CARTE HEURISTIQUE... 1 LE RISQUE... 2 LES MENACES...

Transcription

1 Table des matières CARTE HEURISTIQUE... 1 LE RISQUE... 2 LES MENACES... 2 Les menaces non intentionnelles...2 Les menaces intentionnelles...3 LES CYBER DÉLINQUANTS... 4 Typologie...4 Motivation...5 L'ANALYSE DES RISQUES... 5 POLITIQUE DE SÉCURITÉ... 5 Conception...5 Réalisation...6 Évaluation et Contrôle...6 Amélioration...6 LES DISPOSITIFS DE PROTECTION... 6 Protection du réseau local...6 La protection du poste de travail...8 Une charte informatique, que tout utilisateur doit signer et approuver avant d'utiliser le poste de travail mis à sa disposition..9 Conduite à tenir en cas d'infection...9 Carte heuristique Jacques Chambon 1/9 17-COURS_SI_Protection

2 La sécurité des systèmes d information couvre la sécurité informatique (sécurité logique) mais aussi la sécurité physique et organisationnelle du système. Elle doit garantir un niveau convenable de : Confidentialité : l information ne doit être accessible qu aux personnes habilitées à la lire ou à la mettre à jour ; Intégrité : l information doit être exempte d erreurs et de falsification ; Disponibilité : les informations doivent être mises à disposition des utilisateurs en temps voulu. Le Risque Le critère CID permet de mesurer la sensibilité des informations. Le Risque est la probabilité d'échec dans l atteinte d'objectifs. Le Risque informatique est la probabilité d'échec d'un projet informatique. Améliorer la sécurité informatique, c'est gérer les risques liés à l'informatique et à l'information, c'est maximiser les chances de réussite et réduire la probabilité d'échec!!! RISQUE = MENACE * IMPACT * VULNERABILITE Une menace est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation («norme de sécurité des systèmes d'information ISO »). Une menace doit être décrite en citant le bien qui en est la cible, l élément menaçant identifié et l attaque. Une société a mis en place une borne Wifi pour permettre à ses commerciaux itinérants de se connecter au réseau de l'entreprise lors des réunions. La menace peut consister en une intrusion du réseau par des personnes extérieures (élément menaçant) à l'entreprise pour récupérer le fichier client (bien), en utilisant un logiciel facilement disponible sur Internet (attaque) qui permet de cracker les clés de sécurité Wifi Une vulnérabilité est toute faiblesse des ressources informatiques qui peut être exploitée par des menaces, dans le but de les compromettre. De nouvelles vulnérabilités sont découvertes quotidiennement et peuvent concerner toute ressource informatique. Dans l'exemple précédent, la vulnérabilité tient à la nature des clés de protection dont le système de cryptage n'est pas suffisamment robuste. L'impact est l'évaluation des dommages causés par les dégâts d'un événement. La divulgation d'un fichier client peut engendrer des pertes financières, mais aussi une décrédibilisation de l'entreprise dont l'image peut devenir négative. Assurer le risque zéro est trop coûteux. La règle de Pareto s'applique aussi à la gestion des risques : «80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires.» Les menaces La gestion des risques est cruciale pour augmenter la probabilité de réussite. Les menaces non intentionnelles Ce type de menace peut être d'origine humaine ou matérielle Les personnes mal ou peu formées aux outils qu'elles utilisent, la catastrophes naturelles Jacques Chambon 2/9 17-COURS_SI_Protection

3 Erreur Humaine Tout comportement humain ne respectant pas le bon usage et pouvant conduire de façon involontaire à des préjudices divers. La négligence ou l'incapacité sont à l'origine des erreurs humaines. Sensibiliser le personnel aux risques inhérents aux erreurs humaines. Former le personnel aux logiciels qu'ils utilisent. Mettre en place des procédures et veiller à leur respect. Introduire la double validation là ou c'est nécessaire. Organiser une gestion et un suivi des erreurs. Limiter strictement les accès aux logiciels et données aux personnes qui en ont l'usage. Les pannes matérielles et logicielles Il y a autant de causes de pannes possibles que d'éléments ou de couches constitutives d'un système informatique. Offrir des conditions de fonctionnement optimales à tous les équipements critiques. Créer des redondances Mettre en place et respecter minutieusement les procédures de sauvegarde. Eviter les solutions propriétaires et favoriser les solutions "standard". La perte de données Suppression ou détérioration des données de manière à en rendre l'accès impossible. Les catastrophes naturelles, les pannes techniques ou des actions humaines de destruction sont à l'origine de pertes de données. Les menaces intentionnelles Utiliser des technologies de stockage adaptées. Définir des politiques de sauvegarde adaptées. Limiter les droits des utilisateurs au minimum requis. Définir des périmètres de sécurité pour le matériel informatique Définir des règles de sécurité dans le périmètre de sécurité Gérer de manière pro-active le parc informatique Former les utilisateurs aux différentes applications Les menaces intentionnelles ont toujours une origine humaine. Elles peuvent provenir de l'intérieur ou de l'extérieur de l'organisation. Les codes malicieux Virus et Vers Cheval de Troie Spyware Un virus est un logiciel qui se propage, en s'attachant à tout type de fichier Un ver est un virus qui dispose d'un "moteur" lui permettant de se propager sans intervention humaine. Un cheval de Troie est un logiciel qui se présente comme un logiciel anodin mais qui a vocation à infecter une machine à l insu des utilisateurs. Il sert à créer et maintenir un accès permanent non autorisé sur une machine. (Backdoor) Les logiciels espions sont de petits programmes informatiques qui se multiplient à l'aide de logiciels diffusés et téléchargeables sur Internet. Utiliser un logiciel anti-virus, Utiliser un pare-feu, Appliquez les mises à jour des applications, Eviter d'ouvrir des courriels, logiciels ou tout autre fichier dont le sujet ou le contenu est inhabituel, voire anormal. Utiliser un anti-spyware, Attaque par courrier électronique Phishing Pharming L'hameçonnage est une technique de fraude visant à obtenir des informations confidentielles telles que des mots de passe ou des numéros de carte de crédit au moyen de messages ou de sites usurpant l identité d institutions financières ou d entreprises commerciales; Technique de fraude consistant à rediriger le trafic internet d un site internet vers un autre site lui ressemblant, dans le but d obtenir des informations confidentielles telles que des mots de passe ou des numéros de cartes de crédit Attaque de site Web Defacement Une défiguration (defacement) est une attaque dirigée contre un site Web. C'est une action intentionnelle de destruction, dégradation ou modification de données d'un site Web. Connaissances et suivi de bonnes pratiques et de règles de comportement appropriées. Vérifier que la transaction s'effectue à l'aide d'un protocole sécurisé HTTPS. Utiliser un dispositif d'anti-intrusion. Ces dispositifs contrôlent la non modification du contenu des pages, incluant la page d'accueil, d'un site Web, Appliquez les mises à jour du système d'exploitation et des applications du serveur WEB. Jacques Chambon 3/9 17-COURS_SI_Protection

4 Menaces physiques Vol physique Un vol peut s'effectuer sur tous les éléments constitutifs du parc informatique. Ces vols peuvent être commis dans les locaux de l'entreprise ou lors du transport du matériel informatique. Mettre en place un contrôle d'accès effectif aux bureaux et aux périmètres de sécurité, Respecter et contrôler les procédures relatives à l'usage, au transport et au stockage des supports informatiques, Utiliser des cadenas pour sécuriser les ordinateurs portables, Chiffrer les données contenues dans un ordinateur portable (vol de données), Utiliser des mots de passe forts (vol de données), Limiter et contrôler l'usage des supports informatiques (vol de données), Marquer tous les équipements (effet dissuasif). Liste des menaces EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). EBIOS est une méthode publiée par la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI) en France. 1. INCENDIE, 2. DÉGÂTS DES EAUX, 3. POLLUTION, 4. ACCIDENTS MAJEURS, 5. PHÉNOMÈNE CLIMATIQUE, 6. PHÉNOMÈNE SISMIQUE, 7. PHÉNOMÈNE VOLCANIQUE, 8. PHÉNOMÈNE MÉTÉOROLOGIQUE, 9. CRUE, 10. DÉFAILLANCE DE LA CLIMATISATION, 11. PERTE D'ALIMENTATION ÉNERGÉTIQUE, 12. PERTE DES MOYENS DE TÉLÉCOMMUNICATIONS, 13. RAYONNEMENTS ÉLECTROMAGNÉTIQUES, 14. RAYONNEMENTS THERMIQUES, 15. IMPULSIONS ÉLECTROMAGNÉTIQUES (IEM), 16. INTERCEPTION DE SIGNAUX PARASITES COMPROMETTANTS, 17. ESPIONNAGE À DISTANCE, 18. ÉCOUTE PASSIVE, 19. VOL DE SUPPORTS OU DE DOCUMENTS, 20. VOL DE MATÉRIELS, 21. DIVULGATION INTERNE, 22. DIVULGATION EXTERNE, 23. PANNE MATÉRIELLE, 24. DYSFONCTIONNEMENT MATÉRIEL, 25. SATURATION DU MATÉRIEL, 26. DYSFONCTIONNEMENT LOGICIEL, 27. DESTRUCTION DE MATÉRIELS, 28. ATTEINTE À LA MAINTENABILITÉ DU SYSTÈME D'INFORMATION, 29. INFORMATIONS SANS GARANTIE DE L'ORIGINE, 30. PIÉGEAGE DU MATÉRIEL, 31. UTILISATION ILLICITE DES MATÉRIELS, 32. ALTÉRATION DU LOGICIEL, 33. PIÉGEAGE DU LOGICIEL, 34. COPIE FRAUDULEUSE DE LOGICIELS, 35. UTILISATION DE LOGICIELS CONTREFAITS OU COPIÉS, 36. ALTÉRATION DES DONNÉES, 37. ERREUR DE SAISIE, 38. ERREUR D'UTILISATION, 39. ABUS DE DROIT, 40. USURPATION DE DROIT, 41. RENIEMENT D'ACTIONS, 42. FRAUDE, 43. ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL. Les cyber délinquants Typologie Les cyber-délinquants sont des personnes qui attaquent illégalement un site informatique déterminé, ou qui commettent un délit à l aide d un outil informatique. On les nomme vulgairement «Pirates» 0*Les hackers ou «chapeaux blancs» se contentent d enfreindre la sécurité des systèmes pour en souligner les failles. Ils sont hautement qualifiés et compétents. 1*Les crackers ou «chapeaux noirs», pénètrent les systèmes informatiques avec l intention de nuire. Jacques Chambon 4/9 17-COURS_SI_Protection

5 2*Les scripts-kiddies forment le bas-de-gamme du piratage informatique. Ils lancent leurs attaques de manière totalement aléatoire en utilisant des logiciels «prêt à l emploi», ne maîtrisant ni leur fonctionnement, ni les conséquences de l action illégale entreprise. 3*Les employés Connaissant les procédures de l'entreprise, ils sont les mieux placés pour en utiliser les failles. 1*les pirates sociaux Ils utilisent la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc.afin de contourner les dispositifs de sécurité. La technique associée prend le nom d'«ingénierie sociale» (en anglais «social engineering»). Motivation Les motivations des cyber délinquants peuvent être classées de la façon suivante : Motivation Stratégique Terroriste Cupidité Ludique Vengeance Objectif Déstabiliser les systèmes concernant les secrets de Défense et la Sûreté de l Etat. S'approprier une partie du patrimoine national (scientifique, technique, industriel, économique ou diplomatique) Destruction physique de systèmes, désinformation Obtenir un gain financier, matériel ou de tout autre ordre. Pénétrer des systèmes d'information pour obtenir une certaine reconnaissance. Répondre à une frustration telle que licenciement, brimades, conflits, etc... L'analyse des risques Evaluer les ressources critiques de l'organisation. On définit les ressources critiques comme les éléments essentiels à l organisation, sans lesquels la valeur de l organisation serait moindre, voire inexistante. En voici quelques exemples : les informations, les ressources matérielles (équipements divers, machines, etc.) et logicielles, le personnel (ressource la plus importante et la plus critique), l image de marque. Déterminer et Classer les menaces qui pèsent sur les ressources. On définit la probabilité qu'une menace apparaisse et quel serait son impact sur l'organisation Politique de Sécurité A partir de l'analyse des risques, il faut définir le niveau d'exigence acceptable pour l'entreprise. Pour réduire les risques, on agit sur les vulnérabilités, ou on essaie de réduire l impact qu aurait l exploitation d une de ces vulnérabilités par une menace. Pour réduire l impact il faut mettre en place des mesures préventives et les coordonner dans le cadre d'une politique de sécurité. Conception Politique de sécurité Etape de démarrage qui consiste à : s'assurer que le périmètre et le contexte du futur système sont correctement définis. identifier, évaluer les risques et développer un plan permettant de les gérer. rédiger un manuel de sécurité désigner une personne chargée de définir la politique de sécurité Jacques Chambon 5/9 17-COURS_SI_Protection

6 Réalisation L étape de réalisation consiste principalement à appliquer les politiques définies dans le manuel de sécurité en : implantant les mesures techniques préventives en sensibilisant Direction et Employés Évaluation et Contrôle Les systèmes d évaluation doivent avoir été décrits dans le manuel de sécurité. L objectif consiste à s assurer que les procédures mises en place fonctionnent comme prévu. Ces évaluations peuvent être de plusieurs types : vérifications régulières faites dans le cadre des activités quotidiennes ; contrôles automatiques réalisés avec des outils logiciels permettant de créer des rapports ; comparaison avec les autres organisations ; réalisation d audits formels planifiés (risk assessment) ; révision par la direction. Si les évaluations et les contrôles révèlent que certaines procédures sont inadéquates, il faut entreprendre des actions correctives. Amélioration Les actions qui auront été décidées à l étape précédente devront être mises en œuvre soit : au niveau du système de sécurité proprement dit, comme par exemple en nommant un(nouveau) responsable pour tout ou partie du système; au niveau des procédures opérationnelles qui en auront été déduites, comme par exemple par la mise en œuvre d une procédure de sauvegarde de données différentes (et évidemment plus adaptée); au niveau des outils, comme par exemple par l achat d un outil anti-virus. Les dispositifs de protection Protection du réseau local Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière qui conjugue la combinaison de 2 applications logicielles, un serveur mandataire(proxy) d'une part et un pare-feu (firewall) d'autre part. Serveur mandataire Un serveur mandataire est une application qui sert d'intermédiaire entre un client et un serveur. Le client envoie sa requête au mandataire, qui la réémet en direction du serveur concerné. De même, la réponse du serveur est reçue par le mandataire qui la retransmet au client. Un proxy peut être configuré pour filtrer les requêtes. Un serveur mandataire assure les fonctions suivantes : Mémoriser les dernières pages consultées sur le Net ; Garder une trace des requêtes ; Analyser le contenu des documents pour détecter d'éventuels virus ; Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou interdire l'accès à certains services d'internet pour certains utilisateurs. Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots clès...) Interdire à tous les employés de consulter les sites contenant le mot clé «sexe». Système Pare-feu ou Firewall Un pare feu est un équipement conçu pour empêcher des individus extérieurs d accéder au Réseau Local. Un système pare-feu fait office de point d entrée sur un site, évalue les demandes de connexion à mesure qu il les reçoit. Il traite seulement celles qui proviennent de machines autorisées et supprime les requêtes en provenance des autres. Jacques Chambon 6/9 17-COURS_SI_Protection

7 La majorité des système pare-feu procèdent par filtrage de l adresse de source. Autoriser les ordinateurs extérieurs (quelle que soit leur adresse IP) à accéder au serveur Web de la zone démilitarisée. Autoriser les ordinateurs du réseau local à accéder aux serveurs web extérieurs Autoriser les ordinateurs du réseau local à accéder aux services de messagerie électroniques Interdire tous les autres services d'internet. DMZ - Zone démilitarisée La «zone démilitarisée» (DMZ) est un réseau intermédiaire tampon dans laquelle peuvent être installés les ordinateurs et applications devant pouvoir être accessibles à partir d'internet (les serveurs de services FTP et de pages WWW, par exemple). Cette technique permet de différencier les données confidentielles et sensibles, présentes sur le réseau local, des données «publiques» de l'entreprise. Réseau Privé Virtuel (RPV) Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est une solution technique qui assure l'authentification et la confidentialité des données échangées entre sites distants utilisant internet comme moyen de transmission. Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle communique en utilisant Internet. Un commercial itinérant est doté d'un ordinateur portable et via Internet doit pouvoir accéder à la base de données du siège social. Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise partenaire (entreprise B). Comme les données circulant sur Internet sont transmises en clair, les administrateurs réseau de l'entreprise A, vont paramétrer la fonction VPN sur les systèmes d'exploitation des serveurs et des Jacques Chambon 7/9 17-COURS_SI_Protection

8 postes de travail concernés. Si les postes sont utilisés par les salariés de l'entreprise A, on parlera d'intranet. Une coopération technique sera nécessaire pour paramétrer le VPN entre l'entreprise A et l'entreprise B. Cette liaison sécurisée (chiffrement des données transmises sur le réseau) sera désigné sous le terme d'extranet. Lorsqu'on établit une liaison sécurisée entre 2 machines distances en passant par Internet, on parle de tunnel VPN. La protection du poste de travail Contrôle d'accès L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne. Qualités d'un mot de passe 1. longueur comprise entre 6 et 8 caractères ; 2. mot n'appartenant pas à un dictionnaire ; 3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères spéciaux «gilles» est un mauvais mot de passe. «G1i*l;e!» est un mot de passe sécuritaire Un mot de passe doit être changé fréquemment Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie ( empreinte digitale, reconnaissance du visage, reconnaissance de l'iris, ADN) Anti-Virus Un logiciel antivirus fonctionne selon 2 modes : le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche. Le mode dynamique : l'antivirus est «résident» et surveille en permanence l'activité du système d'exploitation, du réseau et de l'utilisateur. Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques : Recherche de signatures : un virus est caractérisé par une suite de bits (signature) consignés dans des bases de données. Avantage : très efficace sur des virus connus ; Inconvénient : nécessite une mise à jour très fréquente de la base des signatures Analyse heuristique : consiste à étudier des règles, des stratégies en vue d'étudier le comportement d'un programme. Avantage : peut détecter des virus encore inconnus Inconvénient : génère de nombreuses fausses alertes. Les règles d'hygiène informatique Le grand jeu des programmeurs de virus est de répandre des virus capables de contourner les protections logicielles mise en place par les systèmes de sécurité existants. Fonder la lutte antivirale sur l'utilisation d'un ou de plusieurs antivirus est illusoire. Il faut mettre en place en amont de ces logiciels des règles de bonne conduite : une politique de veille technologique, consistant à consulter les sites des éditeurs de logiciels pour connaître les alertes et appliquer les parades immédiates. La formation et la sensibilisation permanente des utilisateurs, pour éviter des comportements inconséquents. Jacques Chambon 8/9 17-COURS_SI_Protection

9 Le contrôle des contenus. L'utilisateur ne doit pas pouvoir installer tout et n'importe quoi sur sa machine, notamment des logiciels piratés qui sont source de virus. Le choix des logiciels. De nombreux logiciels commerciaux présentent des failles de sécurité utilisées par les concepteurs de virus. Il est donc légitime d'évaluer avec attention les logiciels libres. Le format des documents générés par les logiciels conditionne la présence potentielle de virus. Il est donc souhaitable d'utiliser les extensions rtf plutôt que doc pour les documents issus des traitements de texte. Vous trouverez ci dessous un tableau donnant une évaluation des risques de virus associés à un type de fichier. Une charte informatique, que tout utilisateur doit signer et approuver avant d'utiliser le poste de travail mis à sa disposition. Conduite à tenir en cas d'infection Jacques Chambon 9/9 17-COURS_SI_Protection