La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité informatique: enjeux techniques et stratégiques

Publié parHenri Geoffroy Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Sécurité informatique: enjeux techniques et stratégiques"— Transcription de la présentation:

1 Sécurité informatique: enjeux techniques et stratégiques
Université Paris XI - IFIPS Protego Informatique Nicolas Monier

2 Plan Qu’est-ce que la sécurité informatique?
Définition formelle Sécurité et cycle de vie d’un système informatique Quelques exemples concrets La sécurité informatique d’un point de vue technique Quelques chiffres Profil type des agresseurs Techniques d’attaques Contre-mesures La sécurité informatique d’un point de vue management Unité de mesure pour le manager: le risque Outils d’analyse: méthodologies et normes

3 Qu’est ce que la sécurité informatique

4 Définition formelle La sécurité informatique s’intéresse à deux composants: Les données électroniques. Les systèmes de traitement automatisés. La sécurité informatique vise à préserver pour les composants précédents les propriétés suivantes: L’intégrité (Modification illicite ou accidentelle impossible). La confidentialité (Accès illicite ou accidentel impossible). La disponibilité (Accès licites garantis 100% du temps). Ces propriétés doivent être préservées quelque soit le média utilisé par les données: Liens réseau physiques ou radio Disques ou bandes Rayonnements parasites ATTENTION: ne pas confondre système informatique et système d’information.

5 Sécurité et cycle de vie d’un système de sécurité
L’application La plate-forme Génie logiciel orienté sécurité Spécification de l’application Choix d’une plate-forme matérielle Audit de code Développement Choix d’un système d’exploitation Ingénierie système Analyse de la sécurité des BDD Interfaçage avec des composantes externes Installation et paramétrage du système d’exploitation Ingénierie système Tests d’intrusion Tests Positionnement physique et logique de la plate-forme Ingénierie réseau Installation et paramétrage de l’application Ingénierie système Ingénierie réseau Sécurité organisationnelle Maintenance et mise à jour

6 Quelques exemples concrets
2004: Laboratoire pharmaceutique infesté par un troyen 0-day. Disponibilité des systèmes de traitement et confidentialité des données compromises. 2003: Serveur mail d’un constructeur de véhicules de chantier piraté. Mails redirigés sur le serveur d’un concurrent américain. Confidentialité des données compromise. 2002: Système de changes d’une banque modifié par un employé malmené par sa direction. Intégrité des données compromise. Les impacts: Pertes sèches à court terme liées à une perturbation de la production. Pertes à moyen terme liées à une dégradation de l’image de marque.

7 La sécurité informatique d’un point de vue technique

8 Quelques chiffres Le CERT CC, organisme de recensement et de publication des problèmes de vulnérabilité fournit les chiffres suivants (vulnérabilités déclarées): Year 2000 2001 2002 2003 1Q-3Q 2004 Vulnerabilities 1,090 2,437 4,129 3,784 2,683 Les chiffres des incidents (liés à des piratages) déclarés sont: Year 2000 2001 2002 2003 Incidents 21,756 52,658 82,094 137,529 Le chiffrement des pertes liées aux agressions informatiques est impossible à effectuer de manière fiable: incidents pas toujours déclarés, outils de calcul non disponibles, recensement international difficile.

9 Profil type des agresseurs
Les utilisateurs maladroits associés à des administrateurs incompétents. Les employés malveillants. « Scripts kidies » ou « lamers ». « White hats », « black hats » et « grey hats ». Professionnels de l’intelligence économique et stratégique. (privés ou gouvernementaux). Terroristes supposés. Aucun chiffre fiable disponible quant au nombre et à la proportion des différents agresseurs. Mais de toute évidence, les employés malveillants et les « scripts kidies » sont ceux qui provoquent le Plus de dégâts.

10 Techniques d’attaques
Buts: compromettre la disponibilité, la confidentialité et l’intégrité des données ou des systèmes de traitement automatisés. Usurpation d’identité (ex: IP, login/mot de passe). Exploitation des défauts d’implantation ou de spécification des protocoles réseau (ex: IP fragmentation, cassage de clefs WEP). Exploitation de failles de codes. (ex: BoF). Injection de données dans des entrées non validées (ex: SQL injection). Déni de service par saturation des ressources (ex: syn flooding). Ingénierie Sociale. Exploitation de configurations erronées des OS et/ou des applications (ex: exploitation du « ./ » dans le PATH root). Dit aussi « privilège escalation ».

11 Contre-mesures techniques
Contre-mesures génériques: segmentation réseau (logique/virtuelle/physique), blindage des OS et des applications. Outils de sécurité d’accès: firewalls, tunnels chiffrés VPN ou SSL, serveurs d’authentification, PKI. Outils de détection d’intrusion: IDS réseau, IDS hôte, Scanners de vulnérabilités. Outils de sécurité de contenu: Antivirus de flux ou de poste, filtres SPAM et filtres URL, proxies et reverse-proxies, analyse peer-to-peer Outils de mise ne haute disponibilité: gestionnaires de bande passante, boîtiers d’équilibrage de charge, systèmes de clustering logiciel, protocoles de routage et de redondance. Génie logiciel orienté sécurité: conception et écriture de code sûr.

12 La sécurité informatique d’un point de vue management

13 Unité de mesure pour le manager: le risque
Deux informations intéressent le manager: L’ergonomie des outils Informatiques (impliquant un gain de productivité) et l’estimation d’une probabilité d’un perte financière liée à un incident informatique. Son but: maximiser le rapport productivité/coût. Le consultant sécurité ne répond pas à un besoin énoncé par le DSI mais À des contraintes financières spécifiées par le DAF. L’informaticien doit donc élargir son champs d’analyse: Minimiser l’impact de la sécurité sur l’ergonomie. Prendre en compte la sécurité physique des systèmes (car le DAF considère tous les incidents et pas uniquement les malveillances). Prendre en compte la sécurité organisationnelle. Se doter d’outils d’analyse pour communiquer avec le DAF. Risque informatique: valeur synthétique mesurant la probabilité d’exécution d’une menace exploitant la vulnérabilité d’un système, ayant un impact négatif sur le niveau de production.

14 Outils d’analyse: méthodes et normes
La mesure du risque nécessite un audit. Ce dernier nécessite la création d’un référentiel de valeurs. On doit donc se doter de méthodes pour: (1) appréhender La complexité du système d’information, (2) créer des échelles de valeur Propres à l’entreprise. Méthodologies institutionnelles: ITSEC, NSA books. Méthodologie non institutionnelle: OCTAVE. Méthodologie non institutionnelle: MEHARI. Norme internationale: IS Les méthodes proposent toutes la création d’un cadre de référence, la définition d’un périmètre d’analyse et un système de calcul du risque. MAIS: elles ne proposent pas de technique de mise en œuvre, de contrôle De la durée, de répartition des tâches, d’intégration d’analyses de bas niveau.

15 Conclusion Beaucoup de fausses idées reçues sur le monde de la sécurité Informatique: Techniquement, le métier de la sécurité ne se cantonne pas au réseau. Plus généralement le consultant sécurité ne peut se cantonner son périmètre d’investigation à l’informatique. La sécurité n’est pas une question technique. C’est une question financière. On ne sait pas réellement évaluer l’ampleur des incidents informatiques. On ne dispose pas de méthodologie de conception ou d’audit mature.

16 Questions ?

Télécharger ppt "Sécurité informatique: enjeux techniques et stratégiques"

Présentations similaires

Séminaires STRATEGIE Uniquement les informations nécessaires

Séminaires STRATEGIE Uniquement les informations nécessaires
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
L’Essentiel sur… La sécurité de la VoIP

L’Essentiel sur… La sécurité de la VoIP
VoIP 1 Chapitre 1 – La VoIP.

VoIP 1 Chapitre 1 – La VoIP.
Projet de Virtualisation dans le cadre d’un PCA/PRA

Projet de Virtualisation dans le cadre d’un PCA/PRA
Botnet, défense en profondeur

Botnet, défense en profondeur
Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.

Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.
© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité

© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité
Base de la sécurité Internet Formation LIR/AFRINIC Ouaga du 10 au 11 Novembre 2004 Alain Patrick AINA

Base de la sécurité Internet Formation LIR/AFRINIC Ouaga du 10 au 11 Novembre 2004 Alain Patrick AINA
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Validation des Systèmes Informatisés Industriels

Validation des Systèmes Informatisés Industriels
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003

Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Sécurité informatique: domaines d’application

Sécurité informatique: domaines d’application
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité

CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité

Présentations similaires

Annonces Google