La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité informatique: enjeux techniques et stratégiques Université Paris XI - IFIPS Protego Informatique Nicolas Monier.

Présentations similaires


Présentation au sujet: "Sécurité informatique: enjeux techniques et stratégiques Université Paris XI - IFIPS Protego Informatique Nicolas Monier."— Transcription de la présentation:

1 Sécurité informatique: enjeux techniques et stratégiques Université Paris XI - IFIPS Protego Informatique Nicolas Monier

2 Plan Quest-ce que la sécurité informatique? Définition formelle Sécurité et cycle de vie dun système informatique Quelques exemples concrets La sécurité informatique dun point de vue technique Quelques chiffres Profil type des agresseurs Techniques dattaques Contre-mesures La sécurité informatique dun point de vue management Unité de mesure pour le manager: le risque Outils danalyse: méthodologies et normes

3 Quest ce que la sécurité informatique

4 Définition formelle La sécurité informatique sintéresse à deux composants: - Les données électroniques. - Les systèmes de traitement automatisés. La sécurité informatique vise à préserver pour les composants précédents les propriétés suivantes: - Lintégrité (Modification illicite ou accidentelle impossible). - La confidentialité (Accès illicite ou accidentel impossible). - La disponibilité (Accès licites garantis 100% du temps). Ces propriétés doivent être préservées quelque soit le média utilisé par les données: - Liens réseau physiques ou radio - Disques ou bandes - Rayonnements parasites ATTENTION: ne pas confondre système informatique et système dinformation.

5 Sécurité et cycle de vie dun système de sécurité Spécification de lapplication Développement Choix dune plate-forme matérielle Choix dun système dexploitation Installation et paramétrage de lapplication Interfaçage avec des composantes externes Tests Installation et paramétrage du système dexploitation Positionnement physique et logique de la plate-forme LapplicationLa plate-forme Maintenance et mise à jour Génie logiciel orienté sécurité Audit de code Analyse de la sécurité des BDD Tests dintrusion Ingénierie système Ingénierie système Ingénierie réseau Ingénierie système Ingénierie réseau Sécurité organisationnelle

6 Quelques exemples concrets 2004: Laboratoire pharmaceutique infesté par un troyen 0-day. Disponibilité des systèmes de traitement et confidentialité des données Disponibilité des systèmes de traitement et confidentialité des données compromises. compromises. 2003: Serveur mail dun constructeur de véhicules de chantier piraté. Mails redirigés sur le serveur dun concurrent américain. Mails redirigés sur le serveur dun concurrent américain. Confidentialité des données compromise. Confidentialité des données compromise. 2002: Système de changes dune banque modifié par un employé malmené par sa direction. Intégrité des données compromise. par sa direction. Intégrité des données compromise. Les impacts: Pertes sèches à court terme liées à une perturbation de la production. Pertes à moyen terme liées à une dégradation production. Pertes à moyen terme liées à une dégradation de limage de marque. de limage de marque.

7 La sécurité informatique dun point de vue technique

8 Quelques chiffres Le CERT CC, organisme de recensement et de publication des problèmes de vulnérabilité fournit les chiffres suivants (vulnérabilités déclarées): Year Q-3Q 2004 Vulnerabilities1,0902,4374,1293,7842, Year Incidents21,75652,65882,094137,529 Les chiffres des incidents (liés à des piratages) déclarés sont: Le chiffrement des pertes liées aux agressions informatiques est impossible à effectuer de manière fiable: incidents pas toujours déclarés, outils de calcul non disponibles, recensement international difficile.

9 Profil type des agresseurs - Les utilisateurs maladroits associés à des administrateurs incompétents. - Les employés malveillants. - « Scripts kidies » ou « lamers ». - « White hats », « black hats » et « grey hats ». - Professionnels de lintelligence économique et stratégique. (privés ou gouvernementaux). (privés ou gouvernementaux). - Terroristes supposés. Aucun chiffre fiable disponible quant au nombre et à la proportion des différents agresseurs. Mais de toute évidence, les employés malveillants et les « scripts kidies » sont ceux qui provoquent le Plus de dégâts.

10 Techniques dattaques - Usurpation didentité (ex: IP, login/mot de passe). - Exploitation des défauts dimplantation ou de spécification des protocoles réseau (ex: IP fragmentation, cassage de clefs WEP). réseau (ex: IP fragmentation, cassage de clefs WEP). - Exploitation de failles de codes. (ex: BoF). - Injection de données dans des entrées non validées (ex: SQL injection). - Déni de service par saturation des ressources (ex: syn flooding). - Ingénierie Sociale. - Exploitation de configurations erronées des OS et/ou des applications (ex: exploitation du «./ » dans le PATH root). Dit aussi « privilège escalation ». (ex: exploitation du «./ » dans le PATH root). Dit aussi « privilège escalation ». Buts: compromettre la disponibilité, la confidentialité et lintégrité des données ou des systèmes de traitement automatisés. ou des systèmes de traitement automatisés.

11 Contre-mesures techniques Contre-mesures génériques: segmentation réseau (logique/virtuelle/physique), Contre-mesures génériques: segmentation réseau (logique/virtuelle/physique), blindage des OS et des applications. blindage des OS et des applications. Outils de sécurité daccès: firewalls, tunnels chiffrés VPN ou SSL, Outils de sécurité daccès: firewalls, tunnels chiffrés VPN ou SSL, serveurs dauthentification, PKI. serveurs dauthentification, PKI. Outils de détection dintrusion: IDS réseau, IDS hôte, Scanners de Outils de détection dintrusion: IDS réseau, IDS hôte, Scanners de vulnérabilités. vulnérabilités. Outils de sécurité de contenu: Antivirus de flux ou de poste, filtres SPAM Outils de sécurité de contenu: Antivirus de flux ou de poste, filtres SPAM et filtres URL, proxies et reverse-proxies, analyse et filtres URL, proxies et reverse-proxies, analyse peer-to-peer peer-to-peer Outils de mise ne haute disponibilité: gestionnaires de bande passante, Outils de mise ne haute disponibilité: gestionnaires de bande passante, boîtiers déquilibrage de charge, systèmes boîtiers déquilibrage de charge, systèmes de clustering logiciel, protocoles de routage de clustering logiciel, protocoles de routage et de redondance. et de redondance. Génie logiciel orienté sécurité: conception et écriture de code sûr. Génie logiciel orienté sécurité: conception et écriture de code sûr.

12 La sécurité informatique dun point de vue management

13 Unité de mesure pour le manager: le risque Deux informations intéressent le manager: Lergonomie des outils Informatiques (impliquant un gain de productivité) et lestimation dune probabilité dun perte financière liée à un incident informatique. Son but: maximiser le rapport productivité/coût. Le consultant sécurité ne répond pas à un besoin énoncé par le DSI mais À des contraintes financières spécifiées par le DAF. Linformaticien doit donc élargir son champs danalyse: Minimiser limpact de la sécurité sur lergonomie. Minimiser limpact de la sécurité sur lergonomie. Prendre en compte la sécurité physique des systèmes (car le DAF considère Prendre en compte la sécurité physique des systèmes (car le DAF considère tous les incidents et pas uniquement les malveillances). tous les incidents et pas uniquement les malveillances). Prendre en compte la sécurité organisationnelle. Prendre en compte la sécurité organisationnelle. Se doter doutils danalyse pour communiquer avec le DAF. Se doter doutils danalyse pour communiquer avec le DAF. Risque informatique: valeur synthétique mesurant la probabilité dexécution dune menace exploitant la vulnérabilité dun système, ayant un impact négatif sur le niveau de production.

14 Outils danalyse: méthodes et normes Méthodologies institutionnelles: ITSEC, NSA books. Méthodologie non institutionnelle: OCTAVE. Méthodologie non institutionnelle: MEHARI. Norme internationale: IS La mesure du risque nécessite un audit. Ce dernier nécessite la création dun référentiel de valeurs. On doit donc se doter de méthodes pour: (1) appréhender La complexité du système dinformation, (2) créer des échelles de valeur Propres à lentreprise. Les méthodes proposent toutes la création dun cadre de référence, la définition dun périmètre danalyse et un système de calcul du risque. MAIS: elles ne proposent pas de technique de mise en œuvre, de contrôle De la durée, de répartition des tâches, dintégration danalyses de bas niveau.

15 Conclusion Beaucoup de fausses idées reçues sur le monde de la sécurité Informatique: - Techniquement, le métier de la sécurité ne se cantonne pas au réseau. au réseau. - Plus généralement le consultant sécurité ne peut se cantonner son périmètre dinvestigation à linformatique. périmètre dinvestigation à linformatique. - La sécurité nest pas une question technique. Cest une question financière. financière. - On ne sait pas réellement évaluer lampleur des incidents informatiques. informatiques. - On ne dispose pas de méthodologie de conception ou daudit mature. mature.

16 Questions ?


Télécharger ppt "Sécurité informatique: enjeux techniques et stratégiques Université Paris XI - IFIPS Protego Informatique Nicolas Monier."

Présentations similaires


Annonces Google