Quelques définitions concernant la sécurité informatique LES OBJECTIFS: Empêcher la divulgation non-autorisée de données Empêcher la modification non-autorisée de données. Empêcher l’utilisation non-autorisée de ressources réseau ou informatiques LES CHAMPS D’ APPLICATION: Sécurité réseaux Sécurité système Sécurité des données
ARCHITECTURE DES RESEAUX INFORMATIQUES Postes de travail Serveurs: - de fichiers - d’application - d’impression - Intranet Routeur Serveurs: - de domaine - Internet - Proxy - antivirus Firewall DMZ: Serveurs: - WWW - DNS - SMTP - LDAP V.P.N Postes nomades Unité de sauvegarde RISQUES A EVITER Risques liés aux stations de travail Risques liés aux stations de travail Risques liés aux stations de travail nomades Risques liés aux stations de travail nomades Risques liés aux malveillances externes (menaces passives et actives) Risques liés aux malveillances internes Risques liés aux pertes de données (pannes matérielles, malwares, erreur de manipulation)pertes Risques liés aux contrôle d’accès Risques liés aux contrôle d’accès Risques liés aux malveillances externes Risques liés à l’utilisation Risques liés à l’utilisation des boîtes à lettres électroniques Les 5 piliers principaux de la sécurité informatique: confidentialité authentification intégrité disponibilité non-répudiation WIFI
Le poste de travail Les risquesLes solutions à adopter Pannes matérielles Domaine concerné DisponibilitéAucune solution véritablement efficace si ce n’est le double équipement et le clonage des postes ou / et un contrat de maintenance prévoyant le remplacement Erreurs de manipulationDisponibilité Mise en place d’enregistrements multiples sur supports différents; automatique (système RAID, logiciel de sauvegarde …) ou manuelle (clé USB, support amovible etc …). Procédure de reconstruction des postes de travail par clonage (pour erreurs « logicielles ») Défaillances du contrôle d’accès Authentification Confidentialité Non-répudiation Mise en place d’une stratégie de contrôle d’accès aux ressources (logicielles et données) par identifiant et mot de passe. Elaboration de profil utilisateur (déterminant les droits de chacun) Limitation de la zone de couverture du réseau WIFI Sécurisation du réseau WIFI (SSID) Les malwares Spywares,Dialers, Downloaders, Droppers, Virus, Vers Chevaux de troie, Backdoor Macros, Rootkits, Flooders Intégrité Disponibilité Mise en place d’une véritable politique de « prudence » (contrôle des supports amovibles, des fichiers reçus ou téléchargés etc … Mise en place et activation de logiciels de protection / détection des malwares (antivirus, pare feu et solutions complètes de protection contre les malwares)
Le poste de travail nomade Les risquesLes solutions à adopter Pannes matérielles Domaine concerné DisponibilitéContrat de maintenance prévoyant le remplacement rapide du matériel défectueux Problème de sécurisation des échanges Mise en place d’un réseau privé virtuel (VPN) Mise en place d’une procédure de chiffrement des données Vol et oubli Authentification Confidentialité Mise en place sur le poste de travail nomade d’un contrôle d’accès ainsi que d’une sécurisation du système (logicielles ou matérielles) Favoriser les moyens d’identification par biométrie Défaillances du contrôle d’accès Intégrité Mise en place d’une zone démilitarisée (DMZ) contenant un annuaire (LDAP) permettant le contrôle avant l’accès aux données internes Confidentialité Non-répudiation Intégrité
Le courrier électronique Les risquesLes solutions à adopter messages interceptés, lus, modifiés ou transférés par des internautes autres que leur auteur et leur destinataire Domaine concerné Disponibilité le cryptage du contenu et des pièces jointes (logiciel de cryptage) données personnelles utilisées sans l’accord de leur titulaire boîte aux lettres électronique inondée de spams ou bombardée avec un nombre astronomique de messages afin d’en bloquer l’accès (e-bombing ou mail bomb) spams Confidentialité Utilisation d’anti-spams Adoptez une attitude prudente (ne pas communiquer trop facilement son adresse électronique) Créez deux comptes afin de séparer les mailings list des autres courriels Utilisez un logiciel contre les mail bombers (ex: eremove) ordinateur infecté par des virus, chevaux de trois etc … transportés dans des pièces jointes attachées à des e- mails. Intégrité Disponibilité Mise en place d’un logiciel complet de protection contre les malwares le cryptage du contenu et des pièces jointes (logiciel de cryptage) Disponibilité Confidentialité Intégrité
Les pertes de données Les risquesLes solutions à adopter Pertes dues à une suppression de fichier accidentelle (confusion, erreur etc…) Domaine concerné Disponibilité Politique de formation sur les moyens de récupération des données sur le poste de travail (poubelle, logiciel de type PC Inspector File Recovery ou Handy Recovery). Sensibilisation aux messages de confirmation d’action Utilisation de sauvegarde locale (matérielle ou logicielle) Pertes dues à une panne matérielle grave sur un serveur (d’identification, de fichiers etc …) Pertes dues à une disparition totale de données sur un réseau Disponibilité Mise en place d’un SAN (zone du réseau dédié aux sauvegardes) ou d’un NAS (périphériques de stockage réseau) Mise en place de sauvegardes « échelonnées » sur support amovible (streamer, DVD etc …) Disponibilité Mise en place d’une procédure de clustering Mise en place d’une réplication entre serveurs Clonage des serveurs avec procédure de reconstruction. Utilisation de disque RAID
Les malveillances internes Les risquesLes solutions à adopter Utilisation, modifications et divulgations de données par un utilisateur du réseau ou du poste de travail non autorisé Domaine concerné Non divulgation des identifiants et mots de passe administrateur de domaine ou local Mise en place d’une politique de profil utilisateur définissant les rôles et les droits de chacun, en limitant l’accès en lecture / écriture / modification ou total Mise en place de contrôle d’accès supplémentaire pour les données sensibles. Contrôle des « logs » de connexion à Internet via le « proxy » du réseau Pertes de données ou d’applications dues à un acte de malveillance d’un utilisateur du réseau ou du poste de travail Mise hors service d’un poste de travail ou d’un serveur par un utilisateur du réseau Disponibilité Pas de réels moyens de protection si ce n’est de rendre inaccessible (cadenas, non accessibilité etc…) les unités centrales et leurs contenus Limiter les accès complets aux utilisateurs de confiance Conservation et consultation des fichiers de « logs »permettant l’identification des utilisateurs Procédure d’archivage et de protection des « masters » et code des applications informatiques Non-répudiation Intégrité Non-répudiation Disponibilité
Le contrôle d’accès Les risquesLes solutions à adopter Accès aux ressources du réseau interne par un utilisateur non autorisé Domaine concerné De façon générale un accès au réseau à partir d’un couple « identifiant / mot de passe » réel est indécelable cependant quelques règles s’imposent. Contrôler et interdire l’utilisation de logiciels capable de « cracker » les mots de passe. Limiter le temps et le nombre d’accès infructueux au réseau Mise en place d’une charte de création des identifiants et mot de passe Changement régulier des identifiants et mots de passe Recours le plus souvent possible aux réseaux privés virtuels (VPN) Contrôle des « logs » de connexion à Internet via le « proxy » du réseau Doubler le couple identifiant / mot de passe par un dispositif de type NAC (Network Admission Control) analysant le statut de l’ordinateur désirant accéder au réseau. Mettre en place une procédure d’identification en lieu et place de l’authentification par contrôle biométrique par exemple Accès au réseau à l’aide d’un dispositif nomade dérobé Sensibiliser les utilisateurs au risque d’enregistrement des identifiants / mots de passe sur les dispositifs mobiles notamment Réagir rapidement en supprimant les identifiants / mots de passe concernés authentification Intégrité authentification
Les malveillances externes Les risquesLes solutions à adopter Utilisation, modifications et divulgations de données par un utilisateur du réseau ou du poste de travail non autorisé Domaine concerné Non divulgation des identifiants et mots de passe administrateur de domaine ou local Mise en place d’une politique de profil utilisateur définissant les rôles et les droits de chacun, en limitant l’accès en lecture / écriture / modification ou total Mise en place de contrôle d’accès supplémentaire pour les données sensibles. Contrôle des « logs » de connexion à Internet via le « proxy » du réseau Pertes de données ou d’applications dues à un acte de malveillance d’un utilisateur du réseau ou du poste de travail Mise hors service d’un poste de travail ou d’un serveur par un utilisateur du réseau Disponibilité Pas de réels moyens de protection si ce n’est de rendre inaccessible (cadenas, non accessibilité etc…) les unités centrales et leurs contenus Limiter les accès complets aux utilisateurs de confiance Conservation et consultation des fichiers de « logs »permettant l’identification des utilisateurs Procédure d’archivage et de protection des « masters » et code des applications informatiques Non-répudiation Intégrité Non-répudiation Disponibilité