La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004

Dimension: px
Commencer à balayer dès la page:

Download "La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004"

Transcription

1 La sécurité à l usage des décideurs 22 nov 2004 Centre Français de réflexion sur la sécurité des systèmes d information Collection Ténor etna France Ouvrage collectif sous la direction de Gérard Péliks.. Ont contribués à la rédaction de ce livre : Jean-Philippe Bichard, Matthieu Bonenfant, Olivier Caleff, Bernard Carayon, Hervé Chappe, Patrick Chrisment, Dominique Ciupa, Philippe Clost, Anne Coat-Rames, Max de Groot, Alexis Ferrero, Franck Franchin, Jean-Denis Garo, Laurent Germain, Michèle Germain, Gabriel Gross, Michel Habert, Juan Antonio Hernandez, Olivier Itéanu, Sami Jourdain, Thierry Karsenti, Alexandre Le Faucheur, Gérard Peliks, Frédéric Pierre, Pierre-Luc Refalo, Philippe Robin, Thierry Rouquet, Eleonore Sichel-Dulong, Gérald Souyri, Alain Thibaud 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 1/191

2 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 2/191

3 Le mot du Président de l etna France Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les informations qu'ils contiennent, ce travail commun du Centre français de réflexion sur la sécurité des systèmes d information, créé au sein de l'etna France, pourra se révéler très utile. Edmond Cohen, Président de Western Telecom, Le mot de la Représentante du centre français de réflexion sur la sécurité des systèmes d information auprès du Conseil d Administration de l etna France Je félicite ce groupe de travail, devenu le Centre français de réflexion sur la sécurité des systèmes d information, devant la passion qu il a prouvée, dans la rédaction de cet ouvrage. Il s'agit de technologies concurrentes, de personnes d'environnements hétérogènes où tout le monde a consacré beaucoup d'énergie et d'enthousiasme à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la protection des flux d'informations. Un remerciement particulier à tous les auteurs qui ont contribué à réaliser un livre qui sera certainement très utile et aussi à nos sponsors qui nous permettent en finançant les travaux d édition de le produire sous format papier. Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, Le mot du Président du centre français de réflexion sur la sécurité des systèmes d information Le mot du hacker Le pari un peu surréaliste d écrire un livre ouvert sur la sécurité à destination des décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs acteurs de la sécurité des systèmes d information sur le marché français a été lancé dès la création de la commission sécurité de l etna France. Son ambition est d évangéliser le monde des télécoms sur les diverses facettes de la sécurité des systèmes d information et des réseaux avec l assurance que la diversité de ses auteurs a apporté la richesse de cet ouvrage et son adéquation au but recherché. Gérard Péliks, EADS Defence and Communications Systems Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté face aux menaces de l Internet. Quand j attaque votre système d information, soit pour jouer avec, soit pour vous nuire, soit pour l utiliser comme relais pour réaliser d autres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension sécurité entrait dans l esprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que j encours de lourdes sanctions pénales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et surtout plus risquée. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 3/191

4 La sécurité L intelligence économique La cybercriminalité ANALYSE DES GRANDES TENDANCES 2004 / Les principaux enjeux 2004 / Pourquoi se protéger? E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? LES MENACES LES VULNERABILITES Une histoire qui remonte à la nuit des temps Un changement de comportement avec les vulnérabilités informatiques Les «exploits» Les parades Les attaques exploitant les vulnérabilités La difficulté des corrections Les faiblesses du Web LES ATTAQUES Le vol d informations Les accès non autorisés Les dénis de services Les attaques sur la messagerie Les attaques sur le Web Les attaques par le système d exploitation Les attaques combinées LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES Les éléments malfaisants Face au virus Mydoom.A Les logiciels espions LE CAS DU RESEAU SANS FIL La "révolution" radio Les préoccupations de l Administrateur Réseau Risques et attaques L INGENIERIE SOCIALE LE CYBER RACKET La prolifération des risques Les approches Un exemple Les règles à suivre LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS Le spim Le googlebombing Les attaques sur les téléphones portables Les attaques sur les photocopieurs Le Peer-to-Peer Les contre-mesures et moyens de défense LES FIREWALLS BASTION Les paramètres pour filtrer les données A quel niveau du paquet IP le filtrage doit-il se situer? Le masquage des adresses IP du réseau interne Les zones démilitarisées Firewall logiciel ou firewall matériel? En parallèle ou en série? Sous quel système d exploitation? LE FIREWALL APPLICATIF Des attaques sur les applications Web en forte croissance nov 2004 etna France Voir en dernière page pour les droits de reproduction 4/191

5 3.2.2 Les limitations des solutions de sécurité traditionnelles Le Firewall Applicatif ou Reverse Proxy Applicatif LE FIREWALL PERSONNEL L AUTHENTIFICATION FORTE L authentification et la chaîne de sécurisation Le rôle de la carte à puce dans l authentification Exemples actuels d utilisation de carte à puce Conclusion LA BIOMETRIE Introduction Identification Méthodes biométriques Précision Applications des techniques biométriques LE CHIFFREMENT ET LA CRYPTOGRAPHIE Introduction Cryptage symétrique Cryptage asymétrique La signature électronique Combinaison des techniques LA STEGANOGRAPHIE Le but de la stéganographie Dissimuler l information dans une image Dissimuler l information dans un texte LES VPN Les VPN IPSec Les VPN-SSL ou l accès distant sécurisé nouvelle génération VPN IPSec ou SSL: Les critères de décision LE CHIFFREMENT DES DONNEES SUR DISQUE LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) Certificats Numériques et Autorités de Certification Applications de la PKI Certificats Numériques Autorité de Certification (CA, Certification Authority) LA PREVENTION D'INTRUSIONS Les limites de la détection Qu est-ce que la prévention? Périmètre d action d un système de prévention Les moteurs d analyse Performances du système LES ANTI (VIRUS, SPAMS, SPYWARES) Les antivirus Les antispams Les anti spywares SECURITE ET MOBILITE LE FILTRAGE DE CONTENU INTERNET L ERADICATION DES LOGICIELS ESPIONS LES POTS DE MIELS La gestion de la sécurité LA GESTION CENTRALISEE DE LA SECURITE Introduction Caractéristiques d un système de gestion centralisé de la sécurité Le système d administration (SOC- Security Operations center) Les opérations La surveillance La supervision Le contrôle La sécurité et l administration du centre de gestion de la sécurité nov 2004 etna France Voir en dernière page pour les droits de reproduction 5/191

6 4.1.9 Fonctionnement d un centre de gestion centralisé de la sécurité Garanties de sécurité Standards et Modèles de référence utiles LES SCANNERS DE VULNERABILITES Un sujet technique et une question d'organisation Les technologies de recherche de vulnérabilités Les usages des scanners de vulnérabilités La gestion des correctifs CONTEXTE PRINCIPE DE TRAITEMENT DES CORRECTIFS DE SECURITE la phase amont Le déploiement La phase de suivi ÉLEMENTS COMPLEMENTAIRES OU SPECIFIQUES le facteur temps Les systèmes qui ne peuvent pas être pris en compte CONCLUSION Les réseaux particuliers APPLICATIONS A LA VOIX SUR IP Architecture d'un système VoIP Les risques Les attaques Fonctions LA SECURITE DU CENTRE D APPELS Le centre d appels Les enjeux Une double actualité : Les risques : Les chaînons Les solutions : LA SECURITE DES RESEAUX SANS FIL Le problème du WEP Les contre-mesures de base Les évolutions du protocole : WPA et i Application Autres technologies LA VIDEOSURVEILLANCE SUR IP La convergence des ressources et l optimisation des systèmes Exemple d application : la vidéosurveillance sur IP : Une architecture de sécurité de bout en bout LES EQUIPEMENTS DE SECURITE MULTIFONCTION Le développement du marché des Network Security Appliance Les menaces polymorphes Les limites de l approche «best of breed» Les avantages de l approche multifonction Le développement du marché de l appliance multifonction LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Identification des risques Correction des lacunes de sécurité Approche intégrée Amélioration de la sécurité par l administration Résumé LE SINGLE SIGN ON Origines du Single Sign-On Pourquoi le Single-Sign-On? Aperçu des solutions existantes LA CONTINUITE D ACTIVITE L objectif de la continuité d activité d une entreprise nov 2004 etna France Voir en dernière page pour les droits de reproduction 6/191

7 7.4.2 De quelle continuité a besoin l entreprise? Construire le Plan de Continuité d Activité (PCA) dont l entreprise a besoin Une construction méthodique du PCA L entreprise tout entière doit faire vivre son PCA Le PCA comme une boîte à outils pour faire face à d autres situations DE LA CORRELATION ENTRE SECURITE PHYSIQUE ET SECURITE LOGICIELLE La sécurité physique et logique aujourd hui Les enjeux et la problématique La solution Les aspects juridiques et humains LE RSSI AT IL ENCORE DROIT AU SOMMEIL? Le RSSI coincé entre le marteau et l enclume de la loi De quelques précautions juridiques à prendre QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE L arrêt Nikon L Ecole de Physique et Chimie Industrielle de Paris L affaire Escota POLITIQUE ET REFERENTIELS DE SECURITE Préambule Fondamentaux Des principes fondateurs L organisation dans le cadre politique Une Charte et quatre politiques Des choix essentiels Synthèse LES RESPONSABILITES ET LES ACTEURS DE L ENTREPRISE Une nette orientation en faveur du juridique et du réglementaire RSSI : maîtriser les risques d une délégation de pouvoirs Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet? Les certifications LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) L'ISO Historique La structure de l'iso 17799: Comment l'utiliser? L'ISO : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE Historique La structure du SSE-CMM( ) - ISO 21827: Les enjeux économiques de la sécurité : DES ATTAQUES QUI EVOLUENT DE L EXPLOIT TECHNOLOGIQUE A L APPAT DU GAIN SECURITE : QUELLES DEPENSES POUR QUELS USAGES? DU SENS DU ROI EN SECURITE DES SYSTEMES D INFORMATION Qu est-ce qu un ROI? Système d information, sécurité et ROI Calcul du ROI : un exercice difficile Un indicateur souvent inadapté Bibliographie et références GENERAL ATTAQUES ET MENACES VOIP CENTRE D APPELS WI-FI GESTION DES CORRECTIFS INGENIERIE SOCIALE JURIDIQUE LOISIRS Livres Films nov 2004 etna France Voir en dernière page pour les droits de reproduction 7/191

8 12 Glossaire ACRONYMES DÉFINITIONS Contributions à l écriture de ce livre nov 2004 etna France Voir en dernière page pour les droits de reproduction 8/191

9 1 L INTELLIGENCE ECONOMIQUE Auteur : Bernard Carayon, (Député du Tarn, Rapporteur du budget au Secrétariat Général de la Défense Nationale et du Renseignement à la Commission des finances) L intelligence économique a connu en France depuis dix ans un sort assez désolant! Comprise tantôt dans son acception anglo-saxonne (le renseignement), tantôt comme une méthode antédiluvienne d entreprise au service des seuls intérêts marchands (la «veille» juridique, commerciale, technologique ), l intelligence économique est restée marginale dans la société française. Les efforts de quelques pionniers de talent ont été gâchés par les ratiocinations de théoriciens de second rang ou les vacations logomachiques de marchands du temple L Etat, lui-même, n a jamais produit le moindre corps doctrinal, restant aveugle, à de rares exceptions près, aux constructions intellectuelles et institutionnelles de nos grands concurrents. Dans l entreprise, l intelligence économique est restée cantonnée à des niveaux d exécution ; dans le système éducatif enfin, elle est restée une matière, sans accéder au statut de discipline universitaire. Durant dix ans, les Français ont ainsi confondu la fin et les moyens : le renseignement, la veille ne sont que des outils. L intelligence économique est une politique publique ; j en ai défini dans mon rapport le contenu, le périmètre, la finalité. Par la simple observation des dispositifs étrangers, et l adaptation à notre culture propre. Politique de sécurité, d abord : sécurité technologique, (celle des réseaux, des centres de recherches, des process industriels), sécurité juridique (dans l accès au capital, dans la protection des secrets d affaire, dans l identification d un périmètre stratégique de l économie française), sécurité commerciale Politique de compétitivité, ensuite : comment accompagner les entreprises dans la conquête des marchés mondiaux? Comment définir, conduire et valoriser les politiques de recherche et favoriser l innovation? Politique d influence : comment anticiper l évolution des normes, peser sur les décisions des organisations internationales? Comment identifier les nouveaux acteurs de la mondialisation? (ONG, fondations, fonds d investissement ) Politique de formation enfin : qui former, quel enseignement général, quel enseignement spécialisé? Cette politique publique- comme partout dans le monde, n est pas adaptée à tous les marchés : seuls les marchés que je qualifie de stratégiques (et que ni la doctrine, ni la théorie économique n ont identifiés!) sont concernés : ceux qui créent, en plus de la richesse et de l emploi, de la puissance et de l influence ; termes tabous! Tant pis. On reconnaîtra l aéronautique et le spatial, la défense, l énergie, la pharmacie, l industrie des technologies de la communication, de l information et de la sécurité, certains domaines de l industrie agro-alimentaire. La conquête de ces marchés, partout dans le monde, ne repose plus sur la qualité et le prix des produits et services, mais sur de nouveaux acteurs, de nouvelles méthodes. Comment expliquer les retards français? D abord par notre conception des relations commerciales internationales : autant nous sommes socio démocrates dans la définition de nos politiques économiques intérieures, autant nous sommes naïfs et libéraux dans le regard que nous portons sur les marchés mondiaux. Chez les anglo-saxons, c est exactement l inverse. Ensuite parce que l histoire des relations entre l administration et le monde économique est une histoire de contentieux, d incompréhension, voire de mépris mutuel. Or l intelligence économique repose sur le métissage des cultures, la définition de procédures de mutualisation de l information, l identification de convergences d intérêts. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 9/191

10 J ajouterai que nos élites politico- administratives ont une connaissance pour le moins réduite des ressorts réels du marché et plus encore, de la vie internationale. Enfin, la France n a pas de culture du renseignement. Les services dits «spécialisés» sont encore mal traités, budgétairement et administrativement, leur image est médiocre dans l enseignement supérieur, leur politique de communication nulle. Le regard des politiques lui-même est méfiant ; celui des grands chefs d entreprises dubitatif Quelles finalités pour cette politique publique, nouvelle comme l ont été au cours des vingt dernières années, la protection de l environnement et le développement durable? Identifier le périmètre stratégique de l économie française, cela veut dire se battre pour ce qui est essentiel. S affranchir des tutelles technologiques, comprendre qu il existe des métiers stratégiques dont certains sont concentrés entre les mains de nos grands concurrents (cabinets d avocats et d expertise comptable, d audit, de courtage d assurance, de normalisation et de certification). Associer capitaux publics et privés dans de nouveaux fonds dédiés au développement d entreprises spécialisées dans les technologies de l information, de la communication et de la sécurité, accentuer nos moyens dédiés à la recherche. Marier dynamiques publiques et privées pour conquérir des marchés, conduire l Europe vers de vraies stratégies industrielles, là où il n y a qu une politique concurrentielle entravant l essor de nos champions Autant de défis qui impliquent, pour paraphraser Paul Valery, un nouveau «regard sur le monde actuel». L Etat a tout à gagner à développer cette nouvelle politique. En termes d image : l intelligence économique est «moderne». En termes de fonction : privilégier la circulation de l information plutôt que sa rétention, valoriser celui qui donne plutôt que celui qui conserve, c est révolutionnaire! Pour les préfets, représentants de l Etat par excellence, comme pour les ambassadeurs, l intelligence économique constitue une merveilleuse opportunité. L occasion d être les pilotes d une réforme porteuse de sens, d être à coté des élus, des moteurs du développement économique dans ce qu il recèle de plus «fin» et de plus prospectif ; d être enfin les moteurs de la réforme administrative, la vraie, celle qui se veut au service de la Nation et non de ses corporatismes. Si de notables avancés peuvent être constatées un an après la remise de mon rapport au Premier ministre 1, il reste encore un long chemin à parcourir pour que l intelligence économique devienne en France une véritable politique publique. Le premier effet positif des débats qui ont suivi la publication de ces travaux fondés sur l écoute et le questionnement de près de quatre cents personnes est que l intelligence économique est mieux comprise aujourd hui, dans l administration et dans l entreprise, comme une approche stratégique en matière de compétitivité, de sécurité économique, d influence et de formation, plutôt que comme la simple mise en œuvre de techniques de traitement, d échange ou de protection de l information stratégique. L idée selon laquelle les critères de conquête des marchés ne sont pas toujours ceux que définit l économie libérale est également mieux partagée. Dans le jeu classique de la globalisation des échanges, pour les produits les plus courants, l entreprise augmente ses parts de marché par un avantage concurrentiel fondé sur le prix, la qualité de ses produits ou services, et une communication adaptée à sa cible. Il n en va pas de même dans certains secteurs stratégiques où les Etats interviennent fréquemment en faveur des entreprises nationales 2, en déployant, au besoin, les arguments financiers ou diplomatiques les plus frappants. 1 «Intelligence économique, compétitivité et cohésion sociale», La Documentation Française, Pour la définition d une entreprise nationale, on peut consulter par exemple le rapport du Commissariat général du Plan publié en 1999 et intitulé «La nouvelle nationalité de l entreprise dans la mondialisation» dans lequel cinq critères d évaluation sont proposés. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 10/191

11 Deuxième élément positif, la nomination au début de l année 2004 d un Haut Responsable à l intelligence économique par décret du Président de la République et placé auprès du Premier ministre a signé l engagement des pouvoirs publics sur ce sujet, même si son positionnement administratif final a donné lieu à de vraies interrogations quant à son efficacité, notamment dans le dialogue avec les entreprises 3. L actualité économique a montré que ce sujet est au cœur du développement de l industrie européenne. La constitution du troisième groupe pharmaceutique mondial et du premier européen SANOFI-AVENTIS - a pu s effectuer grâce aux efforts conjugués d un industriel visionnaire et d un Gouvernement audacieux. Les exemples de la consolidation du groupe ALSTOM défendue par le ministre de l Economie, des Finances et de l Industrie à Bruxelles et de la disparition de PECHINEY, absorbé par le canadien ALCAN (que l entreprise française n a pu racheter quelques années plus tôt en raison du veto de la Commission européenne) ont porté leurs fruits. En ce sens, la création annoncée en juin par le chancelier allemand d un groupe franco-allemand d entrepreneurs visant à promouvoir une politique industrielle commune, va dans le bon sens. L essentiel pourtant reste à accomplir. La situation sociale insupportable de trop nombreux compatriotes 4, la «découverte» du phénomène de délocalisations d entreprises ou plutôt de son accélération, y compris au sein de l Europe ; la poursuite des conséquences de la libéralisation des marchés par exemple la levée le 1 er janvier 2005 des quotas imposés en matière textiles à la Chine ; les contraintes et les opportunités que les préoccupations nouvelles en matière d environnement ou de développement suscitent : autant de facteurs qui devraient nous pousser à agir si nous ne voulons pas que la France ne soit demain qu un hypermarché au milieu d un champ de ruines sociales. La première urgence est de définir le «périmètre stratégique» de l économie française. Ce que nous devons défendre pour garantir une cohésion sociale menacée, ce que nous devons promouvoir pour assurer à nos enfants richesse intellectuelle et professionnelle. Les résultats de cette réflexion prospective doivent être connus de tous afin de permettre la création des filières éducatives et professionnelles nécessaires, de favoriser le ciblage des soutiens publics, d assurer la meilleure mobilisation des acteurs éducatifs, sociaux et économiques. Ce travail prospectif partagé et communiqué sera également un signe donné aux étudiants et aux jeunes professionnels dont l expatriation sonne comme une condamnation de l avenir de la France. Il encouragera également les entreprises étrangères à investir en France. Ce concept de périmètre stratégique de l économie française doit d ailleurs être décliné régionalement : à partir de leurs savoir-faire anciens ou plus récemment acquis, en fonction de leur localisation géographique, les régions n ont évidemment pas les mêmes atouts ou les mêmes fragilités. La dimension territoriale est un échelon essentiel de la mise en œuvre d une politique publique d intelligence économique. Si une stratégie nationale en ce domaine s oriente plus naturellement vers les grandes entreprises, c est bien au niveau régional que l action auprès des petites et moyennes entreprises et des entreprises régionales à envergure mondiale sera la plus efficace. Dans certains secteurs d activité, comme le textile par exemple, ce sont également ces entreprises qui se révèlent le plus exposées à la concurrence issue de la mondialisation. Dès l automne 2003, Nicolas SARKOZY, alors ministre de l Intérieur a compris le rôle majeur que les préfets en poste territorial et certaines directions du ministère de l intérieur peuvent jouer dans la réussite d une politique publique d intelligence économique. La mise en place d expérimentations régionales a été décidée et sa coordination confiée au Secrétaire général du ministère. Une orientation confirmée par Dominique de VILLEPIN qui a décidé de faire passer de cinq à sept le nombre de Régions initialement prévues avec l objectif de généraliser l expérimentation, en cas de succès, dès Cf. Mon rapport de la Commission des finances «Pour une stratégie de sécurité économique nationale» (www.assemblee-nationale.fr) 4 Qui peut se satisfaire d une France dans laquelle un million d enfants ou d adolescents vivent sous le seuil de pauvreté INSEE rapportée par le quotidien «Le Monde» mars nov 2004 etna France Voir en dernière page pour les droits de reproduction 11/191

12 Le déroulement de ces expérimentations se heurtera vraisemblablement «sur le terrain» au double obstacle culturel qui fragilise notre pays depuis trente ans : la délégation administrative de la réflexion stratégique et le cloisonnement entre administrations. Comme il est fréquent pour les hommes politiques qui accèdent aux responsabilités exécutives, la «tyrannie du court terme» pourrait inciter les préfets de Région en charge ou les directeurs d administrations concernées à déléguer à un jeune «chargé de mission» la démarche méthodologique, l essentiel de la réflexion et l établissement de propositions. Ce n est pas la meilleure garantie de succès. Une des pistes ouvertes par mon rapport au Premier ministre propose la création de comités de pilotage régionaux d intelligence économique. Une telle structure dont la nature juridique importe peu - a l avantage de pérenniser l action engagée et d en assurer la nature collective : ce sont les croisements des expertises publiques et privées qui permettent d établir les meilleurs diagnostics, de définir les orientations et les actions à mettre en œuvre. C est également au sein de ce type de structure que l on évite la tentation de se limiter à quelques opérations d affichage et que la collaboration active entre services déconcentrés de l Etat peut être plus fluide. Parce qu il s agit d une politique régionale à inscrire dans le long terme qui comporte à la fois un volet industriel et scientifique mais également un volet social et éducatif, parfois culturel, parce qu il connaît le mieux les administrations du ministère de l intérieur utiles sur ces sujets, c est au préfet de Région qu il appartient d orienter, de coordonner et de suivre la réflexion stratégique, la mise en place des outils et des actions à mettre en œuvre. Son rôle-charnière d intermédiaire entre la politique de l Etat et l exécutif régional - qui doit être étroitement associé à toute démarche d intelligence économique - est essentiel. Nous pouvons nous montrer résolument optimistes. A côté de la mobilisation annoncée du Gouvernement et de l engagement des préfets dans les expériences régionales, de grandes entreprises françaises et européennes, conscientes des enjeux, ont choisi de soutenir la réflexion et l action sur des sujets directement liés à l intelligence économique. C est le sens de la Fondation d entreprises Prométhée que je crée et à laquelle j ai associé mon collègue de l opposition Jean- Michel BOUCHERON. Cet engagement collectif d entreprises au service de l intérêt général doit être pour nous source d exigences et d espoir.. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 12/191

13 2 LA CYBERCRIMINALITE Auteur : Jean-Philippe Bichard (NetCost&Security) Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias ). Cet attentat dramatique a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l on place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le domaine militaire que civil. 2.1 ANALYSE DES GRANDES TENDANCES 2004 / 2005 C est près d un milliard d hommes, de femmes et d enfants qui deviendront internautes d ici à Ils échangeront alors environ 35 milliards de messages par jour. Or, de sérieuses menaces pèsent sur ce secteur. En 2004, le cyber-racket ou chantage exercé par des cyber-bandes professionnels du cyber-crime pour extorquer de l argent aux entreprises après leur avoir dérobé des données sur leur système d information s est étendu. Ne parlons pas des spam, spim et autres vers qui envahissent désormais les objets nomades comme les téléphones portables et les agendas électroniques. Internet s est développé plus rapidement que n importe quel autre média. Depuis 1995, Internet connaît un succès foudroyant avec un trafic qui doublerait tous les 3 mois. Cette croissance exceptionnelle ne va pas sans problème. Le premier d entre eux, c est l absence de connaissances et d expertises sur le monde Internet, et surtout ceux de la E-Confiance et des Cyber-risques. La deuxième observation, c est la prise de risque stratégique que représente l absence d une politique de sécurité appliquée aux utilisateurs des systèmes d information. Trop d entreprises ignorent les menaces et les risques. Ils sont pourtant nombreux Les principaux enjeux 2004 / 2005 (Enquête NetCost&Security 2004) Technologiques : avec les conséquences de l usage du protocole IP devenu outil de référence pour les applications de messagerie et d échanges de données, le standard IP connu de tous est désormais présent au sein de tous les systèmes d information. PMI et PME ne sont pas encore en 2004 toutes raccordées à Internet. Si les usages liés aux procédures dématérialisées progressent, ces dernières demeurent en retrait face à un marché encore inquiet face aux menaces liées aux Cyber-risques via l Internet (attaques virales et ingénierie sociale). Enfin, si les notions de mises à jour commencent à êtres connues, les utilisateurs français souvent indisciplinés demeurent peu réceptifs aux règles de sécurité notamment sur les aspects liés aux mises à jour de bases de signatures et de patch (correctif) Économiques : la messagerie se substitue au téléphone l asynchrone au synchrone. A l échelle mondiale, 36 milliards de messages seront échangés au quotidien en Il y en avait 11 milliards en En 2004, l opérateur Wanadoo gère 20 millions de mails par jour. C est dire son importance en tant qu outil «positif» mais aussi vecteur de spams, rumeurs mais également éléments de preuves avec la signature électronique encore discrète mais techniquement opérationnelle. Le concept de Forensic computer ou la preuve via les NTIC est considéré comme une tendance majeure de N oublions pas le piratage des logiciels et la création de sites de stockage ou le téléchargement de logiciels: de plus en plus de logiciels sont disponibles sur le marché. Comme en 2003, les logiciels sont en 2004 souvent piratés pour servir d arme (la différence de connaissance entre les experts Cyber-risques et les attaquants s estompe) et téléchargés. En effet, de nombreux utilisateurs novices trouvent sur certains sites des «outils» de hacking ne nécessitant aucune connaissance particulière (ce qui ne réduit pas pour autant leurs effets). Autres tendances celles liées au piratage 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 13/191

14 d œuvres musicales et vidéo. Ce type de piratage inquiète sérieusement les «majors» du disque et de l industrie cinématographique en Des plaintes sont déposées et des groupes de pression se forment. Organisation de la malveillance : des attaques nouvelles faisant appel à des regroupements, de nombreuses attaques proviennent désormais d un regroupement effectué entre hackers et développeurs de codes malicieux. Avant 2003, les premiers étaient davantage «spécialisés» sur les attaques réseaux (couches basses) et les seconds sur les couches hautes (dites applicatives) en développant des codes malicieux qui exploitent les agendas des messageries pour accélérer leur propagation «consacrent» les attaques par codes malicieux de Mydoom à Sasser, la progression de l exploitation des failles non «patchées» devient inquiétante à tel point que de grands éditeurs comme Microsoft estiment que leurs priorités en sécurité en reposent sur l écriture de code sécurisé et la bonne gestion des «patch» par leurs grands clients. Les paradoxes des environnements ouverts : l environnement Open Source peut être profitable aux entreprises mais aussi à leurs attaquants (c est un des paradoxes de l open source). Cela dit, Linux et les outils Open source retiennent l attention de grands comptes. La forte poussée chez les décideurs de réflexions sur la conformité réglementaire et la veille juridique avec la notion de responsabilité de tiers (FAI, opérateurs, éditeurs ) et les problématiques liées à la délégation de pouvoir, certification, contrat des prestataires Dernier point rarement évoqué dans les études, les signes que donnent les utilisateurs «TECHNO- REBEL» se confirment face aux outils de Cyber-Surveillance et à des lois jugées «liberticides» par certains regroupements (utilisateurs d Internet, hébergeurs ). Ces nouvelles questions ne doivent pas être oubliées, elles sont le signe profond d un malaise chez bon nombre d utilisateurs. Ne sontils pas de plus en plus nombreux à se sentir «cyber-surveillés» sans de réelles explications? Un utilisateur malheureux dans son environnement peut concevoir de se révolter contre cet environnement. D où risque. Les premiers signes apparaissent avec la progression inquiétante des attaques internes confirme une tendance apparue en 2003 liée aux comportements. Les outils de traçabilité existent et inquiètent. Désormais des solutions de préventions liées à l anticipation des comportements apparaissent dans certaines entreprises afin d anticiper les comportements «à risque» et prévenir une menace. Surtout, le sacro-saint secret des correspondances privées est remis en cause par des RSSI bien décidés à faire valoir en priorité les précautions liées aux risques de menaces sur le patrimoine informationnel. D où l importance des chartes Internet de plus en plus précises liées au règlement d entreprise. Au sein des entreprises, la délinquance d utilisateurs internes «en col blanc» - ce sont eux qui ont accès à l information - augmente chaque année. En 2003 le nombre de menaces internes est considéré comme supérieur face aux attaques externes par les grandes entreprises nordaméricaines. En 2004, ces chiffres se confirment sans toutefois augmenter considérablement en raison de l application stricte des règles de politique de sécurité Pourquoi se protéger? La réponse est évidente : les sites gouvernementaux, les institutions, les universités et écoles, les banques, les industriels, les sites de commerce électronique ont tous connus des attaques sur leurs serveurs, sur leurs flux de transmission, sur leur Intranet et réseau interne, transactions Internet permet aux entreprises de tailles différentes de communiquer. C est le concept de l entreprise étendue. Les sous traitants doivent disposer de maillons de la chaîne de sécurité aussi robustes que ceux utilisés par les grands comptes avec qui ils travaillent. Dès lors, la politique de sécurité s étend à l extérieur du périmètre connu de l entreprise. Mais comment être certain que les règles propres à la politique de sécurité sont appliquées et correctement analysées? Idem pour les utilisateurs particuliers : Les opérateurs en 2003 et 2004 se préoccupent de plus en plus d offrir des solutions «packagées» de sécurité (anti-virus, anti-spam, contrôle parental, filtrage URL ). Fait nouveau : les opérateurs interviennent eux-mêmes pour réaliser des contrôles et en font connaître les résultats notamment auprès du grand public. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 14/191

15 AOL prétend que son système de «scan» automatique des pièces-jointes avait bloqué 500 millions de méls infectés par des virus, depuis son lancement mi-avril En moyenne, les 32 millions d'abonnés d'aol ont été individuellement protégés de l'attaque de 15 virus selon ce FAI. 2.2 E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? Les solutions de sécurité au sein des grandes entreprises mettent toutes en œuvre une partie ou généralement la totalité des mécanismes suivants : disponibilité des données et des systèmes d information (systèmes, réseaux, applications et services), des plans de secours et de continuité de services, les applications Cyber-risques et E-Confiance via des procédures d authentification, autorisation, intégrité, confidentialité et non-répudiation. De la sécurité informatique des années 80 à la sécurité du système d information des années 90 pour atteindre aujourd hui les rivages de la sécurité des informations/applications et des droits des utilisateurs avec les notions de patrimoine informationnel à valoriser via un référentiel de sécurité audité chaque trimestre, les Cyber-risques englobent de nombreux concepts en 2004 à commencer par la cyber-criminalité en forte progression. Plusieurs marchés composent le marché des Cyber-risques : celui de la sécurité applicative et des services Web, celui de la sécurité système et celui de la sécurité des infrastructures. Les Cyber-risques «applicatifs» confirment leur envol entamé en Selon le Gartner Group, 75 % des attaques provenant de l Internet s effectuent au niveau des couches applicatives. Le marché Cyber-risque reste difficile à cerner d autant qu il est crédité de chiffres controversés. Pour 2004, les enjeux liés à la Confiance viennent confirmer les tendances 2003 : les PME/PMI s intègrent de plus en plus aux systèmes d informations des grands comptes et les discours des Risk Managers évoluent de la technologie vers l usage de cette technologie avec les environnements indispensables : juridiques, réglementaires, économiques. Mais qu est ce que la e-confiance? Désormais, la gestion des risques majeurs et des utilisateurs l emporte sur les discours axés sur la «peur» et les solutions «totalement technologiques». Certains fournisseurs, éditeurs, intégrateurs dont le discours reste uniquement axé sur les technologies, vont devoir revoir leur copie en Deux mondes grandes entreprises et PME/PMI sont appelés à se rencontrer sur le terrain des Cyber-risques. En effet, le concept d entreprise étendue va obliger les PME/PMI sous-traitants à respecter le cahier des charges de leurs clients, souvent des grandes entreprises dont la politique de sécurité s étend désormais aux partenaires. Ce marché de l entreprise étendue sécurisée, peu d analystes semblent l intégrer. Il est pourtant au cœur des préoccupations de la majorité des PME/PMI. Reste que bon nombre de DSI (Direction des Systèmes d Information) et RSSI (Responsable de la Sécurité des Systèmes d Information) cherchent encore une vision optimisée d un «monde du travail connecté». Cependant selon certaines estimations de plusieurs études d éditeurs, les grands comptes dans 20% des cas se montrent prescripteurs auprès de leurs partenaires et sous-traitants le confirme. Non seulement une chaîne de la e-confiance basée sur des échanges dématérialisés se met en place mais les acteurs recherchent une plus grande homogénéité dans les échanges d applications. L interopérabilité technique des années 90 fait place après la distinction entre risques majeurs et risques mineurs des années 2000 à la «transparence» des échanges codifiés par des textes juridiques et le respect de normes pour les années à venir. Cette transparence s accompagne d une notion de gestion des droits liés aux usages des données et documents. 2.3 LES MENACES Auteur : Gérard Péliks (EADS) 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 15/191

16 Dès qu un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs voire même à une perte totale des fichiers systèmes, avec impossibilité de «rebooter» son PC. Quand l utilisateur se connecte sur l Intranet de sa société, ce réseau est automatiquement sujet à des menaces pouvant porter atteinte à l intégrité, et même à l existence des informations et aux applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si l utilisateur connecté à son Intranet, a aussi accès simultanément à l Internet, les menaces sont multipliées tant dans leur nombre que dans leur diversité. Nous ne pouvons rien contre l existence de ces menaces, qui sont liées à la nature humaine et à la nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se concrétiser par des attaques réussies. Contre les vulnérabilités, heureusement pour l utilisateur, pour son poste de travail et pour les réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les explorer. Mais les outils ne sont efficaces qu intégrés dans une politique de sécurité connue et librement acceptée par l entreprise ou la collectivité, car on ne le répétera jamais assez, ce n est pas le réseau qui est dangereux, c est bel et bien l utilisateur, parfois de manière consciente mais aussi souvent sans le vouloir et sans même le savoir. Les menaces sont bien réelles. Pour se protéger contre elles, puisqu on ne peut les éliminer, il faut les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l entreprise cible. Il n est pas possible de se prémunir contre toutes les menaces, donc il n est pas crédible de se croire hors d atteinte de toute attaque. Heureusement les informations et les applications résidant dans votre réseau et dans vos postes de travail n ont pas toute la même valeur stratégique pour l entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l endroit où les 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 16/191

17 informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût qu induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit, pour chaque domaine d information, pour chaque application, il y a un seuil au-delà duquel, il n est pas rentable d investir plus pour protéger une information dont la perte causerait un préjudice inférieur au coût des solutions de sécurité mises en place. Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une information dont la perte serait sans commune mesure avec le coût de la solution de protection de cette information. Les menaces sur les postes nomades Déjà à l intérieur de l entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire de l attacher à un point fixe par un cordon d acier, et d utiliser l économiseur d écran quand vous vous absentez provisoirement de votre bureau. Que dire alors des risques qu il encourt quand vous le sortez de l entreprise! Justement parlons-en. Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, paraît-il, disparaissent. Ce n est pas toujours l œuvre de simples voleurs intéressés par la valeur marchande du PC le plus souvent très inférieure à celle des informations stockées sur son disque dur. J ai connu une situation, lors d un salon, il y a quelques années, où la paroi de la remise d un stand avait été forcée durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient disparu. Au-delà de la gène évidente pour leurs propriétaires, l un des portables contenait le planning et l évolution des fonctionnalités des produits conçus et commercialisés par l entreprise et les carnets d adresses des partenaires et des clients. Que pouvait espérer le propriétaire de mieux qu un miracle fasse qu une météorite tombât sur son PC volé en détruisant son disque dur avant que son contenu ne soit exploité! Mais la probabilité pour que ce miracle se produise n est pas bien grande. Ajouté à cela, durant la journée, des coffres de voitures avaient été forcés sur le parking du salon et un autre PC portable avait été dérobé! Ce n est pas sur l espoir d un miracle que doit reposer la sécurité des données contenues dans les postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état d esprit, une politique de sécurité, et des outils correctement paramétrés. Durant la connexion votre poste nomade peut présenter un danger pour l intégrité du système d information de votre Intranet car il est exposé aux attaques dites «par rebond» qui permettent à un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans l Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre VPN est activé, le poste nomade n accepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l Internet. Quand vous n avez plus besoin d être connecté à l Intranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences catastrophiques pour notre système d information. Ce n est pas une raison, bien sûr pour relâcher votre vigilance. Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers échappent évidemment au contrôle de l antivirus de l entreprise. Une fois le poste nomade connecté à l Intranet, il peut infecter son système d information. Il est indispensable, avant tout chargement de fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 17/191

18 Remarque : Ne confondons pas poste nomade et utilisateur nomade, en effet l utilisateur nomade n utilise pas forcement un ordinateur de l entreprise pour se connecter. Les bornes Internet dans les cafés, par exemple, permettrent de lire son courrier électronique à distance. Ces systèmes sont cependant beaucoup plus dangereux car des spywares peuvent être installés et enregistrer les mots de passe à l insu de l utilisateur. Il faut donc être encore plus vigilant lors de l attribution des droits d accès aux serveurs pour des utilisateurs nomades. 2.4 LES VULNERABILITES Auteur : Dominique Ciupa (Intranode) Une histoire qui remonte à la nuit des temps Toute conception humaine a ses limites. Les logiciels et les réseaux comme les autres activités. A l'instar de la quasi-totalité des personnes qui, quelque que soit leur niveau d'éducation, laissent de temps à autre quelques fautes d'orthographe dans leurs écrits, les développeurs informatique font de leur côté un certain nombre de fautes informatiques. «Errare humanum est» a existé bien avant l'informatique. L'humanité a toujours connu les questions de vulnérabilités. Depuis le talon d'achille jusqu'à la ligne Maginot, l'histoire des vulnérabilités n'est qu'une longue répétition de point de faiblesse et d'erreurs. Certaines fautes informatiques génèrent des «bugs», nom donné à l'époque des premiers calculateurs électroniques lorsqu'un insecte, une punaise ou «bug» en anglais, provoquait un court-circuit entre deux composants électrique. D'autres erreurs peuvent être exploitées pour porter atteinte à la sécurité des réseaux et systèmes d'information. Accès à des données confidentielles, corruption de données, blocage d'un système que l'on appelle «déni de service», prise de contrôle d'une machine pour exécuter ce que l'on veut. On parle alors de failles de sécurité, ou de vulnérabilités informatiques. Rien de nouveau d'un point de vue technique, mais c est aujourd'hui un véritable problème en raison de l'exploitation à grande échelle qui est désormais faite des bugs et failles de sécurité. Ainsi, il y a encore 10 ou 15 ans, des failles ou bugs pouvaient exister sans conséquences graves. Ainsi, dans les systèmes de facturation téléphonique des bugs existaient qui permettaient de ne pas payer les communications. Sur certains commutateurs et pour certains opérateurs télécoms, le système de renvoi d'appel, faisant intervenir la couche dite «de réseau intelligent», permettait de faire disparaître le ticket de taxation lorsqu'un premier poste était renvoyé sur un deuxième poste luimême renvoyé sur un troisième. Les développeurs n'avaient pas prévu un usage aussi curieux et le pointeur des tickets de taxation se trouvait sur la valeur «nihl». En clair, les tickets de taxation disparaissaient. Le poste numéro 3, se faisant appeler après un tel double renvoi, bénéficiait d'une communication gratuite pour l'appelant. Le risque d'un manque à gagner pour l'opérateur télécom utilisant ces équipements était flagrant. Sauf que le «bug» n'était connu que d'un petit groupe d'experts qui considéraient le strict respect de la confidentialité de certaines informations comme étant une règle essentielle de bonne conduite professionnelle. Le tout se commentait donc ainsi en 1992 au sein de la communauté des experts internationaux des réseaux intelligents réunis en congrès en Gironde au cours d'un fastueux dîner payé par France Télécom dans le Château de Wayre, après une dégustation des meilleurs crus offerte par la Mairie de Bordeaux. L'information était même confiée à des journalistes participant à ce congrès, sous le couvert du célèbre «off the record», et tout en restait là! Tout le monde a vécu sans problème avec cette faille, sans la corriger pendant de nombreuses années. Constructeurs et opérateurs s'entendaient pour accepter de vivre avec ce risque, en plaçant l'information sous le sceau du secret professionnel et en considérant que la correction serait trop coûteuse pour une menace aussi faible, puisque la possibilité d'attaque était inconnue du public Un changement de comportement avec les vulnérabilités informatiques Tout est désormais radicalement différent. Une vulnérabilité découverte fait l'objet de communication immédiatement relayée par tous les moyens de la communication moderne de l'internet. Peu de notion de confidentialité subsiste. Une éthique veut toutefois encore que la publication ne soit faite que lorsque la correction de la faille a été réalisée par l'éditeur, ou qu'une solution de contournement de la faille est identifiée. Cette éthique est heureusement souvent respectée. Mais le jeu collectif de certaines communautés de chercheurs ou de développeurs est bel et bien la recherche des failles de certains éditeurs, allant parfois au-delà de ce que la loi autorise en pratiquant la décompilation de 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 18/191

19 logiciels, et menaçant, tels des maîtres chanteurs, de publier la faille si la correction n'est pas développée dans les plus brefs délais par l'éditeur. Le nombre de vulnérabilités découvertes et publiées ne fait qu'augmenter. Il existe toutefois aujourd'hui un débat sur le bien-fondé de la recherche des vulnérabilités. La loi a désormais défini des limites aux possibilités de recherche de vulnérabilités à des fins de hacking. Le délit existe donc avant même l'attaque dès la préparation possible de l'attaque. De nombreuses communautés de chercheurs se sont élevées contre ces interdictions et ont affirmé que la recherche devait être libre et sans contrainte pour faire progresser la qualité des logiciels. C'est pour nombre de chercheurs de bonne foi un objectif réel, louable et légitime. Le débat a suscité de nombreuses passions et parfois provoqué des prises de positions extrêmes. Toute l'ambiguïté du débat porte autour de l'appréciation de qu'est une fin légitime de recherche de vulnérabilité. Suivant sa finalité, la recherche est autorisée ou est qualifiée de criminelle par la loi. Le législateur ne tranche pas et laisse le soin de l'interprétation à l'application de la loi. Le débat est donc loin d'être clos. Les failles concernent tous les systèmes et tous les éditeurs de logiciels. Linux n'est pas nécessairement mieux loti que Microsoft sur ce plan. La communication de chaque communauté d'informaticiens s'apparente parfois à des guerres de clochers inutiles. nombre de vulnérabilités Q-3Q Les «exploits» Nombre de vulnérabilités répertoriées par les CERT Après la publication de la vulnérabilité, la manière avec laquelle on peut exploiter la faille devient une sorte de second challenge pour certaines communautés qui vont chercher à s'illustrer avec de nouvelles publications et revendiquer leurs exploits respectifs. Tout circule à grande échelle et sans délai sur le Web et les forums de discussions. Le monde est devenu très bavard, les «bugs» et failles sont mis à nu devant tout le monde et les programmes d'attaques, dénommés «exploit» affichés aux yeux de tous et signés par leurs auteurs, qui utilisent souvent par prudence des pseudonymes connus seulement par leurs pairs. L'excitation de la recherche, la communication et une certaine vantardise poussent le système. Le débat sur le bien-fondé de la publication des «exploits» est esquissé par les nouveaux textes législatifs. La loi comprend désormais des possibilités de restreindre ces publications. Des chercheurs déclarent par ailleurs utiliser ces exploits à des fins de tests, pour vérifier si une vulnérabilité est présente. Là encore, la notion de fin légitime apparaît. Le législateur n'a pas apporté de définition et les magistrats pourront interpréter Les parades Pour le responsable sécurité, tout le problème réside donc dans la mise à jour des correctifs de sécurité, ou les modifications des configurations pour palier les vulnérabilités. Nous sommes dans une véritable course à la mise en œuvre des correctifs avant que les failles ne soient exploitées Les attaques exploitant les vulnérabilités Plusieurs attaques sont en effet à craindre. Le premier type d'attaque relève du hacker isolé qui va s'en prendre à une machine pour le plaisir, et parfois sans grand géni. Cette personne surveille la publication des failles de sécurité, recherche les «exploits» rédigés et publiés par d'autres en toute impunité sur le Web et mène ensuite son jeu 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 19/191

20 pour bloquer une machine, lire des informations confidentielles, changer des données ou prendre le contrôle d'une machine pour lui faire exécuter ce qu'il veut. Le hacker se comporte parfois en pensant que le coupable est en fait le responsable du système d'information qui n'a pas mis à jour ses logiciels, lui-même ne faisant que jouer. L'inconscience est donc parfois la source de graves préjudices. Il peut toutefois également s'agir d'espionnage industriel ou d'actes mafieux, sans aucun caractère ludique, mais avec des enjeux financiers bien réels. Le second type d'attaque est plus industriel et consiste à utiliser des vers pour mener à grande échelle une attaque sur un nombre non limité de machines en un minimum de temps. Quelques exemples de telles attaques sont les vers «Slammer», «Blaster» ou encore «Sasser». Très connus dans l'univers Microsoft Windows, les attaques de hackers ou des vers peuvent aussi être conçus pour utiliser les vulnérabilités de tout autre machine : Linux, Unix, mais aussi des routeurs, commutateurs, PDA ou téléphones portables. Nous n'oublierons pas également qu'aujourd'hui des équipements téléphoniques sous IP, les IPBX ou PABX IP, sont d'abord et avant tout des équipements data, fonctionnant sous des OS Windows, Linux ou Unix et qu'à ce titre ils sont aussi vulnérables qu'un PC. D'autres équipements peuvent aussi être concernés, bien que l'on y pense moins souvent : les imprimantes, dont les disques et mémoires peuvent contenir des informations confidentielles, et tous les équipements ou solutions sur appliances, tels que les firewalls, solutions de filtrage applicatif, enregistrement de vidéosurveillance numérique, etc La difficulté des corrections La correction des vulnérabilités n'est pas un exercice anodin. Lorsqu'ils existent, les correctifs, ou patches en anglais, proposés par les éditeurs sont parfois incompatibles avec d'autres applications mises en œuvre sur la même machine. En fermant un «trou de sécurité», il est en effet possible que l'on bloque une seconde application, qui utilise, sans penser à mal, les particularités de la première application vulnérable. Les «trous de sécurité» apportent en effet parfois certaines souplesses que les développeurs peuvent utiliser de façon légitime. Il faut alors développer un second correctif à appliquer sur la seconde application pour qu'elle fonctionne avec le patch appliqué sur la première. Une autre solution consiste parfois à développer un second patch qui va corriger le premier patch et permettre un inter-fonctionnement satisfaisant des deux applications. On patch alors le patch. Tout ceci prend naturellement du temps. L'entreprise doit choisir entre rester vulnérable ou bloquer certaines applications. Le sujet n'est pas simple. La gestion des vulnérabilités relève de questions d'organisation, de définition de processus et d'emploi d'outils adaptés que nous présentons, notamment au paragraphe «Scanners de vulnérabilités» de cet ouvrage Les faiblesses du Web Auteur : Sami Jourdain (Deny All) Par son étendue, sa richesse de contenu et sa simplicité d utilisation, l Internet est une mine d informations pour les entreprises et un média sans précédent pour faire connaître les informations mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l Internet, l utilisateur peut accéder à des millions de pages Web, et peut, à l aide de portails et de moteurs de recherche, obtenir l information qui lui est nécessaire dans le cadre de son travail, au moment où il en a besoin (caractéristiques d un produit, liste de prix, conditions de vente, contacts, plan d accès ) Les menaces sur les applications Web Les entreprises continuent de déployer de nouvelles applications Web afin d augmenter l efficacité de leurs échanges avec leurs clients, employés, fournisseurs et partenaires, de générer des revenus additionnels et de réduire leurs coûts. Tous les départements de l entreprise bénéficient de l ouverture au Web : sites de e-commerce et de gestion de la relation client, automatisation de la chaîne achats, production, logistique, télétravail, webmail Confirmant cette tendance, les principaux éditeurs livrent maintenant leurs logiciels tels que SAP, Peoplesoft, Notes, Outlook, Siebel, avec interface Web incluse. En multipliant les accès Web via internet, extranet et intranet, les entreprises fournissent à des utilisateurs malveillants de nouveaux points d entrée à leurs applications. Avec l aide d un simple 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 20/191

Livre ouvert sur la sécurité

Livre ouvert sur la sécurité Livre ouvert sur la sécurité Issu d un travail commun du Centre Français de réflexion sur la sécurité des systèmes d information 4 nov 2004 4 nov 2004 etna Voir en dernière page pour les droits de reproduction

Plus en détail

Livre ouvert sur la sécurité

Livre ouvert sur la sécurité Livre ouvert sur la sécurité Issu d un travail de groupe de la commission sécurité de l etna 20 oct 2004 20 oct 2004 etna Voir en dernière page pour les droits de reproduction 1/148 Ont participé, à ce

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Les PME parlent aux PME

Les PME parlent aux PME Les PME parlent aux PME Retour d expériences de 10 PME ayant mis en place la méthode ULYSSE Préambule Réalisation d une étude exploratoire auprès de 10 PME ayant utilisées au cours des derniers mois la

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à

Plus en détail

Enjeux et perspectives en sécurité

Enjeux et perspectives en sécurité Enjeux et perspectives en sécurité Capital-IT 13 avril 2005 Hervé Schauer Hervé Schauer Hervé Schauer Consultants Société de conseil en sécurité informatique depuis 1989 Prestations

Plus en détail

Le nomadisme et la sécurité : Enjeux et solutions et cas spécifique des Smartphones

Le nomadisme et la sécurité : Enjeux et solutions et cas spécifique des Smartphones Be safe anywhere Le nomadisme et la sécurité : Enjeux et solutions et cas spécifique des Smartphones OSSIR - Groupe RESIST - 31 mars 2011 Contact Clément Saad E mail : saad@pradeo.net Editeur de solutions

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

L informatique au service des PME!

L informatique au service des PME! L informatique au service des PME! Maintenance La Matériel perte e Informatique de extern données Informatique est un vrai cauchemar La Sauvegarde perte e extern données externalisée est de un données

Plus en détail

Enjeux de la sécurité des réseaux

Enjeux de la sécurité des réseaux HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Enjeux de la sécurité des réseaux Séminaire Inkra Networks 14 octobre

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Sécurité informatique : sensibiliser votre personnel

Sécurité informatique : sensibiliser votre personnel En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89

DOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Sécurité des Postes Clients

Sécurité des Postes Clients HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection. Thierry Rouquet Président du Directoire

Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection. Thierry Rouquet Président du Directoire Systèmes d'information, mobilité, convergence voix/données Menaces et moyens de protection Thierry Rouquet Président du Directoire IHEDN 27 Mars 2007 AGENDA 1. Arkoon Network Security 2. Les enjeux de

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Menaces et sécurité préventive

Menaces et sécurité préventive HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18

Plus en détail

Sécurisation des données

Sécurisation des données Sécurisation des données 1 Sommaire Introduction Les données informatiques et ce qu il faut savoir. Comment faire? Les solutions. Démo Présentation de deux logiciels Conclusion Pour conclure ce qu il faut

Plus en détail

Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir?

Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir? Quelles sont les menaces contre le poste de travail informatisé et comment s en prémunir? Michel Futtersack, Faculté de Droit, Université Paris Descartes, Sorbonne Paris Cité Tout système informatique

Plus en détail

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé

Plus en détail

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE PROFIL DE POSTE BAP : CORPS : NATURE : SPÉCIALITÉ : E ITRF Externe IGR 2, Chef de projet développement ÉTABLISSEMENT : Rectorat SERVICE : VILLE : SERIA (service informatique académique) DESCRIPTION DU

Plus en détail

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de 1 2 «Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de Copie, seules les références bibliographiques peuvent

Plus en détail

Sensibilisation à la sécurité

Sensibilisation à la sécurité Sensibilisation à la sécurité informatique Sébastien Delcroix Copyright CRI74 GNU Free Documentation License 1 Attentes de son système Disponibilité d'information Intégrité de ses données

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Livre ouvert sur la sécurité

Livre ouvert sur la sécurité Livre ouvert sur la sécurité Issu d un travail de groupe de la commission sécurité de l etna 28 juillet 2004 28 juillet 2004 etna Voir en dernière page pour les droits de reproduction 1/98 Ont participé,

Plus en détail

Sécurité e-mail : Guide de l acheteur

Sécurité e-mail : Guide de l acheteur Sécurité e-mail : Guide de l acheteur Introduction La quantité croissante de données sensibles et personnelles envoyées par e-mail accentue le risque de fuites et de piratages de données dans des proportions

Plus en détail

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL En dépit du succès grandissant des outils de communication en

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès )

Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Guides des bonnes pratiques de sécurité informatique pour une STA ( Solution Technique d'accès ) Sommaire 1. Protection de son matériel et de ses données Création d'un utilisateur avec mot de passe compliqué

Plus en détail

LAN Intégré : accéder

LAN Intégré : accéder LAN Intégré : accéder accédez à votre réseau local sans contrainte de lieu ni de temps La solution WLAN (Wireless Local Area Network) pour réseaux locaux sans fil fonctionne de la même manière que les

Plus en détail

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine La présente charte définit les règles d usages et de sécurité que l Université de Lorraine

Plus en détail

ÉLABORER ET FAIRE APPLIQUER UNE CHARTE DE SÉCURITÉ INFORMATIQUE

ÉLABORER ET FAIRE APPLIQUER UNE CHARTE DE SÉCURITÉ INFORMATIQUE Lorraine ÉLABORER ET FAIRE APPLIQUER UNE CHARTE DE SÉCURITÉ INFORMATIQUE Une charte informatique définit les règles d utilisation du système d information (équipements, logiciels, messagerie, fichiers

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité

Symantec Protection Suite Enterprise Edition for Gateway Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Fiche technique: Sécurité de la messagerie Sécurité maximale de la messagerie, du Web et du réseau avec un minimum de complexité Présentation protège les données confidentielles et garantit la productivité

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

Sécuriser les achats en ligne par Carte d achat

Sécuriser les achats en ligne par Carte d achat Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

Propagation virale sur le Web Le ver BackTrack

Propagation virale sur le Web Le ver BackTrack Propagation virale sur le Web Le ver BackTrack Althes (http://www.althes.fr) Revision 1 - December 2002 Vincent Royer 1. Introduction Au cours de ces dernières années, un certain nombre

Plus en détail

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE QUALITE 2 UNE ORGANISATION PROFESSIONNELLE FORTE ET GARANTE DE SES MEMBRES 3 NOTRE SMQ

SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE QUALITE 2 UNE ORGANISATION PROFESSIONNELLE FORTE ET GARANTE DE SES MEMBRES 3 NOTRE SMQ Manuel Qualité 5 place du Rosoir 21000 DIJON Tél. : 03.80.59.65.20 Fax : 03.80.53.09.50 Mèl : contact@bfc.experts-comptables.fr www.bfc.experts-comptables.fr SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement

Forum panafricain sur le leadership et le management de l action gouvernementale. Forum des secrétaires généraux de gouvernement Centre Africain de Formation et de Recherche Administratives pour le développement Fondation pour le Renforcement des Capacités en Afrique (ACBF) Forum panafricain sur le leadership et le management de

Plus en détail

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY

Plus en détail

Présenté par : Mlle A.DIB

Présenté par : Mlle A.DIB Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans

Plus en détail

SOMMAIRE. La dématérialisation de la production comptable : Théorie. AVANT / APRES la mise en place d une solution de dématérialisation

SOMMAIRE. La dématérialisation de la production comptable : Théorie. AVANT / APRES la mise en place d une solution de dématérialisation SOMMAIRE Préambule P. 3 La dématérialisation de la production comptable : Théorie Définition Enjeux Objectifs Investissements Processus de dématérialisation AVANT / APRES la mise en place d une solution

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

«ASSISTANT SECURITE RESEAU ET HELP DESK»

«ASSISTANT SECURITE RESEAU ET HELP DESK» «ASSISTANT SECURITE RESEAU ET HELP DESK» FORMATION CERTIFIANTE DE NIVEAU III CODE NSF : 326 R INSCRIT AU RNCP ARRETE DU 31/08/11 JO DU 07/09/11 - OBJECTIFS Installer, mettre en service et dépanner des

Plus en détail

Affaires générales Ministère de la Culture et de la Communication - 01/2012 165

Affaires générales Ministère de la Culture et de la Communication - 01/2012 165 Ministère de la Culture et de la Communication - 01/2012 165 COORDONNATEUR D ADMINISTRATION GÉNÉRALE Code : ADM01 Coordonnateur d administration générale FPEADM01 Il organise, coordonne et supervise le

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

IT Security Boxes l assurance vie des données informatiques

IT Security Boxes l assurance vie des données informatiques IT Security Boxes l assurance vie des données informatiques Sauvegarde et protection des données informatiques au service du Plan de Reprise d Activité (PRA) France Sommaire Pourquoi sauvegarder le patrimoine

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Une nouvelle approche globale de la sécurité des réseaux d entreprises Une nouvelle approche globale de la sécurité des réseaux d entreprises Kaspersky Open Space Security est une suite de produits de sécurité couvrant tous les types de connexion réseau, des appareils mobiles

Plus en détail

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0

Rapport de certification ANSSI-CSPN-2012/05. Routeur chiffrant Navista Version 2.8.0 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2012/05 Routeur chiffrant

Plus en détail

Malveillances Téléphoniques

Malveillances Téléphoniques 28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre

Plus en détail

Serveur de messagerie

Serveur de messagerie Serveur de messagerie 2 Kerio Connect est un serveur de messagerie qui offre une puissante protection contre les virus et le spam et permet un accès sécurisé aux emails. Alternative digne de ce nom à Microsoft

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS

Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche. Sommaire. I. Problématique du nomadisme au CNRS Université de Corse DESS ISI Étude des solutions de connexion pour postes nomades dans le contexte d'un laboratoire de recherche Manuel BERTRAND Septembre 2004 Sommaire I. Problématique du nomadisme au

Plus en détail

Charte d'usage des TIC

Charte d'usage des TIC Schéma Informatique Ministériel Groupe Chartes d usage des TIC Introduction Charte d'usage des TIC Le développement et la diffusion au sein du MINEFI des nouveaux moyens de communication et d information

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012 LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste

Plus en détail

Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor )

Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) Comment protéger ses données? Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) 1 27 Septembre 2013 OpenSphere // Sommaire La protection des données 1. De quoi parlons-nous? 2.

Plus en détail

Pandémie : comment assurer la continuité d activité de l entreprise?

Pandémie : comment assurer la continuité d activité de l entreprise? Pandémie : comment assurer la continuité d activité de l entreprise? Les entreprises françaises sont peu préparées à affronter une éventuelle pandémie Le concept de plan de continuité d activité n est

Plus en détail

Piratage Télécom : Comment se protéger?

Piratage Télécom : Comment se protéger? Piratage Télécom : Comment se protéger? Rhénatic Pôle de Compétences TIC d Alsace, créé en octobre 2006 Un réseau d une centaine d entreprises numériques alsaciennes, issus de tous les métiers des TIC

Plus en détail

Air & Défense Sécurité des Systèmes d Information Faire Face à la «WAR INFORMATION»

Air & Défense Sécurité des Systèmes d Information Faire Face à la «WAR INFORMATION» Sécurité des Systèmes d Information Faire Face à la «WAR INFORMATION» VINCI Energies Agenda - L Environnement - L Offre d Audit et de Conseil Vision globale de la sécurité du S.I Audits de vulnérabilités

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

La Gestion Electronique des Documents

La Gestion Electronique des Documents La Gestion Electronique des Documents La mise en place d une solution La gestion de l information est devenue un enjeu stratégique majeur à l intérieur des organisations. D après l observation des projets

Plus en détail

Présentation de la stratégie nationale pour la sécurité du numérique

Présentation de la stratégie nationale pour la sécurité du numérique Présentation de la stratégie nationale pour la sécurité du numérique Maison de la chimie Paris 16 octobre 2015 Allocution de Manuel VALLS, Premier ministre Seul le prononcé fait foi Madame la ministre,

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

vendredi 8 juillet 2011

vendredi 8 juillet 2011 PROCESSUS DE CERTIFICATION ELECTRONIQUE AU BURKINA FASO 1 Sommaire Contexte de la CE Aspects techniques Réalisations et futurs projets de l ARCE Types et domaines d utilisation de certificats Procédures

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable PASSEPORT DE CONSEILS AUX VOYAGEURS Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable Ce passeport de conseils aux voyageurs a été initialement réalisé par l Agence nationale

Plus en détail

Traitement des Données Personnelles 2012

Traitement des Données Personnelles 2012 5 ème Conférence Annuelle Traitement des Données Personnelles 2012 Paris, le 18 janvier 2012 Les enjeux de protection des données dans le CLOUD COMPUTING Xavier AUGUSTIN RSSI Patrick CHAMBET Architecte

Plus en détail

CHARTE WIFI ET INTERNET

CHARTE WIFI ET INTERNET PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

INTRODUCTION AU CHIFFREMENT

INTRODUCTION AU CHIFFREMENT INTRODUCTION AU CHIFFREMENT Par Gérard Peliks Expert sécurité Security Center of Competence EADS Defence and Security Avril 2008 Un livre blanc de Forum ATENA Un livre blanc 1 / 6 SOMMAIRE INTRODUCTION

Plus en détail

La sécurité informatique

La sécurité informatique La sécurité informatique c'est quoi au juste? CAID's Delémont - 2 mars 2009 Par Bruno Kerouanton http://bruno.kerouanton.net/blog Les pirates... au début Qui : adolescents isolés Moyens : légers. Motivation

Plus en détail

La sécurité informatique

La sécurité informatique Plusieurs risques peuvent affecter un système informatique : - Les risques accidentels : incendie, panne, catastrophes naturelles, - Les risques liés à des erreurs : d utilisation ou dans la conception

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail