La sécurité de l'information



Documents pareils
Gestion des Incidents SSI

Jusqu où aller dans la sécurité des systèmes d information?

s é c u r i t é Conférence animée par Christophe Blanchot

Sécurité informatique: introduction

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Gestion des incidents

La politique de sécurité

Indicateur et tableau de bord

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

La sécurité IT - Une précaution vitale pour votre entreprise

dans un contexte d infogérance J-François MAHE Gie GIPS

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

Qu est-ce qu un système d Information? 1

Attention, menace : le Trojan Bancaire Trojan.Carberp!

La gestion des risques en entreprise de nouvelles dimensions

PPE 2-1 Support Systeme. Partie Support Système

Notions de sécurités en informatique

Stratégie nationale en matière de cyber sécurité

Questionnaire aux entreprises

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

Créer un tableau de bord SSI

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

La sécurité informatique

Guide de démarrage rapide

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Certificat Informatique et Internet

Solutions McAfee pour la sécurité des serveurs

am2i» est une société Guyanaise spécialisée dans la prestation de services informatiques aux entreprises.

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Ingénierie et Manufacture Votre guide SMS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS


Banque en ligne et sécurité : remarques importantes

Qu'est-ce qu'un virus?

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Politique de sécurité de l actif informationnel

L'infonuagique, les opportunités et les risques v.1

LA CONTINUITÉ DES AFFAIRES

z Fiche d identité produit

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mise en place d une politique de sécurité

Compte lecteur : Mode d emploi. Sommaire

Connaître les Menaces d Insécurité du Système d Information

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

IBM Tivoli Compliance Insight Manager

Le contrat SID-Services

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

Gestion des incidents

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Menaces du Cyber Espace

De vous familiarisez avec les concepts liés aux droits des consommateurs.

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

Modèle MSP: La vente de logiciel via les services infogérés

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

Ceano. Un Partenariat plus simple. 1 plateforme unique pour une IT facile. 1 collaboration d équipe facilitée

SECURIDAY 2013 Cyber War

Pourquoi choisir ESET Business Solutions?

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

VIRTUALISATION DES FONCTIONS RÉSEAU. Les cinq erreurs majeures de la virtualisation

Panorama général des normes et outils d audit. François VERGEZ AFAI

Bibliographie. Gestion des risques

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Constat. Nicole DAUSQUE, CNRS/UREC

La révolution de l information

THEORIE ET CAS PRATIQUES

La sécurité des systèmes d information

Découvrir et bien régler Avast! 7

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité applicative

AUDIT CONSEIL CERT FORMATION

Sécurisation de Windows NT 4.0. et Windows 2000

Progressons vers l internet de demain

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

GARANTIR LE SUCCÈS GRÂCE À LA TECHNOLOGIE

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Diplôme de technicien / Diplôme d'aptitude professionnelle. Technicien(ne) en informatique / Informaticien(ne) qualifié(e)

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Serveur Hôte : Serveur physique configuré et administré par GROUPE PULSEHEBERG.

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Continuité. Management de la. d activité. Assurer la pérennité de l, entreprise : planification, choix techniques et mise en œuvre 2 e édition

NEXT GENERATION APPLICATION SECURITY

La protection des données sensibles et confidentielles

Audits Sécurité. Des architectures complexes

Menaces et sécurité préventive

La Gestion des Applications la plus efficace du marché

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Transcription:

Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus et non un ensemble de produits 5 Inspection 5 Protection 6 Détection 6 Réaction 6 Réflexion 7 Les normes et les méthodes de sécurité 7 Qu est-ce qu une norme 7 Qu est qu une méthode 8 Références 8 Document écrit par Stéphane Gill Copyright 2005 Stéphane Gill Ce document est soumis à la licence GNU FDL. Permission vous est donnée de distribuer et/ou modifier des copies de ce document tant que cette note apparaît clairement.

Introduction Les entreprises font aujourd hui de plus en plus appel aux systèmes d information pour optimiser leur fonctionnement et pour améliorer leur rentabilité. La sécurité informatique est donc devenue une problématique incontournable. Un accès non autorisé ou malveillant aux systèmes informatiques d une entreprise peut induire en quelques minutes des pertes financières très importantes. Voici deux incidents récents qui illustrent bien le genre de perte financière importante engendrée par l attaque de systèmes informatiques. «Le 8 février 2002, Amazon.com, Yahoo!, ebay ou E*Trade n ont pu maîtriser le flux de données qui a inondé leurs serveurs pendant 90 minutes. Au plus fort de l attaque le serveur de Yahoo recevait un flux de données ayant un débit de 1 Gbit/s. Le site d enchères électroniques ebay a estimé le coût de l attaque à 80 000 dollars US en investissements de sécurité. Selon le «Yankee Group», cabinet d analystes spécialistes de l économie Internet, l heure d arrêt d activité d Amazon.com lui aura coûté plus 240 000 dollars US. Toujours d après le même cabinet d analyse, l attaque perpétrée sur les serveurs d Amazon.com aura engendré au total plus de 1,2 milliard de dollars de pertes, réparties en manque à gagner et conséquences boursières.» Référence : http://www.01net.com Jérôme Saiz «Internet : attention pirates!» «Le 7 février 2000, un certain nombre de sites Web parmi les plus connus (Yahoo, ebay, CNN, Amazon, MSN, Buy.com, etc.) ont été paralysés pendant plusieurs heures, victimes d'attaques par saturation. Ces attaques ont rendu les sites en partie ou complètement hors-service. Les victimes ont évalué les pertes dues aux attaques à 1,7 milliards de dollars.» Référence : Muriel Drouineau «Mafiaboy avoue tout!» De nombreuses personnes se sont penchées et se penchent encore sur le problème de la sécurité informatique. Voici la réflexion de Donald L. Pipkin auteur du livre «Sécurité des sytèmes d information» «Il n existe pas de réponse simple aux problèmes de sécurité. Malheureusement, les gens sont trop souvent convaincus que les seules choses dont ils aient besoin pour assurer leur sécurité, c est d installer un firewall, d améliorer leur méthode d authentification ou de définir un règlement de sécurité. En vérité, toutes ces mesures contribuent à l amélioration de la sécurité, mais aucune d entre elles n est une solution complète.» Copyright 2005 Stéphane Gill Page 2

Quelques statistiques «Depuis 1988 le nombre d incidents de sécurité ne cesse d augmenter» Référence : «CERT Coordination Center», 2005, CERT/CC Statistics 1988-2005. «Le montant total des pertes subies en 2004 par 269 entreprises à la suite d un incident de sécurité informatique a atteint un total de 141,5 millions de dollars, ce qui fait une moyenne de 526 000 dollars par entreprise» Référence : «2004 CSI/FBI Computer Crime and security Survey» Computer Security Institute, 2004. «93 % des entreprises qui ont éprouvé un désastre et qui n avaient pas de sauvegarde de leurs informations ont disparu.» Référence : «Disaster Recovery», Interex 98 Conference, 12 mai 1998. «Plusieurs enquêtes ont montré qu environ la moitié des attaques perpétrées contre des systèmes informatiques provenaient de l intérieur de l entreprise concernée.» Copyright 2005 Stéphane Gill Page 3

Référence : «2004 CSI/FBI Computer Crime and security Survey» Computer Security Institute, 2004. Sécurité de l information Définition La sécurité de l information est l ensemble des mesures adoptées pour empêcher l utilisation non autorisée, le mauvais usage, la modification ou le refus d utilisation d un ensemble de connaissances, de faits, de données ou de moyens. Le terme sécurité de l information désigne donc les mesures préventives que nous mettons en place pour préserver nos informations et nos moyens. Les trois attributs de sécurité des informations : La confidentialité; L exactitude; La disponibilité. Bref historique de la sécurité La façon dont nous avons géré la sécurité de l information et les ressources des entreprises a évolué de pair avec notre société et nos technologies. Il est important de comprendre cette évolution pour savoir comment nous devons considérer la sécurité aujourd hui. La sécurité physique : Pour éviter que l on puisse s emparer physiquement de l information les messagers était escortés par des soldats. La sécurité des communications : Jules César créa les messages codés. La sécurité des transmissions : Dans les années 1950, il a été démontré que l accès aux messages pouvait être réalisé en analysant les signaux électriques d une ligne téléphonique. Copyright 2005 Stéphane Gill Page 4

La sécurité de l ordinateur : Au début des années 1970, un modèle pour sécuriser les opérations des ordinateurs fut développé. La sécurité des réseaux : La mise en réseau des ordinateurs, à la fin des années 1980, soulève de nouveaux problèmes. La sécurité de l information : Début des années 2000 La sécurité un processus et non un ensemble de produits La sécurité est un processus dont le but est de réduire les risques ou la probabilité de subir des dommages. Dans son livre «Sécurité des systèmes d information», Donald L. Pepkin propose les cinq phases suivantes pour élaborer un plan de sécurité : Inspection : Identifier les fonctionnalités qui sont à la base des activités de l entreprise. Évaluer les besoins en sécurité de l organisation. Protection : Mettre en place des moyens pour une réduction dynamique des risques. Détection : Mettre en place des moyens pour une réduction réactive des risques. Réaction : Mettre en place un plan de secours d urgence. Réflexion : Une fois l incident terminé et tout remis en place, procéder à l étude de l événement. Inspection Les six étapes de l inspection : Inventaire des ressources. Estimation de la menace. Analyse des pertes potentielles. Identification des vulnérabilités. Organisation de la protection. Évaluation de l état actuel. Copyright 2005 Stéphane Gill Page 5

Protection La protection est la phase où un ensemble de moyens sont mis en place afin de protéger les systèmes d information. Voici quelques méthodes de protection : Le logiciel antivirus. Le contrôle d accès (Authentification). Le pare-feu. L établissement de procédure de sécurité. Le chiffrement des données. Les mécanismes de sécurité physique. Les sauvegardes. Les mécanismes de redondance de l information. Détection La détection d intrusion est fondée sur trois processus : Analyse de signature : Comparaison des données des journaux de bord avec un catalogue de signature d attaques connues. Analyse statique : Analyse d éléments d état statiques. (Analyse des vulnérabilité et analyse de configuration). Analyse dynamique : Analyse de l activité d un système pour déterminer si une attaque est en cours (Analyse les traces enregistrées (history), analyse du traffic sur le réseau et analyse des événements dans les journaux de bord). Réaction Philosophie d un plan de réponse : Surveiller et avertir : surveillance constante, dès qu un incident est détecté un responsable en est averti. Aucune autre action n est lancée automatiquement. Copyright 2005 Stéphane Gill Page 6

Réparer et signaler : tenter de remédier à l incident le plus vite possible, signaler au responsable. Poursuivre en justice : Rassembler les preuves et alerter le plus vite possible le service juridique de l entreprise. Plan de réponse à un incident : Documentation Détermination Notification Appréciation Éradication Remise en état Réflexion Les 4 étapes d une réflexion après un incident : Documentation de l incident Évaluation de l incident Relations publiques Suites judiciaires Les normes et les méthodes de sécurité Qu est-ce qu une norme Une norme est un document de référence contenant des spécifications techniques précises destiné à être utilisé comme règles ou lignes directrices. Certaines normes traitant de sécurité informatique commencent à apparaître, par exemple la norme ISO 17799 (et la certification associée BS7799-2). Copyright 2005 Stéphane Gill Page 7

Qu est qu une méthode Une méthode est un moyen d arriver efficacement à un résultat souhaité. Une méthode n est pas un document de référence. Il existe de nombreuses méthodes de sécurité de l information : Mehari Ebios Cramm Références Donald L. Pipkin, «Sécurité des systèmes d information», CampusPress, 2000. Eric Maiwald, «Sécurité des réseaux», Campus press, 2001. Aron Hsiao, «Sécurité sous Linux», Campus press, 2001. Copyright 2005 Stéphane Gill Page 8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back