LA SECURITE DES SYSTEMES D'INFORMATION
INTRODUCTION Nouvelle et indispensable dimension des systèmes informatiques : –Extensions des systèmes vers tous les partenaires de l'entreprise (employés, cadres, clients, fournisseurs,…) et le reste du monde (Internet). –Multiplication des points d'accès. Mais…. –Politique coûteuse. –Parfois incompatible avec les performances.
INTRODUCTION Les OBJECTIFS –DISPONIBILITE : Garantir dans le temps et l'espace la continuité de fonctionnement de l'ensemble des ressources. –INTEGRITE : Maintenir l'intégrité du point de vue physique (sauvegarde) et logique (droits d'accès). –CONFIDENTIALITE : Assurer l'accès aux ressources aux seules personnes autorisées
INTRODUCTION Mise en place d'une ORGANISATION –Au niveau Global : La sécurité concerne toutes les parties prenantes de l'entreprise. –Définir un poste de responsable de la sécurité et des responsables pour les éléments du système (un responsable par Domaine NT par exemple). –Définir des procédures (gestion des badges d'accès, de la circulation,etc.…). –Aménagement des locaux. –Sensibilisation du personnel à la sécurité. –Tester les procédures (incendie, sauvegarde…)
SOLUTIONS TECHNIQUES C ONTRATS D'ASSURANCE. P ROTECTION DES LOCAUX. P ROTECTION DES MATERIELS. P ROTECTION D'ACCES AU SYSTEME. P ROTECTION DES DONNES. P ROTECTION DES ECHANGES.
PROTECTION DES LOCAUX. Construction des locaux. Situation des locaux informatiques (serveurs), étude de la circulation du personnel, séparation des courants forts et faibles, etc... Protection contre les incendies et les inondations. Gaine anti-feu pour le câblage, fermeture automatique des portes, armoire anti-feu, etc... Contrôle d'accès.
La protection du matériel a pour objectif de prévoir une défaillance ou une détérioration du matériel. Remarque : Se protéger de la défaillance du matériel revient à protéger les données qu'il supporte. Télésurveillance et/ou protection des locaux contre les infractions. PROTECTION DES MATERIELS
Protection électrique –Faible : Onduleur (bloc de prises). Protection sur les câbles vidéo, réseau... –Moyenne : Onduleur + Batteries (maintien de l'alimentation durant quelques minutes) –Forte : Onduleur + Batterie + sauvegarde automatique. La protection peut se situer au niveau d'une machine, d'un groupe de machines et intégré à l'installation électrique.
Schéma d'un onduleur avec sauvegarde automatique PROTECTION DES MATERIELS Onduleur + Batteries Carte Alimentation Signal en cas de coupure Alimentation Ordinateur
Systèmes REDONDANTS On parle de système à tolérance de pannes –Au niveau du système lui-même : Redondance de l'ordinateur et de tous ses périphériques ; Si possible les systèmes seront situés sur des sites différents. –Au niveau des disques : On parlera de système RAID (Redundant Array of Inexpensive Disks) PROTECTION DES MATERIELS
La technologie RAID Classification en plusieurs niveaux de : RAID0 à RAID5 RAID0 ou Agrégat par bande : Les données sont réparties en blocs selon un ordre défini sur tous les disques. PROTECTION DES MATERIELS
La technologie RAID RAID0 ou Agrégat par bande : PROTECTION DES MATERIELS Disque 1Disque 2Disque 3Disque 4 Fichier 1 Fichier 2 Fichier 3 Fichier 4 Avantage : Accès rapide aux données Inconvénient : La perte d'un disque entraîne la perte de toutes les données
La technologie RAID RAID1 : Un ou plusieurs disques sont une copie parfaite d'un disque principal. Il y a deux variantes du RAID1 : Mirroring PROTECTION DES MATERIELS Disque principal Disque Miroir 1 Seul Contrôleur =
La technologie RAID Duplexing PROTECTION DES MATERIELS Disque principal Disque Miroir Deux Contrôleurs =
La technologie RAID RAID1 : Méthode sûre et coûteuse (2 disques = 1) Il améliore les performances en lecture par des accès simultanés aux 2 disques. RAID1 est proposé par NT4 Server PROTECTION DES MATERIELS
La technologie RAID RAID2 : Principe de fonctionnement identique au RAID1. Un seul disque est sollicité lors des opérations de lecture. PROTECTION DES MATERIELS
La technologie RAID RAID3 ou Agrégat par bande avec parité Il s'agit d'un RAID0 avec un disque de parité. Les données sont écrites bit à bit (ou par octet) sur les différents disques, le dernier disque enregistre la parité. Ce dernier permet de continuer à fonctionner avec un disque en panne puis de régénérer ce disque. PROTECTION DES MATERIELS
La technologie RAID RAID4 : Identique au RAID3 avec une écriture par petit bloc et non plus par bit (ou octet). Avantages du RAID3 et 4: Dispositif à tolérance de pannes. Inconvénients du RAID3 et 4 : Mobilise un disque (coût). En cas de défaillance du disque on se retrouve en RAID0. PROTECTION DES MATERIELS
La technologie RAID RAID3 et 4 PROTECTION DES MATERIELS Disque 1Disque 2Disque 3 Disque 4 Parité Fichier 1 Fichier 2 Fichier 3 Fichier 4 Bloc 1 Bloc 4 Bloc 2Bloc 3Parité etc.. Écriture d'un fichier
La technologie RAID RAID5 : Le disque de parité est réparti sur l'ensemble des disques de données PROTECTION DES MATERIELS Disque 1Disque 2Disque 3Disque 4 Fichier 1 Fichier 2 Fichier 3 Le segment de parité est décalé
La technologie RAID RAID5 Il améliore les performances en lecture et en écriture. Avec des disques "HotPlug" ce mode permet l'échange de disques à chaud et sa régénération. Ce mode correspond à l'agrégat par bandes avec parité sous NT4 Server. PROTECTION DES MATERIELS
La technologie RAID Il existe d'autre mise en œuvre qui dérivent des précédentes : ORTHOGONAL RAID5 : Technique logicielle créé par IBM identique au RAID 5 mais utilise un contrôleur par disque comme en "duplexing". RAID6 : Identique au RAID 5 mais utilise 2 codes de redondance. Ce qui permet de continuer de fonctionner après la panne de 2 disques simultanément. PROTECTION DES MATERIELS
La technologie RAID Il existe d'autre mise en œuvre qui dérivent des précédentes : RAID7 : Met en jeu une carte microprocesseur qui contrôle et calcule la parité, la gestion du cache ainsi que la surveillance des disques. Ce mode supporte la perte de plusieurs disques simultanément. RAID10 : Combinaison entre l'agrégat et la miroir. PROTECTION DES MATERIELS
PROTECTION D'ACCES AU SYSTEME La protection de l'accès au système peut prendre plusieurs formes (cf. cours NT) : Nom d'accès + Mot de passe (minimum) Avec des contrôles sur les mots de passe modifiables par les utilisateurs (longueur, nature des caractères et périodicité). Horaires d'accès. Machines d'accès. Contrôle de l'accès depuis l'extérieur. Utilisation du Call-back
PROTECTION DES DONNES Contrôle d'accès aux données –Par le système d'exploitation : Droits aux ressources et sur les fichiers. –Par le S.G.B.D : Certains SGBD gèrent leur propre base de comptes. D'autres s'appuient sur les comptes du système d'exploitation. Sauvegardes Journalières, hebdomadaires et/ou mensuelles. Le rythme dépend de la périodicité des modifications et de la valeur des données.
PROTECTION DES DONNES Sauvegardes 5 Types de sauvegardes : NORMALE : Copie de tous les fichiers sélectionnés. Le bit d’archivage est désactivé. Fichiers faciles à retrouver car ils sont situés sur la dernière sauvegarde. Mais, nécessite plus de temps en sauvegarde et les fichiers non modifiés sont redondants sur les bandes. Note : A chaque fois qu'un fichier est modifié son bit d'archivage est modifié.
PROTECTION DES DONNES Sauvegardes PAR DUPLICATION : Copie de tous les fichiers sélectionnés. Le bit d'archivage n'est pas modifié. INCREMENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activé c'est à dire les fichiers créés ou modifiés depuis la dernière sauvegarde incrémentielle ou normale. Le bit d'archivage est désactivé. L’espace bande est moindre, la sauvegarde est plus rapide. Mais difficulté pour retrouver les fichiers.
PROTECTION DES DONNES Sauvegardes DIFFERENTIELLE : Copie uniquement les fichiers dont le bit d'archivage est activé c'est à dire crées ou modifiés depuis la dernière sauvegarde incrémentielle ou normale. Le bit d'archivage n'est pas modifié. QUOTIDIENNE : Copie de tous les fichiers sélectionnés ayant été créés ou modifiés le jour de la sauvegarde. Le bit d'archivage n'est pas modifié.
PROTECTION DES DONNES Sauvegardes Les méthodes les plus utilisées sont les sauvegardes : - INCREMENTIELLE - NORMALE Exemple de sauvegarde sur 12 semaines :
PROTECTION DES DONNES Bande 1Bande 5Bande 2Bande 3Bande 4 Semaine 1 Bande 6Bande 10Bande 7Bande 8Bande 9 Semaine 2 Bande 1Bande 5Bande 2Bande 3Bande 4 Semaine 3 Bande Sauvegarde incrémentielle Sauvegarde normale LundiMardiMercrediJeudiVendredi Bande 5 - Hors site Bande 10 - Hors site Reprise Bande 5 Au bout de 12 semaines le cycle recommence avec un nouveau jeu de bandes
PROTECTION DES DONNES Logiciel Antivirus –Protection des serveurs et des postes contre les virus connus et inconnus. –Une protection parfois intégrée au BIOS. –Sur un réseau, mise à jour automatique des postes lors de leur connexion. –Logiciel toujours associé à la dernière mise à jour des signatures de virus.
PROTECTION DES ECHANGES Conception minutieuse des tables de routage. Éviter par exemple le routage par défaut. Serveur de sécurité : Pare-feu (firewall) Sur un réseau, contrôle des entrées en provenance de l’Internet. Mise en place de journaux d’audit Authentification par nom et mot de passe Sur les données échangées : –Code de contrôle (checksum) –Cryptage (clé privée/publique, signature électronique, tiers de confiance).