Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)

Slides:



Advertisements
Présentations similaires
Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)
Advertisements

Mines nancy > ici, c’est déjà demain LES CHARTES EN ENTREPRISE SUR LA BONNE UTILISATION DES TIC 101/03/16Jules ARBELOT & Benjamin SALEM.
Parcours de Professionnalisation Epreuve E6 BTS SIO OPTION SISR Ngouma Lorris.
1 / Univnautes Projet de portail captif de L'UNPiDF Pierre Cros
Présentation de Scribe Votre nouvelle organisation du Réseau Informatique Pédagogique.
1 Systèmes informatiques embarqués Direction Technique Systèmes Ce document est la propriété intellectuelle de DASSAULT AVIATION. Il ne peut être utilisé,
ALAIN HODARA CONSULTING B RIEF DE PRÉSENTATION 1.
L’évolution du SI. Introduction De nombreux éléments peuvent amener une organisation à faire évoluer son système d’information : Modification des besoins.
Construire un projet “Sustainable Development”
Sécurité Réseau Alain AINA AFNOG 2009.
Brève histoire d’Internet
M. PORTER 1980 HARVARD: la chaîne de valeur
Les stratégies de sécurisation numérique
Chapitre 1 : Exploration du réseau
Principes de sécurité Ref. : SP rev A
Comment Sécuriser Le Système d’information de son entreprise
Mars 2017 Politique de Sécurité Ionis-STM - David MARKOWICZ.
objets connectés et réalité augmentée générations et objets connectés
Quelles nouvelles technologies peuvent être utiles dans le développement sécuritaire des hydrocarbures au Québec? 8e conférence annuelle de l’Association.
FARAH.Z "Cours sécurité1" /2016
PLAN DE FORMATION DES EQUIPES DES SYSTEMES D’INFORMATION EN DELEGATION
Centre Universitaire des Ressources Informatiques CURI-UH2MC
Davide Canali Sr. Threat Analyst – Proofpoint Inc.
Cybersécurité : enjeux pour l’usine du futur
Les nouvelles initiatives pour un meilleure engagement global
Les Bases de données Définition Architecture d’un SGBD
NuFW, un parefeu authentifiant
La Cyber-Surveillance des employés
2ème partie – mise en oeuvre
Le cabinet d’avocat: une entreprise du droit Présentation de Maître Mame Adama GUEYE Formation Continue CIFAF Dakar 2 Décembre 2014.
Séance du 19/01/17 L3 RH.
Démarche de conception. Démarche didactique.
Notion De Gestion De Bases De Données
Procédure d ’Achat Industriel 09/01/07 Jean-lou POIGNOT
Un Projet IaaS ? Emmanuel Braux
Commerce électronique Elbekri Sarra Hamdi Amel Zriba Mariam
Migration de l’architecture classique vers le cloud privé
Branche Professionnelle des organismes de formation
SOLUTION DE VIDEOSURVEILLANCE SUR IP
HORAIRES ET REGLEMENT D’EXAMEN.
Offres de formationPAF 2018/2019
Mesures Physiques et Informatique
PROJET D’ORGANISATION DES PROCESSUS
Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)
UNASA La Rochelle - 15 novembre 2006
Prestations de service informatique en fonction de la valeur perçue & Dynamique des rapports de force Mohamed Amine EL AFRIT.
Thème qui répond aux critères : Les OGM
Présentation des nouveaux programmes de Technologie Mai 2008
LLAGONNE Vincent MAUPIN Nicolas FERNANDEZ Quentin
Modélisation objet avec UML
Comment penser une organisation ?
Professeur LISA Galina PhD. en Economie
Défis de l‘entreprise – défis des syndicats
Explorer le monde Se repérer dans le temps et dans l'espace
Calcul des coûts BTS2- SI7
Le programme informatique L’algorithme Le codage
Sciences Numériques et Technologie
La gestion des systèmes d’information internationaux
Etudier son marché : le bon réflexe pour une offre gagnante
Présentation spécialité SVT en première
Réforme du Lycée
Enseignement de spécialité
Le numérique : une opportunité pour notre structure
Design, innovation et créativité
Numérisation ou digitalisation ? Nouvelle façon de faire
Internet des objets et ses applications
Classe de seconde, enseignement commun
Séance centre patronal Paudex
Conférence Témoignage-Métiers
Transcription de la présentation:

Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)

Référentiel de compétences Réseaux-Sécurité (1/2) (2016)

Référentiel de compétences Réseaux-Sécurité (2/2) (2016)

Rappels : quelques protocoles de base... Ethernet, HDLC, PPP, (R)ARP, IP, UDP, TCP, ICMP, SNMP, routage, authentification, IPSEC, ATM, POP, SMTP, HTTP, TELNET, NFS, DNS et algos : DES, RSA, MD5, SHA… L’objectif n’est pas de connaître ces protocoles par cœur mais de connaître leur structure et de comprendre leurs fonctionnalités et limitations

Application réseau / système réparti = système complexe (I) Concevoir une application réseau est un assemblage complexe comprendre les besoins installer - réserver les tuyaux (dimensionnement) structurer l’application patrons de sécurité (security patterns) sous-réseaux - réseaux virtuels - plan d’adressage tolérance aux fautes tolérance aux catastrophes survivabilité sécuriser l’application mécanismes d’authentification cryptage gestion de droits (autorisations) pare-feux - réseaux virtuels – VLAN - etc.

Application réseau = système complexe (II) définir les protocoles architecture logicielle schémas de communication librairie de communication Algorithmique interfacer l’application interface systèmes sous-jacents (archives, SGBD, serveurs de noms, serveurs « sécurité », moteurs transactionnels…) administrer l’application architecture d’administration outils d ’administration, monitoring

KISS : Keep It Simple and (a bit) Stupid Transparence Le Graal des systèmes répartis La condition de leur utilisation Solutions et outils génériques Tolérance aux fautes et gestion de la qualité de service KISS : Keep It Simple and (a bit) Stupid Everything should be made as simple as possible [as it can be], but not simpler (A. Einstein)

Sécurité – Que retenir ? Une notion de base : le risque Toutes les informations/tous les sous-systèmes n’ont pas la même valeur Toutes les informations/tous les systèmes ne sont pas exposés aux mêmes menaces Risque = analyse « valeur vs menace » Rappel : définition ISO 31000-2009 : « Le risque est l’effet de l’incertitude sur les objectifs » Valeur/Menace/Risque ne sont pas des données statiques ; elles dépendent des processus métiers et de l’environnement et évoluent avec eux

Sécurité – Que retenir ? Menaces Comprendre les menaces et le fonctionnement de base des attaques Analyser les risques, c’est-à-dire relier structure du système et menaces/attaques Concevoir /Structurer un système en vue de minimiser les risques… tout en garantissant sa performance (fonctionnalités, facilité d’utilisation, évolutivité, tolérance aux fautes/robustesse, coût…) (minimiser l’impact sur les processus métier !)

Sécurité – Que retenir ? Outils pour la sécurité Outils méthodologiques : savoir que cela existe, en comprendre le principe et l’utilité Outils techniques : authentification/signature, certificats, contrôle d’accès, pare-feux, VLAN, VPN, etc. : en connaître les principes, les fonctionnalités, les utilisations, les limites Ce ne sont que des outils. L’« intelligence » et l’efficacité résident surtout dans la bonne utilisation de ces outils (sélection, intégration, coordination, placement, paramétrisation…)

Rappel - Sécurité : idées de base (I) Mettre en place une politique globale de gestion du risque Séparer les fonctions Minimiser les privilèges Centraliser les changements Cerner les IHM Mettre en place de plans de sauvegarde et de reprise

Rappel - Sécurité : idées de base (II) Cibler les éléments vitaux/essentiels Utiliser des techniques de conception et de programmation standardisées Monitorer l’ensemble des éléments de l’entreprise : systèmes informatiques, réseaux, personnel (traçabilité) Informer et former les personnels

Rappel - Sécurité : synthèse Sécurité = compréhension du fonctionnement de l’entreprise + de la méthodologie + un peu de technique + du bon sens + de la sensibilisation Il existe des outils puissants mais aussi beaucoup de failles de sécurité Outils techniques : IP secure, VLAN, VPN, IDS, pare-feux, DLP, ERM… Outils méthodologiques : PSSI, SMSI, security patterns, survivabilité, confiance, réputation… Passage d’une logique de « piratage » par un individu à un spectre composite de menaces : espionnage industriel et militaire, surveillance, criminalisation et mafia, attaques à grande échelle, cyberguerre Le facteur humain est central Complexification : « entreprise ouverte », externalisation, « cloudification », BYOD, botnets, « advanced persistent threats (APT) », « advanced evasion techniques (AET) »… Nécessité d’une prise en compte globale au niveau de l’entreprise Stuxnet : attaque des systèmes SCADA Siemens. Voir aussi Duqu (en partie lié à Stuxnet), Flame, Gauss. Advanced evasion techniques : utilisées pour rendre inopérants les FW et IDS afin de pouvoir lancer une attaque sans crainte de détection.

Rappel – Sécurité : retour à l’introduction (Le Monde, 3/2/2015) 6 questions fondamentales selon J. Evans (HSBC) Quels sont les données et les process critiques pour l’entreprise ? Qui peut menacer ces actifs (concurrent, Etat, consommateur…) ? Quel degré de risque accepte-t-on ? Qui doit gérer ce[s] risque[s] ? [Ces risques sont-ils] pris en compte dans les projets de développement ? Les fournisseurs ont-ils la même démarche 0,01% à 2% des données des entreprises seraient réellement critiques (Commission sur le vol de PI, Etats-Unis) « La cybersécurité est une question humaine avant d’être technologique »

Nouvelles frontières Informatique multi-échelle : de l’objet (du composant d’objet) au cloud Informatique partout ― Informatique pervasive BYOD Internet des objets – Cloud-IoT – Edge computing – Fog compuritng Informatique « user-centric » Informatique « business-centric » Ecosystèmes numériques Blockchain => systèmes de plus en plus ouverts... mais collaboratifs => forte évolution des risques et menaces => vers une « sécurité collective » : notion de confiance et de réputation => concepts de (protection de la) vie privée/confidentialité interrogés => notion d’identité/de « moi » numérique

Conclusion Votre rôle : comprendre-assembler-organiser-intégrer des solutions « vivantes » Numérisation de la société : un horizon créatif sans limite mais de nouveaux risques émergents intelligence économique dépendance au SI et risque systémique cyber-attaques traçage des personnes, conditionnement/influence/contrôle/surveillance des personnes, « Primum non nocere » (D’abord, ne pas nuire) ! Interrogez-vous sur les conséquences et risques de vos solutions (sur les processus métier de l’entreprise, sur l’organisation de l’entreprise, sur les performances du système impacté, en terme de respect de la vie privée des personnes, en terme de résistance aux attaques et dysfonctionnements… ) Derrière les réseaux, vivent des personnes : soyez des ingénieurs humanistes :-) !

Global State of Information Security Survey 2016 (PWC) Exactement, votre profil  !

Merci  !