La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA Kigali, Octobre 2007.

Présentations similaires


Présentation au sujet: "Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA Kigali, Octobre 2007."— Transcription de la présentation:

1 Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA Kigali, Octobre 2007

2 L Internet est devenu indispensable à la vie Un endroit où plusieurs personnes vivent, travaillent et jouent. Une ressource critique pour beaucoup daffaires LInternet permet aux organisations de: Faire du commerce électronique Fournir un meilleur service à la clientèle Collaborer avec des associés Réduire les coûts de communications Améliorer les communications internes Accéder rapidement aux informations nécessaires

3 Les Risques(1) Tandis que les réseaux informatiques révolutionnent votre manière de vivre, de jouer et de faire des affaires, les risques que présentent ces réseaux informatiques peuvent être fatales. Les attaques réseaux mènent à la perte de : argent temps produits réputation vies Information sensible Confiance en e-commerce Confiance et sécurité sont très importantes pour la société de linformation et en particulier sur lInternet

4 Les Risques(2) Source:

5 Les Risques(3) Source : 2005 CSI/FBI Computer crime and security survey

6 Sécurité du réseau et de linformation La sécurité du réseau et de linformation peut être comprise comme la capacité dun système dinformation à résister à un niveau donné de confiance à des évènements accidentels ou dactions malveillantes. De tels évènements ou actions peuvent compromettre la disponibilité, lauthenticité, lintégrité et la confidentialité de l'information stockée ou transmise comme celles des services offerts via lintermédiaire de ces systèmes et réseaux. Certaines actions de cybercriminalité sont à l'origine des cybercrimes comme le spoofing, phishing, vol de la propriété intellectuelle, vol de carte de crédit, stockage de matériel pornographique, la distribution illégale des matériaux racistes, spamming.....

7 Spyware(1) La large catégorie de logiciel malveillant conçu pour intercepter ou prendre le contrôle partiel dune machine sans avoir le consentement du propriétaire de la machine ou de lutilisateur légitime. Distribué par divers moyens: Téléchargement volontaire en raison d'accords de licence trompeurs Incorporé dans un logiciel convoité Exploite divers trous de sécurité Distribué parfois par des vers

8 Spyware(2) Vol dinformation personnelle (y compris les informations financières telle que le numéro de carte de crédit ); surveillance de lactivité Web pour la vente ou la redirection des requêtes HTTP vers des sites spécifiques. Menace de sécurité sérieuse pour les utilisateurs

9 Phishing Forme de vol didentité et d'information critique à croissance rapide Les solutions techniques simples ne fonctionneront pas. Il y a une dimension humaine au problème -paypal.com contre paypa1.com -login.paypal.com contre login-paypal.com Un site peut fournir les références cryptographiques mais les utilisateurs doivent les vérifier correctement

10 Les services de sécurité(1) Confidentialité: Exige que linformation dans un système informatique et linformation transmise soient uniquement accessibles en lecture pour les parties autorisées. Ce type daccès inclut des formes dimpression, daffichage et autres formes de renseignement incluant la révélation de lexistence de l'information. Authentification: Exige que lorigine dun message soit correctement identifiée avec lassurance que lidentité nest pas fausse.

11 Les services de sécurité (2) Intégrité : exige que les données d'un système informatique et linformation transmise soient uniquement modifiables par les parties autorisées. Les modifications incluant, lécriture, le changement de statut, la suppression, la création, le retard ou la retransmission de messages transmits. Non répudiation: Exige que ni lexpéditeur, ni le récepteur dun message ne puisse nier la transmission

12 Les services de Sécurité (3) Contrôle daccès: exige que laccès aux ressources et information soit contrôlé par le système cible. Disponibilité: exige que les données des systèmes informatiques soient disponibles aux parties autorisées quand cela est nécessaire.

13 Les services de sécurité (3) Il ny a aucun mécanisme qui fournit les services de sécurité énumérés ci-dessus. Cependant, les techniques de cryptographique sont à la base de la plupart des mécanismes de sécurité. Chiffrement Conventionnel (Chiffrement symétrique ) Chiffrement à clé publique (chiffrement asymétrique)

14 Le Problème(1) Dans la course précipitée pour bénéficier des services internet, les organismes négligent souvent les risques significatifs de sécurité. Les pratiques dingénierie et les technologies utilisées par les fournisseurs ne produisent pas les systèmes qui sont immunisés contre les attaques. Les réseaux et les administrateurs systèmes nont pas les compétences et les pratiques pour se défendre contre les attaques et réduire au minimum les dommages. Il y a un mouvement continue vers les systèmes complexes client/serveur et aux configurations hétérogènes avec les systèmes de gestion distribuée.

15 Le Problème(2) Il y a peu dévidence damélioration de sécurité dans la plupart des produits; de nouvelles vulnérabilités sont découvertes régulièrement. Les solutions complètes de sécurité manquent; les outils classiques se chargent seulement de certaines parties du problème. Les utilisateurs ne sont pas éduqués

16 Le Problème(3) Source:http://www.cert.org/stats/cert_stats.html

17 Le Problème(4) Les Intrus Améliorent leurs compétences techniques Font plus de dégâts avec l'automatisation Exploitent l' interconnexion de réseaux et se déplacent facilement à travers linfrastructure Deviennent plus habiles dans la dissimulation de leurs comportements

18 Le Problème(5) Haut Bas password guessing self-replicating code password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions sweepers sniffers packet spoofing GUI automated probes/scans denial of service www attacks outils Intrus Intruder Knowledge Attack Sophistication stealth / advanced scanning techniques burglaries network mgmt. diagnostics DDOS attacks Sophistication des attaques vs. les compétences techniques des intrus

19 Le Problème(6) les politiques et lois dans le cyber-espace sont limités à la juridiction des états Détecter et poursuivre la plupart des offenses sur le réseau global constituent des défis Manque de collaborations entre les différents acteurs impliqués. Gouvernements, secteurs privés, société civile, organisations internationales, etc... Difficultés dans lharmonisation de la loi et de la politique de manière globale Protection dintimité en Europe contre la liberté aux USA - OPT-in vs. OPT-out

20 Depuis 1990, lAfrique connait sa révolution Internet avec la pénétration des services Internet Des infrastructures généralement déployées sans mesures de sécurité adéquates. Avec des ressources très limitées et dans un environnement difficile Ressources systèmes, connexions, etc... OS, outils et applications dépassés Difficultés avec les licences et la gestion des mises à jour Situation en AFRIQUE(1)

21 Difficultés dobtention dinformation sur la sécurité - Absence de CERT( Computer Emergency Response Team) Qualifications insuffisantes des techniciens d'une manière générale, et en particulier sur les aspects de sécurité. Absence des procédures et des stratégies de sécurité Budget de sécurité informatique très petit ou inexistant dans la plupart des organisations. Utilisateurs non éduqués Situation en Afrique(2)

22 Manque de législation et de lois sur la cybersecurité et les cybercrimes Absence de collaboration entre les différents acteurs Gouvernement, secteur privé, société civile, etc... Ces Infrastructures font également face à des incidents de sécurité et à des cybercrimes Complices des attaques ( zombies, amplificateurs) Proies souvent faciles Importants dommages subis Les incidents de sécurité généralement mal contrôlés et gérés Situation en Afrique(3)

23 Solutions Bâtir un Environnement de Confiance pour un E-Live.

24 Linteraction entre les menaces et les mesures de protection posent divers problèmes aux spécialistes: lintrus doit trouver, mais simplement l'une des nombreuses vulnérabilités possibles afin de réussir. Le spécialiste en sécurité doit développer des contre- mesures pour toutes.

25 Solutions Légales et administratives(1) Renforcer le cadre législatif contre la cybercriminalité au niveau national, régional et international Lexemple du Conseil de LEurope - Convention sur la cybercriminalité -http://conventions.coe.int/Treaty/FR/Treaties/Html/185.htm - Protocole additionnel à la Convention sur la cybercriminalité, au sujet de la pénalisation des actes racistes et à caractère xénophobe commis par les systèmes informatiques -http://conventions.coe.int/Treaty/FR/Treaties/Html/189.htm Encourager la collaboration internationale dans la détection et la poursuite de la cybercriminalité

26 Solutions Légales et administratives (2) Développer les capacités et les qualifications des entités de sécurité nationales (polices, avocats, juges,notaires etc...) pour leur permettre de relever les défis crées par la cybercriminalité. Développer des plans et stratégies nationaux de sécurité de linformation Créer des CERT et diffuser les informations de sécurité ( vulnérabilités, solutions, etc....) Encourager la participation dans les organismes visant l'amélioration de lenvironnement de confiance électronique AfriPKI, etc....

27 Solutions Légales et administratives(3) Augmenter la collaboration entre tous les acteurs dans le combat contre la cybercriminalité (gouvernement, secteur privé, société civile, organisations internationales....) Développer un programme détude plus approprié dans les cycles de formation en Informatique Former plus dingénieurs informaticiens et surtout des spécialistes en sécurité Eduquer les utilisateurs

28 Solutions Techniques Encourager et favoriser une meilleure ingénierie et industrie des logiciels Meilleures pratiques en matière de programmation Meilleures pratiques de mise à jour IETF, ITU, W3C,... doivent continuer à rechercher des protocoles sécurisés ainsi que des mécanismes de sécurité plus adaptés Lindustrie doit développer de meilleurs outils de sécurité pour fournir les services de sécurité: Confidentialité, Authentification, Intégrité, Non répudiation, Contrôle daccès, Disponibilité

29 Perspectives La situation de la sécurité de linformation et du réseau n'est pas globalement intéressante. Le cas de notre continent l'est encore moins Des efforts sont faits mais beaucoup reste à faire. Pour créer un cadre favorable. Pour renforcer les compétences techniques. Pour sensibiliser et instruire davantage Il exige plus de ressources et dinitiatives.

30 Conclusions La sécurité de linformation et du réseau est un système complexe, qui doit être conçue, maintenue, évaluée et améliorée de façon continue. Certains cybercrimes tels que la fraude, le vol d'intimité sont de vieux crimes commis de nouvelles manières. LInternet a une manière de magnifier le bon et le mauvais côté de notre société. Une partie du travail consiste à trouver de nouvelles réponses à de vieux crimes.


Télécharger ppt "Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA Kigali, Octobre 2007."

Présentations similaires


Annonces Google