La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le processus de sécurité informatique Du point de vue de la protection des renseignements personnels confiés à lÉtat Benoît Girard, DIID, MRCI.

Présentations similaires


Présentation au sujet: "Le processus de sécurité informatique Du point de vue de la protection des renseignements personnels confiés à lÉtat Benoît Girard, DIID, MRCI."— Transcription de la présentation:

1 Le processus de sécurité informatique Du point de vue de la protection des renseignements personnels confiés à lÉtat Benoît Girard, DIID, MRCI

2 Introduction Votre mandat: veiller à lapplication de la loi sur la protection des renseignements personnels; Internet: un contexte nouveau hautement technique; Lappréciation des mesures de sécurité entourant les renseignements personnels sur Internet.

3 Notre approche Quelques définitions et concepts généraux; Lunivers de la sécurité informatique; Quelques repères pour lexercice de votre mandat quand Internet est en cause.

4 La sécurité absolue nexiste pas La sécurité est un concept relatif. On est plus ou moins en sécurité quavant, plus ou moins quailleurs, mais on ne peut jamais être sûrs dêtre parfaitement en sécurité.

5 La sécurité absolue nexiste pas Parce quelle dépend de la conjoncture extérieure (lapparition de nouveaux risques); Parce que les ressources à y consacrer sont limitées.

6 Doù la nécessité dévaluer lopportunité dinvestir En fonction de limportance des données à protéger; En fonction de la probabilité dune fuite.

7 Quand linformation est-elle sensible? Quand de réels renseignements sont en cause; Quand leur divulgation peut porter préjudice aux personnes concernées, même théoriquement;

8 Comment évaluer la probabilité dune atteinte? Se méfier des effets déformants de linconnu; Moins on a limpression dêtre en contrôle de la situation, plus on a tendance à exagérer le risque. On doit donc semployer à dissiper linconnu et à garder la tête froide.

9 Dans un contexte de rareté de ressources, prioriser selon Lintensité du préjudice; La probabilité du préjudice;

10 Usages légitimes et abusifs Dans le cours normal de ses fonctions, lÉtat doit manipuler des renseignements personnels; Notre désir de protéger ces renseignements ne doit pas aller jusquà entraver ces manipulations légitimes; Il faut savoir faire la distinction entre usages légitimes et abusifs.

11 Lunivers de la sécurité informatique La responsabilité de la sécurité et de la confidentialité des données appartient au premier chef à ladministrateur de réseau informatique branché sur Internet. Commençons par tenter de voir le monde de son point de vue.

12 La sécurité: une préoccupation majeure de ladministrateur Il ny a pas si longtemps, la première préoccupation de ladministrateur de réseau était de faire fonctionner le réseau; Aujourdhui, cette préoccupation a été remplacée par la sécurité; Comment en sommes-nous venus à une telle situation?

13 Une perspective historique Internet est une création de lunivers UNIX Ce qui a eu des implications sur la sécurité.

14 UNIX est un système « multiusagers » UNIX Terminaux Ordinateur

15 UNIX doit cloisonner ses usagers UNIX Espaces individuels de travail

16 UNIX partage ses logiciels UNIX Espaces individuels de travail Système et logiciels communs

17 Internet loge dans lespace protégé des logiciels communs UNIX Espaces individuels de travail Système et logiciels communs Internet

18 Donc, aucun besoin spécial de protéger les « réseaux » UNIX

19 Et les communications y circulent en « clair ». UNIX Origine Destination

20 Linterconnexion apporte son lot de risques de sécurité UNIX PC MacIntosh

21 Au point de départ, un PC ou un MAC nest pas sécurisé. PC MAC Réseau local relié à Internet

22 Les réseaux locaux ont faits des efforts… insuffisants Réseau local Novell MAC Réseau local AppleTalk

23 La complexité est source de « vulnérabilités » IBM Mainframe Réseau local Novell MAC UNIX Internet Réseau local AppleTalk

24 Aussi sécuritaire que le World Trade Center

25 Exemple 1 - WS-FTP Disque dur local Internet Votre site Web Votre site Web WS-FTP Fichier de configuration de WS-FTP (identifiant et mot de passe chiffrés) Copie de travail Copie en ligne

26 Exemple 1 - WS-FTP Disque dur local Internet Votre site Web WS-FTP Copie de travailCopie en ligne Votre site Web WS-FTP Fichier de configuration WS-FTP installé dans le même répertoire que le site Web

27 Exemple 2 - Hotmail

28 hminfo_shell.asp?_lang=EN&content=whysign&us=ws &id=2&fs=1&cb=_lang%3dEN&ct=

29 Exemple 2 - Hotmail hminfo_shell.asp?_lang=EN&content=whysign&us=ws &id=2&fs=1&cb=_lang%3dEN&ct=

30 Exemple 2 - Hotmail _lang=EN content=whysign us=ws id=2 fs=1 cb=_lang%3dEN ct=

31 Exemple 2 - Hotmail hminfo_shell.asp?_lang=EN&content=whysign&us=ws &id=BenGirard&fs=1&cb=_lang%3dEN &ct=

32 Exemple III - Le cheval de Troie Ordinateur Internet Fonctions réseau ports Port WWW Port SMTP Port POP3 Port FTP

33 Exemple III - Le cheval de Troie Ordinateur Internet Fonctions réseau ports Port WWW Port SMTP Port POP3 Port FTP Port associé à un logiciel pirate

34 Exemple III - Le cheval de Troie Partie secrète à lusage du pirate Partie affichée publiquement, alléchante pour les utilisateurs Logiciel offert gratuitement sur Internet prétendant vous rendre service

35 Les vulnérabilités Sont des maladresses de programmation qui, associées à la négligence humaine, laissent des trous dans le sécurité des ordinateurs ou des sites Web. Pirates et administrateurs de réseaux se font la course, les uns pour ouvrir, les autres pour fermer laccès aux ordinateurs via ces vulnérabilités.

36 La situation nest pas si désespérée quelle semble Rassurez-vous, les administrateurs de réseau ne restent pas les bras croisés en attendant les problèmes. Regardons maintenant les choses du point de vue « défensif ».

37 En quoi consiste la sécurité informatique? Authenticité; Irrépudiabilité; Intégrité; Confidentialité; Accessibilité.

38 Authenticité Les documents doivent être préservés dans létat voulu par leurs auteurs et leurs propriétaires.

39 Irrépudiabilité Lidentité des auteurs de documents ou de gestes consignés de même que celles des signataires des engagements pris doit être confirmée et correctement consignée de façon à empêcher la répudiation ultérieure.

40 Intégrité Les documents doivent être conservés dans leur état original –À labri de la destruction; –À labri des modifications non-autorisées.

41 Confidentialité Les documents doivent être à labri des regards indiscrets

42 Accessibilité Les documents doivent malgré tout être accessibles aux usagers autorisés

43 Les flux dinformation État Citoyens et entreprises

44 Les flux dinformation État Internet

45 Les flux dinformation État Internet

46 Les trois foyers dapplication de la sécurité État Internet Entrées et sorties extérieures Circulation interne Protection des lieux de conservation

47 Les problèmes de sécurité liés à lentreposage des données Internet Données à protéger Ordinateur passerelle donnant accès à Internet Réseau local

48 Les problèmes de sécurité liés à lentreposage des données Internet Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet Barrières Données à protéger

49 Les problèmes de sécurité liés à lentreposage des données Ordinateur Internet Fonctions réseau ports Port WWW Port SMTP Port POP3 Port FTP Identification

50 Les problèmes de sécurité liés à lentreposage des données Ordinateur Internet Fonctions réseau ports Port WWW Port SMTP Port POP3 Port FTP Port associé à un logiciel pirate Coupe-feu Identification

51 Les problèmes de sécurité liés à lentreposage des données Ordinateur Internet Fonctions réseau ports Port WWW Port SMTP Port POP3 Port FTP Coupe-feu Anti-virusIdentification

52 Les problèmes de sécurité liés à lentreposage des données Internet Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet Coupe-feu Données à protéger Coupe-feu individuel

53 Les problèmes de sécurité liés à lentreposage des données Internet Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet Coupe-feu Données à protéger Coupe-feu individuel

54 Les problèmes de sécurité liés à lentreposage des données Internet Ordinateur passerelle donnant accès à Internet Coupe-feu Données à protéger Coupe-feu individuelCopie de sûreté

55 Les problèmes de sécurité durant la communication Internet Réseau local et/ou Intranet Données à protéger Ordinateur passerelle donnant accès à Internet ???

56 Le problème de la transmission des clés HelloKedoh Hello Clé de chiffrement Internet Internet???

57 Le chiffrement à clé publique HelloKedoh Hello Internet PierreJean Clés publiques De Jean De Pierre Clés privées

58 Le problème de lauthentification des agents ?? Pierre??Jean?? Internet Garant

59 Le problème de lauthentification des agents ?? Pierre??Jean?? Internet Garants AB

60 Les garants sont dépositaires des clés publiques ?? Pierre??Jean?? Internet Garants AB

61 Un système en voie de développement mais inachevé Les fureteurs modernes gèrent les certificats pour les sites Web de commerce électronique; Pour le courrier électronique, la situation est carrément chaotique; Pour les autres applications, tout reste à faire.

62 Pour le courrier électronique... Il ny a pas encore de standard unique et inter-opérable; De nombreuses entreprises vous offriront des systèmes privés de chiffrement; Cela exige que vos partenaires adoptent le même fournisseur ou un fournisseur compatible.

63 Loffre privée permet le « tunneling » Internet Données à protéger

64 Une stratégie dintervention Prendre les choses à léchelle du réseau local; –Identifiant et mot de passe à tous les niveaux? –Coupe-feu? –Anti-virus? –Chiffrement des fichiers? –Copies de sûreté? –Mises-à-jour régulières?

65 Une stratégie dintervention Prendre les choses à léchelle du réseau local; La circulation interne des données; –Le réseau local est-il indépendant dInternet? –Les copies accessoires sont-elles éliminées? –Y a-t-il une politique dissuasive contre les indiscrétions?

66 Une stratégie dintervention Prendre les choses à léchelle du réseau local; La circulation interne des données; La circulation externe; –Avec des partenaires réguliers; –Avec des correspondants ponctuels ou occasionnels;

67 Une stratégie dintervention Prendre les choses à léchelle du réseau local; La circulation interne des données; La circulation externe; Faut-il enquêter?

68 Une stratégie dintervention Coûts $ % de sécurité

69 Conclusion Nous avons fait un rapide tour dhorizon du domaine de la sécurité informatique; Il reste bien des choses à dire, évidemment; Nous espérons quil vous aidera dans lexercice de vos responsabilités; Nous travaillons ensemble pour le bien des citoyens.


Télécharger ppt "Le processus de sécurité informatique Du point de vue de la protection des renseignements personnels confiés à lÉtat Benoît Girard, DIID, MRCI."

Présentations similaires


Annonces Google