La sécurité à l usage des décideurs. La sécurité. à l usage des décideurs. 22 nov 2004
|
|
- Pierre-Yves Bruneau
- il y a 8 ans
- Total affichages :
Transcription
1 La sécurité à l usage des décideurs 22 nov 2004 Centre Français de réflexion sur la sécurité des systèmes d information Collection Ténor etna France Ouvrage collectif sous la direction de Gérard Péliks.. Ont contribués à la rédaction de ce livre : Jean-Philippe Bichard, Matthieu Bonenfant, Olivier Caleff, Bernard Carayon, Hervé Chappe, Patrick Chrisment, Dominique Ciupa, Philippe Clost, Anne Coat-Rames, Max de Groot, Alexis Ferrero, Franck Franchin, Jean-Denis Garo, Laurent Germain, Michèle Germain, Gabriel Gross, Michel Habert, Juan Antonio Hernandez, Olivier Itéanu, Sami Jourdain, Thierry Karsenti, Alexandre Le Faucheur, Gérard Peliks, Frédéric Pierre, Pierre-Luc Refalo, Philippe Robin, Thierry Rouquet, Eleonore Sichel-Dulong, Gérald Souyri, Alain Thibaud 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 1/191
2 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 2/191
3 Le mot du Président de l etna France Les solutions de sécurité, pour être efficaces, doivent être accompagnées d'une sensibilisation et d'une responsabilisation de ceux qui en bénéficient. Votre système d'information sera vraiment protégé quand chacun de vos utilisateurs sera devenu un maillon fort de votre chaîne de sécurité. En d'autres termes, tant qu'il existera dans le monde virtuel, par le fait des failles dans les logiciels, des cyber criminels et des utilisateurs naïfs qui mettent en danger votre réseau, vos serveurs et les informations qu'ils contiennent, ce travail commun du Centre français de réflexion sur la sécurité des systèmes d information, créé au sein de l'etna France, pourra se révéler très utile. Edmond Cohen, Président de Western Telecom, ecohen@western.fr Le mot de la Représentante du centre français de réflexion sur la sécurité des systèmes d information auprès du Conseil d Administration de l etna France Je félicite ce groupe de travail, devenu le Centre français de réflexion sur la sécurité des systèmes d information, devant la passion qu il a prouvée, dans la rédaction de cet ouvrage. Il s'agit de technologies concurrentes, de personnes d'environnements hétérogènes où tout le monde a consacré beaucoup d'énergie et d'enthousiasme à ce qui représente un des enjeux majeurs de ce nouveau siècle, la sécurité et la protection des flux d'informations. Un remerciement particulier à tous les auteurs qui ont contribué à réaliser un livre qui sera certainement très utile et aussi à nos sponsors qui nous permettent en finançant les travaux d édition de le produire sous format papier. Lizzie Cohen-Laloum, Sales Director, Southern Europe, F5 Networks, l.cohen-laloum@f5.com Le mot du Président du centre français de réflexion sur la sécurité des systèmes d information Le mot du hacker Le pari un peu surréaliste d écrire un livre ouvert sur la sécurité à destination des décideurs non-spécialistes de ces technologies à partir des inputs des meilleurs acteurs de la sécurité des systèmes d information sur le marché français a été lancé dès la création de la commission sécurité de l etna France. Son ambition est d évangéliser le monde des télécoms sur les diverses facettes de la sécurité des systèmes d information et des réseaux avec l assurance que la diversité de ses auteurs a apporté la richesse de cet ouvrage et son adéquation au but recherché. Gérard Péliks, EADS Defence and Communications Systems Ce qui me gênerait le plus, ce serait que vos utilisateurs perdent leur naïveté face aux menaces de l Internet. Quand j attaque votre système d information, soit pour jouer avec, soit pour vous nuire, soit pour l utiliser comme relais pour réaliser d autres attaques, je dois pouvoir compter sur leur inconscience des dangers qui les guettent. Si la dimension sécurité entrait dans l esprit de mes victimes potentielles, je passerais beaucoup plus de temps pour que mes attaques aboutissent et le temps reste mon principal ennemi. Je risque en effet de me faire pincer et je sais que j encours de lourdes sanctions pénales si vous portez plainte contre moi. Un livre de la nature de celui-ci va donc rendre ma tâche encore plus difficile et surtout plus risquée. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 3/191
4 La sécurité L intelligence économique La cybercriminalité ANALYSE DES GRANDES TENDANCES 2004 / Les principaux enjeux 2004 / Pourquoi se protéger? E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? LES MENACES LES VULNERABILITES Une histoire qui remonte à la nuit des temps Un changement de comportement avec les vulnérabilités informatiques Les «exploits» Les parades Les attaques exploitant les vulnérabilités La difficulté des corrections Les faiblesses du Web LES ATTAQUES Le vol d informations Les accès non autorisés Les dénis de services Les attaques sur la messagerie Les attaques sur le Web Les attaques par le système d exploitation Les attaques combinées LES LOGICIELS ESPIONS, VIRUS ET AUTRES MALWARES Les éléments malfaisants Face au virus Mydoom.A Les logiciels espions LE CAS DU RESEAU SANS FIL La "révolution" radio Les préoccupations de l Administrateur Réseau Risques et attaques L INGENIERIE SOCIALE LE CYBER RACKET La prolifération des risques Les approches Un exemple Les règles à suivre LES ATTAQUES AUXQUELLES ON NE PENSE PAS TOUJOURS Le spim Le googlebombing Les attaques sur les téléphones portables Les attaques sur les photocopieurs Le Peer-to-Peer Les contre-mesures et moyens de défense LES FIREWALLS BASTION Les paramètres pour filtrer les données A quel niveau du paquet IP le filtrage doit-il se situer? Le masquage des adresses IP du réseau interne Les zones démilitarisées Firewall logiciel ou firewall matériel? En parallèle ou en série? Sous quel système d exploitation? LE FIREWALL APPLICATIF Des attaques sur les applications Web en forte croissance nov 2004 etna France Voir en dernière page pour les droits de reproduction 4/191
5 3.2.2 Les limitations des solutions de sécurité traditionnelles Le Firewall Applicatif ou Reverse Proxy Applicatif LE FIREWALL PERSONNEL L AUTHENTIFICATION FORTE L authentification et la chaîne de sécurisation Le rôle de la carte à puce dans l authentification Exemples actuels d utilisation de carte à puce Conclusion LA BIOMETRIE Introduction Identification Méthodes biométriques Précision Applications des techniques biométriques LE CHIFFREMENT ET LA CRYPTOGRAPHIE Introduction Cryptage symétrique Cryptage asymétrique La signature électronique Combinaison des techniques LA STEGANOGRAPHIE Le but de la stéganographie Dissimuler l information dans une image Dissimuler l information dans un texte LES VPN Les VPN IPSec Les VPN-SSL ou l accès distant sécurisé nouvelle génération VPN IPSec ou SSL: Les critères de décision LE CHIFFREMENT DES DONNEES SUR DISQUE LES INFRASTRUCTURES A CLE PUBLIQUE (PKI) Certificats Numériques et Autorités de Certification Applications de la PKI Certificats Numériques Autorité de Certification (CA, Certification Authority) LA PREVENTION D'INTRUSIONS Les limites de la détection Qu est-ce que la prévention? Périmètre d action d un système de prévention Les moteurs d analyse Performances du système LES ANTI (VIRUS, SPAMS, SPYWARES) Les antivirus Les antispams Les anti spywares SECURITE ET MOBILITE LE FILTRAGE DE CONTENU INTERNET L ERADICATION DES LOGICIELS ESPIONS LES POTS DE MIELS La gestion de la sécurité LA GESTION CENTRALISEE DE LA SECURITE Introduction Caractéristiques d un système de gestion centralisé de la sécurité Le système d administration (SOC- Security Operations center) Les opérations La surveillance La supervision Le contrôle La sécurité et l administration du centre de gestion de la sécurité nov 2004 etna France Voir en dernière page pour les droits de reproduction 5/191
6 4.1.9 Fonctionnement d un centre de gestion centralisé de la sécurité Garanties de sécurité Standards et Modèles de référence utiles LES SCANNERS DE VULNERABILITES Un sujet technique et une question d'organisation Les technologies de recherche de vulnérabilités Les usages des scanners de vulnérabilités La gestion des correctifs CONTEXTE PRINCIPE DE TRAITEMENT DES CORRECTIFS DE SECURITE la phase amont Le déploiement La phase de suivi ÉLEMENTS COMPLEMENTAIRES OU SPECIFIQUES le facteur temps Les systèmes qui ne peuvent pas être pris en compte CONCLUSION Les réseaux particuliers APPLICATIONS A LA VOIX SUR IP Architecture d'un système VoIP Les risques Les attaques Fonctions LA SECURITE DU CENTRE D APPELS Le centre d appels Les enjeux Une double actualité : Les risques : Les chaînons Les solutions : LA SECURITE DES RESEAUX SANS FIL Le problème du WEP Les contre-mesures de base Les évolutions du protocole : WPA et i Application Autres technologies LA VIDEOSURVEILLANCE SUR IP La convergence des ressources et l optimisation des systèmes Exemple d application : la vidéosurveillance sur IP : Une architecture de sécurité de bout en bout LES EQUIPEMENTS DE SECURITE MULTIFONCTION Le développement du marché des Network Security Appliance Les menaces polymorphes Les limites de l approche «best of breed» Les avantages de l approche multifonction Le développement du marché de l appliance multifonction LA SECURITE DE BOUT EN BOUT POUR LES SESSIONS VPN DISTANTES Identification des risques Correction des lacunes de sécurité Approche intégrée Amélioration de la sécurité par l administration Résumé LE SINGLE SIGN ON Origines du Single Sign-On Pourquoi le Single-Sign-On? Aperçu des solutions existantes LA CONTINUITE D ACTIVITE L objectif de la continuité d activité d une entreprise nov 2004 etna France Voir en dernière page pour les droits de reproduction 6/191
7 7.4.2 De quelle continuité a besoin l entreprise? Construire le Plan de Continuité d Activité (PCA) dont l entreprise a besoin Une construction méthodique du PCA L entreprise tout entière doit faire vivre son PCA Le PCA comme une boîte à outils pour faire face à d autres situations DE LA CORRELATION ENTRE SECURITE PHYSIQUE ET SECURITE LOGICIELLE La sécurité physique et logique aujourd hui Les enjeux et la problématique La solution Les aspects juridiques et humains LE RSSI AT IL ENCORE DROIT AU SOMMEIL? Le RSSI coincé entre le marteau et l enclume de la loi De quelques précautions juridiques à prendre QUELQUES CAS JUGES ET QUI ONT FAIT JURISPRUDENCE L arrêt Nikon L Ecole de Physique et Chimie Industrielle de Paris L affaire Escota POLITIQUE ET REFERENTIELS DE SECURITE Préambule Fondamentaux Des principes fondateurs L organisation dans le cadre politique Une Charte et quatre politiques Des choix essentiels Synthèse LES RESPONSABILITES ET LES ACTEURS DE L ENTREPRISE Une nette orientation en faveur du juridique et du réglementaire RSSI : maîtriser les risques d une délégation de pouvoirs Quelle déontologie pour un cyber-comportement conforme avec les chartes Internet? Les certifications LES CERTIFICATIONS DES LOGICIELS ET DES MATERIELS (ITSEC, CRITERES COMMUNS) L'ISO Historique La structure de l'iso 17799: Comment l'utiliser? L'ISO : MODELE DE MATURITE DE L'INGENIERIE DE LA SECURITE Historique La structure du SSE-CMM( ) - ISO 21827: Les enjeux économiques de la sécurité : DES ATTAQUES QUI EVOLUENT DE L EXPLOIT TECHNOLOGIQUE A L APPAT DU GAIN SECURITE : QUELLES DEPENSES POUR QUELS USAGES? DU SENS DU ROI EN SECURITE DES SYSTEMES D INFORMATION Qu est-ce qu un ROI? Système d information, sécurité et ROI Calcul du ROI : un exercice difficile Un indicateur souvent inadapté Bibliographie et références GENERAL ATTAQUES ET MENACES VOIP CENTRE D APPELS WI-FI GESTION DES CORRECTIFS INGENIERIE SOCIALE JURIDIQUE LOISIRS Livres Films nov 2004 etna France Voir en dernière page pour les droits de reproduction 7/191
8 12 Glossaire ACRONYMES DÉFINITIONS Contributions à l écriture de ce livre nov 2004 etna France Voir en dernière page pour les droits de reproduction 8/191
9 1 L INTELLIGENCE ECONOMIQUE Auteur : Bernard Carayon, (Député du Tarn, Rapporteur du budget au Secrétariat Général de la Défense Nationale et du Renseignement à la Commission des finances) bcarayon@assemblee-nationale.fr L intelligence économique a connu en France depuis dix ans un sort assez désolant! Comprise tantôt dans son acception anglo-saxonne (le renseignement), tantôt comme une méthode antédiluvienne d entreprise au service des seuls intérêts marchands (la «veille» juridique, commerciale, technologique ), l intelligence économique est restée marginale dans la société française. Les efforts de quelques pionniers de talent ont été gâchés par les ratiocinations de théoriciens de second rang ou les vacations logomachiques de marchands du temple L Etat, lui-même, n a jamais produit le moindre corps doctrinal, restant aveugle, à de rares exceptions près, aux constructions intellectuelles et institutionnelles de nos grands concurrents. Dans l entreprise, l intelligence économique est restée cantonnée à des niveaux d exécution ; dans le système éducatif enfin, elle est restée une matière, sans accéder au statut de discipline universitaire. Durant dix ans, les Français ont ainsi confondu la fin et les moyens : le renseignement, la veille ne sont que des outils. L intelligence économique est une politique publique ; j en ai défini dans mon rapport le contenu, le périmètre, la finalité. Par la simple observation des dispositifs étrangers, et l adaptation à notre culture propre. Politique de sécurité, d abord : sécurité technologique, (celle des réseaux, des centres de recherches, des process industriels), sécurité juridique (dans l accès au capital, dans la protection des secrets d affaire, dans l identification d un périmètre stratégique de l économie française), sécurité commerciale Politique de compétitivité, ensuite : comment accompagner les entreprises dans la conquête des marchés mondiaux? Comment définir, conduire et valoriser les politiques de recherche et favoriser l innovation? Politique d influence : comment anticiper l évolution des normes, peser sur les décisions des organisations internationales? Comment identifier les nouveaux acteurs de la mondialisation? (ONG, fondations, fonds d investissement ) Politique de formation enfin : qui former, quel enseignement général, quel enseignement spécialisé? Cette politique publique- comme partout dans le monde, n est pas adaptée à tous les marchés : seuls les marchés que je qualifie de stratégiques (et que ni la doctrine, ni la théorie économique n ont identifiés!) sont concernés : ceux qui créent, en plus de la richesse et de l emploi, de la puissance et de l influence ; termes tabous! Tant pis. On reconnaîtra l aéronautique et le spatial, la défense, l énergie, la pharmacie, l industrie des technologies de la communication, de l information et de la sécurité, certains domaines de l industrie agro-alimentaire. La conquête de ces marchés, partout dans le monde, ne repose plus sur la qualité et le prix des produits et services, mais sur de nouveaux acteurs, de nouvelles méthodes. Comment expliquer les retards français? D abord par notre conception des relations commerciales internationales : autant nous sommes socio démocrates dans la définition de nos politiques économiques intérieures, autant nous sommes naïfs et libéraux dans le regard que nous portons sur les marchés mondiaux. Chez les anglo-saxons, c est exactement l inverse. Ensuite parce que l histoire des relations entre l administration et le monde économique est une histoire de contentieux, d incompréhension, voire de mépris mutuel. Or l intelligence économique repose sur le métissage des cultures, la définition de procédures de mutualisation de l information, l identification de convergences d intérêts. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 9/191
10 J ajouterai que nos élites politico- administratives ont une connaissance pour le moins réduite des ressorts réels du marché et plus encore, de la vie internationale. Enfin, la France n a pas de culture du renseignement. Les services dits «spécialisés» sont encore mal traités, budgétairement et administrativement, leur image est médiocre dans l enseignement supérieur, leur politique de communication nulle. Le regard des politiques lui-même est méfiant ; celui des grands chefs d entreprises dubitatif Quelles finalités pour cette politique publique, nouvelle comme l ont été au cours des vingt dernières années, la protection de l environnement et le développement durable? Identifier le périmètre stratégique de l économie française, cela veut dire se battre pour ce qui est essentiel. S affranchir des tutelles technologiques, comprendre qu il existe des métiers stratégiques dont certains sont concentrés entre les mains de nos grands concurrents (cabinets d avocats et d expertise comptable, d audit, de courtage d assurance, de normalisation et de certification). Associer capitaux publics et privés dans de nouveaux fonds dédiés au développement d entreprises spécialisées dans les technologies de l information, de la communication et de la sécurité, accentuer nos moyens dédiés à la recherche. Marier dynamiques publiques et privées pour conquérir des marchés, conduire l Europe vers de vraies stratégies industrielles, là où il n y a qu une politique concurrentielle entravant l essor de nos champions Autant de défis qui impliquent, pour paraphraser Paul Valery, un nouveau «regard sur le monde actuel». L Etat a tout à gagner à développer cette nouvelle politique. En termes d image : l intelligence économique est «moderne». En termes de fonction : privilégier la circulation de l information plutôt que sa rétention, valoriser celui qui donne plutôt que celui qui conserve, c est révolutionnaire! Pour les préfets, représentants de l Etat par excellence, comme pour les ambassadeurs, l intelligence économique constitue une merveilleuse opportunité. L occasion d être les pilotes d une réforme porteuse de sens, d être à coté des élus, des moteurs du développement économique dans ce qu il recèle de plus «fin» et de plus prospectif ; d être enfin les moteurs de la réforme administrative, la vraie, celle qui se veut au service de la Nation et non de ses corporatismes. Si de notables avancés peuvent être constatées un an après la remise de mon rapport au Premier ministre 1, il reste encore un long chemin à parcourir pour que l intelligence économique devienne en France une véritable politique publique. Le premier effet positif des débats qui ont suivi la publication de ces travaux fondés sur l écoute et le questionnement de près de quatre cents personnes est que l intelligence économique est mieux comprise aujourd hui, dans l administration et dans l entreprise, comme une approche stratégique en matière de compétitivité, de sécurité économique, d influence et de formation, plutôt que comme la simple mise en œuvre de techniques de traitement, d échange ou de protection de l information stratégique. L idée selon laquelle les critères de conquête des marchés ne sont pas toujours ceux que définit l économie libérale est également mieux partagée. Dans le jeu classique de la globalisation des échanges, pour les produits les plus courants, l entreprise augmente ses parts de marché par un avantage concurrentiel fondé sur le prix, la qualité de ses produits ou services, et une communication adaptée à sa cible. Il n en va pas de même dans certains secteurs stratégiques où les Etats interviennent fréquemment en faveur des entreprises nationales 2, en déployant, au besoin, les arguments financiers ou diplomatiques les plus frappants. 1 «Intelligence économique, compétitivité et cohésion sociale», La Documentation Française, Pour la définition d une entreprise nationale, on peut consulter par exemple le rapport du Commissariat général du Plan publié en 1999 et intitulé «La nouvelle nationalité de l entreprise dans la mondialisation» dans lequel cinq critères d évaluation sont proposés. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 10/191
11 Deuxième élément positif, la nomination au début de l année 2004 d un Haut Responsable à l intelligence économique par décret du Président de la République et placé auprès du Premier ministre a signé l engagement des pouvoirs publics sur ce sujet, même si son positionnement administratif final a donné lieu à de vraies interrogations quant à son efficacité, notamment dans le dialogue avec les entreprises 3. L actualité économique a montré que ce sujet est au cœur du développement de l industrie européenne. La constitution du troisième groupe pharmaceutique mondial et du premier européen SANOFI-AVENTIS - a pu s effectuer grâce aux efforts conjugués d un industriel visionnaire et d un Gouvernement audacieux. Les exemples de la consolidation du groupe ALSTOM défendue par le ministre de l Economie, des Finances et de l Industrie à Bruxelles et de la disparition de PECHINEY, absorbé par le canadien ALCAN (que l entreprise française n a pu racheter quelques années plus tôt en raison du veto de la Commission européenne) ont porté leurs fruits. En ce sens, la création annoncée en juin par le chancelier allemand d un groupe franco-allemand d entrepreneurs visant à promouvoir une politique industrielle commune, va dans le bon sens. L essentiel pourtant reste à accomplir. La situation sociale insupportable de trop nombreux compatriotes 4, la «découverte» du phénomène de délocalisations d entreprises ou plutôt de son accélération, y compris au sein de l Europe ; la poursuite des conséquences de la libéralisation des marchés par exemple la levée le 1 er janvier 2005 des quotas imposés en matière textiles à la Chine ; les contraintes et les opportunités que les préoccupations nouvelles en matière d environnement ou de développement suscitent : autant de facteurs qui devraient nous pousser à agir si nous ne voulons pas que la France ne soit demain qu un hypermarché au milieu d un champ de ruines sociales. La première urgence est de définir le «périmètre stratégique» de l économie française. Ce que nous devons défendre pour garantir une cohésion sociale menacée, ce que nous devons promouvoir pour assurer à nos enfants richesse intellectuelle et professionnelle. Les résultats de cette réflexion prospective doivent être connus de tous afin de permettre la création des filières éducatives et professionnelles nécessaires, de favoriser le ciblage des soutiens publics, d assurer la meilleure mobilisation des acteurs éducatifs, sociaux et économiques. Ce travail prospectif partagé et communiqué sera également un signe donné aux étudiants et aux jeunes professionnels dont l expatriation sonne comme une condamnation de l avenir de la France. Il encouragera également les entreprises étrangères à investir en France. Ce concept de périmètre stratégique de l économie française doit d ailleurs être décliné régionalement : à partir de leurs savoir-faire anciens ou plus récemment acquis, en fonction de leur localisation géographique, les régions n ont évidemment pas les mêmes atouts ou les mêmes fragilités. La dimension territoriale est un échelon essentiel de la mise en œuvre d une politique publique d intelligence économique. Si une stratégie nationale en ce domaine s oriente plus naturellement vers les grandes entreprises, c est bien au niveau régional que l action auprès des petites et moyennes entreprises et des entreprises régionales à envergure mondiale sera la plus efficace. Dans certains secteurs d activité, comme le textile par exemple, ce sont également ces entreprises qui se révèlent le plus exposées à la concurrence issue de la mondialisation. Dès l automne 2003, Nicolas SARKOZY, alors ministre de l Intérieur a compris le rôle majeur que les préfets en poste territorial et certaines directions du ministère de l intérieur peuvent jouer dans la réussite d une politique publique d intelligence économique. La mise en place d expérimentations régionales a été décidée et sa coordination confiée au Secrétaire général du ministère. Une orientation confirmée par Dominique de VILLEPIN qui a décidé de faire passer de cinq à sept le nombre de Régions initialement prévues avec l objectif de généraliser l expérimentation, en cas de succès, dès Cf. Mon rapport de la Commission des finances «Pour une stratégie de sécurité économique nationale» ( 4 Qui peut se satisfaire d une France dans laquelle un million d enfants ou d adolescents vivent sous le seuil de pauvreté INSEE rapportée par le quotidien «Le Monde» mars nov 2004 etna France Voir en dernière page pour les droits de reproduction 11/191
12 Le déroulement de ces expérimentations se heurtera vraisemblablement «sur le terrain» au double obstacle culturel qui fragilise notre pays depuis trente ans : la délégation administrative de la réflexion stratégique et le cloisonnement entre administrations. Comme il est fréquent pour les hommes politiques qui accèdent aux responsabilités exécutives, la «tyrannie du court terme» pourrait inciter les préfets de Région en charge ou les directeurs d administrations concernées à déléguer à un jeune «chargé de mission» la démarche méthodologique, l essentiel de la réflexion et l établissement de propositions. Ce n est pas la meilleure garantie de succès. Une des pistes ouvertes par mon rapport au Premier ministre propose la création de comités de pilotage régionaux d intelligence économique. Une telle structure dont la nature juridique importe peu - a l avantage de pérenniser l action engagée et d en assurer la nature collective : ce sont les croisements des expertises publiques et privées qui permettent d établir les meilleurs diagnostics, de définir les orientations et les actions à mettre en œuvre. C est également au sein de ce type de structure que l on évite la tentation de se limiter à quelques opérations d affichage et que la collaboration active entre services déconcentrés de l Etat peut être plus fluide. Parce qu il s agit d une politique régionale à inscrire dans le long terme qui comporte à la fois un volet industriel et scientifique mais également un volet social et éducatif, parfois culturel, parce qu il connaît le mieux les administrations du ministère de l intérieur utiles sur ces sujets, c est au préfet de Région qu il appartient d orienter, de coordonner et de suivre la réflexion stratégique, la mise en place des outils et des actions à mettre en œuvre. Son rôle-charnière d intermédiaire entre la politique de l Etat et l exécutif régional - qui doit être étroitement associé à toute démarche d intelligence économique - est essentiel. Nous pouvons nous montrer résolument optimistes. A côté de la mobilisation annoncée du Gouvernement et de l engagement des préfets dans les expériences régionales, de grandes entreprises françaises et européennes, conscientes des enjeux, ont choisi de soutenir la réflexion et l action sur des sujets directement liés à l intelligence économique. C est le sens de la Fondation d entreprises Prométhée que je crée et à laquelle j ai associé mon collègue de l opposition Jean- Michel BOUCHERON. Cet engagement collectif d entreprises au service de l intérêt général doit être pour nous source d exigences et d espoir.. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 12/191
13 2 LA CYBERCRIMINALITE Auteur : Jean-Philippe Bichard (NetCost&Security) redaction@netcost-security.fr Jusqu'alors les conflits opposaient des États basés sur des territoires. Aujourd'hui, et l'attaque du 11 septembre l'a rendu plus évident encore, on assiste à un affrontement entre les États d'un côté et les réseaux de l'autre (intégristes religieux, politique, mafias et cyber-mafias ). Cet attentat dramatique a clairement montré que ce n'était ni le nombre, ni la technologie qui prédominaient mais la maîtrise de l'information et la confiance que l on place en elle. Vous le savez, confiance et certification marchent ensemble. Les NTIC présentent de nouvelles vulnérabilités : des équipes peu nombreuses et ne disposant que de moyens limités, sont néanmoins susceptibles de créer de graves perturbations tant dans le domaine militaire que civil. 2.1 ANALYSE DES GRANDES TENDANCES 2004 / 2005 C est près d un milliard d hommes, de femmes et d enfants qui deviendront internautes d ici à Ils échangeront alors environ 35 milliards de messages par jour. Or, de sérieuses menaces pèsent sur ce secteur. En 2004, le cyber-racket ou chantage exercé par des cyber-bandes professionnels du cyber-crime pour extorquer de l argent aux entreprises après leur avoir dérobé des données sur leur système d information s est étendu. Ne parlons pas des spam, spim et autres vers qui envahissent désormais les objets nomades comme les téléphones portables et les agendas électroniques. Internet s est développé plus rapidement que n importe quel autre média. Depuis 1995, Internet connaît un succès foudroyant avec un trafic qui doublerait tous les 3 mois. Cette croissance exceptionnelle ne va pas sans problème. Le premier d entre eux, c est l absence de connaissances et d expertises sur le monde Internet, et surtout ceux de la E-Confiance et des Cyber-risques. La deuxième observation, c est la prise de risque stratégique que représente l absence d une politique de sécurité appliquée aux utilisateurs des systèmes d information. Trop d entreprises ignorent les menaces et les risques. Ils sont pourtant nombreux Les principaux enjeux 2004 / 2005 (Enquête NetCost&Security 2004) Technologiques : avec les conséquences de l usage du protocole IP devenu outil de référence pour les applications de messagerie et d échanges de données, le standard IP connu de tous est désormais présent au sein de tous les systèmes d information. PMI et PME ne sont pas encore en 2004 toutes raccordées à Internet. Si les usages liés aux procédures dématérialisées progressent, ces dernières demeurent en retrait face à un marché encore inquiet face aux menaces liées aux Cyber-risques via l Internet (attaques virales et ingénierie sociale). Enfin, si les notions de mises à jour commencent à êtres connues, les utilisateurs français souvent indisciplinés demeurent peu réceptifs aux règles de sécurité notamment sur les aspects liés aux mises à jour de bases de signatures et de patch (correctif) Économiques : la messagerie se substitue au téléphone l asynchrone au synchrone. A l échelle mondiale, 36 milliards de messages seront échangés au quotidien en Il y en avait 11 milliards en En 2004, l opérateur Wanadoo gère 20 millions de mails par jour. C est dire son importance en tant qu outil «positif» mais aussi vecteur de spams, rumeurs mais également éléments de preuves avec la signature électronique encore discrète mais techniquement opérationnelle. Le concept de Forensic computer ou la preuve via les NTIC est considéré comme une tendance majeure de N oublions pas le piratage des logiciels et la création de sites de stockage ou le téléchargement de logiciels: de plus en plus de logiciels sont disponibles sur le marché. Comme en 2003, les logiciels sont en 2004 souvent piratés pour servir d arme (la différence de connaissance entre les experts Cyber-risques et les attaquants s estompe) et téléchargés. En effet, de nombreux utilisateurs novices trouvent sur certains sites des «outils» de hacking ne nécessitant aucune connaissance particulière (ce qui ne réduit pas pour autant leurs effets). Autres tendances celles liées au piratage 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 13/191
14 d œuvres musicales et vidéo. Ce type de piratage inquiète sérieusement les «majors» du disque et de l industrie cinématographique en Des plaintes sont déposées et des groupes de pression se forment. Organisation de la malveillance : des attaques nouvelles faisant appel à des regroupements, de nombreuses attaques proviennent désormais d un regroupement effectué entre hackers et développeurs de codes malicieux. Avant 2003, les premiers étaient davantage «spécialisés» sur les attaques réseaux (couches basses) et les seconds sur les couches hautes (dites applicatives) en développant des codes malicieux qui exploitent les agendas des messageries pour accélérer leur propagation «consacrent» les attaques par codes malicieux de Mydoom à Sasser, la progression de l exploitation des failles non «patchées» devient inquiétante à tel point que de grands éditeurs comme Microsoft estiment que leurs priorités en sécurité en reposent sur l écriture de code sécurisé et la bonne gestion des «patch» par leurs grands clients. Les paradoxes des environnements ouverts : l environnement Open Source peut être profitable aux entreprises mais aussi à leurs attaquants (c est un des paradoxes de l open source). Cela dit, Linux et les outils Open source retiennent l attention de grands comptes. La forte poussée chez les décideurs de réflexions sur la conformité réglementaire et la veille juridique avec la notion de responsabilité de tiers (FAI, opérateurs, éditeurs ) et les problématiques liées à la délégation de pouvoir, certification, contrat des prestataires Dernier point rarement évoqué dans les études, les signes que donnent les utilisateurs «TECHNO- REBEL» se confirment face aux outils de Cyber-Surveillance et à des lois jugées «liberticides» par certains regroupements (utilisateurs d Internet, hébergeurs ). Ces nouvelles questions ne doivent pas être oubliées, elles sont le signe profond d un malaise chez bon nombre d utilisateurs. Ne sontils pas de plus en plus nombreux à se sentir «cyber-surveillés» sans de réelles explications? Un utilisateur malheureux dans son environnement peut concevoir de se révolter contre cet environnement. D où risque. Les premiers signes apparaissent avec la progression inquiétante des attaques internes confirme une tendance apparue en 2003 liée aux comportements. Les outils de traçabilité existent et inquiètent. Désormais des solutions de préventions liées à l anticipation des comportements apparaissent dans certaines entreprises afin d anticiper les comportements «à risque» et prévenir une menace. Surtout, le sacro-saint secret des correspondances privées est remis en cause par des RSSI bien décidés à faire valoir en priorité les précautions liées aux risques de menaces sur le patrimoine informationnel. D où l importance des chartes Internet de plus en plus précises liées au règlement d entreprise. Au sein des entreprises, la délinquance d utilisateurs internes «en col blanc» - ce sont eux qui ont accès à l information - augmente chaque année. En 2003 le nombre de menaces internes est considéré comme supérieur face aux attaques externes par les grandes entreprises nordaméricaines. En 2004, ces chiffres se confirment sans toutefois augmenter considérablement en raison de l application stricte des règles de politique de sécurité Pourquoi se protéger? La réponse est évidente : les sites gouvernementaux, les institutions, les universités et écoles, les banques, les industriels, les sites de commerce électronique ont tous connus des attaques sur leurs serveurs, sur leurs flux de transmission, sur leur Intranet et réseau interne, transactions Internet permet aux entreprises de tailles différentes de communiquer. C est le concept de l entreprise étendue. Les sous traitants doivent disposer de maillons de la chaîne de sécurité aussi robustes que ceux utilisés par les grands comptes avec qui ils travaillent. Dès lors, la politique de sécurité s étend à l extérieur du périmètre connu de l entreprise. Mais comment être certain que les règles propres à la politique de sécurité sont appliquées et correctement analysées? Idem pour les utilisateurs particuliers : Les opérateurs en 2003 et 2004 se préoccupent de plus en plus d offrir des solutions «packagées» de sécurité (anti-virus, anti-spam, contrôle parental, filtrage URL ). Fait nouveau : les opérateurs interviennent eux-mêmes pour réaliser des contrôles et en font connaître les résultats notamment auprès du grand public. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 14/191
15 AOL prétend que son système de «scan» automatique des pièces-jointes avait bloqué 500 millions de méls infectés par des virus, depuis son lancement mi-avril En moyenne, les 32 millions d'abonnés d'aol ont été individuellement protégés de l'attaque de 15 virus selon ce FAI. 2.2 E-SECURITE : DE QUEL MARCHE S AGIT-IL EN 2004? Les solutions de sécurité au sein des grandes entreprises mettent toutes en œuvre une partie ou généralement la totalité des mécanismes suivants : disponibilité des données et des systèmes d information (systèmes, réseaux, applications et services), des plans de secours et de continuité de services, les applications Cyber-risques et E-Confiance via des procédures d authentification, autorisation, intégrité, confidentialité et non-répudiation. De la sécurité informatique des années 80 à la sécurité du système d information des années 90 pour atteindre aujourd hui les rivages de la sécurité des informations/applications et des droits des utilisateurs avec les notions de patrimoine informationnel à valoriser via un référentiel de sécurité audité chaque trimestre, les Cyber-risques englobent de nombreux concepts en 2004 à commencer par la cyber-criminalité en forte progression. Plusieurs marchés composent le marché des Cyber-risques : celui de la sécurité applicative et des services Web, celui de la sécurité système et celui de la sécurité des infrastructures. Les Cyber-risques «applicatifs» confirment leur envol entamé en Selon le Gartner Group, 75 % des attaques provenant de l Internet s effectuent au niveau des couches applicatives. Le marché Cyber-risque reste difficile à cerner d autant qu il est crédité de chiffres controversés. Pour 2004, les enjeux liés à la Confiance viennent confirmer les tendances 2003 : les PME/PMI s intègrent de plus en plus aux systèmes d informations des grands comptes et les discours des Risk Managers évoluent de la technologie vers l usage de cette technologie avec les environnements indispensables : juridiques, réglementaires, économiques. Mais qu est ce que la e-confiance? Désormais, la gestion des risques majeurs et des utilisateurs l emporte sur les discours axés sur la «peur» et les solutions «totalement technologiques». Certains fournisseurs, éditeurs, intégrateurs dont le discours reste uniquement axé sur les technologies, vont devoir revoir leur copie en Deux mondes grandes entreprises et PME/PMI sont appelés à se rencontrer sur le terrain des Cyber-risques. En effet, le concept d entreprise étendue va obliger les PME/PMI sous-traitants à respecter le cahier des charges de leurs clients, souvent des grandes entreprises dont la politique de sécurité s étend désormais aux partenaires. Ce marché de l entreprise étendue sécurisée, peu d analystes semblent l intégrer. Il est pourtant au cœur des préoccupations de la majorité des PME/PMI. Reste que bon nombre de DSI (Direction des Systèmes d Information) et RSSI (Responsable de la Sécurité des Systèmes d Information) cherchent encore une vision optimisée d un «monde du travail connecté». Cependant selon certaines estimations de plusieurs études d éditeurs, les grands comptes dans 20% des cas se montrent prescripteurs auprès de leurs partenaires et sous-traitants le confirme. Non seulement une chaîne de la e-confiance basée sur des échanges dématérialisés se met en place mais les acteurs recherchent une plus grande homogénéité dans les échanges d applications. L interopérabilité technique des années 90 fait place après la distinction entre risques majeurs et risques mineurs des années 2000 à la «transparence» des échanges codifiés par des textes juridiques et le respect de normes pour les années à venir. Cette transparence s accompagne d une notion de gestion des droits liés aux usages des données et documents. 2.3 LES MENACES Auteur : Gérard Péliks (EADS) gerard.peliks@eads.com 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 15/191
16 Dès qu un utilisateur se connecte à un réseau, son poste de travail se trouve confronté à de nombreuses menaces dont certaines peuvent conduire à une perte de données sur les disques durs voire même à une perte totale des fichiers systèmes, avec impossibilité de «rebooter» son PC. Quand l utilisateur se connecte sur l Intranet de sa société, ce réseau est automatiquement sujet à des menaces pouvant porter atteinte à l intégrité, et même à l existence des informations et aux applications des serveurs connectés qui manipulent ces informations. Plus inquiétant encore, si l utilisateur connecté à son Intranet, a aussi accès simultanément à l Internet, les menaces sont multipliées tant dans leur nombre que dans leur diversité. Nous ne pouvons rien contre l existence de ces menaces, qui sont liées à la nature humaine et à la nature des réseaux informatiques, mais ces menaces ne présentent de réels dangers que si le réseau et le poste de travail présentent des vulnérabilités qui permettent à ces menaces de se concrétiser par des attaques réussies. Contre les vulnérabilités, heureusement pour l utilisateur, pour son poste de travail et pour les réseaux privés et publics, des outils de sécurité sont disponibles. Cette étude se propose de les explorer. Mais les outils ne sont efficaces qu intégrés dans une politique de sécurité connue et librement acceptée par l entreprise ou la collectivité, car on ne le répétera jamais assez, ce n est pas le réseau qui est dangereux, c est bel et bien l utilisateur, parfois de manière consciente mais aussi souvent sans le vouloir et sans même le savoir. Les menaces sont bien réelles. Pour se protéger contre elles, puisqu on ne peut les éliminer, il faut les connaître pour mettre en œuvre des solutions visant à réduire les vulnérabilités qui permettent à ces menaces de conduire à des attaques qui peuvent causer des dégâts intolérables à l entreprise cible. Il n est pas possible de se prémunir contre toutes les menaces, donc il n est pas crédible de se croire hors d atteinte de toute attaque. Heureusement les informations et les applications résidant dans votre réseau et dans vos postes de travail n ont pas toute la même valeur stratégique pour l entreprise et pour ses utilisateurs. Toute solution de sécurité a un coût, de même toute information a un prix. Il convient donc de mettre ses ressources et son budget sécurité à l endroit où les 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 16/191
17 informations et les applications stratégiques doivent être protégées. Il faut aussi trouver le bon équilibre entre le coût des solutions mises en œuvre pour la protection des données et le coût qu induirait une perte ou une altération de ces données, si on ne les protégeait pas. Autrement dit, pour chaque domaine d information, pour chaque application, il y a un seuil au-delà duquel, il n est pas rentable d investir plus pour protéger une information dont la perte causerait un préjudice inférieur au coût des solutions de sécurité mises en place. Inversement, il y a un coût en deçà duquel il convient de ne pas descendre pour protéger une information dont la perte serait sans commune mesure avec le coût de la solution de protection de cette information. Les menaces sur les postes nomades Déjà à l intérieur de l entreprise, votre PC est soumis à des menaces et pour cela il est nécessaire de l attacher à un point fixe par un cordon d acier, et d utiliser l économiseur d écran quand vous vous absentez provisoirement de votre bureau. Que dire alors des risques qu il encourt quand vous le sortez de l entreprise! Justement parlons-en. Votre PC portable peut, comme cela arrive à plusieurs milliers de PC, chaque année en France, être égaré ou volé. A chaque voyage du Thalys sur le trajet Paris Bruxelles par exemple des PC portables, paraît-il, disparaissent. Ce n est pas toujours l œuvre de simples voleurs intéressés par la valeur marchande du PC le plus souvent très inférieure à celle des informations stockées sur son disque dur. J ai connu une situation, lors d un salon, il y a quelques années, où la paroi de la remise d un stand avait été forcée durant la nuit. Au petit matin, quatre PC portables laissés imprudemment dans la réserve avaient disparu. Au-delà de la gène évidente pour leurs propriétaires, l un des portables contenait le planning et l évolution des fonctionnalités des produits conçus et commercialisés par l entreprise et les carnets d adresses des partenaires et des clients. Que pouvait espérer le propriétaire de mieux qu un miracle fasse qu une météorite tombât sur son PC volé en détruisant son disque dur avant que son contenu ne soit exploité! Mais la probabilité pour que ce miracle se produise n est pas bien grande. Ajouté à cela, durant la journée, des coffres de voitures avaient été forcés sur le parking du salon et un autre PC portable avait été dérobé! Ce n est pas sur l espoir d un miracle que doit reposer la sécurité des données contenues dans les postes de travail et des échanges entre un poste nomade sécurisé et son Intranet, mais sur un état d esprit, une politique de sécurité, et des outils correctement paramétrés. Durant la connexion votre poste nomade peut présenter un danger pour l intégrité du système d information de votre Intranet car il est exposé aux attaques dites «par rebond» qui permettent à un agresseur de prendre la main à distance sur votre PC et utiliser votre VPN (tunnel chiffrant) pour arriver directement dans l Intranet. Par contrer cette attaque, il faut implanter sur votre poste nomade des fonctionnalités de firewall personnel qui le protègent contre cette vulnérabilité. Ainsi, quand votre VPN est activé, le poste nomade n accepte aucune connexion autre que celle arrivant par le VPN. Vous ne pouvez pas, par exemple lire votre messagerie et en même temps surfer sur l Internet. Quand vous n avez plus besoin d être connecté à l Intranet ou simplement quand vous quittez provisoirement votre poste nomade, vous retirez votre carte à puce du lecteur. Votre poste nomade est alors devenu un poste de travail banalisé sans fichiers confidentiels en clair ni possibilité de connexion vers notre Intranet. Il peut alors être volé ou perdu sans conséquences catastrophiques pour notre système d information. Ce n est pas une raison, bien sûr pour relâcher votre vigilance. Le poste nomade possède un lecteur de disquette et un port sur lequel peut être connectée une clé mémoire USB* par lesquels il est possible de charger des fichiers. Le problème est que ces fichiers échappent évidemment au contrôle de l antivirus de l entreprise. Une fois le poste nomade connecté à l Intranet, il peut infecter son système d information. Il est indispensable, avant tout chargement de fichiers par disquette ou clé mémoire de les passer par un antivirus personnel que votre poste nomade doit posséder. Et bien entendu si un fichier est soupçonné de contenir un virus, il ne faut pas prendre le risque de le charger sur votre disque dur. 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 17/191
18 Remarque : Ne confondons pas poste nomade et utilisateur nomade, en effet l utilisateur nomade n utilise pas forcement un ordinateur de l entreprise pour se connecter. Les bornes Internet dans les cafés, par exemple, permettrent de lire son courrier électronique à distance. Ces systèmes sont cependant beaucoup plus dangereux car des spywares peuvent être installés et enregistrer les mots de passe à l insu de l utilisateur. Il faut donc être encore plus vigilant lors de l attribution des droits d accès aux serveurs pour des utilisateurs nomades. 2.4 LES VULNERABILITES Auteur : Dominique Ciupa (Intranode) dominique.ciupa@intranode.com Une histoire qui remonte à la nuit des temps Toute conception humaine a ses limites. Les logiciels et les réseaux comme les autres activités. A l'instar de la quasi-totalité des personnes qui, quelque que soit leur niveau d'éducation, laissent de temps à autre quelques fautes d'orthographe dans leurs écrits, les développeurs informatique font de leur côté un certain nombre de fautes informatiques. «Errare humanum est» a existé bien avant l'informatique. L'humanité a toujours connu les questions de vulnérabilités. Depuis le talon d'achille jusqu'à la ligne Maginot, l'histoire des vulnérabilités n'est qu'une longue répétition de point de faiblesse et d'erreurs. Certaines fautes informatiques génèrent des «bugs», nom donné à l'époque des premiers calculateurs électroniques lorsqu'un insecte, une punaise ou «bug» en anglais, provoquait un court-circuit entre deux composants électrique. D'autres erreurs peuvent être exploitées pour porter atteinte à la sécurité des réseaux et systèmes d'information. Accès à des données confidentielles, corruption de données, blocage d'un système que l'on appelle «déni de service», prise de contrôle d'une machine pour exécuter ce que l'on veut. On parle alors de failles de sécurité, ou de vulnérabilités informatiques. Rien de nouveau d'un point de vue technique, mais c est aujourd'hui un véritable problème en raison de l'exploitation à grande échelle qui est désormais faite des bugs et failles de sécurité. Ainsi, il y a encore 10 ou 15 ans, des failles ou bugs pouvaient exister sans conséquences graves. Ainsi, dans les systèmes de facturation téléphonique des bugs existaient qui permettaient de ne pas payer les communications. Sur certains commutateurs et pour certains opérateurs télécoms, le système de renvoi d'appel, faisant intervenir la couche dite «de réseau intelligent», permettait de faire disparaître le ticket de taxation lorsqu'un premier poste était renvoyé sur un deuxième poste luimême renvoyé sur un troisième. Les développeurs n'avaient pas prévu un usage aussi curieux et le pointeur des tickets de taxation se trouvait sur la valeur «nihl». En clair, les tickets de taxation disparaissaient. Le poste numéro 3, se faisant appeler après un tel double renvoi, bénéficiait d'une communication gratuite pour l'appelant. Le risque d'un manque à gagner pour l'opérateur télécom utilisant ces équipements était flagrant. Sauf que le «bug» n'était connu que d'un petit groupe d'experts qui considéraient le strict respect de la confidentialité de certaines informations comme étant une règle essentielle de bonne conduite professionnelle. Le tout se commentait donc ainsi en 1992 au sein de la communauté des experts internationaux des réseaux intelligents réunis en congrès en Gironde au cours d'un fastueux dîner payé par France Télécom dans le Château de Wayre, après une dégustation des meilleurs crus offerte par la Mairie de Bordeaux. L'information était même confiée à des journalistes participant à ce congrès, sous le couvert du célèbre «off the record», et tout en restait là! Tout le monde a vécu sans problème avec cette faille, sans la corriger pendant de nombreuses années. Constructeurs et opérateurs s'entendaient pour accepter de vivre avec ce risque, en plaçant l'information sous le sceau du secret professionnel et en considérant que la correction serait trop coûteuse pour une menace aussi faible, puisque la possibilité d'attaque était inconnue du public Un changement de comportement avec les vulnérabilités informatiques Tout est désormais radicalement différent. Une vulnérabilité découverte fait l'objet de communication immédiatement relayée par tous les moyens de la communication moderne de l'internet. Peu de notion de confidentialité subsiste. Une éthique veut toutefois encore que la publication ne soit faite que lorsque la correction de la faille a été réalisée par l'éditeur, ou qu'une solution de contournement de la faille est identifiée. Cette éthique est heureusement souvent respectée. Mais le jeu collectif de certaines communautés de chercheurs ou de développeurs est bel et bien la recherche des failles de certains éditeurs, allant parfois au-delà de ce que la loi autorise en pratiquant la décompilation de 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 18/191
19 logiciels, et menaçant, tels des maîtres chanteurs, de publier la faille si la correction n'est pas développée dans les plus brefs délais par l'éditeur. Le nombre de vulnérabilités découvertes et publiées ne fait qu'augmenter. Il existe toutefois aujourd'hui un débat sur le bien-fondé de la recherche des vulnérabilités. La loi a désormais défini des limites aux possibilités de recherche de vulnérabilités à des fins de hacking. Le délit existe donc avant même l'attaque dès la préparation possible de l'attaque. De nombreuses communautés de chercheurs se sont élevées contre ces interdictions et ont affirmé que la recherche devait être libre et sans contrainte pour faire progresser la qualité des logiciels. C'est pour nombre de chercheurs de bonne foi un objectif réel, louable et légitime. Le débat a suscité de nombreuses passions et parfois provoqué des prises de positions extrêmes. Toute l'ambiguïté du débat porte autour de l'appréciation de qu'est une fin légitime de recherche de vulnérabilité. Suivant sa finalité, la recherche est autorisée ou est qualifiée de criminelle par la loi. Le législateur ne tranche pas et laisse le soin de l'interprétation à l'application de la loi. Le débat est donc loin d'être clos. Les failles concernent tous les systèmes et tous les éditeurs de logiciels. Linux n'est pas nécessairement mieux loti que Microsoft sur ce plan. La communication de chaque communauté d'informaticiens s'apparente parfois à des guerres de clochers inutiles. nombre de vulnérabilités Q-3Q Les «exploits» Nombre de vulnérabilités répertoriées par les CERT Après la publication de la vulnérabilité, la manière avec laquelle on peut exploiter la faille devient une sorte de second challenge pour certaines communautés qui vont chercher à s'illustrer avec de nouvelles publications et revendiquer leurs exploits respectifs. Tout circule à grande échelle et sans délai sur le Web et les forums de discussions. Le monde est devenu très bavard, les «bugs» et failles sont mis à nu devant tout le monde et les programmes d'attaques, dénommés «exploit» affichés aux yeux de tous et signés par leurs auteurs, qui utilisent souvent par prudence des pseudonymes connus seulement par leurs pairs. L'excitation de la recherche, la communication et une certaine vantardise poussent le système. Le débat sur le bien-fondé de la publication des «exploits» est esquissé par les nouveaux textes législatifs. La loi comprend désormais des possibilités de restreindre ces publications. Des chercheurs déclarent par ailleurs utiliser ces exploits à des fins de tests, pour vérifier si une vulnérabilité est présente. Là encore, la notion de fin légitime apparaît. Le législateur n'a pas apporté de définition et les magistrats pourront interpréter Les parades Pour le responsable sécurité, tout le problème réside donc dans la mise à jour des correctifs de sécurité, ou les modifications des configurations pour palier les vulnérabilités. Nous sommes dans une véritable course à la mise en œuvre des correctifs avant que les failles ne soient exploitées Les attaques exploitant les vulnérabilités Plusieurs attaques sont en effet à craindre. Le premier type d'attaque relève du hacker isolé qui va s'en prendre à une machine pour le plaisir, et parfois sans grand géni. Cette personne surveille la publication des failles de sécurité, recherche les «exploits» rédigés et publiés par d'autres en toute impunité sur le Web et mène ensuite son jeu 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 19/191
20 pour bloquer une machine, lire des informations confidentielles, changer des données ou prendre le contrôle d'une machine pour lui faire exécuter ce qu'il veut. Le hacker se comporte parfois en pensant que le coupable est en fait le responsable du système d'information qui n'a pas mis à jour ses logiciels, lui-même ne faisant que jouer. L'inconscience est donc parfois la source de graves préjudices. Il peut toutefois également s'agir d'espionnage industriel ou d'actes mafieux, sans aucun caractère ludique, mais avec des enjeux financiers bien réels. Le second type d'attaque est plus industriel et consiste à utiliser des vers pour mener à grande échelle une attaque sur un nombre non limité de machines en un minimum de temps. Quelques exemples de telles attaques sont les vers «Slammer», «Blaster» ou encore «Sasser». Très connus dans l'univers Microsoft Windows, les attaques de hackers ou des vers peuvent aussi être conçus pour utiliser les vulnérabilités de tout autre machine : Linux, Unix, mais aussi des routeurs, commutateurs, PDA ou téléphones portables. Nous n'oublierons pas également qu'aujourd'hui des équipements téléphoniques sous IP, les IPBX ou PABX IP, sont d'abord et avant tout des équipements data, fonctionnant sous des OS Windows, Linux ou Unix et qu'à ce titre ils sont aussi vulnérables qu'un PC. D'autres équipements peuvent aussi être concernés, bien que l'on y pense moins souvent : les imprimantes, dont les disques et mémoires peuvent contenir des informations confidentielles, et tous les équipements ou solutions sur appliances, tels que les firewalls, solutions de filtrage applicatif, enregistrement de vidéosurveillance numérique, etc La difficulté des corrections La correction des vulnérabilités n'est pas un exercice anodin. Lorsqu'ils existent, les correctifs, ou patches en anglais, proposés par les éditeurs sont parfois incompatibles avec d'autres applications mises en œuvre sur la même machine. En fermant un «trou de sécurité», il est en effet possible que l'on bloque une seconde application, qui utilise, sans penser à mal, les particularités de la première application vulnérable. Les «trous de sécurité» apportent en effet parfois certaines souplesses que les développeurs peuvent utiliser de façon légitime. Il faut alors développer un second correctif à appliquer sur la seconde application pour qu'elle fonctionne avec le patch appliqué sur la première. Une autre solution consiste parfois à développer un second patch qui va corriger le premier patch et permettre un inter-fonctionnement satisfaisant des deux applications. On patch alors le patch. Tout ceci prend naturellement du temps. L'entreprise doit choisir entre rester vulnérable ou bloquer certaines applications. Le sujet n'est pas simple. La gestion des vulnérabilités relève de questions d'organisation, de définition de processus et d'emploi d'outils adaptés que nous présentons, notamment au paragraphe «Scanners de vulnérabilités» de cet ouvrage Les faiblesses du Web Auteur : Sami Jourdain (Deny All) sjourdain@denyall.com Par son étendue, sa richesse de contenu et sa simplicité d utilisation, l Internet est une mine d informations pour les entreprises et un média sans précédent pour faire connaître les informations mises à disposition des utilisateurs, en interne comme en externe. En naviguant sur l Internet, l utilisateur peut accéder à des millions de pages Web, et peut, à l aide de portails et de moteurs de recherche, obtenir l information qui lui est nécessaire dans le cadre de son travail, au moment où il en a besoin (caractéristiques d un produit, liste de prix, conditions de vente, contacts, plan d accès ) Les menaces sur les applications Web Les entreprises continuent de déployer de nouvelles applications Web afin d augmenter l efficacité de leurs échanges avec leurs clients, employés, fournisseurs et partenaires, de générer des revenus additionnels et de réduire leurs coûts. Tous les départements de l entreprise bénéficient de l ouverture au Web : sites de e-commerce et de gestion de la relation client, automatisation de la chaîne achats, production, logistique, télétravail, webmail Confirmant cette tendance, les principaux éditeurs livrent maintenant leurs logiciels tels que SAP, Peoplesoft, Notes, Outlook, Siebel, avec interface Web incluse. En multipliant les accès Web via internet, extranet et intranet, les entreprises fournissent à des utilisateurs malveillants de nouveaux points d entrée à leurs applications. Avec l aide d un simple 22 nov 2004 etna France Voir en dernière page pour les droits de reproduction 20/191
Livre ouvert sur la sécurité
Livre ouvert sur la sécurité Issu d un travail de groupe de la commission sécurité de l etna 20 oct 2004 20 oct 2004 etna Voir en dernière page pour les droits de reproduction 1/148 Ont participé, à ce
Plus en détailConcilier mobilité et sécurité pour les postes nomades
Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012
LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste
Plus en détailLa sécurité des systèmes d information
Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence
Plus en détailDécouvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE
Découvrez Kaspersky Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE Sommaire Pourquoi est-il important pour une TPE/PME d acquérir une protection efficace? Pages 04-05 10 idées reçues à
Plus en détailMenaces et sécurité préventive
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Menaces et sécurité préventive Matinales Sécurité Informatique 18
Plus en détailPrésenté par : Mlle A.DIB
Présenté par : Mlle A.DIB 2 3 Demeure populaire Prend plus d ampleur Combinée avec le phishing 4 Extirper des informations à des personnes sans qu'elles ne s'en rendent compte Technique rencontrée dans
Plus en détailDOSSIER DE PRESSE. presse@lexsi.com LEXSI.COM. tgraffeuil@oxygen-rp.com. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89
DOSSIER DE PRESSE Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI 01 41 11 37 89 tgraffeuil@oxygen-rp.com LEXSI Anne BIGEL presse@lexsi.com LEXSI.COM Sommaire INTRODUCTION 1 LEXSI, cabinet
Plus en détailSymantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web
Fiche technique: Sécurité des terminaux Protection éprouvée pour les terminaux, la messagerie et les environnements Web Présentation permet de créer un environnement (terminaux, messagerie et Web) protégé
Plus en détailAttaques ciblées : quelles évolutions dans la gestion de la crise?
3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr
Plus en détailSécurité des Postes Clients
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des Postes Clients Table ronde CFSSI Jeudi 29 mars 2007 Benjamin
Plus en détail10 bonnes pratiques de sécurité dans Microsoft SharePoint
10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailSécuriser les achats en ligne par Carte d achat
Projet Sécurité Date : 09/02/09 Version : V 1.0 Etat : travail / vérifié / validé Rédacteur : JBO Réf. : CNRS/DSI/Expertise/ sécuriser la carte achat-v1.doc Annexes : Sécuriser les achats en ligne par
Plus en détailIntelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites
Intelligence Economique : risques ou opportunités? Introduction : présentation de l AMRAE L association: les membres L AMRAE rassemble les acteurs majeurs des métiers du risque Risk Manager, Responsables
Plus en détailUne nouvelle approche globale de la sécurité des réseaux d entreprises
Une nouvelle approche globale de la sécurité des réseaux d entreprises Kaspersky Open Space Security est une suite de produits de sécurité couvrant tous les types de connexion réseau, des appareils mobiles
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailRapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités
Plus en détail2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement
Plus en détailDNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS
Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que
Plus en détailSOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE QUALITE 2 UNE ORGANISATION PROFESSIONNELLE FORTE ET GARANTE DE SES MEMBRES 3 NOTRE SMQ
Manuel Qualité 5 place du Rosoir 21000 DIJON Tél. : 03.80.59.65.20 Fax : 03.80.53.09.50 Mèl : contact@bfc.experts-comptables.fr www.bfc.experts-comptables.fr SOMMAIRE 1 LA POLITIQUE GENERALE ET LA POLITIQUE
Plus en détailProgressons vers l internet de demain
Progressons vers l internet de demain Votre ordinateur, par extension votre système d information d entreprise, contient une multitude d informations personnelles, uniques et indispensables à la bonne
Plus en détailLa Gestion des Applications la plus efficace du marché
La Gestion des Applications la plus efficace du marché Contexte La multiplication des applications web professionnelles et non-professionnelles représente un vrai challenge actuellement pour les responsables
Plus en détailCENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES
informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5
Plus en détailCHARTE WIFI ET INTERNET
PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détailCharte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet
Page : 1/9 de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet Note Importante : La charte de bon usage des ressources informatiques, de la messagerie et de l internet est une
Plus en détailComment protéger ses systèmes d'information légalement et à moindre coût?
Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012
Plus en détail«ASSISTANT SECURITE RESEAU ET HELP DESK»
«ASSISTANT SECURITE RESEAU ET HELP DESK» FORMATION CERTIFIANTE DE NIVEAU III CODE NSF : 326 R INSCRIT AU RNCP ARRETE DU 31/08/11 JO DU 07/09/11 - OBJECTIFS Installer, mettre en service et dépanner des
Plus en détailSOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS
SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS DES RESEAUX D ENTREPRISE SO Une sécurité réseau déficiente
Plus en détailGroupe Eyrolles, 2006, ISBN : 2-212-11933-X
Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle
Plus en détailCatalogue «Intégration de solutions»
Catalogue «Intégration de solutions» 1 Nos prestations Offre 01 Offre 02 Offre 03 Offre 04 Offre 05 Offre 06 Offre 07 Offre 08 Offre 09 Offre 10 Offre 11 Offre 12 Offre 13 Offre 14 Offre 15 Offre 16 Antivirus
Plus en détail«Obad.a» : le malware Android le plus perfectionné à ce jour
«Obad.a» : le malware Android le plus perfectionné à ce jour Table des matières I. Le sujet de l article... 2 II. Réflexion sur les nouvelles menaces technologiques d aujourd hui... 2 A. Android, victime
Plus en détailServeur de messagerie
Serveur de messagerie 2 Kerio Connect est un serveur de messagerie qui offre une puissante protection contre les virus et le spam et permet un accès sécurisé aux emails. Alternative digne de ce nom à Microsoft
Plus en détailSujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.
UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est
Plus en détails é c u r i t é Conférence animée par Christophe Blanchot
s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)
Plus en détailTraçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés
Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés 1. Définition et implications de la traçabilité en droit 2. La protection des données personnelles 3. La responsabilité
Plus en détailSÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE
Réseaux et Sécurité SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE Réf : SRI Durée : 3 jours (7 heures) OBJECTIFS DE LA FORMATION Ce séminaire vous montrera comment répondre aux impératifs de sécurité des communications
Plus en détailL assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France
L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité
Plus en détailMail-SeCure sur une plateforme VMware
OUR INNOVATION YOUR SECURITY Mail-SeCure sur une plateforme VMware APERÇU Les menaces liées aux messages électroniques sont un problème connu depuis longtemps. La plupart des entreprises prennent des mesures
Plus en détailNotions de sécurités en informatique
Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique
Plus en détail«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de
1 2 «Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de Copie, seules les références bibliographiques peuvent
Plus en détailCHARTE INFORMATIQUE LGL
CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification
Plus en détailVers un nouveau modèle de sécurité
1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et
Plus en détailKASPERSKY SECURITY FOR BUSINESS
KASPERSKY SECURITY FOR BUSINESS IDENTIFIER. CONTRÔLER. PROTÉGER. Guide de migration RENOUVELLEMENTS ET MISES À NIVEAU DES LICENCES : Guide de migration PRÉSENTATION DE LA NOUVELLE GAMME ENDPOINT SECURITY
Plus en détailStratégie nationale en matière de cyber sécurité
Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailGestion du risque numérique
Gestion du risque numérique Auguste DIOP Arnaud PRINCE AGBODJAN TALENTYS www.talentys.ci 2ème édition des Journées de l Entreprise Numérique, 9 & 10 avril 2015 Qui sommes-nous? Fondée en 2007, TALENTYS
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailLa sécurité informatique
La sécurité informatique c'est quoi au juste? CAID's Delémont - 2 mars 2009 Par Bruno Kerouanton http://bruno.kerouanton.net/blog Les pirates... au début Qui : adolescents isolés Moyens : légers. Motivation
Plus en détailPROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE
PROFIL DE POSTE BAP : CORPS : NATURE : SPÉCIALITÉ : E ITRF Externe IGR 2, Chef de projet développement ÉTABLISSEMENT : Rectorat SERVICE : VILLE : SERIA (service informatique académique) DESCRIPTION DU
Plus en détailLexique informatique. De l ordinateur :
De l ordinateur : Lexique informatique CD / Cédérom : CD (Compact Disc) contient des logiciels (dictionnaire, jeux, ) Clavier : permet de taper du texte, de la ponctuation, des chiffres et des symboles.
Plus en détailUne nouvelle approche globale de la sécurité des réseaux d entreprises
Une nouvelle approche globale de la sécurité des réseaux d entreprises Kaspersky Open Space Security est une suite de produits de sécurité couvrant tous les types de connexion réseau, des appareils mobiles
Plus en détailMobilité, quand tout ordinateur peut devenir cheval de Troie
Mobilité, quand tout ordinateur peut devenir cheval de Troie SSTIC 2004, 2-4 juin, Rennes Cédric Blancher Arche, Groupe Omnetica MISC Magazine Agenda 1)Introduction : le concept
Plus en détailIntelligence economique Levier de competitivite
Intelligence economique Levier de competitivite 1 Dispositifs offensifs Innovation Export Accompagnement au développement des entreprises. 2 Accompagnement au développement des entreprises ARI. (avance
Plus en détailE-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg
E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailÉtendez les capacités de vos points de vente & sécurisez vos transactions.
Solutions VPN Point Of Sales by NBS System Étendez les capacités de vos points de vente & sécurisez vos transactions. NBS System 1999-2012, all right reserved Managed Hosting & Security www.nbs-system.com
Plus en détailGestion des Incidents SSI
Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information
Plus en détailLa Qualité, c est Nous!
La Qualité, c est Nous! EN QUELQUES MOTS : XLS SYSTEMS GABON, partenaire du développement numérique du pays est une entreprise d ingénierie informatique qui se veut proche de ses clients et met un point
Plus en détailCette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.
CHARTE D UTILISATION DU MATERIEL INFORMATIQUE ET NUMERIQUE EPL LONS LE SAUNIER MANCY (Délibération n 6-22.05 du 13 juin2005 et n 4-16.06 du 9 juin 2006) Cette charte a pour but de définir les règles d
Plus en détailFaits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X
1 OSSIR 2007/11/12 Faits techniques et retour d'expérience d'une cellule d'expertise Jérémy Lebourdais Mickaël Dewaele jeremy.lebourdais (à) edelweb.fr mickael.dewaele (à) edelweb.fr EdelWeb / Groupe ON-X
Plus en détailMalveillances Téléphoniques
28/11/03 1 Malveillances Téléphoniques Risques et parades Conférence CLUSIF réalisée par la société Membre ERCOM 28/11/03 2 Introduction Constat : Après la sécurité informatique, l'entreprise découvre
Plus en détailProjet Sécurité des SI
Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance
Plus en détailPLAN DE COMMUNICATION REGIONAL POUR LA PROMOTION DES FONDS EUROPEENS FEDER, FSE et FEADER EN ILE-DE-FRANCE
PLAN DE COMMUNICATION REGIONAL POUR LA PROMOTION DES FONDS EUROPEENS FEDER, FSE et FEADER EN ILE-DE-FRANCE Version du 23 avril 2008 1 Sommaire 1. RAPPEL DU CONTEXTE_ 3 2. PILOTAGE ET PERIMETRE DU PLAN
Plus en détailKonica Minolta, un leader aux standards de sécurité les plus élevés du marché
SéCURITé Konica Minolta, un leader aux standards de sécurité les plus élevés du marché A l ère du numérique, les communications mondiales connaissent une croissance sans précédent, et les risques de failles
Plus en détailConvergence Grand public professionnelle
Note de synthèse Convergence Grand public professionnelle Cette note synthétise les réflexions d une des tables rondes des entretiens Télécom de Mars 2006, organisés par Finaki. A cette table étaient à
Plus en détailCharte d installation des réseaux sans-fils à l INSA de Lyon
Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA
Plus en détailAttention, menace : le Trojan Bancaire Trojan.Carberp!
Protégez votre univers L aveugle ne craint pas le serpent Attention, menace : le Trojan Bancaire Trojan.Carberp! Attention, menace : le Trojan Bancaire Trojan.Carberp! Voici un exemple de contamination
Plus en détailLA SECURITE DE VOTRE ENTREPRISE
SÉCURITÉ LA SECURITE DE VOTRE ENTREPRISE Guide des bonnes pratiques Comment sécuriser vos locaux? Quelles solutions pour une meilleure protection? PREFECTURE DE LA GIRONDE Edito En 2006, plus de 175 000*
Plus en détailSÉCURITE INFORMATIQUE
SÉCURITE INFORMATIQUE Hubert & Bruno novembre 2008 Saint-Quentin (02 02) Objectif: Démystifier «la sécurité informatique» Appréhender les risques Développer les "bons réflexes" Découvrir et diagnostiquer
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailLa haute disponibilité de la CHAINE DE
Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est
Plus en détailFiche d accompagnement Épisode 11 «Mon ordinateur a attrapé un virus
Fiche d accompagnement Épisode 11 «Mon ordinateur a attrapé un virus Attention» Niveaux : cycle 2 et 3, 6 e aux clichés, ce n est pas la réalité Si d un fichier, l origine tu ne connais pas, le télécharger,
Plus en détailPourquoi choisir ESET Business Solutions?
ESET Business Solutions 1/6 Que votre entreprise soit tout juste créée ou déjà bien établie, vous avez des attentes vis-à-vis de votre sécurité. ESET pense qu une solution de sécurité doit avant tout être
Plus en détailBibliographie. Gestion des risques
Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes
Plus en détailANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel
ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014 SEMINAIRE DE Joly Hôtel aristide.zoungrana at arcep.bf AGENDA 2 Définitions Les incidents rencontrés par
Plus en détailCharte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.
Charte informatique Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités. Préambule L'entreprise < NOM > met en œuvre un système d'information et
Plus en détailPASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable
PASSEPORT DE CONSEILS AUX VOYAGEURS Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable Ce passeport de conseils aux voyageurs a été initialement réalisé par l Agence nationale
Plus en détailTEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME
TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME Vo t r e s p e a k e r a u j o u r d h u i : F r a n ç o i s W e b S e c u r i t y M a n a g e r Agenda Partie
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailLivre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés
Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur
Plus en détailFaire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.
IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe
Plus en détailMinistère délégué à la Sécurité sociale, aux Personnes âgées, aux Personnes handicapées et à la Famille Dossier de presse
Ministère délégué à la Sécurité sociale, aux Personnes âgées, aux Personnes handicapées et à la Famille Dossier de presse Les logiciels de contrôle parental mercredi 26 avril 2006 Ministère délégué à la
Plus en détailSolutions de sécurité des données Websense. Sécurité des données
Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise
Plus en détailDNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet
DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation
Plus en détailGuide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX
Guide de connexion à RENAULT SA et PSA PEUGEOT CITROËN via ENX Mise en œuvre de votre raccordement à RENAULT SA et/ou PSA PEUGEOT CITROËN via ENX Version française du 31/10/2014 1 Table des matières 1
Plus en détailCorrigé : Enquête terrain : La communication interne
Corrigé : Enquête terrain : La communication interne Source : Entretien du XX/12/13 avec Mme D. de l entreprise EDF réalisé par Ludivine Moi : Bonjour Madame, j'aurais quelques questions à vous poser dans
Plus en détailCHARTE D ÉTHIQUE PROFESSIONNELLE DU GROUPE AFD
CHARTE D ÉTHIQUE PROFESSIONNELLE DU GROUPE AFD AVANT-PROPOS Établissement public, l Agence Française de Développement exerce une mission d intérêt public, principalement à l international. CHARTE D ÉTHIQUE
Plus en détailLA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES
LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne
Plus en détail