenpiratantles motsdepasse,lespiratespeuventrechercheretexploiterdesportesouvertesdansleslignes dedéfensed unréseaud entreprise.orcesportespeuventêtreferméesparunsystèmede détectionoudepréventiond intrusions: détectionprécisedesattaques; arrêtdesattaques; simplificationdelagestiondelasécurité; documentationappropriée(journauxdétaillés); flexibilitérequisepourrespecterlesrèglesdesécurité; doublevérification(aprèscelledespare feuxmalconfigurés); 70

81 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS vérificationdelabonneapplicationdesrèglesdesécurité; interceptiondesattaquesquelespare feulaissentpasserdemanièrelégitime; interceptiondestentativesinfructueuses; interceptiondespiratagesvenantdel'intérieur; détectiondesattaquesanormaleslancéesdepuisunterminalinoccupé; détectiondefaillespouvantêtreexploitéespardesintrus; documentationfournieavant,pendantetaprèsuneattaque. Lessystèmesdeprotectioncontrelesintrusionspeuventêtredéployésauniveaudespoints d'accès,derrièrelespare feux,surdiverssegmentsetserveursouàdifférentsemplacements oùilsferontofficed'agentsdesécuritédupérimètre.ensurveillantletraficpourprotégerles systèmesdesattaquesinternesetexternessurleréseau,cessystèmesdétectentetarrêtentles piratesquitententdes'introduiredanslesréseaux.lesméthodesdedétectionincluent l'utilisationdesignaturesd'attaque,lavérificationd'anomaliesdeprotocolesetd'actions inhabituelles. Lespiratesexploitentconstammentdenouvellesfailles.Entrouvantd'autresméthodespour accéderàvotreréseauinterne,ilslancentdenouvellesattaquessophistiquéesquinesuivent pasunschémadéfini.tandisqueladétectionbaséesurlessignaturesestunsystèmerobuste, ladétectiondesanomaliesdeprotocolespeutêtreutiliséepouridentifierlesdiversesattaques quin'observentpaslesscénariihabituels. Ainsi,ungrandnombred'attaquesréseaupeuventêtredéjouéesgrâceauxsystèmesde détectionetdepréventiondesintrusions.cesontdesoutilsquidemandentuneconfiguration fineetuneanalyserégulièredesfichiersjournaux. LessystèmesIDSetIPSappliquentdesméthodessimilaireslorsqu'ilsessaientd'intercepter desintrusoudesattaquessurleréseau.ilsontgénéralementunebasededonnéesde signatures,quipeutêtrerégulièrementmiseàjouràmesurequedenouvellesmenacessont identifiées. Lesadministrateursdesécuritédéploientdesagentsoudescapteurs,logicielsoumatériels,en despointsclésdeleurréseau.généralementenpériphérieousurlespasserellesversd'autres réseauxendesendroitsoùletraficréseauconverge,etquiontétéidentifiéscommeétantdes pointsdedétectionetd'interceptionstratégiques.lesplacerderrièrelespare feuxesttoujours unbonchoix.lescapteursàdistanceenvoientalorsleursrapportsàunemachinecentralequi gèrelesrèglesdusystème.ilstockelesdonnéesdansunseulendroitafindefaciliter l'enregistrement,lesalertesetl'élaborationdecomptes rendus. LescapteursIDS/IPSdéployéssurleréseauexaminentlesfluxdedonnéesquitransitentà leurniveau,puisanalysentletraficetlecomparentauxsignaturescontenuesdansleursbases dedonnées.lorsqu'unecorrespondanceesttrouvée,lesystèmeactiveeteffectuelestâches définiesparl'administrateur:interromprelaconnexiontcp,alerterl'équipedesécuritéou stocker les informations dans un journal ou log en vue d'une analyse ultérieure. Naturellement,lesperformancesduréseaudoiventêtreévaluéesavantdedéployerun capteur. Ilestégalementpossiblededéployerdifférentstypesdesystèmespouroffrirauréseau plusieursniveauxdesécurité.parexemple,encombinantunesolutionmatérielle(appliance) pourcontrôlerlespointsd'entrée/sortieduréseauavecdeslogicielsbaséssurhôtepour surveillerlesmachinescritiques. 71

82 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.3 Typologies et familles des systèmes de protection contrelesintrusions III.3.1 Typologies des systèmes de protection contre les intrusions Lacaractérisationdesdifférentssystèmesdeprotectioncontrelesintrusionspermetdeles différenciersuivantuncertainnombredecaractéristiques.cettecaractérisationaconduitàla classificationterminologiqueprésentéedanslafiguresuivante. Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions Dansunpremiertemps,onpeutfaireunedistinctionassezfondamentalesurlaméthodede détectionutiliséeparlessystèmesdeprotectioncontrelesintrusions.ilexistedeuxgrandes catégoriesdeméthodesdedétection: cellesbaséessuruneapprochecomportementale(parexemplel'analysestatistique, l'analysebayésienne,lesréseauxneuronaux) etcellesbaséessuruneapprocheparscénarii(parexemplelarecherchedesignatures oulepatternmatching). Globalement,lesapprochescomportementalesvisentàreconnaîtreuncomportementanormal, quecesoitparrapportàunedéfinitionducomportementnormalouanormalfournieau système de détection d'intrusion (par exemple une spécification de protocole de communication)ouparrapportàunemodélisationdescomportementsnormauxouanormaux appriseàpartird'uneobservationpréalabledusystème(ensalleblanche,outoutsimplement en réel). Dans le cadre d'une approche comportementale, l'apprentissage semble donc possible,toutcommelapossibilitédedétecterdesattaquesinconnuesaumomentdela conception de l'ids, à condition qu'elles génèrent des anomalies perceptibles dans le fonctionnementnormal. Parcontre,dansuneapprocheparscénarii,lessystèmesdeprotectioncontrelesintrusions s'appuientsurunebasedeconnaissancepréexistantedécrivantlescomportementsnormaux ouanormauxetutilisecetteconnaissancepourlareconnaissancedesévènementsproduitspar des actions d'intrusions dans le système informatique qu'ils observent. Cette méthode 72

83 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS implique donc la constitution et la mise à jour régulière d'une base de connaissance référençantlesdifférentesattaquesconnuessusceptiblesd'êtremisesenœuvredansun systèmeinformatique.c'estàpartirdecesinformations,affinéesparl'administrateuren fonctiondusystèmesurveillé,quelessystèmesdeprotectioncontrelesintrusionsidentifient leséventuellesattaquesayantlieudanslessystèmesinformatiques. Danscetteapproche,lessystèmesdeprotectioncontrelesintrusionssefocalisentdoncsur l'identificationdesutilisationsabusives(misuse).uneautremiseenœuvreconformeàla terminologiemaisoriginaledanslapratiquedecetteapprochededétectionparscénarii consisteàconstituerunebasedeconnaissancedescomportementspermisdanslesystème(et nondescomportementsabusifs)pourconfigurerlesactionsdedétection(desutilisations normalesenquelquesorte). Dansunsecondtemps,onpeutaussicomparerlessystèmesdeprotectioncontrelesintrusions enfonctiondumodedefonctionnementdesmécanismesdedétectionqu'ilsmettentenœuvre. Demanièregénérale,unsystèmedeprotectioncontrelesintrusionspeuttenterd'identifierdes attaquesens'appuyantsurdesinformationsrelativesauxtransitionsayantlieudansle système(l'exécutiondecertainsprogrammes,decertainesséquencesd'instructions,l'arrivée decertainspaquetsréseau,etc.)oubienenétudiantl'étatdecertainespartiesdusystème(par exemple,l'intégritédesprogrammesstockés,lesprivilègesdesutilisateurs,lestransfertsde droits,etc.). III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions Selonl'endroitqu'ilssurveillentetcequ'ilscontrôlent(les«sourcesd'information»),deux famillesprincipalesd IDSsontusuellementdistinguées: III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante Imaginonsqu'unerequêtemalintentionnéeaitpassélebarragedufirewall:ilfautdonc l'arrêter.laméthodelaplusclassiqueconsisteàfaireappelàunnetworkids unesolution dedétectiond'intrusionlargementéprouvée.sonrôleserad'immobiliserchaquerequête,de l'analyseretdeluilaissercontinuersoncheminseulementsiellenecorrespondpasau portrait robotd'uneattaqueréférencée.avantd'opterpouruntelsystème,ilfautconnaîtreles pointsclésdecettesolution. Lerôleessentield'unIDSréseau,appeléNIDS(Network basedintrusiondetectionsystem), estl'analyseetl'interprétationdespaquetscirculantsurceréseau.afinderepérerlespaquets àcontenumalicieuxcommeparexempledesexpressionscontenant«/etc/passwd»,des signaturessontcréées.desdétecteurs(souventdesimpleshôtes)sontutiliséspouranalyserle traficetsinécessaireenvoyerunealerte.unidsréseautravaillesurlestramesréseauàtous lesniveaux(couchesréseau,transport,application).deplusenplus,endisséquantlespaquets eten«comprenant»lesprotocoles,ilestcapablededétecterdespaquetsmalveillantsconçus pouroutrepasserunpare feuauxrèglesdefiltragetroplaxistes,etdechercherdessignes d attaqueàdifférentsendroitssurleréseau.quelquesexemplesdenids:netranger,nfr, Snort,DTK,ISSRealSecure7. LesIDSréseauontdesatouts,parexemple,lesdétecteurspeuventêtrebiensécurisés puisqu'ilsse«contentent»d'observerletrafic,lesscanssontdétectésplusfacilementgrâce auxsignatures,etc.cependant,lesproblèmesmajeursliésauxnidssontdeconserver 73

84 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS toujoursunebandepassantesuffisantepourl écoutedel ensembledespaquets,etdebien positionnerl IDSpourqu ilsoitefficace. PremiergagedequalitépourunNetworkIDS:l'exhaustivitédufichiercontenantles signaturesdesattaques.cefichierestcentraliséetmisàjourparlefabricantdesolutionsde NetworkIDS.Ilfautdoncpensertrèsrégulièrementàentéléchargerlalistelaplusrécente. Parextension,laqualitédeséquipesdeveilledufabricantconditionnelargementl'efficacité desesproduits:lesplusgrandesmarquesemploientplusieursdizainesdepersonnesàlamise àjourdecettelistedesignatures. UndespointscruciauxdesNIDSconcernelechoixdeleursemplacements.«Unesonde placéeàunmauvaisendroitpeutêtreinefficace»,soutientphilippesolini,networkdesign ConsultantchezUnisys.Ilestd'ailleurscourantquel'onnepuissepassecontenterd'unseul systèmedefiltrage:plusunréseauestcomplexe,plusilprésentedevulnérabilités.ilen devientlogiquementplusdifficileàprotéger.maischaquenetworkidsrajoutécoûtecher: cesmachinessontparticulièrementgourmandesenressources."lesdébitsanalyséssonttrès lourds,ilestdoncnécessairededédieraunetworkidsdesmachinestrèspuissantes,oudes appliances(boitesnoires)spécialiséspourparveniràlessoutenir",expliquephilippesolini. III.3.2.2LeHostIDS:Unesolutionquimonte Ensomme,leNetworkIDSestungendarmequicomparechaquetrameàunebanquede portraitsrobots.maisilnegarantitpasàluiseulunniveaudesécuritéprochede100%.pour yparvenir,ilfautmettreenfactionunautregendarme,quiobserveralecomportementde chaquetrameetsignaleratoutcequiluiparaîtrainhabituel.c'estlerôleduhostids,une véritablesondequiestplacéeindividuellementsurchaquesystèmeàprotéger.unsystème quicorrigelesfaiblessesdesnetworkids. LatechnologieHostIDSexcelledansladétectiondesanomaliesconnuesetinconnues:si uneattaqueparvientàsefaufileràtraverslesmaillesdufilet,lasondevalarepérer:"lehost IDSréaliseunephotographiedusystèmeàunmomentdonné.Ildéfinittoutcequiest légitime.toutcequisortducadreetdeshabitudesdusystèmeestconsidérécommeune attaque.unemodificationdelabasederegistresseradoncbloquéeetferal'objetd'une alerte",expliquepascaldelprat(consultantensécuritéchezciscoenfrance).untravail complémentaireàceluidunetworkids. UnesondeHostIDSestmoinsonéreusequ'unNetworkIDS,maisondoitenplacerunesur chaquemachineàsurveiller.onlesréservedoncleplussouventauxmachinestrèsprotégées. Ellessontégalementbeaucoupmoinsgourmandesenressourcessystèmesqu'unNetwork IDS:onlestrouvedoncsousformedelogiciel,etnonplusintégréesàunserveurouune appliancecommelesnetworkids.placéessurunemachine,ellesneconsommenteneffet pasplusde5%desressources. Ensemble,lesdeuxgendarmesfontaccéderunréseaud'entrepriseàunniveaudeprotection optimal.aconditiond'êtrechapeautésparunbrigadier chef:ilsnesaventpastravailler correctementsansêtreencadrés.leproblèmedel'administrationdesidsauquotidien représenteeneffetlepointleplusdélicatetlepluscrucialpourunsystèmededétection d'intrusion.sionlenéglige,ilestpréférabledegardersonbudgetpourl'investirailleurs. Lessystèmesdedétectiond'intrusionbaséssurl'hôte(postedetravail,serveur,etc.),ouHIDS (Host basedids),analysentexclusivementl'informationconcernantcethôte.commeils n'ontpasàcontrôlerletraficduréseaumais seulement lesactivitésd'unhôte,ilsse montrenthabituellementplusprécissurlesvariétésd'attaques.cesidsutilisentdeuxtypes 74

85 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS desourcespourfourniruneinformationsurl'activité:leslogsetlestracesd'auditdusystème d'exploitation.chacunasesavantages:lestracesd'auditsontplusprécises,détailléeset fournissent une meilleure information ; les logs, qui ne fournissent que l'information essentielle,sontpluspetitsetpeuventêtremieuxanalysésenraisondeleurtaille.iln existe pasdesolutionuniquehidscouvrantl ensembledesbesoins,maislessolutionsexistantes couvrentchacuneunchampd activitéspécifique,commel analysedelogssystèmeet applicatifs,lavérificationdel intégritédessystèmesdefichiers,l analysedutraficréseauen direction/provenancedel hôte,lecontrôled accèsauxappelssystème,l activitésurlesports réseau,etc.parexemple,ledémonsyslogpeutêtreconsidérépartiellementcommeun systèmehids,carilpermetdeconsignercertainesactivités,etàl aided unanalyseur commeswatch,dedétectercertainestentativesd intrusion(commebadlogin);tripwire, centrantsonactivitésurl intégritédusystèmedefichiers,peutaussiêtrevucommeunhids, SecurityManager,etc. Lessystèmesdedétectiond'intrusionbaséssurl'hôteontcertainsavantages:l'impactd'une attaquepeutêtreconstatéetpermetunemeilleureréaction,desattaquesdansuntraficchiffré peuventêtredétectées(impossibleavecunidsréseau),lesactivitéssurl'hôtepeuventêtre observéesavecprécision,etc.ilsprésententnéanmoinsdesinconvénients,parmilesquels:les scanssontdétectésavecmoinsdefacilité;ilssontplusvulnérablesauxattaquesdetypedos ;l'analysedestracesd'auditdusystèmeesttrèscontraignanteenraisondelatailledeces dernières;ilsconsommentbeaucoupderessourcescpu,etc. Une version d IDS hybride est possible et désormais supportée par différentes offres commerciales.mêmesiladistinctionentrehidsetnidsestencorecourante,certainshids possèdentmaintenantlesfonctionnalitésdebasedesnids.desidsbienconnuscommeiss RealSecuresenommentaujourd'hui IDShôteetréseau.Dansunfuturproche,ladifférence entrelesdeuxfamillesdevraits estomperdeplusenplus(cessystèmesdevraientévoluer ensemble).decesdeuxfamillesprincipales,denombreusesvariantessontissuesetpeuvent êtreétudiéesenprofondeurenconsultantlesrapportsderechercheconcernantladétectionet lapréventiond intrusiondenathaliedagorn(lienàretrouver) Concrètement,cesontdonclessystèmesdedétectiond'intrusionréseauutilisantdesbasesde signaturesquidominentlesmisesenœuvreopérationnellesdisponiblessurlemarché. III.4 Limites des systèmes de protection contre les intrusions Laplupartdesreprochesfaitsauxsystèmesdeprotectioncontrelesintrusionsconcerneen réalitélessystèmesdedétectiond intrusion.c estpourquoilessystèmesdeprévention d intrusionssontsouventconsidéréscommelesaméliorationsdesids. Lessystèmesdeprotectioncontrelesintrusionsdoiventpouvoirsupporterletraficmaximal attenduàl'endroitoùilsserontplacés.siuncapteurnepeutpasgérerledébit,despaquetsde donnéesserontperdus,etlesdonnéestransitantparcepointneserontpastoutesanalysées. Cettesituationpeutmêmeavoirunimpactsurlesperformancesglobalesduréseauencréant ungouletd'étranglement.ilestdoncpréférabledesurestimerletraficréseaupotentiel transitantparlepointdedéploiementducapteurquelecontraire. Laplusgrandemenacequipèsesurlesdéploiementsd'IDS/IPSestque,aufildutemps, l'équipedesécuriténefasseplusattentionauxdonnéesenregistrées.c'estunpointqu'ilfaut prendreencomptelorsduchoixdesrèglesdesécurité.mêmesiungrandnombrede 75

86 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS messagessontinterceptésàtortlorsqu'unsystèmeestdéployélapremièrefois,celui cidoit êtreconstammentreconfigurépourenréduirepeuàpeulenombre.lebutétantdedisposer d'unsystèmerobusteetpratiquesusceptibleunjourdesauverlesdonnéesdel'entreprise. L unedesprincipaleslimitesqu onconnaîtauxidsestlephénomènedesfauxpositifsetdes fauxnégatifs.aprèslephénomènedefauxpositifsetdesfauxnégatifs,ilexisteencore plusieursautresimperfectionsetlimitessouventattribuéesauxids.ils agitentreautresdu modepromiscuité,deladéfinitionetmaintenancedessignatures,leurapprentissageetleur configurationdel IDSetenfinleslimitesgénérales. III.4.1Fauxpositifsetfauxnégatifs ParmilescomportementspossiblespourunIDS,onpeutenvisagerlesquatrepossibilités recenséesdansletableausuivantqu'uneintrusionsoitounonencoursdanslesystème informatiqueetquelesystèmededétectiond'intrusionaitémisounonunealerte. Pasd alerte Alerte Pasd attaque Vrainégatif Fauxnégatif Attaqueencours Fauxnégatif Vrainégatif Tableau3 2:ComportementsenvisageablespourunIDS Parmicesquatrecomportements,lesvraisnégatifsetlesvraispositifscorrespondentaux comportements souhaités. Toutefois un IDS est généralement imparfait et conduit à l'apparition des deux autres comportements non désirés. Parmi eux, un faux négatif correspondàuneattaquenondétectée,etunfauxpositifàl'émissiond'unefaussealerte.les différentsidssouffrentgénéralementd'imperfectionsdonnantlieuàl'apparitiondeces comportementsnondésirés,maisselondesaxesdifférentssuivantlesméthodesdedétection qu'ilsutilisent. UnreprochefréquemmentfaitendirectiondesIDSutilisantuneméthodededétection comportementaleestdecontenirdansleurprincipemêmedefonctionnementlapossibilitéde faussesalertes(unchangementdecomportementlégitimedétectécommeanormal)oudefaux négatifs(parexemplepouruneattaquetrèslente);tandisquelesapprochesparscénarii semblentthéoriquementêtreplusexactes.toutefois,labasedeconnaissanceutiliséedansles IDSparscénariiexigeunemaintenanceconstanteet,danslapratique,souffreégalement nécessairementd'imperfections. Bienquelesfauxnégatifssoienteffectivementlepremierdescomportementsindésirables pourunids,lesfauxpositifssontimportantsaussi:ilspeuventconduireàuneréellepertede confiancedanslescapacitésdedétectiondel'idsdelapartdesadministrateursquipeutfinir parremettreencauselafinalitédel'ids.c'estmêmeunedesvoiesd'attaqueenvisageables contreunsystèmeéquipéd'unids:générerunnombresuffisammentimportantdefausses alertespourréduirel'attentiondesadministrateursetdissimuleruneattaqueréelle.deplus, danslapratique,lesfauxpositifsdusàl'environnementdel'idsouàdessignaturesd'attaque un peu trop affirmatives sont souvent nombreux ; et ceci nécessite généralement un reparamétragedel'idspourfacilitersonexploitation,auprixdel'introductiondepossibilités defauxnégatifs.lagestiondesfauxpositifsestlepremierproblèmeauxquelssontconfrontés lesadministrateursd'unids,etilestgénéralementdetaille. LesIDSbaséssuruneapprocheparscénarii,c'estàdirelaplupartdesIDScourants,souffrent surcepointd'unréelproblèmequidemanderaitcertainementdedévelopperàlafoisles 76

87 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS possibilités d'adaptation de l'ids à son environnement (peut être par des moyens de corrélation)etunemeilleurevalidationdessignaturesd'attaquedisponibles. L'utilisationdetechniquesdecorrélationd'alertesprovenantdeplusieursIDSsembleêtreune desvoiesenvisageablespourtraitercesproblèmesd'analysedesalertesetnotammentdes faussesalertes.danscecadre,ladiversificationdesméthodesdedétectionutiliséesparles différentsids,ainsiquedeleurssourcesdedonnéesestaussiànouveauenvisageable.(dans uncertainsens,ils'agitd'ailleursderé inventerlaroueunefoisdepluspuisqueleprécurseur des systèmes de détection d'intrusion, nommé IDES, combinait déjà l'utilisation d'une approchecomportementale statistique etd'uneapprocheàbasederègles systèmeexpert, danslesannées1980ducôtédestanford.). III.4.2Lemode promiscuous L utilisationdumode promiscuous présentequelquesinconvénients,notamment: Réponseinvolontairedusystème:parnature,lesIDSdoiventmettreleurcarteréseau enmode promiscuous afindepouvoirrecevoirl'intégralitédestramescirculantsur leréseau.ainsi,l'idsnegénéreragénéralementaucuntraficetsecontenterad'aspirer touslespaquets.cependant,cemodespécialdésactivelacouche2 liaison dela machine(lefiltragesurlesadressesmacn'estplusactivé).ilsepeutalorsquela machine réponde à certains messages (ICMP echo request généré avec l'outil Nemesis); Miseenévidencedelaprésenced unids:lemode promiscuous génèredesaccès mémoireetprocesseurimportants;ilestpossiblededétecterdetellessondesen comparantleslatencesdetempsderéponseaveccellesdesmachinesdumêmebrin LAN(ouproche).Destempsderéponsetropimportantssontsignificatifsd'une activitégourmandeenressourcestellequelesniffing,validantpossiblementla présenced'unids; L utilisation du mode promiscuous implique d installer une sonde par réseau commuté. III.4.3Ladéfinitionetlamaintenancedessignatures Touteslesattaquesnesontpasdétectées,selonlesfonctionnalitésdusystème,ladéfinitionde lasignature,lamiseàjourdelabase,lachargedusystème,etc.: Limites humaines :signaturespasàjouroumalconçues.ladétectiond abusapour impératifsunebonneconceptiondessignaturesd attaquesetunemiseàjourcontinue delalistedessignatures; Contexted utilisation:parfoislatechnologieestbaséesurdessignaturesquine reposentpassurlecontexted utilisation.laconséquenceestdouble:denombreux fauxpositifsetunedégradationimportantedesperformancesdusystème; Mêmesilaméthodedessignaturesdecorps(ycomprislessignaturesdechaîne) sembleêtreassezsûre,ilyamoyendelescontourner; Vulnérabilitéauxmutations:deparsonmanquedeflexibilité,ladétectionpar signaturesd'attaquesesttrèsvulnérableauxmutations.d unepart,pourpouvoir définirunesignature,ilfautavoirdéjàétéconfrontéàl'attaqueconsidérée; 77

88 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D'autrepart,certainesdecessignaturessebasentsurdescaractéristiques volatiles d'un outil,commeparexempleleportqu'unchevaldetroieouvrepardéfautoulavaleurd ISN (InitialSequenceNumber)choisieparcertainsoutilsdepiratage.Orceslogicielssontsouvent soit hautement configurables, soit open source donc librement modifiables. Les caractéristiques retenues pour définir la signature sont donc fragiles, et les signatures extrêmementsensiblesauxmutations. Fautededéfinition,lesnouvellesattaquespassentl IDSsansêtredétectées. III.4.4L apprentissageetlaconfigurationdesids L apprentissageducomportement«normal»n estpasaisé.automatiserleraisonnement conduisantàpenserquelecomportementest déviant parrapportàceluiconnuestunetâche difficile.parcontre,cettetechniqueestappliquéepardéfaut(laplupartdutemps)parles administrateursréseauousystème:lorsquequelque choseparaîtinhabituel(parexemple,des picsdebandepassante,desservicesquitombent,dessystèmesdefichiersquiseremplissent plusvitequ àl accoutumée,etc.),l usageveutquedesrecherchespluspousséessoient entreprises. Parailleurs,touteanomalienecorrespondpasforcémentàuneattaque,celapeutêtreun changementdecomportementdel utilisateurouunchangementdelaconfigurationduréseau. Enrèglegénérale,laconvergenceversunmodèlecomportemental normal estplutôtlongue. Lorsduparamétragedel IDS,touteladifficultépourunedétectionefficacerésidedansle choixdesmétriques,desmodèlesdecomportementetdansladéfinitiondesdifférentsprofils. Pourtoutescesraisons,lesIDSfonctionnantpardétectiond anomaliesontreconnuscomme étanttrèslongsetfastidieuxàconfigurer. Mêmeaprèsuneconfigurationefficace,rienn'empêcheunpiratesesachantsurveilléde rééduquer untelsystèmeenfaisantévoluerprogressivementsonmodèledeconvergence versuncomportementanormalpourl'analyste,maistout à fait normal d'unpointdevue statistique. III.5 Etudes comparatives de quelques systèmes de protectioncontrelesintrusions Danscettepartie,nousallonseffectuerunecomparaisondequelquesIDSetIPS.Ils agitde lescomparersuivantlescritèrescommel analysedutraficentempsréel,lacapacitéde blocagedesattaques,lesalertesentempsréel,lamiseenlogdespaquetsdedonnées,les méthodesdefiltrage.enanalysantletableaudecomparaisonsuivant,onconstatequetousles systèmesétudiésdisposentdesqualitéssuivantes: L analyseentempsréel; Ladétectiondesvirus,desversetdeschevauxdetroie; Ladétectiondesattaquesinternesetexternes; Lacapacitédeblocagedesattaques; Ladétectiondessondesexternesetinternes; Lacapacitédeblocagedessondes. Parmi ces systèmes, seuls Juniper IDP et Snort peuvent s exécuter dans les environnements Linux. Les autres pour la plupart fonctionnent dans les systèmes 78

89 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d exploitationwindows.quantàsonicwallipsservice,ilpeuts exécuterdanstousles environnementsip. CAeTRUST Intrusion detection3.0 JuniperIDP McAfee Intrushieldsérie I McAfee Intercept5.0 Snort2.1.3 SonicWALLIPS service Fournisseur Computer Associates Juniper McAfee McAfee Snort ACAPacific Analysedutrafic entempsréel Oui Oui Oui Oui Oui Oui Détectiondes virus/vers/chevaux detroie Oui Oui Oui Oui Oui Oui Détectiondes attaquesexternes Oui Oui Oui Oui Oui Oui Détectiondes attaquesinternes Oui Oui Oui Oui Oui Oui Capacitéde blocagedes attaques Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, intégrationtierce, personnalisables parl utilisateur Misesàjour Console, courrier électronique, pager,smspar courrier électronique Console, courrier électronique, pager, SNMP, génération de processus Fichiers journaux, courrier électronique,syslog, SGMS Fichiers journaux, courrier électronique, console, applications tierces Microsoft SQLServer ND ND PRODUITS Détectiondes sondesexternes Détectiondes sondesinternes Capacitéde blocagedessondes Définitionsdu blocagedessondes Oui Alerteentemps réel Courrier électronique, pager, application d exécution, SNMP,console Signatures avec données d état, anomalie de protocole,détection desportesdérobées, anomaliedetrafic, protection de couche 2, inondation Syn, profilage de la sécurité d entreprise Courrier électronique, syslog, SNMP, fichier journal, SMSexterne Espace de Syslog, base de Oracles, Miseenlogsdes travail donnéesinternes MySQL paquetsdedonnées (propriétaire), base de données ODBC Recherchede contenu Miseen correspondancedu contenu Filtrageducontenu Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui 79

90 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Base Méthodedefiltrage données d URL Outilsderapports Système d exploitation compatible de Définies par ND l administrateur ND Oui Définies par noire, l administrateur Liste tierces, définies par l administrateur ND (vendus ND (vendus séparément) séparément) de Linux, Tout Windows environnementip Oui Oui Oui Windows 2000 (autonome), Windows 2000/2003/XP pour le moteur à distance Console de gestion, Windows, Linux; Serveur degestionlinux, Solaris Console de Système gestion gestion Windows Windows ;console WindowsNT, 2000, XP, agents Windows, Solaris, HP/UX Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions Encequiconcernelesalertesentempsréel,touscessystèmesensontdotésdiversement.On adesalertesparsms,parcourrierélectronique,surlesconsoles,parledémonsyslog,les pagersetc. Snort2.1.3etSonicWALLIPSnefontpaslamiseenlogdespaquetsdedonnées.Cependant danscedomainelemeilleursystèmeestlemcafeeintrushieldserieicarilpeuttravailleren interactionavecdeuxdesmeilleurssgbdquiexistent.ils agitdemysqletoracle. III.6PrésentationdeSnort,SnortSAMetdeBASE III.6.1Description SnortestunNIDS/NIPSprovenantdumondeOpenSource.C estpourquoinousle recommandonsfortementauxentreprisesetorganisationsafricaines engénéralcarces dernièresn ontpassouventsuffisammentderessourcesfinancièresàaccorderàl achatdes logicielspropriétaires. Avecplusde2millionsdetéléchargements,ils'estimposécommelesystèmededétection d'intrusionsleplusutilisé.saversioncommerciale,pluscomplèteenfonctionsdemonitoring, luiadonnébonneréputationauprèsdesentreprises. Snortestcapabled'effectueruneanalysedutraficréseauentempsréeletestdotéde différentestechnologiesdedétectiond'intrusionstellesquel'analyseprotocolaireetlepattern matching.snortpeutdétecterdenombreuxtypesd'attaques:bufferoverflows,scansdeports furtifs,attaquescgi,sondessmb,tentativesdefingerprintingdesystèmed'exploitationetc. Snortestdotéd'unlangagederèglespermettantdedécrireletraficquidoitêtreacceptéou collecté.deplus,sonmoteurdedétectionutiliseunearchitecturemodulairedeplugins. NotonsqueSnortdisposedetroismodesdefonctionnement:snifferdepaquets,loggerde paquetsetsystèmededétection/préventiond'intrusions.nousnenousintéresseronsqu'àce derniermode. III.6.2Installation PourinstallerSnort,deuxméthodessontpossibles: 80

91 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lapremièreméthodeestcelledel installationautomatiqueetquiconsistesurun systèmed exploitationtellequelinuxdebianetchparexempleàexécutertout Ilfautnoterqu avec simplementlacommandesuivante:#apt getinstallsnort. l installationautomatiquetouteslesbibliothèquesetautreslogicielsnécessairessont aussiautomatiquementproposésetinstallésparlesystème. Ladeuxièmeméthodeconsisteàtéléchargerlessourcesetdelescompilersoimême aveclesoptionsetlesbibliothèquesquel ondésire. Voicibrièvementenquelquesétapescommentonpeutréaliserl installationparladeuxième méthode. 1. Téléchargerlessourcessurwww.snort.org.Lorsdel'écrituredecedocument,la dernièreversionstableétaitla TéléchargeretinstallerlesbibliothèquesnécessairespourSnort: libpcap(http://www.tcpdump.org):offredesfonctionsdesniffer PCRE(http://www.pcre.org):permetd'utiliserdesexpressionsrégulièresde type Perl. La compilation de ces bibliothèques se fait très aisément :./configure,make,makeinstall. 3. Ouvrirunterminal,décompresserensuitel'archivedeSnortetseplacerdansle répertoiredessourcesdécompressées. 4. Configurer la compilation de Snort afin d'activer plusieurs fonctionnalités :./configure[options]. Deuxoptionsnousontsembléintéressantes: with mysql=dir:activerlesupportdemysql.ainsisnortenregistrerales alertesdansunebasededonnéesaccessiblepard'autresapplications(ex: BASE,décriteplusloin).MySQLn'estbiensûrpasl'uniqueSGBDsupporté. PostgreSQLouOraclepeuventégalementêtreutilisésaveclesoptions withpostgresqlet with oracle. enable flexresp : activer les réponses flexibles en cas de tentatives de connexion hostile. Pour activer cette option, la bibliothèque libnet (http://www.packetfactory.net/libnet)estnécessaire. 5. Compilerlessources:make 6. InstallerSnort:makeinstallenmoderoot 7. PourqueSnortpuissefonctionnerenmodedétection/préventiond'intrusions,ilest nécessairedeluifournirdesfichiersderègles.lesitedesnortproposedeuxtypesde règles:lesrèglesofficiellesetlesrèglescrééesparlacommunauté.certainesrègles officiellesnesontdisponiblesquepourlesutilisateursenregistrés,tandisqueles règlescommunautairessontdisponiblesàtousetmisesàjourrégulièrement.ilest cependantimportantdenoterquelesrèglesproposéesparlacommunautén'ontpasété forcémenttestéesparl'équipeofficielledesnort.aprèstéléchargement,l'archivedes règlesdoitêtredécompressée.ilestconseillédeplacerlerépertoirerulesdansle dossierdesnort.nouspouvonsremarquerquelesrèglesconsistentendesimples fichierstextes,etqu'unfichierunpeuspécialestprésent:snort.conf.cedernierva nouspermettredeconfigurersnort. 81

92 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.6.3Configuration AfindeconfigurercorrectementSnortpourqu'ilpuissefonctionnerenmodedétection d'intrusions,ilfautmodifierlefichiersnort.conf.l'emplacementpardéfautdecefichierdoit normalement être /etc/snort.conf. Cependant, il sera possible de spécifier un autre emplacementlorsdel'exécutiondesnort,àl'aidedel'option c. Lefichierdeconfigurationcontientdenombreusesoptionsparamétrables,ainsiquedes explicationspourpouvoirlesmodifiercorrectement.nousn allonsnousintéressericiqu'à quelquesvariables: LavariableHOME_NETpermetdespécifierquelsréseauxouquellesinterfaces serontsurveilléesparsnort.lavaleuranysignaleàsnortdesurveillertoutletrafic. SileréseauàsurveillerpossèdedesserveursDNS,SMTP,FTP,etc,ilestpossiblede spécifier les adresses IP de ces serveurs via les variables DNS_SERVERS, SMTP_SERVERS,...Sileréseaunepossèdepasuntypespécifiquedeserveur,ilest conseillédecommenter(aveclecaractère#)laligneconcernée,afind'optimiserle traitementdesnort.eneffet,ilestinutiled'analyserdutrafichttpsiaucunserveur Webn'estdisponible. Certains ports de services peuvent être configurés via des variables telles que HTTP_PORTSouORACLE_PORTS. LavariableRULE_PATHesttrèsimportante.Ellepermetdespécifierlerépertoireoù sontstockéslesfichiersderèglesdesnort. Lesdirectivesincludepermettentd'incluredesfichiersderègles.Iciencore,ilest conseilléden'inclurequelesrèglesnécessairesenfonctiondesservicesdisponibles surleréseau. III.6.5Exécution L'exécutiondeSnortsefaitenlançantl'exécutablesnortenmoderootetavecdifférentes options.voyonslesprincipauxargumentsdesnort: A:générerdesalertes.Activépardéfautavecl'option c c<emplacementdesnort.conf>:lancersnortavecdesfichiersderègles. l<répertoiredelog>:spécifierlerépertoireoùleslogsd'alertesserontstockés (défaut:/var/log/snort) v:modeverbose.permetd'afficherlespaquetscapturés T:modetest.PermetdetesterlaconfigurationdeSnort AvantdelancerSnortenmodeNIDS,ilestpréférabledetestersileprogrammearriveà récupérerlespaquetsquicirculentsurleréseau.pourcela,nouspouvonsparexemplelancer SnortensimplemodeSniffer:snort v.siaucunpaquetn'estcapturéetaffiché,ilest probablequesnortn'écoutepassurlabonneinterface.l'option ipermetdespécifierune autreinterface. LançonsmaintenantSnortenmodeNIDS.Pourcela,nousluiprécisonsl'emplacementdu fichierdeconfigurationavecl'option c:#snort c/opt/snort/rules/snort.conf 82

93 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Touteslesalertesdétectéessontainsistockéesdanslefichier«/var/log/snort/alert».Pour chaque alerte, Snort donne une priorité, une description, les flags des paquets et éventuellementdesadressessurinternetoùsetrouventdeplusamplesinformationssurla tentatived'intrusion. Exemple: [**][1:1384:8]MISCUPnPmalformedadvertisement[**] [Classification:MiscAttack][Priority:2] 03/25 17:34: :1900 > :1900 UDPTTL:1TOS:0x0ID:37277IpLen:20DgmLen:437 Len:409 [Xref=> 059.mspx][Xref=>http://cve.mitre.org/cgibin/ cvename.cgi?name= ][Xref=> bin/cvename.cgi?name= ][Xref=>http://www.securityfocus.com/bid/3723] III.6.6Créationdenouvellesrègles BienquelesiteofficieldeSnortproposedesrèglesprêtesàl'emploietrégulièrementmisesà jour,ilpeutêtreintéressantdecréersespropresrèglesafind'adapteraumieuxsnortauréseau qu'ildoitsurveilleretprotéger.parconvention,lesnouvellesrèglespersonnellessontàplacer danslefichierlocal.rules. UnerègleSnortestcomposéededeuxpartiesetpossèdeleformatsuivant:Header(Options). LeformatdelapartieHeaderestdéfinidelamanièresuivante:actionprotocoleadresse1 port1directionadresse2port2 Lechampactionpeutprendrelesvaleurssuivantes: alert:générerunealerte+loggerlepaquet log:loggerlepaquet pass:ignorerlepaquet activate:activerunerègledynamique dynamic:définirunerègledynamique,quiestpassivetantqu'ellen'estpasactivéepar uneautrerègle drop:demanderàiptables(netfilter)debloquerlepaquet,puislelogger reject:demanderàiptablesdebloquerlepaquet,puislelogger,etenvoyerune commandetcprst(reset)ouuneréponseicmphostunreachable sdrop:demanderàiptablesdebloquerlepaquet.cederniern'estpasloggé. Lechampprotocolespécifieleprotocolepourlequellarègles'applique.Lesvaleurspossibles sont:tcp,udp,icmpouip. Leschampsadresse1etadresse2indiquentl'adresseIPsourceetdestinationdupaquet.Le mot clé any permet de spécifier une adresse quelconque. Les adresses doivent être numériques,lesadressessymboliquesnesontpasacceptées. 83

94 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leschampsport1/port2spécifientlesnumérosdeportutilisésparlasourceetladestination. Lemotcléanypermetdespécifierunportquelconque.Desnomsdeservicespeuventêtre utilisés:tcp,telnet,...demêmedesplagesdeportspeuventêtrespécifiéesaveclecaractère «:». Lechampdirectionspécifiel'orientationdupaquet.Cetopérateurpeutprendredeuxvaleurs: :adresse1versadresse2 :deadresse1versadresse2,oudeadresse2àadresse1 Notonsqu'iln'yapasd'opérateur. LapartieOptionsdesrèglescontientdifférentesoptions,séparéesparunpoint virgule,qui vontpermettredepréciserdescritèresdedétection.pourchaqueoption,leformatest nomoption:valeur1[,valeur2,...] Voicilesoptionsimportantes: msg:spécifierlemessagequiseraaffichédanslelogetdansl'alerte reference:faireréférenceàunsiteexpliquantl'attaquedétectée classtype:définirlaclassedel'attaque(troyen,shellcode,...) priority:définirlasévéritédel'attaque content:spécifierunechaînedecaractèresquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle rawbytes:spécifierunesuited'octetsquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle uricontent:identiqueàcontentmaisestadaptéauformatnormalisédesuri(ex: hexadécimalaccepté) pcre:utiliseruneexpressionrégulièrecompatibleperlpourspécifierlecontenudu paquet ttl:spécifierlavaleurduttldupaquet flags:spécifierlaprésenced'unflagtcpdanslepaquet(ex:syn,fin,...) fragbits:vérifierlaprésencedecertainsbitsip(morefragments,don'tfragmentoubit réservé) session:extrairetouteslesinformationsdelasessiontcpàlaquellelepaquetsuspect appartient resp:activeruneréponseflexible(flexresp)afindebloquerl'attaque.ilestainsi possibled'envoyerunecommandetcpouicmpprécise.cetteoptionnécessite l'activationdumodeflexresplorsdelacompilationdesnort. limit:limiterlenombred'actionspendantunintervalledetempspourlemême événement. Exemplederègle: alerttcpanyany >$HTTP_SERVERS$HTTP_PORTS(msg:"WEBATTACKS /bin/lscommandattempt";uricontent:"/bin/ls";nocase;classtype:web application attack;) Cetterèglepermetdegénérerunealertequandunpaquetprovientd'uncouple(adresse:port) quelconque,estàdestinationdesserveurshttpdéfinisdanssnort.conf,etcontientlachaîne «/bin/ls»dansl'uri.lemessagedel'alertesera«web ATTACKS/bin/lscommand 84

95 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS attempt».cetteattaqueseraclasséedanslaclasseweb application attack(prioritémedium pardéfaut). Ilestbiensûrimpossibled'êtreexhaustificipourdécrireleformatdesrèglesSnort.Le manuelutilisateurdisponiblesurlesiteofficielindiquecommentutiliserauxmieuxle langagedessignaturesdesnort. III.6.7SnortSam SnortSamestunpluginOpen Sourceetmulti plateformepoursnort.ilpermetdebloquer automatiquementdesadressesiplorsqu'ildétecteunetentatived'intrusion.leblocagesefait encommuniquantavecunfirewallmatériel(ex:ciscopix)oulogiciel(ex:packetfilter, IPtablesetc). SnortSamestconstruitautourd'unearchitectureclient/serveur(Snort/SnortSam)permettant demettreenplacelenipsdemanièredistribuée.deplus,pourdesraisonsdesécurité,toutes lescommunicationsréaliséesentresnortetl'agentdesnortsamsontcryptéesàl'aidede l'algorithmetwofish. Parmilesfonctionnalitésintéressantes,onnoteralaprésenced'une«White List»,c'est à dire unelisted'adressesipquinepeuventpasêtrebloquées.celareprésenteunesécuritépour éviterunblocaged'adressessensibles(routeur,serveurintranetetc)encasdespoofingdela partdupirate. LepluginSnortSamestégalementdotéd'unsystèmedelogetdenotificationpar des événements. Lamiseenplaced'actionsdeblocageesttrèssimple.IlsuffitdemodifierlesrèglesSnort poursignalerqueladétectiondecertainessignaturesdoitprovoquerunblocage.pourcela,le motcléfwsamaétérajouté.ilpermetnotammentdespécifieruneduréedeblocage.cette option de durée peut être intéressante lors d'un blocage après des tentatives répétées d'authentificationavecunmotdepasseerroné. III.6.8LaconsoleBASE Pardéfaut,lesalertesdeSnortsontenregistréesdansunsimplefichiertexte.L'analysedece fichiern'estpasaisée,mêmeenutilisantdesoutilsdefiltreetdetri.c'estpourcetteraison qu'ilestvivementconseilléd'utiliserdesoutilsdemonitoring.parmiceux ci,leplusenvogue actuellementestbase(basicanalysisandsecurityengine),unprojetopen sourcebasésur ACID(AnalysisConsoleforIntrusionDatabases).LaconsoleBASEestuneapplicationWeb écriteenphpquiinterfacelabasededonnéesdanslaquellesnortstockesesalertes. Pourfonctionner,BASEabesoind'uncertainnombrededépendances: UnSGBDinstallé,parexempleMySQL SnortcompiléaveclesupportdeceSGBD UnserveurHTTP,parexempleApache L'interpréteurPHPaveclessupportspourleSGBDchoisi,labibliothèqueGDetles sockets. LabibliothèqueADODB:http://adodb.sourceforge.net 85

96 LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Nousnedétailleronspasicil'installationdechaquedépendance.Ladocumentationlivrée aveclessourcesdebase(disponiblessurhttp://secureideas.sourceforge.net)fournitles informationsnécessaires. Notonscependantquel'archivedessourcesdeSnortdisposeégalementd undossierschemas contenantlecodesqlpourcréerlastructuredelabasededonnéespourdifférentssgbd.le fichierdoc/readme.databasedonnetouteslesindicationspourcréerleschémadelabasede données. AfinqueSnortenregistrelesalertesdanslabasededonnées,ilnefautpasoublierdemodifier lefichiersnort.confetrajouteruneligneoutputdatabaseaveclesinformationspourse connecteràlabasededonnées. Exemple : output database: log, mysql, user=snortusr password=pwd dbname=snort host=localhost AprèsconfigurationetinstallationdeBASEainsiquedetoutessesdépendances,nous pouvonsyaccéderavecunnavigateurinternet.sitoutsepassebien,unécransimilaireà l'illustrationsuivanteestobtenu: Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE) PourterminercetteprésentationdeSnortetcescomposants,nousdironstoutsimplementque Snortestuntrèspuissantoutilconnucommeundesmeilleurssurlemarché,mêmequandil estcomparéàdesidsetipscommerciaux.ilauneplusgrandecommunautéd utilisateurset dechercheurs(denombreuxplugins,frontends,consolesdemanagementetc). Samiseenœuvrebasiquepeut êtrerapidementeffectuéegrâcenotammentauxnombreux livresetdocumentationsexistantsàsonsujet. 86

Qu'est-ce qu'un virus?

Qu'est-ce qu'un virus? Page Page 2 Qu'est-ce qu'un virus? Un virus est un programme qui a plusieurs objectifs distincts : -le principe même d un virus est de s'étendre de machine en machine (le code est dit auto-reproductible).

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

La sécurité de l'information

La sécurité de l'information Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus

Plus en détail

Sécurité informatique: introduction

Sécurité informatique: introduction Sécurité informatique: introduction Renaud Tabary: tabary@enseirb.fr 2008-2009 Plan 1 Généralités 2 3 Définition de la sécurité informatique Definition Information security is the protection of information

Plus en détail

Sécurisation des données

Sécurisation des données Sécurisation des données 1 Sommaire Introduction Les données informatiques et ce qu il faut savoir. Comment faire? Les solutions. Démo Présentation de deux logiciels Conclusion Pour conclure ce qu il faut

Plus en détail

Sécurité Informatique

Sécurité Informatique Sécurité : Sécurité informatique (Support de cours) R. MAHMOUDI (mahmoudr@esiee.fr) w 1 Sécurité Informatique Plan du cours - Introduction - Risques & Menaces - Vulnérabilités des réseaux - Firewall -

Plus en détail

Cette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines.

Cette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines. Le BranchCache Cette fonctionnalité qui apparaît dans Windows 2008 R2 permet d optimiser l accès aux ressources partagées hébergées sur des partages de fichiers ou des serveurs webs internes de type documentaire

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

Introduction à la sécurité informatique Connaissances de base sur la sécurité informatique Les critères fondamentaux Domaine d application Menaces Critères fondamentaux Les solutions de sécurité doivent

Plus en détail

COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence"

COURS DE FORMATION Dans le cadre du  Réseau des Centres d'excellence COURS DE FORMATION Dans le cadre du " Réseau des Centres d'excellence" Tunis Tunisie du 28 Septembre au 09 Octobre 2009 Organisé par: la Conférence des Nations Unies sur le Commerce et le Développement

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente. Atelier : ASTARO

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T SECURINETS. Présente. Atelier : ASTARO Dans le cadre de SECURIDAY 2009 SECURINETS Présente Atelier : ASTARO Formateurs: 1. RHIMI BILEL 2. BEN MOUSSA RAHMA 3. GUIZANI ZEINEB 4. MHADHBI IMENE 5. DAHI NOUHA 6. JOUINI NADIA 1. Introduction : Pour

Plus en détail

Rapports 2010-2014. Les chiffres des incidents rapportés au CERT.be

Rapports 2010-2014. Les chiffres des incidents rapportés au CERT.be Rapports 2010-2014 Les chiffres des incidents rapportés au CERT.be RÉSUMÉ 2010 2014 1.1 Nombre des notifications et incidents par mois: 1000 900 800 700 600 500 400 300 Notifications chez CERT.be/mois

Plus en détail

Gestion du risque numérique

Gestion du risque numérique Gestion du risque numérique Auguste DIOP Arnaud PRINCE AGBODJAN TALENTYS www.talentys.ci 2ème édition des Journées de l Entreprise Numérique, 9 & 10 avril 2015 Qui sommes-nous? Fondée en 2007, TALENTYS

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Evaluer les risques liés aux défauts de sécurité

Evaluer les risques liés aux défauts de sécurité C2I Métiers de la Santé SECURITE INFORMATIQUE Evaluer les risques liés aux défauts de sécurité Eric Boissinot Université François Rabelais Tours 13/02/2007 Pourquoi la sécurité? Le bon fonctionnement d

Plus en détail

1 Introduction à l infrastructure Active Directory et réseau

1 Introduction à l infrastructure Active Directory et réseau 1 Introduction à l infrastructure Active Directory et réseau Objectifs d examen de ce chapitre Ce premier chapitre, qui donne un aperçu des technologies impliquées par la conception d une infrastructure

Plus en détail

Sécurité sous Windows 2000 Server

Sécurité sous Windows 2000 Server Sécurité sous Windows 2000 Server Thomas W. SHINDER Debra Littlejohn SHINDER D. Lynn WHITE Groupe Eyrolles, 2002 ISBN : 2-212-11185-1 Table des matières Remerciements..............................................

Plus en détail

F-Secure Anti-Virus for Mac 2015

F-Secure Anti-Virus for Mac 2015 F-Secure Anti-Virus for Mac 2015 2 Sommaire F-Secure Anti-Virus for Mac 2015 Sommaire Chapitre 1: Prise en main...3 1.1 Gestion des abonnements...4 1.2 Comment m'assurer que mon ordinateur est protégé...4

Plus en détail

Mise en place d une politique de sécurité

Mise en place d une politique de sécurité Mise en place d une politique de sécurité Katell Cornec Gérald Petitgand Jean-Christophe Jaffry CNAM Versailles 1 Situation Sujet du projet Politique de sécurité Les Intervenants et leurs rôles : K. Cornec

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

SEMINAIRE DE PRESENTATION DES ACTIVITES DU CIRT-BF

SEMINAIRE DE PRESENTATION DES ACTIVITES DU CIRT-BF SEMINAIRE DE PRESENTATION DES ACTIVITES DU CIRT-BF Ouagadougou, le 03 mai 2013 Hôtel Palm Beach PRESENTATION DU CIRT-BF Georges P. LALLOGO, Manager/CIRT-BF glallogo(at)cirt.bf AGENDA INTRODUCTION I. CONCEPT

Plus en détail

face à la sinistralité

face à la sinistralité Le logiciel libre face à la sinistralité Jean-Marc Boursot Ankeo 2005 - reproduction interdite Le logiciel libre face à la sinistralité Présentation Le rapport du Clusif Quelques

Plus en détail

L Agence Nationale de la Sécurité des Systèmes d Information

L Agence Nationale de la Sécurité des Systèmes d Information L Agence Nationale de la Sécurité des Systèmes d Information Franck Veysset 01/12/2009 www.certa.ssi.gouv.fr Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur

Plus en détail

escan Entreprise Edititon Specialist Computer Distribution

escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edititon Specialist Computer Distribution escan Entreprise Edition escan entreprise Edition est une solution antivirale complète pour les entreprises de toutes tailles. Elle fournit une

Plus en détail

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé College Du Chinchon Torniké Sidamonidzé 3C M. Brulé Introduction à la sécurité informatique Avec le développement de l'utilisation d'internet, il est donc essentiel de connaître les ressources de l'entreprise

Plus en détail

Managed VirusScan et renforce ses services

Managed VirusScan et renforce ses services VirusScan ASaP devient Managed VirusScan et renforce ses services Protection antivirus administrée, automatique et permanente pour les postes de travail, les nomades et les serveurs de fichiers. Avec la

Plus en détail

Malveillances Téléphoniques

Malveillances Téléphoniques 28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre

Plus en détail

Mise en place Active Directory / DHCP / DNS

Mise en place Active Directory / DHCP / DNS Mise en place Active Directory / DHCP / DNS Guillaume Genteuil Période : 2014 Contexte : L entreprise Diamond Info localisé en Martinique possède une cinquantaine de salariés. Basé sur une infrastructure

Plus en détail

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt Procédure pas à pas de découverte de l offre Service Cloud Cloudwatt Manuel Utilisateur 03/07/2014 Cloudwatt - Reproduction et communication sont interdites sans autorisation 1/45 Contenu 1. Introduction...

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E

I N F R A S T R U C T U R E T I S É C U R I S É E P O U R L E C O M M E R C E É L E C T R O N I Q U E Résumé Le présent rapport de recherche décrit les composantes d une infrastructure TI sécurisée pour le commerce électronique. L objectif est de fournir une description exhaustive des enjeux liés à la

Plus en détail

LES NOTES D PROCEDURE DE CONNEXION WIFI AU CAMPUS. Ce document décrit la procédure à suivre pour se connecter en WIFI au campus.

LES NOTES D PROCEDURE DE CONNEXION WIFI AU CAMPUS. Ce document décrit la procédure à suivre pour se connecter en WIFI au campus. LES NOTES D PROCEDURE DE CONNEXION WIFI AU CAMPUS Réf : NotesLSI-050319-clientWIFI-1 Production de LSI Publication : Mars 2005 Version : 1.0 Résumé Ce document décrit la procédure à suivre pour se connecter

Plus en détail

Sécurité des systèmes informatiques Introduction

Sécurité des systèmes informatiques Introduction Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Système d'information et système informatique

Plus en détail

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise entreprises l informatique est vitale pour mon activité je protège mon matériel et mon entreprise offre IT la Tous Risques Informatiques l informatique est omniprésente dans le monde des entreprises Une

Plus en détail

Contenu de la Présentation

Contenu de la Présentation Contenu de la Présentation I. Introduction II. L Augmentation des menaces et une vulnérabilité plus forte III. Le marché de la SSI : les enjeux financiers et économiques IV. Répondre aux enjeux économiques

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) SOMMAIRE DU TÉLÉTRAVAIL CSG-16\S Novembre Page intentionnellement laissée en blanc. Avant-propos Le document est non classifié et il

Plus en détail

Malware Logiciels malveillants Retour sur les premiers cours

Malware Logiciels malveillants Retour sur les premiers cours Malware Logiciels malveillants Retour sur les premiers cours Jean-Marc Robert Génie logiciel et des TI Plan du cours Logiciels malveillants Analyse de risque Politique de sécurité Moyens de protection

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

Sécurité informatique

Sécurité informatique Sécurité informatique Principes et méthode Laurent Bloch Christoph Wolfhugel Préfaces de Christian Queinnec et Hervé Schauer Avec la contribution de Solveig, Florence Henry et Nat Makarévitch Groupe Eyrolles,

Plus en détail

dans un contexte d infogérance J-François MAHE Gie GIPS

dans un contexte d infogérance J-François MAHE Gie GIPS Management de la sécurité dans un contexte d infogérance J-François MAHE Gie GIPS Mise en place d une convention de service Traitant les points suivants : L organisation de la sécurité du SI La gestion

Plus en détail

z Fiche d identité produit

z Fiche d identité produit z Fiche d identité produit Référence DFL-260 Désignation Firewall UTM NETDEFEND 260 pour petites entreprises et télétravailleurs Clientèle cible PME comptant jusqu à 50 utilisateurs Accroche marketing

Plus en détail

contenu module un SIG À ORIENTATION COMMERCIALE 3

contenu module un SIG À ORIENTATION COMMERCIALE 3 contenu module un SIG À ORIENTATION COMMERCIALE 3 CHAPITRE 1 SYSTÈMES D INFORMATION DE GESTION : SIG DÉDIÉS À LA GESTION D ENTREPRISE 5 SECTION 1-1 >> SIG orienté vers la gestion d entreprise 6 CONCURRENCE

Plus en détail

PARTIE 4 ACTIVE DIRECTORY. Arnaud Clérentin, IUT d Amiens, département Informatique, 2011-2012

PARTIE 4 ACTIVE DIRECTORY. Arnaud Clérentin, IUT d Amiens, département Informatique, 2011-2012 1 PARTIE 4 ACTIVE DIRECTORY Arnaud Clérentin, IUT d Amiens, département Informatique, 2011-2012 Plan 2 1- Introduction 2- Gestion des utilisateurs 3- Gestions des groupes d utilisateurs 4- Gestion des

Plus en détail

NORMES SUR LE PRÊT ET L'UTILISATION DU MATÉRIEL INFORMATIQUE HORS DE L ÉTABLISSEMENT

NORMES SUR LE PRÊT ET L'UTILISATION DU MATÉRIEL INFORMATIQUE HORS DE L ÉTABLISSEMENT NORMES SUR LE PRÊT ET L'UTILISATION DU MATÉRIEL INFORMATIQUE HORS DE L ÉTABLISSEMENT 22 avril 2011 Production Dave Synnott, Coordonnateur du service informatique Collaboration Diane Perron, Conseillère

Plus en détail

Sécurité. informatique. Principes et méthodes. Préfaces de Christian Queinnec et d Hervé Schauer Avec la contribution de Nat Makarévitch

Sécurité. informatique. Principes et méthodes. Préfaces de Christian Queinnec et d Hervé Schauer Avec la contribution de Nat Makarévitch Sécurité informatique 3 e édition Principes et méthodes Laurent Bloch Christophe Wolfhugel Préfaces de Christian Queinnec et d Hervé Schauer Avec la contribution de Nat Makarévitch Groupe Eyrolles, 2007,

Plus en détail

Jean-Pierre Lovinfosse. En finir. avec les virus. Groupe Eyrolles,2004 ISBN 2-7464-0496-6

Jean-Pierre Lovinfosse. En finir. avec les virus. Groupe Eyrolles,2004 ISBN 2-7464-0496-6 Jean-Pierre Lovinfosse En finir avec les virus Groupe Eyrolles,2004 ISBN 2-7464-0496-6 Introduction............................................ 7 Chapitre 1 : Historique...................................

Plus en détail

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique

ASR3. Partie 2 Active Directory. Arnaud Clérentin, IUT d Amiens, département Informatique ASR3 Partie 2 Active Directory Arnaud Clérentin, IUT d Amiens, département Informatique Plan 1- Introduction 2- Gestion des utilisateurs 3- Gestions des groupes d utilisateurs 4- Gestion des machines 5-

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT "CYBERSECURITY"

FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT CYBERSECURITY FIT4EXCHANGE SOLUTIONS APPORTÉES PAR REUNIT "CYBERSECURITY" Plan Le Cloud Privé Inquiétudes liées à la sécurité et au Cloud L authentification Sécurisation de la communication Les données La détection

Plus en détail

Chapitre 10: Cryptographie et. Sécurité.

Chapitre 10: Cryptographie et. Sécurité. Chapitre 10: Cryptographie et L'objectif de ce chapitre: Sécurité. Décrire les différentes étapes de la définition et de la mise en place d'une politique globale de sécurité d'un réseau. Analyser l'intégration

Plus en détail

La sécurité des accès grand public

La sécurité des accès grand public La sécurité des accès grand public Cédric Blancher blancher@cartel-securite.fr Cartel Sécurité Salon Vitré On Line 25-27 octobre 2002 Plan 1. Introduction 2. Les risques spécifiques 3. Les bonnes habitudes

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Gestion des mises à jour logicielles

Gestion des mises à jour logicielles Gestion des mises à jour logicielles Jean-Marc Robert Génie logiciel et des TI Menaces et vulnérabilités Menaces Incidents non intentionnels Activités inappropriées Contenu inapproprié Utilisation inappropriée

Plus en détail

Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque

Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque Jeudi 15 octobre Évaluation financière d'un incident de sécurité SRE et SMP, deux mesures possibles d'un même risque Luc Vignancour Luc.vignancour@marsh.com 06 07 52 10 89 www.marsh.fr SMP & SRE Terminologie

Plus en détail

OSSIR. Le 14 Juin 2011. Seed List Management pour la Surveillance des bases de données email

OSSIR. Le 14 Juin 2011. Seed List Management pour la Surveillance des bases de données email Le 14 Juin 2011 OSSR Seed List Management pour la Surveillance des bases de données email 1 l www.track-up.com l Tel: 03.20.699.115 l info@track-up.com l Contacts Market Espace Yannick Denis ydenis@marketespace.fr

Plus en détail

Formation en Sécurité Informatique

Formation en Sécurité Informatique Formation en Sécurité Informatique FreeWays Security Club MAIL: KHALDIMEDAMINE@GMAIL.COM Contenu 1- Comprendre le terrain 2- Metasploit 3- NeXpose a- Installation du serveur NeXpose b- IHM de la console

Plus en détail

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction...

Table des matières. 1 Vue d ensemble des réseaux... 5. 2 Transmission des données : comment fonctionnent les réseaux... 23. Introduction... Table des matières Introduction 1 Structure du livre 2 Nouveautés par rapport à la 3 e édition 2 Conventions typographiques 3 1 Vue d ensemble des réseaux 5 Qu est-ce qu un réseau? 6 Pourquoi créer un

Plus en détail

Notions sur les réseaux TCP/IP, avec et sans fil

Notions sur les réseaux TCP/IP, avec et sans fil 5 Notions sur les réseaux TCP/IP, avec et sans fil Chapitre Au sommaire de ce chapitre Principe du réseau Internet Termes basiques du paramétrage de TCP/IP Principe des ports TCP et UDP Et les VPN? Dans

Plus en détail

Connaître les Menaces d Insécurité du Système d Information

Connaître les Menaces d Insécurité du Système d Information Connaître les Menaces d Insécurité du Système d Information 1. LES MENACES EXTERIEURES VIA L INTERNET ET INFORMATIQUE LES PROGRAMMES MALVEILLANTS : VIRUS / MALWARES LES SPYWARES (LOGICIELS-ESPIONS) : LOGICIEL

Plus en détail

Exercices Active Directory (Correction)

Exercices Active Directory (Correction) Exercices Active Directory (Correction) Exercice : Scénarios pour l'implémentation de composants logiques AD DS Lire les scénarios suivants et déterminer les composants logiques AD DS à déployer dans chaque

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Une protection complète pour votre entreprise PROTECTION SERVICE FOR BUSINESS

Une protection complète pour votre entreprise PROTECTION SERVICE FOR BUSINESS Une protection complète pour votre entreprise PROTECTION SERVICE FOR BUSINESS La sécurité informatique est une priorité La sécurité informatique est un élément fondamental au bon fonctionnement de l entreprise.

Plus en détail

La situation de la sécurité des clés USB en France

La situation de la sécurité des clés USB en France La situation de la sécurité des clés USB en France Synthèse Sponsorisé par Kingston Technology Préparé indépendamment par Ponemon Institute LLC Date de publication : novembre 2011 Rapport d'étude du Ponemon

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Chiffrement des terminaux : comment ça marche?

Chiffrement des terminaux : comment ça marche? Livre blanc : Chiffrement des terminaux : comment ça marche? Chiffrement des terminaux : comment ça marche? Public cible Administrateurs informatiques et de la sécurité Sommaire Présentation du chiffrement

Plus en détail

CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISES DE SITES INTERNET

CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISES DE SITES INTERNET CONDITIONS PARTICULIÈRES DES HÉBERGEMENTS MUTUALISES DE SITES INTERNET Version en date du 18 avril 2010 Page 1 / 6 Les présentes Conditions Particulières sont conclues entre : D'une part la SARL INULOGIC,

Plus en détail

Sécurité informatique

Sécurité informatique Sécurité informatique Université Kasdi Merbah Ouargla Master RCS Octobre 2014 Département Informatique 1 Master RCS 1 Sécurité informatique Organisation du cours Ce cours a pour but de présenter les fondements

Plus en détail

Procédure en cas de vol ou de perte de matériel IT

Procédure en cas de vol ou de perte de matériel IT Procédure en cas de vol ou de perte de matériel IT Directive DIT-13 Champ d application : Université 1 Introduction Le développement constant d appareils informatiques mobiles et performants (ultrabooks,

Plus en détail

Enseignement secondaire technique. Technologies de l'information et de la communication

Enseignement secondaire technique. Technologies de l'information et de la communication Enseignement secondaire technique Régime technique Division de la formation administrative et commerciale Cycle supérieur Section communication et organisation Technologies de l'information et de la communication

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

La Pédagogie au service de la Technologie

La Pédagogie au service de la Technologie La Pédagogie au service de la Technologie TECHNOLOGIE Formation Symantec Endpoint Protection 12.1 Administration Objectif >> A la fin de ce cours, les stagiaires seront à même d effectuer les tâches suivantes

Plus en détail

ULYSSE EST DANS LA PLACE!

ULYSSE EST DANS LA PLACE! LE GUIDE ULYSSE EST DANS LA PLACE! Cheval de Troie. Programme discret, généralement inclus dans un logiciel anodin (jeu, utilitaire), contenant une portion de code malveillant qui contourne certains dispositifs

Plus en détail

Enjeux, menaces, vulnérabilités

Enjeux, menaces, vulnérabilités Enjeux, menaces, vulnérabilités B. Boutherin 1 Pourquoi la sécurité informatique? Enjeux * Menaces * Vulnérabilités = Risque informatique B. Boutherin 2 Enjeux Image de marque et exemplarité de l état

Plus en détail

Gestion des incidents

Gestion des incidents Gestion des incidents Jean-Marc Robert Génie logiciel et des TI Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de

Plus en détail

Enjeux de la sécurité des réseaux

Enjeux de la sécurité des réseaux HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Enjeux de la sécurité des réseaux Séminaire Inkra Networks 14 octobre

Plus en détail

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents.

QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents. POURQUOI SURVEILLER With enough time, prevention will always fail. RÔLES D UN SOC

Plus en détail

Charte. Hébergement par la Ville de Marche-en-Famenne de sites web.

Charte. Hébergement par la Ville de Marche-en-Famenne de sites web. Charte Hébergement par la Ville de Marche-en-Famenne de sites web. Centre de Support Télématique Tél : 084/327054 Fax :084/327072 22, rue des Carmes 6900 Marche-en-Famenne cst@marche.be - http://www.marche.be

Plus en détail

Sensibilisation à la Sécurité en RFID

Sensibilisation à la Sécurité en RFID Séminaire de formation RFID, Lausanne, 31 mai 2006 Sensibilisation à la Sécurité en RFID Gildas Avoine Massachusetts Institute of Technology Cambridge, MA 02139, USA 1/43 Gildas Avoine 2/43 Gildas Avoine

Plus en détail

Le contournement de produits de sécurité

Le contournement de produits de sécurité Le contournement de produits de sécurité Jean-Baptiste Bédrune Sogeti / ESEC jean-baptiste.bedrune(at)sogeti.com Yoann Guillot Sogeti / ESEC yoann.guillot(at)sogeti.com Roadmap J.B. Bédrune & Y. Guillot

Plus en détail

Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7

Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7 Jean-Marie Culot guide de référence Apache 2 Éditions OEM (Groupe Eyrolles), 2003, ISBN 2-7464-0490-7 Table des matières Introduction................................................................ 7 L'objectif.................................................................

Plus en détail

Données sur l'entreprise

Données sur l'entreprise Données sur l'entreprise VDl & Interass, est une société anonyme, entreprise d assurance de droit belge ayant son siège social, Brusselsesteenweg 346 C, 9090 Melle, RPR Gand 0431.686.127 et le numéro CBFA

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique, 2010-2011

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique, 2010-2011 ASR3 Partie 2 Active Directory 1 Arnaud Clérentin, IUT d Amiens, département Informatique, 2010-2011 Plan 1- Introduction 2- Gestion des utilisateurs 3- Gestions des groupes d utilisateurs 4- Gestion des

Plus en détail

Exemple d intrusion dans un réseau

Exemple d intrusion dans un réseau Exemple d intrusion dans un réseau Cédric Blancher - blancher@cartel-info.fr Daniel Polombo - polombo@cartel-info.fr 11 décembre 2001 Plan 1 Introduction et présentation du réseau ciblé Pénétration du

Plus en détail

Dr.Web Les Fonctionnalités

Dr.Web Les Fonctionnalités Dr.Web Les Fonctionnalités Sommaire Poste de Travail... 2 Windows... 2 Antivirus pour Windows... 2 Security Space... 2 Linux... 3 Mac OS X... 3 Entreprise... 3 Entreprise Suite - Complète... 3 Entreprise

Plus en détail

Notre objectif est de simplifier la vidéosurveillance professionnelle pour tout le monde

Notre objectif est de simplifier la vidéosurveillance professionnelle pour tout le monde Notre objectif est de simplifier la vidéosurveillance professionnelle pour tout le monde Stockage sécurisé des données et excellente facilité d utilisation 2 Simple et fiable Frank Moore, propriétaire

Plus en détail

Le guide de la maison branchée

Le guide de la maison branchée Jacques NOZICK Le guide de la maison branchée Groupe Eyrolles, 2006, ISBN : 2-212-11900-3 Liste des questions Introduction........................................................1 1. Questions basiques............................................

Plus en détail

Chapitre 1: Prise en main...3

Chapitre 1: Prise en main...3 F-Secure Anti-Virus for Mac 2014 Sommaire 2 Sommaire Chapitre 1: Prise en main...3 1.1 Que faire après l'installation...4 1.1.1 Gestion des abonnements...4 1.1.2 Ouvrir le produit...4 1.2 Comment m'assurer

Plus en détail

Pour se déclencher (passer à l'action), il attend en général : Pour en savoir plus sur ce sujet : Page Wikipedia consacrée à ce sujet.

Pour se déclencher (passer à l'action), il attend en général : Pour en savoir plus sur ce sujet : Page Wikipedia consacrée à ce sujet. Virus & Antivirus De nos jours, quand on débute en informatique personnelle, on est confronté dès les premières heures à ces mots "Virus" et "Antivirus", et on comprend tout de suite qu'il ne faut pas

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Document de présentation technique. Blocage du comportement

Document de présentation technique. Blocage du comportement G Data Document de présentation technique Blocage du comportement Marco Lauerwald Marketing Go safe. Go safer. G Data. Table des matières 1 Blocage du comportement mission : lutter contre les menaces inconnues...

Plus en détail