Professional Documents
Culture Documents
Document crit par Stphane Gill Copyright 2005 Stphane Gill Ce document est soumis la licence GNU FDL. Permission vous est donne de distribuer et/ou modifier des copies de ce document tant que cette note apparat clairement.
La scurit de l'information
Introduction
Les entreprises font aujourdhui de plus en plus appel aux systmes dinformation pour optimiser leur fonctionnement et pour amliorer leur rentabilit. La scurit informatique est donc devenue une problmatique incontournable. Un accs non autoris ou malveillant aux systmes informatiques dune entreprise peut induire en quelques minutes des pertes financires trs importantes. Voici deux incidents rcents qui illustrent bien le genre de perte financire importante engendre par lattaque de systmes informatiques. Le 8 fvrier 2002, Amazon.com, Yahoo!, eBay ou E*Trade nont pu matriser le flux de donnes qui a inond leurs serveurs pendant 90 minutes. Au plus fort de lattaque le serveur de Yahoo recevait un flux de donnes ayant un dbit de 1 Gbit/s. Le site denchres lectroniques eBay a estim le cot de lattaque 80 000 dollars US en investissements de scurit. Selon le Yankee Group , cabinet danalystes spcialistes de lconomie Internet, lheure darrt dactivit dAmazon.com lui aura cot plus 240 000 dollars US. Toujours daprs le mme cabinet danalyse, lattaque perptre sur les serveurs dAmazon.com aura engendr au total plus de 1,2 milliard de dollars de pertes, rparties en manque gagner et consquences boursires. Rfrence : http://www.01net.com Jrme Saiz Internet : attention pirates ! Le 7 fvrier 2000, un certain nombre de sites Web parmi les plus connus (Yahoo, eBay, CNN, Amazon, MSN, Buy.com, etc.) ont t paralyss pendant plusieurs heures, victimes d'attaques par saturation. Ces attaques ont rendu les sites en partie ou compltement hors-service. Les victimes ont valu les pertes dues aux attaques 1,7 milliards de dollars. Rfrence : Muriel Drouineau Mafiaboy avoue tout ! De nombreuses personnes se sont penches et se penchent encore sur le problme de la scurit informatique. Voici la rflexion de Donald L. Pipkin auteur du livre Scurit des sytmes dinformation Il nexiste pas de rponse simple aux problmes de scurit. Malheureusement, les gens sont trop souvent convaincus que les seules choses dont ils aient besoin pour assurer leur scurit, cest dinstaller un firewall, damliorer leur mthode dauthentification ou de dfinir un rglement de scurit. En vrit, toutes ces mesures contribuent lamlioration de la scurit, mais aucune dentre elles nest une solution complte.
Page 2
La scurit de l'information
Quelques statistiques
Depuis 1988 le nombre dincidents de scurit ne cesse daugmenter
Rfrence : CERT Coordination Center , 2005, CERT/CC Statistics 1988-2005. Le montant total des pertes subies en 2004 par 269 entreprises la suite dun incident de scurit informatique a atteint un total de 141,5 millions de dollars, ce qui fait une moyenne de 526 000 dollars par entreprise Rfrence : 2004 CSI/FBI Computer Crime and security Survey Computer Security Institute, 2004. 93 % des entreprises qui ont prouv un dsastre et qui navaient pas de sauvegarde de leurs informations ont disparu. Rfrence : Disaster Recovery , Interex 98 Conference, 12 mai 1998. Plusieurs enqutes ont montr quenviron la moiti des attaques perptres contre des systmes informatiques provenaient de lintrieur de lentreprise concerne.
Page 3
La scurit de l'information
Rfrence : 2004 CSI/FBI Computer Crime and security Survey Computer Security Institute, 2004.
Page 4
La scurit de l'information
La scurit de lordinateur : Au dbut des annes 1970, un modle pour scuriser les oprations des ordinateurs fut dvelopp.
La scurit des rseaux : La mise en rseau des ordinateurs, la fin des annes 1980, soulve de nouveaux problmes.
Inspection
Les six tapes de linspection : Inventaire des ressources. Estimation de la menace. Analyse des pertes potentielles. Identification des vulnrabilits. Organisation de la protection. valuation de ltat actuel.
Page 5
La scurit de l'information
Protection
La protection est la phase o un ensemble de moyens sont mis en place afin de protger les systmes dinformation. Voici quelques mthodes de protection : Le logiciel antivirus. Le contrle daccs (Authentification). Le pare-feu. Ltablissement de procdure de scurit. Le chiffrement des donnes. Les mcanismes de scurit physique. Les sauvegardes. Les mcanismes de redondance de linformation.
Dtection
La dtection dintrusion est fonde sur trois processus : Analyse de signature : Comparaison des donnes des journaux de bord avec un catalogue de signature dattaques connues. Analyse statique : Analyse dlments dtat statiques. (Analyse des vulnrabilit et analyse de configuration). Analyse dynamique : Analyse de lactivit dun systme pour dterminer si une attaque est en cours (Analyse les traces enregistres (history), analyse du traffic sur le rseau et analyse des vnements dans les journaux de bord).
Raction
Philosophie dun plan de rponse : Surveiller et avertir : surveillance constante, ds quun incident est dtect un responsable en est averti. Aucune autre action nest lance automatiquement.
Page 6
La scurit de l'information
Rparer et signaler : tenter de remdier lincident le plus vite possible, signaler au responsable.
Poursuivre en justice : Rassembler les preuves et alerter le plus vite possible le service juridique de lentreprise.
Plan de rponse un incident : Documentation Dtermination Notification Apprciation radication Remise en tat
Rflexion
Les 4 tapes dune rflexion aprs un incident : Documentation de lincident valuation de lincident Relations publiques Suites judiciaires
Page 7
La scurit de l'information
Rfrences
Donald L. Pipkin, Scurit des systmes dinformation , CampusPress, 2000. Eric Maiwald, Scurit des rseaux , Campus press, 2001. Aron Hsiao, Scurit sous Linux , Campus press, 2001.
Page 8