La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sensibilisation à la Sécurité Informatique Liberté académique vs. Operations vs. Sécurité CERN Computer Security Team (2010) S. Lopienski, S. Lüders, R.

Présentations similaires


Présentation au sujet: "Sensibilisation à la Sécurité Informatique Liberté académique vs. Operations vs. Sécurité CERN Computer Security Team (2010) S. Lopienski, S. Lüders, R."— Transcription de la présentation:

1 Sensibilisation à la Sécurité Informatique Liberté académique vs. Operations vs. Sécurité CERN Computer Security Team (2010) S. Lopienski, S. Lüders, R. Mollon, R. Wartel Protecting Office Computing, Computing Services, GRID & Controls

2 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique ABC de la sécurité informatique Un système est aussi sûr que son lien le plus faible: Lattaquant choisit lheure, le lieu et la méthode Le défenseur doit se protéger de toutes les attaques possibles (celles connues, et celles qui seront découvertes ensuite) La sécurité est une propriété (pas une fonctionalité) La sécurité est un process permanent (pas un produit) La sécurité ne peut pas être prouvée La sécurité parfaite nexiste pas, il faut se contenter de 100%-ε. Au CERN, VOUS définissez ε !!!

3 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique ABC de la sécurité informatique Un système est aussi sûr que son lien le plus faible: Lattaquant choisit lheure, le lieu et la méthode Le défenseur doit se protéger de toutes les attaques possibles (celles connues, et celles qui seront découvertes ensuite) La sécurité est une propriété (pas une fonctionalité) La sécurité est un process permanent (pas un produit) La sécurité ne peut pas être prouvée La sécurité parfaite nexiste pas, il faut se contenter de 100%-ε. Au CERN, VOUS définissez ε !!! Note: En anglais «security» nest pas un synonyme de «safety». VOUS êtes responsables de sécuriser vos services & systèmes: En tant quutilisateur, développeur, expert système ou administrateur En tant que chef de projet ou déquipe En tant que membre du CERN et sa hiérarchie

4 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Le CERN est attaqué en permanence… même à cet instant. Services disponibles depuis internet constamment examinés par: … des attaquants essayant de trouver des mots de passe par force brute; … des attaquants essayant de pénétrer dans des applications Web; … des attaquants essayant de prendre le contrôle de serveurs Utilisateurs ne prennent pas les précautions suffisantes contre: … des attaquant essayant de collecter des mots de passe … des attaquant essayant de voler des mots de passe par hameçonnage Des incidents se produisent: Sites et services web, interface de bases de données, nœuds de calcul, comptes … Le réseau des bureaux du CERN est assez libre: connections en libre service et beaucoup de visiteurs. Il y a donc toujours des machines infectées ou compromises Sous attaques permanentes

5 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Le CERN est attaqué en permanence… même à cet instant. Services disponibles depuis internet constamment examinés par: … des attaquants essayant de trouver des mots de passe par force brute; … des attaquants essayant de pénétrer dans des applications Web; … des attaquants essayant de prendre le contrôle de serveurs Utilisateurs ne prennent pas les précautions suffisantes contre: … des attaquant essayant de collecter des mots de passe … des attaquant essayant de voler des mots de passe par hameçonnage Des incidents se produisent: Sites et services web, interface de bases de données, nœuds de calcul, comptes … Le réseau des bureaux du CERN est assez libre: connections en libre service et beaucoup de visiteurs. Il y a donc toujours des machines infectées ou compromises Sous attaques permanentes VOUS êtes responsables dempêcher les incidents de sécurité darriver En tant quutilisateur, développeur, expert système ou administrateur En tant que chef de projet ou déquipe En tant que membre du CERN et sa hiérarchie

6 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Restez vigilant !!! Adresses peuvent être falsifiées ! Arrêtez le «hameçonnage»: Aucune raison légitime pour quon vous demande votre mot de passe ! Ne faites pas confiance à votre navigateur web

7 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Ne faites pas confiance à votre navigateur ! VRAIS liens vers ? %2e%31%33%38%2e%31%33%37%2e%31%37%37/p?uh3f223d co_partnerid=2&usage=0&ru=http%3A%2F%2Fwww.ebay.com&rafId=0 &encRafId=default Même pour les professionels, la réponse nest pas évidente !

8 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Oscilloscope piraté (tournant Win XP SP2) Les risques sont partout ! Manque de filtrage des données entrantes Informations confidentielles sur Wiki, web, CVS, … Négligence de la «règle du moindre privilège»

9 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Incident récent Un site web| piraté… Oops !!??? …une liste dutilisateurs

10 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Violation de principes de base ! Documentation système disponible via Google... Oubli de «la règle du moindre privilège»: Nimporte qui pourrait uploader des fichiers... Manque de filtrage des données entrantes

11 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Qui en assume les conséquences? Combien de temps vous faudrait-il pour réinstaller un système si on vous deviez le faire immédiatement ? Etes vous prêts à assumer toutes les conséquences ? Etes-vous dans une position de vraiment laccepter ? Qui peut se permettre pertes de: Fonctionnalité Contrôle ou sécurité Efficacité & beam time matérielles ou de données réputation…?

12 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique VOUS &NOUS VOUS VOUS & NOUS Analysez vos incidents Laissez la machine «ON», déconnectez la & ny touchez pas Réparer… Analysez les causes & implémentez les leçons retenues Surveillez le trafic réseau Déployez un mécanisme de détection (machines et réseau) Utilisez et maintenez votre anti-virus à jour Activez et surveillez les messages systèmes Soyez vigilant ! Réduction des risques: un processus permanent Budget & Ressources VOUS Réponse Prevention Protection Détection Patchez sans délai (centralisé) Gardez vos mots de passe secrets & changez les régulièrement «Règle du moindre privilège»: Contrôlez laccès à vos ressources Utilisez une bonne méthode de développent et de configuration Utilisez une «protection en profondeur» Renforcez vos règles de firewall Séparez vos réseaux Soyez vigilants!

13 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Circulaire opérationnelle #5

14 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Utilisez la «règle du moindre privilège» Protégez comptes/fichiers/services/systèmes contre les accès non autorisés Les mots de passe ne doivent pas être partagés ou devinables facilement Protégez laccès aux équipements non surveillés Les utilisateurs du service d s ne doivent pas : Envoyer de mail bombs, SPAM, chaines or de faux s ou articles Les utilisateurs de PC doivent : Utiliser un logiciel anti-virus et appliquer les mises à jour de sécurité régulièrement Agir immédiatement pour limiter les conséquences dun incident de sécurité Les utilisateurs du réseau du CERN doivent : Collaborer pour résoudre les problèmes pouvant nuire au réseau du CERN Ne faire aucune modification non autorisée au réseau du CERN Circulaire opérationnelle #5

15 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Lutilisation personnelle des ressources est tolérée si: La fréquence et durée dutilisation sont limitées et les ressources utilisées négligeables Lutilisation nest pas: illégale, politique, commerciale, inappropriée, choquante, ou faite au détriment du travail Lutilisation ne viole pas les lois applicables dans les pays hôtes du CERN INTERDIT: Consultation de contenu pornographique ou illicite (ex: pédophilie, incitation à la violence, discrimination ou à la haine raciale) Utilisation professionnelle sous conditions: Applications pouvant poser certains problèmes réseau ou de sécurité ex: Skype, IRC, P2P (eDonkey, BitTorrent, …) Respect de la confidentialité et des copyrights Contenus illégaux ou piratés (logiciels, musique, films, etc.) sont interdits Circulaire opérationnelle #5

16 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Lutilisation personnelle des ressources est tolérée si: La fréquence et durée dutilisation sont limitées et les ressources utilisées négligeables Lutilisation nest pas: illégale, politique, commerciale, inappropriée, choquante, ou faite au détriment du travail Lutilisation ne viole pas les lois applicables dans les pays hôtes du CERN INTERDIT: Consultation de contenu pornographique ou illicite (ex: pédophilie, incitation à la violence, discrimination ou à la haine raciale) Utilisation professionnelle sous conditions: Applications pouvant poser certains problèmes réseau ou de sécurité ex: Skype, IRC, P2P (eDonkey, BitTorrent, …) Respect de la confidentialité et des copyrights Contenus illégaux ou piratés (logiciels, musique, films, etc.) sont interdits Circulaire opérationnelle #5

17 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique La sécurité est un procès permanent et ne peut être efficace quà 100%-ε. VOUS êtes responsables de sécuriser vos services (i.e. ε): En tant quutilisateur, développeur, expert système ou administrateur En tant que chef de projet ou déquipe Donc: Soyez vigilant ! Eliminez les vulnérabilités: empêchez les incidents darriver Vérifiez les droits daccès et respectez la «Règle du moindre privilège» Rendez la sécurité une propriété du système: vérifiez configuration et méthodes de programmation Accordez des ressources et financements à la sécurité Léquipe de sécurité du CERN peut vous aider. Résumé

18 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique La sécurité est un procès permanent et ne peut être efficace quà 100%-ε. VOUS êtes responsables de sécuriser vos services (i.e. ε): En tant quutilisateur, développeur, expert système ou administrateur En tant que chef de projet ou déquipe Donc: Soyez vigilant ! Eliminez les vulnérabilités: empêchez les incidents darriver Vérifiez les droits daccès et respectez la «Règle du moindre privilège» Rendez la sécurité une propriété du système: vérifiez configuration et méthodes de programmation Accordez des ressources et financements à la sécurité Léquipe de sécurité du CERN peut vous aider. Résumé

19 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Formation sécurité informatique https://cern.ch/security/training/fr/index.shtml

20 Dr. Stefan Lüders (CERN IT/CO) DESY 20. Februar 2007 Sensibilisation à la sécurité informatique Pierre Charrue (BE), Peter Jurcso (DSU), Brice Copy (EN), Folke Wallberg (FP), Timo Hakulinen (GS), Catharina Hoch (HR), Stefan Lüders (IT), Joel Closier (PH), Gustavo Segura (SC), Vittorio Remondino (TE) Peter Chochula (ALICE), Mike Capell (AMS), Giuseppe Mornacchi (ATLAS), Frans Meijers (CMS), Gerhart Mallot (COMPASS), Niko Neufeld (LHCb), Alberto Gianoli (NA62), Francesco Cafagna (TOTEM), Technical-Network Admins. Plus dinformations... CERN Computing Rules OC#5, conditions générales d'utilisation & infos sur la sécurité: Signalez déventuels incidents: Contacts de sécurité (Départements): Contacts de sécurité (Expériences):


Télécharger ppt "Sensibilisation à la Sécurité Informatique Liberté académique vs. Operations vs. Sécurité CERN Computer Security Team (2010) S. Lopienski, S. Lüders, R."

Présentations similaires


Annonces Google