Quelles stratégies face aux nouvelles menaces informatiques?



Documents pareils
Vulnérabilités et sécurisation des applications Web

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Les risques HERVE SCHAUER HSC

La sécurité des systèmes d information

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Vulnérabilités et solutions de sécurisation des applications Web

Impression de sécurité?

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Sécurité informatique

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Menaces et vulnérabilités sur les réseaux et les postes de travail

Progressons vers l internet de demain

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Malveillances Téléphoniques

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Sécurité des systèmes informatiques Introduction

Gestion des mises à jour logicielles

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Sécurité des applications Retour d'expérience

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Bibliographie. Gestion des risques

Dr.Web Les Fonctionnalités

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Création d un «Web Worm»

Groupe Eyrolles, 2004, ISBN :

Les rootkits navigateurs

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

OSSIR Groupe SécuritS. curité Windows. Réunion du du février 2006 EADS. Réunion OSSIR du 13/02/2006. page 1

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Groupe Eyrolles, 2006, ISBN : X

Avantages. Protection des réseaux corporatifs de gestion centralisée

Notions de sécurités en informatique

Sécurité des Postes Clients

dans un contexte d infogérance J-François MAHE Gie GIPS

Désinfecte les réseaux lorsqu ils s embrasent

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Etat des lieux sur la sécurité de la VoIP

DenyAll Detect. Documentation technique 27/07/2015

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Développement d applications Internet et réseaux avec LabVIEW. Alexandre STANURSKI National Instruments France

Linux sécurité des réseaux

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Indicateur et tableau de bord

Virtualisation et sécurité Retours d expérience

Introduction aux antivirus et présentation de ClamAV

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Netdays Comprendre et prévenir les risques liés aux codes malicieux

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Le module SISR1. Les notions abordées sont présentées en entête de chaque séquence proposée. Les outils sont laissés au libre choix des professeurs.

Exemple de configuration ZyWALL USG

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Détection d'intrusions et analyse forensique

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Infrastructure Management

L'infonuagique, les opportunités et les risques v.1

FORMATION PROFESSIONNELLE AU HACKING

Sécurité des réseaux Les attaques

Gestion des identités Christian-Pierre Belin

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Catalogue «Intégration de solutions»

Pourquoi choisir ESET Business Solutions?

Présentation de la solution Open Source «Vulture» Version 2.0

Tutoriel sur Retina Network Security Scanner

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Solutions informatiques (SI) Semestre 1

1 La visualisation des logs au CNES

Sécurité informatique

I. Description de la solution cible

Menaces et sécurité préventive

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

La citadelle électronique séminaire du 14 mars 2002

OSSIR Groupe SécuritS. curité Windows. Réunion du du 9 octobre 2006 EADS. Réunion OSSIR du 09/10/2006. page 1

Fiche Technique. Cisco Security Agent

Mise en place d une politique de sécurité

LINUX LIVE SERVER. Allied Data Sys S.A - Luxembourg Vos Solutions Open-Source

Présentation commonit pour la réunion de l OSSIR du 10 Mars 2009 : - La société commonit - Le marché - La solution Virtual Browser - Démonstration

face à la sinistralité

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

Désinfection de Downadup

La sécurité informatique

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

TUNIS LE : 20, 21, 22 JUIN 2006

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

Atelier Sécurité / OSSIR

Table des matières. Avant-propos... Préface... XIII. Remerciements...

Transcription:

Quelles stratégies face aux nouvelles menaces informatiques? Serge SAGHROUNE Directeur SécuritS curité des Systèmes d'information et Télécom Groupe ACCOR Vice Président du CLUSIF

Exemples de mythes liés à la sécurité Je suis protégé car il y a le Firewall Une faile sur le réseau interne n est pas grave J'utilise tel outil, tel algorithme ou tel protocole de sécurité donc je n'ai rien de plus à faire!

Exemple de mythes liés à la sécurité Mythe 1 : Je suis protégé, j ai unfirewall Un Firewall est utile pour la protection vis à vis des attaques réseaux NetBIOS HTTP / HTTPS FTP telnet X X X Frontal Web BdD BdD

Exemple de mythes liés à la sécurité Mythe 1 (suite) : Mais les Firewalls ne peuvent pas éviter Manipulation des id.de session Prise de contrôle du serveur possible Prise de contrôle du serveur possible Client Web Frontal Web BdD BdD Serveur hostile Cross Site Scripting Prise de contrôle du serveur possible Interprétation des URLs Mauvaise configuration & exploitation Mauvais contrôle des entrées utilisateur Injection de code SQL Dénis de service

Exemple de mythes liés à la sécurité Mythe 2 : Une faile sur le réseau interne n est pas grave puisque ue nous contrôlons nos accès externes Sauf dans le cas d une infection virale Sauf dans le cas d une intrusion Sauf dans le cas d un employé malveilant Sauf que cela représente une majorité des incidents de sécurité selon plusieurs études! il faut donc aussi corriger les failles, même sur un réseau interne

Exemple de mythes liés à la sécurité Mythe 3 : J'utilise tel outil, tel algorithme ou tel protocole ded e sécurité donc je n'ai rien de plus à faire! L «utilisation«de fonction» de sécurité est différent de «faire» de la sécurité Un outil ou une fonction de sécurité renferme ces propres bugs ded e sécurité Bug dans les antivirus TrendMicro Bug sur les Firewall Checkpoint Bug dans l implémentation KERBEROS de l AD Une faile de sécurité n est pas forcément technique : Mauvais process,, Ereur humaine, Assurer une bonne sécurité implique de prendre en compte ces problématiques

Menaces Les menaces évoluent Les réponses à mettre en place aussi

Menaces du passé Attaque sur les couches réseaux Attaques sur les couches systèmes Virus

Menaces d aujourd hui Toutes les menaces du passé + Évolutions des codes malicieux Indépendants des versions d OS Exploitation de plusieurs vulnérabilités Pas d altération du bon fonctionnement des applications ataquées Délai de création et de diffusion des code malicieux réduits Il ne faut aujourd hui pas plus de 8 heures aux meileurs spécialistes pour réaliser un code exploitant une vulnérabilité suite à la difusion d un patch Microsoft Multiplication des vers réseau Slammer Sasser

Menaces d aujourd hui Les menaces se déplacent vers les couches applicatives SLQ injection, Cross site scripting,, Le port 80 devient un port «fourre-tout» via lequel un grand nombre de flux passent à travers les Firewalls (protocoles DCOM, RPC, SOAP, XML, streaming sur HTTP, ) Spyware/Trojan Trojan/Adware/Bots 1500 souches de virus ont été identitiées ces 20 dernières années contre 7000 en deux ans pour les Spywares et Adwares (Source Clusif)

Menaces d aujourd hui Cyber-criminélisation Chantage au Déni de service Dénonciation de fraude réglementaire Vol de carte de crédit Augmentation des contraintes réglementaires CNIL LCEN Interconnexion avec des éléments non maîtrisés Réseaux de nos partenaires (Amadeus( Amadeus,, SNCF, ) RAS (Serveurs d'accès distants utilisant des modems RTC) PABX Système de PayTV Accès de télémaintenance sur les systèmes de production

Merci de votre attention

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back