Cycle de vie d’une vulnérabilité

Slides:



Advertisements
Présentations similaires
Laurent CARNIS Chargé de Recherche INRETS - GARIG
Advertisements

Séminaires STRATEGIE Uniquement les informations nécessaires
L’Essentiel sur… La sécurité de la VoIP
Les Systèmes d’Information Financière Atelier conjoint ACBF / Banque Mondiale / AFRITAC de l’Ouest Gérer l’application dans le temps, sur les plans fonctionnel,
TRANSFER HCMV – Notion de sécurité Jean Christophe André - Nicolas Larrousse Mars Les bases Sécurité du système : Sauvegardes (dd, dump, cpio, tar,
La Gestion de la Configuration
Les Evolutions et la Maintenance
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Les Web Services Schéma Directeur des Espaces numériques de Travail
Sécurité du Réseau Informatique du Département de l’Équipement
6 Mars 2007 PCN Sécurité1 Le GET et la sécurité Savoir faire Stratégie Projets.
(In)sécurité de la Voix sur IP [VoIP]
CASPER Le Gentil Trojan
ou banque à domicile ou banque multicanal(e)
Les Firewall DESS Réseaux 2000/2001
Les risques Mascarade d'identité & Rebonds
La politique de Sécurité
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Nouvel outil pédagogique dédié à la formation à la maintenance
Liens Hypertextes et Langage HTML
Développement d'une plateforme électronique de règlement des litiges de consommation État davancement du projet – 23 octobre 2012.
Sylvain Mondon Météo-France
Bases et Principes de la Virtualisation. Votre infrastructure informatique ressemble-t-elle à cela ? 2.
La sécurité des réseaux de nouvelle génération
9 septembre 2011 Groupement Français de lIndustrie de lInformation Mickaël Réault Fondateur de SINDUP Université dété 2011.
Control des objectifs des technologies de l’information COBIT
MANAGEMENT DU PRODUIT Organisation Technique du Produit (OTP) Objet Arborescence Produits Relation autres domaines Décomposition du système Gestion.
LANCEMENT DE NOUVEAUX PRODUITS
1 Bibdoc 37 – Regards croisés Bibliothèques virtuelles, usages réels 7 avril 2009 – Tours « Les usages des bibliothèques virtuelles » Jean-Philippe Accart.
Alain MUSSARD Connexion Internet Risques & solutions Alain MUSSARD
A côté des systèmes d'information dans l'entreprise
Automatisme de portail Autonome
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
Une approche documentaire de la diffusion sur Internet Journée WebÉducation Martin Sévigny / Irosoft / 14 mai 2009
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Les NAC Network Access Control
Comparaison entre RIP et OSPF en utilisant OPNET
Nicolas FISCHBACH Senior Manager, Network Engineering/Security - COLT Telecom - version 1.0 Le facteur.
E-Technology lab Plateformes, Technologies et Architectures pour les systèmes eGouvernement Par: Dr Mamadou Koné Université Laval, Québec, Canada et Houda.
0 Objectifs de la session n°1  Revenir sur toutes les bases théoriques nécessaires pour devenir un développeur Web,  Découvrir l’ensemble des langages.
BlackHat – Amsterdam 2001 Compte rendu des conférences données les 21 et 22 Novembre.
Marketing Fondamental
La norme ISO ISO TOULOUSE Maj: 22 octobre 2012
Conseils pour vous protéger des pirates informatiques Stéphanie, Dorian, Bastien.
Jean-Luc Archimbaud CNRS/UREC
Le système informatique et le système d’information
La Brink’s gère sa sécurité et sa conformité SOX via le Cloud Stéphane GUYODO – Responsable Projets Innovation - Brink’s France.
Introduction au Génie Logiciel
Initiation à la conception des systèmes d'informations
Mémoire de 3 ème Année - Veille en sécurité et traitement des alertes BERGERAS Thibault - JEUDY François - VENCE Eric 3 BR BERGERAS Thibault - JEUDY François.
Techniques documentaires et veille stratégique Anne Pajard, avril 2008
Solution Monétique Transacom Network
QUALITÉ DES DONNÉES la méthode générale
These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license (
Intelligence économique
Equipe d’experts grands comptes en audit de sécurité et en refonte d’architecture. Février 2003 Création Juin 2005 Dépôt de brevet de la technologie MAP.
Collège Henri BOUDON - BOLLENE
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
Offre de service Sécurité des systèmes d’information
L’enseignement de spécialité SLAM
Réalisé par : Grégory CORDIER Promotion : RIE03 UE : Management Social & Humain Réalisé par : Grégory CORDIER Promotion : RIE03 UE : Management Social.
Réalisé par : Mr. B.BENDIAF Mr. H.REHAB.
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Sécurité de la Voix sur IP --- Attaques et défenses
Sécurité Informatique
Sécurité des Web Services
Cabinet d’experts en gestion de projets
Transformation digitale Comment maîtriser les risques ?
LES AGENTS INTELLIGENTS
COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.
Transcription de la présentation:

Cycle de vie d’une vulnérabilité EUROSEC 2003 Cycle de vie d’une vulnérabilité Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom nico@securite.org - http://www.securite.org/nico/ version 1.0

Agenda Introduction Les vulnérabilités dans le temps Les différents acteurs Gestion et réduction du risque Conclusion

Une vulnérabilité dans le temps (1) Evolution d’une vulnérabilité “Victimes” “Proof of Concept” Automatisation Exploit Temps Découverte de la faille (Re)découverte de la faille ou fuite Publication Correctif disponible Correctif appliqué Correctif “complet”

Une vulnérabilité dans le temps (2) Evolution d’une vulnérabilité (suite) Certaines failles sont présentes pendant des années avant d’être découvertes (Re)découverte: un pot de miel (“honeypot”) peut-il accélerer la découverte ou la publication ? Propagation marginale ou force brute base de victimes utilisation de services (Google, Netcraft, SecuritySpace, DNS, etc). Correctif mise à jour (patch) ou solution temporaire (workaround) approche alternative : protection au niveau de l’infrastructure (réseau) pour compenser la mise à jour du système

Une vulnérabilité dans le temps (3) Evolution de la sécurité d’un système Les différents états et les transitions associées Vitesse de ces différentes transitions Qualité de l’analyse post-mortem est fonction de la préparation et des mécanismes anti-autopsie présents Instant t=0 Analyse post mortem Sûr/sécurisé Vulnérable Compromis

Une vulnérabilité dans le temps (4) Evolution du risque : pénétration/risque lié à une mise à jour (“bad patch”) Comment identifier l’instant optimal ? Des failles anciennes (et bien connues) sont toujours réintroduites dans une version plus récente Imcompatibilité avec d’autres mises à jours/programmes La mise à jour peut apporter de nouvelles failles

Les différents acteurs (1) L’industrie de la sécurité informatique “advisory” marketing Société commerciale Groupe “underground” fuite (“leak”) Agence gouvernementale, CERT Université, groupe de recherche alerte publication

Les différents acteurs (2) L’industrie de la sécurité informatique Ecosystème de développement logiciel Ou “des liens étroits entre les différents acteurs” ? à l’image des sièges croisés dans les conseils d’administration Confiance dans les vendeurs Les fuites et la prévention monde “underground” industrie (lors de la notification) sécurité informatique éditeur Implications légales (“DMCA” et ses variantes) Société commerciale Groupe “underground” Agence gouvernementale, CERT Université, groupe de recherche

Gestion/réduction du risque (1) Exposition des services et applicatifs Services internes Services externes publiques et semi-publiques/privés privés Filtrage au niveau réseau au niveau applicatif relais (applicatifs, rebonds, etc) Sécurisation réseau système d’exploitation applicatif

Gestion/réduction du risque (2) Gestion du risque Définition de la criticité des services, des données, de la faille (déni de service, pénétration, etc.) Veille technologique et tests récurrents automatiques/manuels Un programme (complexe) sans faille est une utopie Gestion de la disponibilité Plan de mise à jour planifié (“change management”) Plan de mise à jour d’urgence/secours fonctionnement en mode dégradé environnement de test système d’information de secours

Gestion/réduction du risque (3) Eléments de réflexion Les logiciels “Opensource” par rapport aux logiciels “Closed source” Approche diversité ou “single COTS vendor” ? Publication de vulnérabilités, quelle tendance ? “Full disclosure”, “Responsible disclosure” “Closed and vendor only” autres ? Les audits et les tests de pénétration Réelle utilité ou un faux sentiment de sécurité ? Archives d’exploits publiques (très) privées

Conclusion Conclusion Présentation http://www.securite.org/presentations/cyclevuln/ Questions/Réponses Image: http://www.inforamp.net/~dredge/funkycomputercrowd.html

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.