La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Sécurité Informatique en 5 minutes Présentation 15 Janvier 2008.

Présentations similaires


Présentation au sujet: "La Sécurité Informatique en 5 minutes Présentation 15 Janvier 2008."— Transcription de la présentation:

1 La Sécurité Informatique en 5 minutes Présentation 15 Janvier 2008

2 Sommaire –Orcanthus Éléments clefs Date clefs Pérennité –Les risques –Les solutions –Comment procéder ? –Le Coût et le R.S.I. (R.O.I.) –Les Références

3 Éléments Clefs Id3 semiconductors (maison mère) –Activité : Laboratoire de R&D –Création : 1990 –Capital : euros –Effectif en 2008 : 38 dont 70% dingénieurs –C.A. : 37 M euros –R&D : 20% du C.A. –Spécialité : imagerie, capteur communicant, biométrie, radio, micro-électronique –Une filiale : Orcanthus

4 Éléments Clefs Orcanthus –Activité : Fabricant –Création : 2002 –Capital : euros –Effectif en 2008 : 2 –C.A. : 600 k euros –Présence internationale ; Canada, USA, Mexique, Brésil, Afrique du Sud, Sénégal, Danemark, Allemagne, Suisse, Italie, Slovénie, Pologne, Japon. –Produits : lecteur dempreinte digitale, lecteur sans contact, control daccès logique, control daccès physique et traçabilité.

5 Dates Clefs 1998 –collaboration avec Thomson-CSF pour le premier capteur thermique à balayage 1999 –Première mondiale : lecteur dempreinte et lecteur de carte à puce combiné avec la solution « Full in card matching » –naissance du lecteur Biothentic® et du pack Biothentic® Gull (log on de PC sur « Full in card matching » et possibilité de PKI 2003 –naissance du lecteur CeRtiS® et du pack CeRtiS® Gull (log on de PC) sous Windows® 2004 –évolution de CeRtiS® Gull (log on de PC et SSO) sous Windows® 2005 –Disponibilité dun driver Linux pour lecteur CeRtiS® image –Naissance du lecteur CL1356 T et C – lecteur de passeport électronique ICAO le plus rapide au monde –Mise a disposition du Pack CeRtiS® HAWK (log on de PC, SSO personnel, SSO entreprise) avec token soft 2006 –Mise à disposition du Pack CeRtiS® Hawk avec token Hard (contact et ou sans contact) 2007 –Naissance du lecteur CL868i –Nouvelle génération de CeRtiS® Bio 2008 –Bientôt disponible : CeRtiS® HAWK pour Citrix et client léger, CeRtiS® Eagle (idem Hawk pour LDAP) Interrupteur de porte biométrique ARX1

6 Pérennité Rentabilité et seuil de performance sans cesse en croissance Aucun endettement Équipe de développements R&D et de consultants expérimentés depuis lorigine

7 Les Risques Quelques chiffres Perdus/Volés 714,000 aux USA en ,400 plaintes déposées ces 6 derniers mois Perdus/Volés 942,000 aux USA en ,000 plaintes déposées ces 6 derniers mois Perdus/Volés 673,000 en ,300 plaintes déposées ces 6 derniers mois Perdus/Volés 520,000 en 2003 Assistants Numériques (PDA) PortablesPC Téléphones

8 Piratage de Pirate … Terminologie de base … –White hat –Black hat –Red teams –Phreaking –Script Kiddies –HackersCrackers

9 … et on peut aussi parler de … Cheval de Troie Craqueur de mot de passe Analyse de fichier Log Technique de données cachées Vol de données sur réseau radio Spoofing Ping on Death (demande decho ICMP) Smurf (ping 3-way) Et plus encore …

10 Attaques et menaces Types dattaques –Espiègle –Malicieuse Vol de données Interruption dopération Revanche Problèmes personnels –intentionnelle –Tester votre sécurité

11 Vulnérabilités niveau 1 Corruption –DNS USA hors service pendant 8 hrs –ILOVEYOU mobile et mutant – 2000 Dénégation de service –Melissa – 1999 –E-commerce – 2000 Fuite dinformation –KLEZ enregistreur de frappe –Directeur de la CIA avec des Données classées sur son PC familiale –Aldrige AMES (CIA) espion pour la Russie

12 Classifications Activistes Club dInitiés Compétition Consultants Cinglés à louer Cinglés Clients Cyber-criminels Gens malades Cartels de drogue Économique Agent étranger et espions Fraudeurs Coalitions Mondiales Agences gouvernementales Pirates informatique Truands Experts en espionnage Industriel Informations militaires Infrastructures militaires Initié (interne) Personnel de maintenance Fondateur de Microsoft Organisations militaires Nations, états Nature Crime organisé Groupes Paramilitaire Police Détectives Privé Voleurs Professionnels Reporters Terroristes Bandes organisées Vandales Vendeurs Agent de circulation

13 Classification (daprès Fred Cohen & associates) … Attaque 17 plongeur en ordures/poubelle PC Attaque 21 ingénierie humaine Attaque 25 insertion pendant le transit Attaque 26 observation pendant le transit Attaque 27 modification pendant le transit Attaque 35 notice dexploitation inexacte Attaque 48 carotteur de données Attaque 49 bug Van Eck Attaque 55 surfer par dessus lépaule Attaque 56 rassemblement de données …

14 Classification (suite) … Attaque 58 attaque du contenu Attaque 61 hang-up hooking (TCP SYN) Attaque 63 débordement de données (buffer overflow) Attaque 64 insertion de valeur illégale (neg. dates) Attaque 69 introduction de défaut de charge (reroute) Attaque 71 fausse mise à jour Attaque 72 attaque de réseau et de protocole Attaque 73 distribution dattaques organisées Attaque 74 intermédiaire Attaque 84 attaque sous le seuil Attaque 93 attaque au salami … etc ….

15 La solution 1. Connaître son réseau 2. Analyser son trafic 3. Mise en place dune authentification forte (trois facteurs) 4. instaurer des règles de sécurité, informer les utilisateurs, et appliquer les règles à la lettre 5. Connaître ses voisins 6. vérifier régulièrement les logs 7. faire une copie régulière des données et sous bonne garde 8. mettre des filtres puissants 9. Ne pas croire que ça narrive quaux autres 10. Savoir qui appeler en cas durgence

16 Oui, mais …. Retour à l'article Sécurité Les mots de passe informatiques dans les entreprises : encore des efforts à faire ! C'est bien connu : les plus grandes menaces pour la sécurité informatique des entreprises viennent des utilisateurs eux- mêmes. Le spécialiste de la sécurité des données Safenet vient de publier une étude sur l'utilisation des mots de passe au sein des entreprises. Elle est le résultat d'enquêtes menées en France, en Allemagne, au Royaume-Uni et aux Etats-Unis auprès de personnes. Par rapport à 2003, il apparaît que 68 % des entreprises consultées ont renforcé leur politique de sécurité en exigeant des mots de passe de plus en plus longs ou de plus en plus compliqués d'une année sur l'autre. La plupart des personnes interrogées ( 30 % ) doivent désormais renouveler leurs mots de passe jusqu'à sept fois et plus par an. En France, les résultats montrent une augmentation de 4 % des employés contraints de changer de mot de passe cinq à six fois par an et le nombre de ceux ne changeant jamais leurs mots de passe a diminué de 3 %. La complexité croissante des mots de passe se manifeste d'une part par l' augmentation du nombre de caractères et, d'autre part, par l'introduction croissante de composantes alphanumériques. En 2004, 29 % des employés interrogés utilisent des mots de passe avec des composantes alphanumériques contre 27 % en % des entreprises utilisent des mots de passe de huit caractères et plus. La France enregistre ainsi la plus forte croissance parmi les pays représentés avec 5 % d'augmentation. Tous ces chiffres témoignent d'une importante prise de conscience de l'importance des mots de passe. Pourtant, l'augmentation de la longueur et la complexification des mots de passe ne sont pas toujours positives. Selon l'étude de SafeNet, 47 % des personnes interrogées ont de cinq à dix mots de passe différents pour accéder aux applications de leur entreprise. Avec des mots de passe de plus en plus longs, compliqués et renouvelés plus souvent, les risques en termes d'utilisation sont accrus : les utilisateurs sont en effet souvent amenés à les noter sur un papier ou les oublient tout simplement. 65 % des personnes interrogées affirment ne jamais partager leurs mots de passe avec autrui (soit une augmentation de 6 % par rapport à 2003) et 35 % seulement l'ont communiqué (soit une diminution de 6 %). En France, contrairement aux autres pays, SafeNet a constaté une augmentation des utilisateurs qui notent leurs mots de passe. Ainsi, dans une entreprise de 1000 personnes, 500 écrivent les mots de passe et 350 le communiquent à autrui ! (Atelier groupe BNP Paribas - 10/03/2005)

17 Une réponse en 5 minutes … CeRtiS® HAWK avec Token –Log on avec authentification 3 facteurs Ce que je sais Ce que jai Ce que je suis –SSO (Single Sign On) simple et efficace

18 Un SSO pour quoi ? La prolifération de mots de passe, conséquence dune politique de sécurité OBLIGATOIRE, complique les conditions de travail de lutilisateur. Cela entraîne, une rupture des règles de sécurité, et engendre des coûts pouvant atteindre des sommes astronomiques. Un SSO va répondre à vos besoins en matière de sécurité pour –Protéger toutes vos données –Protéger tous vos accès logiques –Gérer les mots de passe : Sans que cela ne coûte (estimation 2006 : 150 euros par an et par personne) Sans que cela ne soit contraignant Sans que cela ne soit falsifiable Sans que cela ne soit copiable Sans que cela ne soit transmissible

19 Un SSO pour qui ? Au sein de l'entreprise, la valeur associée au Single Sign-On (SSO) est souvent limitée au confort qu'il apporte aux utilisateurs, leur permettant de se libérer de la contrainte de la gestion de multiples identifiants et mots de passe. Cependant, le SSO apporte de réels gains dans les domaines de la productivité des services informatiques ainsi que dans le domaine de la politique de sécurité. Pour les services informatiques, il permet par exemple de réduire jusqu'à 30% la charge de Help desk. Les analyses ont effectivement démontré que, sans SSO, 30% des appels à un help-desk concernent un problème de perte d'identifiant ou de mot de passe. Pour la politique de sécurité, un SSO permet de limiter le nombre de mots de passe triviaux ou affichés sur un Post-IT sur l'écran du poste de travail.

20 Un SSO surtout … En environnement Microsoft ®, Windows 2000 et Windows 2003 fournissent une gestion des utilisateurs via la console Active Directory et un SSO vers toutes les applications Microsoft basées sur Kerberos. Les clients Windows 2000/2003 se connectent de manière transparente aux applications basées sur Kerberos comme Microsoft IIS ou aux applications basées sur SSPI dans des domaines Windows Cependant, les utilisateurs de Windows ne peuvent pas se connecter automatiquement à des applications non-Kerberos comme par exemple, les émulateurs mainframe, les multi-logins SAP R/3, Lotus Notes, les applications sous Apache, WebSphere et les applications Unix ou Linux. Avec un SSO de type HAWK, ou EAGLE, vous pouvez étendre l'authentification Microsoft Kerberos à toutes les applications du système d'information.

21 Attention ! Le système d'information des entreprises devient l'objet de plus en plus fréquent de lois et réglementations. Au-delà des simples normes et standards de type ISO qui ont jalonné le développement des nouvelles architectures, le législateur s'est intéressé à la relation entre l'utilisation de l'informatique par les organisations et son impact sur les processus opérationnels. Les lois et réglementations assurant la protection des données privées des clients et prospects ont eu le plus large écho ces dernières années. Le développement de la messagerie et l'application des méthodes de Marketing Direct ont relancé le débat à tous les niveaux. Cependant, il existe de nombreux autres cas de lois définies par le législateur s'appliquant au système d'information. Avec un "SSO Sécurisé" on peut aider à répondre aux exigences légales.

22 Comment procéder 1 - Remplir une demande dautorisation aupres de la CNIL Dune manière générale, la CNIL nautorise que les dispositifs où lempreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée. Ça peut faire mal ! Le non accomplissement des formalités auprès de la CNIL est passible de 5 ans d'emprisonnement et d'amende. La CNIL a récemment mis en demeure une société ayant mis en œuvre un dispositif de contrôle daccès basé sur lempreinte digitale sans son autorisation préalable.

23 Comment procéder 2 – Installer un CeRtiS® Hawk avec Hard token (pour la CNIL) sur chaque station 3 – enrôler chaque utilisateur sous lœil vigilant de ladministrateur 4 – continuer à travailler À ce stade, vous avez rejoint le club des utilisateurs de CeRtiS®

24 Le coût et le R.S.I. (ROI)

25 Les Références Mécanique –Gunebo Deutschland, WAB Sicherheitssysteme, Agroalimentaire –Agrimol, Cash n' carry, Maxims, Fairfield Dairies, Landskron Farm, Rolou Farm, Médical –Sebokeng Hospital, Jaques Persat, MSE, Textile –Boston Laundry, Fibre logic, Hôtellerie –Aventura Resorts, Minier –Oil Co, De Bears, Transport, courrier –HRP, Sun UTI, Prodata Electronique –Sonae, Sagem, ATMEL, STM, Chronix, fujitsu, Silicomp, NASA, Ingenico Imprimerie –Mithratech, Minit Print, Universal Web, François Charles Oberthur, Industrie du caoutchouc, plastique –Palmer Rubber, Veloflex, Xactics Plastics, Everest Flexibles, Parfumerie négoce –Gazzaz, Bancaire –Caisse dépargne de Côte divoire, Banque Santander, Carte didentité –Costa Rica gvt, Guinée gvt, Salvador gvt. Intégrateur, développeur –Avencis, Idactis, Keyvelopp, sigillum, Chaka group, IBM, SCB, AKURA, Scrypto, Be smart Ultimobyte, Militaire –armée Française (site stratégiques), Armée Danoise, Encarteur –Giesecke & Devrient,Oberthur Card system, Gemalto, FCO, HI, Autres –Les plus Hautes instances du gouvernement Français

26 Maintenant cest à vous de choisir. Merci de votre attention Luc DEVAUX -


Télécharger ppt "La Sécurité Informatique en 5 minutes Présentation 15 Janvier 2008."

Présentations similaires


Annonces Google