SECURITE DES SYSTEMES D ’INFORMATION

Slides:



Advertisements
Présentations similaires
L’attaque rebond Réunion de crise
Advertisements

Mise en place d’un système de détection d’intrusion Présenté par:  Elycheikh EL-MAALOUM  Zakaria ZEKHNINI  Mohammed RAZZOK Encadré par: : Mr. SEFRAOUI.
Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏
Composants Matériels de l'Ordinateur Plan du cours : Ordinateurs et applications Types d'ordinateurs Représentation binaires des données Composants et.
20/09/2016DRT du CRDP de l'Académie de Lyon1 EOLE - SCRIBE Votre nouvelle organisation du réseau informatique pédagogique ● DRT : Département Ressources.
Les systèmes d'information 1- Une pratique quotidienne 2- Les données 3- Approche conceptuelle 4- Notion de serveur 5- Conception d'un système d'information.
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
VIRUS ET ANTIVIRUS Fléau majeur de l'informatique, les virus sont aussi présents sur internet. Qu'ils s'attaquent au secteur d'amorce de vos disques, aux.
Cetiad - Sicep Mars Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.
La Neutralité du Net - Net Neutrality -. Principe Fondamental Router sans tenir compte du contenu Ne pas privilégier une adresse Ne pas privilégier un.
Les enjeux de la loi DADVSI Loi sur les Droits d'Auteurs et les Droits Voisins dans la Société de l'Information Images : eucd.info et icones Mandriva GNU/Linux.
Médecin et Internet. Que peut-il faire ? Il peut présenter son activité professionnel le –Information d’ordre général sur la spécialité de généraliste.
1 Gestion Electronique de documents (GED) ✔ Définition Efficacité d'une entreprise dépend de la capacité à traiter et consulter les informations qu'elle.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Scanning. Responsable : Remy FABREGES Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle Outils : nmap, rooktits.
Présentation du programme
La sécurité Un sujet TRES vaste ! Qu'est ce qu'un « hacker » ? Risques pour un utilisateur lambda ? Comment s'y prennent-ils !? Comment se protéger ? Tout.
Chartes et rangement. Travailler en commun sur les ordinateurs de nos écoles.
FORMATION EPMT ENTRAINEMENT PROFESSIONNEL AUX MÉTIERS DU TERTIARE
Les Bases de données Définition Architecture d’un SGBD
LA SURETE DANS L' ENTREPRISE Intervention du
LA DELINQUANCE INFORMATIQUE
Téléchargement de fichiers
1.2 Programmes et données Les programmes comme les données sont stockés dans les mémoires (centrales et périphériques) des ordinateurs Informatique.
Eric b, emmanuel l, damien t
Comment Sécuriser Le Système d’information de son entreprise
Micro Informatique au Cellier
Sécurité informatique
Sites Internet et Protection des données à caractère personnel
Introduction aux Systèmes de Gestion de Bases de données
Introduction à la cryptographie
Objectifs de la veille :
BYOD (Bring your own device à traduire par AVEC Apportez votre équipement (personnel) de communication commence à se pratiquer, notamment en économie et.
Bienvenue Comment peut-on disposer d’un espace numérique permettant de stocker toutes sortes de documents pouvant être utilisés par n’importe quel membre.
Projet « AutoConcept » AZ TECH Quentin.
Initiation à l’informatique Généralités et Définitions Université de Tébessa 1 ère Année MI Y. MENASSEL.
Réalisé par BENJLILA Med
Le site FORUM liste de diffusion DROPBOX GESTAPRC Travail collaboratif
Marguerite OUEDRAOGO BONANE
HTTP DNS NTP FTP R231 RJ45 definition HTTP DNS NTP FTP R231 RJ45.
PRESENTATION DE Cahier de charges 1. Mise en place d’un système de portail captif au sein de l’IGA PROJET : 2.
PROJET FAIR Critères de responsabilité d’une innovation dans les services bancaires et d’assurance.
Sécurité Informatique
Nom de l’entreprise candidate Nom du projet BOURSE CHARLES FOIX édition 2016 JJ/MM/AA 16/09/2018 Tous droits réservés - © Silver Valley 2016.
Protégez l’entreprise contre les attaques informatiques
Dangers des réseaux sociaux
Informatique générale
CYFORPRO Cyber Formation & Protection
Ne mordez pas à l’hameçon
Introduction en systèmes d’information et bases de données B.Shishedjiev -Introduction en BD 1.
Bienvenue sur Coursinfo.fr
Le règlement europeen sur la protection des données personnelles
La gestion des habilitations par le partenaire
FORMATION SUR LE SERVICE DE DÉPANNAGE
Etienne Vandeput Namur CeFIS 2001
Législation.
Nouveau Règlement Général de Protection des Données
Depuis le 5 mai 2018, ce Règlement …
PLATE FORME DE GESTION ÉLECTRONIQUE DE DOCUMENTS Présenté par: Amine LARIBI.
Système d’exploitation: Principe IFT6800 – E 2008 Pierre Poulin.
Bases – Banques Entrepôts de données
Module 1 : principes généraux I&L
La Sécurité Des Systèmes D’informations
Les outils de piratage informatique 09/05/ REALISER PAR : OMAR ABDI NAFISSA NAIM 1.
La sécurité iformatique Réalisé par : Mr.Achraf Amor 1.
« il ne faut pas vivre la protection des données personnelles comme une contrainte, mais en tant qu’élément culturel qui contribue à la culture des droits.
LE PIRATAGE INFORMATIQUE
Les Commandes de base Linux. 1 L’aide sur les commandes Linux ◦ help : obtenir de l’aide pour une commande interne du shell. Elle permet aussi d'afficher.
Transcription de la présentation:

SECURITE DES SYSTEMES D ’INFORMATION

PLAN Généralités sur la SSI Techniques d ’attaques Moyens juridiques et réglementaires

Chapitre 1 Généralités sur la SSI

Les typologies de menaces Menace LUDIQUE Menace AVIDE Menace TERRORISTE Menace ETATIQUE

Les typologies de menaces Menace LUDIQUE = « Jeune » ou moins jeune, désir de reconnaissance, le fun INTERNET Nombreux outils Internet

Les typologies de menaces Menace AVIDE = Vente d’informations volées, chantage, faux sites marchands

Les typologies de menaces Menace TERRORISTE = terrorisme informatique La chaîne TV5Monde a été victime mercredi soir 8 avril 2015 d'une cyberattaque d'une ampleur inédite de la part de pirates se réclamant de l'Etat islamique. Tant la diffusion des programmes de l'antenne que les réseaux sociaux étaient passés sous le contrôle du CyberCaliphate. Le retour à la normale prend du temps et s'opère de manière progressive ce jeudi. Source bfmtv

Les typologies de menaces Menace ETATIQUE = guerre informatique « Information Warfare » Une attaque informatique contre le réseau électrique est la hantise des responsables de la sécurité. Et pour cause : sans électricité, la vie économique serait perturbé, voire paralysée. Des cyber-espions russes et chinois avaient réussi à infiltrer le réseau électrique américain pour y installer des programmes malveillants susceptibles de causer des perturbations. Source Opex360

Protéger, Collecter, Désinformer Les 3 critères de la SSI DISPONIBLITE INTEGRITE CONFIDENTIALITE Protéger, Collecter, Désinformer

DISPONIBILITE Disponibilité de l’accès aux données et aux traitements => Attaques visibles Destruction d ’information Panne système Sabotage système Déni de service Blocage d’accès Saturation … => CA NE MARCHE PLUS 10

INTEGRITE Intégrité des données => Attaques non visibles Suppression Altération Désinformation Répudiation 11

CONFIDENTIALITE Confidentialité des données des services => Attaques visibles ou non Espionnage Divulgation Chantage 12

Typologie des menaces 13% incendie,explosion, dégâts des eaux, pollution, catastrophe naturelle 2% arrêt de service électricité, télécoms Environnement 15% Menaces naturelles 26% Pannes système 11% 5% pannes informatiques 2% pannes réseaux internes 4% saturation des réseaux 8% erreurs conception et réalisation 9% erreurs exploitation et utilisation Erreurs humaines 17% Menaces humaines 74% 2% vol, sabotage matériel 18% fraude 12% indiscrétion, intrusion, virus 14% copie de logiciel 10% vol ressource 1% démission, absence, grève Malveillance 57%

Utilisation de l’Internet dans les entreprises 40 % du temps passé sur le WEB au bureau n ’a pas de lien avec l ’activité professionnelle, 30 % des salariés admettent envoyer des E-Mails avec des informations confidentielles à l ’extérieur de leur société, 20 % du trafic sur la messagerie réseau est lié à des spams, des adresses erronées, à des abonnements à des listes de diffusion obsolètes….

Position des agresseurs Employés autorisés (divulgation) : 54 % Employés non autorisés (abus de droits) : 22 % Anciens employés : 11 % Pirates, hackers, divers : 10 % Concurrence : 3 % => Menace INTERNE : 70 à 80 %

La SSI : un domaine transversal Sensibilisation Formation Responsabilisation Réglementation Direction, Organisation Gestion du Personnel Juridique, contrats Surveillance, contrôle, gestion des anomalies S.S.I. Administration des réseaux et systèmes Sûreté de fonctionnement Disponibilité, fiabilité Intrusion physique, incendie, dégâts des eaux... Sécurité physique Technique Qualité Réseaux, informatique, Bureautique Fiabilité, ergonomie, maintenabilité

Chapitre 2 ATTAQUES Attaques physiques : accès physique ou se servant de caractéristiques physiques Attaques logiques

Attaques physiques Interception ==> TEMPEST : signaux parasites compromettants (onde + conduits métalliques) Brouillage (militaires / guerre) Ecoute (très utilisée) Micros et Caméras espion (de plus en plus courant)

Attaques Logiques Social engineering mi physique, mi logique Fouille de répertoires / fichiers les droits d'accès aux fichiers attaque sur les mots de passe Canal Caché (Back Door) Déni de service (saturation des accès réseau) Programmes parasites Virus, ver, cheval de Troie Exploitation malveillante des protocoles réseau

Social engineering manipuler une personne et lui faire révéler l’information qu’elle détient parfois en se faisant passer pour quelqu’un d’autre Informations recherchées : Mot de passe Informations de comptes bancaires Stratégie d’entreprise…

Fouille de répertoires / fichiers DROITS des Répertoires / FICHIERS UNIX : droits R W X Windows : fichiers partagés (lecture/écriture/ contrôle total) Fichiers sensibles non protégés !!!! Les comptes : recherche de Comptes peu ou pas utilisés

Attaques sur les mots de passe 4 possibilités : Dérober un MDP social engineering, vol ... Deviner un MDP nom, prénom, enfants, habitation, lieu et date de naissance utilisateurs ou de sa famille… Renifler un MDP le « prendre » sur le réseau en CLAIR Craquer un MDP logiciel de crackage

Les mots de passe les plus courants Nom d’un sportif Modèle de marque automobile Nom d’une vedette du show bizz Nom d’un lieu Mot associé à l ’informatique Mot obscène Nom d’une personne adulée Surnom d'un animal de compagnie Nom d’une personne proche

Le piratage téléphonique - Phreaking Permet au pirate d ’utiliser une ligne téléphonique autre que la sienne : piratage d ’autocommutateurs d ’entreprise (PABX ou IPBX) Recherche automatique de modems connectés sur un réseau Permet d'entrer sur le réseau de l'entreprise en contournant les mesures de Protection (Firewall)

Porte dérobée - Backdoors Parfois créée par le concepteur du logiciel pour des besoins de maintenance Permet de contourner la SSI normale ! Souvent créée par un virus de type cheval de Troie

VIRUS Programme parasite s’adjoignant à un logiciel existant et activé à chaque fois qu'on utilise le logiciel infesté Infecte un logiciel : .exe, .vbs, ... ou un document : macros des .doc, .xls, … se propage très rapidement via la messagerie (pièces jointes) ou les clés USB divers types : furtifs, cryptés, polymorphes, …. Plus de 300 000 aujourd’hui !

Vers informatiques (Worms) Assez rares Se multiplient travers le réseau (sans nécessairement utiliser le stockage sur disque dur comme les virus) Saturation de l’espace mémoire Engorgement files d ’attentes Peut aussi générer les mêmes dégâts que les autres programmes parasites

Bombes logiques Code ajouté secrètement à un OS ou à un programme Si activé (date, lancement fichier, …) => fait exécuter une action prédéfinie = 100100011101

Cheval de Troie Programme apparemment utile : contient des fonctions cachées => MENACE SERIEUSE

Protocoles réseau : Scan de ports But : obtenir liste des services offerts par un serveur Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont actifs Intérêt : exploiter une faille éventuelle, connue, d’un des services

Protocoles réseau : Man in the Middle B M « M » fait croire : - à « A » qu ’il est « B », - à « B » qu ’il est « A »

Enregistreurs de touches (Keyloggers) C’est un logiciel (peut être physique) Implantation discrète par un Cheval de Troie But : Envoyer à un pirate des logins et mots de passe ou toute autre information confidentielle

Scénario d’attaque Renseignement : architecture du réseau, plan d'adressage, systèmes d'exploitation utilisés etc... Préparation : analyse de la sécurité Intrusion : entrer par un point faible Installation : installer une entrée permanente : canal caché ou porte dérobée (backdoor) Camouflage : effacer les traces, changer les dates dans les messages système... Propagation : rebond vers un autre ordinateur, implantation de virus...

Les moyens juridiques et réglementaires CHAPITRE 3 Les moyens juridiques et réglementaires

Art. 323-1 CP - soit une altération du fonctionnement de ce système Le fait, - d ’accéder - ou de se maintenir - frauduleusement - dans tout ou partie d ’un système de traitement automatisé de données Est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu ’il en est résulté : - soit la suppression, - ou la modification de données contenues dans le système, - soit une altération du fonctionnement de ce système La peine est de 2 ans d’emprisonnement et de 30 000 € d’amende.

Art. 323-2 le fonctionnement Est puni de 3 ans d’emprisonnement Le fait : - d’entraver - ou de fausser le fonctionnement d’un système de traitement automatisé de données Est puni de 3 ans d’emprisonnement et de 45 000 € d’amende.

Art. 323-3 - d’introduire frauduleusement des données Le fait - d’introduire frauduleusement des données dans un système de traitement automatisé de données - ou de supprimer - ou de modifier frauduleusement des données qu’il contient est puni de 3 ans d’emprisonnement et de 45 000 € d’amende.

Art. 323-4 La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues par les articles 323-1 à 323-3 Est punie des peines prévues pour l ’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. Art. 323-5 : peines complémentaires pour les personnes physiques.

Le vocabulaire juridique Information : Elément de connaissance susceptible d ’être représentée sous forme adaptée à la communication, l’enregistrement ou un traitement Donnée : Représentation de l ’information sous forme conventionnelle destinée à faciliter son traitement Donnée : « Information formatée pour être traitée par un système informatique » (circulaire du 1er Ministre du 14/02/94) ==> Pas de statut juridique de l ’information Existence juridique sous forme de donnée

==> création de la CNIL La LOI 78-17 du 6 janvier 1978 ==> Protection des libertés du citoyen par rapport à l’informatique et aux fichiers ==> création de la CNIL Commission Nationale de l’Informatique et des Libertés informatique + fichiers libertés du citoyen

La LOI 78-17 du 6 janvier 1978 - ou d’une déclaration préalable. Hormis les cas autorisés par la loi, les traitements automatisés d’informations nominatives doivent au préalable faire l ’objet : - soit d’un acte réglementaire de la CNIL - ou d’une déclaration préalable.

La LOI 78-17 du 6 janvier 1978 Art 29 Toute personne ordonnant ou effectuant un traitement d ’informations nominatives s’engage de ce fait , vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’ empêcher qu ’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés

Sanctions pénales de la loi 78-17 « informatique et libertés » Art Le fait , y compris par NEGLIGENCE, de procéder ou de faire procéder à des traitements automatisés d ’informations nominatives SANS qu ’aient été respectées les formalités préalables à leur mise en œuvre Est puni de 3 ans d’emprisonnement et de 45 000 € d ’amende.

Quelques sites SSI sur le WEB SCSSI CLUSIF Computer Associates CNIL Schauer Consultant