La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Informatique : usages et sécurité Femmes et TIC Octobre 2006.

Présentations similaires


Présentation au sujet: "Informatique : usages et sécurité Femmes et TIC Octobre 2006."— Transcription de la présentation:

1 Informatique : usages et sécurité Femmes et TIC Octobre 2006

2 Plan Introduction : la sécurité informatique Le piratage Mineurs et Internet Sécurité du poste de travail Le spam Les virus Lois et Internet

3 Pourquoi une politique de sécurité? Linformatique a considérablement évolué, par les technologies utilisées, les équipements, et les usages Ces évolutions ont considérablement augmenté les risques qui y sont associés La sûreté devient donc un impératif Une politique de sécurité est un ensemble de règles qui régit le traitement de linformation et lusage des ressources informatiques afin de garantir la sûreté du système dinformation En Tunisie, LANSI (Agence Nationale de Sécurité Informatique) est en charge de faire appliquer les grandes directives nationales en matière de sécurité et détablir des procédures pour aider tous les usagers

4 Le piratage (1/2) Quest-ce que cest? On considère quil y a intrusion sur un système dinformation lorsquune personne réussit à obtenir un accès non autorisé sur ce système permet au pirate de récupérer des données confidentielles, de les modifier ou encore dutiliser la machine pour perpétrer des actions délictueuses Les enjeux Beaucoup dattaques de piratage exploitent les failles du système dexploitation, sa mise à jour savère donc cruciale En cas dintrusion, une gestion correcte de lincident, définie préalablement, est nécessaire Les effets néfastes dune intrusion sur un système dinformation découlent directement dune mauvaise réaction après la découverte de lintrusion, ou peuvent en être amplifiés Quest-ce qui peut trahir une intrusion ? Activité importante sur le réseau ou sur une machine, impossibilité de connexion à celle-ci

5 Le piratage (2/2) Exemples dattaques Déni de service : saturer et rendre instable la machine Spoofing : usurpation dadresse IP pour passer au travers des filtres Écoute réseau : lanalyse du trafic pour intercepter les informations Mail bombing : saturer une boîte Installation dantispyware (ou espiogiciel) : collecte dinformations Les recommandations Les actions entreprises en prévention et en correction doivent être conformes à la politique de sécurité et aux procédures définies Confier aux professionnels comme lANSI le soin danalyser lintrusion AU PLUS VITE

6 Les mineurs et Internet (1/3) Les enjeux LInternet donne accès à une masse impressionnante dinformations, source documentaire incomparable qui permet à chacun denrichir ses connaissances Hélas, le meilleur y côtoie parfois le pire. Lors de nos balades sur le web, il nest pas rare de rencontrer des pages, des images statiques ou animées, des messages qui nous choquent, ou nous agressent, et dont nous aimerions protéger notre famille, nos élèves si nous sommes enseignants Au-delà de ces contenus, lInternet recèle des pièges pour les élèves Contenu à caractère pornographique Corruption de mineurs Incitation au racisme et à la violence

7 Les mineurs et Internet (2/3) Les recommandations Une charte dusage de lInternet doit avoir été adoptée dans chaque établissement scolaire ou à la maison Charte annexée au règlement intérieur pour les établissements scolaires Le mécanisme de filtrage repose sur des listes noires qui sont régulièrement mises à jour grâce à une collaboration au niveau national La détection et le signalement de sites illicites ou inadaptés repose sur la vigilance de chacun (les équipes pédagogiques, les élèves, les parents) lefficacité de ces listes noires ne pourra jamais être totalement garantie. Elle doit être complétée par une utilisation responsable de lInternet Exemple de charte dusage dInternet :

8 Mineurs et Internet (3/3) Le filtrage, en pratique Il existe des dispositifs de filtrage constitués par des logiciels actifs Ce type de logiciel interdit laccès à certaines pages web jugées illicites ou inadaptées dans un cadre pédagogique ou familial

9 Sécurité du poste de travail (1/4) Quest-ce que cest? Le poste de travail concourt à des fonctions vitales et manipule des données essentielles du système dinformation Il est utilisé à la fois pour échanger, stocker de linformation et pour accéder à des applications sensibles La sécurité du poste de travail représente un enjeu essentiel Elle constitue un des éléments essentiels de la sécurité Les mécanismes opérationnels sur les réseaux, serveurs ou systèmes logiciels constituent la première ligne technique de défense, mais il est FAUX de considérer que son poste de travail est protégé parce que situé derrière ceux-ci

10 Sécurité du poste de travail (2/4) Les recommandations En général Ne quittez jamais votre écran lorsque vous effectuez une opération sensible, si cest le cas verrouillez-le Fermez toujours correctement les applications utilisées lorsque vous quittez définitivement votre poste de travail, en particulier le navigateur Installez un antivirus, un logiciel anti-spyware et laissez activé le pare- feu de votre station situation par défaut des ordinateurs équipés de Windows XP SP2 Activez la mise à jour automatique du poste de travail (Windows Update sous Windows) Ne téléchargez pas des «cracks» de logiciels et ne visitez pas des sites mettant à disposition des logiciels pirates Lutilisation de Windows XP en version SP2 est recommandée en particulier pour les postes sensibles Messagerie Nenvoyez jamais dinformations confidentielles par courrier électronique (mots de passe, identifiants, numéros confidentiels) Nenvoyez pas de fichiers exécutables par courrier électronique et nouvrez pas ceux que vous recevez

11 Sécurité du poste de travail (3/4) Mots de passe La mise en oeuvre dun mot de passe pour bloquer laccès à votre poste de travail est recommandée Ne divulguez jamais votre mot de passe, ni toute autre information sur votre compte à un utilisateur quel quil soit ne laissez jamais ces informations en vue, ni collées sous le clavier Evitez dutiliser un mot de passe simpliste: un bon mot de passe est composé dau moins huit caractères et doit contenir des lettres ainsi que des chiffres ou des caractères spéciaux. Ne pas construire son mot de passe à partir dun mot pouvant être trouvé dans un dictionnaire Exemple : pwdftic5+ Ne pas utiliser le même mot de passe pour plusieurs applications. Notamment, nutilisez jamais un mot de passe à la fois pour des applications académiques et des applications extérieures

12 Sécurité du poste de travail (4/4) Poste en libre accès (environnement multi- utilisateurs) Lutilisation dun logiciel de régénération automatique (exemple Deep Freeze) est recommandée pour les établissements scolaires Lutilisation du navigateur Firefox (dans sa dernière version disponible) est recommandée Il doit être configuré pour ne pas sauvegarder les formulaires, lhistorique, les mots de passe, et pour effacer les cookies dès que le navigateur est fermé Les anti-virus Lantivirus doit être utilisé pour protéger TOUS les postes de travail de létablissement Veillez à ce quil soit régulièrement mis à jour

13 Le spam (1/3) Quest-ce que cest? Le spam (pourriel en français) est un message électronique non sollicité envoyé en masse, souvent de manière automatique Il pollue aussi bien la messagerie que les forums ou les chats Les enjeux La pratique du spam continue à évoluer rapidement. Le spam a une incidence négative croissante sur la sécurité des systèmes dinformation La lutte contre le spam implique lensemble des acteurs de la communauté, des utilisateurs à la hiérarchie, en passant par les équipes techniques Un premier niveau de mécanismes sont mis en oeuvre au niveau national (ATI) et chez les fournisseurs de service afin de lutter de manière centrale contre le spam Bien quefficaces, ils ne peuvent offrir une prévention absolue

14 Le spam (2/3) Recommandations Il ne faut jamais avoir une confiance absolue dans lexpéditeur du courrier, les adresses sont très facilement falsifiables Ne pas donner son adresse sur des formulaires de sites douteux car elle peut être collectée de manière abusive En pratique, avoir 2 adresses s et sinscrire à des services sur Internet en donnant celle qui compte le moins Ne répondez jamais à un spam Ne cliquez sur les liens de désabonnement à la «mailing list» de lexpéditeur que si vous êtes sûr quil permet un réel désabonnement (renseignez-vous sur le sérieux de la société expéditrice du courriel)

15 Le spam (3/3) Ne cliquez jamais sur les liens hypertextes insérés dans le corps du spam Nouvrez jamais un fichier joint à un Spam : ce pourrait être un virus ou un spyware Ne diffusez jamais à des tiers des adresses de messagerie autres que la vôtre sans le consentement des intéressés Utilisez de préférence des logiciels de messagerie permettant de filtrer les messages (ex: Thunderbird)

16 Les virus (1/4) Quest-ce que cest? Un virus est un petit programme qui, lorsquon lexécute, se charge en mémoire et exécute à linsu de lutilisateur les instructions que son auteur a programmées Les résultats de lexécution peuvent être très divers : envoi de données confidentielles au pirate (mots de passe, numéro de carte bleue...), effacement de fichiers La présence dun virus est généralement indétectable pour lutilisateur Certains virus possèdent en outre la faculté de créer des répliques deux-mêmes au sein dautres ordinateurs du réseau ou via la messagerie

17 Les virus (2/4) Les enjeux Les virus informatiques représentent aujourdhui la forme de criminalité informatique la plus développée. La nature même des risques quils font courir et leurs conséquences nécessitent une lutte à tous les niveaux Le principal vecteur de diffusion étant la messagerie électronique, celle-ci doit faire lobjet dune attention particulière Un nouveau vecteur émergent est la contamination par programmes téléchargés sur Internet, en particulier sur les sites pirates («crack» de logiciels en particulier) et sur les sites de téléchargement de sharewares

18 Les virus (3/4) Les différents types de virus (classés par type de propagation) Les vers ou worm : se propagent à travers un réseau Les chevaux de Troie ou trojan horse : créent une faille dans le système Les bombes logiques : se déclenchent suite à un évènement (date, heure, activation distante) Les canulars ou hoax : fausses rumeurs véhiculées par et poussant à propager linformation afin de désinformer, dembouteiller les réseaux

19 Les virus (4/4) Les recommandations pour se protéger des virus Avoir un anti-virus à jour sur son poste de travail et sur chaque poste du réseau Veiller à ce que son paramétrage soit correct, et assure sa mise à jour régulière Exercer la prudence la plus extrême lorsque vous recevez des pièces jointes, même sil sagit dun utilisateur connu car ladresse de lexpéditeur est falsifiable (.exe,.bat,.inf,.ini, etc) Contrôler toutes les nouvelles applications à installer : ninstaller aucun logiciel pirate, shareware, freeware inconnu sur une machine sensible

20 Recommandations pour le système dinformation des collectivités Dune façon générale, nous vous recommandons : dinterdire le trafic «peer to peer» de ne pas autoriser «le chat» de contrôler la connexion dordinateurs extérieurs de lenceinte de ne pas télécharger, ni exécuter des programmes inconnus sur les postes de ne pas utiliser le poste de travail avec les droits administrateurs Les solutions de type wifi : Elles sont très complexes à déployer de manière sécurisée déployer du wifi sans prendre en compte la sécurité est sexposer à de gros risques de sécurité Faire des contrôles de la mise en œuvre de ces recommandations

21 Législation et Internet La loi tunisienne du 6 août 1999 (Art. 199 bis) stipule les sanctions suivantes : si accès frauduleux à la totalité ou à une partie dun système de traitement automatisé des données : de 2 mois à 1 an de prison et/ou une amende de 1000 dinars si cet accès frauduleux engendre, même sans intention, une altération ou la destruction du fonctionnement des données existantes dans le système : 2 ans de prison et une amende de 2000 dinars si introduction frauduleuse de données dans un système de traitement automatisé de nature à altérer les données contenues ou le mode de traitement et de transmission : 5 ans de prison et une amende de 5000 dinars peine portée au double si lacte est commis par une personne lors de lexercice de son activité professionnelle Condamnations lourdes à létranger (possibles en Tunisie) : Aux États-Unis : condamnation dun jeune âgé de 14 ans à 3 ans de prison, pour avoir créé un ver qui a provoqué des dégâts En Espagne : condamnation dun jeune âgé de 26 ans à 2 ans de prison plus dommages et intérêts pour avoir créé un cheval de Troie qui a provoqué des dégâts

22 Quelques outils de sécurité domestique Voir les sites des fournisseurs daccès Internet qui proposent des outils gratuits à télécharger Ex : ntent&task=view&id=220&Itemid=408 ntent&task=view&id=220&Itemid=408


Télécharger ppt "Informatique : usages et sécurité Femmes et TIC Octobre 2006."

Présentations similaires


Annonces Google