Professional Documents
Culture Documents
scurit informatique
Introduction
Auteurs :
Stphan GUIDARINI Consultant Senior
Sbastien DESSE Expert Rseaux et Scurit
Novembre Dcembre 2005
Version 1.01
Prsentation
Intervenants
Partie thorique :
Stphan GUIDARINI - STEDIA Consulting
Consultant Infrastructure et Scurit
Ancien lve du DESS Rseaux & Tlcoms
Partie pratique :
Sbastien DESSE - ITSEC
Ingnieur Rseaux et Scurit
Membre fondateur du GREPSSI
Groupe de Rflexion et dEchange sur les
Problmatiques lies la Scurit des Systmes
Novembre Dcembre 2005
Version 1.01
Programme
Session du 07/11/2005
Scurit des rseaux (1er partie)
21/11/2005
Scurit des rseaux (2me partie)
28/11/2005
Scurit des contenus et changes
05/12/2005
Scurit des accs
12/12/2005
Scurit des systmes et services et conclusion
Novembre Dcembre 2005
Version 1.01
Sommaire - Introduction
Introduction
Quest ce que la scurit ?
Quoi protger ?
Pourquoi ?
Contre qui ?
Qui croire ?
Comment protger ?
La politique de scurit.
Novembre Dcembre 2005
Version 1.01
Quoi protger ?
L Information au sens large.
Voix et Vido
Informations
Non
numrises
Scurit des
systmes dinformation
Scurit des
Archives
Rseaux et changes
Scurit des
systmes
Scurit juridique
Scurit des
dveloppements
LA SECURITE DE LINFORMATION
Novembre Dcembre 2005
Version 1.01
Intgrit.
Sauvegarder lexactitude et la fidlit de linformation et
des mthodes de traitement des donnes (pas de
modification non autorise).
Confidentialit
Garantir que seules les personnes habilites peuvent
accder linformation (pas de divulgation non
autorise).
Novembre Dcembre 2005
Version 1.01
Actifs physiques
Actifs applicatifs
10
Pourquoi protger ?
Linformation est une ressource stratgique, une matire
premire, elle est un atout pour celui qui la possde et
donc attise souvent les convoitises
Les S.I. facilitent laccs linformation
Ils grent de grandes quantits dinformation et peuvent la rende
accessible depuis nimporte quel point du globe
11
Pourquoi protger?
Les consquence retenir
Vol dinformations et du savoir faire
Dans un contexte de haute technologie notamment
Indisponibilit du service
e-business,
Pertes financires !
Modification des montants de facture
Perte dexploitation
Erreurs de traitement
Novembre Dcembre 2005
Version 1.01
12
Contre qui ?
Les menaces
Les diffrents types de pirates
Les diffrentes arnaques et attaques
Les accidents et inconsciences
13
La menace - Dfinitions
Violation potentielle de la scurit - ISO-7498-2
Menace accidentelle
Menace dun dommage non intentionnel envers le SI
Catastrophe naturelle, erreur dexploitation, pannes
Menace Passive
Menace de divulgation non autorise des informations, sans que
ltat du SI soit modifi
coutes, lecture de fichiers,
Menace Physique
Menace lexistence ou ltat physique du SI
Sabotage, incendie volontaire, vol,
14
Catgories de menaces
intentionnelles
Lespionnage
Obtention dinformations
Le vol
Obtention dinformations ou de ressources
La perturbation
Affaiblir le S.I.
Le sabotage
Mise hors service du S.I.
Le chantage
Gain financier, menace de sabotage,
15
Type dattaquants
La nature !
Incendies, Foudre, Inondations, etc
Les fournisseurs
EDF, Fournisseurs de connectivit, Fournisseurs de
matriels et de logiciels,
16
Pour lentreprise
Informations concernant ses objectifs et son fonctionnement
Les clients, procds de fabrication, recherche et dveloppement
Catgories de menace
Espionnage, vol, perturbation, sabotage, fraude physique, accs
illgitimes
Type dattaquants
Espions
Particuliers (rare), Entreprises, Gouvernements
Terroristes
Novembre Dcembre 2005
Version 1.01
17
Catgorie de menace
Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accs illgitimes,
Type dattaquants
Militants
Vandales
Terroristes
Novembre Dcembre 2005
Version 1.01
18
Catgorie de menace
Espionnage, vol, perturbation, sabotage,
chantage, fraude physique, accs illgitimes,
Type dattaquants
Terroristes
Novembre Dcembre 2005
Version 1.01
19
Catgorie de menace
Espionnage, vol, perturbation, sabotage, chantage, fraude
physique, accs illgitimes,
Type dattaquant
Espions (concurrent ou pour le compte de)
Crime Organis
Intervenants
Ont souvent accs des informations sensibles, et conservent souvent
des fichiers de configuration,
20
Catgorie de menace
Vol, perturbation, sabotage, accs illgitimes,
Type dattaquant
Joyriders
Vandales
Collectionneurs
Novembre Dcembre 2005
Version 1.01
Gnralement appels
Hackers ou Crackers
21
Catgorie de menace
Vol, perturbation, sabotage, accs illgitimes,
Type dattaquant
Personnes extrieures en dsaccord avec lentit
Peur tre un client, un fournisseur, un intervenant,
22
23
24
Classement
Comptence
Temps
Motivation
Forte
Fort
Moyenne
Un concurrent
Forte
Faible
Forte
Moyenne
Moyen
Moyenne
Un opportuniste
Faible
Faible
Faible
Forte
Faible
Faible
Moyenne
Faible
Moyenne
Un membre du personnel
Moyenne
Faible
Faible
Forte
Moyen
Faible
Un stagiaire
25
Collecter les
Outils (logiciels)
Attaquer la
victime
3
Novembre Dcembre 2005
Version 1.01
Se vanter
26
Dmarche intermdiaire
Collecter les
Outils et se
documenter
Collecter des
informations
3,5
Novembre Dcembre 2005
Version 1.01
Identifier la
cible
Attaquer
la victime
27
Identifier la
cible
Collecter des
informations
3,5
Novembre Dcembre 2005
Version 1.01
Dvelopper
les outils
Attaquer
la victime
28
Attaques
Attaque != Vulnrabilit
Attaque
Action de malveillance consistant tenter de
contourner les fonctions de scurit dun SI (ISO)
Vulnrabilit
Faiblesse ou faille dans les procdures de
scurit, les contrles administratifs, les
contrles internes dun systme, qui pourrait tre
exploite pour obtenir un accs non autoris au
SI, un de ses services, des informations ou
la connaissance de leur existence et de permettre
de porter atteinte la confidentialit, lintgrit
et la disponibilit du SI et de ses informations
Novembre Dcembre 2005
Version 1.01
29
Vulnrabilits
Dans la conception
Matriel
Protocole
Architecture (Systme, Rseau, )
Logiciel (OS, application, )
Dans limplmentation
Matriel
Protocole
Architecture (Systme, rseau )
Logiciel (OS, application, )
Configuration, exploitation
quipement (Routeurs, Firewalls, Serveur, )
Logiciel (OS, application, )
Novembre Dcembre 2005
Version 1.01
30
Attaques
Intrusions
Vandalisme
Denis de service (DOS)
Vol dinformations
Escroqueries
31
Attaques (1)
Intrusions
Recherche de mots de passe
Dictionnaire
coute du rseau
Brute force
Le Spoofing
Les sniffers et scanners
Les exploits
Novembre Dcembre 2005
Version 1.01
32
Attaques (2)
Vandalisme
Destruction de fichiers
Destruction de systmes
Dfiguration de site Web
33
Attaques (3)
Denis de service (DOS)
Bombes logiques (virus)
Le flood
TCP-SYN Flooding
Le Nuke
Le spamming
34
Attaques (4)
Vol dinformation
Suite une intrusion
Interception
coute
Cryptanalyse
35
36
37
38
39
40
Les virus
Programme informatique situ dans le corps
d'un autre, qui, lorsqu'on l'excute, se charge
en mmoire et excute les instructions que
son auteur a programm
Diffrents types.
Les vers
Les troyens
Les bombes logiques
Les spywares
41
42
43
44
45
Taxon (biologie)
Unit formelle reprsente par un groupe
dorganismes, chaque niveau de la
classification.
46
Incident
Attaque
vnement
Attaquant
Outil
Vulnrabilit
Action
Cible
Rsultat
Objectif
Terroriste
Attaque
physique
Conception
Sonde
Compte
utilisateur
Accs
illgitime
Challenge,
distraction
Espion
change
dinformation
Implmentation
Scanne
Processus
Divulgation
dinformation
Gain
financier
Crime
organis
Commande
utilisateur
Configuration
Flood
Donne
Corruption
dinformation
Gain
stratgique
Militant
Script,
programme
Authentifie
Ordinateur
Denis de
service
Destruction
Hacker
Toolkit
Court-circuite
Rseau
Vol de
ressource
Vengeance
Employ
Agent
autonome
Spoof
Composant
du SI
Destruction
de ressource
Cracker,
vandales
Outil
distribu
Vol
Trappe
Modifie,
copie, efface
Dtruit
47
Qui croire ?
Personne ! (mthode paranoaque)
Tout le monde nest pas mal intentionn
Il existe des gens mal intentionns
Il existe des gens bien intentionns mais
irresponsables (Microsoft, ebay,)
48
Comment protger ?
Pas de scurit
Miser sur la discrtion
Scurit des systmes
Scurit du rseau
Sensibiliser et former le personnel
Aucun modle de scurit ne peut rsoudre
tous les problmes
Dfinir une politique de scurit
Dfinir une dmarche scurit
Novembre Dcembre 2005
Version 1.01
49
La politique de scurit ?
Cest un dispositif global dont la mise en uvre
assure que linformation peut tre partage dune
faon qui garantit un niveau appropri de protection
de cette information et des actifs lis.
Toutes mthodes, techniques et outils concourant
la protection linformation contre un large ventail
de menaces afin :
De garantir la continuit dactivit de lentreprise,
De rduire les dommages ventuels sur lactivit de
lentreprise,
De maximiser le retour sur investissement des Systmes
dInformation.
Novembre Dcembre 2005
Version 1.01
50
51
52
53
54
55
56
57
58
SECURITE DE
LINFORMATI
ON
ISO 17799
Introduction
Contrles 17799
ISO 13335
Modle de Management
SECURITE
DES T.I.C
Risks management
Mesures de scurit
59
60
10%
Fonctionnels
Rglementation et lois applicables,
Gestion des ressources humaines,
Oprationnels
10%
80%
61
62
63
64
65
66
Scurit
lie au
personnel
Minimiser
les
dysfonctionnement,
dommages
en
cas
dincident
ou
de
67
68
70
de
dconnexion
automatique
en
cas
71
72
73
10
Conformit
74
75
Systme de Management de la
Scurit de lInformation.
Management System : Systme pour tablir la politique
et les objectifs et pour atteindre ces objectifs (ISO guide
72).
Les systmes de management sont utiliss dans les
entreprises pour dvelopper leurs politiques et les mettre
en application travers des objectifs et des cibles en
utilisant:
Une organisation dans lentreprise,
Des processus et des ressources associs,
Des contrles et une mthode dvaluation,
Des processus de rvision pour garantir que les anomalies sont
corriges et mettre en uvre des axes damlioration le cas chant.
Novembre Dcembre 2005
Version 1.01
76
Systme de Management de la
Scurit de lInformation (2).
Certaines organisations commencent aborder la
scurit de linformation comme un systme
intgr appel un Information System Management
System (ISMS).
Mise en uvre dun vrai processus danalyse,
dlaboration de contrle et dvolution dune
politique de scurit en appliquant un concept bien
connu en qualit, le modle PDCA.
77
Systme de Management de la
Scurit de lInformation (3).
Modle PDCA.
MODELE PDCA
PLAN: Etablir les objectifs
conformment aux risques et aux
exigences de scurit,
DO: Implmenter et oprer les
fonctionnalits et procdures,
CHECK: Grer les incidents, les erreurs,
auditer,
ACT: Faire voluer la politique et les
moyens conformment aux besoins.
78
Systme de Management de la
Scurit de lInformation (4).
Les normes pour construire un SMSI.
79
La certification BS7799-2
A linstar de ISO 9000 pour le management de la qualit,
BS 7799-2 est la seule norme et certification qui existe
actuellement pour les ISMS.
Dfinit les conditions pour ltablissement, la mise en
uvre et la documentation dun ISMS,
Dfinit les exigences de contrles pour la scurit devant tre mis en
application selon les besoins de diffrents organismes,
Elle se compose de 10 chapitres de 127 contrles,
Ncessite 2 tapes (audit de la documentation puis audit de
limplmentation),
En France, le COFRAC (Comit Franais dAccrditation et de
Certification) peut valider un schma de certification BS 7799-2.
80