La sécurité - Pourquoi
Transcription
La sécurité - Pourquoi
Pourquoi parler de sécurité ? “Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 1 La sécurité - Pourquoi ? 2 Pourquoi la sécurité ? (suite) Mais aussi... PME PME Confiance Protéger la réputation Affaires Clients Eviter des pertes financières Satisfaire aux exigences légales, assurances Marché Il est important de noter que nous ne protégeons pas nos biens pour des besoins de sécurité mais nous appliquons des mesures de sécurité pour protéger nos biens e-Business / e-Commerce Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 3 4 Définition La sécurité = {mesures} permettant d’assurer la protection des biens / valeurs. La sécurité informatique, une entrée en matière Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 5 6 1 La sécurité, une entrée en matière Les biens à protéger... Informations (données) 110100110111000 101010111010101 110111111010111 011111100000111 110101010111100 101000010000100 10100101111001 La sécurité = {mesures} permettant d’assurer la protection de l’information & Systèmes Catalogue de services – Offres – Commandes – Contrats - Données clientèles Données financière - Données stratégiques - Données privés des employés (Salaires) - Données de productions… { Systèmes permettant de traiter, stocker et gérer l’information la confidentialité, l’intégrité, la disponibilité, L’authentification. Application – Serveurs - Stations de travail - bases de données - Réseaux internes et externes - Bandes de sauvegarde - CD-ROM/Disquettes – imprimantes… Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 7 8 Ouaaaa ! ! Je ne le crois pas, regarde on est dans le système informatique du Père Noël......Bon, fais ta liste ! ! ! ! ! Se protéger contre qui ? Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 9 Externes Pirates Saboteurs Concurrents Anciens employés Organisations criminelles Internes 10 Externes Employés en transit Travailleurs à domiciles Employés mécontents Fraudeurs Complices / Espions Innocents employés Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Internes Compagnies de nettoyages Compagnies de maintenances Déménageurs Visiteurs Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 11 12 2 Classes de menaces 1 Actes malicieux, calculés, volontaires 2 Evènements involontaires - Accidents (Faute à pas de chance) Se protéger contre quoi ? Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 13 Enquêtes Définition Incidents informatiques frappant les entreprises européennes Codes cachés Erreurs d’utilisation Erreurs de conception (Bogues) Pannes internes Evènements naturels Abus ou fraude d’un utilisateur en interne Piratage (intrusion) 14 78 % 62 % 38 % 37 % 22 % 16 % 8 % Menace : Action, événement, entité pouvant porter préjudice à ce que l’on désire protéger (information, Sytèmes informatiques, Entreprises…) Une menace est générique (ne dépend pas du contexte) Une menace ne peut s’exécuter toute seule. IDC - 2001 Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 15 16 Vulnérabilités Définition Absence ou manque de procédures organisationnelles Vulnérabilité : Réactif (faiblesse) permettant à la menace de s’exécuter Ex: Absence de support et compréhension du management Absence de politique de sécurité Absence de programme de sensibilisation, Absence de personnel qualifié, ... Une vulnérabilité dépend du contexte L’essence même de la sécurité est d’identifier et réduire la présence de vulnérabilités. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Absence ou manque de procédures et mesures techniques Ex: Absence du suivi des problèmes et solutions, Fichier de traces non configurés / non contrôlés, Présence d’utilisateurs fantômes, Absence ou faible niveau de ségrégation du réseau, Manque de contrôle des fichiers téléchargés, Absence de contrôle des médias de sauvegarde, Présence de service non requis sur les machines, Absence de tests négatifs, ... Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 17 18 3 Gestion des risques Faut-il se protéger et jusqu’à quel niveau ? Face à un risque, trois types de réactions possibles: Tout dépend de notre environnement, de nos besoins propres. L’ignorance complète des risques La protection totale La gestion de risques Comment définir ses besoins en sécurité ? En passant par une gestion des risques Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 19 20 Gestion des risques Gestion des risques Exemple: Quel est le risque pour votre entreprise que des systèmes d’informations (serveurs, stations de travail) soient infectés par un virus ? Principes de bases Un risque n’existe que dans le cas où ses trois composantes sont présentes: Un Bien, une Menace et une Vulnérabilité. Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l’impact. L’acceptation d’un risque est, en soi, un risque Niveau de Risque ? Pour votre entreprise IMPACT ? Fonction du marché / environnement PROBABILITE ? Fonction de la présence de vulnérabilités FAISABILITE ? H: Haut M: Moyen F: Faible Le pire des risques est celui dont vous ignorez l’existence Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 21 Identification des mesures applicables 22 Identification des mesures applicables Sécurité Organisationnelle Tenir compte des contraintes liés à votre environnement Analyse de risques Organisation Politique de sécurité Ö Ö Ö Ö Ö Sécurité des utilisateurs Utilisateurs internes / externes Gestion des utilisateurs / mots de passe ou authentifications fortes Sécurité Applicative E-Applications / E-Services Definition des profiles /roles Le budget octroyé L’environnement technique Les ressources disponibles La politique de sécurité de l’entreprise Les nouvelles vulnérabilités introduites Verification des autorisation, Chiffrement des données Sécurité des serveurs Stations / Serveurs / Bases de données Unix/ NT fortification La sécurité réseau Firewall & Infrastructure réseau détecteurs d’intrusions Chiffrement en ligne Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 23 24 4 Identification des mesures applicables Identification des mesures applicables Questions à prendre en considération dans le choix d’une solution Fiches de risques Liste des mesures potentielles Ö Ö Ö Ö Ö Ö Identification des contraintes Plan de sécurité organisationnelle Liste des mesures applicables Plan de sécurité physique Quel problème est-ce que la solution permet de résoudre ? Comment est-ce que la solution permet de résoudre le problème ? Quels autres problèmes la solution permet de résoudre ? Quels nouveaux problèmes la solution engendre ? Quels est le coût de la solution ? Est-ce que la solution vaut la dépense ? Plan de sécurité technologique (IT) Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 25 L’ouvrage étudie et répond à ces questions pour les mesures de sécurité suivantes: Mécanismes d’authentification • Mot de passe statique • Générateurs de codes dynamiques • Cartes à puce • Systèmes biométriques • Signatures digitales et infrastructure à clés publiques • Authentification unique et administration centralisée 26 Implémentation et gestion de la sécurité 3 scénarios envisageables: Ö Utilisation de ressources internes Ö Outsourcing (hébergement) Ö Utilisation de ressources externes La Cryptologie • la cryptographie symétrique • la cryptographie asymétrique • la cryptographie hybride • SSL, PGP, VPN • la stéganographie La sécurité des réseaux • firewall • détecteurs d’intrusions La sécurité du commerce électronique • paiement par carte de crédit • monnaie électronique Le Copyright sur l’Internet Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 27 28 Contacts & liens Conclusion S’il fallait mentionner deux qualités essentielles de tout bon responsable ou consultant en sécurité, ce serait la paranoïa et le bon sens. La paranoïa pour pouvoir identifier le plus grand nombre de scénarios de désastres et de vulnérabilité exploitables. Le bon sens pour pouvoir mitiger ces scénarios, identifier des priorités et des mesures de sécurité réalistes et cohérentes pour l’environnement étudié. [email protected] http://users.skynet.be/fa104514/livre_securite.html Didier Godart Consultant http://www.ecci.be Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart. 29 30 5