Pourquoi parler de sécurité Si vous ne pouvez expliquer un concept à un enfant de six ans, c est que vous ne le comprenez pas complètement - Albert Einstein La sécurité - Pourquoi Pourquoi la sécurité (suite) PME Confiance Affaires Mais aussi... PME Protéger la réputation Eviter des pertes financières Satisfaire aux exigences légales, assurances Clients Marché Il est important de noter que nous ne protégeons pas nos biens pour des besoins de sécurité mais nous appliquons des mesures de sécurité pour protéger nos biens e-business / e-commerce 3 4 La sécurité informatique, une entrée en matière La sécurité = {mesures} permettant d assurer la protection des biens / valeurs. 5 6
Informations (données) Les biens à protéger... 0000000 000000 000 000000 000000 00000000000 000000 Catalogue de services Offres Commandes Contrats - Données clientèles Données financière - Données stratégiques - Données privés des employés (Salaires) - Données de productions Systèmes permettant de traiter, stocker et gérer l information La sécurité, une entrée en matière La sécurité = {mesures} permettant d assurer la protection de l information & Systèmes la confidentialité, l intégrité, la disponibilité, {L authentification. Application Serveurs - Stations de travail - bases de données - Réseaux internes et externes - Bandes de sauvegarde - CD-ROM/Disquettes imprimantes 7 8 Se protéger contre qui Ouaaaa!! Je ne le crois pas, regarde on est dans le système informatique du Père Noël...Bon, fais ta liste!!!!! 9 0 Externes Internes Externes Internes Pirates Saboteurs Concurrents Anciens employés Organisations criminelles Employés mécontents Fraudeurs Complices / Espions Innocents employés Employés en transit Travailleurs à domiciles Compagnies de nettoyages Compagnies de maintenances Déménageurs Visiteurs
Classes de menaces Actes malicieux, calculés, volontaires Se protéger contre quoi Evènements involontaires - Accidents (Faute à pas de chance) 3 4 Enquêtes Incidents informatiques frappant les entreprises européennes Codes cachés 78 % Erreurs d utilisation 6 % Erreurs de conception (Bogues) 38 % Pannes internes 37 % Evènements naturels % Abus ou fraude d un utilisateur en interne 6 % Piratage (intrusion) 8 % IDC - 00 Menace : Action, événement, entité pouvant porter préjudice à ce que l on désire protéger (information, Sytèmes informatiques, Entreprises ) Une menace est générique (ne dépend pas du contexte) Une menace ne peut s exécuter toute seule. 5 6 Vulnérabilités Vulnérabilité : Réactif (faiblesse) permettant à la menace de s exécuter Une vulnérabilité dépend du contexte L essence même de la sécurité est d identifier et réduire la présence de vulnérabilités. Absence ou manque de procédures organisationnelles Absence ou manque de procédures et mesures techniques Ex: Ex: Absence de support et compréhension du management Absence du suivi des problèmes et solutions, Absence de politique de sécurité Fichier de traces non configurés / non contrôlés, Absence de programme de sensibilisation, Présence d utilisateurs fantômes, Absence de personnel qualifié, Absence ou faible niveau de ségrégation du réseau,... Manque de contrôle des fichiers téléchargés, Absence de contrôle des médias de sauvegarde, Présence de service non requis sur les machines, Absence de tests négatifs,... 7 8 3
Faut-il se protéger et jusqu à quel niveau Tout dépend de notre environnement, de nos besoins propres. Comment définir ses besoins en sécurité Face à un risque, trois types de réactions possibles: L ignorance complète des risques La protection totale La gestion de risques En passant par une gestion des risques 9 0 Principes de bases Exemple: Quel est le risque pour votre entreprise que des systèmes d informations (serveurs, stations de travail) soient infectés par un virus Un risque n existe que dans le cas où ses trois composantes sont présentes: Un Bien, une Menace et une Vulnérabilité. Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l impact. L acceptation d un risque est, en soi, un risque Pour votre entreprise Fonction du marché / environnement Fonction de la présence de vulnérabilités Niveau de Risque IMPACT PROBABILITE FAISABILITE H: Haut M: Moyen F: Faible Le pire des risques est celui dont vous ignorez l existence Sécurité Organisationnelle Analyse de risques Politique de sécurité Organisation Sécurité des utilisateurs Gestion des utilisateurs / mots de passe ou authentifications Utilisateurs internes / externes fortes Sécurité Applicative Definition des profiles /roles E-Applications / E-Services Verification des autorisation, Tenir compte des contraintes liés à votre environnement Le budget octroyé L environnement technique Les ressources disponibles La politique de sécurité de l entreprise Les nouvelles vulnérabilités introduites Chiffrement des données Sécurité des serveurs Stations / Serveurs / Bases de données Infrastructure réseau Unix/ NT fortification La sécurité réseau Firewall & détecteurs d intrusions Chiffrement en ligne 3 4 4
Questions à prendre en considération dans le choix d une solution Fiches de risques organisationnelle Liste des mesures potentielles Identification des contraintes Liste des mesures applicables physique Quel problème est-ce que la solution permet de résoudre Comment est-ce que la solution permet de résoudre le problème Quels autres problèmes la solution permet de résoudre Quels nouveaux problèmes la solution engendre Quels est le coût de la solution Est-ce que la solution vaut la dépense technologique (IT) 5 6 L ouvrage étudie et répond à ces questions pour les mesures de sécurité suivantes: Mécanismes d authentification Mot de passe statique Générateurs de codes dynamiques Cartes à puce Systèmes biométriques Signatures digitales et infrastructure à clés publiques Authentification unique et administration centralisée La Cryptologie la cryptographie symétrique la cryptographie asymétrique la cryptographie hybride SSL, PGP, VPN la stéganographie La sécurité des réseaux firewall détecteurs d intrusions La sécurité du commerce électronique paiement par carte de crédit monnaie électronique Implémentation et gestion de la sécurité 3 scénarios envisageables: Utilisation de ressources internes Outsourcing (hébergement) Utilisation de ressources externes Le Copyright sur l Internet 7 8 Contacts & liens Conclusion S il fallait mentionner deux qualités essentielles de tout bon responsable ou consultant en sécurité, ce serait la paranoïa et le bon sens. La paranoïa pour pouvoir identifier le plus grand nombre de scénarios de désastres et de vulnérabilité exploitables. Le bon sens pour pouvoir mitiger ces scénarios, identifier des priorités et des mesures de sécurité réalistes et cohérentes pour l environnement étudié. didier.godart@skynet.be http://users.skynet.be/fa0454/livre_securite.html Didier Godart Consultant http://www.ecci.be 9 30 5