“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.

Slides:



Advertisements
Présentations similaires
LEssentiel sur … LUTM Juillet Arkoon Network Security © 2008 Les mots clés, le marché Appliance UTM (Unified Threats Management) : Appliance de.
Advertisements

MASTER ENVIRONNEMENT ET RISQUES /2011
© maxime moulins
Botnet, défense en profondeur
© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité
Sécurité du Réseau Informatique du Département de l’Équipement
Manuel Qualité, Structure et Contenus – optionnel
Le"cartable électronique"®
Projet extranet My.Eolas
Éthique de la cryptologie
Conception de la sécurité pour un réseau Microsoft
D2 : Sécurité de l'information et des systèmes d'information
PLAN DU COURS Outils de traitement des risques
La politique de Sécurité
Enter Title of Presentation Here
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage
Pôle de Compétitivité Solutions Communicantes Sécurisées Réunion thématique Identité 18 Janvier 2007.
MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.
Service aux personnes assurées
Présentation clientèle 13 décembre 2011
Plateforme de gestion de données de capteurs
Public Key Infrastructure
Une approche pour un espace de confiance des collectivités locales.
Portefeuille de Compétences
Le portail personnel pour les professionnels du chiffre
Introduction to Information Systems
FORUMS ECO-SECURITE.
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Domaine IT Heure-DIT L'heure-DIT
De nouvelles applications en matière d’administration électronique : - la transmission des actes des collectivités locales - le passeport électronique.
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Parlement wallon. CONTEXTE Dans sa Déclaration de Politique Régionale le Gouvernement sest engagé à établir « un projet de décret visant à assurer un.
DEVELOPPEMENT DURABLE » « Penser global, agir local »
Finger Cryptosystem pour L’Authentification
Guide de gestion environnementale dans l’entreprise industrielle
Section 4 : Paiement, sécurité et certifications des sites marchands
© International Road Transport Union (IRU) 2012 Séminaire international sur les instruments de facilitation du commerce et du transport routier de lONU.
La voyage de Jean Pierre
A côté des systèmes d'information dans l'entreprise
Supply Chain Management
@SSR – Installation des applications eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur et.
Docteur François-André ALLAERT Centre Européen de Normalisation
SSO : Single Sign On.
802.1x Audric PODMILSAK 13 janvier 2009.
Alain Noël M.B.A., Ph.D., F.Adm.A. bureau 3.278a, , A. Noël Ph.D.MBA HEC, simulation Netstrat, séance 3 1 Gérer une entreprise.
Processus d’éthique des affaires
Sécurité et Vie Privée Dans les Réseaux Sociaux
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
DELCAMBRE – LEGRAND - VANTREPOTTE. L’annuaire ? Qu’est qu'un annuaire ? Pages Blanches, Pages Jaunes etc.… Yahoo, Voilà, Nomade etc.… Notre carnet d’adresse.
Le workflow Encadré par: M . BAIDADA Réalisé par: ATRASSI Najoua
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
La sécurité dans les réseaux mobiles Ad hoc
SEMINAIRE DE FORMATION DES CORRESPONDANTS DE LA MRSMP Lundi 1er octobre 2001 Mission pour la Réforme des Systèmes et Moyens de Paiement (MRSMP) Le SYSTEME.
Supports de formation au SQ Unifié
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Introduction à la Sécurité Informatique
Réalisé par : Mr IRZIM Hédi Mr JRAD Firas
Système d’information de département
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
© 2008 Oracle Corporation – Propriétaire et confidentiel A quelles fonctions de l'entreprise cette campagne s'adresse-t-elle ? Cadres dirigeants Directeurs.
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
Offre de service Sécurité des systèmes d’information
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.
Commerce électronique: sécurité
Sécurité des Web Services
Système de Management Intégré
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Transcription de la présentation:

“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein

Pourquoi parler de sécurité ?

La sécurité - Pourquoi ? Confiance Affaires e-Business / e-Commerce PME Confiance Affaires Clients Marché e-Business / e-Commerce

Pourquoi la sécurité ? (suite) Mais aussi... PME Protéger la réputation Eviter des pertes financières Satisfaire aux exigences légales, assurances Il est important de noter que nous ne protégeons pas nos biens pour des besoins de sécurité mais nous appliquons des mesures de sécurité pour protéger nos biens

La sécurité informatique, une entrée en matière

{ La sécurité, une entrée en matière La sécurité = {mesures} permettant d’assurer la protection des biens / valeurs. Information & Systèmes La sécurité = {mesures} permettant d’assurer la protection de l’information & Systèmes { la confidentialité, l’intégrité, la disponibilité, la non-répudiation.

Se protéger contre quoi ?

Menaces & Vulnérabilités Menace = Action Vulnérabilité = Réactif Générique Fonction de l’environnement Ex: Activation et diffusion d’un virus au sein de la PME Absence d’anti-virus centralisé et à jour Utilisation du lecteur de disquette Possibilité de téléchargement,…

Menaces liées à l’utilisation de l’Internet

Vulnérabilités Absence ou manque de procédures organisationnelles et mesures techniques Ex: Absence du suivi des problèmes et solutions, Fichier de traces non configurés / non contrôlés, Présence d’utilisateurs fantômes, Absence ou faible niveau de ségrégation du réseau, Manque de contrôle des fichiers téléchargés, Absence de contrôle des médias de sauvegarde, Présence de service non requis sur les machines, Absence de tests négatifs, ... Ex: Absence de support et compréhension du management Absence de politique de sécurité Absence de programme de sensibilisation, Absence de personnel qualifié, ...

Faut-il se protéger et jusqu’à quel niveau ? Tout dépend de notre environnement, de nos besoins propres. Comment définir ses besoins en sécurité ? En passant par une gestion des risques

Gestion des risques Face à un risque, trois types de réactions possibles: L’ignorance complète des risques La protection totale La gestion de risques

Gestion des risques Principes de bases Un risque n’existe que dans le cas où ses trois composantes sont présentes: Un Bien, une Menace et une Vulnérabilité. Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l’impact. L’acceptation d’un risque est, en soi, un risque

Gestion des risques Niveau de Risque ? IMPACT PROBABILITE FAISABILITE Exemple: Quel est le risque pour votre entreprise que des systèmes d’informations (serveurs, stations de travail) soient infectés par un virus ? Niveau de Risque IMPACT PROBABILITE FAISABILITE ? Pour votre entreprise H: Haut M: Moyen F: Faible Fonction du marché / environnement Fonction de la présence de vulnérabilités Le pire des risques est celui dont vous ignorez l’existence

Identification des mesures applicables Sécurité Organisationnelle Analyse de risques Politique de sécurité Organisation Sécurité des utilisateurs Gestion des utilisateurs / mots de passe ou authentifications fortes Utilisateurs internes / externes Sécurité Applicative Definition des profiles /roles Verification des autorisation, Chiffrement des données E-Applications / E-Services Sécurité des serveurs Unix/ NT fortification Stations / Serveurs / Bases de données La sécurité réseau Firewall & détecteurs d’intrusions Chiffrement en ligne Infrastructure réseau

Identification des mesures applicables Tenir compte des contraintes liés à votre environnement Le budget octroyé L’environnement technique Les ressources disponibles La politique de sécurité de l’entreprise Les nouvelles vulnérabilités introduites

Identification des mesures applicables

Identification des mesures applicables Questions à prendre en considération dans le choix d’une solution Quel problème est-ce que la solution permet de résoudre ? Comment est-ce que la solution permet de résoudre le problème ? Quels autres problèmes la solution permet de résoudre ? Quels nouveaux problèmes la solution engendre ? Quels est le coût de la solution ? Est-ce que la solution vaut la dépense ?

L’ouvrage étudie et répond à ces questions pour les mesures de sécurité suivantes: Mécanismes d’authentification Mot de passe statique Générateurs de codes dynamiques Cartes à puce Systèmes biométriques Signatures digitales et infrastructure à clés publiques Authentification unique et administration centralisée La Cryptologie la cryptographie symétrique la cryptographie asymétrique la cryptographie hybride SSL, PGP, VPN la stéganographie La sécurité des réseaux firewall détecteurs d’intrusions La sécurité du commerce électronique paiement par carte de crédit monnaie électronique Le Copyright sur l’Internet

Implémentation et gestion de la sécurité 3 scénarios envisageables: Utilisation de ressources internes Outsourcing (hébergement) Utilisation de ressources externes

Conclusion S’il fallait mentionner deux qualités essentielles de tout bon responsable ou consultant en sécurité, ce serait la paranoïa et le bon sens. La paranoïa pour pouvoir identifier le plus grand nombre de scénarios de désastres et de vulnérabilité exploitables. Le bon sens pour pouvoir mitiger ces scénarios, identifier des priorités et des mesures de sécurité réalistes et cohérentes pour l’environnement étudié. Didier Godart

Contacts & liens didier.godart@skynet.be http://users.skynet.be/fa104514/livre_securite.html http://www.ecci.be http://www.technifutur.be