La sécurité - Pourquoi

Transcription

Pourquoi parler de
sécurité ?
“Si vous ne pouvez expliquer un concept
à un enfant de six ans, c’est que vous ne
le comprenez pas complètement” -
Albert Einstein
Séc urité informatique: Risques, Stratégies et Solutions – Didier Godart.
1
La sécurité - Pourquoi ?
2
Pourquoi la sécurité ? (suite)
Mais aussi...
PME
PME
Confiance
Protéger la réputation
Affaires
Clients
Eviter des pertes financières
Satisfaire aux exigences légales, assurances
Marché
Il est important de noter que nous ne protégeons pas nos biens pour des besoins de
sécurité mais nous appliquons des mesures de sécurité pour protéger nos biens
e-Business / e-Commerce
3
4
Définition
La sécurité = {mesures} permettant d’assurer la
protection des biens / valeurs.
La sécurité
informatique, une
entrée en matière
5
6
1
La sécurité, une entrée en matière
Les biens à protéger...
Informations (données)
110100110111000
101010111010101
110111111010111
011111100000111
110101010111100
101000010000100
10100101111001
La sécurité = {mesures} permettant d’assurer
la protection de l’information & Systèmes
Catalogue de services – Offres – Commandes – Contrats - Données clientèles
Données financière - Données stratégiques - Données privés des employés
(Salaires) - Données de productions…
{
Systèmes permettant de traiter, stocker et gérer l’information
la confidentialité,
l’intégrité,
la disponibilité,
L’authentification.
Application – Serveurs - Stations de travail - bases de données - Réseaux internes
et externes - Bandes de sauvegarde - CD-ROM/Disquettes – imprimantes…
7
8
Ouaaaa ! ! Je ne le crois pas,
regarde on est dans le système
informatique du Père
Noël......Bon, fais ta liste ! ! ! ! !
Se protéger contre qui ?
9
Externes
Pirates
Saboteurs
Concurrents
Anciens employés
Organisations criminelles
Internes
10
Externes
Employés en transit
Travailleurs à domiciles
Employés mécontents
Fraudeurs
Complices / Espions
Innocents employés
Internes
Compagnies de nettoyages
Compagnies de maintenances
Déménageurs
Visiteurs
11
12
2
Classes de menaces
1
Actes malicieux, calculés, volontaires
2
Evènements involontaires - Accidents
(Faute à pas de chance)
Se protéger contre quoi ?
13
Enquêtes
Définition
Incidents informatiques frappant les entreprises
européennes
Codes cachés
Erreurs d’utilisation
Erreurs de conception (Bogues)
Pannes internes
Evènements naturels
Abus ou fraude d’un utilisateur en interne
Piratage (intrusion)
14
78 %
62 %
38 %
37 %
22 %
16 %
8 %
Menace : Action, événement, entité pouvant porter
préjudice à ce que l’on désire protéger (information,
Sytèmes informatiques, Entreprises…)
Une menace est générique (ne dépend pas du contexte)
Une menace ne peut s’exécuter toute seule.
IDC - 2001
15
16
Vulnérabilités
Définition
Absence ou manque de
procédures organisationnelles
Vulnérabilité : Réactif (faiblesse) permettant à la
menace de s’exécuter
Ex:
Absence de support et compréhension du management
Absence de politique de sécurité
Absence de programme de sensibilisation,
Absence de personnel qualifié,
...
Une vulnérabilité dépend du contexte
L’essence même de la sécurité est d’identifier et
réduire la présence de vulnérabilités.
Absence ou manque de procédures
et mesures techniques
Ex:
Absence du suivi des problèmes et solutions,
Fichier de traces non configurés / non contrôlés,
Présence d’utilisateurs fantômes,
Absence ou faible niveau de ségrégation du réseau,
Manque de contrôle des fichiers téléchargés,
Absence de contrôle des médias de sauvegarde,
Présence de service non requis sur les machines,
Absence de tests négatifs,
...
17
18
3
Gestion des risques
Faut-il se protéger et jusqu’à quel niveau ?
Face à un risque, trois types de réactions possibles:
Tout dépend de notre environnement, de nos besoins propres.
L’ignorance complète des risques
La protection totale
La gestion de risques
Comment définir ses besoins en sécurité ?
En passant par une gestion des risques
19
20
Gestion des risques
Gestion des risques
Exemple:
Quel est le risque pour votre entreprise que des systèmes d’informations (serveurs,
stations de travail) soient infectés par un virus ?
Principes de bases
Un risque n’existe que dans le cas où ses trois composantes
sont présentes: Un Bien, une Menace et une Vulnérabilité.
Un risque ne peut être éliminé. Il peut seulement être réduit
soit par la mise en place de meilleures protections soit en
réduisant l’impact.
L’acceptation d’un risque est, en soi, un risque
Niveau de Risque
?
Pour votre
entreprise
IMPACT
?
Fonction du
marché /
environnement
PROBABILITE
?
Fonction de la
présence de
vulnérabilités
FAISABILITE
?
H: Haut
M: Moyen
F: Faible
Le pire des risques est celui dont vous ignorez l’existence
21
Identification des mesures applicables
22
Sécurité Organisationnelle
Tenir compte des contraintes liés à votre environnement
Analyse de risques
Organisation
Politique de sécurité
Ö
Ö
Ö
Ö
Ö
Sécurité des utilisateurs
Utilisateurs internes / externes
Gestion des utilisateurs / mots
de passe ou authentifications
fortes
Sécurité Applicative
E-Applications / E-Services
Definition des profiles /roles
Le budget octroyé
L’environnement technique
Les ressources disponibles
La politique de sécurité de l’entreprise
Les nouvelles vulnérabilités introduites
Verification des autorisation,
Chiffrement des données
Sécurité des serveurs
Stations / Serveurs / Bases de données
Unix/ NT
fortification
La sécurité réseau
Firewall &
Infrastructure réseau
détecteurs d’intrusions
Chiffrement en ligne
23
24
4
Questions à prendre en considération dans le choix d’une solution
Fiches de
risques
Liste des mesures
potentielles
Ö
Ö
Ö
Ö
Ö
Ö
Identification des
contraintes
Plan de sécurité
organisationnelle
Liste des mesures
applicables
Plan de sécurité
physique
Quel problème est-ce que la solution permet de résoudre ?
Comment est-ce que la solution permet de résoudre le problème ?
Quels autres problèmes la solution permet de résoudre ?
Quels nouveaux problèmes la solution engendre ?
Quels est le coût de la solution ?
Est-ce que la solution vaut la dépense ?
Plan de sécurité
technologique (IT)
25
L’ouvrage étudie et répond à ces questions pour les mesures de sécurité suivantes:
Mécanismes d’authentification
• Mot de passe statique
• Générateurs de codes dynamiques
• Cartes à puce
• Systèmes biométriques
• Signatures digitales et infrastructure à clés publiques
• Authentification unique et administration centralisée
26
Implémentation et gestion de la sécurité
3 scénarios envisageables:
Ö Utilisation de ressources internes
Ö Outsourcing (hébergement)
Ö Utilisation de ressources externes
La Cryptologie
• la cryptographie symétrique
• la cryptographie asymétrique
• la cryptographie hybride
• SSL, PGP, VPN
• la stéganographie
La sécurité des réseaux
• firewall
• détecteurs d’intrusions
La sécurité du commerce électronique
• paiement par carte de crédit
• monnaie électronique
Le Copyright sur l’Internet
27
28
Contacts & liens
Conclusion
S’il fallait mentionner deux qualités essentielles de tout bon
responsable ou consultant en sécurité, ce serait la paranoïa et le bon
sens. La paranoïa pour pouvoir identifier le plus grand nombre de
scénarios de désastres et de vulnérabilité exploitables. Le bon sens
pour pouvoir mitiger ces scénarios, identifier des priorités et des
mesures de sécurité réalistes et cohérentes pour l’environnement
étudié.
[email protected]
http://users.skynet.be/fa104514/livre_securite.html
Didier Godart
Consultant
http://www.ecci.be
29
30
5

La sécurité - Pourquoi

Transcription

Documents pareils

Vente de goûters

carton invitation Université Mde Lyon 10_12 new.indd

FICHE D`INSCRIPTION – STAGE ADULTE Nom – Prénom

organigramme du centre hospitalier de tourcoing

Didier Super – La Comédie Musicale

CONTELIVRES VOYAGE

Non partants

soin de soi - Femme Majuscule

didier lucien. - École nationale de cirque

bourgeois de Paris, demeurant rue Bordelle, à la cour