La Sécurité Informatique.

Plan de l’exposé.

• I. Pourquoi la Sécurité Informatique.• II.La politique de Sécurité Informatique.• III. Mise en œuvre de la sécurité

Informatique.• IV. Attaques, Contre-mesures.• Conclusion

I. Pourquoi la Sécurité Informatique.

• Question Liminaire:

• Qu’elle est votre vision de la Sécurité Informatique ?

• Vous confiez vos données, qu’elle conscience avez vous des possibles évènements fâcheux?

État des lieux, Clusif 2002

• Entreprises françaises attentistes• Il y a un budget.• Sinistres en 2002

– Recul des vols, beaucoup d’erreurs de conception

– Beaucoup de pannes et de virus– Sous estimation, ignorance de la menace

interne.

Le besoin de Sécurité Informatique.

• Les sociétés sont devenus dépendantes de leur outil informatique.

• Internet et le travail avec les réseaux ouverts introduisent une révolution pour la sécurité.– Les systèmes d’Intelligence sont répartis.– Les morceaux sont interconnectés.– Le succès d’Internet n’a pas été prévu.

Les conditions du bon fonctionnement du système.

• Intégrité des données.– Limitation des accès,…

• Confidentialité des données.– Obligation légale, confiance,...

• Assurer la disponibilité des services.– Fiabilité, performance,…

II. La politique de Sécurité Informatique.

La PSI est l’ensemble des principes et des règles de sécurité pour la gestion et le

fonctionnement du système d’information.

Objectif de la PSI

Son objectif est de protéger les actifs informatiques contre les risques, d’une manière adaptée à l’entreprise, à son environnement et à l’état de son outil informatique.

Objectif: Ce qui implique que le responsable de sécurité se charge des activités de:

Protéger…Conception, mise en œuvre, et maintenance des contre-mesures de sécurité

…les actifs informatiques de l'entreprise…

Identification des actifs informatiques (information, applications, systèmes, ressources humaines). Détermination de la valeur des actifs: 

•pour l'entreprise, et •pour les intrus potentiels

…contre les risques…Identification des risques, ce qui implique l'identification des actifs vulnérables sur lesquels pèsent des menaces significatives

…et ce, d'une manière qui est adaptée à l'entreprise,…

Détermination du niveau de criticité des différents actifs informatiques. Détermination du meilleur équilibre entre risques et coût de protection

…à son environnement…Identification des menaces: 

•internes et externes, •d'origine accidentelle ou intentionnelle

…et à l'état de son outil informatique.

Identification des vulnérabilités des actifs informatiques

Chronologie de la PSIIdentification des actifs Identification des

menaces

Détermination de la valeur des actifs

 

Identification des vulnérabilités

 

Identification des risques

Détermination du niveau de criticité des actifs

Conception, mise en œuvre et maintenance des contre-mesures

Principes de bases.

• La Sécurité à 100% est une utopie.• Le tout sécurité est pire que le mal.

• Toujours avoir une vision globale

• La Sécurité est un éternel compromis.

III. Mise en œuvre de la PSI.

• Protéger quoi?• Pourquoi?

• Contre Quoi?• Contre Qui?• A quel coût?

Vulnérabilité, Menaces, Risques.

• Définition de la vulnérabilité:

– Faille matérielle ou logicielle qui permet d’obtenir un accès non autorisé ou de provoquer un Déni de Service.

– Naturelle, Physique, Logique,…– Ex. eau, incendie, lecteur, absence de MJ…

Menaces.

• Définition de la Menace:– Expression de nuire à autrui.

On distingue, les attaques externes, internes et physiques.

Les attaques externes.

• Intrusion via le réseau• Diffusion de virus

• Elles sont médiatisées, connues• Elles sont rares (20%)• Nécessites pare-feu, la surveillance du

réseau…, isolation des zones sensibles.

Les attaques internes.

• Le cas typique est l’employé pas content, mais alors pas du tout content.

• Ce sont les plus fréquentes.• Lutte complexe.

• Employer des serveurs distincts.

Les attaques physiques.

• C’est un risque majeur.

• Difficile à contrer sans une réflexion en amont. (Ex. Française des Jeux,…)

• La plus connue est la pose d’un sniffeur.

Postulat.

• Plus le niveau de sécurité initial sera élevé, plus il sera simple de développer et de suivre les standards et les procédures pour le maintenir à niveau.

• Éviter de s’en remettre à la chance.

Le coût.

• Aucune assurance n’est gratuite.• La politique de sécurité est là pour le rendre

acceptable.• C’est un compromis.

• La perte de données vitales coûte beaucoup plus (Perte d’exploitation, etc.)

Bases d’une PSI (1)

• Volonté de la direction Générale.

• Exercé par un Responsable de la sécurité.

• Elle concerne tout le monde. (pas d’exception)

• Elle est discutée, on y adhère.

Bases d’une PSI (2)

• Elle ne dépend pas de la technique.

• Elle définit la technique utilisée.

• Elle se base surtout sur l’information et la FORMATION.

Concrètement

• Une SI c’est 80% de bon sens.

• Il faut connaître son environnement.• Être informé, SANS, CERT, CNRS-CRU, le

site du fabriquant de votre OS.

• Elle doit être COHÉRENTE, sinon vous êtes le maillon faible,…

La gestion des incidents de sécurtité. PARLER SANS HONTE• Recommandations pour les incidents de sécurité.

– Informer la direction. (plainte)– Informer le responsable de sécurité (traitement de

l’incident)– Stopper les services compromis– SAUVEGARDER le système pour garder les traces– NE PAS DONNER D’INFORMATIONS SUR

L’INCIDENT– Analyse et comprendre l’intrusion et évaluer les dégâts.– Faire changer les mots de passe.– Recherche les sniffeurs éventuels,…

Aspects légaux.

• Voir feuille de synthèse.

• Le non droit est une idée reçue,

• Le problème c’est la preuve et la complexité des recours.

Législation (1)

• Loi relative à la propriété intellectuelle.– Droit d’auteur. Loi 85-660 du 3 juillet 1985.– Code de la propriété intellectuelle.– Propriété intellectuelle des œuvres numériques.

• Article sur la situation du logiciel en France.• Fraude informatique, Loi du 5 janvier 1988 Godfrain

– Délibération de juillet 1981 sur la SSI– Organisation mondiale de la propriété intellectuelle.

Législation (2)

• Protection des données• Protection des personnes.

– CNIL loi 6 janvier 1978.• Responsabilité civile

– Art 1382 cciv• Code pénal, art 462-2 à 462-9.• La signature électronique.• Loi de réglementation des télécommunications• Loi Toubon.

La gestion des incidents de sécurité.

• Recommandations pour les incidents de sécurité.– Informer la direction. (plainte)– Informer le responsable de sécurité (traitement de

l’incident)– Stopper les services compromis– SAUVEGARDER le système pour garder les traces– NE PAS DONNER D’INFORMATIONS SUR

L’INCIDENT– Analyse et comprendre l’intrusion et évaluer les dégâts.– Faire changer les mots de passe.– Recherche les sniffeurs éventuels.

IV Attaques, Techniques de Défenses.

Inventaire des outils de défense.

• Les Firewall. (remarques ils ne sont pas infaillibles)

• Évaluation de vulnérabilité, scanners.• Systèmes de détection d’intrusion.• Journalisation et audit• Perceur de mots de passe• La cryptographie.• Le bon sens

Survol des menaces externes

• Attaque par connaissance.• Attaque par négligence.• Attaque aveugle.

Attaque par connaissance.

• Exploite:– La mauvaise gestion des mots de passe– La mauvaise administration des appareils

(gestion des logins, gestion de la configuration des routeurs.

Attaque par négligence.

• Exploite:– Mauvaise information .– Mauvaise stratégie de Mots de Passe,…– Faiblesse des contrôles– Faille dans les mises à jours (patchs, virus, etc.)– Mauvais paramètres de Firewall– …

Attaque aveugle.

• Exploite:• Toutes les failles de l’attaque par

négligence.• Conséquence d’une mauvaise gestion du

système.

Petite liste des attaques connues.

• Attaque par spoofing ou attaque par usurpation

• Attaque par dissimulation d’identité.• Le problème des sniffeurs (présent dans une

majorité d’attaque.)• Attaque de Déni de Service.• Vers virus • Troyens

CONCLUSION

• Le risque majeur devient un risque résiduel.

• Pour aller plus loin, Le Hacking, les méthodes de sécurités, les stratégies réseaux,…