Les risques HERVE SCHAUER HSC



Documents pareils
LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Sécurité des Postes Clients

Menaces et sécurité préventive

Sécurité des applications Retour d'expérience

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Projet : PcAnywhere et Le contrôle à distance.

Infrastructure RDS 2012

Gestion des identités

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Mobilité et sécurité

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Chapitre 2 Rôles et fonctionnalités

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Fiche de l'awt La sécurité informatique

Services Réseaux - Couche Application. TODARO Cédric

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU

Menaces et vulnérabilités sur les réseaux et les postes de travail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Fiche de l'awt Qu'est-ce qu'un Intranet?

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Couche application. La couche application est la plus élevée du modèle de référence.

Microsoft infrastructure Systèmes et Réseaux

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

État Réalisé En cours Planifié

Impression de sécurité?

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Serveur FTP. 20 décembre. Windows Server 2008R2

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Fiche Technique. Cisco Security Agent

Présentation d'un Réseau Escolan

face à la sinistralité

Vulnérabilités et sécurisation des applications Web

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Sécurité de la Voix sur IP

Les applications Internet

L3 informatique TP n o 2 : Les applications réseau

Installation FollowMe Q server

CS REMOTE CARE - WEBDAV

Découvrez notre solution Alternative Citrix / TSE

Infrastructure Management

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

JAB, une backdoor pour réseau Win32 inconnu

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Internet et Programmation!

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Les principes de la sécurité

Politique et charte de l entreprise INTRANET/EXTRANET

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Sécurité des bases de données Nicolas Jombart Alain Thivillon

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

GENERALITES. COURS TCP/IP Niveau 1

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Fonctions avancées de document dans Word 2003 Options de collaboration dans Word 2003

GFI LANguard Network Security Scanner 6. Manuel. Par GFI Software Ltd.

Gestion des identités Christian-Pierre Belin

Configuration de WebDev déploiement Version 7

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

1. Comment accéder à mon panneau de configuration VPS?

OPTENET DCAgent Manuel d'utilisateur

Chapitre 1 Windows Server

NAS 224 Accès distant - Configuration manuelle

Les tableaux de bord de pilotage de nouvelle génération. Copyright PRELYTIS

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Découvrir les vulnérabilités au sein des applications Web

MANUEL DE DEPLOIEMENT

Serveurs de noms Protocoles HTTP et FTP

Spécifications de l'offre Surveillance d'infrastructure à distance

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

M F. Consultante Moe / Support. Finance de Marché

contact@nqicorp.com - Web :

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Spécialiste Systèmes et Réseaux

La citadelle électronique séminaire du 14 mars 2002

Cisco Certified Network Associate

Cours CCNA 1. Exercices

Procédure d'installation complète de Click&Decide sur un serveur

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Linux sécurité des réseaux

Transcription:

HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est branché sur Internet Uniformisation de la société de l'information Conséquences générales sur la société

Exemples de risques Dénis de service et dénis de service répartis Défiguration de serveur web Vols des fichiers de cartes bancaire Dossiers médicaux publiés sur internet Plantage d'un tiers certificateur Vol d'un accès à une banque en ligne sur un poste client Contrefaçon aux droits d'auteurs... Les vulnérabilités sont diversifiées et sont principalement applicatives Conséquences Pertes de temps Pertes financières Mauvaise image de marque Dévalorisation boursière Problèmes judiciaires Pertes de savoir-faire... Les conséquences d'une atteinte à la sécurité portent bien au delà des aspects techniques

l'étude du Clusif Origine des incidents par nature : Incidents les plus courant ont un impact faible: Pannes internes, Perte de services essentiels, Virus Incidents de type Attaques logiques ont l'impact le plus fort Copyright Étude sinistralité Clusif 2001 Les sinistres venus de l'extérieur demeurent importants. Les failles techniques SANS Top 10 Unix U1Exécutiondeprocéduredistance(RPC) U2 Serveur web Apache U3 Secure Shell (SSH) U4 Simple Network Management Protocol (SNMP) U5 File Transfer Protocol (FTP) U6 R-commandes U7 Impression distante (LPD) U8 Messagerie Sendmail U9ServeurdenomsBind U10 Authentification Unix en général : comptes sans mot de passe ou avec des mots de passes faibles

Les failles techniques SANS Top 10 Windows W1 Serveur web Internet Information Services (IIS) Incapacité à gérer les requêtes imprévues Débordements de tampons Applications de démonstration W2 Microsoft Data Access Components (MDAC) -- Remote Data Services W3 Microsoft SQL Server W4 NETBIOS : Partages Windows par le réseau sans contrôle d'accès W5 Connexion anonyme (Anonymous Logon) W6 Authentification LAN Manager : faiblesse du hachage Hashing W7 Authentification Windows en général : comptes sans mot de passe ou avec des mots de passe faibles W8 Internet Explorer W9 Accès distant à la base de registre W10 Windows Scripting Host Expérience HSC Les serveurs WWW sont la principale cible Mauvaise gestion des sessions Cookie codé contenant le nom de l'utilisateur authentifié Injection SQL permettant de consulter et modifier la base, parfois avec des privilèges Débordement de tampon dans les scripts Mots de passe utilisateurs beaucoup trop simples sur Internet permettant d'accéder à des serveurs de Les problèmes réseau la seconde Réseaux sans fil non protégés courrielweb Lessystèmesd'exploitationlatroisième Les menaces externes se développent car du personnel de l'intérieur attaque de l'extérieur

La menace du firewall Le firewall a du succès car il a été et demeure une brique de base indispensable Permet un contrôle d'accès sur le périmètre de l'entreprise Protège d'emblée l'ensemble du réseau privé Permet un audit relativement simple pour les auditeurs Le firewall n'est plus suffisant Le périmètre du réseau privé est flou et poreux Le firewall est détourné Ré-encapsulations Accès distants B2B Réseaux sans fil Le cadre réglementaire Protection des données à caractère nominatif Protection des logiciels Protection contre l'intrusion dans un système informatique Reconnaissance de la signature électronique Moyens d'applications et jurisprudence limités Pas de bonnes pratiques réglementaires

La sécurité dans le temps Chaque changement dans l'internet tend à moins de sécurité EDI ou B2B Voix sur IP Réseaux sans fil Les produits de sécurité suivent une évolution difficile Analyse de contenu Filtrage TCP/IP par les firewalls -> Contrôles applicatifs dans HTTP Protocoles TCP sur IP -> SOAP/XML sur HTTP De plus en plus d'utilisateurs pour de plus en plus d'usages De moins en moins de sécurité Le problème humain La sécurité n'est pas une issue technologique mais humaine il ne faut pas se concentrer sur la sécurité mais sur son métier les motivations du métier lescoûtsdumétier la vision du métier Sécurité => Consensus Concilier : Les responsables du métier Les responsables de l'informatique Les responsables de l'entreprise du contenu la politique de sécurité et de son application avec des experts La sécurité doit donner un sens au métier de l'entreprise et à ses affaires

Analyse de risques Menace Ce dont l'entreprise souhaite se protéger Vulnérabilité Faille ou faiblesse du système d'information Risque Quand une menace a exploité une vulnérabilité sur un actif Risque = Coût x Menaces x Vulnérabilités Gestion de risques Une vision de la gestion de risques : Le coût d'amélioration de la sécurité dépense significative réduit la fonctionnalité gêne les utilisateurs gêne les clients Le coût d'ignorer la sécurité parfois mauvaise presse des clients mécontents dans certains cas une pression législative => beaucoup en font le minimum et pas plus que le voisin

Etape 1 : Formaliser les responsabilités Sans responsabilisation Pas de conséquences réelles d'une mauvaise sécurité Pas de possibilité d'assurance Responsabiliser les gens Formaliser leur travail Formaliser les règles de sécurité Formaliser qui contrôle Étape 2 : Choisir une stratégie Ignorer le risque Réduire le risque Transférer le risque Accepter le transfert de responsabilité Assurance peut convertir en partie une responsabilité à géométrie variable en une responsabilité mesurable pour les responsables Cela permet de savoir gérer l'infogérance

Étape 3 : Choisir des solutions Inclure la sécurité dans tous les projets dès le départ Déployer des protections pour réduire les risques Adapter les solutions de sécurité à ses métiers Utiliser des check-lists Fournir des tableaux de bord aux dirigeants Conclusion Les risques sont là, seront toujours là et augmentent Les produits de sécurité sont un composant de la solution Ce sont des outils indispensables mais pas suffisants Le mieux à faire est de gérer les risques avec bon sens, cohérence et équilibre La société qui gère le mieux les risques sera la plus bénéficiaire La sécurité est souvent une réflexion après coup En intégrant la responsabilité et l'assurance dès le départ des projets la sécurité peut devenir créatrice de productivité.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back