La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Audit et sécurité des systèmes dinformation Réalisé par Olfa Mechi Institut Supérieur de Gestion de Tunis 2009-2010.

Présentations similaires


Présentation au sujet: "Audit et sécurité des systèmes dinformation Réalisé par Olfa Mechi Institut Supérieur de Gestion de Tunis 2009-2010."— Transcription de la présentation:

1 Audit et sécurité des systèmes dinformation Réalisé par Olfa Mechi Institut Supérieur de Gestion de Tunis

2 18/05/2014Audit et sécurité des SI _ Olfa Mechi2/34 Objectif du cours Maîtriser les notions de base relatives à la sécurité Connaitre les objectifs de la sécurité et les mécanismes à mettre en place pour assurer la sécurité des systèmes dinformation Connaitre les notions de base relatives à laudit informatique Volume horaire : 30 min Objectifs

3 Références 18/05/2014Audit et sécurité des SI _ Olfa Mechi3/34 Cours Type d'attaques de Stéphane Gill Algorithmes de Chiffrement et Communications sécurisées Abderrazak JEMAI Livre « Systèmes dinformations organisationnelles (Tome 2) »:chapitre XI de M Louadi Cours Introduction à la Sécurité Informatique de Abderrazak JEMAI Le programme national « Sécurité des systèmes dinformation » picardie.net OFFICE QUEBECOIS DE LA LANGUE FRANCAISE. Sécurité informatique : définition. In : BVc Cours sécurité informatique de Mr Nouaari Hichem (2009/2010) Livre « AUDIT DES SYSTEMES DINFORMATION AUTOMATISES ET OUTILS INFORMATIQUES DE LAUDITEUR »

4 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi4/34 Partie I:Securité des systèmes informations

5 Definitions Objectifs de la sécurité informatique Sources de vulnérabilité des systèmes informatiques Types des menaces Plan Origines et types des attaques Les effets dune attaque Principaux outils de défense 18/05/20145/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi Politique de sécurité

6 Définitions (1/3) 6/34 système dinformation : Lensemble des moyens nécessaires à lélaboration, au traitement, au stockage, à lacheminement et à lexploitation des informations la confidentialité et la disponibilité de linformation constitue un enjeu très important pour la compétitivité de lentreprise 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi SI représente un patrimoine essentiel de lentreprise

7 7/34 Ensemble de mesures de sécurité physique, logique, administrative et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer: La sécurité du système dinformation : La protection de ses biens informatiques La confidentialité des données de son système d'information la continuité de service OFFICE QUEBECOIS DE LA LANGUE FRANCAISE. Sécurité informatique : définition. In : BVc 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Définitions (2/3)

8 8/34 La science qui permet de sassurer que celui qui consulte ou modifie des données du système en a lautorisation La sécurité informatique Les systèmes informatiques sont au cœur des systèmes d´information Ils sont devenus la cible de ceux qui convoitent linformation Assurer la sécurité de linformation implique lassurance la sécurité des systèmes informatiques. 18/05/2014 Partie I_ Audit et sécurité des SI _ Olfa Mechi Cours A. Jemai - Introduction à la Sécurité Informatique-2008 Définitions (3/3)

9 Objectifs de la sécurité informatique 9/34 Les principaux objectifs à garantir: 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Confidentialité : Disponibilité : Authentification : Intégrité :. Non répudiation : vérifier lidentité des personnes qui veulent manipuler linformation Linformation ne peut être connue que par les personnes autorisées Linformation doit être utilisable à la demande Linformation ne doit pas être altérée ou détruite par accident ou malveillance Labsence de possibilité de contestation dune action une fois celle-ci est effectuée

10 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi10/34 Pourquoi les systèmes sont-ils vulnérables ?(1/2) Faille ou bug pouvant être utilisé pour obtenir un niveau daccès illicite à une ressource dinformations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource La vulnérabilité caractérise les composants du système(matériel, logiciel, les règles, les procédures, personnel) susceptibles dêtre attaquées avec succès Une vulnérabilité est exploitée par une menace pour causer une perte Exemples de vulnérabilités : Utilisation des mots de passe non robustes Présence de comptes non protégés par mot de passe Vulnérabilité

11 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi11/34 La sécurité est cher et difficile: Les organisations nont pas de budget pour ça La sécurité ne peut être sûr à 100%, elle est même souvent inefficace La politique de sécurité est complexe et basée sur des jugements humains Les organisations acceptent de courir le risque, la sécurité nest pas une priorité De nouvelles technologies (et donc vulnérabilités) émergent en permanence Les systèmes de sécurité sont faits, gérés et configurés par des hommes … Pourquoi les systèmes sont-ils vulnérables ?(2/2)

12 12 z 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Les types des menaces(1/2)

13 18/05/201413/34 Les types des menaces(2/2) 18/05/2014 accidentelle Panne disque Chute de tension Echange des disquettes infectée … intentionnels Le vol Lécoute La fouille … Livre de « Systèmes dinformations organisationnelles (Tome 2) »:chapitre XI de M louadi Partie I_ Audit et sécurité des SI _ Olfa Mechi

14 Les Types dattaques(1/5) 14/34 Les attaques daccès Les attaques de modification Les attaques par saturation (déni de service) Les attaques de répudiation Attaque = cible + méthode + Vulnérabilités 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Type d'attaques Stéphane Gill

15 15/34 Les attaques daccès Les Types dattaques(2/5) … Sniffing : Lattaquant se met à lécoute sur le réseau pour obtenir des informations Portes dérobées (backdoors) : injecter un code dans la cible pour lexploiter plus tard Ingénierie sociale : Lattaquant établit des relations avec le personnel pour obtenir des informations sur les mots de passe, La topologie du réseau,… 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Type d'attaques Stéphane Gill

16 16/34 Les Types dattaques(3/5) Les attaques de modification cheval de Troie: est un programme qui lui est un ver ou autre type de programme aux effets pervers Virus: un programme caché dans un autre qui peut sexécuter et se reproduire en infectant dautres programmes ou dautres ordinateurs Ver: un programme qui se copie lui-même mais qui naffecte pas dautres fichiers relâcher un ver dans internet permet de ralentir le trafic 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Macro virus: Ils sont insérés dans certains fichiers dextensions doc, xls, ppt…et ils donnent la possibilité dexécuter de petits programmes spécifiques sur le document qui les contient Bombe logique: un programme qui se déclenche à une date ou à un instant donnée Livre de « Systèmes dinformations organisationnelles (Tome 2) »:chapitre XI de M louadi

17 17/34 Les attaques par saturation (déni de service) Les Types dattaques(4/5) Le flooding: Envoyer à une machine de nombreux paquets IP de grosse taille. La machine cible ne pourra pas traiter tous les paquets et finira par se déconnecter du réseau. Le smurf: Sappuie sur le ping et les serveurs de broadcast. On falsifie dabord son adresse IP pour se faire passer pour la machine cible Le débordement de tampon: On envoie à la machine cible des données dune taille supérieure à la capacité dun paquet. Celui-ci sera alors fractionné pour lenvoi et rassemblé par la machine cible il y aura débordement des variables internes. 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Type d'attaques Stéphane Gill

18 18/34 Les Types dattaques(5/5) Les attaques de répudiation Le IP spoofing: se faire passer pour une autre machine en falsifiant son adresse IP (Elle est en fait assez complexe) 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi Type d'attaques Stéphane Gill Travail à faire :différence entre IP spoofing et smurf

19 Les effets dune attaque 19/34 Attaque passive : cest la moins dangereuse - Ne modifie pas linformation - Consultation de linformation Attaque active : ce type dattaque est dangereux - Modifie létat dune information, dun serveur ou dune communication - Connexion frauduleuse à un host ou un réseau - Altération des messages en transit sur un réseau (Denis de service) 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi

20 Qui représente un danger ? 20/34 Des utilisateurs Pirate : celui qui distribue et vend des logiciels protégés sous copyright Hacker : Celui qui visite des ordinateurs qui ne lui appartiennent pas sans leurs causer des dommages mais pour personnaliser son système Cracker :celui qui veut casser un système et causer des dommages Les espions: Pirate payé par une entreprise ou un organisme concurrent pour récolter (de façon frauduleuse) des informations sur un domaine précis 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi

21 Principaux outils de défense (1/5) 21/34 18/05/2014 Technique utilisée pour assurer la confidentialité des informations Fondée sur des algorithmes mathématiques pour rendre les données illisibles pour les personnes non autorisées Partie I_ Audit et sécurité des SI _ Olfa Mechi Cryptographie : Utilisée lors des échanges des informations ou pour minimiser les dégâts des vols(des ordinateurs portables, des disques,…) Algorithmes de Chiffrement et Communications sécurisées Abderrazak JEMAI

22 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi22/34 Un moyen qui permet de garantir lintégrité du message lors des échanges des données La signature numérique Le principe de la signature numérique consiste à appliquer une fonction mathématique sur une portion du message qui est utilisé comme emprunte digitale pour ce message Principaux outils de défense (2/5)

23 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi23/34 Protéger lentreprise des intrus et des accès non identifiés Firewalls : Agit comme une barrière entre le réseau interne de lentreprise et lextérieur STOP Firewall Réseau interne Extérieur Un firewall est un système ou un groupe de système qui gère les contrôles daccès entre deux réseaux La sécurité des réseaux Principaux outils de défense (3/5)

24 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi24/34 IDS (outil de Détection dintrusion): Essaie de détecter toute violation de privilège interne ou externe Types des IDS: -Les scanners des vulnérabilités testent la cible afin didentifier quelles sont les failles connues du système -Les IDS host based détectent des intrusions sur les hosts sur lesquels sont installés -Les IDS network based observent le trafic réseau directement Ce logiciel émet une alarme lorsqu'il détecte que quelqu'un de non-autorisé est entré sur le réseau Principaux outils de défense (4/5)

25 18/05/2014 Partie I_ Audit et sécurité des SI _ Olfa Mechi 25/34 Antivirus Programme de test de vulnérabilité Serveur Proxy Principaux outils de défense (5/5) …

26 Politique de sécurité (1/2) 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi26/34 Ensemble de règles spécifiant: -Comment les ressources sont gérées afin de satisfaire les exigences de la sécurité - Quels sont les actions permises et les actions interdites Objectif: Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc Implémentation: Partiellement automatisée, mais toutes les personnes sont impliquées.

27 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi27/34 Domaine dapplication: Elle doit fixer lensemble du personnel qui doit la respecter et lappliquer Domaine de responsabilité: administrateur système, … Définit les règles pour : La gestion des mots de passe Lauthentification des utilisateurs Le contrôle daccès (réseau et système) Larchitecture du réseau La sécurité du personnel (formation, …) La sécurité physique, etc. … Politique de sécurité (2/2)

28 18/05/2014Partie I_ Audit et sécurité des SI _ Olfa Mechi28/34 Partie II: Audit des systèmes informatiques

29 Definitions Objectifs de laudit informatique Travaux de laudit informatique Les outils de lauditeur informatique Plan 18/05/201429/34 Partie II_ Audit et sécurité des SI _ Olfa Mechi

30 Définitions 18/05/2014Partie II_ Audit et sécurité des SI _ Olfa Mechi30/34 Laudit est lexamen dune situation, dun système dinformations, dune organisation pour porter un jugement Cest la comparaison entre ce qui est observé et ce que cela devrait être, selon un système de références. Audit Audit informatique laudit informatique apporte : -Un conseil en organisation fourni par des spécialistes extérieurs -Le moyen daccompagner et de justifier la mise en place de nouvelles structures ou de nouvelles méthodes

31 18/05/2014Partie II_ Audit et sécurité des SI _ Olfa Mechi31/34 laudit informatique concerne : Les aspects stratégiques : conception et planification de la mise en œuvre du système dinformations Lenvironnement et lorganisation générale de la gestion de linformatique Les activités courantes de gestion de linformatique Les ressources informatiques mises en service Les applications informatiques en service La sécurité Les objectifs de laudit informatique

32 Travaux Daudit informatique 18/05/2014Partie II_ Audit et sécurité des SI _ Olfa Mechi32/34 L'infrastructure informatique Un système ou une application informatique en cours de réalisation Une application informatique Evaluer: Mission Livrable Rapports contenant les faiblesses relevées Mesures proposées pour réduire et contrôles des risques des nouveaux systèmes … …

33 18/05/2014Partie II_ Audit et sécurité des SI _ Olfa Mechi33/34 Lauditeur informatique peut disposer de deux types doutils importants dans le cadre de son activité : Les méthodes danalyse des risques informatiques Les progiciels daudit Les outils de lauditeur informatique

34 Synthèse 18/05/2014Audit et sécurité des SI _ Olfa Mechi34/34 Aucune sécurité n'est parfaite Des outils sont nécessaires, mais le travail quotidien est indispensable La sécurité n'apporte qu'un gain indirect. Par conséquent, il n'est pas facile de convaincre les décideurs de l'entreprise Le seul système informatique qui est vraiment sûr est un système éteint et débranché, enfermé dans un blockhaus sous terre, entouré par des gaz mortels et des gardiens hautement payés et armés.


Télécharger ppt "Audit et sécurité des systèmes dinformation Réalisé par Olfa Mechi Institut Supérieur de Gestion de Tunis 2009-2010."

Présentations similaires


Annonces Google