Vulnérabilité des systèmes informatiques Causes, parades et conséquences



Documents pareils
L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

La sécurité des systèmes d information

Gestion du risque numérique

Malveillances Téléphoniques

Sécurité des systèmes informatiques Introduction

Menaces du Cyber Espace

Club des Responsables d Infrastructures et de la Production

Sécurité informatique: introduction

Introduction sur les risques avec l'informatique «industrielle»

INF 1160 Les réseaux d entreprise

Tout sur la cybersécurité, la cyberdéfense,

Les conseils & les astuces de RSA Pour être tranquille sur Internet

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

L analyse de risques avec MEHARI

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Connaître les Menaces d Insécurité du Système d Information

s é c u r i t é Conférence animée par Christophe Blanchot

Présenté par : Mlle A.DIB

Management de la sécurité des technologies de l information

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Protocoles cryptographiques

Fiche de l'awt La sécurité informatique

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

Lexique informatique. De l ordinateur :

Sécurité informatique

La sécurité informatique

SÉCURITE INFORMATIQUE

La sécurité physique et environnementale

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité de l'information

CHARTE WIFI ET INTERNET

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

Solution de sauvegarde pour flotte nomade

27 mars Sécurité ECNi. Présentation de la démarche sécurité

SECURIDAY 2013 Cyber War

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Les menaces sur internet, comment les reconnait-on? Sommaire

dans un contexte d infogérance J-François MAHE Gie GIPS

Les principes de la sécurité

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

L USAGE PAISIBLE DE L INFORMATIQUE. Les solutions assurantielles pour mieux gérer les risques de dommages immatériels

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Des passionnés et des curieux avec un regard avisé et exigeant sur :

Architecture des ordinateurs. Environnement Windows : sauvegarde

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

Certificat Informatique et Internet

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

Qu'est-ce qu'un virus?

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

SOLUTEK. Passez le relais à des professionnels > PRESENTATION > NOS SERVICES > NOS COMPETENCES

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

L'AUDIT DES SYSTEMES D'INFORMATION

Les botnets: Le côté obscur de l'informatique dans le cloud

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012


Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Principes de la sécurité informatique

Sécurité des Postes Clients

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Sécurité de l'information

Protection des données et Vie privée

Fiche Pratique. ADIRA Sécurité & Innovation. Sécurité & Nomadisme. adira.org

Catalogue Audit «Test Intrusion»

Gestion des incidents

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

Cryptologie à clé publique

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

SOMMAIRE. Association pour une Informatique raisonnée

I partie : diagnostic et proposition de solutions

Sauvegarde et archivage

spam & phishing : comment les éviter?

ClaraExchange 2010 Description des services

Sommaire. AIDAUCLIC BACKUP : Solution de sauvegarde en ligne 3. Quelles problématiques résout la solution? 3. Fonctionnement de la solution 4

Cours 14. Crypto. 2004, Marc-André Léger

Formation en Sécurité Informatique

Réglement intérieur. Supélec Rézo

LA VoIP LES PRINCIPES

1 Description du phénomène. 2 Mode de diffusion effets dommageables

Menaces et sécurité préventive

CHARTE INFORMATIQUE LGL

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Managed VirusScan et renforce ses services

Questionnaire proposition Tous Risques Informatique

Transcription:

Cours CEES n 07 Mr Naulleau 18 Novembre 2003 Vulnérabilité des systèmes informatiques Causes, parades et conséquences Introduction Sensibilisation des informaticiens et utilisateurs aux divers risques informatiques et aux conséquences Bogue de l'an 2000 (Y2K) : Centre national du passage à l'an 2000 : www.an2000.gouv.fr Hiérarchiser les risques, dépenses de 120 milliards de francs. Serge Humpich / GIE carte banquaire (Yescard en mode local) Faille dans le système de sécurité des cartes banquaires Capable de leurrer les DAB avec n'importe quel code secret MP3.com, alt.2600 : pirates donnant le système de décryptage DVD Tempêtes décembre 1999 arrêt en chaîne des divers réseaux après EDF Saturation d'aol, Yahoo, e.bay, Amazon.com par des hackers.... I Vulnérabilité des systèmes informatiques, parades A. chiffres Dernières évaluations du CLUSIF (1996) : 13 milliards de francs (1% du budget de l'etat), 38.000 sinistres : malveillances, risques accidentels, erreurs En augmentation de 5% par an Selon le FBI, 1% des crimes sont détectés et 7% sont déclarés 85% des crimes sont commis par des informaticiens 46% des crimes viennent des services informatiques un hold-up rapporte 10.000 $, un crime informatique rapporte 450.000$ budget informatique entre 1 et 10% de celui des entreprises, et seulement 3% du budget informatique pour la sécurité. B. Exemples 1 million de francs volés avec de fausses cartes de crédit en 1986 un scanner médical déréglé : 3 morts en Espagne en 1990 SOCRATE (SNCF) : des trains virtuels en 1993 Perruque dans les services (éternel!) = utilisation des ressources entreprises pour son comptes personnel Accident d'un Airbus au Mont St Odile causé par l'ambiguïté d'un indicateur de pente en 1992 Pentium : défauts de fabrication en 1995 Création du SEFTI à la Police Judiciaire contre la fraude informatique EDF : prélèvements de 26 964.48 francs pour un studio en 1995 Clipper imposé et PGP interdit pour cryptage sur Internet en 1995 Kevin Mitnick traqué pendant deux ans pour hacking Crédit Lyonnais : incendie du centre informatique en 1996 Chantage à la diffusion sur le Net par pirate de 25.000 numéros de cartes bancaires volées chez CD Universe, chantage à 100.000 $ en 1999 24/4/2002 : AG Vivendi, contestation des votes électroniques (20% d'abstention) 25/11/2002 : 30.000 victimes à la carte bancaire, usurpation d'identité, complice revendant 50$ les données de clients et codes, 2 ans, 2,7 millions de $ Friends Greetings Application, marketing viral, exploite carnet d'adresse SPAM, pourriel

21/10/2002 : attaque en déni de service contre noms de domaines. Cyberterrorisme ou action de guerre n'est pas loin utilisation de Wifi non sécurisé : usurpation, captation, brouillage, déni 9/2002 : copie via vidéo et lecteur de cartes bancaires pour fausses CB C. Virus Mars 1986 : Révélés à Securicom Mai 1986 : Réseau SPAN de la NASA attaqué par la CAOS Décembre 1987 : Par Mag Mac, en quelques jours 2000 disquettes devaient survivre jusqu'au 2 Mars 1988 en affichant un message de pub et d'anniversaire avant de s'autodétruire Décembre 1987 : Arbre de Noël sur EARN 13 janvier 1988 : Université Hébraïque de Jérusalem Novembre 1988 : UFR d'informatique de Paris 6 Novembre 1988 : Réseau Internet des USA pour la recherche 1989 : URSS Février 2003 : Virus sur des serveurs 50.000 virus recensés en 2000 D. 4 risques de vulnérabilité RISQUES de : PROTECTION de la : Copiage sans modifications Confidentialité Modification Intégrité Interruption du service Disponibilité Destruction Pérennité E. 7 sources de vulnérabilité Environnement Matériel Logiciel Fichier Réseau Terminal HOMME

Risque de... Protéger la... Environnement Matériel Logiciel Fichier Réseau Terminal Homme Copiage Confidentialité Modification Intégrité Interruption Continuité Destruction Pérennité Micro coupures Parasites Electricité poussières Foudre Incendie Inondation Espionnage Reverse engineering Défauts Piratage Virus Espionnage Pb de MaJ. Vol par usurpation Ecoutes (NSA Echelon) Parasites Ecoute (signaux écrans) Carte bancaire IEM Bogue Bogue Panne Panne Vol Virus Vol Virus Vol Piratage Espionnage Hacker Rumeurs Votes Négligence Grève Destruction Sabotage Parades Alimentations Filtres Site de secours Onduleurs Fibre optique Test Blindage Sauvegarde sur autre support Loi du 1/7/92 Sauvegarde Antivirus Preuve prg Loi du 22/7/92 Sauvegarde Double saisie Accès protégé Cryptage Code autocorrectif Blindage Maillage Accès protégé Blindage écran Contrôles Lois Bunker

F. Parades Préventives : doivent diminuer la probabilité des menaces pour empêcher leur réalisation par des mesures de protection. Exemple : codage, bunker, maintenance Palliatives : si malgré tout la menace se réalise, permettent de soustraire les biens par des mesures d'urgence. Exemple : extincteurs, sprinklers Curatives : si on n'a pas pu soustraire les biens permettent de minimiser les conséquences par des mesures de sauvegarde. Exemple : back up, procès G. Explications/ motivations des causes humaines Négligence Fatigue Drogue Sport Malveillance Politique Lucre : Espion industriel Espion étranger Voleur Fraudeur du fisc Maître chanteur Vengeance Hacker Grève, panne social Saboteur, vandale, terroriste Technodélinquance, cybercriminel II Sécurité des systèmes informatiques Protections techniques dont cryptographie Protections juridiques Assurances (dont perte d'exploitation et reconstitution des fichiers) Loi du 6 janvier 1978 : article 29 et 43 alinéa 2 Recommandation de la CNIL du 21 juillet 1981 Loi sur la protection juridique du 1 er juillet 1992 (ex 3 juillet 1985) Loi sur la fraude informatique du 22 juillet 1992 (ex 5 janvier 1988) A. Cryptographie Transposition : CRYPTO CTRPOY Décalage à clef : avec N = 3 FUBSWR Plus sophistiqué : DES (Data Encryption Standard) : une clef secrète connue de A et B : M K(M) RSA (Rivest, Shamir, Adelman) : deux clefs E (clef publique) pour enchiffrer ou encoder D (clef privée) pour déchiffrer ou décoder La factorisation est quasi impossible pour les très grand nombres. n = pq avec p et q premier et ayant par exemple 40 chiffres. Préservation d'un secret : clés du destinataire = B M EB EB ( M ) DB M A publique privée B car M = D B ( E B ( M ))

Authentification : clés de l'émetteur = A M DA DA( M ) EA M A privée publique B car M = E A ( D A ( M )) Secret et identification : clés de A et B M DA EB ( DA( M ) DB EA car M = EA( DA( M )) = EA( DB ( EB ( DA( M )))) B. audit sécurité But : fait l'état de la situation : Quels sont les risques? Quelles pertes maximales l'entreprise peut-elle supporter? Quel est le niveau de la sécurité actuelle? Quelles sont les contraintes de l'entreprise? Quel est alors le choix des moyens? Etude : tests, essais, effractions réelles, entretiens Auditionner : L'organisation informatique Un centre de traitement Un service d'étude Le développement d'une application Une application Méthodes : implantées sur micro : AROME, MELISA, MEHARI... C. Plan sécurité Ingénieur sécurité, responsable sécurité Moyens : De prévention, de protection Des modifications de l'organisation Des procédures de secours Des dépenses De la formation Mais : prix de la sécurité et normes! Trouver un optimum entre le coût de la sécurité et le coût de l'insécurité C. Bonnes pratiques avec un micro Faire des sauvegardes régulières, na pas les conserver à côté de la machine Soigner l'alimentation électrique (régulée, stabilisée, batterie, onduleur...) Loin des fenêtres (ergonomie) Ne pas manger ni boire près d'une machine Installer un antivirus et le tenir à jour Préférer parfois une vieille version d'un logiciel à une récente Faire une bonne gestion des bons mots de passe Protéger ses mots de passe : na pas les afficher ni les distribuer largement Ne pas ouvrir des fichiers attachés suspects Pas Internet pour les messages d'importance / Intranet / Internet / Firewall Se méfier de la télémaintenance Avoir un plan de secours, votre back up Vous vous devez de protéger ce qui est confidentiel et ce qui est vital pour...

III Vulnérabilité pour la société Intégration de + en + de fonction d'où Complexification Interconnexion de système d'où interdépendance Concentration des décisions d'où incohérence Erreurs de conception ergonomiques A. Pour les individus Stress face aux pannes, micros pannes, aux "flux tendus" Multiplication des contrôles d'identification Nos libertés (de circuler, communiquer, acheter, être citoyen,...) de plus en plus liées aux technologies Perversité par fausse impression de sécurité Exclusions des analphabètes de l'informatique (société duale) B. Pour les entreprises Pertes financières et d'image (crédibilité) Fragilisation de l'organisation (75% se sentent dépendantes de l'informatique dans les entreprises de + 200 employés) Automatisation des décision : déresponsabilisation Non maîtrise des logiciels Virtualisation des processus de fabrication C. Pour la société Dépendances technologiques par la concentration des productions Concentrations économiques Espionnage et risque de sabotage Accélération des prises de décision Vote électronique : quelle garantie? Quels risques acceptons-nous? Quelles dépendances acceptons-nous? Disproportions entre causes et effets Panne nous est intolérable Développement d'une nouvelle vulnérabilité Choisir des solutions : + Simples + Intrinsèquement sûres + Non mégalomaniaques, non prétentieuses + Se méfier des boîtes noires prétendument indépendantes IV Conclusion La sécurité doit être pensée dès le départ (comme dans les voitures) Pas d'arrogance de la technique "La panne est consubtancielle à la complexité" (Yves Lasfargue) "De la société de la peine à celle de la panne" "Un colosse aux pieds d'argile"

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back