le support du cours 2015-2016

Sécurité
Une vision généraliste et
méthodologique
Marc DANIEL
Ecole Polytech Marseille,
Campus de Luminy, case 925, 13288 Marseille cedex 9
[email protected]
Novembre 2015
ESIL, Sécurité 1
Sommaire
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
Préambule
Système d’information
Les risques
Exemples récents et moins récents
L’évolution des risques
Les organismes officiels
Démarche qualité
Certification
Les organismes
Stratégie générale
Aspects humains
Quelques principes
Conclusions
ESIL, Sécurité 2
1
Préambule
•  la sécurité, cela concerne quoi ? (liste non exhaustive et personnelle)
protection contre les accidents
protection physique
qualité de l’environnement
fiabilité des systèmes, pannes
tolérance de pannes
système de secours
sauvegardes
maintenance
qualité des logiciels (de base, applicatifs)
confidentialité
intégrité liée au réseau
intrusion réseau
virus
piratage
…..
ESIL, Sécurité 3
Préambule
•  la sécurité, cela concerne qui ?
Directement :
• 
• 
• 
Les informaticiens
Les dirigeants
Les utilisateurs
Indirectement
•  Tous les membres du groupe concerné par le système d’information
•  Les conséquences peuvent être dramatiques
ESIL, Sécurité 4
2
Le système d’information
La sécurité est :
•  Un enjeu économique et social fondamental
•  Voire même un enjeu pour l’intégrité de la nation
–  Attaque directe des ordinateurs
–  Désorganisation des sites
–  Désinformation
•  Défi permanent
– 
– 
– 
– 
Progrès des techniques et des logiciels
Plus vite que la sécurité
Appropriation des techniques par tous, réseaux rapides pour tous
Risques de plus en plus élevés, délinquants de + en + inventifs
☛  Principe de l’action-réaction
Pourrait-on anticiper ?
ESIL, Sécurité 5
Le système d’information
•  L’homme est, heureusement, au cœur du système
–  Il doit le rester
–  Il est faillible
Le risque 0
•  n’existe pas
•  n’existera jamais
•  La sécurité a un coût
–  élevé
–  à maîtriser
–  à accepter
ESIL, Sécurité 6
3
Le système d’information
Les risques sont énormes, mais
•  il y a peu de sinistres
•  ou plutôt peu de sinistres déclarés : « cela fait désordre » !
– 
– 
– 
– 
entreprise non sécurisé,
ne correspondant pas au discours officiel
domaine stratégique non infaillible,
…
•  pas (encore ?) le même arsenal de moyens
–  d’action
–  de répression
•  Quelle est la réalité suivant les pays ?
ESIL, Sécurité 7
Le système d’information
Etude récente (2014) du CLub de la Sécurité des Systèmes
d’Information Français (CLUSIF : www.clusif.asso.fr)
(http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-Rapport-2014.pdf)
•  Incidents de sécurité dans les entreprises
–  les pertes de services essentiels : 39%,
–  les vols : 37%,
–  les pannes d’origine interne : 35%.
ESIL, Sécurité 8
4
Les risques
3 groupes non cloisonnés
•  accident
•  erreur
•  malveillance
où s’arrête l’erreur où commence la malveillance ?
ESIL, Sécurité 9
Exemples récents et moins récents
On peut trouver des exemples de problèmes dans tous les
domaines. Cela n’arrive pas qu’aux autres
•  Mauvais montage du système automatique anti-incendie
(Ecole Centrale de Nantes, années 85-90 ?)
•  Onduleur trop lourd pour le faux-plancher (Ecole Centrale
de Nantes, années 85-90 ?)
•  Mauvais raccordement de l’onduleur après changement des
batteries (Ecole Centrale de Nantes, années 90-95 ?)
ESIL, Sécurité 10
5
Exemples récents et moins récents
On peut trouver des exemples de problèmes dans tous les
domaines. Cela n’arrive pas qu’aux autres
•  serveurs de l’IUT Noël 2000
•  Spam interne par deux étudiants de l'ESIL du serveur de
courrier pop le 23 mars 2001 au soir
•  serveur HS . 1/2 journée de travail, mails perdus, serveur inutilisable le WE.
•  Perçage du chauffe-eau de la cafétéria de l’ESIL (25 mai
2003)
–  Environ 100 l d’eau sur les serveurs de la salle machine
–  Un dimanche !
•  Les accès dans ce bâtiment ….
ESIL, Sécurité 11
Exemples récents et moins récents
•  En 2008, Hervé Falciani quitte la Suisse avec une liste
clients de comptes numérotés de HSBC (interne)
•  En 2013, Edward Snowden, ancien de la CIA divulgue des
informations sur la National Security Agency (interne)
•  Mai 2015, AdultFriendFInder piraté (de l’ordre de 60
millions de clients) (interne ou externe ?)
•  Juillet 2015, Ashley Madison, site de rencontre adultères,
piratés et informations divulguées (interne ou externe ?)
•  2014 Tesla : voiture électrique haut de gamme
–  Mon de passe de 6 (8 ?) caractères attaquable directement à partir du
site. Pas de limitation du nombre d’essais.
–  On peut verrouiller, déverrouiller, prendre le contrôle de la voiture à
distance …
ESIL, Sécurité 12
6
Exemples récents et moins récents
•  En avril 2015, Thalès, spécialiste de la cyber-sécurité, admet
avoir de subir une grosse attaque via la prise de contrôle de son
système aux USA.
–  http://www.lemondeinformatique.fr/actualites/lire-thales-pirate-comme-les-autres-60848.html
–  Voir aussi le Canard Enchainé du 4/11/2015
ESIL, Sécurité 13
L’évolution des risques
•  Le risque devient réparti
Grands systèmes
De nouveaux problèmes de sécurité
les anciens restent !!
Mini-informatique « répartie »
Les grilles de calcul
???
Micro-informatique distribuée,
Informatique de bureau
Informatique portable
Informatique
« Grand-Public »
« Nano-informatique » généralisée
ESIL, Sécurité 14
7
L’évolution des risques
•  Il y a 25 ans les risques étaient essentiellement techniques
–  pannes
–  problèmes sur les supports magnétiques
–  vol de disques, de listing, de cartes perforées, ...
•  Actuellement, les plus gros risques sont les risques de
malveillance (en constante augmentation)
–  Interne (très important)
–  Externe
•  Ne pas oublier les autres risques :
–  ex : bogue de l’an 2000
–  ex : tempête de fin 1999, 11 septembre 2001
ESIL, Sécurité 15
L’évolution des risques
•  Paradoxe : le problème est de plus en plus centré sur
l’homme que sur la technologie
•  Micro-informatique non adaptée à la sécurité
(accroissement du risque interne)
•  L’informatique portable est excessivement vulnérable
–  Vol, indiscrétion
–  connexion depuis l’extérieur avec tous les droits
voire même avec des mots de passe enregistrés
•  Problème de majeur de l’ADSL, du WIFI, de la 3 ou
4G et du grand public
–  Connexion permanente et rapide
–  Débits « colossaux » …. Utile ?
–  Une machine connectée non protégée est infestée en quelques
minutes
ESIL, Sécurité 16
8
Les organismes officiels
•  la CNIL Commission Nationale de l’Informatique et des
Libertés
(http://www.cnil.fr)
Missions
•  Recenser les fichiers, en enregistrant les demandes d'avis et les
déclarations, en tenant à jour et en mettant à la disposition du public le
"fichier des fichiers",
•  Contrôler, en procédant à des vérifications sur place,
•  Réglementer, en établissant des normes simplifiées, pour les traitements
les plus courants et les moins dangereux,
•  Garantir le droit d'accès, en exerçant le droit d'accès indirect, en
particulier au fichier des Renseignements Généraux,
•  Instruire les plaintes,
•  Informer les personnes de leurs droits et obligations, conseiller,
proposer des mesures qui lui paraissent utiles.
ESIL, Sécurité 17
Les organismes officiels
Loi informatique et liberté : droits et les obligations
Tout traitement automatisé d'informations nominatives doit, avant sa
mise en œuvre, être déclaré ou soumis à l'avis de la CNIL afin :
•  de responsabiliser les utilisateurs de données nominatives
•  de permettre à la CNIL de contrôler et d'influencer les choix effectués
•  d'assurer, grâce à la publicité à laquelle elles donnent lieu, la
transparence nécessaire à l'exercice des droits des personnes concernées
par les traitements.
ESIL, Sécurité 18
9
Les organismes officiels
NATURE DE CES FORMALITÉS :
•  Un régime d'AVIS pour le secteur public : les traitements publics sont
créés par un acte réglementaire après avis motivé de la CNIL
•  Un régime de DÉCLARATION pour le secteur privé
•  Un régime de déclaration simplifiée pour les traitements les plus
courants, publics ou privés
• 
• 
• 
• 
quelle sera la finalité du fichier ?
quelles informations vont être enregistrées, pendant combien de temps ?
qui y aura accès ?
à quel service les personnes peuvent-elles s'adresser pour exercer leur droit
d'accès ?
• 
Le responsable du fichier s'engage à se conformer à sa déclaration. Sa
déclaration ne l'exonère aucunement de ses responsabilités. Son fichier doit être
conforme à la loi, à toute la loi.
ESIL, Sécurité 19
Les organismes officiels
•  L’Agence Nationale de la Sécurité des Systèmes
d’Information (ANSSI), service dépendant du Premier
Ministre (http://www.ssi.gouv.fr/)
Quelques missions
•  Evalue les procédés de chiffrement, les produits et systèmes
•  Agrée les équipements, produits, … utilisées pour le traitement des
données classées défense
•  Procède à l’agrément des prestataires de services
•  Procède à l’agrément des CESTI
•  Certifie les produits évalués par les CESTI
•  Instruit les demandes autour de la cryptologie
•  Elabore et distribue les clés de chiffrement pour le secteur public voire
privé
•  Participe aux actions de normalisation
ESIL, Sécurité 20
10
Les organismes officiels
Le site du ANSSI fournit
•  des guides
–  Voir le site
•  des catalogues
•  des recommandations
•  des documents d’aide à la réalisation, exemples :
–  L’Information Technology Security Evaluation Criteria (ITSEC)
–  L’Information Technology Security Evaluation Manuel (ITSEM)
ESIL, Sécurité 21
Les organismes officiels
•  les CESTI Centres d’Evaluation de la Sécurité des
Technologies de l’Information
centres publics ou privés
Missions
•  Evaluer de façon indépendante et suivant des règles de schémas fournis
les produits en vue du certification par la DCSSI
•  Peut proposer de l’expertise
ESIL, Sécurité 22
11
Les organismes officiels
•  L’OCLCTIC Office Central de Lutte Contre la Criminalité
liée aux Technologies de l’Information et de la
Communication (OCLCTIC) dépend de la Police Nationale
(http://www.interieur.gouv.fr/police/oclctic/Presentation.htm/)
–  (organisme créé par décret en mai 2000)
Double mission :
•  opérationnelle, par la réalisation d'enquêtes judiciaires de haut niveau
technique menées d'initiative ou à la demande des magistrats, l'assistance
technique à l'occasion d'enquêtes judiciaires menées par d'autres Services
(pédophilie, prostitution, trafic de stupéfiants, ...) ;
•  stratégique, par la formation, l'animation et la coordination de l'action
des autres Services répressifs, compétents en matière d'infractions liées
aux technologies de l'information et de la communication, la coopération
internationale
ESIL, Sécurité 23
Les organismes officiels
•  ARCEP Autorité de Régulation des Communications
Electroniques et des Postes (http://www.arcep.fr/)
–  Anciennement ART
Liens fondamentaux entre l’ARCEP et l’informatique :
1) Vecteur de transport de l’information
2)  réseaux métropolitains, régionaux, inter-entreprises, …
➨  fournisseurs « indirect » de télécommunications
Il faut
•  définir des GFU (groupes fermés d’utilisateurs) et
•  travailler à l’intérieur du GFU
ESIL, Sécurité 24
12
Autres organismes
LES CERT (Computer Emergency Response Teams)
groupes au service d’une communauté identifiée
(ex. CERT Renater (Reseau National Technologie, Enseignement, Recherche),
CERT-FR)
Mission
•  Réagir efficacement et au plus vite sur les problèmes de
sécurité
– 
– 
– 
– 
compétences techniques pointues
points de contact en cas de problème
relations avec les autres organismes (confiance mutuelle)
volonté de prévention
•  origine : « internet worm » en 88, atteinte de milliers de
stations Unix en 24 h.
•  plutôt orienté vers les communautés « ouvertes »
ESIL, Sécurité 25
Autres organismes
LES CERT (Computer Emergency Response Teams)
•  En cas de problème : contacter le CERT dont on dépend
– 
– 
– 
– 
chaîne de confiance internationale ayant tous les points d’entrée
« banque de données » des problèmes
compétence
rediffusion de l’information
•  Groupes de « pression »
•  Ne se substituent pas aux sites pour les actions policières et
de justice
ESIL, Sécurité 26
13
La démarche qualité
•  La démarche qualité vue comme :
–  approche méthodologique
–  gestion de l’entreprise
☛ pour une approche de la sécurité
•  La qualité d’une entité est l’ensemble des caractéristiques
qui lui confèrent l’aptitude à satisfaire des besoins exprimés
ou implicites (ISO 8402)
• 
• 
• 
• 
Pas de recette unique
Pas de solution toute faite
Pas de recette miracle
Démarche très lourde et très contraignante
ESIL, Sécurité 27
La démarche qualité
•  La démarche qualité doit répondre à un besoin
• 
• 
• 
• 
d’organisation
d’image de marque, de compétitivité
d’amélioration de défauts
...
•  Beaucoup de bon sens bien organisé
•  Communication
–  diffusion de documents
–  relations humaines
•  Un état d’esprit
–  provenant du plus haut niveau
–  partagé par tous
ESIL, Sécurité 28
14
La démarche qualité
• 
• 
• 
• 
Il faut des objectifs que l’on peut tenir
Compter sur l’effet de « contagion »
Avoir une démarche positive
Démarche (sans fin) « contrôle-amélioration »
Mise en place
de procédure
Correction
Contrôle, audit,
mesure
Analyse
ESIL, Sécurité 29
La démarche qualité
•  Ce n’est pas le 0 défaut
–  mais un perpétuelle remise en cause pour améliorer
–  Il faut viser l’assurance qualité
•  garantie que l’entité satisfait aux exigences de qualité
•  pas comment on le fait mais comment on le maîtrise
•  Différentes qualités
– 
– 
– 
– 
– 
attendue
spécifiée
conçue
maintenue
perçue
Valable pour la sécurité
Attendue = Perçue ?
ESIL, Sécurité 30
15
Certification et critères
Une certification
•  permet de développer une méthodologie
–  un cadre de travail fourni par la norme
–  pose les bonnes questions
–  on peut évaluer sans vouloir certifier
•  donne une assurance interne
•  offre des garanties aux partenaires
•  « peut » devenir une nécessité
–  agrément défense
–  Administration, Zone à Régime Restrictif (ZRR)
–  ...
ESIL, Sécurité 31
Certification et critères
•  La sécurité intervient dans les normes ISO 9000
–  norme qualité en général
–  pas sécurité en particulier
•  Critères européens de sécurité (ITSEC)
–  l’Information Technology Security Evaluation Criteria (ITSEC)
–  l’Information Technology Security Evaluation Manual (ITSEM)
–  concerne les produits ou les systèmes
•  Critères américain (TCSEC) (Trusted Computer System
Evaluation Criteria)
•  NIST FIPS
–  National Institute of Standards and Technology
–  FIPS : Federal Information Processing Standards publications (réalisées
par le NIST)
ESIL, Sécurité 32
16
Certification et critères
Architecture sécurité X800
•  ITU International Telecommunication Union (UIT) en français
•  https://www.itu.int/rec/T-REC-X/fr
•  Série de recommandations
– 
– 
– 
– 
– 
– 
– 
X800, X805 (architecture des systèmes ouverts),
Les couches de sécurité X810,
Authentification X811,
Contrôle d'accès X812,
Non répudiation X813
Confidentialité des données X814,
Intégrité des données X815
ESIL, Sécurité 33
Certification et critères
•  Existence de méthodes d’évaluation de la sécurité
–  ex MÉHARI : Méthode Harmonisée d’Analyse du Risque Informatique,
basée sur MARION ( Clusif ) développée en 1984 , MELISA ( DCN )
•  Méthode ancienne
–  EBIOS (version 2010) 100 pages de méthodologie (Expression des
Besoins et Identification des Objectifs de Sécurité)
•  Permet d'apprécier et de traiter les risques.
•  éléments nécessaires à la communication au sein de l'organisme et vis-à-vis de ses
partenaires,
•  validation du traitement des risques
•  http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identificationdes-objectifs-de-securite/
ESIL, Sécurité 34
17
Stratégie générale
Politique à suivre, dans l’ordre :
1) Etre conscient de l’importance
2) Evaluer les risques, en déduire les enjeux
3) Convaincre les dirigeants de l’intérêt des investissements
par rapport aux enjeux réels
–  pour l’entreprise
–  pas pour les informaticiens
4) Gérer le problème de la sécurité en fonction du budget
alloué
5) « sensibiliser » les utilisateurs
6) Prévoir de faire évoluer le système
7) Auditer en permanence : ce n’est jamais acquis
GOTO 1
ESIL, Sécurité 35
Stratégie générale
•  Il faut ramener la sécurité aux risques pris chaque jour par
l’organisation
–  Il n’y a pas que l’informatique dans la société
•  Une assurance ne sert que lors d’un problème. Cela revient
donc cher. Il faut être convaincant et performant
•  Pas de solution unique, pas de solution type
•  Réflexion globale :
action (point1) + action (point2) + action (point3)
≠ action_cohérente (point1, point2, point3)
principe de continuité du contrôle de la sécurité
•  à tous les niveaux
•  régulièrement
•  diffusion
ESIL, Sécurité 36
18
Stratégie générale
•  Chercher à utiliser une méthode systématique
–  d’étude
–  d’analyse
–  normes, certifications, directives
•  Il faut une volonté et une implication de l’entreprise
– 
– 
– 
– 
équipe dirigeante
l’ensemble du personnel (risque maximum)
force de conviction
« faire ce que je dis et ce que je fais »
•  La démarche est pluridisciplinaire et participative
•  Beaucoup de bon sens, un peu de technique
ESIL, Sécurité 37
Stratégie générale
Il s’agit de trouver un compromis
•  acceptable
•  accepté de tous
Entre
•  le coût
•  les performances du système
•  la confiance que l’on en a
•  la sécurité réelle
•  la facilité d’accès au système
•  la convivialité
•  Les ressources humaines disponibles ...
ESIL, Sécurité 38
19
Stratégie générale
Considération importante
•  Les coûts informatiques sont lourds pour une entreprise
•  Un système d’information demande beaucoup d’efforts
–  financiers
–  humains
•  Lors de la mise en place d’un projet, il faut mieux intégrer
immédiatement la composante sécurité
–  la faire évoluer par la suite
☛ Plus crédible, donc mieux accepté
☛ Plus efficace
☛ Moins cher
ESIL, Sécurité 39
Stratégie générale
•  La sécurité est comme une chaîne :
Un seul maillon fragile et la chaîne casse
•  La résistance du système est celle du maillon le plus faible. Il
faut équilibrer les efforts.
ESIL, Sécurité 40
20
Stratégie générale
Attention à :
•  L’incohérence des moyens (organisation, investissement)
•  Adéquation moyens ↔ enjeux
•  Installation de moyens
– 
– 
– 
– 
sans étude préalable ou étude insuffisante
sans concertation
sans formation
sans information
•  La cohésion des personnes
• 
La technique
•  La technique dépend de la politique et non l’inverse
ESIL, Sécurité 41
Aspects humains
Rappel : Beaucoup de problèmes viennent de l’intérieur
Attention à :
•  Politique de l’entreprise et à son respect
•  Relations humaines
•  La communication
•  Gestion du personnel : RISQUE LE PLUS IMPORTANT
– 
– 
– 
– 
– 
les affectations
les sensibilités
le cloisonnement
la sensibilisation
la formation
–  la gestion des visiteurs
ESIL, Sécurité 42
21
Aspects humains
•  Mettre en valeur l’aspect déontologique
•  Définir ou suivre des codes d’éthique
–  existent au niveau international
•  Définir des chartes d’utilisation
– 
– 
– 
– 
signé par chaque utilisateur
en complément de l’arsenal juridique
politique interne
sanctions internes
•  Ce qui est décidé doit être fait et doit être tenable
–  problème de crédibilité
ESIL, Sécurité 43
Aspects humains
•  Comprendre les enjeux des utilisateurs et en tenir compte
–  meilleure acceptation de la politique
•  Faire comprendre les enjeux aux utilisateurs
–  meilleure participation à la politique
•  La participation doit être universelle
•  Tout peut être ruiné
–  par un refus de la politique
–  par ignorance
–  par négligence
•  machine sans mot de passe, modem, ...
ESIL, Sécurité 44
22
Quelques principes
•  Attitudes possibles
–  ne rien faire
–  sécurité par l’obscurité (ne pas faire de bruit, ne rien diffuser
officiellement, se dire que l’on est pas connu, ….
–  Sécurité individuelle (par machine) : peu efficace surtout dans un
parc réparti et hétérogène
•  niveau de responsabilité et de confiance
•  micro-informatique
•  hétérogénéité des systèmes d’exploitation et des versions
–  Protection globale au niveau du réseau
•  Association des trois politiques
•  Attention aux solutions hétéroclites, farfelues, peu diffusées
–  ou maîtriser les risques
ESIL, Sécurité 45
Quelques principes
Il y a deux choix à faire :
•  Ce qui n’est pas explicitement autorisé est interdit
•  Ce qui n’est pas explicitement interdit est autorisé
•  Restriction maximale et ouverture partielle
•  Ouverture totale et restriction partielle
ESIL, Sécurité 46
23
Quelques principes
Le principe du moindre privilège
•  Il ne faut fournir à chacun que le minimum utile
–  Pourquoi fournir tout le trousseau de clés quand une clé est
nécessaire ?
–  Voiture : clé de contact ≠ clé de portière ≠ clé du coffre
•  Idée simpliste, fondamentale
•  Est-elle respectée ?
–  Ex : qui a les clés de la salle machine ?
ESIL, Sécurité 47
Quelques principes
Deux problèmes à ce principe
•  Cheminement direct et indirect
–  clé du coffre séparée sur une voiture … et manette d’ouverture dans
l’habitacle
–  accès modem via un smartphone, comptes multiples, machines
multiples
•  Laisser suffisamment d’accès
–  protection de fichiers : il manque toujours des accès
–  contraintes pour les utilisateurs
Attention aux réactions des utilisateurs frustrés
ESIL, Sécurité 48
24
Quelques principes
•  Il est indispensable de bien connaître le système dans son
intégralité pour avoir une vision globale, complète,
cohérente
•  Il faut étudier les différents états du système, les régimes
associés, les problèmes spécifiques de sécurité
–  un exemple, en cas de dysfonctionnement, il faut bloquer non ouvrir
•  filtrage de paquets : aucun paquet ne doit passer
•  accès bâtiment : blocage (dans le respect de la sécurité)
•  Faire des goulets d’étranglements réels et contrôlables
–  garde barrière
–  accès au bâtiment
•  Sécurité en cascade … pour un coût raisonnable
–  plusieurs verrous
ESIL, Sécurité 49
Quelques principes
•  Mélanger différentes défenses
–  comme pour une maison ...
•  Prise en compte de l’aspect confidentialité des données
internes. Faire une typologie des informations à protéger
–  aspect légal
–  rapport de confiance avec les utilisateurs
•  Définir un politique pour assurer la qualité du logiciel
développé localement voire diffusé
–  conséquences locales
–  extérieures
•  aspects légaux, confiance
•  sécurité (aviation, espace, automobile, …)
ESIL, Sécurité 50
25
Quelques principes
•  Il faut dégager des budgets pour la sécurité
–  formation
–  information
–  technique
•  Il faut éduquer en matière de sécurité
– 
– 
– 
– 
– 
– 
PC sur le réseau sous tension en permanence
portables
enquêtes
mots de passe
de la bonne utilisation du réseau …
apprendre à gérer les documents et les sauvegardes
ESIL, Sécurité 51
Quelques principes
•  Il faut se documenter, documenter, informer
–  utiliser les forums,
–  les avis des sites fiables,
–  les « newsgroups » (indépendamment de la communauté)
–  attention néanmoins à la malveillance possible
•  Il faut gérer et assurer le suivi des problèmes (démarche
qualité !)
•  Il faut avoir une attitude de veille technologique
•  On peut aussi réfléchir à
–  sous-traiter sa sécurité par des entreprises spécialisées
–  faire héberger ses applications
ESIL, Sécurité 52
26
Conclusions
•  Ce qui n’est pas explicitement autorisé est interdit
•  On restreint au maximum et on ouvre partiellement
•  La sécurité a un coût. Il provient essentiellement des
ressources humaines
•  Les principes à appliquer ne sont pas généralement pas
complexes
•  La sécurité est un tout et le risque est très grand en interne
•  Porter une attention maximale aux mots de passe
ESIL, Sécurité 53
Conclusions
•  La sécurité n’a pas de sens en dehors d’une politique
générale clairement définie et massivement soutenue à tous
les niveaux
•  La recherche de sécurité est un éternel labeur
•  La technique est loin de faire tout
•  Les relations humaines ont un rôle fondamental
•  Quid de la sécurité et de l’évolution de l’informatique
–  Cloud, smartphones, SMS, MMS, réseaux sociaux, ….
Bonne chance pour la suite !
ESIL, Sécurité 54
27