Scurit Informatique

1
Sécurité Informatique

• Nouvelle niche marketing ?
• Nouveau besoin bien réel ?

Daniel DAUVERGNE
Alain MUSSARD
2
Agenda

• Sécurité informatique
• Les paramètres de la sécurité
• Mettre en uvre une démarche  sécurité
  informatique 
• Quelques recommandations
• Les virus
• La connexion Internet

3
Sécurité informatiqueDéfinitions

• Sécurité
• Etat de quelquun ou de quelque chose qui est à
  labri du danger
• Informatique
• Discipline qui traite de tous les aspects, tant
  théorique que pratiques, reliés à la conception,
  à la programmation, au fonctionnement et à
  lutilisation des ordinateurs

4
Sécurité informatiqueDéfinitions

• Sécurité informatique
• Absence réelle de danger que la réunion dun
  ensemble de conditions matérielles et logiques
  permet dobtenir dans la saisie, le traitement et
  la transmission des données, ainsi que la
  consultation des fichiers automatisé et la
  production des résultats

5
Sécurité informatiqueDéfinitions

• Sécurité informatique
• Protection des données
• Fichiers clients, conditions dachats,
  informations relatives aux salariés, etc.
• Protection des et contre les matériels
• Ordinateurs, serveurs, switchs, hub, baie,
  routeurs, etc.
• Protection des process
• Documents qualité, détails de compositions
  (formules, méthodes dassemblages, etc.)
• Préserver le bon fonctionnement de lentreprise

6
Sécurité informatiquePourquoi en parle t-on ?

• Un ami qui vous veux du bien
• Sécurité important
• Important cher
• Cher bon chiffre daffaires
• Bon chiffre daffaires objectifs commerciaux
  atteints
• Méthodes facilement reconnaissables

7
Sécurité informatique ?Pourquoi en parle t-on ?

• Utilisation à des fins professionnelles
• Prospection
• Projets en cours, réponse aux appels doffres
• Vente
• Conditions dachats, de règlements
• Livraison / réalisation
• Déroulement des opérations, informations clients
  manipulées
• Facturation
• Coordonnées des clients, coûts de revients M.O.,
  marge sur dossier

8
Sécurité informatiquePourquoi en parle t-on ?

• Protection de lentreprise
• Du fait que linformatique est utilisé dans
  lentreprise
• Pérennité
• Linformatique, cest pratique
• Productivité
• Durcissement des affaires, impératifs de
  productions,
• Protection de loutil de production

9
Sécurité informatiquePourquoi en parle t-on ?

• Obligations légales
• Législation sur la propriété intellectuelle
• Piratage de logiciels
• Protection des données
• Interne à lentreprise
• Manipulées par entreprise
• Confidentialité de linformation

10
Sécurité informatiquePourquoi en parle t-on ?

• Utilisation des logiciels
• Un ordinateur
• Une licence
• Code de la Propriété Intellectuelle
• Articles L.335-3, L.122-4, L.335-2
• Code Pénal
• Article 131-38

11
Sécurité informatiquePourquoi en parle t-on ?

• Source www.bsa.org/france

12
Sécurité informatiquePourquoi en parle t-on ?

• Protection des données
• Nouveau Code Pénal
• Obligation de mettre en uvre des systèmes de
  protection

CODE PENAL(Partie Législative)   Article
226-17 (Ordonnance nº 2000-916 du 19 septembre
2000 art. 3 Journal Officiel du 22 septembre
2000 en vigueur le 1er janvier 2002)    Le fait
de procéder ou de faire procéder à un traitement
automatisé d'informations nominatives sans
prendre toutes les précautions utiles pour
préserver la sécurité de ces informations et
notamment empêcher qu'elles ne soient déformées,
endommagées ou communiquées à des tiers non
autorisés est puni de cinq ans d'emprisonnement
et de 300 000 euros d'amende.
13
Sécurité informatiquePourquoi en parle t-on ?

• Nouvelles technologies
• INTERNET
• Ouverture vers lextérieur
• A double sens
• Facilité de propagation des virus
• Messagerie
• Consultation des sites Internet

14
Agenda

• Sécurité informatique
• Les paramètres de la sécurité
• Mettre en uvre une démarche  sécurité
  informatique 
• Quelques recommandations
• Les virus
• La connexion Internet

15
Les paramètres de la sécurité

• Risques
• Solutions
• Effets des solutions

16
Les paramètres de la sécuritéLes risques

• Accidents
• Catastrophes naturelles
• Incendies, inondations,
• Catastrophes humaines
• Incendie, inondations, tremblements de table
  (bancale de préférence)
• Pannes
• Serveur, écran, hub, switch, imprimantes,
  scanners, modem, clavier, souris, unité centrale,
  disque dur, etc.

17
Les paramètres de la sécuritéLes risques

• Erreurs
• Humaines
• Comportement dangereux par ignorance
• Malveillances
• Vol, destruction, altération volontaire
• Des données
• Des matériels

18
Les paramètres de la sécuritéLes risques

• Action à mener suite à la réalisation dun risque
• Faire une déclaration dassurance
• Accidents
• Déposer plainte
• Vol
• Exploitation frauduleuse de vos données

19
Les paramètres de la sécuritéLes solutions

• Directement liées
• aux risques
• Aux équipements à protéger
• 20 de technique
• 80 de bon sens
• La solution fiable à 100 nexiste pas
• Chaque solution à un effet

20
Les paramètres de la sécuritéLes effets

• Arrêt total de lexploitation informatique
• Perturbations de lactivité
• Perte dune ou plusieurs fonctions
• Perturbation de lactivité
• Dégradations, altération, fuite des données
• Perte de confiance des clients
• Exposition exagérée du chef dentreprise

21
Les paramètres de la sécuritéLe triptyque
 Risque / Solutions / Effets 

• Pour chaque risque
• Une solution est prévue
• Ou pas
• Cette solution à un effet
• Acceptable
• Inacceptable
• Compromis
• Décision du chef dentreprise
• Cest LUI qui est exposé
• Objectif Réduire le risque à un niveau
  acceptable

22
Agenda

• Sécurité informatique
• Les paramètres de la sécurité
• Mettre en uvre une démarche  sécurité
  informatique 
• Quelques recommandations
• Les virus
• La connexion Internet

23
Méthodologie dune démarche  Sécurité
Informatique 

• Inventaire
• Des biens
• Il nest pas utile de tout protéger
• Des risques
• Par bien
• Des effets
• Par risque ET par bien

24
Méthodologie dune démarche  Sécurité
Informatique 

• Inventaire
• Réflexion
• Solutions
• Avec expression du nouveau niveau de risque
  atteint
• Eventuellement, nouvelle réflexion sur ce niveau
  de risque
• Décision
• Dacceptation du niveau de risque

25
Méthodologie dune démarche  Sécurité
Informatique 

• Inventaire
• Réflexion
• Décision
• Mise en uvre
• Des solutions
• Contrôle des effets et validation du niveau de
  risque atteint
• Retour à linventaire

26
Méthodologie dune démarche  Sécurité
Informatique 

• Pour réussir
• Implication indispensable du dirigeant
• Information du personnel
• La sécurité est laffaire de TOUS
• Lélaboration et la mise en uvre dune politique
  de sécurité ne doit pas reposer sur une seule
  personne
• Risque trop élevé
• Dilution des responsabilité

27
Méthodologie dune démarche  Sécurité
Informatique 

• Pour réussir
• La sécurité est une chaîne
• Un maillon faible est immédiatement exploitable
• Aborder le sujet dune façon globale
• Pour la cohérence de la solution
• Nommer un responsable
• Qui pourra coordonner les actions en cas
  dincident
• Qui informera ses collègues sur ces actions à
  mener en cas dincident

28
Méthodologie dune démarche  Sécurité
Informatique 

• Pour réussir
• Faire accepter la sécurité comme un ensemble de
  règles librement consenties
• Et non pas comme un ensemble de contraintes
• Faire connaître la politique de sécurité auprès
  de tous les salariés
• Pourquoi une politique de sécurité
• Quelle est elle

29
Méthodologie dune démarche  Sécurité
Informatique 

• Pour réussir
• La politique de sécurité NE DOIT PAS dépendre de
  la technique
• La technique utilisée dépendra de la politique
  choisie

30
Agenda

• Sécurité informatique
• Les paramètres de la sécurité
• Mettre en uvre une démarche  sécurité
  informatique 
• Quelques recommandations
• Les virus
• La connexion Internet

31
Quelques recommandations

• Protéger le chef dentreprise
• Lutte contre le piratage
• Charte dutilisation de loutil informatique
• Modification du reglement intérieur
• Adjonction dun article dans les nouveaux
  contrats de travail
•  Prendre les précautions pour préserver la
  sécurité des informations 

32
Quelques recommandations

• Se protéger de nous même
• Interdiction de manger ou boire devant
  lordinateur
• Interdiction de manger, boire et fumer dans les
  locaux techniques
• Utiliser les mots de passe
• Pour la connexion au réseau
• En cas dabsence de quelques minutes
• Mises en veilles des écrans
• Interdire / bloquer linstallation de logiciels
  sur les postes de travail

33
Quelques recommandations

• Protéger linfrastructure
• Bannir les accès inutiles
• Utiliser un onduleur
• Pour arrêter les systèmes et non pas continuer à
  travailler pendant quelques minutes de plus
• Utiliser un câblage sérieux
• Exiger un cahier de recette certifiant le câblage
• Eliminer les connexions coaxiales
• Conserver une ligne téléphonique  hors standard 

34
Quelques recommandations

• Placer le serveur dans un endroit à accès
  restreint
• Entretenir les matériels
• Un contrat de maintenance NEST PAS un contrat
  dentretien
• Serveurs
• Postes de travail
• Réseaux
• Standard téléphonique

35
Quelques recommandations

• Sauvegardes
• Avoir un lecteur de sauvegardes
• Automatiser les sauvegardes
• Surveiller que les sauvegardes sont faites
• Tester régulièrement les sauvegardes
• NE PAS conserver les sauvegarde dans lenceinte
  de lentreprise

36
Quelques recommandations

• Virus
• Avoir un anti-virus
• Installer lanti-virus
• Attention aux ordinateurs pré-chargés
• Mettre à jour lanti-virus
• Contrôler régulièrement les données
• Ne pas désactiver lanti-virus

37
Quelques recommandations

• Internet
• Avoir un système de protection du réseau
• Pour empêcher les intrusions
• Pour connaître la  cote  de votre entreprise
  auprès des hackers
• Pour contrôler lutilisation qui est faite
  dInternet

38
Agenda

• Sécurité informatique
• Les paramètres de la sécurité
• Mettre en uvre une démarche  sécurité
  informatique 
• Quelques recommandations
• Les virus
• La connexion Internet

39
Evolution des technologiesEvolution des risques

• Internet
• De plus en plus indispensable
• Fenêtre ouverte sur le monde
• On peut regarder aussi par votre fenêtre pour
  voir DEDANS
• Nouveau média
• Comme une disquette, un CD
• Vecteur dattaques virales
• Voie express pour la fuite dinformations

40
Les virus

• On parle de Virus
• Virus informatiques
• Vers
• Chevaux de troies
• Lettres en chaîne
• Faux virus vraies rumeurs
• Hoax
• Farces
• Jokes

41
Les virus

• Les catégories de virus informatiques
• Applicatifs
• Contamination par les programmes exécutables
• Systèmes
• Contamination du secteur de démarrage du système
• Macro-virus
• Contamination via Word et Excel principalement
• Scripts
• Contamination en consultant un site Internet

42
Les virus

• Modes dinfections et de propagation
• Les vers
• Code malin capable de répandre des copies de
  lui-même sur dautres systèmes informatiques.
• Par le réseau local
• Par e-mail
• Melissa, Klez sont des virus à  esprit vers 
• Objectif Se répandre et détruire

43
Les virus

• Les chevaux de troies
• Code malin caché dans un programme informatique
• La fonction est inconnue de lutilisateur qui
  lactive à son insu
• Objectifs
• Consulter, modifier ou détruire des données
• Récupérer des mots de passes
• Prise de contrôle de lordinateur à distance

44
Les virus

• Les lettres en chaîne
• La messagerie est utilisée pour la diffusion de
  faux messages
• Vous recevez un message qui vous demande, après
  en avoir pris connaissance, de le retransmettre à
  plusieurs personnes
• Topologie du message
• Accroche
• Menace
• Requête
• Objectif Saturer les serveurs de messagerie et
  le réseau Internet

45
Les virus

• Les faux virus (Hoax)
• Rumeur adressée par e-mail
• Effet proche de celui des lettres en chaînes
• Objectifs
• Inquiéter
• Nuire
• Désinformer

46
Les virus

• Les farces (Jokes)
• Petit programmes destinés à faire sourire
• Histoire drôle animée
• Animation de noël
• Objectif Distraire
• Effet nuisible Aucun, si ce nest faire perdre
  du temps

47
Agenda

• Sécurité informatique
• Les paramètres de la sécurité
• Mettre en uvre une démarche  sécurité
  informatique 
• Quelques recommandations
• Les virus
• La connexion Internet

48
La connexion Internet

• Le partage daccès
• Intérêts
• Economique
• Productivité
• La protection du réseau vis-à-vis dInternet

49
La connexion Internet

• Lindispensable sécurité
• Exposition de linstallation informatique aux
  risques
• Exploitation de vulnérabilités
• Usurpation dadresse IP
• Déni de services
• Attaque brutale
• Virus

50
La connexion InternetRisques

• Exploitation de vulnérabilités
• Failles dans les systèmes dexploitation
• Vol de données
• Détournement de ressources
•  Terrorisme 

51
La connexion InternetRisques

• Usurpation dadresse IP
•  Se faire passer pour vous sans lêtre 
• Envoi de faux messages
• Détournement didentité sur des sites Internet ou
  des serveurs
• Vous utiliser pour aller faire des déprédations
  ailleurs

52
La connexion InternetRisques
VOUS
Internet
www.yahoo.com
53
La connexion InternetRisques

• Déni de Service (DoS)
• Envoi de requêtes en très grand nombre sur votre
  réseau
• Vous ne pouvez plus utiliser votre informatique
• Mis en uvre souvent par des virus

54
La connexion InternetRisques

• Attaque brutale
• Recherche systématique de cibles potentielles
• Pour ensuite les  exploiter  à volonté

INTERNET
55
La connexion InternetRisques

• Une attaque via Internet
• Responsabilité immédiatement engagée
• Utilisation de vos ressources à des fins
  illégales
• Utilisation de vos disques dur pour stocker des
  fichiers piratés, des images pédophiles, etc.
• Vol de vos données pour exploitation frauduleuse
  éventuelle

56
La connexion Internet Les topologies de connexion

• Monoposte
• Réseau

INTERNET
Système de connexion
57
La connexion InternetSolutions

•  Système de connexion 
• Inclus la protection du réseau local
• Routeur avec fonction FireWall
• Firewall
• Proxy

58
La connexion InternetSolutions

• Routeur avec fonction FireWall
• Routeur
• Equipement réseau
• Faire passer des informations dun réseau vers un
  autre réseau
• De votre réseau à Internet
• DInternet vers votre réseau
•  Fonction Firewall 
• Network Adress Translation

59
La connexion InternetSolutions

• Routeur avec fonction FireWall
• Network Adress Translation
• Technique qui permet le partage de connexion
• Un abonnement pour plusieurs ordinateurs reliés
  ensemble
• Single User Access
• Les coordonnées de lordinateur source sont
  codées dans le paquet qui sort sur Internet
• Une écoute simple permet de connaître lexistence
  et les coordonnées du réseau local

60
La connexion InternetSolutions

• Routeur avec fonction FireWall
• Lordinateur sur lequel on consulte Internet est
   présenté  sur Internet
• Lalgorithme de codage est répandu
• Les logiciels de décodage aussi
• A assimiler à une porte en bois
• Sécurité minimale
• Simple à mettre en uvre
• Peu coûteuse

61
La connexion InternetSolutions

• Firewall
• Pare-feu
• Surveillance du contenu des paquets réseaux
• Permet douvrir des accès vers un ou plusieurs
  ordinateurs du réseau local
• En fonction du contenu des paquets
• Porte surveillée par un robot
• Solution complexe
• Mise en uvre et suivi coûteux

62
La connexion InternetSolutions

• Proxy
• Intermédiaire
• Equipement qui sinsère entre le réseau local et
  Internet
• Les ordinateurs du réseau local font une requête
  au proxy
• Qui effectue, en son nom, la requête vers
  Internet
• Et donne ensuite la réponse au demandeur

63
La connexion InternetSolutions
INTERNET
PROXY
64
La connexion InternetSolutions

• Proxy
• Ne permet pas douvrir des accès de lextérieur
  vers lintérieur
• Fourni un contrôle TOTAL de ce qui est fait sur
  Internet
• On ne peux pas supposer lexistence dun réseau
  local sil est derrière un proxy
• Sas surveillé ne permettant que la sortie
• Solution de sécurité optimale

65
Questions / Réponses
66
(No Transcript)