Sécurité des systèmes d'informations

PLAN

I- Introduction

II- Un peu d’histoire

III- Enjeux de la sécurité des SI

IV- Les menaces

V- Techniques de sécurité

VI- Processus de sécurisation

VII- Conclusion

Plus de 90% des entreprises ont consacré un budget à la sécurité informatique malgré la crise.

I- Introduction



IV- Les menaces



VII- Conclusion

INTRODUCTION

3

source : cabinet pierre Audoin consultants 2012

90%

I- Introduction



IV- Les menaces



VII- Conclusion

INTRODUCTION

4

source : Kaspersky Lab

Et pourtant… les attaques informatiques semultiplient.

52% des entreprises ont signalé une augmentationdu nombre d’attaques informatiques auxquelleselles ont du faire face en 2012. 52%

• Les clients et utilisateurs ont changé de comportements.

• Les surfaces d’attaques ont augmenté (le BYOD implique de nouveau défis dans le domaine de la sécurité)

• La sécurité est un grand enjeu pour les prochaine années.

1980 : Tout est fichier

1990 : Tout est document

1995 : Sur le réseau (Internet)

2000 : Tout est programme

2010 : L’architecture est un programme

I- Introduction



IV- Les menaces



VII- Conclusion

Un peu d’histoire

5

I- Introduction



IV- Les menaces



VII- Conclusion

Enjeux de la sécurité des

SI

6

Disponibilité Intégrité

Confidentialité Auditabilité

Sécurité Informatique

I- Introduction



IV- Les menaces



VII- Conclusion

les menacesexplosion des menaces

7

< />

!

Source : ponemon institut 2013

92% des entreprises du Forbes 2000 ont

été victimes d'incidents,

Les applications concentrent

90% des vulnérabilités.

Pourtant 80% des budgets sécurité sont consacrés aux

,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructures.

3.61 $ par ligne de code. C'est le coût de la non qualité/sécurité dans un développement

99% des applications Web

sont vulnérables,

Une application contient

13failles en moyenne,

I- Introduction



IV- Les menaces



VII- Conclusion

les menacesLes motivations pour les attaques

8

Hacktivisme Gains Financiers Déstabilisation entre états

Obtention de capacité d'attaque

.Interruption du service

.Messages idéologiques

.Divulgation

.Vol de carte de crédit

.Vol de données personnelles.Vol de données d'entreprise

.Destruction logique et/ou physique.Vol de données stratégiques

.Vol de mécanisme d'authentification / certificats.Vol de codes sources

I- Introduction



IV- Les menaces



VII- Conclusion

les menacesTypes de menaces

9

Catégories Méthodes Caractéristiques

Virus/ver Diffusion via messagerie, duplication

illimitée (ver ou activation humaine

(virus)

Destruction de ressource et contamination

croisée

Déni de Service Saturation d'un serveur par envoi d'un

flot de messages

Paralysie et arrêt des serveurs

Cheval de Troie

(Back Door)

Programme introduit discrètement par

un logiciel, une consultation de page

Prise de contrôle à distance d'une machine

Attaque DNS Emploi d'une adresse DNS correcte à but

frauduleux

Prise de contrôle d'applications

IP spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau

privé

• Sans oublier le "social engineering"...dont le "phishing" est une version...peu évoluée.• Et les "botnets", ordinateurs zombies contrôlés via le réseau à des fins malveillantes

I- Introduction



IV- Les menaces



VII- Conclusion

Techniques de sécurité

10

Internaute

Sécuriser les opérations et les listes :Des solutions existent, mais il faut les utiliser

Sécurité individuelle

Sécurité passive

Sécurité active

Sécurité globale

Sécurité du poste de travailAntivirus,-spam, spyware,

Firewall personnel

Sécurité globale "portique" Firewall, Proxy

Sécurité individuelleAuthentification, cryptage SSL,

S/MIME,SET

Sécurité du centre de calculPérimètre , Antivirus, Filtrage de contenu,

Droits et identités

Serveur

I- Introduction



IV- Les menaces



VII- Conclusion

11

Confidentialité des données

pour éviter les indiscrets et

espions

un tiers peut lire le message chiffrage des messages

Intégrité des données pour

éviter les vandales et piratesun tiers intercepte et modifie le message

calcul de l'empreinte des

messages signatures

électroniques)

Identité des interlocuteurs

pour éviter les imposteursun tiers se fait passer par le client

Echange des certificats entre

client et serveur

Paternité des transactions

pour éviter la répudiation

des actes

un tiers se fait passer pour le serveur Mémoire historique

Droits des clients pour éviter

les usages frauduleuxannuaire

Enregistrement des droits des

utilisateurs dans un annuaire

Techniques de sécuritéSécurité active

I- Introduction



IV- Les menaces



VII- Conclusion

12


• Chiffrage / cryptage symétrique

Message

Message crypté

Clé

Clé

Message crypté

Message

I- Introduction



IV- Les menaces



VII- Conclusion

13


• Chiffrage / cryptage asymétrique

Message

Message crypté

Clé Publique

Clé privée

Message crypté

Message

I- Introduction



IV- Les menaces



VII- Conclusion

14


• Comparaison cryptage symétrique/asymétrique

Avantages Inconvénients

Symétrique• Rapide

• Peut être rapidement

placée dans un échange

• Difficulté de distribution

• Pas de signature

électronique

Asymétrique

• Deux clefs différentes

• Capacité d'intégrité et de

non Répudiation par

signature électronique

• Lent, algorithme complexe

• Nécessité de publication de

la clef publique

I- Introduction



IV- Les menaces



VII- Conclusion

15


Secure Socket layer

• Protocole de sécurisation des échanges sur Internet

• Permet de créer un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne

• utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web.

• Les utilisateurs sont avertis de la présence de la sécurité SSL grâce à l'affichage d'un cadenas et du protocole « https » dans l'url

I- Introduction



IV- Les menaces



VII- Conclusion

16


• Secure socket layer

Client Serveur

Génération de la clé de session

Requête

Cryptage de la clé de session à l’aide

de la clé publique du serveur Clé privée du serveur

Envoi de la clé de session

cryptée au serveur

Clé publique du serveur

Décryptage

I- Introduction



IV- Les menaces



VII- Conclusion

17

Techniques de sécuritéSécurité Passive : Les pare-feu

Internet Intranet

ServeurHTTP

+SGBD

FirewallContrôle les accès entrants

FirewallContrôle les accès

entrants et sortants

ServeurHTTP

ServeurMail

ServeurProxy

DMZZone démilitarisée

Externe Interne

I- Introduction



IV- Les menaces



VII- Conclusion

18

Techniques de sécuritéSécurité Passive : VPN

• Principe de fonctionnement d’un réseau privé virtuel

I- Introduction



IV- Les menaces



VII- Conclusion

19

Techniques de sécuritéTechniques et technologies de sécurisation

• Schéma récapitulatif

TECHNIQUES TECHNOLOGIES

Design Security Pattern (conception de framework de sécurité)

Modélisation des attaques (threatmodeling)

Méthodologie de développement

sécuriséFormation de développeurs

Contrôle régulier des applications

Vérification des traces applicatives

Contrôle qualité

Test d'intrusion

Revue de code

API

Framework de sécurité

Bugtracker

Firewall NG

Mitigation

d'attaques

DOS Sandboxing

Virtual

patching

IPS

WAF

Fuzzer

Scanner de

vulnérabilités

Scanner

passif

SIEM

Analyseur

comportemental

d'application

Scanner automatisé de

vulnérabilités

Analyseur statique

de code

Analyseur

dynamique de

code

I- Introduction



IV- Les menaces



VII- Conclusion

20

Processus de sécurisation

• Architecture globale de sécurité

I- Introduction



IV- Les menaces



VII- Conclusion

21

Processus de sécurisation

• Surveiller et vérifier l'efficacité de la sécurité en place

• Analyser et améliorer la sécurité

• Mise en place des mesures de sécurité

• Identifier les risques et élaborer les objectifs à atteindre en termes de sécurité

Plan Do

CheckAct

I- Introduction



IV- Les menaces



VII- Conclusion

22

Conclusion

• Aider les collaborateurs d’une entreprise à comprendre : La valeur des actifs tangibles et intangibles, en particulier de

l’information, qu’ils manipulent dans l’exercice quotidien de leur quotidien

Les risques auxquels ils sont exposés et auxquels ils exposent les autres

Les mesures appliquées par l’entreprise et celles qu’on leur demande d’appliquer pour réduire ces risques

Les comportements déconseillés ou interdits

Merci pour votre attentionProtégez vos données

Sécurité des systèmes d'informations

Internet

Transcript of Sécurité des systèmes d'informations