Table des matières. Première partie Principes de sécurité du système d information... 5



Documents pareils
Groupe Eyrolles, 2004, ISBN :

Groupe Eyrolles, 2006, ISBN : X

Sécurité. informatique. Laurent Bloch. Principes et méthode. Préfaces de Christian Queinnec et Hervé Schauer Avec la contribution de Nat Makarévitch

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Mise en place d une politique de sécurité

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité. informatique. Principes et méthode à l usage des DSI, RSSI et administrateurs. 2 e édition. Laurent Bloch Christophe Wolfhugel

Sécurité des réseaux sans fil

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Figure 1a. Réseau intranet avec pare feu et NAT.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Positionnement produit

Sécurité informatique

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

La sécurité IT - Une précaution vitale pour votre entreprise

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Charte d installation des réseaux sans-fils à l INSA de Lyon

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Devoir Surveillé de Sécurité des Réseaux

z Fiche d identité produit

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Bibliographie. Gestion des risques

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Menaces et sécurité préventive

Progressons vers l internet de demain

Formations. «Produits & Applications»

SOMMAIRE Thématique : Sécurité des systèmes d'information

Cours 14. Crypto. 2004, Marc-André Léger

(In)sécurité de la Voix sur IP (VoIP)

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Critères d évaluation pour les pare-feu nouvelle génération

La sécurité informatique

Le protocole SSH (Secure Shell)

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Sécurité des Postes Clients

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

International Master of Science System and Networks Architect

Spécialiste Systèmes et Réseaux

I. Description de la solution cible

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

escan Entreprise Edititon Specialist Computer Distribution

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Sécurité des réseaux IPSec

Présenté par : Mlle A.DIB

La Gestion des Applications la plus efficace du marché

Initiation à la sécurité

Guide de démarrage rapide

Catalogue «Intégration de solutions»

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

LICENCE PROFESSIONNELLE SYSTEMES INFORMATIQUES & LOGICIELS

Groupe Eyrolles, 2004 ISBN :

Internet Découverte et premiers pas

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Référentiel ASUR Prévisionnel

FORMATIONS

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Les risques HERVE SCHAUER HSC

Fiche descriptive de module

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

La sécurité de l'information

(In)sécurité de la Voix sur IP [VoIP]

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Sécurité des réseaux sans fil

Téléphonie. sur IP. 2 e édition

Mise en route d'un Routeur/Pare-Feu

Jean-Pierre Lovinfosse. En finir. avec les virus. Groupe Eyrolles,2004 ISBN

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Ce que nous rencontrons dans les établissements privés : 1-Le réseau basique :

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Projet Sécurité des SI

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Fiche de l'awt La sécurité informatique

Fiche Technique. Cisco Security Agent

Une nouvelle approche globale de la sécurité des réseaux d entreprises

CAHIER DES CLAUSES TECHNIQUES

et développement d applications informatiques

Ingénierie des réseaux

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

SOMMAIRE Thématique : Sécurité des systèmes d'information

La Qualité, c est Nous!

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Transcription:

Avant-propos... 1 Première partie Principes de sécurité du système d information... 5 Chapitre 1 Premières notions de sécurité... 7 Menaces, risques et vulnérabilités................... 7 Aspects techniques de la sécurité informatique............ 9 Définir risques et objets à protéger................... 10 Identifier et authentifier........................ 12 Empêcher les intrusions........................ 12 Concevoir la défense en profondeur................... 14 Aspects organisationnels de la sécurité................ 14 Abandonner les utilisateurs inexpérimentés aux requins?......... 15 Externalisation radicale et accès web.................. 16 Sauvegarder données et documents................... 16 Vérifier les dispositifs de sécurité.................... 17 La nécessaire veille auprès des CERT................. 18 Organisation des CERT........................ 18

x Sécurité Informatique Faut-il publier les failles de sécurité?.................. 19 Le management de la sécurité..................... 20 Les systèmes de management...................... 21 Le système de management de la sécurité de l information........ 22 Un modèle de maturité?........................ 24 Critères communs........................... 25 Faut-il adhérer aux normes de sécurité de l information?......... 25 Un projet de certification de sécurité Open Source : OSSTMM..... 28 Législation financière et système d information........... 28 Législation financière et SI....................... 29 Brève critique de la sécurité financière.................. 30 La sécurité procédurale n est pas la solution.............. 31 Richard Feynman à propos de la conduite de projet........... 34 Chapitre 2 Les différents volets de la protection du SI... 37 L indispensable sécurité physique................... 37 Protéger le principal : le système d exploitation............ 39 Droits d accès............................. 39 Vérification des droits, imposition des protections............ 41 Gérer l authentification........................ 42 Séparation des privilèges........................ 42 Identification et authentification.................... 43 Le bon vieux mot de passe....................... 45 Listes de contrôle d accès........................ 46 Le chiffrement asymétrique...................... 47 Comprendre les failles et les attaques sur les logiciels........ 51 L attaque par interposition (Man in the middle)............. 51 Vulnérabilité des cryptosystèmes.................... 52 Chapitre 3 Malveillance informatique... 55 Types de logiciels malveillants..................... 55

xi Virus................................. 56 Virus réticulaire (botnet)........................ 57 Ver.................................. 60 Cheval de Troie............................ 60 Porte dérobée............................. 60 Bombe logique............................. 60 Logiciel espion............................. 60 Courrier électronique non sollicité (spam).............. 62 Attaques sur le Web et sur les données................ 63 Injection SQL............................. 63 Cross-site scripting.......................... 64 Palimpsestes électroniques....................... 65 Matériels de rebut........................... 65 Lutte contre les malveillances informatiques............. 66 Antivirus............................... 66 Les techniques de détection...................... 68 Des virus blindés pour déjouer la détection............... 69 Quelques statistiques.......................... 70 Deuxième partie Science de la sécurité du système d information... 71 Chapitre 4 La clé de voûte : le chiffrement... 73 Chiffrement symétrique à clé secrète................. 74 Naissance de la cryptographie informatique : Alan Turing........ 75 Data Encryption Standard (DES)................... 76 Diffie et Hellman résolvent l échange de clés............. 77 Le problème de l échange de clés.................... 77 Fondements mathématiques de l algorithme Diffie-Hellman....... 78 Mise en œuvre de l algorithme Diffie-Hellman............. 80 Le chiffrement asymétrique à clé publique.............. 83 Évaluer la robustesse d un cryptosystème............... 87

xii Sécurité Informatique Robustesse du chiffrement symétrique................. 87 Robustesse du chiffrement asymétrique................. 88 Robustesse de l utilisateur de cryptosystème............... 88 Chapitre 5 Sécurité du système d exploitation et des programmes... 91 Un modèle de protection : Multics................... 91 Les dispositifs de protection de Multics................. 93 Protection des systèmes contemporains................ 93 Débordements de tampon....................... 94 Attaques par débordement sur la pile.................. 95 Débordement de tampon : exposé du cas général............ 99 Débordement de tampon et langage C................. 99 Sécurité par analyse du code...................... 100 Analyses statiques et méthodes formelles................ 100 Méthode B.............................. 101 Perl en mode souillé.......................... 102 Séparation des privilèges dans le système............... 103 Architectures tripartites........................ 104 Chapitre 6 Sécurité du réseau... 107 Modèle en couches pour les réseaux.................. 107 Application du modèle à un système de communication......... 108 Modèle ISO des réseaux informatiques................. 110 Une réalisation : TCP/IP........................ 112 Les réseaux privés virtuels (VPN)................... 116 Principes du réseau privé virtuel.................... 116 IPSec................................. 117 Autres réseaux privés virtuels...................... 119 Comparer les procédés de sécurité................... 120 Partager des fichiers à distance..................... 121 Sécuriser un site en réseau....................... 123

xiii Segmentation............................. 124 Filtrage................................ 125 Pare-feu................................ 127 Listes de contrôle d accès pour le réseau................. 134 Les pare-feu personnels pour ordinateurs sous Windows......... 134 Le système de noms de domaines (DNS)............... 139 Fonctionnement du DNS....................... 140 Un espace abstrait de noms de serveurs et de domaines......... 142 Autres niveaux de domaines...................... 143 Conversations entre serveurs de noms.................. 145 Sécurité du DNS............................ 146 Traduction d adresses (NAT)..................... 149 Le principe du standard téléphonique d hôtel.............. 149 Adresses non routables......................... 150 Accéder à l Internet sans adresse routable................ 150 Réalisations.............................. 151 Une solution, quelques problèmes.................... 153 Promiscuité sur un réseau local.................... 155 Rappel sur les réseaux locaux...................... 156 Réseaux locaux virtuels (VLAN).................... 157 Sécurité du réseau de campus : VLAN ou VPN?............ 158 Réseaux sans fil et sécurité....................... 159 Types de réseaux sans fil........................ 160 Vulnérabilités des réseaux sans fil 802.11................ 161 Chapitre 7 Identités, annuaires, habilitations... 167 Qu est-ce que l identité dans un monde numérique?......... 167 Problématique de l identification.................... 168 Trois types d usage des identifiants................... 168 Vers un système universel d identifiants................. 170 La politique des identifiants...................... 171

xiv Sécurité Informatique Distinguer noms et identifiants dans le DNS?.............. 172 Pretty Good Privacy (PGP) et signature............... 173 Créer un réseau de confiance...................... 175 Du trousseau de clés à l IGC...................... 175 Annuaire électronique et gestion de clés................. 176 Risques liés aux systèmes d identification............... 177 Organiser un système d identité numérique.............. 178 Objectif SSO............................. 178 Expérience de terrain.......................... 179 Troisième partie Politiques de sécurité du système d information... 183 Chapitre 8 Une charte des utilisateurs... 185 Préambule de la charte......................... 186 Définitions............................... 186 Accès aux ressources et aux services.................. 187 Règles d utilisation, de sécurité et de bon usage............ 187 Confidentialité............................. 188 Respect de la législation........................ 189 Préservation de l intégrité des systèmes informatiques........ 189 Usage des services Internet (Web, messagerie, forum...)....... 190 Règles de bon usage.......................... 190 Publication sur l Internet........................ 191 Responsabilité légale.......................... 191 Dispositifs de filtrage de trafic..................... 191 Surveillance et contrôle de l utilisation des ressources........ 192 Rappel des principales lois françaises................. 192 Application............................... 192 Chapitre 9 Une charte de l administrateur système et réseau... 195

xv Complexité en expansion et multiplication des risques........ 196 Règles de conduite........................... 197 Secret professionnel.......................... 197 Mots de passe............................. 198 Proposition de charte.......................... 199 Définitions.............................. 200 Responsabilités du comité de coordination SSI............. 201 Responsabilités de l administrateur de système et de réseau....... 201 Mise en œuvre et litiges........................ 203 Chapitre 10 Une politique de sécurité des systèmes d information... 205 Préambule : les enjeux de la PSSI................... 205 Contexte et objectifs.......................... 206 Le contexte de l INSIGU....................... 206 Périmètres de sécurité......................... 207 Lignes directrices pour la sécurité.................... 208 Menaces, risques, vulnérabilités..................... 211 Organisation et mise en œuvre..................... 212 Organisation de la sécurité des systèmes d information (SSI)....... 212 Coordination avec les autres organismes................ 216 Principes de mise en œuvre de la PSSI................. 217 Protection des données......................... 219 Sécurité du système d information................... 221 Mesure du niveau effectif de sécurité.................. 225 Quatrième partie Avenir de la sécurité du système d information... 229 Chapitre 11 Nouveaux protocoles, nouvelles menaces... 231 Le modèle client-serveur........................ 231 Versatilité des protocoles : encapsulation HTTP........... 233

xvi Sécurité Informatique Tous en HTTP!............................ 233 Vertus de HTTPS........................... 234 Protocoles pair à pair (peer to peer).................. 234 Définition et usage du pair à pair.................... 234 Problèmes à résoudre par le pair à pair................. 235 Le pair à pair et la sécurité....................... 237 Exemples : KaZaA et Skype...................... 238 Franchir les pare-feu : vers une norme?................. 242 Téléphonie IP : quelques remarques.................. 243 Une grande variété de protocoles peu sûrs................ 243 Précautions pour la téléphonie IP.................... 244 BlackBerry............................... 245 Chapitre 12 Tendances des pratiques de sécurisation des SI... 249 Les six idées les plus stupides en sécurité, selon Ranum....... 250 Idée stupide n o 1 : par défaut, tout est autorisé.............. 250 Idée stupide n o 2 : prétendre dresser la liste des menaces......... 251 Idée stupide n o 3 : tester par intrusion, puis corriger........... 252 Idée stupide n o 4 : les pirates sont sympas................ 253 Idée stupide n o 5 : compter sur l éducation des utilisateurs........ 254 Idée stupide n o 6 : l action vaut mieux que l inaction........... 255 Quelques idioties de seconde classe................... 255 Les cinquante prochaines années................... 256 Détection d intrusion, inspection en profondeur........... 256 Pare-feu à états............................ 257 Détection et prévention d intrusion................... 257 Inspection en profondeur........................ 257 Critique des méthodes de détection................... 257 À qui obéit votre ordinateur?..................... 258 Conflit de civilisation pour les échanges de données numériques..... 259 Dispositifs techniques de prohibition des échanges........... 260

xvii Informatique de confiance, ou informatique déloyale?.......... 263 Mesures de rétorsion contre les échanges de données.......... 264 Signature électronique et sécurité des échanges............. 269 Gestion des droits numériques et politique publique........... 271 Conclusion... 273

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back