La sécurité informatique © BERNARD-MASSIAS

Photographie de la situation

La dépendance des entreprises vis-à-vis de l’informatique Enquête faite par le CLUSIF auprès 350 entreprises de plus de 200 salariés Source : CLUSIF 2012

Sinistres informatiques subis par les entreprises en 2006, 2008, 2010, 2012 inistre informatique, il faut entendre tout acte qui altère le fonctionnement normal des systèmes informatiques, qu'il s'agisse d'une panne hardware, d'un bug software, d'un accident ou d'un acte de malveillance.  Selon le CLUSIF, en 2002, en France, 14% des sinistres informatiques étaient dus à des erreurs humaines, 24% à un accident et 62% à la malveillance ! CLUSIF : Club de La Sécurité de l’Information Français.

Sinistres informatiques subis par les entreprises en 2006, 2008, 2010, 2012

Les évolutions actuelles : Les gros incidents : Vol et disparition de matériel Perte de services essentiels, Pannes d'origine interne, Infections par virus. Forte chute des incidents sur l’ensemble des secteurs : Perte de services essentiels : 45% à 26% Diminution des erreurs de conceptions : 46% à 17% Les types d’incident rencontrés par les entreprises connaissent des taux beaucoup plus faible que les années précédente. Il est vraisemblable que leur perception ait évolué sur ces sujet. L’ordre d’importance n’a pas changé, Forte baise des erreurs d’utilisation, Infection par virus reste la première source d’incident d’origine malveillante.

Que faut-il protéger ? Les données personnelles : n° de carte bancaire, adresse, date de naissance… Les données sensibles de la société : schéma technique, procédé de fabrication, nom des fournisseurs,prix d’achat des produits… Le matériel : Ordinateur, Téléphone mobile, PDA. Accès aux communications de la société : Site Web de la société, Téléphone. L’image de marque de la société

Les objectifs de la sécurité informatique La sécurité informatique vise généralement cinq principaux objectifs : L'intégrité, La confidentialité, La disponibilité, La non répudiation, L'authentification. La sécurité informatique vise généralement cinq principaux objectifs : L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ; La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ; La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ; La non répudiation, permettant de garantir qu'une transaction ne peut être niée ; L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources.

Les risques

Les accidents « naturels » Coupures de courrant Accidents physiques Evénements naturels Pannes matériels Coupure d’électricité : 47% Accidents physiques : 8% Evènement naturel : Panne matériel : Solutions possibles simples : Réaliser des sauvegardes régulières (au moins une fois par semaines) en plusieurs lieux Utiliser des onduleurs. Solutions possibles : Utiliser des onduleurs. Réaliser des sauvegardes régulières dans plusieurs lieux Utiliser un serveur de backup, Utiliser un système RAID

Les accidents involontaires Crash Bill Gates Perte de données GB Perturbation à la SNCF Erreurs de conception Perte d’informations Erreurs d’utilisation du système Exemples : RAID : Redundant Array of Independent Disks, Solutions possibles : Utiliser des onduleurs, Sauvegarde sur système RAID Réaliser des sauvegardes régulières dans plusieurs lieux Mettre à jour ses logiciels

Les attaques volontaires Vol de matériel Spammeur Sabotage Physique de matériel Le voleur d’informations Personnelles Maître chanteur : (Exemple : MiMail.L Ver envoyé par e-mail avec pièce jointe de nue , si on clique , renvoie l’adresse de l’expéditeur et attaque les sites antispam en les submergeant et les faire fermer) - cryptage des données de l’entreprise, - destruction ou modification des données, Le fraudeur (EXEMPLE : BugBear : virus propageant par courriel récupère les mots de passe des employés de banque) - Détournement de fond en interne, - Détournement de fonds par vol de n° de carte bleu, Phishing, Le voleur d’informations personnelles : (EXEMPLE : CAYAM vers se propageant par mail vole les détails de la vie privée) - Réalisation de fausses identités (fausses cartes bancaires, fausses carte bancaires..) 40% des personnes ayant reçu 1 mail truquée de la CityBAnk ont répondu. L'espionnage de Facebook encore pire que ce que l'on croyait Edition du 03/12/2007 - par François Lambel Sous prétexte d'alimenter son moteur à publicité comportementale, Facebook, le dernier réseau social à la mode, a mis en en place un véritable système de violation de la vie privée. C'est ce que vient découvrir un chercheur en sécurité de chez Computer Associates (CA). Il s'avère que l'outil maison Beacon, censé soi-disant collecter les informations comportementales (et commerciales) des adhérents avides de visibilité, espionne en fait tous ceux qui s'inscrivent à Facebook, qu'ils le veuillent ou non. Et ce en permanence. Les informations collectées sont avant tout destinées aux sites commerciaux partenaires qui bénéficient d'un "profiling" d'autant plus précis qu'il est permanent et secret. Source : http://www.lemondeinformatique.fr/actualites/lire-l-espionnage-de-facebook-encore-pire-que-ce-que-l-on-croyait-24742.html Symantec explique également qu'ils ont identifié un certain nombre de serveurs clandestins permettant à ces organisations criminelles de commercialiser les données confidentielles. Les cartes de crédits par exemple représentent 22% des articles mis en vente sur les serveurs clandestins. Elles sont vendues par lot de dix ou vingt au prix de 35 centimes d'euros environ. Le numéro d'un compte bancaire se vend au prix de 22 €, un mot de passe de courrier électronique 73 centimes d'euros et un numéro de sécurité sociale vaudrait 3.6 €. Au total, ce trafic représenterait un marché valant des milliards de dollars. Le Spammeur : Fermeture des site -> création de Virus (SoBig) pour prendre le contrôle de PC (les ZOMBIES) comme relais. Collecte d’adresse mails -> gravure de CD -> Prix 100$ -> Mot clé GOOGLE : « Bulk list cd » Envoie jusqu’à 70 millions d’e-mail par jour. 1 achat pour 1000 mails => 7million Phishing : Selon le AFCC (Anti-Fraud Command Center), la cellule anti-fraude de RSA Security, le nombre total d'attaques de phishing s'est élevé à 3.500 en mars 2006, soit le plus haut niveau depuis janvier. Et les pays les plus visés ont été les Etats-Unis (60% des attaques), suivis du Royaume-Uni et de l'Allemagne. Les internautes et les banques françaises constituent le 6e pays le plus visé par les fraudeurs, observe RSA. Et selon une enquête de First Data, 43% des adultes américains ont fait l'objet d'au moins une tentative de "hameçonnage" et environ 5% d'entre eux, soit 4,5 millions de personnes, sont tombés dans le piège en fournissant les informations confidentielles demandées. Ce qui est amplement suffisant pour détourner des centaines de milliers, sinon de millions de dollars. Source : http://www.silicon.fr/fr/silicon/news/2006/04/14/phishing-3500-attaques-mars Le sabotage Physique de matériel : - Vengeance de personnel, Vol de matériel : - Vol simple de matériel, - récupération des informations contenues dans l’ordinateur pour intrusion ou vente de renseignement. Le maître chanteur Le fraudeur Solutions possibles : Utiliser une suite de sécurité Crypter les informations, Sensibiliser le personnel.

Comment se protéger ? Une approche globale : La sensibilisation des utilisateurs aux problèmes de sécurité La sécurité logique La sécurité des télécommunications La sécurité physique Un suivi des incidents La sensibilisation des utilisateurs aux problèmes de sécurité La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation. La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux d'accès, etc. La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

Sensibilisation les personnels Rédaction de charte de sécurité, Formation de populations spécifiques, Formation périodique et récurrente de tout le personnel, Publication (mail, intranet…) Diffusion de plaquettes, Sensibilisation des nouveaux arrivants.

L’authentification Définition : Exemples : L'authentification est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur...), afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications...). Exemples : Mot de passe, Carte à puce, téléphone portable… Capteurs biométrique (capteur rétinien, capteur d’emprunte digitale…) Certificat électronique… Attention : Identification ≠ Authentification Authentification forte = au moins deux méthode d’authentification. Certificat électronique permet : La non répudiation des données, L’intégrité des données, La confidentialité des données (cryptage) L’authentification d’un individu ou d’une machine.

Cryptage asymétrique 1re étape : Alice génère deux clés. La clé publique (verte) qu'elle envoie à Bob et la clé privée (rouge) qu'elle conserve précieusement sans la divulguer à quiconque. 2e et 3e étapes : Bob chiffre le message avec la clé publique d'Alice et envoie le texte chiffré. Alice déchiffre le message grâce à sa clé privée.

Sauvegarde de données Définition : Exemples : la sauvegarde (backup en anglais) est l'opération qui consiste à dupliquer et à mettre en sécurité les données contenues dans un système informatique. Exemples : Serveur de backup, Système RAID (RAID5), Sauvegarde en ligne. Serveur de Backup

Filtrage d’accès Définition : Exemples : Utilisation en DMZ Un pare-feu est un élément du réseau informatique, logiciel et/ou matériel, qui a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés ou interdits. Exemples : Firewall (Pare-feu) logiciel, Firewall matériel Utilisation en DMZ

Sécurisation des transferts d’informations Réseau local 1 Définition : Le Réseau privé virtuel (VPN ou Virtual Private Network, en anglais) est une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Exemples : VPN logiciel, VPN matériel, Réseau dédié. VPN Internet Réseau local 2 VPN

Recherche des menaces Antivirus : AntiSpyware Antispam rootKit, Troyen, Virus, Ver AntiSpyware Spyware (logiciel espion) Antispam Spam

Redondance Redondance du matériel : Redondance logiciel : Exemple : Doubler les serveurs Avantage : Augmentation de la disponibilité du service, Redondance logiciel : Exemple : Double antivirus Augmentation de l’efficacité de la détection

Le suivi des incidents Analyse des logs (firewall, journaux d’authentification…) Analyse des paquets IP (Sniffeur) Inventaire des actifs (contre le vol)

Mise en place d’un défense Méthode : 1- Définir les objectifs de sécurité 2- Définir l’organisation De l’architecture générale 3- définir une politique de défense 4- Qualifier le système 5- Evaluer 1- définir les objectifs de sécurité : classifier les impacts sur une échelle de gravité, Fixer les incidents de sécurité, 2- Définir l’Organisation de l’architecture générale : Définition des points de contrôle et d’évaluation. 3- définir une politique de défense : Organiser le renseignement (qui avertir?) Organiser la défense réactive correspondante 4- Qualifier le système : Démontrer que l’on a bien atteint l’objectif. 5- Evaluer : Évaluation de la défense permanente et périodique à partir des méthodes d'attaques et du retour d'expérience. Cette étape correspond à la partie contrôle et audit.

Les règles à respecter

Mot de passe : Changer régulièrement son mot de passe, Au moins 8 caractères avec : des majuscules Des minuscules Des signes de ponctuation, Des chiffres

Logiciels : Mettre à jour ses logiciels : Système d’exploitation, Logiciels de sécurité : Antivirus, AntiSpyware, Pare-feu… Ne pas utiliser de logiciels piratés : OS, jeux, logiciels bureautiques…

Attitude : Réfléchir avant de cliquer sur un lien ou un bouton d’un message contenant une information indiquant : un problème de sécurité sur votre machine (il ne faut être paranoïaque) Que vous avez gagné quelque chose (argent, accès à un site X…) ? Vous avez passé l’age de croire au père noël ! Ne communiquer aucun mot de passe : même l’administrateur n’a pas à le connaître, il a le sien. Utiliser un compte utilisateur pour les tâches courantes Le compte administrateur doit être limité aux opérations d’administration (installation de programme, création de compte…) Scanner tous les fichiers téléchargés.

Perte de données en GB Retour

Crash Bill Gates Un crash embarrassant pour Bill Gates en pleine démo de Windows NT 4. Un bug similaire s'était produit au Comdex lors de la présentation de Windows 98 (avril 1998). Crash informatique en pleine démonstration de Windows NT4 Retour

BotNet Retour

Piratage de ligne téléphonique Retour

Erreur d’utilisation du système Retour http://www.lemondeinformatique.fr/actualites/lire-une-operation-de-maintenance-perturbe-la-billetterie-sncf-24421.html

Sources Le clusif : Secuser : http://www.clusif.asso.fr http://www.secuser.com/