La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Sécurité Informatique en 5 minutes

Publié parRoberte Gregoire Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "La Sécurité Informatique en 5 minutes"— Transcription de la présentation:

1 La Sécurité Informatique en 5 minutes
Présentation 15 Janvier 2008

2 Sommaire Orcanthus Les risques Les solutions Comment procéder ?
Éléments clefs Date clefs Pérennité Les risques Les solutions Comment procéder ? Le Coût et le R.S.I. (R.O.I.) Les Références

3 Id3 semiconductors (maison mère)
Éléments Clefs Id3 semiconductors (maison mère) Activité : Laboratoire de R&D Création : 1990 Capital : euros Effectif en 2008 : 38 dont 70% d’ingénieurs C.A. : 37 M euros R&D : 20% du C.A. Spécialité : imagerie, capteur communicant, biométrie, radio, micro-électronique Une filiale : Orcanthus

4 Éléments Clefs Orcanthus Activité : Fabricant Création : 2002
Capital : euros Effectif en 2008 : 2 C.A. : 600 k euros Présence internationale ; Canada, USA, Mexique, Brésil, Afrique du Sud, Sénégal, Danemark, Allemagne, Suisse, Italie, Slovénie, Pologne, Japon. Produits : lecteur d’empreinte digitale, lecteur sans contact, control d’accès logique, control d’accès physique et traçabilité.

5 Dates Clefs 1998 collaboration avec Thomson-CSF pour le premier capteur thermique à balayage 1999 Première mondiale : lecteur d’empreinte et lecteur de carte à puce combiné avec la solution « Full in card matching ». 2002 naissance du lecteur Biothentic® et du pack Biothentic® Gull (log on de PC sur « Full in card matching » et possibilité de PKI 2003 naissance du lecteur CeRtiS® et du pack CeRtiS® Gull (log on de PC) sous Windows® 2004 évolution de CeRtiS® Gull (log on de PC et SSO) sous Windows® 2005 Disponibilité d’un driver Linux pour lecteur CeRtiS® image Naissance du lecteur CL1356 T et C – lecteur de passeport électronique ICAO le plus rapide au monde Mise a disposition du Pack CeRtiS® HAWK (log on de PC, SSO personnel, SSO entreprise) avec token soft 2006 Mise à disposition du Pack CeRtiS® Hawk avec token Hard (contact et ou sans contact) 2007 Naissance du lecteur CL868i Nouvelle génération de CeRtiS® Bio 2008 Bientôt disponible : CeRtiS® HAWK pour Citrix et client léger, CeRtiS® Eagle (idem Hawk pour LDAP) Interrupteur de porte biométrique ARX1

6 Pérennité Rentabilité et seuil de performance sans cesse en croissance
Aucun endettement Équipe de développements R&D et de consultants expérimentés depuis l’origine

7 Les Risques Quelques chiffres 714,000 aux USA en 2003
Perdus/Volés 714,000 aux USA en 2003 31,400 plaintes déposées ces 6 derniers mois Perdus/Volés 942,000 aux USA en 2003 200,000 plaintes déposées ces 6 derniers mois Téléphones Assistants Numériques (PDA) Perdus/Volés 673,000 en 2003 11,300 plaintes déposées ces 6 derniers mois Perdus/Volés 520,000 en 2003 Portables PC

8 Piratage de Pirate … Terminologie de base … White hat Black hat
Red teams Phreaking Script Kiddies HackersCrackers

9 … et on peut aussi parler de …
Cheval de Troie Craqueur de mot de passe Analyse de fichier Log Technique de données cachées Vol de données sur réseau radio Spoofing Ping on Death (demande d’echo ICMP) Smurf (ping 3-way) Et plus encore …

10 Attaques et menaces Types d’attaques Espiègle Malicieuse
Vol de données Interruption d’opération Revanche Problèmes personnels intentionnelle Tester votre sécurité

11 Vulnérabilités niveau 1
Corruption DNS USA hors service pendant 8 hrs- 1998 ILOVEYOU mobile et mutant – 2000 Dénégation de service Melissa – 1999 E-commerce – 2000 Fuite d’information KLEZ enregistreur de frappe Directeur de la CIA avec des Données classées sur son PC familiale Aldrige AMES (CIA) espion pour la Russie

12 Classifications Activistes Club d’Initiés Compétition Consultants
Cinglés à louer Cinglés Clients Cyber-criminels Gens malades Cartels de drogue Économique Agent étranger et espions Fraudeurs Coalitions Mondiales Agences gouvernementales Pirates informatique Truands Experts en espionnage Industriel Informations militaires Infrastructures militaires Initié (interne) Personnel de maintenance Fondateur de Microsoft Organisations militaires Nations, états Nature Crime organisé Groupes Paramilitaire Police Détectives Privé Voleurs Professionnels Reporters Terroristes Bandes organisées Vandales Vendeurs Agent de circulation

13 Classification (d’après Fred Cohen & associates)
Attaque 17 — plongeur en ordures/poubelle PC Attaque 21 — ingénierie humaine Attaque 25 — insertion pendant le transit Attaque 26 — observation pendant le transit Attaque 27 — modification pendant le transit Attaque 35 — notice d’exploitation inexacte Attaque 48 — carotteur de données Attaque 49 — bug Van Eck Attaque 55 — surfer par dessus l’épaule Attaque 56 — rassemblement de données

14 Classification (suite)
Attaque 58 — attaque du contenu Attaque 61 — hang-up hooking (TCP SYN) Attaque 63 — débordement de données (buffer overflow) Attaque 64 — insertion de valeur illégale (neg. dates) Attaque 69 — introduction de défaut de charge (reroute) Attaque 71 — fausse mise à jour Attaque 72 — attaque de réseau et de protocole Attaque 73 — distribution d’attaques organisées Attaque 74 — intermédiaire Attaque 84 — attaque sous le seuil Attaque 93 — attaque au salami … etc ….

15 La solution 1. Connaître son réseau 2. Analyser son trafic
3. Mise en place d’une authentification forte (trois facteurs) 4. instaurer des règles de sécurité, informer les utilisateurs, et appliquer les règles à la lettre 5. Connaître ses voisins 6. vérifier régulièrement les logs 7. faire une copie régulière des données et sous bonne garde 8. mettre des filtres puissants 9. Ne pas croire que ça n’arrive qu’aux autres 10. Savoir qui appeler en cas d’urgence

16 Oui, mais …. (Atelier groupe BNP Paribas - 10/03/2005) Sécurité
Retour à l'article Sécurité Les mots de passe informatiques dans les entreprises : encore des efforts à faire ! C'est bien connu : les plus grandes menaces pour la sécurité informatique des entreprises viennent des utilisateurs eux-mêmes. Le spécialiste de la sécurité des données Safenet vient de publier une étude sur l'utilisation des mots de passe au sein des entreprises. Elle est le résultat d'enquêtes menées en France, en Allemagne, au Royaume-Uni et aux Etats-Unis auprès de personnes. Par rapport à 2003, il apparaît que 68 % des entreprises consultées ont renforcé leur politique de sécurité en exigeant des mots de passe de plus en plus longs ou de plus en plus compliqués d'une année sur l'autre. La plupart des personnes interrogées ( 30 % ) doivent désormais renouveler leurs mots de passe jusqu'à sept fois et plus par an . En France, les résultats montrent une augmentation de 4 % des employés contraints de changer de mot de passe cinq à six fois par an et le nombre de ceux ne changeant jamais leurs mots de passe a diminué de 3 %. La complexité croissante des mots de passe se manifeste d'une part par l' augmentation du nombre de caractères et, d'autre part, par l'introduction croissante de composantes alphanumériques . En 2004, 29 % des employés interrogés utilisent des mots de passe avec des composantes alphanumériques contre 27 % en % des entreprises utilisent des mots de passe de huit caractères et plus . La France enregistre ainsi la plus forte croissance parmi les pays représentés avec 5 % d'augmentation. Tous ces chiffres témoignent d'une importante prise de conscience de l'importance des mots de passe. Pourtant, l'augmentation de la longueur et la complexification des mots de passe ne sont pas toujours positives. Selon l'étude de SafeNet, 47 % des personnes interrogées ont de cinq à dix mots de passe différents pour accéder aux applications de leur entreprise. Avec des mots de passe de plus en plus longs, compliqués et renouvelés plus souvent, les risques en termes d'utilisation sont accrus : les utilisateurs sont en effet souvent amenés à les noter sur un papier ou les oublient tout simplement. 65 % des personnes interrogées affirment ne jamais partager leurs mots de passe avec autrui (soit une augmentation de 6 % par rapport à 2003) et 35 % seulement l'ont communiqué (soit une diminution de 6 %). En France, contrairement aux autres pays, SafeNet a constaté une augmentation des utilisateurs qui notent leurs mots de passe. Ainsi, dans une entreprise de 1000 personnes, 500 écrivent les mots de passe et 350 le communiquent à autrui ! (Atelier groupe BNP Paribas - 10/03/2005)

17 Une réponse en 5 minutes …
CeRtiS® HAWK avec Token Log on avec authentification 3 facteurs Ce que je sais Ce que j’ai Ce que je suis SSO (Single Sign On) simple et efficace

18 Un SSO pour quoi ? La prolifération de mots de passe, conséquence d’une politique de sécurité OBLIGATOIRE, complique les conditions de travail de l’utilisateur. Cela entraîne, une rupture des règles de sécurité, et engendre des coûts pouvant atteindre des sommes astronomiques. Un SSO va répondre à vos besoins en matière de sécurité pour Protéger toutes vos données Protéger tous vos accès logiques Gérer les mots de passe : Sans que cela ne coûte (estimation 2006 : 150 euros par an et par personne) Sans que cela ne soit contraignant Sans que cela ne soit falsifiable Sans que cela ne soit copiable Sans que cela ne soit transmissible

19 Un SSO pour qui ? Au sein de l'entreprise, la valeur associée au Single Sign-On (SSO) est souvent limitée au confort qu'il apporte aux utilisateurs, leur permettant de se libérer de la contrainte de la gestion de multiples identifiants et mots de passe. Cependant, le SSO apporte de réels gains dans les domaines de la productivité des services informatiques ainsi que dans le domaine de la politique de sécurité. Pour les services informatiques, il permet par exemple de réduire jusqu'à 30% la charge de Help desk. Les analyses ont effectivement démontré que, sans SSO, 30% des appels à un help-desk concernent un problème de perte d'identifiant ou de mot de passe. Pour la politique de sécurité, un SSO permet de limiter le nombre de mots de passe triviaux ou affichés sur un Post-IT sur l'écran du poste de travail.

20 Un SSO surtout … En environnement Microsoft®, Windows 2000 et Windows 2003 fournissent une gestion des utilisateurs via la console Active Directory et un SSO vers toutes les applications Microsoft basées sur Kerberos. Les clients Windows 2000/2003 se connectent de manière transparente aux applications basées sur Kerberos comme Microsoft IIS ou aux applications basées sur SSPI dans des domaines Windows 2000. Cependant, les utilisateurs de Windows ne peuvent pas se connecter automatiquement à des applications non-Kerberos comme par exemple, les émulateurs mainframe, les multi-logins SAP R/3, Lotus Notes, les applications sous Apache, WebSphere et les applications Unix ou Linux. Avec un SSO de type HAWK, ou EAGLE, vous pouvez étendre l'authentification Microsoft Kerberos à toutes les applications du système d'information.

21 Avec un "SSO Sécurisé" on peut aider à répondre aux exigences légales.
Attention ! Le système d'information des entreprises devient l'objet de plus en plus fréquent de lois et réglementations. Au-delà des simples normes et standards de type ISO qui ont jalonné le développement des nouvelles architectures, le législateur s'est intéressé à la relation entre l'utilisation de l'informatique par les organisations et son impact sur les processus opérationnels. Les lois et réglementations assurant la protection des données privées des clients et prospects ont eu le plus large écho ces dernières années. Le développement de la messagerie et l'application des méthodes de Marketing Direct ont relancé le débat à tous les niveaux. Cependant, il existe de nombreux autres cas de lois définies par le législateur s'appliquant au système d'information. Avec un "SSO Sécurisé" on peut aider à répondre aux exigences légales.

22 Comment procéder 1 - Remplir une demande d’autorisation aupres de la CNIL D’une manière générale, la CNIL n’autorise que les dispositifs où l’empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée. Ça peut faire mal ! Le non accomplissement des formalités auprès de la CNIL est passible de  5 ans d'emprisonnement et 300 000 € d'amende. La CNIL a récemment mis en demeure  une société ayant mis en œuvre un dispositif de contrôle d’accès basé sur l’empreinte digitale sans son autorisation préalable.

23 À ce stade, vous avez rejoint le club des utilisateurs de CeRtiS®
Comment procéder 2 – Installer un CeRtiS® Hawk avec Hard token (pour la CNIL) sur chaque station 3 – enrôler chaque utilisateur sous l’œil vigilant de l’administrateur 4 – continuer à travailler À ce stade, vous avez rejoint le club des utilisateurs de CeRtiS®

24 Le coût et le R.S.I. (ROI)

25 Les Références Autres Mécanique
Gunebo Deutschland, WAB Sicherheitssysteme, Agroalimentaire Agrimol, Cash n' carry, Maxims, Fairfield Dairies, Landskron Farm, Rolou Farm, Médical Sebokeng Hospital, Jaques Persat, MSE, Textile Boston Laundry, Fibre logic, Hôtellerie Aventura Resorts, Minier Oil Co, De Bears, Transport, courrier HRP, Sun UTI, Prodata Electronique Sonae, Sagem, ATMEL, STM, Chronix, fujitsu, Silicomp, NASA, Ingenico Imprimerie Mithratech, Minit Print, Universal Web, François Charles Oberthur, Industrie du caoutchouc, plastique Palmer Rubber, Veloflex, Xactics Plastics, Everest Flexibles, Parfumerie négoce Gazzaz, Bancaire Caisse d’épargne de Côte d’ivoire, Banque Santander, Carte d’identité Costa Rica gvt, Guinée gvt, Salvador gvt. Intégrateur, développeur Avencis, Idactis, Keyvelopp, sigillum, Chaka group, IBM, SCB, AKURA, Scrypto, Be smart Ultimobyte, Militaire armée Française (site stratégiques), Armée Danoise, Encarteur Giesecke & Devrient ,Oberthur Card system, Gemalto, FCO, HI, Autres Les plus Hautes instances du gouvernement Français

26 Maintenant c’est à vous de choisir.
Merci de votre attention Luc DEVAUX -

Télécharger ppt "La Sécurité Informatique en 5 minutes"

Présentations similaires

La place accordée à l’expression des salariés sur leur travail et leurs conditions de travail dans l’entreprise Résultats sondage exclusif CSA/ANACT.

La place accordée à l’expression des salariés sur leur travail et leurs conditions de travail dans l’entreprise Résultats sondage exclusif CSA/ANACT.
Spécialiste de Fixations Mécaniques et Assemblages de Haute Qualité Pour toutes applications astreignantes Secteur : Aéronautique, Spatial, Militaire,

Spécialiste de Fixations Mécaniques et Assemblages de Haute Qualité Pour toutes applications astreignantes Secteur : Aéronautique, Spatial, Militaire,
Lundi 21 mars 2011 Un réseau social pour Entreprise Jean-Luc Walter Patrick de Dieuleveult.

Lundi 21 mars 2011 Un réseau social pour Entreprise Jean-Luc Walter Patrick de Dieuleveult.
La sécurité en tant que service. Doctor Web est le seul vendeur SaaS en Russie En 2007 Dr.Web AV-Desk est lancé En octobre 2007 Dr.Web AV-Desk est intégré

La sécurité en tant que service. Doctor Web est le seul vendeur SaaS en Russie En 2007 Dr.Web AV-Desk est lancé En octobre 2007 Dr.Web AV-Desk est intégré
Présentation du module Projet Professionnel Personnel (P3)

Présentation du module Projet Professionnel Personnel (P3)
Le Groupe  ses ACTIVITES :

Le Groupe  ses ACTIVITES :
Vous accompagne vers la conformité

Vous accompagne vers la conformité
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES

ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
Stratégie territoriale en matière de développement de lindustrie du multimédia Lexpérience québécoise Montpellier 22 novembre 2005.

Stratégie territoriale en matière de développement de lindustrie du multimédia Lexpérience québécoise Montpellier 22 novembre 2005.
1 2 3 Croissance soutenue à long terme du marché cosmétique

1 2 3 Croissance soutenue à long terme du marché cosmétique
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Formation au portail SIMBAD

Formation au portail SIMBAD
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Collège Anatole France – Cadillac Mise à jour: 10-12-2006 Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.

Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
1 Louverture des économies Pour relâcher la contrainte des ressources productives.

1 Louverture des économies Pour relâcher la contrainte des ressources productives.
Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage

Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage
Société ERIC-CHRISTIAN Projet dinformatisation du système de production de Par la société ERIC-CHRISTIAN EC.

Société ERIC-CHRISTIAN Projet dinformatisation du système de production de Par la société ERIC-CHRISTIAN EC.

Présentations similaires

Annonces Google