La Scurit Informatique.

Plan de lexpos.
I. Pourquoi la Scurit Informatique.
II.La politique de Scurit Informatique.
III. Mise en uvre de la scurit
Informatique.
IV. Attaques, Contre-mesures.
Conclusion

I. Pourquoi la Scurit Informatique.

Question Liminaire:
Quelle est votre vision de la Scurit
Informatique ?
Vous confiez vos donnes, quelle
conscience avez vous des possibles
vnements fcheux?

tat des lieux, Clusif 2002

Entreprises franaises attentistes
Il y a un budget.
Sinistres en 2002
Recul des vols, beaucoup derreurs de
conception
Beaucoup de pannes et de virus
Sous estimation, ignorance de la menace
interne.

Le besoin de Scurit Informatique.

Les socits sont devenus dpendantes de
leur outil informatique.
Internet et le travail avec les rseaux ouverts
introduisent une rvolution pour la scurit.
Les systmes dIntelligence sont rpartis.
Les morceaux sont interconnects.
Le succs dInternet na pas t prvu.

Les conditions du bon

fonctionnement du systme.
Intgrit des donnes.
Limitation des accs,

Confidentialit des donnes.

Obligation lgale, confiance,...

Assurer la disponibilit des services.

Fiabilit, performance,

II. La politique de Scurit

Informatique.
La PSI est lensemble des principes et des
rgles de scurit pour la gestion et le
fonctionnement du systme dinformation.

Objectif de la PSI
Son objectif est de protger les actifs
informatiques contre les risques, dune
manire adapte lentreprise, son
environnement et ltat de son outil
informatique.

Objectif:

Ce qui implique que le responsable de scurit se

charge des activits de:

Protger

Conception, mise en uvre, et maintenance des

contre-mesures de scurit

les actifs informatiques de

l'entreprise

Identification des actifs informatiques (information,

applications, systmes, ressources humaines).
Dtermination de la valeur des actifs:
pour l'entreprise, et
pour les intrus potentiels

contre les risques

Identification des risques, ce qui implique

l'identification des actifs vulnrables sur lesquels
psent des menaces significatives

et ce, d'une manire qui est

adapte l'entreprise,

Dtermination du niveau de criticit des diffrents

actifs informatiques. Dtermination du meilleur
quilibre entre risques et cot de protection

son environnement

Identification des menaces:

internes et externes,
d'origine accidentelle ou intentionnelle

et l'tat de son outil

informatique.

Identification des vulnrabilits des actifs informatiques

Chronologie de la PSI
Identification des actifs

Identification des
menaces

Dtermination de la valeur
des actifs

Identification des
vulnrabilits

Identification des
risques

Dtermination du niveau de
criticit des actifs

Conception, mise en uvre et maintenance des

contre-mesures

Principes de bases.
La Scurit 100% est une utopie.
Le tout scurit est pire que le mal.
Toujours avoir une vision globale
La Scurit est un ternel compromis.

III. Mise en uvre de la PSI.

Protger quoi?
Pourquoi?
Contre Quoi?
Contre Qui?
A quel cot?

Vulnrabilit, Menaces, Risques.

Dfinition de la vulnrabilit:
Faille matrielle ou logicielle qui permet
dobtenir un accs non autoris ou de
provoquer un Dni de Service.
Naturelle, Physique, Logique,
Ex. eau, incendie, lecteur, absence de MJ

Menaces.
Dfinition de la Menace:
Expression de nuire autrui.
On distingue, les attaques externes, internes et
physiques.

Les attaques externes.

Intrusion via le rseau
Diffusion de virus
Elles sont mdiatises, connues
Elles sont rares (20%)
Ncessites pare-feu, la surveillance du
rseau, isolation des zones sensibles.

Les attaques internes.

Le cas typique est lemploy pas content,
mais alors pas du tout content.
Ce sont les plus frquentes.
Lutte complexe.
Employer des serveurs distincts.

Les attaques physiques.

Cest un risque majeur.
Difficile contrer sans une rflexion en
amont. (Ex. Franaise des Jeux,)
La plus connue est la pose dun sniffeur.

Postulat.
Plus le niveau de scurit initial sera lev,
plus il sera simple de dvelopper et de
suivre les standards et les procdures pour
le maintenir niveau.
viter de sen remettre la chance.

Le cot.
Aucune assurance nest gratuite.
La politique de scurit est l pour le rendre
acceptable.
Cest un compromis.
La perte de donnes vitales cote beaucoup
plus (Perte dexploitation, etc.)

Bases dune PSI (1)

Volont de la direction Gnrale.
Exerc par un Responsable de la scurit.
Elle concerne tout le monde. (pas
dexception)
Elle est discute, on y adhre.

Bases dune PSI (2)

Elle ne dpend pas de la technique.
Elle dfinit la technique utilise.
Elle se base surtout sur linformation et la
FORMATION.

Concrtement
Une SI cest 80% de bon sens.
Il faut connatre son environnement.
tre inform, SANS, CERT, CNRS-CRU, le
site du fabriquant de votre OS.
Elle doit tre COHRENTE, sinon vous tes
le maillon faible,

La gestion des incidents de

scurtit. PARLER SANS HONTE
Recommandations pour les incidents de scurit.
Informer la direction. (plainte)
Informer le responsable de scurit (traitement de
lincident)
Stopper les services compromis
SAUVEGARDER le systme pour garder les traces
NE PAS DONNER DINFORMATIONS SUR
LINCIDENT
Analyse et comprendre lintrusion et valuer les dgts.
Faire changer les mots de passe.
Recherche les sniffeurs ventuels,

Aspects lgaux.
Voir feuille de synthse.
Le non droit est une ide reue,
Le problme cest la preuve et la
complexit des recours.

Lgislation (1)
Loi relative la proprit intellectuelle.
Droit dauteur. Loi 85-660 du 3 juillet 1985.
Code de la proprit intellectuelle.
Proprit intellectuelle des uvres numriques.
Article sur la situation du logiciel en France.
Fraude informatique, Loi du 5 janvier 1988 Godfrain

Dlibration de juillet 1981 sur la SSI

Organisation mondiale de la proprit intellectuelle.

Lgislation (2)
Protection des donnes
Protection des personnes.
CNIL loi 6 janvier 1978.

Responsabilit civile
Art 1382 cciv

Code pnal, art 462-2 462-9.

La signature lectronique.
Loi de rglementation des tlcommunications
Loi Toubon.

La gestion des incidents de

scurit.
Recommandations pour les incidents de scurit.
Informer la direction. (plainte)
Informer le responsable de scurit (traitement de
lincident)
Stopper les services compromis
SAUVEGARDER le systme pour garder les traces
NE PAS DONNER DINFORMATIONS SUR
LINCIDENT
Analyse et comprendre lintrusion et valuer les dgts.
Faire changer les mots de passe.
Recherche les sniffeurs ventuels.

IV Attaques, Techniques de
Dfenses.

Inventaire des outils de dfense.

Les Firewall. (remarques ils ne sont pas
infaillibles)
valuation de vulnrabilit, scanners.
Systmes de dtection dintrusion.
Journalisation et audit
Perceur de mots de passe
La cryptographie.
Le bon sens

Survol des menaces externes

Attaque par connaissance.
Attaque par ngligence.
Attaque aveugle.

Attaque par connaissance.

Exploite:
La mauvaise gestion des mots de passe
La mauvaise administration des appareils
(gestion des logins, gestion de la configuration
des routeurs.

Attaque par ngligence.

Exploite:

Mauvaise information .
Mauvaise stratgie de Mots de Passe,
Faiblesse des contrles
Faille dans les mises jours (patchs, virus, etc.)
Mauvais paramtres de Firewall

Attaque aveugle.
Exploite:
Toutes les failles de lattaque par
ngligence.
Consquence dune mauvaise gestion du
systme.

Petite liste des attaques connues.

Attaque par spoofing ou attaque par
usurpation
Attaque par dissimulation didentit.
Le problme des sniffeurs (prsent dans une
majorit dattaque.)
Attaque de Dni de Service.
Vers virus
Troyens

CONCLUSION

Le risque majeur devient un

risque rsiduel.
Pour aller plus loin, Le Hacking, les mthodes de
scurits, les stratgies rseaux,