Sécurité des systèmes informatiques Introduction



Documents pareils
Formation en Sécurité Informatique

Sécurité des applications Retour d'expérience

L analyse de risques avec MEHARI

Gestion des mises à jour logicielles

La sécurité des systèmes d information

Les principes de la sécurité

Bibliographie. Gestion des risques

Chap. I : Introduction à la sécurité informatique

Sécurité des Postes Clients

Malveillances Téléphoniques

Mise en place d une politique de sécurité

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Impression de sécurité?

La sécurité informatique

Politique de sécurité de l information

dans un contexte d infogérance J-François MAHE Gie GIPS

Gestion du risque numérique

Concilier mobilité et sécurité pour les postes nomades

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Menaces et vulnérabilités sur les réseaux et les postes de travail

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Fiche de l'awt La sécurité informatique

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Gestion des incidents

Initiation à la sécurité

Indicateur et tableau de bord

SECURIDAY 2013 Cyber War

Christophe Pagezy Directeur Général Mob:

Sécurité informatique

Menaces et sécurité préventive

Préjudices, failles, vulnérabilités et menaces

Principes de la sécurité informatique

La sécurité IT - Une précaution vitale pour votre entreprise

Atelier Sécurité / OSSIR

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Travaux soutenus par l ANR. Jean-François CAPURON (DGA) Bruno LEGEARD (Smartesting)

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

Constat. Nicole DAUSQUE, CNRS/UREC

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Montrer que la gestion des risques en sécurité de l information est liée au métier

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Faille dans Internet Explorer 7

s é c u r i t é Conférence animée par Christophe Blanchot

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Virtualisation et sécurité Retours d expérience

International Master of Science System and Networks Architect

Sécurité informatique: introduction

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

face à la sinistralité

Audit de la sécurité physique

Les risques HERVE SCHAUER HSC

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Protocoles cryptographiques

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Symantec CyberV Assessment Service

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

Rapport de certification PP/0002


Vulnérabilités et sécurisation des applications Web

L'AUDIT DES SYSTEMES D'INFORMATION

Sécurité. Tendance technologique

Le protocole SSH (Secure Shell)

Présenté par : Mlle A.DIB

Pourquoi OneSolutions a choisi SyselCloud

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

FORMATION PROFESSIONNELLE AU HACKING

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Charte d installation des réseaux sans-fils à l INSA de Lyon

État Réalisé En cours Planifié

Gestion des incidents

Catalogue Audit «Test Intrusion»

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Sécurité des réseaux Les attaques

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

2011 MyHRbox.com, Tous droits réservés. Présentation de la solution Textes et Images sont propriété de Soft-IT

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Création d un «Web Worm»

Certificat Informatique et Internet

Introduction sur les risques avec l'informatique «industrielle»

Transcription:

Année 2008-2009 Sécurité des systèmes informatiques Introduction Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1

Système d'information et système informatique Système d information : ensemble des moyens nécessaires pour acquérir, stocker, exploiter... des informations Système informatique : un des moyens techniques pour faire fonctionner un système d information Pour assurer la sécurité d un système d information, il faut assurer la sécurité du système informatique. Sécurité informatique : ensemble des moyens mis en oeuvre pour minimiser la vulnérabilité d un système informatique contre des menaces 2

Menaces Vulnérabilité des systèmes informatiques : Introduction Menaces passives : consistent à écouter ou copier des informations de manière illicite Des menaces actives : consistent à altérer des informations ou le bon fonctionnement d un service Menaces dues aux accidents : (<30% des causes) incendies, inondations, pannes d équipements, catastrophes naturelles... Menaces dues à la malveillance : (>60%, en croissance, souvent d origine interne) vols d équipements, copies illicites, sabotage matériel, attaques logiques, intrusion et écoute, actes de vengeance... Dans ce cours, nous aborderons uniquement les problèmes de sécurité informatique liés aux actions malveillantes 3

Les services de sécurité à assurer Cas d un système informatique en réseaux : Des menaces : divulgation des données modification, destruction de données refus de service Des exigences de sécurité : confidentialité des données intégrité des données disponibilité de services authentification des utilisateurs et contrôle d accès local 4

Les services de sécurité à assurer Cas d un système informatique en réseaux : Des menaces supplémentaires : écoute passive, analyse du trafic rejeu modification, destruction de messages génération de trafic Des exigences supplémentaires : authentification du correspondant et de l origine des données non-répudiation contrôle d accès aux services offerts via le réseau 5

Vulnérabilité informatique Vulnérabilité : erreur de conception (bug) dans un produit pouvant altérer la sécurité du système Où peut-on trouver des vulnérabilités? au niveau du système d exploitation au niveau applicatif au niveau du réseau 6

Vulnérabilité des systèmes informatiques isolés Personnes utilisant le système : les utilisateurs légitimes ; les administrateurs ; les attaquants (crackers) qui peuvent être des utilisateurs légitimes. La diversité des utilisateurs d un système pose certains problèmes : l OS est utilisé par des personnes faillibles ; augmenter la sécurité implique souvent un manque de flexibilité et de convivialité. la gestion de la sécurité devient de plus en plus difficile pour l administrateur. 7

Vulnérabilité des réseaux Principales causes : les données transitent d une machine à une autre dans un milieu non sécurisé/sécurisable (internet). failles applicatives de certaines piles de protocoles TCP/IP. mécanisme d authentification insuffisant (ex : rsh, rlogin). Principales solutions mises en oeuvre : utiliser des méthodes de chiffrement. corriger les failles applicatives de piles des protocoles. filtrer les accès aux différents services. 8

Vulnérabilités informatiques Qui trouve des vulnérabilités? des chercheurs en vulnérabilités indépendants (Vulnerability Contributor Program d idefense, fondation Mozilla,...) des chercheurs en vulnérabilités dont c est le métier, (eeye, NGS, ISS, Core-ST, Symantec,...) plus rarement les éditeurs de logiciels. Comment trouver les vulnérabilités? Audit de code source Tests sur le produit Reverse-engineering etc. 9

De la vulnérabilité à l'exploit Vulnérabilité des systèmes informatiques : Introduction Que faire ensuite? Il faut avertir l éditeur ou l équipe de développement de la vulnérabilité, puis attendre un correctif. Un bulletin de sécurité est ensuite publié. Attention! parfois une vulnérabilité est publiée sans que l éditeur n en soit averti, ou reste gardée secrète pour une utilisation malveillante. Conduite à tenir face aux vulnérabilités Se tenir informé des nouvelles vulnérabilités Appliquer les correctifs Désactiver la fonctionnalité générant la vulnérabilité Les exploits : Ce sont des programmes permettant de tester une vulnérabilité, en tentant de l exploiter. Ils sont écrits par le découvreur de la vulnérabilité ou par des indépendants, en se basant sur les détails fournis dans l avis initial. L exploit est ensuite ajouté à un scanner de vulnérabilité pour tester l efficacité du correctif. 10

Thèmes abordés dans ce cours Vulnérabilité des systèmes informatiques : Introduction 1 La cryptographie pour la sécurité 2 Attaques par escalade des privilèges 3 Attaques par deni de services 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back