La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

La Sécurité Informatique.

Publié parHilaire Jacquet Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "La Sécurité Informatique."— Transcription de la présentation:

1 La Sécurité Informatique.

2 Plan de l’exposé. I. Pourquoi la Sécurité Informatique.
II.La politique de Sécurité Informatique. III. Mise en œuvre de la sécurité Informatique. IV. Attaques, Contre-mesures. Conclusion

3 I. Pourquoi la Sécurité Informatique.
Question Liminaire: Qu’elle est votre vision de la Sécurité Informatique ? Vous confiez vos données, qu’elle conscience avez vous des possibles évènements fâcheux?

4 État des lieux, Clusif 2002 Entreprises françaises attentistes
Il y a un budget. Sinistres en 2002 Recul des vols, beaucoup d’erreurs de conception Beaucoup de pannes et de virus Sous estimation, ignorance de la menace interne.

5 Le besoin de Sécurité Informatique.
Les sociétés sont devenus dépendantes de leur outil informatique. Internet et le travail avec les réseaux ouverts introduisent une révolution pour la sécurité. Les systèmes d’Intelligence sont répartis. Les morceaux sont interconnectés. Le succès d’Internet n’a pas été prévu.

6 Les conditions du bon fonctionnement du système.
Intégrité des données. Limitation des accès,… Confidentialité des données. Obligation légale, confiance,... Assurer la disponibilité des services. Fiabilité, performance,…

7 II. La politique de Sécurité Informatique.
La PSI est l’ensemble des principes et des règles de sécurité pour la gestion et le fonctionnement du système d’information.

8 Objectif de la PSI Son objectif est de protéger les actifs informatiques contre les risques, d’une manière adaptée à l’entreprise, à son environnement et à l’état de son outil informatique.

9 Objectif: Ce qui implique que le responsable de sécurité se charge des activités de: Protéger… Conception, mise en œuvre, et maintenance des contre-mesures de sécurité …les actifs informatiques de l'entreprise… Identification des actifs informatiques (information, applications, systèmes, ressources humaines). Détermination de la valeur des actifs:  pour l'entreprise, et pour les intrus potentiels …contre les risques… Identification des risques, ce qui implique l'identification des actifs vulnérables sur lesquels pèsent des menaces significatives …et ce, d'une manière qui est adaptée à l'entreprise,… Détermination du niveau de criticité des différents actifs informatiques. Détermination du meilleur équilibre entre risques et coût de protection …à son environnement… Identification des menaces:  internes et externes, d'origine accidentelle ou intentionnelle …et à l'état de son outil informatique. Identification des vulnérabilités des actifs informatiques

10 Chronologie de la PSI Identification des menaces
Identification des actifs Identification des menaces Détermination de la valeur des actifs Identification des vulnérabilités Identification des risques Détermination du niveau de criticité des actifs Conception, mise en œuvre et maintenance des contre-mesures

11 Principes de bases. La Sécurité à 100% est une utopie.
Le tout sécurité est pire que le mal. Toujours avoir une vision globale La Sécurité est un éternel compromis.

12 III. Mise en œuvre de la PSI.
Protéger quoi? Pourquoi? Contre Quoi? Contre Qui? A quel coût?

13 Vulnérabilité, Menaces, Risques.
Définition de la vulnérabilité: Faille matérielle ou logicielle qui permet d’obtenir un accès non autorisé ou de provoquer un Déni de Service. Naturelle, Physique, Logique,… Ex. eau, incendie, lecteur, absence de MJ…

14 Menaces. Définition de la Menace: Expression de nuire à autrui.
On distingue, les attaques externes, internes et physiques.

15 Les attaques externes. Intrusion via le réseau Diffusion de virus
Elles sont médiatisées, connues Elles sont rares (20%) Nécessites pare-feu, la surveillance du réseau…, isolation des zones sensibles.

16 Les attaques internes. Le cas typique est l’employé pas content, mais alors pas du tout content. Ce sont les plus fréquentes. Lutte complexe. Employer des serveurs distincts.

17 Les attaques physiques.
C’est un risque majeur. Difficile à contrer sans une réflexion en amont. (Ex. Française des Jeux,…) La plus connue est la pose d’un sniffeur.

18 Postulat. Plus le niveau de sécurité initial sera élevé, plus il sera simple de développer et de suivre les standards et les procédures pour le maintenir à niveau. Éviter de s’en remettre à la chance.

19 Le coût. Aucune assurance n’est gratuite.
La politique de sécurité est là pour le rendre acceptable. C’est un compromis. La perte de données vitales coûte beaucoup plus (Perte d’exploitation, etc.)

20 Bases d’une PSI (1) Volonté de la direction Générale.
Exercé par un Responsable de la sécurité. Elle concerne tout le monde. (pas d’exception) Elle est discutée, on y adhère.

21 Bases d’une PSI (2) Elle ne dépend pas de la technique.
Elle définit la technique utilisée. Elle se base surtout sur l’information et la FORMATION.

22 Concrètement Une SI c’est 80% de bon sens.
Il faut connaître son environnement. Être informé, SANS, CERT, CNRS-CRU, le site du fabriquant de votre OS. Elle doit être COHÉRENTE, sinon vous êtes le maillon faible,…

23 La gestion des incidents de sécurtité. PARLER SANS HONTE
Recommandations pour les incidents de sécurité. Informer la direction. (plainte) Informer le responsable de sécurité (traitement de l’incident) Stopper les services compromis SAUVEGARDER le système pour garder les traces NE PAS DONNER D’INFORMATIONS SUR L’INCIDENT Analyse et comprendre l’intrusion et évaluer les dégâts. Faire changer les mots de passe. Recherche les sniffeurs éventuels,…

24 Aspects légaux. Voir feuille de synthèse.
Le non droit est une idée reçue, Le problème c’est la preuve et la complexité des recours.

25 Législation (1) Loi relative à la propriété intellectuelle.
Droit d’auteur. Loi du 3 juillet 1985. Code de la propriété intellectuelle. Propriété intellectuelle des œuvres numériques. Article sur la situation du logiciel en France. Fraude informatique, Loi du 5 janvier 1988 Godfrain Délibération de juillet 1981 sur la SSI Organisation mondiale de la propriété intellectuelle.

26 Législation (2) Protection des données Protection des personnes.
CNIL loi 6 janvier 1978. Responsabilité civile Art 1382 cciv Code pénal, art à La signature électronique. Loi de réglementation des télécommunications Loi Toubon.

27 La gestion des incidents de sécurité.
Recommandations pour les incidents de sécurité. Informer la direction. (plainte) Informer le responsable de sécurité (traitement de l’incident) Stopper les services compromis SAUVEGARDER le système pour garder les traces NE PAS DONNER D’INFORMATIONS SUR L’INCIDENT Analyse et comprendre l’intrusion et évaluer les dégâts. Faire changer les mots de passe. Recherche les sniffeurs éventuels.

28 IV Attaques, Techniques de Défenses.

29 Inventaire des outils de défense.
Les Firewall. (remarques ils ne sont pas infaillibles) Évaluation de vulnérabilité, scanners. Systèmes de détection d’intrusion. Journalisation et audit Perceur de mots de passe La cryptographie. Le bon sens

30 Survol des menaces externes
Attaque par connaissance. Attaque par négligence. Attaque aveugle.

31 Attaque par connaissance.
Exploite: La mauvaise gestion des mots de passe La mauvaise administration des appareils (gestion des logins, gestion de la configuration des routeurs.

32 Attaque par négligence.
Exploite: Mauvaise information . Mauvaise stratégie de Mots de Passe,… Faiblesse des contrôles Faille dans les mises à jours (patchs, virus, etc.) Mauvais paramètres de Firewall

33 Attaque aveugle. Exploite:
Toutes les failles de l’attaque par négligence. Conséquence d’une mauvaise gestion du système.

34 Petite liste des attaques connues.
Attaque par spoofing ou attaque par usurpation Attaque par dissimulation d’identité. Le problème des sniffeurs (présent dans une majorité d’attaque.) Attaque de Déni de Service. Vers virus Troyens

35 Le risque majeur devient un risque résiduel.
CONCLUSION Le risque majeur devient un risque résiduel. Pour aller plus loin, Le Hacking, les méthodes de sécurités, les stratégies réseaux,…

Télécharger ppt "La Sécurité Informatique."

Présentations similaires

Les Systèmes d’Information Financière Atelier conjoint ACBF / Banque Mondiale / AFRITAC de l’Ouest Gérer l’application dans le temps, sur les plans fonctionnel,

Les Systèmes d’Information Financière Atelier conjoint ACBF / Banque Mondiale / AFRITAC de l’Ouest Gérer l’application dans le temps, sur les plans fonctionnel,
1 12 Niveaux de sécurité Atelier e-Sécurité – 19-20 juin 2006.

1 12 Niveaux de sécurité Atelier e-Sécurité – juin 2006.
Le Groupe  ses ACTIVITES :

Le Groupe  ses ACTIVITES :
ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES

ACCUEIL DES NOUVEAUX UTILISATEURS DES RÉSEAUX INFORMATIQUES
Les étapes dans la construction du projet En amont du projet Analyse de la situation Définition des besoins Élaboration d'hypothèses Détermination des.

Les étapes dans la construction du projet En amont du projet Analyse de la situation Définition des besoins Élaboration d'hypothèses Détermination des.
La sécurité des systèmes informatiques

La sécurité des systèmes informatiques
Botnet, défense en profondeur

Botnet, défense en profondeur
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Présentation générale

Présentation générale
1 – La notion de responsabilité

1 – La notion de responsabilité
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille

Thierry Sobanski – HEI Lille
CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité

CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité
La politique de Sécurité

La politique de Sécurité
Les réseaux informatiques

Les réseaux informatiques
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.

TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié

1 Je jure quà ma connaissance (qui est trés limitée et peut être révisée dans lavenir), le comptes de ma société sont (plus ou moins) exacts. Jai vérifié
Le piratage informatique

Le piratage informatique

Présentations similaires

Annonces Google