Sécurité des données

Samedis du LibreMédiathèque

MunicipaleMérignac

le 16-11-2013

à MERIGNAC avec l'ABUL

Sécuritéet

Informatique

Sécurité et Informatique

● L'insécurité : une réalité aux multiples facettes● Définitions et rappels sur les risques

● Quelles protections, pour quels risques ?● Mesures adaptées aux risques supports● Mesures adaptées aux risques essentiels

● Ces données qui nous échappent● La multiplication des objets numériques● Le bon sens, entre prudence et paranoïa

● Florilège d'outils en lien avec la protection● Questions / Réponses

L'insécurité Informatique

La sécurité absolue n'existe dans aucun domaine de la vie réelle.

Pourquoi l'informatique ferait-elle exception ?

Quel que soit le domaine, on ne parle que de :

Gestion (ou réduction) des risques

Mesures de protections

Principe de précaution

en gardant à l'esprit que la perfection n'existe pas, et qu'il faut toujours envisager les conséquences d'un événement redouté avant qu'il ne survienne.

Rappels sur les risques

Les données numériques sont immatérielles,pour les manipuler, on les met sur un support.

● Il existe donc deux types de risques très différents :● Les risques essentiels :

Ce sont les risques que courent les données quelque soit le support sur lequel elles se trouvent.

● Les risques supports :Ce sont les risques que la nature même du support fait courir aux données qu'il contient.


● Les risques essentiels :

● La divulgation :Une information peut être portée à la connaissance d'un public qui n'avait pas à la connaître.Confidentialité

● L'altération (ou la dégradation) :Lorsqu'on la récupère, une partie de l'informationn'est plus la même qu'au moment de son stockage.Intégrité


● Les risques essentiels (suite) :

● La disparition :La donnée ne peut pas être récupérée au moment et à l'endroit où vous souhaitez le faire.Disponibilité

● La suspicion (force de preuve) :Il n'existe pas de moyen pour démontrer qu'uneinformation est bien celle qu'elle prétend être.Auditabilité


● Les risques supports :puisqu'il parait qu'une image vaut mille mots ...


● Face à un risque donné, chaque support sera plus ou moins sensible ...

Risque

Support

Quelles protections, pour quels risques

● Évaluation des risques : approche par les Menaces

Exemples de menaces :● Une erreur, action non réfléchie d'un utilisateur insouciant

ou peu attentif.● La malveillance humaine, une personne agit à votre insu

pour vous causer volontairement du tort.● Un programme malveillant (malware), logiciel conçu

spécialement à des fins illicites.● Une panne, les matériels électroniques ont une durée de vie

limitée.● Un sinistre, vol, incendie, dégât des eaux, panne

irrémédiable, etc.


● Évaluation des risques : approche par les Menaces

Il faut imaginer les événements redoutés en terme de scénarios de menaces, et pour chacune, évaluer :● sa probabilité (Potentialité) qui influe sur la

fréquence des mesures de protection,● son impact (Gravité) qui influe sur

l'importance accordée aux mesures de protection


On obtient au final un tableau qui indique :

● quoi faire pour se protéger des menaces dont on veux se protéger,

● quand le faire pour que ce soit suffisamment efficace sans être trop coûteux.

L'étape suivante consiste à déterminer les moyens à mettre en œuvre pour obtenir un niveau de protection choisi avec pragmatisme.

Mesures adaptées aux risques supports

Les risques supports les plus courants :● Panne matérielle entraînant la perte des informations● Destruction irrémédiable d'un support (sinistre)● Disparition du support d'informations (perte ou vol)

mais aussi ...● Destruction logicielle des informations

(effacement par erreur ou malveillance, etc.)● Perte d'accès aux informations

(mot de passe perdu, ransomware, etc.)


Toutes les mesures de protection sont basées sur :● la multiplicité des exemplaires de l'information

(On ne peut pas tous les perdre en même temps ...)● la localisation différente des divers exemplaires

(... surtout s'ils sont géographiquement dispersés ...)● la nature variée des supports utilisés pour chacun

(... et ne sont pas sensible aux mêmes risques.)

Dit autrement :

"Ne pas mettre tous ses œufs dans le même panier"


Choix suivant le type d'informations :

● Informations pouvant être régénéréesSystème d'exploitation, applications, informations publiques, informations dupliquéesMinimiser le temps de régénération● Disposer d'archives et de copies à jour

● Informations ne pouvant pas être régénérées "Mémoire numérique" (photos, vidéos, etc.), archives documentaires (courriels), travail en coursProtéger à la hauteur de la valeur de la perte● Multiplier les copies et varier les supports

Mesures adaptées aux risques essentiels

Les risques essentiels les plus courants :● Divulgation d'un information personnelle ou secrète

mot de passe, clé d'accès, numéro de CB, etc.● Altération ou perte d'une information importante

clé de licence, composant du système, etc.● Installation d'un composant malintentionné

virus, trojan, keylogger, autres malware

Et pour se protéger, seulement deux armes :● La prudence, jusqu'à la méfiance s'il le faut● Le bon sens ... et quelques bons conseils

Les données qui nous échappent

● Sans données en ligne (le Cloud), les risques sont majoritairement des risques supports.

● Le Cloud est une nouvelle solution pour palier à ces risques anciens

● Mais le Cloud est porteur de façon intrinsèque de risques nouveaux

● Les nouveaux risques sont principalement des risques essentiels


Constat de ce qui se passe dans le Grand Public :● Le glissement vers des usages Cloud est massif

Pressés de toutes part, les utilisateurs confient de plus en plus de choses aux nouveaux services si pratiques.

● Le changement de risque n’est pas bien perçu Les risques nouveaux ne sont pas évoqués dans le discours marketing des fournisseurs de services Cloud.

● Les habitudes de protection ne changent pasLes utilisateurs conservent des habitudes qui sont maintenant inadaptées aux nouveaux risques.


Et un détail qui n’en est finalement pas vraiment un :

Les nouveaux objets d’accès aux ressources sont fondamentalement différents des anciens "PC"

● De plus en plus mobiles● De moins en moins ouverts● De plus en plus propriétaires et spécifiques● De moins en moins "hackables" (bidouillables)

Le PC cède la place aux :

Terminaux de Consommation de Loisirs Numériques

Le bon sens, entre prudence et paranoïa

Le Cloud n’est pas en lui même bon ou mauvais ...... mais on peut en faire un bon ou un mauvais usage

Il faut développer de nouveaux réflexes :● Bien juger du caractère privé de ses informations● Savoir protéger celles qui doivent rester secrètes● Développer une saine méfiance vis à vis des services "gratuits",

"fait pour vous" ou "pour votre bien"● Comprendre les modèles économique de ces sociétés● Ne rien considérer comme inévitable et savoir dire non● Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et

bien mesurer sa propre dépendance vis à vis d’eux

Florilège d'outils de protection

Quelques solutions de sauvegardes locales

Par fichiers :● Cobian Backup, Toucan● BackUpPC, Unison, Arena BackUp, Fullsync

Par Images disques :● DriveImageXML, Norton Ghost, Acronis● CloneZilla, outils Gnu/Linux (Partclone, etc.)● Nouva Linux BackUp & Rescue

Sauvegardes de type "Cloud "

Les services peuvent être spécialisés :● Pour les photos (Flickr, Picasa, Photobucket, ...)● Pour la musique (Soundcloud, MP3tunes, ...)● Pour les documents (ZoHo, Adobe Buzzword, ...)

... ou généralistes :

Google Drive MS SkyDrive DropBox Ubuntu One etc...



Caractéristiques importantes d'un Cloud :● Synchronisation en arrière plan sur plusieurs appareils● Limitation en volume et transfert (et tarification)● Liste des systèmes et appareils supportés● Services de diffusion audio et vidéo (streaming)

Et les caractéristiques les plus importantes :● Localisation des données (régime juridique du pays)● Politique de confidentialité de l’opérateur du Cloud● Modèle économique de la gratuité apparente

À malin, malin et demi : le chiffrement du contenu

Le principe :● Créer une copie chiffrée d’un répertoire sur le disque● Synchroniser cette copie chiffrée avec le Cloud

TotoTataTiti

A&t :$ènM5Ff)

ChiffrerDéchiffrer

A&t :$ènM5Ff)

Cryptkeeper (Linux)AxCrypt (Windows)


Gestion des clés de protection

Pour ouvrir sa session (et déchiffrer son /home)● Un mot de passe court suffit, ● Il faut le changer régulièrement

Pour protéger son trousseau de clé● Préférer une "phrase de passe" (passphrase)

Pour se connecter sur un site/service (en https)● Mots de passe complexes générés aléatoirement● Ne jamais utiliser deux fois le même● Les conserver dans son trousseau de clé

Trucs et astuces de création de mots de passe● Ceux qui doivent être frappé souvent

● Une dizaine de caractères variés, qu’il faut mémoriser et apprendre à taper rapidement et sans erreurs, ex : qf33&45bn (attention au social engineering)

● Ceux qui ouvrent des coffres ou des trousseaux● Phrase longue, citation, suite de mots sans sens, ex :

CarotteChevalBureauOctobreVieux, ● Ceux qui vont être mémorisés et gérés par le PC

● Au moins 16 caractères générés aléatoirement, ex :6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau)Voir des sites comme strongpasswordgenerator.com


Gestion des mots de passe et clés de chiffrement● Règles d’hygiène sécuritaire

● Savoir créer un mot de passe fort et fiable● Ne pas utiliser deux fois le même mot de passe !● Se faire aider par la machine pour gérer tout ça !

Le principe des poupées russes :


La protection induit-elle la sécurité ?

Comparons :

PC sous Windows● Antivirus

● Anti-Trojan● Parefeu● Anti Backdoor

Trop d'insécurité --> méfiance nécessaire etplus de protections

PC sous Linux + LL● Inutile

● Inutile● Intégré● Inutile

Plus de sécurité -->plus de confiance etmoins de protection

Et ceci n'est (quasiment) pas une caricature

C'est le moment des

Questions / Réponses

Merci de votre attention ...

Sécurité et Informatique

Sécurité des données

Technology

Transcript of Sécurité des données