La scurit de l'information

Stphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca

Table des matires

Introduction Quelques statistiques Scurit de linformation Dfinition Bref historique de la scurit La scurit un processus et non un ensemble de produits Inspection Protection Dtection Raction Rflexion Les normes et les mthodes de scurit Quest-ce quune norme Quest quune mthode Rfrences 2 3 4 4 5 5 6 6 6 7 7 7 8 8

Document crit par Stphane Gill Copyright 2005 Stphane Gill Ce document est soumis la licence GNU FDL. Permission vous est donne de distribuer et/ou modifier des copies de ce document tant que cette note apparat clairement.

La scurit de l'information

Introduction
Les entreprises font aujourdhui de plus en plus appel aux systmes dinformation pour optimiser leur fonctionnement et pour amliorer leur rentabilit. La scurit informatique est donc devenue une problmatique incontournable. Un accs non autoris ou malveillant aux systmes informatiques dune entreprise peut induire en quelques minutes des pertes financires trs importantes. Voici deux incidents rcents qui illustrent bien le genre de perte financire importante engendre par lattaque de systmes informatiques. Le 8 fvrier 2002, Amazon.com, Yahoo!, eBay ou E*Trade nont pu matriser le flux de donnes qui a inond leurs serveurs pendant 90 minutes. Au plus fort de lattaque le serveur de Yahoo recevait un flux de donnes ayant un dbit de 1 Gbit/s. Le site denchres lectroniques eBay a estim le cot de lattaque 80 000 dollars US en investissements de scurit. Selon le Yankee Group , cabinet danalystes spcialistes de lconomie Internet, lheure darrt dactivit dAmazon.com lui aura cot plus 240 000 dollars US. Toujours daprs le mme cabinet danalyse, lattaque perptre sur les serveurs dAmazon.com aura engendr au total plus de 1,2 milliard de dollars de pertes, rparties en manque gagner et consquences boursires. Rfrence : http://www.01net.com Jrme Saiz Internet : attention pirates ! Le 7 fvrier 2000, un certain nombre de sites Web parmi les plus connus (Yahoo, eBay, CNN, Amazon, MSN, Buy.com, etc.) ont t paralyss pendant plusieurs heures, victimes d'attaques par saturation. Ces attaques ont rendu les sites en partie ou compltement hors-service. Les victimes ont valu les pertes dues aux attaques 1,7 milliards de dollars. Rfrence : Muriel Drouineau Mafiaboy avoue tout ! De nombreuses personnes se sont penches et se penchent encore sur le problme de la scurit informatique. Voici la rflexion de Donald L. Pipkin auteur du livre Scurit des sytmes dinformation Il nexiste pas de rponse simple aux problmes de scurit. Malheureusement, les gens sont trop souvent convaincus que les seules choses dont ils aient besoin pour assurer leur scurit, cest dinstaller un firewall, damliorer leur mthode dauthentification ou de dfinir un rglement de scurit. En vrit, toutes ces mesures contribuent lamlioration de la scurit, mais aucune dentre elles nest une solution complte.

Copyright 2005 Stphane Gill

Page 2

La scurit de l'information

Quelques statistiques
Depuis 1988 le nombre dincidents de scurit ne cesse daugmenter

Rfrence : CERT Coordination Center , 2005, CERT/CC Statistics 1988-2005. Le montant total des pertes subies en 2004 par 269 entreprises la suite dun incident de scurit informatique a atteint un total de 141,5 millions de dollars, ce qui fait une moyenne de 526 000 dollars par entreprise Rfrence : 2004 CSI/FBI Computer Crime and security Survey Computer Security Institute, 2004. 93 % des entreprises qui ont prouv un dsastre et qui navaient pas de sauvegarde de leurs informations ont disparu. Rfrence : Disaster Recovery , Interex 98 Conference, 12 mai 1998. Plusieurs enqutes ont montr quenviron la moiti des attaques perptres contre des systmes informatiques provenaient de lintrieur de lentreprise concerne.

Copyright 2005 Stphane Gill

Page 3

La scurit de l'information

Rfrence : 2004 CSI/FBI Computer Crime and security Survey Computer Security Institute, 2004.

Scurit de linformation Dfinition

La scurit de linformation est lensemble des mesures adoptes pour empcher lutilisation non autorise, le mauvais usage, la modification ou le refus dutilisation dun ensemble de connaissances, de faits, de donnes ou de moyens. Le terme scurit de linformation dsigne donc les mesures prventives que nous mettons en place pour prserver nos informations et nos moyens. Les trois attributs de scurit des informations : La confidentialit; Lexactitude; La disponibilit.

Bref historique de la scurit

La faon dont nous avons gr la scurit de linformation et les ressources des entreprises a volu de pair avec notre socit et nos technologies. Il est important de comprendre cette volution pour savoir comment nous devons considrer la scurit aujourdhui. La scurit physique : Pour viter que lon puisse semparer physiquement de linformation les messagers tait escorts par des soldats. La scurit des communications : Jules Csar cra les messages cods. La scurit des transmissions : Dans les annes 1950, il a t dmontr que laccs aux messages pouvait tre ralis en analysant les signaux lectriques dune ligne tlphonique.

Copyright 2005 Stphane Gill

Page 4

La scurit de l'information

La scurit de lordinateur : Au dbut des annes 1970, un modle pour scuriser les oprations des ordinateurs fut dvelopp.

La scurit des rseaux : La mise en rseau des ordinateurs, la fin des annes 1980, soulve de nouveaux problmes.

La scurit de linformation : Dbut des annes 2000

La scurit un processus et non un ensemble de produits

La scurit est un processus dont le but est de rduire les risques ou la probabilit de subir des dommages. Dans son livre Scurit des systmes dinformation , Donald L. Pepkin propose les cinq phases suivantes pour laborer un plan de scurit : Inspection : Identifier les fonctionnalits qui sont la base des activits de lentreprise. valuer les besoins en scurit de lorganisation. Protection : Mettre en place des moyens pour une rduction dynamique des risques. Dtection : Mettre en place des moyens pour une rduction ractive des risques. Raction : Mettre en place un plan de secours durgence. Rflexion : Une fois lincident termin et tout remis en place, procder ltude de lvnement.

Inspection
Les six tapes de linspection : Inventaire des ressources. Estimation de la menace. Analyse des pertes potentielles. Identification des vulnrabilits. Organisation de la protection. valuation de ltat actuel.

Copyright 2005 Stphane Gill

Page 5

La scurit de l'information

Protection
La protection est la phase o un ensemble de moyens sont mis en place afin de protger les systmes dinformation. Voici quelques mthodes de protection : Le logiciel antivirus. Le contrle daccs (Authentification). Le pare-feu. Ltablissement de procdure de scurit. Le chiffrement des donnes. Les mcanismes de scurit physique. Les sauvegardes. Les mcanismes de redondance de linformation.

Dtection
La dtection dintrusion est fonde sur trois processus : Analyse de signature : Comparaison des donnes des journaux de bord avec un catalogue de signature dattaques connues. Analyse statique : Analyse dlments dtat statiques. (Analyse des vulnrabilit et analyse de configuration). Analyse dynamique : Analyse de lactivit dun systme pour dterminer si une attaque est en cours (Analyse les traces enregistres (history), analyse du traffic sur le rseau et analyse des vnements dans les journaux de bord).

Raction
Philosophie dun plan de rponse : Surveiller et avertir : surveillance constante, ds quun incident est dtect un responsable en est averti. Aucune autre action nest lance automatiquement.

Copyright 2005 Stphane Gill

Page 6

La scurit de l'information

Rparer et signaler : tenter de remdier lincident le plus vite possible, signaler au responsable.

Poursuivre en justice : Rassembler les preuves et alerter le plus vite possible le service juridique de lentreprise.

Plan de rponse un incident : Documentation Dtermination Notification Apprciation radication Remise en tat

Rflexion
Les 4 tapes dune rflexion aprs un incident : Documentation de lincident valuation de lincident Relations publiques Suites judiciaires

Les normes et les mthodes de scurit

Quest-ce quune norme
Une norme est un document de rfrence contenant des spcifications techniques prcises destin tre utilis comme rgles ou lignes directrices. Certaines normes traitant de scurit informatique commencent apparatre, par exemple la norme ISO 17799 (et la certification associe BS7799-2).

Copyright 2005 Stphane Gill

Page 7

La scurit de l'information

Quest quune mthode

Une mthode est un moyen darriver efficacement un rsultat souhait. Une mthode nest pas un document de rfrence. Il existe de nombreuses mthodes de scurit de linformation : Mehari Ebios Cramm

Rfrences
Donald L. Pipkin, Scurit des systmes dinformation , CampusPress, 2000. Eric Maiwald, Scurit des rseaux , Campus press, 2001. Aron Hsiao, Scurit sous Linux , Campus press, 2001.

Copyright 2005 Stphane Gill

Page 8