LOGEON Vincent TSGERI 2011/2012



Documents pareils
La sécurité informatique

Bibliographie. Gestion des risques

Présenté par : Mlle A.DIB

Les principes de la sécurité

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

[ Sécurisation des canaux de communication

Fiche de l'awt La sécurité informatique

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Ce que vous devez savoir sur: La Biométrie

Sécurité des Postes Clients

État Réalisé En cours Planifié

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Présentation d'un Réseau Eole +

Malveillances Téléphoniques

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

A5.2.3, Repérage des compléments de formation ou d'autoformation

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Mobilité, quand tout ordinateur peut devenir cheval de Troie

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Symantec Network Access Control

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Groupe Eyrolles, 2006, ISBN : X

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

SafeNet La protection

Certificat Informatique et Internet

Sécurité informatique : règles et pratiques

Business et contrôle d'accès Web

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Audits Sécurité. Des architectures complexes

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

L'écoute des conversations VoIP

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

L analyse de risques avec MEHARI

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

Problème posé. Sécurité. Sécurité Humaine. Exploitant. électronique. Politique Sécurité. Réglementation. Comportements

curité des TI : Comment accroître votre niveau de curité

Vers un nouveau modèle de sécurité

Les risques HERVE SCHAUER HSC

La Qualité, c est Nous!

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

INF4420: Éléments de Sécurité Informatique

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

ÉLECTRONIQUE DE LA PORTE

Le rôle Serveur NPS et Protection d accès réseau

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Sécurité et «Cloud computing»

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Comprendre l'objectif des conditions

ITIL Gestion de la continuité des services informatiques

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Menaces et sécurité préventive

La voix sur IP n'est pas un gadget, et présente de réels bénéfices pour l'entreprise.

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

KASPERSKY SECURITY FOR BUSINESS

MAUREY SIMON PICARD FABIEN LP SARI

Présentation du modèle OSI(Open Systems Interconnection)

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Progressons vers l internet de demain

Sécurité informatique: introduction

Principes de la sécurité informatique

Gestion des mises à jour logicielles

La haute disponibilité de la CHAINE DE

Toshiba EasyGuard en action :

ISO la norme de la sécurité de l'information

- Biométrique par badge code - Visualisation en directe - Positionnement sur des alarmes - Image haute résolution de jour comme de nuit

La sécurité des systèmes d information

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Projet Sécurité Réseaux

«ASSISTANT SECURITE RESEAU ET HELP DESK»

7.1.2 Normes des réseaux locaux sans fil

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Sage CRM. 7.2 Guide de Portail Client

Prestations d audit et de conseil 2015

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Projet de Conception N 1 Automatisation d'un processus de paiement. Livrable: Spécification du système de compensation

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Transcription:

LOGEON Vincent TSGERI 2011/2012 La sécurité informatique 1/12

Table des matières LA SECURITE...3 La biométrie...3 La sécurisation des accès physiques...5 La sécurité informatique :...6 Le travail sur ordinateur :...9 Sécurité informatique ethical hacking...10 2/12

LA SECURITE La biométrie (pdf : la biométrie) La biométrie : -un système d'identification -analyse des caractéristiques physiques (empreintes digital, visage, iris) -marché émergent en France -moyen fiable -retour sur investissement Usages : -technique globale d'identification d'une personne en mesurant ses caractéristiques physiques -certaines plus fiables que d'autres -technique qui atteint ses limites Les caractéristiques physiques : -empreintes digitales (finger-scan) -géométrie des mains, des doigts (hand-scan) -l'iris (iris-scan) -étude de la rétine -le visage (facial-scan) -système et configuration des veines -caractéristiques comportementales (liées au comportement) -dynamique des frappes au clavier (keystroke-scan) -reconnaissance vocale (voice-scan) -dynamique des signatures (signature-scan) 3/12

Un exemple de schéma représentatif : Inconvénients de la biométrie : -pas totalement exacte -le corps évolue avec l'age et l'environnement Limites de cette technologie : -les techniques les plus utilisées sont les plus falsifiées (empreintes digitales) -Pour une authentification forte, il faut combiner au moins 2 techniques -Au bout du compte, ces techniques sont traduites en bits et sont donc vulnérables comme tout autres données informatiques Conclusion : -75% du marché de la biométrie pour les empreintes digitales -conjuguer 2 techniques -repenser tout le système de sécurité si on utilise ces techniques -ne pas utiliser seule la biométrie mais en complément d'autres moyens d'authentification comme ; la carte à puce ou token sécurisé (élément de stockage robuste aux attaques, même physiques), un mot de passe, on utilise plutôt la biométrie pour l'identification que pour l'authentification. 4/12

La sécurisation des accès physiques (pdf : sécurisation des accès physiques.) Pourquoi? -les intrusions virtuelles peuvent avoir pour source, une intrusion physique -les entreprises ne disposent pas de contrôle d'accès physique -fausses idées qu'un pirate n'aura pas le culot de s'introduire physiquement dans l'enceinte Comment protéger l'accès physique : -contrôle d'accès à l'entrée -lecteur de badge -un gardien (couplé aux moyens précités) -carte (à puce et non magnétique facilement falsifiable), elle permette aujourd'hui d'être lues à distance -barrières à l'intérieur des locaux -salles informatiques sécurisées, baies informatiques (armoires métalliques avec serrures et restent fermées) -serveurs placés en salle informatique protégée (ne pas laisser une machine test sans surveillance, comme la nuit) -port du badge des visiteurs, en permanence visible 5/12

La sécurité informatique : (pdf de 82 pages à lire : Secuinfo_1) Les nécessités de sécuriser son système d'information (SI) : -l'élaboration de règles et procédures -définition des actions à entreprendre et des personnes responsables -détermination du périmètre concerné Principes de bases et objectifs principaux, la mise en œuvre : -la disponibilité est l'assurance que les personnes autorisées ont accès à l'information -l'intégrité est la certitude de la présence non modifiée ou non altérée d'une information quand elles le demandent ou dans les temps requis pour son traitement. -la confidentialité est l'assurance que l'information n'est accessible qu'aux personnes autorisées ni divulguées en dehors de l'environnement spécifié. -la preuve consiste à garantir que l'émetteur d'un information soit bien identifié et qu'il a les droits et les accès logiques, que le récepteur est bien autorisé à accéder à l'information. Les normes ISO, ITIL sont des ressources qui permettent l'élaboration de règles allant dans le sens de la sécurité. Il faut dissocier les menaces et la vulnérabilités Les vulnérabilités peuvent-être liées aux domaines ; -physique (manque de redondance,non sécurisation des salles informatiques, absence ou mauvaise stratégie de sauvegarde de données) -organisationnels (manque de personnel, absence de document de procédures) -technologiques (failles nombreuses dans les services et applicatifs web et les bases de données, pas de MAJ, pas de contrôle de logiciels malveillants, récurrences des failles ou encore absence de supervision) Les menaces du SI sont variables et de différentes importances ; -les erreurs et omissions sont des menaces importantes puisqu'elles menacent l'intégrité des données et des systèmes. Le personnel d'une entreprise comme l'utilisateur, le développeur ou le technicien contribuent directement à cette menace -les fraudes et vol sont commis à l'intérieur ou à l'extérieur (en général de l'intérieur) 6/12

-le sabotage causé par les employés qui sont familiers avec les systèmes et les applications. On peut y palier avec une bonne gestion de compte utilisateur, surtout pour ceux qui ont un accès important aux données. -les hackers ou encore cracker, toute personne qui s'introduit dans les SI sans autorisation pour causer des dégâts. -l'espionnage industriel ou commercial, perpétré par la concurrence économique ou industrielle. Ce type de menace n'inclut pas en générale l'altération des données. -les programmes malveillants, virus, chevaux de Troie, bombes logiques ect. Il existe beaucoup de remèdes à cette menace. La politique de sécurité : -l'organisation et les structures de l'entreprise impliquées dans la gestion de la sécurité -les éléments fondateurs d'une culture de sécurité -le maintien de la cohérence dans les solutions techniques mises en œuvre -les moyens mis en œuvre et les méthodes de pilotage 7/12

8/12

Les zones de risques et de confiance au sein du modèle OSI : Le pare-feu est élément prépondérant. Rôle principal du pare-feu : Protège le réseau de l'entreprise des intrusions extérieurs. Ces dispositifs filtrent les trames (contenant des données) des différentes couches du modèle OSI afin de contrôler leur flux et de les bloquer en cas d'attaques. C'est le premier rempart de la protection du SI. Il est installé en périphérie du réseau local. Il existe plusieurs types de filtrage : -le filtrage applicatif pour le contrôle des applications en fonction du port utilisé -le filtrage utilisateur pour le contrôle d'accès en fonction des utilisateurs identifiés. -le filtrage adaptatif permettant l'émission d'un journal des transmissions de paquets IP. 9/12

La translation d'adresses (NAT Network Adress Translation) : Il permet de masquer le plan d'adressage interne d'une entreprise. Il existe : -NAT statique : correspondance entre une adresse publique et interne routable associée. (permanent) -NAT dynamique : pool d'adresses publiques assignées dynamiquement à des clients internes pendant le temps d'une exécution (temporaire) -PAT : une adresse publique est partagée entre plusieurs clients internes. Le travail sur ordinateur : (pdf : TravailSurOrdinateur ) Règles à respecter : -l'assise ; dossier incliné, dos maintenu, genoux hauteur des hanches, pieds posés au sol -position ; clavier et souris aux coudes, clavier et siège, regard aligné à 1/3 de l'écran Globalement, ce sont des notions basiques sur la position a adapter à son poste de travail. 10/12

Sécurité informatique ethical hacking (pdf : SecuritéInformatiqueEthicalHacking) Constat : -l'information est partout, elle est diffusée en dehors du domicile donc cela pose des problématiques de sécurité du système d'information -la sécurité du système d'information, a plus ou moins d'importance selon la valeur des données -le développement d'internet a fortement augmenté le trafic de données et par conséquent les risques de cette circulation -augmentation du volume mais aussi de l'importance (relation fournisseurs clients ect) -chaque acteur du SI a un rôle à jouer, il doit être définit Connaître son système d'information pour mieux le protéger : -le SI définit l'ensemble des données et des ressources matérielles et logicielles de l'entreprise -il représente la valeur de l'entreprise -assurer sa sécurité en permanence, le compromettre revient à compromette l'entreprise -s'assurer que les ressources servent uniquement dans le cadre prévu, par les personnes accréditées et surtout pas dans un autre but (espionnage et défaillance) -la vulnérabilité = failles du système -notion de contre-mesure (actions mise en œuvre pour prévenir la menace) -proportionnalité entre le nombre d'informations importantes d'une entreprise et la menace de son SI -déploiement de moyens techniques, solutions de prévention par la sensibilisation et la formation. Identifier les menaces (les 5 grands principes) : -l'intégrité des données (intégralité des données, leur précision, l'authentification et la validité) -la confidentialité (personnes habilitées et accès aux données) -la disponibilité (bon fonctionnement du système, accès à un service et aux ressources) -la non-répudation des données (origine et réception des données prouvent leurs envois) -l'authentification (limitation aux personnes autorisées) 11/12

(Notions supplémentaires : Instaurer de bonnes pratiques, auditer son système. ) 12/12

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back