Domaine D1 : Travailler dans un

environnement numrique volutif

Comptence D1-2 :
Scuriser son espace de travail local et distant
Auteur : Olivier Brand-Foissac
Ce document est distribu sous licence Creative Commons Paternit-Pas d'Utilisation
Commerciale-Partage des Conditions Initiales l'Identique 2.0 France
(Crdits photos/images: Wikipedia sauf indication contraire)

13/09/12

Scuriser son espace de travail

Scurit de l'information: 3 aspects

Les instituts de normalisation se sont penchs sur les problmes de

scurit des informations et ont dfini un ensemble de normes (ISO27000 et suivantes)
Les enjeux de la scurit sont de plusieurs ordres

conomiques (espionnage industriel, droits juridiques...)

Scuritaires (espionnage militaire, terrorisme...)
Socitaux (protection de la vie prive, donnes personnelles...)

La scurit se compose de trois aspects: D I - C

Les risques

Se

Dfinition, valuation, traitement

protger

13/09/12

La scurit (1)

D: comme disponibilit

La disponibilit: accder la ressource

Le dfaut de disponibilit: exemples

13/09/12

Quand on en a besoin
Pour toute la dure ncessaire (et avec le dbit requis)
Un virus a effac mon disque dur
Mon rseau ne fonctionne plus
Ma cl USB est illisible
Mon portable a t drob: je n'ai plus accs mes fichiers

La scurit (2)

I: comme intgrit

L'intgrit: je rcupre ce que j'ai dpos, ni plus, ni moins

Le dfaut d'intgrit: le contenu a t modifi

Un virus a modifi mes fichiers

Mon site web a t dfigur

C: comme confidentialit

La confidentialit: ne pas divulguer ce que je ne veux pas

Le dfaut de confidentialit: exemples

13/09/12

Mon mot de passe a t drob et chang, je ne peux plus me connecter sur

mon rseau social
Un brouillon de lettre de dmission a t diffus, je suis devenu(e) paria
dans mon entreprise
Mon dossier de dpt de brevet a t pirat, un autre l'a dpos ma place...

Les risques (1)

Dfinition du risque:

Conjonction de trois facteurs:

Une vulnrabilit: un point faible

Une probabilit de ralisation d'une menace: possibilit que quelqu'un
utilise ce point faible
Un impact: je suis affect si la menace se ralise, valeur d'image...

Exemple: risque de pertes de donnes exprimentales

Vulnrabilit: je prends le train tous les jours avec mon portable

Menace: cette heure tardive il y a beaucoup d'agressions dans ce train
Impact: si je perds mon portable, je perds les donnes exprimentales recueillies pour
ma thse

Evaluer un risque

13/09/12

C'est estimer l'importance du risque afin d'appliquer le traitement

appropri

Les risques (2)

Traiter un risque

Le refuser: liminer un des trois critres et le risque disparat

Le transfrer: dplacer le risque

Exemple: avoir une copie fiable des donnes exprimentales, j'ai rduit
l'impact, tout ne sera pas perdu

L'accepter: l'importance est telle que sa ralisation est supportable

13/09/12

Exemple: les donnes sont stockes sur un serveur rseau, le risque a t

dplac, c'est l'hbergeur de le grer

Le rduire: baisser l'importance de son effet un niveau acceptable

Exemple: ne plus me dplacer avec mon portable, prendre ma voiture...

Exemple: le cot du traitement dpasse la valeur de la donne

Principales attaques
En gnral les attaques viennent
de l'extrieur

Exemples

13/09/12

Par le rseau
Par les supports amovibles
Prise de contrle distance
Augmentation de privilge
Virus, vers, troyen...
Dni de service
Espiogiciel (spyware)
Hbergement de site illgal
Source d'attaques massives
Numroteurs, rootkits...

Ralisation des attaques

Autonome: sans intervention de l'utilisateur

Auto-duplication: virus, vers, ...

Tentative directe: dni de service, tentatives d'exploitation de
vulnrabilits...

Assiste de l'utilisateur

Par une action de l'utilisateur, un clic, l'excution d'un programme, d'une

carte de voeux, l'acceptation d'une signature, l'ouverture d'un fichier
(image, prsentation...)

13/09/12

Installe le malware dans la mmoire, dans un fichier local ou distant,

dans le systme, sur un disque externe...
Envoie des donnes personnelles sur un site distant...

Par manque de prcaution: saisie de mot-de-passe sur un site non

protg, mot-de-passe dans un courriel...

Se prmunir des attaques (1)

Mettre jour son systme et ses programmes

Correction des failles (vulnrabilits)

Evite (rend plus difficiles donc moins probables) les attaques directes

Utiliser des logiciels de protection

Pare-feu: vite les attaques directes sur les vulnrabilits connues (parefeu rseau, pare-feu applicatif, proxy filtrant...)

Anti-virus: dtecte et enferme virus, vers, troyens

13/09/12

Il en existe des libres, des gratuits et des commerciaux

Beaucoup d'diteurs commerciaux ont des versions de base gratuites
A mettre jour trs rgulirement
Ne protge que des attaques connues!

Se prmunir des attaques (2)

Etre

Anti-spyware: dtecte et dsactive/retire les logiciels espions connus

vigilant

Ne pas ouvrir de document que l'on attends pas, mme d'une personne
connue

Ne pas accepter les certificats inconsciemment

13/09/12

Cas des virus qui envoient des courriers tout l'annuaire local...
L'acceptation d'un certificat (sur un site par exemple) autorise le programme
demandeur accder au disque interne

Ne pas transmettre de mot-de-passe sur des sites non chiffrs (HTTPS), ni

un courriel contenant login et mot-de-passe
Ne jamais rpondre une sollicitation de fournir votre mot-de-passe
(pourriels, tentatives de phishing...)
Chiffrer les donnes sensibles (rpertoires, disques, sites...)
Ne pas installer de logiciel non contrl (smarphones...)

Se prmunir des attaques (3)

Prvenir la perte de donnes

Sauvegardes: duplication sur une autre ressource

Cl USB (attention: limite du nombre d'criture)

Disque externe...
Serveur distant: attention la localisation! Lisez bien le contrat

Rgularit des sauvegardes

Prvenir la perte de confidentialit

Ne pas stocker vos donnes sur un support non matris

13/09/12

Attention aux services gratuits: si le service est gratuit vous n'tes pas
client, vous tes ce qui est vendu (sic)
Lire et comprendre le contrat d'utilisateur final (CLUF)

Vrifier les URL sensibles (sites miroirs...)

Se prmunir des attaques (4)

Rester inform

Site gouvernemental sur la scurit : http://www.ssi.gouv.fr

Site de la CNIL (les droits et devoirs des utilisateurs et des fournisseurs
de services...): http://www.cnil.fr/
Abonnement aux lettres d'information (utilisation d'agrgateurs comme
http://www.netvibes.com/fr... )

En cas de tentative

13/09/12

De phishing: poubelle directement

Si vous avez un doute: http://www.hoaxbuster.com/

En cas de suspicion

Virus, vers, troyens...

Spams

Passer un scan de toutes les ressources avec un logiciel jour

La lgislation franaise impose qu'un lien permette de se dsabonner
aux courriers non sollicits
En cas de rcidive: https://www.signal-spam.fr/ est trs efficace

Dconnecter du rseau

Sites illgaux: vous pouvez devenir incriminable

13/09/12

http://www.ssi.gouv.fr/fr/menu/bandeau/que-faire-en-cas-d-incident/
Ne pas dtruire la preuve

Passer un scan avec un logiciel de recherche et d'limination externe

(Kaspersky, Bitdefender, Antivir, ... )

Domaine D1 : Travailler dans un

environnement numrique volutif
Comptence D1-2 :
Scuriser son espace de travail local et distant
Auteur : Olivier Brand-Foissac
Ce document est distribu sous licence Creative Commons Paternit-Pas d'Utilisation
Commerciale-Partage des Conditions Initiales l'Identique 2.0 France
(Crdits photos/images: Wikipedia sauf indication contraire)

13/09/12

Scuriser son espace de travail

Scurit de l'information: 3 aspects

Les instituts de normalisation se sont penchs sur les problmes de

scurit des informations et ont dfini un ensemble de normes (ISO27000 et suivantes)
Les enjeux de la scurit sont de plusieurs ordres

conomiques (espionnage industriel, droits juridiques...)

Scuritaires (espionnage militaire, terrorisme...)
Socitaux (protection de la vie prive, donnes personnelles...)

La scurit se compose de trois aspects: D I - C

Les risques

Se

Dfinition, valuation, traitement

protger

13/09/12

La scurit (1)

D: comme disponibilit

La disponibilit: accder la ressource

Le dfaut de disponibilit: exemples

13/09/12

Quand on en a besoin
Pour toute la dure ncessaire (et avec le dbit requis)
Un virus a effac mon disque dur
Mon rseau ne fonctionne plus
Ma cl USB est illisible
Mon portable a t drob: je n'ai plus accs mes fichiers

La scurit (2)

I: comme intgrit

L'intgrit: je rcupre ce que j'ai dpos, ni plus, ni moins

Le dfaut d'intgrit: le contenu a t modifi

Un virus a modifi mes fichiers

Mon site web a t dfigur

C: comme confidentialit

La confidentialit: ne pas divulguer ce que je ne veux pas

Le dfaut de confidentialit: exemples

13/09/12

Mon mot de passe a t drob et chang, je ne peux plus me connecter sur

mon rseau social
Un brouillon de lettre de dmission a t diffus, je suis devenu(e) paria
dans mon entreprise
Mon dossier de dpt de brevet a t pirat, un autre l'a dpos ma place...

Les risques (1)

Dfinition du risque:

Conjonction de trois facteurs:

Une vulnrabilit: un point faible

Une probabilit de ralisation d'une menace: possibilit que quelqu'un
utilise ce point faible
Un impact: je suis affect si la menace se ralise, valeur d'image...

Exemple: risque de pertes de donnes exprimentales

Vulnrabilit: je prends le train tous les jours avec mon portable

Menace: cette heure tardive il y a beaucoup d'agressions dans ce train
Impact: si je perds mon portable, je perds les donnes exprimentales recueillies pour
ma thse

Evaluer un risque

13/09/12

C'est estimer l'importance du risque afin d'appliquer le traitement

appropri

Les risques (2)

Traiter un risque

Le refuser: liminer un des trois critres et le risque disparat

Exemple: avoir une copie fiable des donnes exprimentales, j'ai rduit
l'impact, tout ne sera pas perdu

L'accepter: l'importance est telle que sa ralisation est supportable

13/09/12

Exemple: les donnes sont stockes sur un serveur rseau, le risque a t

dplac, c'est l'hbergeur de le grer

Le rduire: baisser l'importance de son effet un niveau acceptable

Exemple: ne plus me dplacer avec mon portable, prendre ma voiture...

Le transfrer: dplacer le risque

Exemple: le cot du traitement dpasse la valeur de la donne

Principales attaques
En gnral les attaques viennent
de l'extrieur

Exemples

13/09/12

Par le rseau
Par les supports amovibles
Prise de contrle distance
Augmentation de privilge
Virus, vers, troyen...
Dni de service
Espiogiciel (spyware)
Hbergement de site illgal
Source d'attaques massives
Numroteurs, rootkits...

Ralisation des attaques

Autonome: sans intervention de l'utilisateur

Auto-duplication: virus, vers, ...

Tentative directe: dni de service, tentatives d'exploitation de
vulnrabilits...

Assiste de l'utilisateur

Par une action de l'utilisateur, un clic, l'excution d'un programme, d'une

carte de voeux, l'acceptation d'une signature, l'ouverture d'un fichier
(image, prsentation...)

13/09/12

Installe le malware dans la mmoire, dans un fichier local ou distant,

dans le systme, sur un disque externe...
Envoie des donnes personnelles sur un site distant...

Par manque de prcaution: saisie de mot-de-passe sur un site non

protg, mot-de-passe dans un courriel...

Se prmunir des attaques (1)

Mettre jour son systme et ses programmes

Correction des failles (vulnrabilits)

Evite (rend plus difficiles donc moins probables) les attaques directes

Utiliser des logiciels de protection

Pare-feu: vite les attaques directes sur les vulnrabilits connues (parefeu rseau, pare-feu applicatif, proxy filtrant...)

Anti-virus: dtecte et enferme virus, vers, troyens

13/09/12

Il en existe des libres, des gratuits et des commerciaux

Beaucoup d'diteurs commerciaux ont des versions de base gratuites
A mettre jour trs rgulirement
Ne protge que des attaques connues!

Se prmunir des attaques (2)

Etre

Anti-spyware: dtecte et dsactive/retire les logiciels espions connus

vigilant

Ne pas ouvrir de document que l'on attends pas, mme d'une personne
connue

Ne pas accepter les certificats inconsciemment

13/09/12

Cas des virus qui envoient des courriers tout l'annuaire local...
L'acceptation d'un certificat (sur un site par exemple) autorise le programme
demandeur accder au disque interne

Ne pas transmettre de mot-de-passe sur des sites non chiffrs (HTTPS), ni

un courriel contenant login et mot-de-passe
Ne jamais rpondre une sollicitation de fournir votre mot-de-passe
(pourriels, tentatives de phishing...)
Chiffrer les donnes sensibles (rpertoires, disques, sites...)
Ne pas installer de logiciel non contrl (smarphones...)

Se prmunir des attaques (3)

Prvenir la perte de donnes

Sauvegardes: duplication sur une autre ressource

Cl USB (attention: limite du nombre d'criture)

Disque externe...
Serveur distant: attention la localisation! Lisez bien le contrat

Rgularit des sauvegardes

Prvenir la perte de confidentialit

Ne pas stocker vos donnes sur un support non matris

13/09/12

Attention aux services gratuits: si le service est gratuit vous n'tes pas
client, vous tes ce qui est vendu (sic)
Lire et comprendre le contrat d'utilisateur final (CLUF)

Vrifier les URL sensibles (sites miroirs...)

Se prmunir des attaques (4)

Rester inform

Site gouvernemental sur la scurit : http://www.ssi.gouv.fr

Site de la CNIL (les droits et devoirs des utilisateurs et des fournisseurs
de services...): http://www.cnil.fr/
Abonnement aux lettres d'information (utilisation d'agrgateurs comme
http://www.netvibes.com/fr... )

En cas de tentative

13/09/12

De phishing: poubelle directement

Si vous avez un doute: http://www.hoaxbuster.com/

En cas de suspicion

Virus, vers, troyens...

Spams

Passer un scan de toutes les ressources avec un logiciel jour

La lgislation franaise impose qu'un lien permette de se dsabonner
aux courriers non sollicits
En cas de rcidive: https://www.signal-spam.fr/ est trs efficace

Dconnecter du rseau

Sites illgaux: vous pouvez devenir incriminable

13/09/12

http://www.ssi.gouv.fr/fr/menu/bandeau/que-faire-en-cas-d-incident/
Ne pas dtruire la preuve

Passer un scan avec un logiciel de recherche et d'limination externe

(Kaspersky, Bitdefender, Antivir, ... )