cours_D1_2

13/09/12

Domaine D1 : Travailler dans un environnement numrique volutif

Comptence D1-2 :

Scuriser son espace de travail local et distant

Auteur : Olivier Brand-Foissac

Ce document est distribu sous licence Creative Commons Paternit-Pas d'Utilisation Commerciale-Partage des Conditions Initiales l'Identique 2.0 France

(Crdits photos/images: Wikipedia sauf indication contraire)

13/09/12

Scuriser son espace de travail Scurit de l'information: 3 aspects

Les instituts de normalisation se sont penchs sur les problmes de scurit des informations et ont dfini un ensemble de normes (ISO-27000 et suivantes)

Les enjeux de la scurit sont de plusieurs ordres conomiques (espionnage industriel, droits juridiques...) Scuritaires (espionnage militaire, terrorisme...) Socitaux (protection de la vie prive, donnes personnelles...)

La scurit se compose de trois aspects: D I - C Les risques

Dfinition, valuation, traitementSe protger

13/09/12

La scurit (1) D: comme disponibilit

La disponibilit: accder la ressource Quand on en a besoin Pour toute la dure ncessaire (et avec le dbit requis)

Le dfaut de disponibilit: exemples Un virus a effac mon disque dur Mon rseau ne fonctionne plus Ma cl USB est illisible Mon portable a t drob: je n'ai plus accs mes fichiers

13/09/12

La scurit (2) I: comme intgrit

L'intgrit: je rcupre ce que j'ai dpos, ni plus, ni moins Le dfaut d'intgrit: le contenu a t modifi

Un virus a modifi mes fichiers Mon site web a t dfigur

C: comme confidentialit La confidentialit: ne pas divulguer ce que je ne veux pas Le dfaut de confidentialit: exemples

Mon mot de passe a t drob et chang, je ne peux plus me connecter sur mon rseau social

Un brouillon de lettre de dmission a t diffus, je suis devenu(e) paria dans mon entreprise

Mon dossier de dpt de brevet a t pirat, un autre l'a dpos ma place...

13/09/12

Les risques (1) Dfinition du risque:

Conjonction de trois facteurs: Une vulnrabilit: un point faible Une probabilit de ralisation d'une menace: possibilit que quelqu'un

utilise ce point faible Un impact: je suis affect si la menace se ralise, valeur d'image...

Exemple: risque de pertes de donnes exprimentales Vulnrabilit: je prends le train tous les jours avec mon portable Menace: cette heure tardive il y a beaucoup d'agressions dans ce train Impact: si je perds mon portable, je perds les donnes exprimentales recueillies pour

ma thse

Evaluer un risque C'est estimer l'importance du risque afin d'appliquer le traitement

appropri

13/09/12

Les risques (2) Traiter un risque

Le refuser: liminer un des trois critres et le risque disparat Exemple: ne plus me dplacer avec mon portable, prendre ma voiture...

Le transfrer: dplacer le risque Exemple: les donnes sont stockes sur un serveur rseau, le risque a t

dplac, c'est l'hbergeur de le grer Le rduire: baisser l'importance de son effet un niveau acceptable

Exemple: avoir une copie fiable des donnes exprimentales, j'ai rduit l'impact, tout ne sera pas perdu

L'accepter: l'importance est telle que sa ralisation est supportable Exemple: le cot du traitement dpasse la valeur de la donne

13/09/12

Principales attaques En gnral les attaques viennent de l'extrieur

Par le rseau Par les supports amovibles

Exemples Prise de contrle distance Augmentation de privilge Virus, vers, troyen... Dni de service Espiogiciel (spyware) Hbergement de site illgal Source d'attaques massives Numroteurs, rootkits...

13/09/12

Ralisation des attaques Autonome: sans intervention de l'utilisateur

Auto-duplication: virus, vers, ... Tentative directe: dni de service, tentatives d'exploitation de

vulnrabilits... Assiste de l'utilisateur

Par une action de l'utilisateur, un clic, l'excution d'un programme, d'une carte de voeux, l'acceptation d'une signature, l'ouverture d'un fichier (image, prsentation...) Installe le malware dans la mmoire, dans un fichier local ou distant,

dans le systme, sur un disque externe... Envoie des donnes personnelles sur un site distant...

Par manque de prcaution: saisie de mot-de-passe sur un site non protg, mot-de-passe dans un courriel...

13/09/12

Se prmunir des attaques (1) Mettre jour son systme et ses programmes

Correction des failles (vulnrabilits) Evite (rend plus difficiles donc moins probables) les attaques directes

Utiliser des logiciels de protection Pare-feu: vite les attaques directes sur les vulnrabilits connues (pare-

feu rseau, pare-feu applicatif, proxy filtrant...) Il en existe des libres, des gratuits et des commerciaux

Anti-virus: dtecte et enferme virus, vers, troyens Beaucoup d'diteurs commerciaux ont des versions de base gratuites A mettre jour trs rgulirement Ne protge que des attaques connues!

13/09/12

Se prmunir des attaques (2) Anti-spyware: dtecte et dsactive/retire les logiciels espions connus

Etre vigilant Ne pas ouvrir de document que l'on attends pas, mme d'une personne

connue Cas des virus qui envoient des courriers tout l'annuaire local...

Ne pas accepter les certificats inconsciemment L'acceptation d'un certificat (sur un site par exemple) autorise le programme

demandeur accder au disque interne Ne pas transmettre de mot-de-passe sur des sites non chiffrs (HTTPS), ni

un courriel contenant login et mot-de-passe Ne jamais rpondre une sollicitation de fournir votre mot-de-passe

(pourriels, tentatives de phishing...) Chiffrer les donnes sensibles (rpertoires, disques, sites...) Ne pas installer de logiciel non contrl (smarphones...)

13/09/12

Se prmunir des attaques (3) Prvenir la perte de donnes

Sauvegardes: duplication sur une autre ressource Cl USB (attention: limite du nombre d'criture) Disque externe... Serveur distant: attention la localisation! Lisez bien le contrat

Rgularit des sauvegardes Prvenir la perte de confidentialit

Ne pas stocker vos donnes sur un support non matris Attention aux services gratuits: si le service est gratuit vous n'tes pas

client, vous tes ce qui est vendu (sic) Lire et comprendre le contrat d'utilisateur final (CLUF)

Vrifier les URL sensibles (sites miroirs...)

13/09/12

Se prmunir des attaques (4) Rester inform

Site gouvernemental sur la scurit : http://www.ssi.gouv.fr Site de la CNIL (les droits et devoirs des utilisateurs et des fournisseurs

de services...): http://www.cnil.fr/ Abonnement aux lettres d'information (utilisation d'agrgateurs comme

http://www.netvibes.com/fr... ) En cas de tentative

De phishing: poubelle directement Si vous avez un doute: http://www.hoaxbuster.com/

13/09/12

En cas de suspicion Virus, vers, troyens...

Passer un scan de toutes les ressources avec un logiciel jour Spams

La lgislation franaise impose qu'un lien permette de se dsabonner aux courriers non sollicits

En cas de rcidive: https://www.signal-spam.fr/ est trs efficace Dconnecter du rseau

Sites illgaux: vous pouvez devenir incriminable http://www.ssi.gouv.fr/fr/menu/bandeau/que-faire-en-cas-d-incident/ Ne pas dtruire la preuve

Passer un scan avec un logiciel de recherche et d'limination externe (Kaspersky, Bitdefender, Antivir, ... )