Sécurité sur Internet: Problèmes,Solutions et Perspectives

Slides:



Advertisements
Présentations similaires
05/05/2011 Panorama des menaces actuelles et futures à travers le prisme dun CERT David Bizeul – CERT Société Générale C0 Présentation publique.
Advertisements

Sécurité informatique
TRANSFER HCMV – Notion de sécurité Jean Christophe André - Nicolas Larrousse Mars Les bases Sécurité du système : Sauvegardes (dd, dump, cpio, tar,
Base de la sécurité Internet Formation LIR/AFRINIC Ouaga du 10 au 11 Novembre 2004 Alain Patrick AINA
Perspective du Gouvernement Haïtien en matière de Cyber-sécurité et
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Groupe de Travail Deux Structure et Culture: créer un environnement pour la transparence Le groupe a échangé sur lenvironnement structurel nécessaire pour.
Groupe de Travail Cinq Demande et Utilisation des Nouvelles Technologies: Associer les citoyens et accroitre la Sensibilisation Le groupe cinq a échangé
Initiatives de Cybersécurité Cas de la Côte d’Ivoire
Cadre juridique et réglementaire pour la mise en oeuvre de la GIRE Chapitre 7 Gouvernance et institutions.
Stratégie de la FAO pour le Renforcement des Capacités (RC) A Core Function of FAO included in MTP under Functional Objective X Une vue densemble.
TIC POUR LA PARTICIPATION SOCIALE
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
D2 : Sécurité de l'information et des systèmes d'information
Thierry Sobanski – HEI Lille
LES BONNES PRATIQUES Présentation du 31 Mars 2005
Les risques Mascarade d'identité & Rebonds
La politique de Sécurité
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
NEPAD ET PROMOTION DE LA SANTE Ouedraogo Adja Mariam 4ème année de médecine tel:
Cycle de vie d’une vulnérabilité
MRP, MRP II, ERP : Finalités et particularités de chacun.
Programme NOU-R de lutte contre la corruption. Piliers de lutte contre la gouvernance Pilier 1 - Élaborer une organisation efficace et transparente du.
Gestion des risques Contrôle Interne
SECURITE DU SYSTEME D’INFORMATION (SSI)
Community HealthCare “Vers une continuité des soins en temps réel”
1 LINFORMATION, CAPITAL IMMATÉRIEL DE LENTREPRISE SSTIC – 6 JUIN 2012 Garance MATHIAS Avocat 9 rue Notre Dame de Lorette PARIS Tel / .
Amélioration de la sécurité des données à l'aide de SQL Server 2005
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
B2i Lycée Circulaire BO n°31 du 29/08/2013.
Pérennité du Secteur de la Réadaptation Physique:
Bruyère Eglin Jacquey Larrivé Sahut
Des marchés au profit du Canada : Stratégies et moyens pour conclure le « bon » marché pour le Canada Margaret H. McKay, M.Sc., J.D. Avocate spécialisée.
IHE et la sécurité Karima Bourquard User Cochair IHE-Europe et IHE-France JFR, 21 Septembre 2006.
4ème Forum de l’Administration électronique Rabat , 4 décembre 2008
“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.
Authentification à 2 facteurs
Conjoncture des standards Internet et Web Benoît Girard, conseiller stratégique au réseau des webmestres gouvernementaux Ministère des Services gouvernementaux.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Valorisation Forfait Informatique. Page 2 Avantages de base Sans Forfait InformatiqueAvec Forfait Informatique Compétences Ressources Peu de compétences.
APPLICATIONS MÉTIER COLLABORATIONSTOCKAGEPLATE-FORMEIDENTITÉCOMMUNICATIONSPRODUCTIVITÉ SUR SITE SERVICES DE « CLOUD COMPUTING »
« A FRESH LOOK AT ONLINE DISPUTE RESOLUTION (ODR) AND GLOBAL E-COMMERCE: TOWARD A PRACTICAL AND FAIR REDRESS SYSTEM FOR THE 21ST CENTURY TRADER (CONSUMER.
1 L’Internet au service des PME Paris (France), 8-9 février 1999 Atelier de Travail 1 Comment inciter les PME à utiliser les services offerts par Internet.
1 Copyright WebTrust France Nouveautés Copyright WebTrust France Les premiers sceaux français délivrés par WebTrust France.
Présentation 32e Congrès annuel de l’AJEFP Justice en français au cœur des générations Juin 25, 2011 Ottawa, Ontario La lutte contre la cybercriminalité.
© 2008 Oracle Corporation – Propriétaire et confidentiel A quelles fonctions de l'entreprise cette campagne s'adresse-t-elle ? Cadres dirigeants Directeurs.
DÉFIS DE NORMALISATION TIC EN OUGANDA Patrick Mwesigwa, Director/Technology, Networks & Services Uganda Communications Commission
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
La technologie Shibboleth
La guerre de l'ombre : Que doivent savoir les responsables des politiques au sujet de la cybersécurité Eric Miller Vice-président des politiques, de l'innovation.
Sécurité et Internet Formation.
Offre de service Sécurité des systèmes d’information
Where ICT meets Social & Economic Development Données gouvernementales ouvertes en soutien à l’agriculture Stéphane Boyera PDG SBC4D.
1 Rôle de la technologie dans la diffusion et l’utilisation des données du recensement _______________________________.
Copyright HEC 2004-Jacques Bergeron La mesure du risque Lier la théorie et la pratique Jacques Bergeron HEC-Montréal.
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
8eme Conférence de l’AFAPDP Jeudi 25 juin à Bruxelles (Belgique)
L’usurpation d’identité sur internet.
Sécurité des Web Services
VERSION AVRIL 2015 L’offre Hélios. Présentation C’est une box modulable sur mesure Un portefeuille complet de services de sécurité informatique pour les.
Confidentiel SecludIT
Quel dispositif institutionnel de mise en œuvre de APA au Burkina Faso
Transformation digitale Comment maîtriser les risques ?
2 Agenda Les tendances à l’international Les tendances au Maroc L’écosystème de la cybercriminalité Les ripostes juridiques Conclusion en images Questions.
Atelier régional sur la coordination, le financement et les systèmes statistiques nationaux Conclusions et recommandations Dakar 26, 27 et 28 Janvier 2016.
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.
CLUSIF / CLUSIR Rha La Cybercriminalité Page 0 Yannick bouchet.
Présentation de HelloDoc Mail
Transcription de la présentation:

Sécurité sur Internet: Problèmes,Solutions et Perspectives Alain Patrick AINA aalain@trstech.net Kigali, Octobre 2007

L’ Internet est devenu indispensable à la vie Un endroit où plusieurs personnes vivent, travaillent et jouent. Une ressource critique pour beaucoup d’affaires L’Internet permet aux organisations de: Faire du commerce électronique Fournir un meilleur service à la clientèle Collaborer avec des associés Réduire les coûts de communications Améliorer les communications internes Accéder rapidement aux informations nécessaires

Les Risques(1)‏ Tandis que les réseaux informatiques révolutionnent votre manière de vivre, de jouer et de faire des affaires, les risques que présentent ces réseaux informatiques peuvent être fatales. Les attaques réseaux mènent à la perte de : argent temps produits réputation vies Information sensible Confiance en e-commerce Confiance et sécurité sont très importantes pour la société de l’information et en particulier sur l’Internet

Source: http://www.cert.org/stats/certstats.html Les Risques(2)‏ Source: http://www.cert.org/stats/certstats.html

Source : 2005 CSI/FBI Computer crime and security survey Les Risques(3)‏ Source : 2005 CSI/FBI Computer crime and security survey http://gocsi.com

Sécurité du réseau et de l’information La sécurité du réseau et de l’information peut être comprise comme la capacité d’un système d’information à résister à un niveau donné de confiance à des évènements accidentels ou d’actions malveillantes. De tels évènements ou actions peuvent compromettre la disponibilité, l’authenticité, l’intégrité et la confidentialité de l'information stockée ou transmise comme celles des services offerts via l’intermédiaire de ces systèmes et réseaux. Certaines actions de cybercriminalité sont à l'origine des cybercrimes comme le spoofing, phishing, vol de la propriété intellectuelle, vol de carte de crédit, stockage de matériel pornographique, la distribution illégale des matériaux racistes, spamming.....

Spyware(1)‏ La large catégorie de logiciel malveillant conçu pour intercepter ou prendre le contrôle partiel d’une machine sans avoir le consentement du propriétaire de la machine ou de l’utilisateur légitime. Distribué par divers moyens: Téléchargement volontaire en raison d'accords de licence trompeurs Incorporé dans un logiciel convoité Exploite divers trous de sécurité Distribué parfois par des vers

Spyware(2)‏ Vol d’information personnelle (y compris les informations financières telle que le numéro de carte de crédit ); surveillance de l’activité Web pour la vente ou la redirection des requêtes HTTP vers des sites spécifiques. Menace de sécurité sérieuse pour les utilisateurs

Phishing Forme de vol d’identité et d'information critique à croissance rapide Les solutions techniques simples ne fonctionneront pas. Il y a une dimension humaine au problème -paypal.com contre paypa1.com -login.paypal.com contre login-paypal.com Un site peut fournir les références cryptographiques mais les utilisateurs doivent les vérifier correctement

Les services de sécurité(1)‏ Confidentialité: Exige que l’information dans un système informatique et l’information transmise soient uniquement accessibles en lecture pour les parties autorisées. Ce type d’accès inclut des formes d’impression, d’affichage et autres formes de renseignement incluant la révélation de l’existence de l'information. Authentification: Exige que l’origine d’un message soit correctement identifiée avec l’assurance que l’identité n’est pas fausse.

Les services de sécurité (2)‏ Intégrité : exige que les données d'un système informatique et l’information transmise soient uniquement modifiables par les parties autorisées. Les modifications incluant, l’écriture, le changement de statut, la suppression, la création, le retard ou la retransmission de messages transmits. Non répudiation: Exige que ni l’expéditeur, ni le récepteur d’un message ne puisse nier la transmission

Les services de Sécurité (3)‏ Contrôle d’accès: exige que l’accès aux ressources et information soit contrôlé par le système cible. Disponibilité: exige que les données des systèmes informatiques soient disponibles aux parties autorisées quand cela est nécessaire.

Les services de sécurité (3)‏ Il n’y a aucun mécanisme qui fournit les services de sécurité énumérés ci-dessus. Cependant, les techniques de cryptographique sont à la base de la plupart des mécanismes de sécurité. Chiffrement Conventionnel (Chiffrement symétrique)‏ Chiffrement à clé publique (chiffrement asymétrique)‏

Le Problème(1)‏ Dans la course précipitée pour bénéficier des services internet, les organismes négligent souvent les risques significatifs de sécurité. Les pratiques d’ingénierie et les technologies utilisées par les fournisseurs ne produisent pas les systèmes qui sont immunisés contre les attaques. Les réseaux et les administrateurs systèmes n’ont pas les compétences et les pratiques pour se défendre contre les attaques et réduire au minimum les dommages. Il y a un mouvement continue vers les systèmes complexes client/serveur et aux configurations hétérogènes avec les systèmes de gestion distribuée.

Le Problème(2)‏ Il y a peu d’évidence d’amélioration de sécurité dans la plupart des produits; de nouvelles vulnérabilités sont découvertes régulièrement. Les solutions complètes de sécurité manquent; les outils classiques se chargent seulement de certaines parties du problème. Les utilisateurs ne sont pas éduqués

Le Problème(3)‏ Source:http://www.cert.org/stats/cert_stats.html

Le Problème(4)‏ Les Intrus Améliorent leurs compétences techniques Font plus de dégâts avec l'automatisation Exploitent l' interconnexion de réseaux et se déplacent facilement à travers l’infrastructure Deviennent plus habiles dans la dissimulation de leurs comportements

Sophistication des attaques vs. les compétences techniques des intrus Le Problème(5)‏ outils “stealth” / advanced scanning techniques Haut packet spoofing denial of service DDOS attacks sniffers www attacks Intruder Knowledge sweepers automated probes/scans GUI back doors disabling audits network mgmt. diagnostics hijacking sessions burglaries Attack Sophistication exploiting known vulnerabilities password cracking self-replicating code Intrus password guessing Bas Sophistication des attaques vs. les compétences techniques des intrus

Le Problème(6)‏ les politiques et lois dans le cyber-espace sont limités à la juridiction des états Détecter et poursuivre la plupart des offenses sur le réseau global constituent des défis Manque de collaborations entre les différents acteurs impliqués. Gouvernements, secteurs privés, société civile, organisations internationales, etc... Difficultés dans l’harmonisation de la loi et de la politique de manière globale Protection d’intimité en Europe contre la liberté aux USA - OPT-in vs. OPT-out

Situation en AFRIQUE(1)‏ Depuis 1990, l’Afrique connait sa révolution Internet avec la pénétration des services Internet Des infrastructures généralement déployées sans mesures de sécurité adéquates. Avec des ressources très limitées et dans un environnement difficile Ressources systèmes, connexions, etc... OS, outils et applications dépassés Difficultés avec les licences et la gestion des mises à jour

Situation en Afrique(2)‏ Difficultés d’obtention d’information sur la sécurité - Absence de CERT(Computer Emergency Response Team)‏ Qualifications insuffisantes des techniciens d'une manière générale, et en particulier sur les aspects de sécurité. Absence des procédures et des stratégies de sécurité Budget de sécurité informatique très petit ou inexistant dans la plupart des organisations. Utilisateurs non éduqués

Situation en Afrique(3)‏ Manque de législation et de lois sur la cybersecurité et les cybercrimes Absence de collaboration entre les différents acteurs Gouvernement, secteur privé, société civile, etc... Ces Infrastructures font également face à des incidents de sécurité et à des cybercrimes Complices des attaques ( zombies, amplificateurs)‏ Proies souvent faciles Importants dommages subis Les incidents de sécurité généralement mal contrôlés et gérés

Bâtir un Environnement de Confiance pour un E-Live. Solutions Bâtir un Environnement de Confiance pour un E-Live.

L’interaction entre les menaces et les mesures de protection posent divers problèmes aux spécialistes: l’intrus doit trouver, mais simplement l'une des nombreuses vulnérabilités possibles afin de réussir. Le spécialiste en sécurité doit développer des contre-mesures pour toutes.

Solutions Légales et administratives(1)‏ Renforcer le cadre législatif contre la cybercriminalité au niveau national, régional et international L’exemple du Conseil de L’Europe - Convention sur la cybercriminalité -http://conventions.coe.int/Treaty/FR/Treaties/Html/185.htm - Protocole additionnel à la Convention sur la cybercriminalité, au sujet de la pénalisation des actes racistes et à caractère xénophobe commis par les systèmes informatiques -http://conventions.coe.int/Treaty/FR/Treaties/Html/189.htm Encourager la collaboration internationale dans la détection et la poursuite de la cybercriminalité

Solutions Légales et administratives (2)‏ Développer les capacités et les qualifications des entités de sécurité nationales (polices, avocats, juges,notaires etc...) pour leur permettre de relever les défis crées par la cybercriminalité. Développer des plans et stratégies nationaux de sécurité de l’information Créer des CERT et diffuser les informations de sécurité ( vulnérabilités, solutions, etc....)‏ Encourager la participation dans les organismes visant l'amélioration de l’environnement de confiance électronique AfriPKI, etc....

Solutions Légales et administratives(3)‏ Augmenter la collaboration entre tous les acteurs dans le combat contre la cybercriminalité (gouvernement, secteur privé, société civile, organisations internationales....)‏ Développer un programme d’étude plus approprié dans les cycles de formation en Informatique Former plus d’ingénieurs informaticiens et surtout des spécialistes en sécurité Eduquer les utilisateurs

Solutions Techniques Encourager et favoriser une meilleure ingénierie et industrie des logiciels Meilleures pratiques en matière de programmation Meilleures pratiques de mise à jour IETF, ITU, W3C,... doivent continuer à rechercher des protocoles sécurisés ainsi que des mécanismes de sécurité plus adaptés L’industrie doit développer de meilleurs outils de sécurité pour fournir les services de sécurité: Confidentialité, Authentification, Intégrité, Non répudiation, Contrôle d’accès, Disponibilité

Perspectives La situation de la sécurité de l’information et du réseau n'est pas globalement intéressante. Le cas de notre continent l'est encore moins Des efforts sont faits mais beaucoup reste à faire. Pour créer un cadre favorable. Pour renforcer les compétences techniques. Pour sensibiliser et instruire davantage Il exige plus de ressources et d’initiatives.

Conclusions La sécurité de l’information et du réseau est un système complexe, qui doit être conçue, maintenue, évaluée et améliorée de façon continue. Certains cybercrimes tels que la fraude, le vol d'intimité sont de vieux crimes commis de nouvelles manières. L’Internet a une manière de magnifier le bon et le mauvais côté de notre société. Une partie du travail consiste à trouver de nouvelles réponses à de vieux crimes.