Livre_Blanc - Sécurité des Systèmes d’Information

8/8/2019 Livre_Blanc - Scurit des Systmes dInformation

1/32


2/32

LivreBlancduGroupe4

ScuritdesSystmesdInformation

Copyright

Copyright 2004-2009 Groupe4, 4IM SAS. Tous droits rservs

Mention sur les droits restreints

Ce document est protg par copyright et ne peut tre

copi, photocopi, reproduit, traduit ou converti sous

forme lectronique ou toute autre forme exploitable par

un ordinateur, en tout ou partie, sans le consentement

pralable crit du Groupe 4, 4IM SAS. Les informations

contenues dans ce document sont sujettes

modification sans pravis et ne constitue aucunengagement de la part du Groupe 4.

LA DOCUMENTATION EST FOURNIE TELLE

QUELLE SANS GARANTIE DAUCUNE SORTE, Y

COMPRIS MAIS SANS LIMITATION, TOUTE

GARANTIE DE QUALITE MARCHANDE OU DADEQUATION A UN USAGE

PARTICULIER. DE PLUS, GROUPE 4, 4IM, NE FOURNIT AUCUNE GARANTIE

CONCERNANT LUTILISATION OU LE RESULTAT DE LUTILISATION DU DOCUMENT

EN TERMES E VERACITE, DEXACTITUDE, DE FIABILITE OU AUTRES.

Marques commerciales et de service

Copyright Groupe4, 4IM SAS. Tous droits rservs.

Toutes autres noms ou marques sont la proprit de leurs dtenteurs respectifs.

CWP1567D1252-1A

Copyright20042009Groupe4,4IMSAS.Tousdroitsrservs 2


3/32

LivreBlancduGroupe4


Avant Propos

La scurit des systmes informatiques et plus globalement des systmes dinformation

(SI) a t considr pendant trs longtemps par les entreprises, comme un aspect desecond plan. Peu peu, une prise de conscience amne la Scurit des SI sur le devant

de la scne. La raison principale est lie la multitude dincidents et plus grave, de

sinistres qui provoquent de lourdes pertes aussi bien pour les entreprises que pour le

simple citoyen.

Mais le chemin est encore long pour que la Scurit des SI soit une vritable ralit dans

les organismes et les entreprises petites, moyennes ou grandes.

Encore trop souvent, jentends dire Mon entreprise est

scurise car elle dispose dun firewall et dun antivirus. Si

cela est un bon dbut, il ne sagit que des premires marchesde limmense escalier de la Politique de Scurit des SI, que

lon pourrait comparer lescalier infini du mathmaticien

Penrose. La scurit des systmes dinformation est un (trs)

vaste domaine en perptuelle volution.

LescalierdePenrose

illustration:PhilipRonanMalheureusement la scurit est apprhende correctementaprs un sinistre important.

La scurit a un cot, me dit-on.

Je rponds : Exact ! Mais la non-scurit a galement un cot.

Plus gnralement, le systme dinformation a un cot. Mais bien conu, bien utilis le

systme dinformation savre tre un atout de performance pour un organisme. On

associe alors, Systme dinformation et gain de productivit.

La vision de la Scurit des SI doit tre semblable, au dtail prs quelle nengendre pas

de gain en premier lieu, mais elle vite des pertes (lies un sinistre). Bien apprhende,

la scurit des SI ou plus simplement la scurit de linformation, peut apporter un

avantage concurrentiel. Lapproche de la Scurit de linformation est donc un enjeu

financier et mme stratgique pour les organismes.

Il faut donc penser et concevoir la Scurit des systmes dinformation comme un

investissement. Et en cela, cest un vritable chantier.

Cest lobjectif de ce livre blanc : Faire prendre conscience de lenjeu scuritaire et

prsenter dans ses grandes lignes, les contours dune approche gagnante de la Scurit

des SI. Ainsi dans cette perspective, sensibiliser et former lensemble des acteurs de

lentreprise et des organismes, est une premire pierre ldifice.

Naturellement ce livre blanc est une synthse et de fait nest pas exhaustif. Le terme

gnrique dOrganisme sera employ pour dsigner globalement les entreprises,

organisations, administrations, collectivits territoriales, .



4/32

LivreBlancduGroupe4


A Propos de lAuteur

Bruno DOUCENDE est Consultant indpendantspcialis en Scurit des Systmes dinformation.

Ingnieur en Informatique EFREI, aprs plusieurs

annes en Socit de Service en tant qu'Ingnieur

d'Etudes & Dveloppement et Chef de Projet, Bruno

DOUCENDE a pris en charge, la direction dunits de

Recherche & Dveloppement en conception logicielle et

en exploitation dinfrastructures dans le domaine des

systmes dinformation et des NTIC.

Il a assur des missions responsabilit oprationnelle,dorganisation, de pilotage, daudit, de stratgie & conseil, et de management dans la

conception, le dveloppement et lexploitation de systmes dinformation pour divers

secteurs dactivits : le mdical, les transports, les administrations, collectivits locales,

lAronautique, Industrie, Les socits de services, ...

Ces expriences l'ont amen tre en permanence au contact des problmatiques et

besoins des entreprises et ainsi apprhender et participer leur stratgie globale dans un

contexte concurrentiel, o la scurisation de leur Systme dInformation constitue un enjeu

majeur.

Fort de ces expriences professionnelles russies, Bruno Doucende accompagne

aujourdhui les socits, en tant que consultant sous lenseigne Synertic Conseil.

Il anime des sminaires sur la scurit des systmes dinformation en France et

lInternational, auprs des petites, moyennes et grandes entreprises, administrations et

ministres. Il les accompagne et les assiste dans llaboration et le suivi de leur politique

de scurit des SI.

Au sein des Ecoles d'Ingnieur-Manager et Centre de Formation du Groupe 4, Bruno

DOUCENDE a pris en charge le ple Scurit des SI et intervient comme enseignant dans

les domaines de la Scurit des Systmes dInformation, du Management de la Qualit,

de lIntelligence Economique. Il fait galement parti des consultants qui encadrent et

assurent le suivi des projets Sim Game , mettant en situation relle un projet

denvergure, sur un systme dinformation avec des quipes de 20 50 personnes durant

plusieurs mois.



5/32

LivreBlancduGroupe4


Sommaire

Contexte .................................................................................................................................. 6

La scurit des SI : Effet Marketing ou Rel Besoin? ........................................................ 9

Lhomme : le maillon faible ................................................................................................. 13

Les codes malicieux : Vritable pandmie ........................................................................ 16

Vulnrabilit et Intrusion : le vol ltalage ...................................................................... 18

La protection de linformation ............................................................................................ 19

Les aspects juridiques ........................................................................................................ 21

Concevoir des solutions scurises : Une ncessit ...................................................... 22

Management de la scurit : une vision globale .............................................................. 25

De la Protection la Maitrise Stratgique de lInformation ............................................. 28

Le RSSI : une comptence transverse, un rle stratgique ............................................ 29

Conclusion : La Scurit, cest laffaire de tous ! ....................................................... 30



6/32

LivreBlancduGroupe4


Contexte

La socit de linformation : Une vidence

Une information est une donne qui a un sens. En fonction dun modle dinterprtation,

une donne constitue une signification pour une personne au moment o celle-ci va en

prendre connaissance.

Une information peut apporter celui qui la dtient un avantage substantiel. On parle alors

de valeur de linformation. Quelque soit les domaines, la connaissance ou la maitrise de

linformation peut savrer un atout dcisif.

Cela est vrai depuis la nuit des temps. Mais aujourdhui, grce lessor des technologies

de linformation et de la communication, la gestion de linformation devient plus aise etplus efficiente.

Aujourdhui, qui pourrait nier lomniprsence de loutil informatique dans nos quotidiens,

que ce soit dans le domaine professionnel ou la maison.

Lenvironnement et les outils numriques se sont propags partout, la simplicit et la

facilit daccs et de manipulation de linformat

Loutil informatique a permis doptimiser

lacquisition, le traitement et la production

ion, sous toutes ses formes, est une ralit.

ajorit des

es systmes dInformation : Un atout majeur

ence est pre, pour assoir leur position

de productivit. Pour rpondre ces

dinformation. Linterconnexion dessystmes et le dveloppement des rseaux

a complt les possibilits de partage, de

diffusion et de communication de cette

information.

Bien videment, lactivit conomique ny a

pas chappe. Si bien que la m

entreprises ne peuvent plus se passer de

leur systme dinformation.

Dpendance

des

entreprises

vis

vis

de

leur

SystmedInformation(Clusif2008)

L

Dans le contexte de mondialisation o la concurr

les entreprises sont en qute de comptitivit,

ncessits, les technologies de linformation et de la communication, sont devenues

incontournables dans le quotidien des entreprises. La maitrise et la ractivit de

linformation constituent un avantage stratgique. Les systmes dinformations sont un

enjeu, un dfi pour les entreprises, organismes et administrations. Ainsi les Systmes

dInformation ont un primtre fonctionnel de plus en plus large et complexe avec une

exigence dadaptation et dvolutivit trs importante et vloce.



7/32

LivreBlancduGroupe4


Si les technologies de lInformation et de la communication sont aujourdhui un facteur de

progrs et de croissance incontestable pour les entreprises, elles sont aussi leur talon

Linscurit des SI : Des exemples foisons

simplement travers

e de virus

ier n

ne pas omettre, concerne les dfaillances

u systme dinformation, cause de pannes, de mauvaises utilisations ou catastrophes

organisme. Il y a encore quelques annes, cette inscurit des SI avait des consquences

leinement le potentiel des autoroutes de linformation.

dAchille. Une dpendance trop forte et une complexit non matrise, sont synonymes de

faiblesse potentielle, si elles ne sont pas gres.

Grce aux medias ou tout


des expriences autour de nous, les exemples

de malveillance visant les systmes

dinformation sont nombreux :

Les ordinateurs incontrlables et

inutilisables causinformatiques.

Lintrusion par un pirate dans un rseau

engendrant le vol dinformations.

Le nombre de sites web dfigurs par

des groupes de cyber-tagueurs.

Les logiciels espions (spyware) installs

discrtement sur nos ordinateurs pour p os habitudes, nos comportements,

nos donnes.

Au-del de la malveillance, un autre aspect,

d

naturelles, les rendant totalement ou partiellement inutilisables.

Tous ces exemples peuvent avoir des consquences graves voire vitales pour tout

limites, mais aujourdhui nous sommes entrs dans lre

industrielle . Effectivement, les attaquants cherchentdsormais montiser leurs mfaits.

Nous sommes passs des bandits de grands chemins aux

organisations criminelles structures et dtermines exploiter

p

90% des socits ontsubi au moins une

attaque, dont 20% ont

provoqu un sabotage

dedonnes.

(FBI:2005)

0%

20%

40%

60%

80%

100%

Virus Spywares Intrusions

84%80%

33%

Rpartitiondesdattaquessubiesparlesentreprises(FBI:2005)


8/32

LivreBlancduGroupe4


La cybercriminalit : Mutation des crimes et dlits

oute activit, toute innovation synonyme de progrs, peut

ents illicites. Le domaine des

chnologies de linformation et de la communication ny

itoyens et des activits conomiques. Les atteintes peuvent porter sur le

et de la libert individuelle.

caractristique de cet espace est la dmatrialisation, le caractre pseudo-virtuel et la

ultitude de proies presque en simultan, dmontre que

de

actions spcifiques aux Technologie de lInformation et la Communication

(virus, vol de donnes, escroquerie en ligne, ).

le

scurisation.

chnologies peuvent

nrer des traces, des empreintes numriques et servir de rservoir de preuves,

pensables pour les enqutes et ventuelles poursuites condition davoir mis en

T


engendrer aussi des comportem

techappe pas.

Ainsi, la cybercriminalit est une application et adaptation des

crimes travers les nouvelles technologies, dont les

consquences peuvent tre particulirement srieuses pour la

scurit des c

plan de la dignit, du patrimoine

En

2005,

selon

une

enquteduFBI,lecoutde

la cybercriminalit aux

USA a reprsent plus de

67milliarddedollars.

La dlinquance a toujours exist et sest toujours adapte aux diffrents espaces

(terrestre, maritime, arien). Aujourdhui avec les technologies de linformation et de la

communication, un nouvel espace est disponible. Lespace informationnel. La

capacit tre en relation instantanment avec potentiellement plus dun milliard

dinternautes en un clic de souris.

De ce fait, un sentiment de virtualisation incite certains, franchir aisment les barrires

lgales et morales quils nauraient certainement pas franchir dans les autres espaces.

De plus, la facilit dagresser une m

cette dlinquance a un potentiel de nuisance trs considrable.

La cybercriminalit se dfinit comme tous les types de dlits perptrs travers ou lai

dinternet ou autres rseaux de tlcommunications. Elle se caractrise par trois types

dinfractions :

Les infractions relatives au contenu (insultes, xnophobie, pdophilie, ).

Les infractions relatives la proprit intellectuelle (musique, vido, logiciel, ).

Les infr

Les proies, utilisatrices des rseaux de tlcommunications, sont multiples : le simpparticulier, les enfants, les organismes, les entreprises et les Etats. Dailleurs les tats ont

pris conscience de ce flau et adaptent leur politique de

Face ce tableau plutt noir, un lment est plutt positif, malgr le pseudo anonymat

peru par certains dlinquants, les systmes dinformation et les te

g

indis

uvre ces rservoirs !


9/32

LivreBlancduGroupe4


La scurit des SI : Effet Marketing ou Rel Besoin?

Comme nous lavons vu prcdemment, les systmes

dinformation sont devenus un des lments nvralgiques

dans le fonctionnement et la performance des divers

organismes (Entreprises, administrations, ). De ce fait, en

cas de dfaillance totale ou mme partielle le fonctionnement

de lorganisme sera fortement perturb.

De plus, le systme dinformation renferme des donnes

prcieuses, certaines de ces donnes sont propres lentreprise, dautres concernent des

tiers comme les clients, les partenaires, Ainsi, la perte ou laltration de ces donnes

peut constituer un prjudice parfois fatal. En complment, dans un contexte de plus en

plus concurrentiel, linformation reprsente une valeur et donc une convoitise. Cesdonnes peuvent tre drobes sans que personne sen aperoive, mme postriori,

la diffrence dun vol dun porte monnaie par exemple.

Imaginez les consquences si un concurrent pouvait accder, en toute discrtion, aux

donnes de la politique tarifaire dune entreprise. Malheureusement ce type de situation

nest pas de la fiction !

Compte tenu de lenjeu conomique et financier, cette forme de criminalit sest

dveloppe ces dernires annes, tel point que pour certaine organisation mafieuse,

cette opportunit devient plus rentable que le commerce de la drogue. Sur lchelle de la

maturit, ce type de criminalit est lge de ladolescence. Outre les supports actuels,lessor prochain de lultra-mobilit, la convergence de la voix, limage, de la domotique, les

puces radio frquence, les nanotechnologies, offrent un terreau prolifique.

Ainsi, pour les entreprises et organismes, petites ou grandes, prendre en compte ces

risques notoires en perptuelle volution, est donc devenu une ncessit. Cest une

question sinon de survie, au moins defficience.

Llaboration dune politique de scurit est une obligation. Mais cette laboration ne doit

pas rester un alibi pour se donner bonne conscience. Lobjectif rside dans la pertinence

et la mise en pratique de processus orients Scurit du SI. C'est--dire appliquer et faireappliquer une politique scurit en phase avec le contexte de lorganisme.

Les dfaillances en matire de scurit dun systme (cela est vrai quelque soit le

domaine), rsultent de la conjonction simultane ou spare de deux facteurs :

1. Lerreur humaine quelle soit volontaire ou non.

2. Les faiblesses du systme sous forme danomalies ou de dfauts dentretien.

Par analogie, on peut transposer ce constat, dans le domaine de la scurit routire, o

laccident peut tre caus par :

1. linattention, le laxisme, lindiscipline ou lincomptence du chauffeur.

2. le dfaut du vhicule suite une anomalie, une ngligence dentretien, ou du

mauvais tat de la route ou de la signalisation.

Enjuillet 2008, une carte

rseau dfectueuse du

systme de la tour de

contrle a engendr la

fermeture temporaire de

laroportdeDublin.



10/32

LivreBlancduGroupe4



Noubl

victime

utre chauffeur que lon a crois au mauvais

me ne

nique pour empcher les

it tre

Une politique de scurisation doit associer

face des risques et aux organismes qui sont en

ions pas que, sur la route, on peut tre

dun accident cause de lerreur dun

a

moment au mauvais endroit. En matire de

scurit des Systmes dInformation, on peutgalement tre une victime de la ngligence

dautrui !

Contrairement aux ides reues, la scurisation

dun systme dinformation dun organis

consiste pas mettre uniquement en uvre une forteresse tech

assaillants externes dy pntrer. Si cela est forcement ncessaire, elle nest pas

suffisante car 80% des problmes de scurit des systmes dinformation proviennent de

lintrieur des organismes. Paradoxalement, le maillon faible en terme de scurit

informatique, est lhomme.

En matire de Scurit, le risque zro nexiste pas et aucune protection nest infaillible.

Lobjectif de la scurisation est donc la prise de conscience du risque, son valuation et la

mise en uvre de parades pour le minimiser.

Objectifs

Il convient de rappeler les cinq objectifs de la scurit des systmes dinformation :

lauthentification, permettant de vrifier quune entit est bien celle quelle prtendtre

l'intgrit, c'est--dire garantir que les donnes sont bien celles qu'on cro

la confidentialit, consistant assurer que seules les entits autorises aient

accs aux ressources

la non rpudiation, permettant dviter une entit de pouvoir nier avoir pris part

une action

la disponibilit et la continuit de service, permettant de maintenir le bon

fonctionnement des systmes

sensibilisation, rigueur, technique, organisation,

procdures, surveillance, ...

Une politique de scurit nest jamais dfinitive

perptuelle volution.

La scurisation dun systme dinformation est

donc indispensable pour la protection dupatrimoine et de limage dun organisme. La


11/32

LivreBlancduGroupe4


scurisation des systmes dinformation consis

ncessaires contre les dommagessubis ou cau

de lacte volontaire, involontaire ou malveillant du

lorganisme.

Menaces et Modes Opratoires

En matir

te mettre en place les protections

ss par loutil informatique et dcoulant

n individu, quil soit externe ou interne

e de scurit des Systme dInformation, on dnombre sept menaces. Trois

tantes :

Dgradation de limage de marque.

urnement dactivit via les technologies de lInformation et de la

lisation

ire

de plus en plus nombreux avec une forte

arnaques), Scam, Intrusions, Piratage, Typosquatting,

dans les pages suivantes.

r les systmes dinformation comme

it Sun Tzu, philosophe chinois du Vme sicle Av JC, pour

et ses intentions ventuelles.

r quelques ennemis potentiels :

ion qui agit des fins pcuniaires ou idologiques :

pes terroristes.

ent conomique.

menaces concernent directement linformation :

Perte et destruction de donnes.

Modification de donnes.

Interception de donnes (vol et espionnage).

La quatrime menace concerne la continuit des process :


Indisponibilit des systmes.

Les trois menaces suivantes sont souvent oublies mais sont tout aussi impor

Dans9cassur10,lapertetotale des donnes

entrane la fermeture de

lentreprise.

Dto

communication.

Sanctions juridiques pour dfaut de protection de donnes des tiers ou uti

prohibe (mme involontaire) des technologies, par les membres dune entreprise.

Ces menaces sont gnres par une multitude de modes opratoires. Un mode oprato

peut dailleurs engendrer plusieurs menaces simultanment.

Les vecteurs opratoires de ces menaces sont

progression ces dernires annes. Virus, Spyware, Botnets, Troyens, Vers, Hoax,

Phishing, Ingnierie sociale (

Dfaillance, Incendies, Catastrophe naturelles, Mauvaise utilisation, en sont quelques

aperus dont certains seront dtaills

Les ennemis

On compare souvent la lutte contre la malveillance su

une guerre. Et comme le disa

gagner une bataille, il faut bien connaitre son ennemi

Concernant les systmes dinformation, on peut liste

Le pirate ou lesp

o Organisations criminelles, Mafias, Grou

o Organisations tatiques.o Socits spcialiss dans le renseignem


12/32

LivreBlancduGroupe4


Le pirate ludique qui va uvrer par plaisir intellectuel

Les Scripts Kiddies ou pirates dbutants, souvent des adolescents, qui vont tester

des attaques quils ont dcouvert par exemple sur internet

Lemploy mcontent de ne pas avoir obtenu ce quil voulait

s informations.

ues, Manipuler.

ource, Saboter les donnes o

stme pou

n autre systme.

Dans le cadre dun organisme, nous pouvons cartographier les attaques ou modes

trusion, rebond et propagation.

Leurs objectifs sont multiples :

Dsinformer ou Dstabiliser, Rcuprer de

Frauder, mettre en uvre des arnaq

Empcher laccs une ress u les systmes.

r rebondir et attaquer Prendre le contrle dun systme, Utiliser un sy

u

Les types dattaques

opratoires en six principales familles :

Pannes, Accidents, catastrophe naturelles, vol de ressources matrielles.

Mauvaise utilisation ou malveillance des employs.

Manipulation des employs par ingnierie sociale.

Code malicieux.

In

Accs du contenu illicites.


Mauvaise utilisation

Malveillance

Ingnierie socialernaque, Manipulation)

hes Naturelles

ions, vers

Catastrop

Codes malicieux :Keylogger, botnets, sniffer,

(A

Virus, Spyware, Troyens,

Intrus

Rebond, propagation

Donnes

Web : Contenu illicites


13/32

LivreBlancduGroupe4



Lhomme : le maillon faible

Lvolution et la mise en place de solutions techniques

de scurit rendent la tche des pirates de plus en plus

complexe pour pntrer dans les systmes

dinformation. Ainsi, il est plus simple pour eux de

ystme dinformation, de

afin que cet utilisateur

irement contourner les

appelle

ous pouvons laborer la meilleure politique de scurit, en terme technique,

organisationnelle, si les utilisateurs sont ngligents et non sensibiliss aux risques, notre

ffondre.

aque, qui consiste manipuler les personnes afin

e court-circuiter les dispositifs de scurit. Lingnierie sociale utilise des prdispositions

moindre effort,

sport,

ychologiques de la nature humaine vis--vis de lautorit :

lit ), la sympathie (compassion, pointshrence (base sur un langage commun)

Mode dattaque

La mise en uvre dune technique dingnierie sociale ncessite trois lments :

1. Une phase de renseignement effectue par lattaquant pour identifier et cerner

langle dattaque de la ou les victimes. Cette phase est souvent facilite par la

victime elle-mme (blog, site web, interview dans la presse,).

2. Lusurpation didentit o lattaquant se fait passer auprs de la victime pour une

autre personne ou entit (connue ou identifie par la victime).

3. La manipulation elle-mme en usant les leviers psychologiques : Manque

daffection, bons sentiments, peur, go, appt du gain, penchants spcifiques,

Diffrentes techniques

La phase dusurpation didentit est mise en uvre par une prise de contact par divers

moyens : tlphone, rencontre directe ou par mail, notamment laide du SPAM.

Le SPAM, ou envoi massif de courriers indsirables, prsente des contenus trs varisprincipalement pour des sollicitations commerciales. Au del de laspect qualitatif des

solliciter un utilisateur de ce s

le manipuler (ou larnaquer)

puisse laider involonta

dispositifs de scurit. Cest ce que lon

lIngnierie sociale.

N

politique de scurit se

Lingnierie sociale est donc lart de larn

d

humaines qui sont :

les attitudes naturelles comme le laxisme, le choix du

lattirance naturelle telle que les jeux, le charme, le

les tendances ps

(intimidation, dangers, culpabila cocommuns, ), la rciprocit,

,


14/32

LivreBlancduGroupe4


produits proposs, cela constitue une

vritable problmatique dengorgement des

erveurs et messagerie et des boites aux

lettres. La Facture est estime

milliard d. Le SPAM est aussi ule cheminement de code malic

phase de prise de contact dans

sociale. Les techniques les plus

pour contacter les utilisateurs futur

sont varis. Voici quelques modes

e Phishing. A travers un e-mail dun faux

ifi, afin de lui drober son identifiant et mot de passe.

Cette technique est trs prise pour dtourner des

falsifi est remplac par un faux serveur vocal. On parle ici

(contre

ant

ureux gagnant une loterie.

appelle

premier rempart

dingnierie sociale, cherchent obtenir le mot de passe dun

tification.

ujourdhui, lutilisation dun login (identifiant) et mot de passe est encore le systme

25%

23% 22%s 20%plus de 10

tilis dansieux et la

lingnierie

utilises,

s victimes,

:

0%

5%

10%

15%

USA Chine Coredusud

10%

L

expditeur (usurpation de marque, par

exemple une banque) lobjectif est de proposer au destinataire un lien hypertexte pour

lemmener vers un site web fals

Top3:ProvenancedesSPAM


sommes par virement.

Depuis peu, cette technique sadapte puisque le site web

de Vishing (Contraction du VoIP et Phishing).

Le Scam connu sous la dnomination de SPAM Nigria :

le but est dextorquer des fonds en faisant miroiter delargent. Par exemple une demande daide

rcompense) au rapatriement de plusieurs millions deuros ou une notification annon

Un grant dun cybercaf

Camerounais, responsable

dun rseau de SCAM est

interpell en 2006 aprs les

plaintes de plusieurs victimes

franaises, pour un prjudice

de

500000

.

que vous tes lhe

Dans ces cas, lattaquant va recruter un deuxime profil de victime, ce que lon

des mules, pour rpondre une problmatique : Comment rcuprer les fonds

illgalement acquis par phishing, scam, ou autre en brouillant les pistes dune ventuelle

enqute ? A travers du SPAM, lattaquant va proposer des jobs des internautescrdules (les mules), pour servir dintermdiaire des flux financiers contre commission.

Il sagit l darnaques plusieurs tages , o leurs auteurs font preuve de beaucoupdingniosit.

Le Mot de Passe: le

Trs souvent, les auteurs

utilisateur. Ce ssame lui permettra de pntrer dans le systme dinformation.

Effectivement, laccs un systme dinformation requiert une authen

A

dauthentification plus rpandu. Le mot de passe revt donc une dimension particulire en


15/32

LivreBlancduGroupe4


matire de scurit. De fait, il existe des techn

dcouvrir (ou cracker) un mot de passe :

Attaque par force brute : Tester toutes

Attaque par dictionnaire : Tester descommun et nom propre).

Keylogger programme malicieux qui en

Sniffer programme malicieux qui coute

Ainsi, le canal dchange par lequel transite les

iques et outils permettant de drober ,

les combinaisons possibles.

mots et combinaisons de mots usuels (nom

registre les touches saisies sur un clavier.

les transmissions dun rseau.

mots de

asse, doit tre scuris (crypt) et le contexte de

aisie garanti (antivirus contre les keylogger). Les trois

sont :

minuscules,). Eviter de

d

d de

du

s m

M

Les attaquants exploitent le ma

) :

n place des procdures notamment pour :

o Lidentification et la vrification des interlocuteurs sollicitant un utilisateur

(viter la confiance spontane).

dtonnement) vers les suprieurs hirarchiques.

Dautre part, la mise en place de solutions de filtrage demails ou Antispam devient


p

s

rgles importantes de gestion dun mot de passe

Complexit : nombre de caractres lev,

caractres tendus (chiffres, signes, majuscules,

choisir le login, le nom,

un proche), un mot l'eprnom (personnel ou

cours ou 'une anne

Changement rgulier

Utilisation de plusieur

oyens de Prvention

nvers, un mot suivi de l'anne en

naissance,

mot de passe.

ots de passe selon le niveau de confidentialit voulu.

nque de connaissances des utilisateurs pour contourner

les dispositifs de scurit. Il faut donc vis--vis de lensemble des collaborateurs dun

organisme (employs, stagiaires, sous traitant,

Les sensibiliser et les former vis--vis des risques

et enjeux.

Mettre en place une Charte dutilisation, rglement

intrieur de scurit qui dfinit les Droits et

Devoirs vis--vis de lutilisation du systme

En 2008, seulement 38% desentreprises communiquent sur

lascurit.

50 % dentreprises dclarentdisposerdunechartescurit.

dinformation. Mettre e

o Faire des comptes-rendus (

o

indispensable au sein des entreprises et mme au niveau des particuliers. Elles

permettent dune part de bloquer souvent les sollicitations malveillantes mais galement

dviter lengorgement de la messagerie.


16/32

LivreBlancduGroupe4



Les codes malicieux : Vritable pandmie

La problmatique des codes malicieux, terme gnrique regroupant les logiciels de type

virus, spyware, cheval de Troie et autres, est connue de tous. Linscurit informatique est

souvent associe Virus. Les codes malicieux sont des programmes logiciels dont le but

dangereux.

es codes malicieux sattaquent toutes les

On peut citer divers types de codes malicieux :

olontaire de la victime (e-mail, pop-up).

f.

n r

stme.

ea .

e

utilisation des possibilits de scripts applicatifs (Word, Excel, ).code malicieux sur un systme

i auparavant lobjectif des crateurs de codes malicieux tait de relever des dfis

rendre le contrle sans que leur propritaire sen

aperoive. On dit que ces ordinateurs sont alors des zombies.

est de nuire. Il sagit l du risque premier en terme dattaque. Leur nombre a

considrablement augment ces dernires annes et ils sont de plus en plus

L

plates formes systmes (Windows, Linux, Mac

OS, ) ainsi que les PDA (agendas

lectroniques), Smartphones (tlphones

portables), consoles de jeux,

Autre tendance, sur le plan technique, lesnouveaux logiciels malicieux sont de plus en

plus polymorphes, c'est--dire qu'ils changent

leur code chaque fois quils sont activs

(excuts), ce qui rend la lutte plus difficile.

Le no

malvei

Plus d

font

mbre dun millions de logicielsllantsatdpassen2008

e 3200 nouveaux virus ou variantesleurapparitionchaquemois.

(F-Secure 2008)

dattaques virales lors du 1er

e2005(RapportIBM):

ncesgouvernementales:50millions

eurindustriel:36millions

Nombre

semestr

Age

Sect

Secteurfinancier :34millions

Types de codes malicieux :

Virus : la propagation utilise la complicit inv Vers : la propagation est autonome via rseau (sans action dun utilisateur).

Troyen (cheval de Troie) qui dissimule son aspect nocif en prenant laspect

extrieur dun programme inoffensif ou attracti

Backdoor qui installe une porte drobe, permetta

dans un sy

t un attaquant de pntre

Sniffers, systme dcoute des communications rs

Keyloggers, systme enregistreur (logiciel ou matri

Bombes logiques qui se dclenchent sur vnement

Virus macro :

u

l) des touches clavier.

particulier (anniversaire).

RootKit qui permet de maintenir la prsence dun

compromis par lutilisation de techniques de furtivit (cacher des processus,

fichiers, clef de registre, ).

Hoax qui est un canular avec pour objectif lengorgement ou la dsinformation.

S

techniques, de semer le trouble, dsormais leur motivation est tout autre. Le but est de

gagner de largent . Les botnets (rseaux de robots) en sont de bons exemples. Aprs

avoir contamin des milliers ou centaines de milliers dordinateurs (bots), lattaquant (le

gardien des bots ou botmaster) peut en p


17/32

LivreBlancduGroupe4


Ainsi, lattaquant utilise

saturer des sites web (dni de service) en concentrant des milliers de sollicitations

t ont t rendus

ls

u site de concurrents ou de

t

Les spywares sont des programmes chargs de recueillir des informations sur l'utilisateur

nt installs. On trouve trois types de spywares :

(saisie des URL, Mots-cls,).

). Dailleurs

logiciels que lon accepte

nt

de

cette arme de zombies, vritable force de frappe pour :

simultanes.

envoyer des millions de courriers de type SPAM, phishing. fouiller et drober le contenu des ordinateurs zombies.

On assiste donc

du cyber racket : des sites Interne

inaccessibles pendant plusieurs jours car i

de payer une ranon.

la location de Botnet pour lenvoie de spam, p

des denis de service d

En aout 2008, lesautoritsnerlandaises

ont arrt un

botmaster de 19 ans

l

Shadow

machines

qui tait a tte du

botnet

contrlant plus de

100000

zombies.

avaient refus

our procder

lespionnage industriel, et mme des guerres entre gangs maitrisan

Espiogiciel ou spyware :

des Botnets !

de l'ordinateur sur lequel ils so

Commerciaux : Profilage des internautes

Affichage de bannires publicitaires.

Mouchard : Rcupration de donnes personnelles.

Linstallation des spywares seffectue gnralement en mme

temps que dautres logiciels (freewares, sharewares, 33% de tous les

Windows, sont caus

pardesspywares.

on/OCA,

disfonctionnements

des applicationscette installation nest pas forcment illgale car elle est stipule

dans conditions dutilisation des

aprs les avoir lu consciencieusement ! Mais les spywares peuve

tre illgaux selon la nature des informations trackes . (MS Wats2004

Protection et Prvention

La protection contre les codes malicieux passe par la mise en place de suites de scurit

intgrant antivirus, antispyware, antirootkit, parefeu personnel (pour surveiller les

changes entre lordinateur et lextrieur). Pour contrer lvolution permanente des codes

malicieux, il est vital de souscrire aux mises jour temps rel de ces suites

curit.s

Il faut nanmoins tre conscient, que cela ne constitue pas une protection infaillible. Etre

vigilant avec les sites que lon consulte, le contenu des e-mails que lon ouvre, les logiciels

que lon installe, les supports dchange que lon utilise (cl usb, ), constitue un premier

niveau de prvention



18/32

LivreBlancduGroupe4


Vulnrabilit et Intrusion : le vol ltalage

Une intrusion dans le systme dinformation correspond laccs non autoris une

prise ou un rseau wifi,eur.

Cette notion dautorisation est dfinie par le responsable du SI et

partie du systme dinformation (un employ

r des vulnrabilits ou des failles dun systme ou dune

x, utiliser lingnierie

multiples pour leur auteur : Utiliser le SI pour des attaques

s de jeux,

e Rseau,

it par le code pnal

m i a s

s

ions, sont

s (logiques et physiques), Paramtrage limi

dapprobation ou refus des ressources, isolation du rseau sans fil, ).

Mise jour des systmes (logiciel et matriel) contre les failles et vulnrabilits.

des fichiers de trace (log)o Outil de dtection de changement de contenu de site web

ressource logique. Par exemple, pntrer dans un rseau dentreparcourir et accder aux donnes dun ordinateur, dun serv

U

protg,

i

m

p

n ordinateur non

connect

nternet subit en

oyenne100attaquesarjour.

sentend sur tout ou

peut tre autoris accder certaines fonctions du SI et pas

dautres).

Ce nest pas parce que le SI nest pas, ou mal protg, que cela

re un droit ou une excuse dinconf trusion. Nanmoins, un SI mal

protg est sujet des tentatives et tentations dintrusions.

Les procds sont divers : profite

application, de mauvais paramtrages, utiliser des codes malicieu

sociale pour la rcupration de mots de passe, ...

Les intrusions ont des objectifs

par rebond (utilisation dun SI tiers pirat pour attaquer la cible voulue), Dfiguration de

site Web, Altrations ou vols de donnes (en forte croissance).

Tous les systmes sont concerns : Ordinateurs, tlphones portables, console

ments rseaux, Les intrusion touchent aussi bien les couches matrielles qul

Systmes ou Application.

Du point de vue juridique, en France, le Dlit dintrusion est pun

(L.323-1) de 1 an de prison et 15 000 damende. Cette peine est

ans de prison + 45 000 ) en cas daltration, suppression de donne

Protection et prvention

Les lments de prvention et protection en matire dintrus

ultipl e p r troi (3

(L.323-3).

:

Restriction des acc tatif.

Identification des utilisateurs (mot de passe, certificat lectronique, biomtie,). Filtrage et validation des changes : Firewall.

Infrastructure rseau compartimente (pour limiter la propagation).

Protection des rseaux sans fil (activation des systmes de scurisation basique,

liste

Systmes de dtection :

o IDS / IPS : Dtection automatique dintrusions via analyse des changes

o Pot de miel/ Honeypot : attirer les intrus vers des leurres pour les identifier

o Analyse



19/32

LivreBlancduGroupe4


La protection de linformation

La protection de linformation est une des composantes majeures de la scurit dessystmes dInformation dans la lutte contre la perte, laltratio

malveillance ou autre) et le vol de linformation. On a deux types din

Linformation Secret Dfense dont la protection est rgie p

Linformation Confidentielle lie des secrets ou la disc

n des donnes (par

formations sensibles :

ar

r fe ne

a scurit de

ond lors

dchanges de donnes). Les solutions sont bases sur lutilisation de modles provenant

ents statistiques. Par exemple

s.

La redondance de systmes : Fail Over, Load Balancing, Stockage RAID.

de malveillance.

des peuples. Cest une exigence qui remonte la nuit des

les

mi

une x

quso

la loi.

tion pro ssion lle

rt et la

(en gnral rgie contractuellement).

La protection de linformation est assure par la suret dune p

linformation dautre part.

Information sensible

SURETE SECURITEScurisation contre lesmalveillances


La suret de linformation

La suret de linformation consiste protger la donne contre les perturbations ne

provenant pas dactes de malveillance (les pannes, dgradations, bruit de f

de lanalyse de comportem

La thorie des codes pour la dtection et / ou la correction derreur

La scurit de linformation

La scurit de linformation consiste protger la donne contre les actes

Lobjectif est dassurer lintgrit, lauthentification, la non rpudiation et surtout la

confidentialit de linformation.

Cet aspect a influenc lhistoire

temps, en rponse aux besoins dchanger en toute discrtion pour les gouvernants,

litaires, les diplomates, les bandits ou les amants passionns. On assiste depuis lors,

e poursuite entre ceux qui laborent les techniques de dissimulation et ceucours

i tentent de les briser , les cryptanalystes. En matire de scurisation, deux procdsnt disponibles.

COMSECTRANSEC Cryptolographie

Scurisation contreles perturbations

Pannes

Dgradat ion

Bruit de fond

Stganographie

Scurisation de latransmission :

Scurisation de lacommunication

Transposition

Substitution

Chiffre

Code

Message Brouill

Les lments du messagesont changs

les lettr

Changeles mots

les lettres du message sredistribues (changemelocalisation : anagramme)

on tnt de

Changees

Message cach


20/32

LivreBlancduGroupe4


La scurisation de la communication (COMSEC) : La donne

est transmise, mais incomprhensible. M

information (illisible) est communique; ce qui est en soit

j une information : le cryptanalyste sait quil ne sait pas !

cryptanalyste ne sait pas quil ne sait pas. La technique

dissimuler une

Pour le COMSEC, la technique utilise est la cryptologie, permettant de crypter ou

chiffrer des messages en les rendant incomprhensibles. Laction inverse, est ledchiffrement. On parlera de dcryptage pour le dchiffrement illgitime.

ocds fiables

hiffrement asymtrique

respectivement de chiffrer et dchiffrer (Exemple Algorithme RSA). Si ce procdsente linconvnient dtre trs lent.

t la non-rpudiation des transactions.


ais on sait quune

d

La scurisation des transmissions (TRANSEC) : La donne

et la transmission de celle-ci sont dissimiles : le

ChiffrementdeCsar:Il sagit dun des Chiffrements

les plus anciens. Il tait utilis

lettres de lalphabet. Par

dcalagede3

parJules

Csar.

Le

Principe

:

Substituer un caractre par un

autre via un dcalage des

exempleavecunutilise est la stganographie qui permet sur un support(la cl), veni, vidi, vici

devientYHQL,YLGL,YLFL .anodin dont lchange ne dclenche pas de soupon (fichier

Image, Fichier Vido, Fichiers son, ) de

information.

Trois types dalgorithmes permettent de procder la cryptographie :

Chiffrement symtrique : Une mme cl (cl secrte) permet de chiffrer et

Message enClair

Message chiffr

Cryptogramme

Cl de chiffrement Cl de dchiffrement

Message enClairAlgorithme de

Chiffrement

Algorithme de

Dchiffrement

Cryptanalyse :

dchiffrer (exemple chiffrement de Csar). Il sagit en gnral de pr

et rapides mais ncessitant un change scuris de la cl.

: un couple de cl : publique et prive permetC

rsout le problme dchange de cl, il pr

Chiffrement hybride : il sagit dun mixte des deux procds prcdant en

combinant les avantages de chacun (exemple le SSL pour protger les transactions

financire sur Internet).

Aujourdhui la cryptographie est un lment essentiel dans la scurisation des Systmes

dInformation. Elle permet :

La confidentialit des donnes sensibles qui sont stockes ou changes.

Lauthentification des ressources (signature lectronique, certificats numriques,

)

Lintgrit e

Dchiffrement illgitime

?!?

ExpditeurDestinataire


21/32

LivreBlancduGroupe4


Les as uespects juridiq

Les aspects lgaux et rglementaires ne doivent pas tre ngpo

s s e

re e m s

air

s

rusions : le vol ltalage

oi encadrant les e-mailing commerciaux

Proprit intellectuelle (loi du 11 mars 1957)

Lutilisation dune uvre de l'esprit (littraire, musical, artistique, logiciel). sans

consentement de son auteur relve de la contrefaon (300 K + 3 ans de prison).

Liberts individuelles (loi du 6 janvier 1978)

Toute collecte et stockage dinformation caractre personnel

est rglement avec une dclaration la CNIL. Linformatique

ne doit pas porter atteinte lidentit humaine, aux droits de

lhomme, aux liberts individuelles et publiques et la vie prive.

Contenus illicites

La diffusion de contenu (sur les rseaux de communication)

engage la responsabilit des diteurs et dans certaines

ent pour lorganisme si la

consultation provient de son Systme dInformation.

roduisant des lments techniques

tion, tre

ontre-attaques, qui seraient juridiquement

ligs dans le cadre de lascurit des systmes dinformation. Certes, il est ncessaire

conformer pour viter les risques de poursuites judiciaires mai

comme un lment de protection complmentaire. La lutte cont

par la sollicitation des forces de lordre et des autorits judic

adapts dans ce domaine ces dernires annes. Voici quelque

Intrusions dans un SI : voir chapitre Les vulnrabilits et int

ur les organismes de sy

il faut au si sy appuy r

la cyb rcri inalit pas e

es qui se sont fortement

lments considrer :

L

En France, la loi pour la confiance dans l'conomie numrique (LCEN) du 21 juin 2004

encadre lutilisation du e-mailling dans le cadre des emails non dsirs.

SanctionsPnales(Exemples):Falsificationdedocumentinformatique

:45K+3ansdeprison

Fraudemontique(viainformatique):de450 750

K+17ansdeprison

eceldedonnes(provenant

Escroquerie,usurpation

45K+de1andeprison

IntrusiondansunSI:

conditions les fournisseurs daccs et hbergeurs vis--vis de : R Latteinte la vie prive, La diffamation.

Lapologie et la provocation aux crimes et dlits,

Lincitation la discrimination, au suicide, la haine

dundlit):

350K+5ansdeprison

didentit:de350750K+de57ansdeprison

Voldedonnes:raciale, la violence,

Le Racisme, la Pdophilie, La Contrefaon (proprit intellectuelle) 45K+de3ansdeprison

Atteintesauxsecretdescorrespondances:La consultation de certains contenus (par exemple la pdophilie)

est passible de poursuites, notamm

En cas dinfraction ou de cyber agression , il ne faut pas

hsiter porter plainte en p

15K+de1andeprison

fiables qui aideront les autorits dans leur enqute. Dans la stratgie de scurisa

en mesure de collecter des empreintes numriques , des preuves, est primordial. Il nefaut surtout pas procder ses propres c

nfastes : Nul na le droit de se faire justice lui-mme !



22/32

LivreBlancduGroupe4


Concevoir des solutions scurises : Une ncessit

Gestion de lauthentification (Login/mot de passe, Cartes puce, Annuaires,

e,).

ry

isonnement (Firewall, Proxy, Reverse Proxy, DM

minimale, devrait tre une

dveloppement logiciel.uun vu pieux !

nti

nelles des clients. Il faut

Infrastructures scurises

Aujourdhui il existe de nombreuses solutions dans la protection et la prvention des

infrastructures techniques. Elles doivent rpondre une stratgie dfinie, en intgrant les

aspects suivants :

Primtre et Cloisonnement des rseaux.

Gestion de lauthentification, Goulets dtranglement.

Gestion du moindre privilge.

Confidentialit des flux.

Dtection, Traabilit, Supervision.

Parmi les solutions, on peut citer quelques exemples :

Infrastructure cls publiques, Biomtri

Protection des canaux de communication sensibles (VPN, C

Antivirus, Antispyware, Antirootkit,

Redondance des ressources critiques.

Paramtrage restrictif systmatique des Systmes.

ptage,).

Filtrage et Clo Z, NAT, ).

Dtection dintrusion (IDS, IPS), Pot de miel (leurres).

Journalisation (fichiers log), Monitoring des ressources.

Applications et systmes scuriss

Concevoir des applications scurises, c'est--dire fiables et

prsentant une surface dattaque


obsession pour les quipes deMalheureusement, cela reste encore souvent q

Si la notion de scurit est assez bien tabli dans lexploitation

informatique, cela est encore rare dans la conception logicielle

mme chez de grandes SSII ou diteurs de logiciels reconnus.

Alors que la scurit devrait tre une fonctionnalit part e

nglige face aux contraintes de dlais et aux exigences fonction

reconnaitre que des efforts considrables ont t raliss dans lapproche qualit logicielle

(grce aux normes et mthodologies), mais le volet scurit est encore le parent pauvre.

Pourtant, une application non scurise cote cher (correctif, image de marque, perte

re, elle est souvent

70 % des attaques destdessiteswebexploiten

failles de la couche

applicative et non des

couches systme ou

rseau.


23/32

LivreBlancduGroupe4



dexplo

lappro

Les failles ou vulnrabilits applicatives que lon rencontre sont principalement :

e par une application en lui envoyant un

cripting (XSS) Insertion par lattaquant de code HTML ou java script

Ce code est excut dans le navigateur

lattaquant de commandes SQL via des entres

r une instruction SQL excute dans lapplication.

essource (matrielle, logicielle, rseau,).

exploitent les points faibles ngligs par les quipes de dveloppement :

ns inefficace ou inexistante).

durant toutes les phases dun projet, depuis

onception il faut procder une

s les essentielles :

voir lchec, limprobable et

er en mode scuris.

s les entres.

Interception et traitement des exceptions.

itation, ). Je suis navr de constater encore le peu de formations dispenses sur

che scurit applicative aux futurs concepteurs de logiciels.

Buffer Overflow : Excution de code pirat

volume de donnes suprieur celui attendu causant une modification du flux

dexcution.

Cross Site S

dans une page web fourni par un serveur.

client.

SQL Injection: Insertion par

applicatives pour modifie

Dni de Service : Saturation dune r

eC s failles,

la confiance injustifie dans les entres (validatio

le manque de protection des donnes (stockage ou change en clair).

les problmes de configurations (gestion des privilges).

le traitement des cas improbables.

cLa s urisation des applications doit intervenir

s spcifications jusqu la recette. Durant lade phase de canalyse scuritaire pour rduire les potentialits de failles ou vulnrabilits.

En termes de bonnes pratiques de la scurit applicative citon

rCont

chou

le systmatique des codes de retour pour pr

Contrle et Validation de toute

Excution avec le moins de privilges possibles.

Non stockage dinformations confidentielles en

clair Non affichage de messages trop explicites (qui

aideraient de potentiels pirates).

Contrle des capacits des ressources avant les

traitements complexes.

Gestion du transactionnel.

Pour illustrer ces propos, je vais mattarder sur une exprience rvlatrice qui mest

arrive lors de lun de mes cours sur la scurit applicative. Cet exemple fut un cas

fabuleux en terme pdagogique.


24/32

LivreBlancduGroupe4


Lorsque vous prsentez des tudiants, les diffrentes techniques dattaques dun site

Internet, il ne faut pas attendre trs longtemps pour les voir mettre en application ce que

valuer la

L. Aprs

de visualiser la liste demails de cet

ait fort

pu

faire quelques achats sur le compte de cet infortun lve !

tockageet affichage des mots de passe des utilisateurs en clair.

auraient pu

aster du

e ce que lon vient de prsenter

en place dune politique de sauvegarde.faible ).

physique (verrouillage et surveillance des locaux,

trique, ).

continuation, qui dfini la mobilisation et les actions faire

arantir au SI une continuation dactivit

r un retour la normale rapidement.

marche : le management de la scurit.

vous leur montrez. Effectivement, il y a quelques annes, un tudiant a voulu

rsistance dun intranet dune facult (dont je tairai le nom) de linjection SQ

men avoir inform, cet tudiant a prsent lensemble de la classe, son exploit .Outre la vulnrabilit sur linjection SQL, cette technique lui a permis de pntrer dans

lespace restreint du site avec les droits Administrateur. Ce statut donnait la possibilit

daccder la totalit des listes dlves avec toutes leurs coordonnes, et pire, leur mot

de passe daccs en clair. Comme la plupart des individus utilisent le mme mot de passe,

il a t facile en prenant un utilisateur au hasard (son email et son mot de passe),

daccder au webmail de son oprateur internet, et

utilisateur malheureux. Une analyse trs succincte a mis en vidence que cet utilisateur

avait un compte sur un clbre site de vente aux enchres. Sans faire le test, il t

parier que son accs ce site tait protg par le mme mot de passe. On aurait donc

Cet exemple est lillustration parfaite de trois graves fautes de conception en matire de

scurit dune application logicielle (en loccurrence lintranet) :

vulnrabilit linjection SQL.

chec en mode non scuris (hriter du statut administrateur lors dune carence

didentification, due lintrusion).

s

Ces trois fautes, mettaient en dfaut la scurit des informations prives sur les lves decette facult et leur patrimoine. On imagine aussi, que des lves hacker

changer leur convenance les notes de partiels ! Pour la petite histoire, aprs avoir mis

en garde mon tudiant quil tait passible du dlit dintrusion, il a signal au webm

site les failles dcouvertes. Il sest vu propos un stage pour scuriser le site intranet !

Systme dInformation scuris

Scuriser un systme dinformation, cest mettre en uvr

f(les in rastructures et les applications), mais cest aussi :

La mise La gestion des aspects humains (cf. Lhomme : le maillon

La protection de lenvironnement

dtection incendie, protection contre le vol, redondance lec

Le Plan de reprise et de

en cas dincidents ou de sinistres, pour g

(mme dgrade) et assure

Bref il sagit l de la politique de scurit du SI. Pour tre efficace, llaboration de cettepolitique et son suivi doit suivre une d



25/32

LivreBlancduGroupe4



LivreBlancduGroupe4



Management de la scurit : une vision globale

Le Management de la scurit consiste mettre en uvre et appliquer une politique de

Scurit du SI globale et cohrente et adapt lorganisme. Son application permet de :

faire tendre vers zro les risques engendrs ou subis par le Systme dinformation.

limiter la perte dexploitation.

rduire les risques de pnalits et sanctions pnales.

prserver limage de marque et la confiance des clients, partenaires,

focaliser les ressources internes sur le cur de mtier de lentreprise.

Ce processus de management de la scurit de linformation a un prix. Le prix de la

scurisation est fonction de lacceptance du cot du sinistre potentiel. Pour valuer ce

cot, il faut prendre en considration une multitude de paramtres dont certains peuvent

savrer difficilement valuables :

Cot de la scurisation : Cot des systmes de protection et de prvention.

Cot li la charge de travail pour la mise en uvre

Cot des pnalits et sanctions pnales.

ge et perte de confiance.

rs au gain que pourrait en tirer

surdimensionner la scurit, aurisq fameux adage

tr

sc it

No e

Des re

SI.

ISO 17799 : cest la plus utilise en matire de scurit informatique, elle dfinit les

dit,

et le suivi de la scurisation.

Cot des assurances.

Cot de la complexit induite des infrastructures.

Cot li aux contraintes subies par les utilisateurs.

Cot du sinistre : Cot des dgradations matrielles et immatrielles.

Cot dinvestigation (honoraires dexperts, diagnostic, ).

Cout de perte dexploitation.

Cot de rparation, rcupration et reprise.

Seulement55%desentreprisessont dotes dune Politique de

responsables sont

didentifier les

budgetsconsacrslascurit"

scuritdelinformation(PSI).

31% desincapables

(Clusif2008)

Cot de dgradation de limaPour aider optimiser linvestissement de la scurisation, il faut se rappeler que lon a une

bonne protection si les moyens dattaque sont suprieu

lassaillant. Il nest donc pas forcement ncessaire deue de dgrader la productivit de lorganisme. Il ne faut pas oublier le

op de scurit tue la scurit . Lenjeu majeur en termes de management de la

ur est donc didentifier les priorits et de trouver le bon quilibre.

rm s et Mthodes

pres et rfrentiels sont disponibles pour aider btir la politique de scurit du

x principales normes sont :Les deu

objectifs et recommandations concernant la Scurit de lInformation. Il sagit en fait dunrfrentiel pour laborer une politique de scurit, une analyse de risque, un au


26/32

LivreBlancduGroupe4



Famille ISO

recommandati

uxquelles doit rpondre un SMSI (Systme de Management de la Scurit de

vec les normes cites ci-dessus.

p

rmet dvaluer les risques

polit

minimiser, c'est dire rendre acceptable le s risq

ologie consiste valuer pour chaque risque (li une men

que le risque surviennee de lorganisme et des mesures de scurit en place

quipements, solutions de prventions,humaines, ennemis potentiels,).

valuer la dfinition

et la mise en application de scurit du SI sur un

primtre donn (Entreprise, Direction, Service, ).

apacit assurer sa fonction), de robustesse

ens

de raction).

27000 : Cette famille propose des normes certifiantes, des normes de

ons et des normes sectorielles. En rsum, elle dfinit les exigences

a

lInformation). Elle repose sur la roue de Deming dit cycle PDCA (Plan, Do, Check, Act)

avec un ensemble dlments itratifs permettant un organisme :

i dtablir les objectifs et la polit que de scurit.

dappliquer cette politique.

de contrler latteinte des objectifs.

damliorer la politique de scurit.

Dautre part, il existe plusieurs mthodes (EBIOS, CRAMM,

MEHARI, OCTAVE, CALLIO, COBRA,) pour guider

lanalyse de risque, la mise en place de politique de

scurit ou daudit, en cohrence a

Lanalyse de risque

Lanalyse de risque est un processus pralable indispensable

it. Il pe

our tablir une politique de

par rapport au contextescurit ou procder un aud

de lentreprise.

Ainsi, partir de cette analyse, la mise en place dune

s diffrent

ique de scurit, sera de

ues pour lentreprise. En

synthse la mthod ace et unmode opratoire) :

La potentialit, c'est--dire la probabilit de loccurrenceen tenant compte du context(localisation, activit, enjeux commerciaux,de protection, organisation, comptences

Limpact, c'est--dire la gravit des consquences directes et indirectes, si lerisque se produisait en tenant compte des confinements, des palliatifs ou destransferts du risque qui pourrait rduire les consquences (sauvegardes, plans dereprise d'activit, assurances, ).

Laudit Scurit

Laudit consiste analyser et

v

dbranch, enferm dans un blockhaus

s gazmortels

e

a

p

G

d

S

Le seul systme informatique qui est

raiment sr est un systme teint et

ousterre,entourpardes

Il sagit dun Constat un instant T qui va valuer

les services de scurit en termes defficacit

(c

t des gardiens hautement pays et

rms. Mmedanscesconditions,jene

arieraispasmaviedessus.

ene Spafford, fondateur et directeuru Computer Operations, Audit and

ecurityTechnology

Laboratory.

(capacit rsister une action dinhibition) et de

mise sous contrle (capacit et rapidit dedtection de son dysfonctionnement et les moy


27/32

LivreBlancduGroupe4


Plan Stratgique de Scurit du SI dfinit la politique de Scurit

Le PSSI consiste laborer et dcrire le processus de mise en uvre de la scurisation

du systme dinformation en fonction de contexte et lenvironnement de lentreprise. Il

sagit dun processus itratif et continu face aux volutions de lorganisme dune part etes menaces et modes opratoires dautre part. Quelque soit lorgd

e


anisme, ce processus

idents, sans vision

locuteur clairement identifi ;

t jour ;

1), en rpondant un

otger et Pourquoi ? : Inventaire des actifs numriques, et Infrastructuresr ? : Inventaire des menaces et des modes opratoireses ? : Analyse des risques (potentialits, impacts)

e sauvegarde.

et Contrles, La Veille et Audit.

1

st trs important. Il ne doit pas tre gr au jour le jour, au gr des inc

globale. Le plan stratgique de scurit du SI doit :

tre sous la responsabilit dun inter

formalis sous forme de document e

valid par la Direction Gnrale ;

class confidentiel au sein de lorganisme.

Lapproche consiste laborer un SMSI (norme 2700

questionnement usuel. La dmarche itrative est la suivante :

- Quoi Pr- De Quoi les protge- Quels sont les Risqu- Comment Protger ?

Organisation, Mthodologie et Procdures.

Politique d

Protection et prvention des aspects humains.

Protection et prvention des ressources logiques.

Protection et prvention de lenvironnement physique.

Surveillances

Plan de reprise et de continuation.

Sans tre exhaustif, on peut synthtiser les actions de protection et prvention dun

organisme sur le schma ci-dessous.

Protection Physique(Vol, incendie, inondation, )

Anti-virus Anti-Spyware,

ids

Appliquer les Correctifs

mies tra

Firewall Compartimenter lerseau et les systmes

Dtecter les vulnrabilits Former et sensibiliser lesutilisateurs Charte dutilisation du SI

Consignes en casdattaque ou de doutes

Anti-rootk

IDS, Pot deAnalyse de

lces

Supervision, Veille,Surveillance

Scuriser et certifierles changes

Mise en uvre de procduresde scuritPlan de reprise et de continuit

Sauvegarde et protection dessupports Redondance des systmes

Classifier les donnes Protger des donnes Accs restrictifs

Donnes

Protger et isoler

les rseaux sans fil


28/32

LivreBlancduGroupe4


De la Protection la Maitrise Stratgique de lInformation

La guerre de linformation

Comme nous lavons voqu en dbut de ce livre blanc,

lespace informationnel s'ajoute aux espaces terrestres,

maritimes et ariens, ncessitant un ajustement tactique

et c


s uritaire. Cela entre naturellement dans le champ

de lades comptences rgaliennes des Etats. Lobjectif

er guerre guerre de linformation, de la cyb , du

nomie,

ux divers profils, contours des menaces flous, champs

r dfense". Aujourdhui, lensemble des nations intgre cette

rmes et leur dfense nationale.

curit, cest donc prendre en

formation est une cible, un

estissement, il devient opportun de

linformation, o en parallle de laspect purement

dfensif, on sintressera aussi laspect offensif. Pour cela, au del des rfrentiels, des

bonnes pratiques, il est important de faire preuve dadaptabilit, de raisonnement

stratgique, de remettre parfois en cause des usages et des conventions, bref de faire

appel lintelligence. Ainsi, la dimension scuritaire doit trouver une consolidation et un

prolongement naturel vers lintelligence conomique.

Lintelligence conomique : Sinformer pour dcider et agir

LIntelligence Economique est lensemble des actions de recherche, de traitement et de

diffusion (en vue de son exploitation) de linformation utile aux acteurs conomiques, pour

amliorer la comptitivit et mieux se protger. Lutilisation stratgique de linformation est

au cur de lIntelligence Economique: La bonne information, au bon moment, la

bonne personne. Linformation doit tre obtenue lgalement (thique des affaires) et

alimenter un processus de collecte et danalyse bas sur lintelligence collective, en

prenant en compte la sous-information, la sur-information, la dsinformation.

cyber terrorisme , est de paralyser lco

administration ou le quotidien des citoyens. La difficultl

de dfense rside dans les caractristiques de ces

guerres lies la gopolitique : assaillants multiples

Avril 2007, cyber affrontemententre russes et estoniens suite

Tallin dun

mmorial de soldats sovitiques.

Rapidement, l'Estonie,asubiune

srie dattaques importantes

(dnideservice,virus).Lescibles:

me

les

appels

aux

urgences

(ambulances, incendies) sont

plus

lenlvement

sitesgouvernementaux,banques,

mdiasetorganisationpolitiques.

Ma

de bataille largies, dlais de raction rduits, attaque en rests indisponiblespendanttemps de paix, Ainsi, suite des attaques de "cyber duneheure.guerre" lOTAN a dcid de crer son premier centre de

formation pour la cybe

dimension et procde ainsi ladaptation de leurs a

La dimension dfensive et offensive.

Au niveau des Organismes et des Entreprises, manager la s

, car lincompte (entre autres) la protection de linformationut rentrer dans un processus damlioration etobjectif pour les agresseurs . Si lon ve

mieux, raisonner en termes defficacit et dinv

considrer linformation aussi comme une arme, et de sen servir en consquence. On

parlera alors de maitrise stratgique de


29/32


30/32

LivreBlancduGroupe4



Conclusion : La Scurit, cest laffaire de tous !

La scurit est un des fondements de la gouvernance des systmes dinformation. La

issant les

ion des projets, en dveloppant des applications

c une vision stratgique en

oncordance avec le dispositif mtier de lorganisme. Mais la scurit sera efficiente si

systme dinformation est laffaire de tous.

les attitudes qui me

ublieras pas.

eras mais dtermin tu seras.

n synthtique, le processus de scurisation du

onscience

sation de

et manag par des individus avec

semble de lorganisme

formation, lasensibilisation et la veille continue.

Scurisation du systme dinformation est un processus itratif en quatre phases :

La Planification en sappuyant sur des normes et mthodes, en dfin

objectifs de scurit en adquation avec le mtier et en procdant une analyse de

risques.

La Mise en uvre en laborant un Plan Stratgique de scurisation des SI, en

intgrant la scurit dans la gest

scurises et en maitrisant linformation stratgique.

Le Contrle avec la supervision, le monitoring et la vrification laide daudits de

scurit et de tests dintrusions. LAmlioration continue.

Comme nous lavons vu, la scurit des systmes dinformation doit reposer sur un

responsable et son quipe. Ils doivent tre polyvalents ave

c

tous les acteurs de lorganisme sont conscients des risques et adaptent leurs

comportements et leurs savoir-faire avec un leitmotiv Protection de linformation . En

fait, au sein des organismes, la scurit du

Pour terminer la manire des dix commandements, jvoqueraiparaissent indispensables pour bien grer la scurit dun Systme dInformation :

1. Du temps pour la scurit, tu dgageras.

2. Sur une dmarche et une organisation structure, tu tappuieras.

3. Comme dernier rempart, la scurit tu concevras.

4. Sans complexifier le processus mtier, la scurit tu aligneras.

5. Ni dans la paranoa ni dans langlisme, tu tomberas.

6. Le mode de pense de lattaquant, tu adopteras.

7. Malgr la confiance, le contrle tu no

8. Humble tu rest9. De tes erreurs et de celles des autres, tu apprendras.

10. Linvitable tu refuseras, linattendu tu envisageras.

En conclusion, travers ce tour dhorizo

systme dinformation ne simprovise pas. Il repose dabord sur une prise de c

des hauts responsables des socits et organismes, et sur la sensibili

lensemble des acteurs. Ce processus doit tre confi

de relles comptences multi disciplinaires et une vision den

et de son environnement. Les facteurs de russites passent par la


31/32

LivreBlancduGroupe4



Les entits et les offres de formations du Groupe 4

Groupe 4 est un groupe de formation spcialis dans le management de projet technique.Les formations "Scurit" sont prsentes dans les diffrentes entits :

1- 4IM et 4MM : Dans le cadre des coles en alternance Informatique-Management

(4IMM) et Multimdia-Management (4MM), le management de la scurit des SI est

vu travers des sessions ddies de sensibilisation et d'approfondissement sur les

Ddi la Formation Professionnelle Continue, Oplone

mois sur 10 mois (env 210 h) pour former des personnes en poste en entreprise

urit des SI) : c'est un

anne. Il vise

'information, et

2 dernires annes.

2- OploneRAPID-Training :

propose des formules adaptes (sur catalogue ou sur-mesure) rpondant aux

besoins et attentes des donneurs d'ordres. Les formules RAPID-Training se

dclinent sous forme de sminaires ou travers un programme de formation de

quelques jours (2 5 jours en inter-entreprises ou en intra-entreprise).

3- OploneSMART-Training: il s'agit d'un cursus de formation part-time de 3 jours par

voulant s'orienter ou se perfectionner dans le management de la scurit des SI

4- ISMP : Cursus CPTSSI (Chef de projet Transverse en Sc

cursus long de niveau BAC +5, en 9 mois avec un stage de fin d'

es Systmes dformer des experts et des managers en scurit d

amne aux mtiers :

Ingnieur scurit SI

Expert scurit SI

Consultant scurit SI

Responsable revue scurit SI Chef de projet Scurit SI

Responsable Scurit du SI

Le Groupe 4, c'est 100 % d'insertion professionnelle ds la fin de la formation


32/32

LivreBlancduGroupe4


Sur la t

es infrastructures du site rsidences et restaurants universitaires, piscine,

installations sportives, Poste, parcs, mtro, lignes de bus, facilitent le quotidien sur

trente minutes du centre, Aix en Provence met votre disposition son activit

Groupe 4

Brun

Technop

Le

Rue Pau

13 013 - Ma

el : 04.91.95.53.32

mail : [email protected]

ww.groupe4.fr

echnople de Chteau-Gombert, deux pas des calanques et des rivages

mditerranens, le Groupe 4 ctoient Centrale Marseille, Polytech Marseille, ainsi

que les start up les plus innovantes du sud

L

place.

A quinze minutes du centre, Marseille, son centre ville et son Vieux-Port, offrent

toutes les opportunits de loisirs, quils soient sportifs, culturels,

Anocturne.

RENSEIGNEMENTS :

o DOUCENDE

ole de Chteau Gombert

s Baronnies, Bat A

l Langevin

rseille

T

E-

w

Livre_Blanc - Sécurité des Systèmes d’Information

Documents

Transcript of Livre_Blanc - Sécurité des Systèmes d’Information