La Sécurité Informatique en 5 minutes Présentation 15 Janvier 2008
Sommaire Orcanthus Les risques Les solutions Comment procéder ? Éléments clefs Date clefs Pérennité Les risques Les solutions Comment procéder ? Le Coût et le R.S.I. (R.O.I.) Les Références
Id3 semiconductors (maison mère) Éléments Clefs Id3 semiconductors (maison mère) Activité : Laboratoire de R&D Création : 1990 Capital : 200000 euros Effectif en 2008 : 38 dont 70% d’ingénieurs C.A. : 37 M euros R&D : 20% du C.A. Spécialité : imagerie, capteur communicant, biométrie, radio, micro-électronique Une filiale : Orcanthus
Éléments Clefs Orcanthus Activité : Fabricant Création : 2002 Capital : 26000 euros Effectif en 2008 : 2 C.A. : 600 k euros Présence internationale ; Canada, USA, Mexique, Brésil, Afrique du Sud, Sénégal, Danemark, Allemagne, Suisse, Italie, Slovénie, Pologne, Japon. Produits : lecteur d’empreinte digitale, lecteur sans contact, control d’accès logique, control d’accès physique et traçabilité.
Dates Clefs 1998 collaboration avec Thomson-CSF pour le premier capteur thermique à balayage 1999 Première mondiale : lecteur d’empreinte et lecteur de carte à puce combiné avec la solution « Full in card matching ». 2002 naissance du lecteur Biothentic® et du pack Biothentic® Gull (log on de PC sur « Full in card matching » et possibilité de PKI 2003 naissance du lecteur CeRtiS® et du pack CeRtiS® Gull (log on de PC) sous Windows® 2004 évolution de CeRtiS® Gull (log on de PC et SSO) sous Windows® 2005 Disponibilité d’un driver Linux pour lecteur CeRtiS® image Naissance du lecteur CL1356 T et C – lecteur de passeport électronique ICAO le plus rapide au monde Mise a disposition du Pack CeRtiS® HAWK (log on de PC, SSO personnel, SSO entreprise) avec token soft 2006 Mise à disposition du Pack CeRtiS® Hawk avec token Hard (contact et ou sans contact) 2007 Naissance du lecteur CL868i Nouvelle génération de CeRtiS® Bio 2008 Bientôt disponible : CeRtiS® HAWK pour Citrix et client léger, CeRtiS® Eagle (idem Hawk pour LDAP) Interrupteur de porte biométrique ARX1
Pérennité Rentabilité et seuil de performance sans cesse en croissance Aucun endettement Équipe de développements R&D et de consultants expérimentés depuis l’origine
Les Risques Quelques chiffres 714,000 aux USA en 2003 Perdus/Volés 714,000 aux USA en 2003 31,400 plaintes déposées ces 6 derniers mois Perdus/Volés 942,000 aux USA en 2003 200,000 plaintes déposées ces 6 derniers mois Téléphones Assistants Numériques (PDA) Perdus/Volés 673,000 en 2003 11,300 plaintes déposées ces 6 derniers mois Perdus/Volés 520,000 en 2003 Portables PC
Piratage de Pirate … Terminologie de base … White hat Black hat Red teams Phreaking Script Kiddies HackersCrackers
… et on peut aussi parler de … Cheval de Troie Craqueur de mot de passe Analyse de fichier Log Technique de données cachées Vol de données sur réseau radio Spoofing Ping on Death (demande d’echo ICMP) Smurf (ping 3-way) Et plus encore …
Attaques et menaces Types d’attaques Espiègle Malicieuse Vol de données Interruption d’opération Revanche Problèmes personnels intentionnelle Tester votre sécurité
Vulnérabilités niveau 1 Corruption DNS USA hors service pendant 8 hrs- 1998 ILOVEYOU mobile et mutant – 2000 Dénégation de service Melissa – 1999 E-commerce – 2000 Fuite d’information KLEZ enregistreur de frappe - 2002 Directeur de la CIA avec des Données classées sur son PC familiale Aldrige AMES (CIA) espion pour la Russie - 1973
Classifications Activistes Club d’Initiés Compétition Consultants Cinglés à louer Cinglés Clients Cyber-criminels Gens malades Cartels de drogue Économique Agent étranger et espions Fraudeurs Coalitions Mondiales Agences gouvernementales Pirates informatique Truands Experts en espionnage Industriel Informations militaires Infrastructures militaires Initié (interne) Personnel de maintenance Fondateur de Microsoft Organisations militaires Nations, états Nature Crime organisé Groupes Paramilitaire Police Détectives Privé Voleurs Professionnels Reporters Terroristes Bandes organisées Vandales Vendeurs Agent de circulation
Classification (d’après Fred Cohen & associates) … Attaque 17 — plongeur en ordures/poubelle PC Attaque 21 — ingénierie humaine Attaque 25 — insertion pendant le transit Attaque 26 — observation pendant le transit Attaque 27 — modification pendant le transit Attaque 35 — notice d’exploitation inexacte Attaque 48 — carotteur de données Attaque 49 — bug Van Eck Attaque 55 — surfer par dessus l’épaule Attaque 56 — rassemblement de données
Classification (suite) … Attaque 58 — attaque du contenu Attaque 61 — hang-up hooking (TCP SYN) Attaque 63 — débordement de données (buffer overflow) Attaque 64 — insertion de valeur illégale (neg. dates) Attaque 69 — introduction de défaut de charge (reroute) Attaque 71 — fausse mise à jour Attaque 72 — attaque de réseau et de protocole Attaque 73 — distribution d’attaques organisées Attaque 74 — intermédiaire Attaque 84 — attaque sous le seuil Attaque 93 — attaque au salami … etc ….
La solution 1. Connaître son réseau 2. Analyser son trafic 3. Mise en place d’une authentification forte (trois facteurs) 4. instaurer des règles de sécurité, informer les utilisateurs, et appliquer les règles à la lettre 5. Connaître ses voisins 6. vérifier régulièrement les logs 7. faire une copie régulière des données et sous bonne garde 8. mettre des filtres puissants 9. Ne pas croire que ça n’arrive qu’aux autres 10. Savoir qui appeler en cas d’urgence
Oui, mais …. (Atelier groupe BNP Paribas - 10/03/2005) Sécurité Retour à l'article Sécurité Les mots de passe informatiques dans les entreprises : encore des efforts à faire ! C'est bien connu : les plus grandes menaces pour la sécurité informatique des entreprises viennent des utilisateurs eux-mêmes. Le spécialiste de la sécurité des données Safenet vient de publier une étude sur l'utilisation des mots de passe au sein des entreprises. Elle est le résultat d'enquêtes menées en France, en Allemagne, au Royaume-Uni et aux Etats-Unis auprès de 67 000 personnes. Par rapport à 2003, il apparaît que 68 % des entreprises consultées ont renforcé leur politique de sécurité en exigeant des mots de passe de plus en plus longs ou de plus en plus compliqués d'une année sur l'autre. La plupart des personnes interrogées ( 30 % ) doivent désormais renouveler leurs mots de passe jusqu'à sept fois et plus par an . En France, les résultats montrent une augmentation de 4 % des employés contraints de changer de mot de passe cinq à six fois par an et le nombre de ceux ne changeant jamais leurs mots de passe a diminué de 3 %. La complexité croissante des mots de passe se manifeste d'une part par l' augmentation du nombre de caractères et, d'autre part, par l'introduction croissante de composantes alphanumériques . En 2004, 29 % des employés interrogés utilisent des mots de passe avec des composantes alphanumériques contre 27 % en 2003. 26 % des entreprises utilisent des mots de passe de huit caractères et plus . La France enregistre ainsi la plus forte croissance parmi les pays représentés avec 5 % d'augmentation. Tous ces chiffres témoignent d'une importante prise de conscience de l'importance des mots de passe. Pourtant, l'augmentation de la longueur et la complexification des mots de passe ne sont pas toujours positives. Selon l'étude de SafeNet, 47 % des personnes interrogées ont de cinq à dix mots de passe différents pour accéder aux applications de leur entreprise. Avec des mots de passe de plus en plus longs, compliqués et renouvelés plus souvent, les risques en termes d'utilisation sont accrus : les utilisateurs sont en effet souvent amenés à les noter sur un papier ou les oublient tout simplement. 65 % des personnes interrogées affirment ne jamais partager leurs mots de passe avec autrui (soit une augmentation de 6 % par rapport à 2003) et 35 % seulement l'ont communiqué (soit une diminution de 6 %). En France, contrairement aux autres pays, SafeNet a constaté une augmentation des utilisateurs qui notent leurs mots de passe. Ainsi, dans une entreprise de 1000 personnes, 500 écrivent les mots de passe et 350 le communiquent à autrui ! (Atelier groupe BNP Paribas - 10/03/2005)
Une réponse en 5 minutes … CeRtiS® HAWK avec Token Log on avec authentification 3 facteurs Ce que je sais Ce que j’ai Ce que je suis SSO (Single Sign On) simple et efficace
Un SSO pour quoi ? La prolifération de mots de passe, conséquence d’une politique de sécurité OBLIGATOIRE, complique les conditions de travail de l’utilisateur. Cela entraîne, une rupture des règles de sécurité, et engendre des coûts pouvant atteindre des sommes astronomiques. Un SSO va répondre à vos besoins en matière de sécurité pour Protéger toutes vos données Protéger tous vos accès logiques Gérer les mots de passe : Sans que cela ne coûte (estimation 2006 : 150 euros par an et par personne) Sans que cela ne soit contraignant Sans que cela ne soit falsifiable Sans que cela ne soit copiable Sans que cela ne soit transmissible
Un SSO pour qui ? Au sein de l'entreprise, la valeur associée au Single Sign-On (SSO) est souvent limitée au confort qu'il apporte aux utilisateurs, leur permettant de se libérer de la contrainte de la gestion de multiples identifiants et mots de passe. Cependant, le SSO apporte de réels gains dans les domaines de la productivité des services informatiques ainsi que dans le domaine de la politique de sécurité. Pour les services informatiques, il permet par exemple de réduire jusqu'à 30% la charge de Help desk. Les analyses ont effectivement démontré que, sans SSO, 30% des appels à un help-desk concernent un problème de perte d'identifiant ou de mot de passe. Pour la politique de sécurité, un SSO permet de limiter le nombre de mots de passe triviaux ou affichés sur un Post-IT sur l'écran du poste de travail.
Un SSO surtout … En environnement Microsoft®, Windows 2000 et Windows 2003 fournissent une gestion des utilisateurs via la console Active Directory et un SSO vers toutes les applications Microsoft basées sur Kerberos. Les clients Windows 2000/2003 se connectent de manière transparente aux applications basées sur Kerberos comme Microsoft IIS ou aux applications basées sur SSPI dans des domaines Windows 2000. Cependant, les utilisateurs de Windows ne peuvent pas se connecter automatiquement à des applications non-Kerberos comme par exemple, les émulateurs mainframe, les multi-logins SAP R/3, Lotus Notes, les applications sous Apache, WebSphere et les applications Unix ou Linux. Avec un SSO de type HAWK, ou EAGLE, vous pouvez étendre l'authentification Microsoft Kerberos à toutes les applications du système d'information.
Avec un "SSO Sécurisé" on peut aider à répondre aux exigences légales. Attention ! Le système d'information des entreprises devient l'objet de plus en plus fréquent de lois et réglementations. Au-delà des simples normes et standards de type ISO qui ont jalonné le développement des nouvelles architectures, le législateur s'est intéressé à la relation entre l'utilisation de l'informatique par les organisations et son impact sur les processus opérationnels. Les lois et réglementations assurant la protection des données privées des clients et prospects ont eu le plus large écho ces dernières années. Le développement de la messagerie et l'application des méthodes de Marketing Direct ont relancé le débat à tous les niveaux. Cependant, il existe de nombreux autres cas de lois définies par le législateur s'appliquant au système d'information. Avec un "SSO Sécurisé" on peut aider à répondre aux exigences légales.
Comment procéder 1 - Remplir une demande d’autorisation aupres de la CNIL D’une manière générale, la CNIL n’autorise que les dispositifs où l’empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée. Ça peut faire mal ! Le non accomplissement des formalités auprès de la CNIL est passible de 5 ans d'emprisonnement et 300 000 € d'amende. La CNIL a récemment mis en demeure une société ayant mis en œuvre un dispositif de contrôle d’accès basé sur l’empreinte digitale sans son autorisation préalable.
À ce stade, vous avez rejoint le club des utilisateurs de CeRtiS® Comment procéder 2 – Installer un CeRtiS® Hawk avec Hard token (pour la CNIL) sur chaque station 3 – enrôler chaque utilisateur sous l’œil vigilant de l’administrateur 4 – continuer à travailler À ce stade, vous avez rejoint le club des utilisateurs de CeRtiS®
Le coût et le R.S.I. (ROI)
Les Références Autres Mécanique Gunebo Deutschland, WAB Sicherheitssysteme, Agroalimentaire Agrimol, Cash n' carry, Maxims, Fairfield Dairies, Landskron Farm, Rolou Farm, Médical Sebokeng Hospital, Jaques Persat, MSE, Textile Boston Laundry, Fibre logic, Hôtellerie Aventura Resorts, Minier Oil Co, De Bears, Transport, courrier HRP, Sun UTI, Prodata Electronique Sonae, Sagem, ATMEL, STM, Chronix, fujitsu, Silicomp, NASA, Ingenico Imprimerie Mithratech, Minit Print, Universal Web, François Charles Oberthur, Industrie du caoutchouc, plastique Palmer Rubber, Veloflex, Xactics Plastics, Everest Flexibles, Parfumerie négoce Gazzaz, Bancaire Caisse d’épargne de Côte d’ivoire, Banque Santander, Carte d’identité Costa Rica gvt, Guinée gvt, Salvador gvt. Intégrateur, développeur Avencis, Idactis, Keyvelopp, sigillum, Chaka group, IBM, SCB, AKURA, Scrypto, Be smart Ultimobyte, Militaire armée Française (site stratégiques), Armée Danoise, Encarteur Giesecke & Devrient ,Oberthur Card system, Gemalto, FCO, HI, Autres Les plus Hautes instances du gouvernement Français
Maintenant c’est à vous de choisir. Merci de votre attention Luc DEVAUX - Luc.devaux@orcanthus.com