Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)

Slides:



Advertisements
Présentations similaires
Projet de Virtualisation dans le cadre d’un PCA/PRA
Advertisements

Karima Boudaoud, Charles McCathieNevile
Processus d'expression du besoin
Sécurité du Réseau Informatique du Département de l’Équipement
ADMINISTRATION RESEAU
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
DMSVT 1/14 Présentation le 20 janvier 2005 Diffusion des Technologies clés en Champagne Ardenne Étude : Premier semestre 2004 Node SA.
Le Grid Computing Par Frédéric ARLHAC & Jérôme MATTERA.
DUDIN Aymeric MARINO Andrès
Conception de la sécurité pour un réseau Microsoft
Les Firewall DESS Réseaux 2000/2001
Guillaume CACHO Pierre-Louis BROUCHUD
Laboratoire d'InfoRmatique en Image et Systèmes d'information LIRIS UMR 5205 CNRS/INSA de Lyon/Université Claude Bernard Lyon 1/Université Lumière Lyon.
D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille
Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels
La politique de Sécurité

Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage
SOLUTIONS LOGICIELLES Identification, Impression côté serveur, Logiciel de Suivi & de Mobilité TEKLYNX CENTRAL Solutions logicielles clés en main.
Le Workflow et ses outils
Restriction daccès aux logiciels et aux matériels Problème de licence Nicolas CHABANOLES Matière : SRR Lieu: UFRIMA.
l’Homme et le Métier que celui-ci exerce
Amélioration de la sécurité des données à l'aide de SQL Server 2005
INTRANET au service du système d’information
Introduction Les solutions de sécurité
WINDOWS Les Versions Serveurs
Virtual Private Network
L’organisation & les responsabilités
“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.
Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE.
1 © Copyright 2010 EMC Corporation. Tous droits réservés.  Consolidation  Économies d’échelle grâce à la standardisation  Réduction des coûts informatiques.
1 Architecture orientée service SOA Architecture orientée service SOA (Service Oriented Architecture)
Équipements d'interconnection téléinformatique
Processus 7 – Fiabilisation de l’information et système d’information comptable 25/11/2014 BTS CG.
HOPITAL PUBLIC - INTERMEDICA 2002
Le contenu est basé aux transparents du 7 ème édition de «Software Engineering» de Ian Sommerville«Software Engineering» de Ian Sommerville B.Shishedjiev.
INTEROPERABILITE & ADMINISTRATION NUMERIQUE - e-forum Maroc – Rabat - 22 juin 2006.
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.

Initiation à la conception des systèmes d'informations
Présence et communication peer-to-peer Diplômant : Yves Bresson Professeur responsable : Yves Dennebouy EIVD Septembre - Décembre 2003.
LE DATA WAREHOUSE.
Les différents modèles d’architecture technique
SYSTEMES d’INFORMATION séance 1 : Introduction et définitions
La voix sur IP, PABX et LAN
Sécurité et Internet Formation.
Opérateur et intégrateur
Référence CNAM - RSX112 Nombre de crédits enseignements - 6 ETCS
Offre de service Sécurité des systèmes d’information
L’enseignement de spécialité SLAM
IPSec Formation.
Yonel Grusson.
1 Séminaire Novembre 2001 – PLB – J.M. Vanel 3 - Internet & extranet n Internet - rappel n puis Intranet n Extranet : m définition m contraintes m sécurité.
Réalisé par : Mr. B.BENDIAF Mr. H.REHAB.
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
Initiation aux SGBD Frédéric Gava (MCF)
CSC Proprietary 6/20/2015 9:42:54 AM 008_5849_ER_Red 1 BPM - SOA Logo du client Synthèse de notions “fondamentales” par Guillaume Feutren, Stagiaire *
ISO 31000: Vers un management global des risques
Management par projet Réalisé par : Grim Med Yazid Guerouah Nabil 4SI3
SIRVIN Alexis RIVIERE Mathieu VERRIERE Arthur
Sécurité des Web Services
Création d’applications distribuées.NET Ziriad Saibi Relation technique éditeurs de logiciels Microsoft France.
PRESENTATION DU PROJET SHINE – OXFAM MALI AU CLUSTER SECURITE ALIMENTAIRE BAMAKO 25 JUIN, 2015 Présenté par: Ir. Cheikhou DIAGANA Emergency Food Security.
Bâtir et diffuser l’offre marketing : Le marketing opérationnel
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)
Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)
Transcription de la présentation:

Que retenir ? (de vos cours 3IF et 4IF en réseaux-sécurité)

Référentiel de compétences Réseaux-Sécurité (1/2)

Référentiel de compétences Réseaux-Sécurité (2/2)

Rappels : quelques protocoles de base... Ethernet, HDLC, PPP, (R)ARP, IP, UDP, TCP, ICMP, SNMP, routage, authentification, IPSEC, ATM, POP, SMTP, HTTP, TELNET, NFS, DNS et algos : DES, RSA, MD5, SHA… L’objectif n’est pas de connaître ces protocoles par cœur mais de connaître leur structure et de comprendre leurs fonctionnalités et limitations

Application réseau / système réparti = système complexe (I) Concevoir une application réseau est un assemblage complexe comprendre les besoins installer - réserver les tuyaux (dimensionnement) structurer l’application patrons de sécurité (security patterns) sous-réseaux - réseaux virtuels - plan d’adressage tolérance aux fautes tolérance aux catastrophes survivabilité sécuriser l’application mécanismes d’authentification cryptage gestion de droits (autorisations) pare-feux - réseaux virtuels – VLAN - etc.

Application réseau = système complexe (II) définir les protocoles architecture logicielle schémas de communication librairie de communication Algorithmique interfacer l’application interface systèmes sous-jacents (archives, SGBD, serveurs de noms, serveurs « sécurité », moteurs transactionnels…) administrer l’application architecture d’administration outils d ’administration, monitoring

KISS : Keep It Simple and Stupid Transparence Le Graal des systèmes répartis La condition de leur utilisation Solutions et outils génériques Tolérance aux fautes et gestion de la qualité de service KISS : Keep It Simple and Stupid

Sécurité – Que retenir ? Une notion de base : le risque Toutes les informations/tous les sous-systèmes n’ont pas la même valeur Toutes les informations/tous les systèmes ne sont pas exposés aux mêmes menaces Risque = analyse « valeur vs menace » Rappel : définition ISO 31000-2009 : « Le risque est l’effet de l’incertitude sur les objectifs » Valeur/Menace/Risque ne sont pas des données statiques ; elles dépendent des processus métiers et de l’environnement et évoluent avec eux

Sécurité – Que retenir ? Menaces Comprendre les menaces et le fonctionnement de base des attaques Analyser les risques, c’est-à-dire relier structure du système et menaces/attaques Concevoir /Structurer un système en vue de minimiser les risques… tout en garantissant sa performance (fonctionnalités, facilité d’utilisation, évolutivité, tolérance aux fautes/robustesse, coût…) (minimiser l’impact sur les processus métier !)

Sécurité – Que retenir ? Outils pour la sécurité Outils méthodologiques : savoir que cela existe, en comprendre le principe et l’utilité Outils techniques : authentification/signature, certificats, contrôle d’accès, pare-feux, VLAN, VPN, etc. : en connaître les principes, les fonctionnalités, les utilisations, les limites Ce ne sont que des outils. L’« intelligence » et l’efficacité résident surtout dans la bonne utilisation de ces outils(sélection, intégration, coordination, placement, paramétrisation…)

Rappel - Sécurité : idées de base (I) Mettre en place une politique globale de gestion du risque Séparer les fonctions Minimiser les privilèges Centraliser les changements Cerner les IHM Mettre en place de plans de sauvegarde et de reprise

Rappel - Sécurité : idées de base (II) Cibler les éléments vitaux/essentiels Utiliser des techniques de conception et de programmation standardisées Monitorer l’ensemble des éléments de l’entreprise : systèmes informatiques, réseaux, personnel (traçabilité) Informer et former les personnels

Rappel - Sécurité : synthèse Sécurité = compréhension du fonctionnement de l’entreprise + de la méthodologie + un peu de technique + du bon sens + de la sensibilisation Il existe des outils puissants mais aussi beaucoup de failles de sécurité Outils techniques : IP secure, VLAN, VPN, IDS, pare-feux, DLP, ERM… Outils méthodologiques : PSSI, SMSI, security patterns, survivabilité, confiance, réputation… Passage d’une logique de « piratage » par un individu à un spectre composite de menaces : espionnage industriel et militaire, surveillance, criminalisation et mafia, attaques à grande échelle, cyberguerre Le facteur humain est central Complexification : « entreprise ouverte », externalisation, « cloudification » ; botnets, « advanced persistent threats (APT) », « advanced evasion techniques »… Nécessité d’une prise en compte globale au niveau de l’entreprise Stuxnet : attaque des systèmes SCADA Siemens. Voir aussi Duqu (en partie lié à Stuxnet), Flame, Gauss Advanced evasion techniques : utilisées pour rendre inopérants les FW et IDS afin de pouvoir lancer une attaque sans crainte de détection

Nouvelles frontières Informatique multi-échelle : de l’objet (du composant d’objet) au cloud Informatique partout ― Informatique pervasive Informatique « user-centric » Informatique « business-centric » Ecosystèmes numériques => systèmes de plus en plus ouverts => forte évolution des risques et menaces => vers une « sécurité collective » : notion de confiance et de réputation => concepts de (protection de la) vie privée/confidentialité interrogés => notion d’identité/de « moi » numérique

Conclusion Votre rôle : comprendre-assembler-organiser-intégrer des solutions « vivantes » Numérisation de la société : un horizon créatif sans limite mais des nouveaux risques émergents intelligence économique dépendance au SI et risque systémique cyber-attaques traçage des personnes, conditionnement/influence/contrôle/surveillance des personnes, « Primum non nocere » (D’abord, ne pas nuire) ! Interrogez-vous sur les conséquences et risques de vos solutions (sur les processus métier de l’entreprise, sur l’organisation de l’entreprise, sur les performances du système impacté, en terme de respect de la vie privée des personnes, en terme de résistance aux attaques et dysfonctionnements… ) Derrière les réseaux, vivent des personnes : soyez des ingénieurs humanistes :-) !