La sécurité informatique dans les associations et fondations Nicolas Younes le 16/01/2007
Sécurité des systèmes d’information dans le secteur associatif Les bases de données Les périodes cruciales Les principaux dangers Chantal Beaubernard le 16/01/2007
Sécurité des systèmes d’information Continuité de Service Attaques externes Protection interne Questions/Réponses Nicolas Younes le 16/01/2007
Continuité de Service Définition Mesure de la qualité de service GTR, GTI, Disponibilité, SLA, MTBF PCA, PRA Nicolas Younes le 16/01/2007
Les périodes cruciales de l’Association Le délai de reprise normale d’activité dépend : de la période de l’année, des obligations à respecter vis à vis De l’administration Des tiers (gérés dans les bases métiers) Chantal Beaubernard le 16/01/2007
classes disponibilité Source wikipédia Type Indisponibilité (minutes par an) Pourcentage disponibilité Classe Unmanaged 50.000 (34 jours, 17 heures et 20 min) 90,00000% 1 Managed 5.000 (3 jours, 11 heures et 20 min) 99,00000% 2 Well managed 500 (8 heures 20 minutes) 99,90000% 3 Fault tolerance 50 (un peu moins d'une heure) 99,99000% 4 High availability 5 minutes 99,99900% 5 Very high availability 0,5 (30 secondes) 99,99990% 6 Ultra high availability 0,05 (3 secondes) 99,99999% 7 Nicolas Younes le 16/01/2007
Origines Top 8 Coupure électrique Perte de données Erreur Humaine Modification de l’existant Panne Absence Attaque Catastrophe Nicolas Younes le 16/01/2007
Continuité de service les causes Aléas des pannes Stabilité de l’environnement Perturbations extérieures Versatilité/Instabilité/vulnérabilité de la micro Complexité des configurations Succession rapide des versions Connectivité/ouverture des SI Nicolas Younes le 16/01/2007
Architecture système information Poste de travail UC, Clavier, Souris Imprimante Réseau LAN ( câble, commutateur, router ) Serveurs Réseau Wan Internet Autres ( mobiles, clé, palms, wifi, gprs, umts ) Nicolas Younes le 16/01/2007
Configuration logicielle Systèmes d’exploitation Bureautique Navigateurs Messageries Logiciel métier Anti-virus Utilitaires divers Nicolas Younes le 16/01/2007
Réponse Conceptuelle Unité Dualité Trinité Consolidation Nicolas Younes le 16/01/2007
Unité Validation par rapport aux besoins Homogénéité (Marque, Modèle, configuration) Fiabilité, redondance, pérennité, garantie. Exemples Nicolas Younes le 16/01/2007
Dualité Statique ou dynamique Amélioration de qualité de service Déploiement/Montée en charge plus rapide PC de secours, double accès wan, cluster Nicolas Younes le 16/01/2007
Trinité Dimensionnement des ressources Gestion prédictive de l’évolution Stabilité de fonctionnement Garantie de performances dans le temps Nicolas Younes le 16/01/2007
Consolidation Moins de ressources à Gérer Virtualisation Améliore la continuité de service Renforce la sécurité Nicolas Younes le 16/01/2007
Surveillance Télé alertes préventive/prédictive Visio surveillance Sondes de détection Interventions à distance Nicolas Younes le 16/01/2007
Environnement Salle Blanche, coupe feu, accès restreint Climatisation, ondulation Detection/Extinction incendie Sondes température, humidité, hygrométrie Nicolas Younes le 16/01/2007
Coupure électrique les origines Hé oui ça arrive et de plus en plus Coupure générale edf Coupure locale ( disjoncteur ) Micro-coupure Nicolas Younes le 16/01/2007
Coupures électrique: prévention Onduleur Alimentation redondante bien répartie Groupe électrogène Installation conforme Nicolas Younes le 16/01/2007
Catastrophes Canicule Inondation ( Crue Centennale ) Tempête ( coupure électrique ) Tremblement de terre Nicolas Younes le 16/01/2007
Les bases de données principales Indépendamment de l’organisation informatique : Externalisation totale ou partielle Informatique interne Sont concernées : Les bases métiers de l’Association, Les bases de gestion, Les outils de communication Chantal Beauberbard le 16/01/2007
Les bases métiers de l’Association les flux entrants : dons, adhésions, cotisations, Subventions les flux sortants : aides financières services rendus Chantal Beaubernard le 16/01/2007
Les bases de gestion de l’Association La gestion financière et comptable La gestion des RH et la Paie La gestion des fournisseurs Chantal Beaubernard le 16/01/2007
Perte de données Panne disque dur ( surtension, chute, chaleur ) Erreur humaine ( avec effet à retardement ) Pérennité de l’entreprise Pertes financières Nicolas Younes le 16/01/2007
Cause de la perte de données Ce que constate Ontrack Perte de données Top 5 Source: Ontrack Data Recovery, Inc Cause de la perte de données Ce que constate Ontrack Défaillance du matériel ou du système d'exploitation 56% Erreur humaine 26% Logiciel endommagé ou dysfonctionnement d'un programme 9% Virus informatiques 4% Catastrophes naturelles 2% Nicolas Younes le 16/01/2007
Perte de données que faire? Sauvegarde SDLT, DAT, LTO Copie Disque, cd, dvd, clé, cartes Récupération Redondance, Dualité, cluster, Ghost, Image Nicolas Younes le 16/01/2007
Perte de données: Sauvegarde Globale Journalière,hebdomadaire, mensuelle, annuelle Externalisée (média sur un autre site) Vérifier et évaluer temps de Restauration Nicolas Younes le 16/01/2007
Les outils de communication de l’Association La bureautique La messagerie, Internet, Le site Web de l'Association Chantal Beaubernard le 16/01/2007
Exemple Réseau Télécom Nicolas Younes le 16/01/2007
Continuité de service: Télécom Engagement de qualité de service Prestation à souscrire Disponibilité globale Prestation de base Disponibilité d’un Site Garantie de Temps de Rétablissement (GTR S2) Gestion des Sites Garantie de Temps de Rétablissement (GTR S1) Gestion des Sites + Service 24/24 Garantie de Temps de Rétablissement (GTR S2) pour routeur SRL GTR pour routeur SRL (S2) Garantie de Temps de Rétablissement (GTR S1) pour routeur SRL GTR pour routeur SRL (S1) Délai de transit Gestion des liens logiques Taux de perte de paquets Nicolas Younes le 16/01/2007
Exemples: PRA Effacer des données (outils restitution fichiers) Panne de serveur ( raid V, unité, dualité, restauration) Commutateur réseau HS ( Dualité ) Vol de pc ( unité, secours, données sur serveur) Nicolas Younes le 16/01/2007
Exemples: PCA Ferme de serveurs Métaframe, cluster bd Router Wan actif/actif Lignes télécom double adduction, ou sur deux sites avec liaison sécurisée entre les deux sites Boot programmé de serveurs. Nicolas Younes le 16/01/2007
Attaques externes Physiques ( effraction, Vol, sabotage ) Ubique ( lié à l’aspect immatériel de l’info) Logique (Virus, Piratage, Ver, Spam) Public ( internet, messagerie, sans fil ) Nicolas Younes le 16/01/2007
Attaques externes: Physiques Contrôle d’accès ( code, badge ) Détection d’intrusion physique Caméras ( analogique, numérique ) télésurveillance Nicolas Younes le 16/01/2007
Attaques externes: Ubique Piratage de données Attaque non intrusive, botnet, sniffer Sans fil (wifi, umts, gprs, gsm, infra rouge) M2M Nicolas Younes le 16/01/2007
Attaques externes: Logiques Virus Mutant, Polymorphe, RétroVirus, Macro Ver,Cheval de troie,Spyware,Dialer, Pharming Spam, hoax, phishing, scam,usurpation identité Pare-feu, vpn, ipsec, dmz Nicolas Younes le 16/01/2007
Attaques externes: Virus and Co Anti-virus Différents éditeurs et endroits Maj fréquentes, lancements fréquents Fenêtre de vulnérabilité, sites douteux Nicolas Younes le 16/01/2007
Attaques externes: spamofolies Attention aux mails, messages douteux Les supprimer sans les lire ni désabonnement Utiliser des anti-spam à plusieurs endroits Encoder l’adresse mail donnée en ligne Nicolas Younes le 16/01/2007
Chantal Beaubernard le 16/01/2007 La protection interne le personnel salarié, le personnel bénévole, le visiteur Chantal Beaubernard le 16/01/2007
Protection interne La plus courante la plus difficile Accès limité aux zones critiques Mot de passe, keylogger, caméras, biométrie Formation, Verrouillage, Cryptage Nicolas Younes le 16/01/2007
Protection interne: la confiance Vol ( physique ou ubique ) clé usb, messagerie, ftp Vous avez dit administrateur, Backdoor Ingénierie sociale Audit externe Nicolas Younes le 16/01/2007
Sécurité: et demain Plus actuelle que jamais Les lames ( serveurs et même des pc ) La virtualisation Curatif, préventif, prédictif Nicolas Younes le 16/01/2007
Merci de votre attention Questions/Réponses Merci de votre attention Nicolas Younes le 16/01/2007