1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues Windows et Unix majoritairement Importance croissante Diversification des menaces Évolution du cadre juridique 3 4
5 6 Évolution du cadre juridique 7 Évolution du cadre technique 8 Affaire Enron : nouvelles normes comptables Loi Sarbanes-Oxley (SOX ou SOL) Authentification de toutes les actions Loi Californienne oblige les entreprises à rendre public les vols de données 11 septembre Nombreuses faillites Plan de continuité d activités Ressources dupliquées (réseau, ordinateurs,...) Les hommes aussi! Disponibilité des données Connexions réseau omni-présentes Portes ouvertes sur le réseau Indispensable au fonctionnement des entreprises Systèmes de plus en plus complexes Plus grande possibilité d attaques http://www.us-cert.gov/ http://www.certa.ssi.gouv.fr/ Banalisation des techniques d attaque
9 Sécurité = chaîne 10 Robustesse dépend du maillon le plus faible La technique n est qu un élément Transversal : l élément humain Généralement le plus faible Conséquences d un Manque d organisation Manque de formation Incompétence Malveillance Définition d une politique nécessaire Formation : cliquer sur pièces jointes, utilisation de terminaux Incompétence : utilisation des lounges à amsterdam ex: pas déloggé, fichiers sensibles encore encore sur les postes... Malveillance : - Politique de sécurité pour montrer l exemple Limiter l impact du facteur humain Politique de sécurité 11 Construction d une politique de sécurité 12 Document décrivant les Exemple : Filtré accès web en sortie Risques, menaces et leur degré en interdisant de tout probabilité ce qui n est pas boulot et (PME 100 employés): de criticité - Employé : modem free - pour regarder les résultats match : piraté en 1 après Règles et procédures midi Actions et personnes Implante un compromis nécessaire Degré de sécurité/menaces Coût d implantation et de maintenance Fonctionnalités réalisables Précise des sanctions Audit Identification des menaces Tests d intrusion (externalisés) Détection d incidents Réactions en cas d attaque Plan de continuation d activité Rédaction de la politique Suivi de son implantation
Profil des personnes concernées par la sécurité Utilisateurs Conscience des sources d attaque Connaissance des protocoles d incidents Administrateurs système Connaissance d une ou plusieurs architectures Concepteur des systèmes d informations Connaît les caractéristiques et faiblesses de chaque solution Manager Fixe les objectifs et les budgets 13 Prédicat de base Tous les systèmes sont vulnérables Question de temps Question de moyens... Sans même prendre en compte les failles humaines Importance de l évaluation des risques Bien cibler ses efforts Importance de l isolation Physique, pas seulement logique Limite la propagation Attaquant : gagner plus que dépenser en fonction de l attaque. Evaluer les risques pour cout attaque > bénéfice pour l attaquant Isolation Physique : (serveurs pas forcément dans la même salle) 14 Méthodes générales de sécurisation 15 Quels sont les profils des attaquants? 16 Niveau «méta» EBIOS : présentation des besoins et objectifs de sécurité La norme ISO 27002 «Code de bonnes pratiques pour la gestion de la sécurité de l'information» Présentation hors du cadre de ce cours Le cadre formel existe Le diable est dans l implantation Répartition des attaques Ciblées 18% interne/73% externe/39% partenaires Automatique Uniquement externe Motivations Vol d informations Modification d informations Atteinte à la réputation Les données sont la clé!
Étude sur les vols de données 17 18 Date de fin juin 2008 En hausse de 70% / même période en 2007 Classement des causes 1.Vol ou perte d appareils : 20% 2.Vol interne : 16% 3.Fausse manipulation : 15% 4.Vol par des sous-traitants : 13.5% 5.«Hacking» : 11.7% Quelques objectifs élémentaires 19 Doctrines 20 Confidentialité Informations non accessibles Communications non espionnables Intégrité Pas de modifications des informations Authentification Chaque action a un responsable identifiable Disponibilité Le système est toujours utilisable Security through obscurity Sécurité par le secret Peu efficace Les désassembleurs Les outils de cartographie Peu efficace car il existe des outils qui permettent d en déduire le fonctionnement et en déduire les failles. Contraire au principe de connaissance des failles Comme toujours, compromis à trouver
Principle of least privilege 21 Chaque entité doit avoir les privilèges juste nécessaire à son rôle Exemple de difficulté : serveur http accès aux Personnes, processus,... commandes. Point clé : identifier l élément de confiance 22 www.yahoo.fr Sur quel serveur est-on connecté? La machine que l on utilise est-elle sûre? Dépend de l infrastructure Comment contrôler? Il faut identifier un tiers de confiance Être sûr des communications avec ce tiers Définition des rôles Une personne en a plusieurs Permissions accordées suivant les rôles Difficile à assurer en pratique Transmission de la confiance Algorithmes + protocoles 23 Exemple de chaîne : le bâtiment 24 Les serveurs Héberge des données Sécuriser les accès Contrôler les accès autorisés Prendre les risques naturels en compte (plan de continuité d activité) Localisation des ressources Héberge des serveurs, des clients et des utilisateurs «gentils» Accès physique Extraction des données Espionnage Modification Mise hors d usage Accès logique Exploitation de failles logicielles Automatique -> vol de ressources Manuelle -> corruption, vol de données, etc. Exploitation d une mauvaise configuration
Les postes client 25 Les utilisateurs 26 Internes Accès physiques Usurpation d identité Externes (mobilité) Vol Espionnage Failles logicielles Se faire passer pour quelqu un d autre, pour obtenir quelque chose. Mauvaises manipulations Exécution d un programme interdit Divulgation d informations... Social engineering Très utilisé Redoutablement efficace Difficilement automatisable Plan et thèmes du cours Cryptographie Chiffrement et authentification Techniques Systèmes, Logiciel Réseau Organisationnel Classifier les menaces et fixer les priorités Légal 27 Bonus : top 5 des vulnérabilités exploitées en 2006 But : vol de données Cible : marchand en ligne Origine : chambre de commerce US 1. Stockage d informations interdites 2. Patchs non appliqués 1. Numéro de carte bleu... 5. ex telnet... 3. Configuration système par défaut (mots de passe) 4. SQL injection 5. Services inutiles et avec problèmes 28