Sécurité informatique dans les établissements scolaires du second
Transcription
Sécurité informatique dans les établissements scolaires du second
Sécurité informatique dans les établissements scolaires du second degré Formation des professeurs stagiaires Thierry Chich RSSI-adjoint de l’Académie 29 août 2013 Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second29degré août 2013 1 / 20 Sommaire 1 L’insécurité informatique ordinaire Du vécu Typologie sommaire des programmes malveillants 2 L’horizon numérique en établissement Assurer la sécurité des données, c’est ? Usages quotidiens L’établissement L’ENT d’Auvergne Ailleurs... 3 Quelques conseils pratiques. . . Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second29degré août 2013 2 / 20 L’insécurité informatique ordinaire Du vécu Cas déclarés dans l’académie. . . plusieurs dizaines de cas d’infections de postes (prise en main à distance, envois de spams, . . .) quelques cas de compromissions de serveurs (dont deux rendus inopérants) l’un saisi par la justice l’autre détruit par le pirate deux cas de keylogger (vol de données personnelles) des requêtes judiciaires pour injures (blogs,spotted,. . .) Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second29degré août 2013 4 / 20 L’insécurité informatique ordinaire Du vécu Quelques cas au niveau national. . . des dénis de service massifs (DoS) des résultats du bac dévoilés trop tôt des serveurs utilisés comme relais pour d’autres attaques Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second29degré août 2013 5 / 20 L’insécurité informatique ordinaire Typologie sommaire des programmes malveillants Quelques dénominations de vilaines choses Ver Programme malveillant auto-répliquant profitant le plus souvent de failles logicielles pour se reproduire. Virus Contrairement au ver, le virus s’installe à l’intérieur d’un programme ou un document “hôte” pour se reproduire. Troyen ou “cheval de Troie” Programme qui e↵ectue des opérations malicieuses en prétendant faire autre chose. Il peut ouvrir des “portes dérobées” permettant la commande à distance, par exemple. Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second29degré août 2013 6 / 20 L’insécurité informatique ordinaire Typologie sommaire des programmes malveillants Quelques dénominations (suite) Keylogger Programme permettant de capturer tout ce qui est écrit ou émis depuis une machine. Botnet Un réseau d’ordinateurs commandés à distance constitue un botnet. On peut les utiliser : pour attaquer des serveurs (en les surchargeant) pour envoyer des spams pour espionner les utilisateurs en utilisant un keylogger (données bancaires, informations confidentielles, etc.) etc. Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second29degré août 2013 7 / 20 L’horizon numérique en établissement Assurer la sécurité des données, c’est ? Ce que nécessite la sécurité des données Authentification : capacité à vérifier l’identité de l’utilisateur. Autorisation : donner le bon droit à la bonne personne Confidentialité : capacité à limiter l’accès aux données Intégrité : empêcher la modification non autorisée des données Traçabilité : capacité à tracer qui fait quoi sur les données Non-répudiation : empêcher qu’une personne ayant e↵ectué des opérations sur des données puisse nier l’avoir fait. Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second29degré août 2013 9 / 20 L’horizon numérique en établissement Assurer la sécurité des données, c’est ? Focus sur l’authentification L’authentification est véritablement un point clé, et impacte très fortement tous les autres points. On distingue authentification forte et authentification faible (le simple mot de passe). Principe Le principe de l’authentification forte, c’est d’utiliser deux facteurs d’identification Par exemple, couplé avec un mot de passe : sur le principe “ce que je sais, ce que je possède”, une clé OTP, un jeton cryptographique sur le principe “deux voies de communication distinctes”, un mot de passe envoyé par SMS sur le principe “ce que je sais, ce que je suis”, la biométrie sur le principe “ce que je sais, où je suis”, les sites privilégiés Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 10 / 20 L’horizon numérique en établissement Usages quotidiens Dans des pratiques quotidiennes Des problèmes de sécurité qui se cachent Envoyer un fichier à un groupe d’élèves et demander à ce qu’ils le renvoient modifié : messagerie/partage réseaux Authentification/Autorisation/Intégrité/Non-répudiation Saisir les notes en ligne : ENT Authentification/Intégrité/Autorisation Participer à l’élaboration de sujets d’examens : messagerie/partages Authentification/Autorisation/Intégrité/Confidentialité Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 11 / 20 L’horizon numérique en établissement L’établissement Une zone pédagogique typique Un parc informatique classique Sauvegarde Donne accès aux fichiers de l’utilisateur Serveur de fichiers un contrôleur de domaine un serveur de fichiers des PC Réseau pédagogique Identifie l’utilisateur Distribue des règles Contrôleur de domaine Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 12 / 20 L’horizon numérique en établissement L’établissement Une zone pédagogique typique (suite) Le contrôleur de domaine est un serveur qui sert à authentifier les utilisateurs et de gestion des droits (autorisation) appliquer des politiques de sécurité installer des logiciels sur tous les PC Dans un parc comme celui-ci, les utilisateurs (élèves et enseignants) ne sont pas administrateurs des PC. Ils ne peuvent ni installer des logiciels, ni voir le contenu des comptes des autres utilisateurs.Toutes ces limitations peuvent apparaı̂tre frustrantes, mais elles permettent d’assurer la sécurité de l’outil informatique autant que des données : l’homogénéité des postes de travail la pérennité des postes l’isolation des données entre utilisateurs Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 13 / 20 L’horizon numérique en établissement L’établissement Structuration d’un établissement Une organisation en “zones” INTERNET la zone pédagogique la zone administrative des zones applicatives particulières Parefeu Sépare les réseaux Filtre, et trace Réseau administratif Réseau de services Réseau pédagogique Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 14 / 20 L’horizon numérique en établissement L’établissement Structuration d’un établissement (suite) Adoption d’un principe de zones qui permet : filtrage internet pour les mineurs (obligatoire) de faire séparer administratif et pédagogique (accroı̂t la confidentialité notamment face au risque d’erreur humaine et simplifie les autorisations) augmente aussi la traçabilité, et éventuellement la non-répudiation Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 15 / 20 L’horizon numérique en établissement L’ENT d’Auvergne L’ENT Hébergé essentiellement chez un prestataire, mais aussi au rectorat. Pour le grand public : un ensemble de portails pour chaque établissement un ensemble de services de vie scolaire (cahier de texte, carnet de note, messagerie,. . .) Pour l’activité pédagogique, c’est un ensemble d’outils pédagogiques (définition de parcours, dokeos,. . .) Du point de vue de la sécurité : structure des classes/groupes préexistante, et correspondant à des listes de courrier, etc.. . . un schéma d’autorisations intégré lié à la simple authentification Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 16 / 20 L’horizon numérique en établissement Ailleurs... Quelques services “gratuits” L’ENT est parfois comparé avec des services gratuits. Messagerie : Gmail, Outlook.com, . . . Partage de fichiers : Google Drive, Dropbox, SkyDrive,. . . Limitations Mais aucune structure préexistante (groupes, classes, etc.), et aucune garantie, notamment sur la pérennité. Se méfier des vérifications d’authentification trop simples pour la récupération des mots de passe (prénom de l’épouse, date de naissance)) Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 17 / 20 Quelques conseils pratiques. . . Hygiene de base Ne pas utiliser des mots de passe faibles Ne pas utiliser le même mot de passe partout Ne pas accepter de taper un mot de passe si la connexion n’est pas cryptée Faire attention aux certificats Avoir un antivirus et des logiciels à jour Ne pas utiliser un poste douteux Et aussi Référer à la chaine de responsabilité SSI en cas de doute Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 19 / 20 Quelques conseils pratiques. . . Injures sur Internet Être pragmatique : pénalement répréhensible mais parfois difficile à traiter (site étranger, anonymat, . . .) Di↵érencier : ce qui est public et ce qui est privé (groupe privé d’utilisateurs, . . .) ce qui est nominatif et ne l’est pas plus généralement, ce qui est visible et ce qui ne l’est pas Thierry Chich RSSI-adjoint de l’Académie ()Sécurité informatique dans les établissements scolaires du second 29 degré août 2013 20 / 20