La sécurité informatique

Documents pareils
Sécurité des applications Retour d'expérience

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

La sécurité informatique

La sécurité dans les grilles

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des systèmes informatiques Introduction

Mise en place d une politique de sécurité

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement


Panorama général des normes et outils d audit. François VERGEZ AFAI

Projet Sécurité des SI

Présenté par : Mlle A.DIB

Sécurité des Postes Clients

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Découvrir les vulnérabilités au sein des applications Web

Sécurité informatique: introduction

La sécurité applicative

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Impression de sécurité?

Les risques HERVE SCHAUER HSC

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Virtualisation et sécurité Retours d expérience

Management de la sécurité des technologies de l information

L'infonuagique, les opportunités et les risques v.1

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Sécurité informatique

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Groupe Eyrolles, 2006, ISBN : X

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Indicateur et tableau de bord

La protection des systèmes Mac et Linux : un besoin réel?

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

L hygiène informatique en entreprise Quelques recommandations simples

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Club des Responsables d Infrastructures et de la Production

L UTILISATEUR, CIBLE DE TOUTES LES MENACES

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Concilier mobilité et sécurité pour les postes nomades

Vers un nouveau modèle de sécurité

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Gestion des incidents

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

AUDIT CONSEIL CERT FORMATION

Table des matières GUIDE D HYGIÈNE INFORMATIQUE

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Solutions de sécurité des données Websense. Sécurité des données

PUISSANCE ET SIMPLICITE. Business Suite

Vulnérabilités engendrées par la virtualisation. Jean-Marie Petry / jean-marie.petry@rbs.fr Chef de Projet / Ingénieur ISIAL

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

La sécurité des systèmes d information

Sécurisation d un site nucléaire

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

NETTOYER ET SECURISER SON PC

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Montrer que la gestion des risques en sécurité de l information est liée au métier

Solutions informatiques (SI) Semestre 1

Solution de sauvegarde pour flotte nomade

SECURIDAY 2013 Cyber War

Protocoles cryptographiques

Politique d utilisation acceptable des données et des technologies de l information

Sécurité du cloud computing

Recommandations pour la protection des données et le chiffrement

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

HySIO : l infogérance hybride avec le cloud sécurisé

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

État Réalisé En cours Planifié

Solutions Microsoft Identity and Access

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Stratégie nationale en matière de cyber sécurité

Recommandations sur le Cloud computing

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

curité des TI : Comment accroître votre niveau de curité

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Progressons vers l internet de demain

Référentiel Général de Sécurité

IBM Tivoli Compliance Insight Manager

Gestion du risque numérique

Chap. I : Introduction à la sécurité informatique

Transcription:

1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues Windows et Unix majoritairement Importance croissante Diversification des menaces Évolution du cadre juridique 3 4

5 6 Évolution du cadre juridique 7 Évolution du cadre technique 8 Affaire Enron : nouvelles normes comptables Loi Sarbanes-Oxley (SOX ou SOL) Authentification de toutes les actions Loi Californienne oblige les entreprises à rendre public les vols de données 11 septembre Nombreuses faillites Plan de continuité d activités Ressources dupliquées (réseau, ordinateurs,...) Les hommes aussi! Disponibilité des données Connexions réseau omni-présentes Portes ouvertes sur le réseau Indispensable au fonctionnement des entreprises Systèmes de plus en plus complexes Plus grande possibilité d attaques http://www.us-cert.gov/ http://www.certa.ssi.gouv.fr/ Banalisation des techniques d attaque

9 Sécurité = chaîne 10 Robustesse dépend du maillon le plus faible La technique n est qu un élément Transversal : l élément humain Généralement le plus faible Conséquences d un Manque d organisation Manque de formation Incompétence Malveillance Définition d une politique nécessaire Formation : cliquer sur pièces jointes, utilisation de terminaux Incompétence : utilisation des lounges à amsterdam ex: pas déloggé, fichiers sensibles encore encore sur les postes... Malveillance : - Politique de sécurité pour montrer l exemple Limiter l impact du facteur humain Politique de sécurité 11 Construction d une politique de sécurité 12 Document décrivant les Exemple : Filtré accès web en sortie Risques, menaces et leur degré en interdisant de tout probabilité ce qui n est pas boulot et (PME 100 employés): de criticité - Employé : modem free - pour regarder les résultats match : piraté en 1 après Règles et procédures midi Actions et personnes Implante un compromis nécessaire Degré de sécurité/menaces Coût d implantation et de maintenance Fonctionnalités réalisables Précise des sanctions Audit Identification des menaces Tests d intrusion (externalisés) Détection d incidents Réactions en cas d attaque Plan de continuation d activité Rédaction de la politique Suivi de son implantation

Profil des personnes concernées par la sécurité Utilisateurs Conscience des sources d attaque Connaissance des protocoles d incidents Administrateurs système Connaissance d une ou plusieurs architectures Concepteur des systèmes d informations Connaît les caractéristiques et faiblesses de chaque solution Manager Fixe les objectifs et les budgets 13 Prédicat de base Tous les systèmes sont vulnérables Question de temps Question de moyens... Sans même prendre en compte les failles humaines Importance de l évaluation des risques Bien cibler ses efforts Importance de l isolation Physique, pas seulement logique Limite la propagation Attaquant : gagner plus que dépenser en fonction de l attaque. Evaluer les risques pour cout attaque > bénéfice pour l attaquant Isolation Physique : (serveurs pas forcément dans la même salle) 14 Méthodes générales de sécurisation 15 Quels sont les profils des attaquants? 16 Niveau «méta» EBIOS : présentation des besoins et objectifs de sécurité La norme ISO 27002 «Code de bonnes pratiques pour la gestion de la sécurité de l'information» Présentation hors du cadre de ce cours Le cadre formel existe Le diable est dans l implantation Répartition des attaques Ciblées 18% interne/73% externe/39% partenaires Automatique Uniquement externe Motivations Vol d informations Modification d informations Atteinte à la réputation Les données sont la clé!

Étude sur les vols de données 17 18 Date de fin juin 2008 En hausse de 70% / même période en 2007 Classement des causes 1.Vol ou perte d appareils : 20% 2.Vol interne : 16% 3.Fausse manipulation : 15% 4.Vol par des sous-traitants : 13.5% 5.«Hacking» : 11.7% Quelques objectifs élémentaires 19 Doctrines 20 Confidentialité Informations non accessibles Communications non espionnables Intégrité Pas de modifications des informations Authentification Chaque action a un responsable identifiable Disponibilité Le système est toujours utilisable Security through obscurity Sécurité par le secret Peu efficace Les désassembleurs Les outils de cartographie Peu efficace car il existe des outils qui permettent d en déduire le fonctionnement et en déduire les failles. Contraire au principe de connaissance des failles Comme toujours, compromis à trouver

Principle of least privilege 21 Chaque entité doit avoir les privilèges juste nécessaire à son rôle Exemple de difficulté : serveur http accès aux Personnes, processus,... commandes. Point clé : identifier l élément de confiance 22 www.yahoo.fr Sur quel serveur est-on connecté? La machine que l on utilise est-elle sûre? Dépend de l infrastructure Comment contrôler? Il faut identifier un tiers de confiance Être sûr des communications avec ce tiers Définition des rôles Une personne en a plusieurs Permissions accordées suivant les rôles Difficile à assurer en pratique Transmission de la confiance Algorithmes + protocoles 23 Exemple de chaîne : le bâtiment 24 Les serveurs Héberge des données Sécuriser les accès Contrôler les accès autorisés Prendre les risques naturels en compte (plan de continuité d activité) Localisation des ressources Héberge des serveurs, des clients et des utilisateurs «gentils» Accès physique Extraction des données Espionnage Modification Mise hors d usage Accès logique Exploitation de failles logicielles Automatique -> vol de ressources Manuelle -> corruption, vol de données, etc. Exploitation d une mauvaise configuration

Les postes client 25 Les utilisateurs 26 Internes Accès physiques Usurpation d identité Externes (mobilité) Vol Espionnage Failles logicielles Se faire passer pour quelqu un d autre, pour obtenir quelque chose. Mauvaises manipulations Exécution d un programme interdit Divulgation d informations... Social engineering Très utilisé Redoutablement efficace Difficilement automatisable Plan et thèmes du cours Cryptographie Chiffrement et authentification Techniques Systèmes, Logiciel Réseau Organisationnel Classifier les menaces et fixer les priorités Légal 27 Bonus : top 5 des vulnérabilités exploitées en 2006 But : vol de données Cible : marchand en ligne Origine : chambre de commerce US 1. Stockage d informations interdites 2. Patchs non appliqués 1. Numéro de carte bleu... 5. ex telnet... 3. Configuration système par défaut (mots de passe) 4. SQL injection 5. Services inutiles et avec problèmes 28

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back