Sécurité informatique: enjeux techniques et stratégiques

Slides:

Advertisements

Présentations similaires

Séminaires STRATEGIE Uniquement les informations nécessaires

Advertisements

Active Directory Windows 2003 Server

L’Essentiel sur… La sécurité de la VoIP

VoIP 1 Chapitre 1 – La VoIP.

Projet de Virtualisation dans le cadre d’un PCA/PRA

Botnet, défense en profondeur

Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.

© Copyright 2007 Arumtec. All rights reserved. Présentation Etude déligibilité

Base de la sécurité Internet Formation LIR/AFRINIC Ouaga du 10 au 11 Novembre 2004 Alain Patrick AINA

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Sécurité du Réseau Informatique du Département de l’Équipement

Validation des Systèmes Informatisés Industriels

DUDIN Aymeric MARINO Andrès

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

D2 : Sécurité de l'information et des systèmes d'information

Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003

Sécurité informatique: domaines d’application

CLUSIR - mars 2002 J-François MAHE- 1 - INCAS IN tégration dans la C onception des A pplications de la S écurité

Réseaux Privés Virtuels

La politique de Sécurité

Les réseaux informatiques

TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.

1 B Système Enjeux et principes Cours DESS Nantes 04 Décembre 2002 Didier ESSAME.

Système de stockage réseaux NAS - SAN

Bases et Principes de la Virtualisation. Votre infrastructure informatique ressemble-t-elle à cela ? 2.

Active Directory Windows 2003 Server

Extrait de la présentation du 10 juin 2010

Cycle de vie d’une vulnérabilité

MRP, MRP II, ERP : Finalités et particularités de chacun.

Public Key Infrastructure

Control des objectifs des technologies de l’information COBIT

Introduction au Génie Logiciel

La composante humaine du système d'information (Réfs : chap 8.1 p 231)

Amélioration de la sécurité des données à l'aide de SQL Server 2005

Initiation à la conception de systèmes d'information

Applications Chapitre B17 et C18

WINDOWS Les Versions Serveurs

Gouvernance du Système d’Information

Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.

© Petko ValtchevUniversité de Montréal Janvier IFT 2251 Génie Logiciel Notions de Base Hiver 2002 Petko Valtchev.

RECHERCHE COMMERCIALE

“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein.

Développement Durable Relation avec l’informatique

GESTION DE PROJET Ce que dit la norme ….

La sécurité dans les réseaux mobiles Ad hoc

SECURITE DES RESEAUX WIFI

Module 8 : Surveillance des performances de SQL Server

La Sécurité Informatique.

Supports de formation au SQ Unifié

1exploitation des services ITIL Définition d’un événement Un événement est une occurrence détectable ou discernable ayant :  une signification sur la.

Le système informatique et le système d’information

Initiation à la conception des systèmes d'informations

Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.

SYSTEMES d’INFORMATION séance 1 : Introduction et définitions

1 Vers la gestion de la cohérence dans les processus multi-modèles métier Wolfgang THEURER Ecole Nationale Supérieure d’Ingénieurs des Etudes et Techniques.

Sécurité et Internet Formation.

Offre de service Sécurité des systèmes d’information

L’enseignement de spécialité SLAM

Réalisé par : Grégory CORDIER Promotion : RIE03 UE : Management Social & Humain Réalisé par : Grégory CORDIER Promotion : RIE03 UE : Management Social.

Réalisé par : Mr. B.BENDIAF Mr. H.REHAB.

TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.

Présentation du Produit WAN-FAI L.KHIMA S.ZEKRI V.BACHMAN

Sécurité des Web Services

Soutenance de Projet – BTS IG

Le cabinet d’avocat: une entreprise du droit Présentation de Maître Mame Adama GUEYE Formation Continue CIFAF Dakar 2 Décembre 2014.

Introduction Module 1.

Transformation digitale Comment maîtriser les risques ?

BTS IRIS Étude du référentiel. RÉCAPITULATIF PAR ACTIVITÉ DES TÂCHES réalisées en autonomie. Installation, exploitation, optimisation et maintenance T6.8Suivi.

COLLOQUE Mercredi 21 mars 2012 L’IFACI est affilié à The Institute of Internal Auditors En partenariat avec : Organisé en collaboration avec : Arjuna Baccou.

Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.

Transcription de la présentation:

Sécurité informatique: enjeux techniques et stratégiques Université Paris XI - IFIPS Protego Informatique Nicolas Monier

Plan Qu’est-ce que la sécurité informatique? Définition formelle Sécurité et cycle de vie d’un système informatique Quelques exemples concrets La sécurité informatique d’un point de vue technique Quelques chiffres Profil type des agresseurs Techniques d’attaques Contre-mesures La sécurité informatique d’un point de vue management Unité de mesure pour le manager: le risque Outils d’analyse: méthodologies et normes

Qu’est ce que la sécurité informatique

Définition formelle La sécurité informatique s’intéresse à deux composants: Les données électroniques. Les systèmes de traitement automatisés. La sécurité informatique vise à préserver pour les composants précédents les propriétés suivantes: L’intégrité (Modification illicite ou accidentelle impossible). La confidentialité (Accès illicite ou accidentel impossible). La disponibilité (Accès licites garantis 100% du temps). Ces propriétés doivent être préservées quelque soit le média utilisé par les données: Liens réseau physiques ou radio Disques ou bandes Rayonnements parasites ATTENTION: ne pas confondre système informatique et système d’information.

Sécurité et cycle de vie d’un système de sécurité L’application La plate-forme Génie logiciel orienté sécurité Spécification de l’application Choix d’une plate-forme matérielle Audit de code Développement Choix d’un système d’exploitation Ingénierie système Analyse de la sécurité des BDD Interfaçage avec des composantes externes Installation et paramétrage du système d’exploitation Ingénierie système Tests d’intrusion Tests Positionnement physique et logique de la plate-forme Ingénierie réseau Installation et paramétrage de l’application Ingénierie système Ingénierie réseau Sécurité organisationnelle Maintenance et mise à jour

Quelques exemples concrets 2004: Laboratoire pharmaceutique infesté par un troyen 0-day. Disponibilité des systèmes de traitement et confidentialité des données compromises. 2003: Serveur mail d’un constructeur de véhicules de chantier piraté. Mails redirigés sur le serveur d’un concurrent américain. Confidentialité des données compromise. 2002: Système de changes d’une banque modifié par un employé malmené par sa direction. Intégrité des données compromise. Les impacts: Pertes sèches à court terme liées à une perturbation de la production. Pertes à moyen terme liées à une dégradation de l’image de marque.

La sécurité informatique d’un point de vue technique

Quelques chiffres Le CERT CC, organisme de recensement et de publication des problèmes de vulnérabilité fournit les chiffres suivants (vulnérabilités déclarées): 2000-2004 Year 2000 2001 2002 2003 1Q-3Q 2004 Vulnerabilities 1,090 2,437 4,129 3,784 2,683 Les chiffres des incidents (liés à des piratages) déclarés sont: 2000-2003 Year 2000 2001 2002 2003 Incidents 21,756 52,658 82,094 137,529 Le chiffrement des pertes liées aux agressions informatiques est impossible à effectuer de manière fiable: incidents pas toujours déclarés, outils de calcul non disponibles, recensement international difficile.

Profil type des agresseurs Les utilisateurs maladroits associés à des administrateurs incompétents. Les employés malveillants. « Scripts kidies » ou « lamers ». « White hats », « black hats » et « grey hats ». Professionnels de l’intelligence économique et stratégique. (privés ou gouvernementaux). Terroristes supposés. Aucun chiffre fiable disponible quant au nombre et à la proportion des différents agresseurs. Mais de toute évidence, les employés malveillants et les « scripts kidies » sont ceux qui provoquent le Plus de dégâts.

Techniques d’attaques Buts: compromettre la disponibilité, la confidentialité et l’intégrité des données ou des systèmes de traitement automatisés. Usurpation d’identité (ex: IP, login/mot de passe). Exploitation des défauts d’implantation ou de spécification des protocoles réseau (ex: IP fragmentation, cassage de clefs WEP). Exploitation de failles de codes. (ex: BoF). Injection de données dans des entrées non validées (ex: SQL injection). Déni de service par saturation des ressources (ex: syn flooding). Ingénierie Sociale. Exploitation de configurations erronées des OS et/ou des applications (ex: exploitation du « ./ » dans le PATH root). Dit aussi « privilège escalation ».

Contre-mesures techniques Contre-mesures génériques: segmentation réseau (logique/virtuelle/physique), blindage des OS et des applications. Outils de sécurité d’accès: firewalls, tunnels chiffrés VPN ou SSL, serveurs d’authentification, PKI. Outils de détection d’intrusion: IDS réseau, IDS hôte, Scanners de vulnérabilités. Outils de sécurité de contenu: Antivirus de flux ou de poste, filtres SPAM et filtres URL, proxies et reverse-proxies, analyse peer-to-peer Outils de mise ne haute disponibilité: gestionnaires de bande passante, boîtiers d’équilibrage de charge, systèmes de clustering logiciel, protocoles de routage et de redondance. Génie logiciel orienté sécurité: conception et écriture de code sûr.

La sécurité informatique d’un point de vue management

Unité de mesure pour le manager: le risque Deux informations intéressent le manager: L’ergonomie des outils Informatiques (impliquant un gain de productivité) et l’estimation d’une probabilité d’un perte financière liée à un incident informatique. Son but: maximiser le rapport productivité/coût. Le consultant sécurité ne répond pas à un besoin énoncé par le DSI mais À des contraintes financières spécifiées par le DAF. L’informaticien doit donc élargir son champs d’analyse: Minimiser l’impact de la sécurité sur l’ergonomie. Prendre en compte la sécurité physique des systèmes (car le DAF considère tous les incidents et pas uniquement les malveillances). Prendre en compte la sécurité organisationnelle. Se doter d’outils d’analyse pour communiquer avec le DAF. Risque informatique: valeur synthétique mesurant la probabilité d’exécution d’une menace exploitant la vulnérabilité d’un système, ayant un impact négatif sur le niveau de production.

Outils d’analyse: méthodes et normes La mesure du risque nécessite un audit. Ce dernier nécessite la création d’un référentiel de valeurs. On doit donc se doter de méthodes pour: (1) appréhender La complexité du système d’information, (2) créer des échelles de valeur Propres à l’entreprise. Méthodologies institutionnelles: ITSEC, NSA books. Méthodologie non institutionnelle: OCTAVE. Méthodologie non institutionnelle: MEHARI. Norme internationale: IS0 17799. Les méthodes proposent toutes la création d’un cadre de référence, la définition d’un périmètre d’analyse et un système de calcul du risque. MAIS: elles ne proposent pas de technique de mise en œuvre, de contrôle De la durée, de répartition des tâches, d’intégration d’analyses de bas niveau.

Conclusion Beaucoup de fausses idées reçues sur le monde de la sécurité Informatique: Techniquement, le métier de la sécurité ne se cantonne pas au réseau. Plus généralement le consultant sécurité ne peut se cantonner son périmètre d’investigation à l’informatique. La sécurité n’est pas une question technique. C’est une question financière. On ne sait pas réellement évaluer l’ampleur des incidents informatiques. On ne dispose pas de méthodologie de conception ou d’audit mature.

Questions ?