La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

SECURITE DES SYSTEMES D ’INFORMATION

Présentations similaires


Présentation au sujet: "SECURITE DES SYSTEMES D ’INFORMATION"— Transcription de la présentation:

1 SECURITE DES SYSTEMES D ’INFORMATION

2 PLAN Généralités sur la SSI Techniques d ’attaques
Moyens juridiques et réglementaires

3 Chapitre 1 Généralités sur la SSI

4 Les typologies de menaces
Menace LUDIQUE Menace AVIDE Menace TERRORISTE Menace ETATIQUE

5 Les typologies de menaces
Menace LUDIQUE = « Jeune » ou moins jeune, désir de reconnaissance, le fun INTERNET Nombreux outils Internet

6 Les typologies de menaces
Menace AVIDE = Vente d’informations volées, chantage, faux sites marchands

7 Les typologies de menaces
Menace TERRORISTE = terrorisme informatique La chaîne TV5Monde a été victime mercredi soir 8 avril d'une cyberattaque d'une ampleur inédite de la part de pirates se réclamant de l'Etat islamique. Tant la diffusion des programmes de l'antenne que les réseaux sociaux étaient passés sous le contrôle du CyberCaliphate. Le retour à la normale prend du temps et s'opère de manière progressive ce jeudi. Source bfmtv

8 Les typologies de menaces
Menace ETATIQUE = guerre informatique « Information Warfare » Une attaque informatique contre le réseau électrique est la hantise des responsables de la sécurité. Et pour cause : sans électricité, la vie économique serait perturbé, voire paralysée. Des cyber-espions russes et chinois avaient réussi à infiltrer le réseau électrique américain pour y installer des programmes malveillants susceptibles de causer des perturbations. Source Opex360

9 Protéger, Collecter, Désinformer
Les 3 critères de la SSI DISPONIBLITE INTEGRITE CONFIDENTIALITE Protéger, Collecter, Désinformer

10 DISPONIBILITE Disponibilité de l’accès aux données et aux traitements
=> Attaques visibles Destruction d ’information Panne système Sabotage système Déni de service Blocage d’accès Saturation => CA NE MARCHE PLUS 10

11 INTEGRITE Intégrité des données => Attaques non visibles
Suppression Altération Désinformation Répudiation 11

12 CONFIDENTIALITE Confidentialité des données des services
=> Attaques visibles ou non Espionnage Divulgation Chantage 12

13 Typologie des menaces 13% incendie,explosion,
dégâts des eaux, pollution, catastrophe naturelle 2% arrêt de service électricité, télécoms Environnement 15% Menaces naturelles 26% Pannes système 11% 5% pannes informatiques 2% pannes réseaux internes 4% saturation des réseaux 8% erreurs conception et réalisation 9% erreurs exploitation et utilisation Erreurs humaines 17% Menaces humaines 74% 2% vol, sabotage matériel 18% fraude 12% indiscrétion, intrusion, virus 14% copie de logiciel 10% vol ressource 1% démission, absence, grève Malveillance 57%

14 Utilisation de l’Internet dans les entreprises
40 % du temps passé sur le WEB au bureau n ’a pas de lien avec l ’activité professionnelle, 30 % des salariés admettent envoyer des s avec des informations confidentielles à l ’extérieur de leur société, 20 % du trafic sur la messagerie réseau est lié à des spams, des adresses erronées, à des abonnements à des listes de diffusion obsolètes….

15 Position des agresseurs
Employés autorisés (divulgation) : 54 % Employés non autorisés (abus de droits) : 22 % Anciens employés : 11 % Pirates, hackers, divers : 10 % Concurrence : 3 % => Menace INTERNE : 70 à 80 %

16 La SSI : un domaine transversal
Sensibilisation Formation Responsabilisation Réglementation Direction, Organisation Gestion du Personnel Juridique, contrats Surveillance, contrôle, gestion des anomalies S.S.I. Administration des réseaux et systèmes Sûreté de fonctionnement Disponibilité, fiabilité Intrusion physique, incendie, dégâts des eaux... Sécurité physique Technique Qualité Réseaux, informatique, Bureautique Fiabilité, ergonomie, maintenabilité

17 Chapitre 2 ATTAQUES Attaques physiques : accès physique
ou se servant de caractéristiques physiques Attaques logiques

18 Attaques physiques Interception ==> TEMPEST : signaux parasites compromettants (onde + conduits métalliques) Brouillage (militaires / guerre) Ecoute (très utilisée) Micros et Caméras espion (de plus en plus courant)

19 Attaques Logiques Social engineering mi physique, mi logique
Fouille de répertoires / fichiers les droits d'accès aux fichiers attaque sur les mots de passe Canal Caché (Back Door) Déni de service (saturation des accès réseau) Programmes parasites Virus, ver, cheval de Troie Exploitation malveillante des protocoles réseau

20 Social engineering manipuler une personne et lui faire révéler l’information qu’elle détient parfois en se faisant passer pour quelqu’un d’autre Informations recherchées : Mot de passe Informations de comptes bancaires Stratégie d’entreprise…

21 Fouille de répertoires / fichiers
DROITS des Répertoires / FICHIERS UNIX : droits R W X Windows : fichiers partagés (lecture/écriture/ contrôle total) Fichiers sensibles non protégés !!!! Les comptes : recherche de Comptes peu ou pas utilisés

22 Attaques sur les mots de passe
4 possibilités : Dérober un MDP social engineering, vol ... Deviner un MDP nom, prénom, enfants, habitation, lieu et date de naissance utilisateurs ou de sa famille… Renifler un MDP le « prendre » sur le réseau en CLAIR Craquer un MDP logiciel de crackage

23 Les mots de passe les plus courants
Nom d’un sportif Modèle de marque automobile Nom d’une vedette du show bizz Nom d’un lieu Mot associé à l ’informatique Mot obscène Nom d’une personne adulée Surnom d'un animal de compagnie Nom d’une personne proche

24 Le piratage téléphonique - Phreaking
Permet au pirate d ’utiliser une ligne téléphonique autre que la sienne : piratage d ’autocommutateurs d ’entreprise (PABX ou IPBX) Recherche automatique de modems connectés sur un réseau Permet d'entrer sur le réseau de l'entreprise en contournant les mesures de Protection (Firewall)

25 Porte dérobée - Backdoors
Parfois créée par le concepteur du logiciel pour des besoins de maintenance Permet de contourner la SSI normale ! Souvent créée par un virus de type cheval de Troie

26 VIRUS Programme parasite s’adjoignant à un logiciel existant et activé à chaque fois qu'on utilise le logiciel infesté Infecte un logiciel : .exe, .vbs, ... ou un document : macros des .doc, .xls, … se propage très rapidement via la messagerie (pièces jointes) ou les clés USB divers types : furtifs, cryptés, polymorphes, …. Plus de aujourd’hui !

27 Vers informatiques (Worms)
Assez rares Se multiplient travers le réseau (sans nécessairement utiliser le stockage sur disque dur comme les virus) Saturation de l’espace mémoire Engorgement files d ’attentes Peut aussi générer les mêmes dégâts que les autres programmes parasites

28 Bombes logiques Code ajouté secrètement à un OS ou à un programme
Si activé (date, lancement fichier, …) => fait exécuter une action prédéfinie =

29 Cheval de Troie Programme apparemment utile : contient des fonctions cachées => MENACE SERIEUSE

30 Protocoles réseau : Scan de ports
But : obtenir liste des services offerts par un serveur Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont actifs Intérêt : exploiter une faille éventuelle, connue, d’un des services

31 Protocoles réseau : Man in the Middle
B M « M » fait croire : - à « A » qu ’il est « B », - à « B » qu ’il est « A »

32 Enregistreurs de touches (Keyloggers)
C’est un logiciel (peut être physique) Implantation discrète par un Cheval de Troie But : Envoyer à un pirate des logins et mots de passe ou toute autre information confidentielle

33 Scénario d’attaque Renseignement : architecture du réseau, plan d'adressage, systèmes d'exploitation utilisés etc... Préparation : analyse de la sécurité Intrusion : entrer par un point faible Installation : installer une entrée permanente : canal caché ou porte dérobée (backdoor) Camouflage : effacer les traces, changer les dates dans les messages système... Propagation : rebond vers un autre ordinateur, implantation de virus...

34 Les moyens juridiques et réglementaires
CHAPITRE 3 Les moyens juridiques et réglementaires

35 Art. 323-1 CP - soit une altération du fonctionnement de ce système
Le fait, - d ’accéder - ou de se maintenir - frauduleusement - dans tout ou partie d ’un système de traitement automatisé de données Est puni d’un an d’emprisonnement et de € d’amende. Lorsqu ’il en est résulté : - soit la suppression, - ou la modification de données contenues dans le système, - soit une altération du fonctionnement de ce système La peine est de 2 ans d’emprisonnement et de € d’amende.

36 Art. 323-2 le fonctionnement Est puni de 3 ans d’emprisonnement
Le fait : - d’entraver - ou de fausser le fonctionnement d’un système de traitement automatisé de données Est puni de 3 ans d’emprisonnement et de € d’amende.

37 Art. 323-3 - d’introduire frauduleusement des données
Le fait - d’introduire frauduleusement des données dans un système de traitement automatisé de données - ou de supprimer - ou de modifier frauduleusement des données qu’il contient est puni de 3 ans d’emprisonnement et de € d’amende.

38 Art La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues par les articles à 323-3 Est punie des peines prévues pour l ’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. Art : peines complémentaires pour les personnes physiques.

39 Le vocabulaire juridique
Information : Elément de connaissance susceptible d ’être représentée sous forme adaptée à la communication, l’enregistrement ou un traitement Donnée : Représentation de l ’information sous forme conventionnelle destinée à faciliter son traitement Donnée : « Information formatée pour être traitée par un système informatique » (circulaire du 1er Ministre du 14/02/94) ==> Pas de statut juridique de l ’information Existence juridique sous forme de donnée

40 ==> création de la CNIL
La LOI du 6 janvier 1978 ==> Protection des libertés du citoyen par rapport à l’informatique et aux fichiers ==> création de la CNIL Commission Nationale de l’Informatique et des Libertés informatique + fichiers libertés du citoyen

41 La LOI 78-17 du 6 janvier 1978 - ou d’une déclaration préalable.
Hormis les cas autorisés par la loi, les traitements automatisés d’informations nominatives doivent au préalable faire l ’objet : - soit d’un acte réglementaire de la CNIL - ou d’une déclaration préalable.

42 La LOI du 6 janvier Art 29 Toute personne ordonnant ou effectuant un traitement d ’informations nominatives s’engage de ce fait , vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’ empêcher qu ’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés

43 Sanctions pénales de la loi 78-17 « informatique et libertés » Art
Le fait , y compris par NEGLIGENCE, de procéder ou de faire procéder à des traitements automatisés d ’informations nominatives SANS qu ’aient été respectées les formalités préalables à leur mise en œuvre Est puni de 3 ans d’emprisonnement et de € d ’amende.

44 Quelques sites SSI sur le WEB
SCSSI CLUSIF Computer Associates CNIL Schauer Consultant


Télécharger ppt "SECURITE DES SYSTEMES D ’INFORMATION"

Présentations similaires


Annonces Google