Introduction à la Sécurité Informatique Hiver 2014

Slides:

Advertisements

Présentations similaires

GEF 435 Principes des systèmes d’exploitation

Advertisements

Sécurité du Réseau Informatique du Département de l’Équipement

Algorithmes et structures de données avancés

Module Systèmes dexploitation Chapitre 6 Communication Interprocessus Partie III École Normale Supérieure Tétouan Département Informatique

TIC au service de léducation, le portail Tarbiya.

Projet SeVeCom (Secure Vehicular Communications)

Alerter les secours LA CHAINE DE SECOURS

La politique de Sécurité

EDC. Thème 3. LA SECURITE ET LES RISQUES MAJEURS

Département de physique/Infotronique

Le passé composé. What is it?? *Le passé composé est un temps du passé. = past tense X

DE LA RECHERCHE AU PLAIDOYER

Mission X Superfli Emily Roberts Cette présentation sera écrit en français avec sous-titres anglais violet de couleur. This presentation will be written.

Concepts de base : la Classe Pour faire une comparaison simple, une classe serait a priori, une structure C avec des variables et des fonctions.

UNE FOIS POUR TOUTES LEÇON 9

Analyse et Conception orientée objet

Cours #8 Flot de conception d’un circuit numérique

Présentation de la domotique:

INFORMATION ET DONNEE COURS 2. ACTIVITE HUMAINE Recherche scientifique MédecineInformatique OBSERVATION Mesures Rassemblement de données de patients Introduction.

Les pointeurs Modes d’adressage de variables. Définition d’un pointeur. Opérateurs de base. Opérations élémentaires. Pointeurs et tableaux. Pointeurs et.

Docteur François-André ALLAERT Centre Européen de Normalisation

Symbolisme vs Connexionnisme

© Petko ValtchevUniversité de Montréal Janvier IFT 2251 Génie Logiciel Notions de Base Hiver 2002 Petko Valtchev.

Les idéologies sont un ensemble de croyances sur la nature humaine, les idées sur ce qui est le plus important dans la vie; une base pour l'organisation.

Partie II Sémantique.

Place de l’audit dans la démarche qualité en hygiène hospitalière

Instructions for using this template. Remember this is Jeopardy, so where I have written Answer this is the prompt the students will see, and where I.

LE SUBJONCTIF Une introduction.

Authentification à 2 facteurs

Programmation linéaire en nombres entiers : les méthodes de troncature

Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.

Quel est le pays le plus heureux ?

Vers un nouvel empirisme: l’ancien et le nouvel empirisme John Goldsmith Université de Chicago CNRS MoDyCo.

Quelques erreurs communes à cause de v. parce que avant et après.

Le paradoxe Jamais il n’a été aussi facile d’accéder à une masse gigantesque d’information; Jamais il n’a été aussi difficile de ‘trier’ et de synthetiser.

Algorithmes et Programmation

2003 (revisé 2008)SEG Chapitre 11 Chapitre 1 “The Systems Engineering Context” Le contexte du génie de systèmes.

Réponse créative du “Fantôme” Comment écrire un article dans les actualités.

HOPITAL PUBLIC - INTERMEDICA 2002

Il y a des moments dans la vie où la présence de l’autre

Qui, que, où, dont Ce qui, ce que, ce dont Relative Pronouns.

Tutorat en bio-informatique

D.E ZEGOUR Ecole Supérieure d’Informatique. Problèmes de décision Concepts de base Expressions régulières Notation particulière pour exprimer certaines.

Le passé composé The perfect tense Eg: J’ai mangé une pizza I have eaten/ate a pizza.

Warm up There are organizations which advocate animals rights; otherwise the killing of animals to use parts of the bodies for any human need is a violation.

SYSTEMES d’INFORMATION séance 1 : Introduction et définitions

2 L’impératif 1.You use the imperative to give commands and make suggestions. The forms are usually the same as the tu, vous, and nous forms. Note that.

2 Le Pronom « EN » Referring to people, places and things already mentioned La norme: –Communication 1.2 –Comparisons 4.1 * Les questions essentielles:

This, that and the other A few little words that cause problems!

French 101 Important Verbs. The most important French verbs – avoir (to have), être (to be), and faire (to do/make) They are used in some of the ways.

Sécurité et Internet Formation.

Le passe composé.

Year 10. Bon appetit unit. Introducing ‘en’. ‘en’ – ‘some of it’ or ‘some of them’ ‘En’ is a small but important word in French that is commonly used.

JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard

Réalisé par : Mr. B.BENDIAF Mr. H.REHAB.

Je peux traduire le français au l’anglais!

Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.

Proposals/Propositions Organisation of Union Events together with National Events Members will recall that in recent years, the level of participation.

1. Est-ce que Est-ce que, literally translated "is it that," can be placed at the beginning of any affirmative sentence to turn it into a question: Je.

Really useful writing tips Avoid phrases like je pense que…/je crois que…. If you want to make clear you are expressing a personal opinion use: à mon avis.

‘Oddballs !’ Some more irregular verb revision in the Present Tense.

TAX ON BONUSES. Cette présentation appartient à Sefico. Elle est protégée par le code de la propriété intellectuelle : toute reproduction ou diffusion.

Introduction Module 1.

Confidentiel SecludIT

La sécurité informatique

Café In: A quoi ca sert la recherche sur la programmation? Comment peut on faire travailler des ordinateurs ensemble? Ludovic Henrio SCALE TeamSCALE Team.

Académie européenne des patients sur l’innovation thérapeutique L’insu dans les essais cliniques.

Révisons! Chapitre 6 Révision d’Examen. A) Ecoutez! Écoutez les invitations et choisissez la meilleure réponse. Exemple: “Il va faire beau ce week-end!

OBJECT PRONOUNS WITH THE PASSÉ COMPOSÉ Page 122. Placement  With all object pronouns, placement is the same. DirectIndirectPlaces De+ nouns or ideas.

COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.

Transcription de la présentation:

Introduction à la Sécurité Informatique Hiver 2014 Louis Salvail A.-A. 3369

Qu’est-ce que la sécurité informatique?

Interception des paquets en transit sur un réseau Espionnage de réseau Interception des paquets en transit sur un réseau Ceci est facile puisqu’un concentrateur («hub») répète tout ce qu’il reçoit à tous.

Attaque de l’homme du milieu Attaque où l’adversaire fait intrusion sur le canal de communication entre deux noeuds terminaux du réseau : Injecte des faux messages et Intercepte l’information transmise.

Le but de la sécurité informatique

Cyber Attacks Hit 75% of Enterprises in 2009 Symantec's latest report has more unsettling news for IT security administrators. February 24, 2010 By Larry Barrett: More stories by this author: If there's still any doubt about it, security vendor Symantec's latest data makes it perfectly clear: Hackers have enterprises firmly in their cross-hairs. The company's new State of Enterprise Security gives new, alarming indications that not only are malicious hackers, identity thieves, and malware authors eying high-value targets, enterprise IT security administrators' efforts to fight back are being hamstrung by budgets and staffing. Not surprisingly, enterprises are finding it tough to cope, and Symantec puts a very hefty price tag on the cost of all of those breaches. eSecurity Planet has the story. The telephone survey conducted in January contacted 2,100 businesses and government agencies in 27 countries and found that 100 percent of them had experienced cyber losses of some type in the past year. Seventy-five percent of organizations said they were hit by a cyber attack in the past year and 36 percent of those rate the attacks as either "somewhat" or "highly effective."

Le coût des attaques augmente dans pratiquement tous les secteurs :

Concepts utiles Plusieurs techniques permettent d’obtenir la confidentialité. Les méthodes de la cryptographie donnent des solutions pratiques pour satisfaire cet objectif. Confidentialité : Nous voulons des systèmes où l’information n’est accessible qu’aux utilisateurs à qui les messages sont destinés. Conformité : Nous voulons des systèmes qui assurent les destinataires d’un message de son origine et de son intégrité. Accessibilité : Nous voulons des systèmes qui fonctionnent comme ils se doivent. Les données produites doivent être accessibles aux utilisateurs légitimes. Comme pour la confidentialité, l’authenticité peut être garantie par des méthodes cryptographiques. Nous ne voulons pas dire la fiabilité et la conformité des programmes ici. Plutôt, qu’arrive-t-il en cas de panne de courant pendant l’exécution d’une requête?

Les politiques de sécurité Dans la pratique, nous avons besoin d’une description des objectifs de sécurité qu’un système nécessite (c.-à-d. politique de sécurité) : Doit être beaucoup plus précise que de parler d’authenticité et de confidentialité. Il est primordial d’établir les objectifs avant d’envisager les méthodes... Dans un modèle abstrait, une politique peut ressembler à l’identification des états considérés comme vulnérables (à éviter) et sécuritaires. Lorsqu’un système fait appel aux humains comme participants actifs alors les politiques sont souvent beaucoup moins précises parce qu’elles sont dictées dans le langage habituel. Le problème est qu’elles laissent ainsi place à interprétation.

Les politiques de sécurité (II) En somme : Une politique de sécurité est une façon de définir les événements que l’on veut éviter dans le fonctionnement d’un système. Ce qu’est une politique de sécurité est différent d’un auteur à l’autre. Elle peut dans certains cas contenir des stratégies dont le but est de garantir que les objectifs sont satisfaits. Un énoncé politique et non une politique! Cette politique vise à assurer que nos machines ne soient pas sujettes aux attaques de virus informatiques. Chaque machine doit utiliser un logiciel antivirus. Une seule personne doit être responsable de chaque machine. Elle doit vérifier que les logiciels antivirus sont mis à jour. Une politique: Cette compagnie prend la sécurité très au sérieux. Les attaques par virus informatiques sont très dangereuses. Nous ferons tout pour les éviter! Une non-politique:

Modéliser les attaques N’importe quel système peut être attaqué : par des utilisateurs honnêtes mais négligents, par des utilisateurs malhonnêtes, par des intrus qui prennent le contrôle de machines, ou par la nature (p.ex. une panne de courant)... Repousser toutes ces attaques est habituellement impossible. Sinon, c’est souvent inabordable et inefficace. Nous devons donc nous en tenir à un modèle définissant les attaques contre lesquelles nous voulons nous prémunir.

Modéliser les attaques (II) Imaginez un système multi-utilisateur qui mémorise les mots de passe de façon interne avec un très haut niveau de sécurité. Imaginez un administrateur de ce système qui note les mots de passe des utilisateurs sur son bureau. Le système peut être totalement sûr si le modèle d’attaque considère seulement les attaques à partir de terminaux. Ceci peut être un modèle raisonnable si le bureau de l’administrateur est physiquement protégé contre les intrusions. Si le modèle inclut les attaques contre les intrusions non détectées dans le bureau de l’administrateur alors le système n’est probablement pas sûr!

« Simmons a mentionné quelque chose à propos d’un trou de sécurité « Simmons a mentionné quelque chose à propos d’un trou de sécurité... Ne me dites pas que c’est le trou en question, et en passant où est Simmons? »

Les mécanismes de sécurité Modèle d’adversaires mécanismes de sécurité Sécurité du système? + Politique de sécurité Dans ce cours, nous prendrons le direction inverse!

Les mécanismes Dans un système hospitalier : Politique Seuls les médecins sont autorisés à accéder aux dossiers des patients. Politique Les intrusions à partir de terminaux doivent être éliminées. Modèle d’adversaire mécanismes Les mécanismes de sécurité devront probablement contenir : Une base de données chiffrée contenant les dossiers médicaux Un accès par mot de passe assurant que seuls les médecins autorisent le système à fournir les données en clair.

Quelques mécanismes

La sécurité dans l’industrie

Établir la sécurité Supposons que nous avons une politique de sécurité bien établie, un modèle d’adversaire précis, et que nous avons utilisé des mécanismes de sécurité pour satisfaire nos politiques : Est-ce que le système résultant est sécuritaire? Peut-il être attaqué avec succès? Cette question est la plus importante en sécurité informatique, mais aussi la plus difficile. Dans bien des situations, les réponses sont meilleures que « Ç’a ben l’air correct ça! », mais n’arrivent pas à donner une conclusion définitive. Pourquoi?

Établir la sécurité (II) Pourquoi il est difficile d’établir la sécurité : Pour prouver la sécurité d’un système, nous devons avoir un modèle mathématique nous permettant de prouver des théorèmes pour établir que le système n’atteint jamais un état vulnérable. Ces modèles doivent composer avec tous les adversaires inclus dans le modèle d’adversaire. Ceci peut causer des problèmes : Le modèle d’adversaire est d’une trop grande généralité pour la représentation de toutes les menaces. Il devient alors très difficile de prouver quoi que ce soit. Le problème peut même devenir indécidable. Le modèle d’adversaire est trop restrictif pour que toutes les menaces soient écartées. Un adversaire pourrait alors passer entre les mailles.

Établir la sécurité (III) Tout ceci est bien malheureux mais nous devons adopter un point de vue pratique ici : La sécurité est nécessaire. Même si la théorie est incomplète, ceci ne veut pas dire qu’il ne faut rien faire. Même si la théorie est incomplète, ceci ne veut pas dire qu’elle est inutile. Nous pouvons par exemple nous assurer qu’un certain nombre de menaces sont exclues et nous concentrer sur l’analyse des autres.