S

1
Sécurité du SIB QUINIOMaster M2 CG - CCA2010 /
2011
2
Plan du cours

• Les enjeux
• Les principes
• Les attaques et les causes de sinistres
• Les protections
• Les acteurs de la sécurité
• Les plans
• Secours Reprise dactivité

3
Enjeux de la sécurité (1)

• Une dépendance très forte à linformatique pour
  plus de 80 des entreprises
• Clusif

4
Enjeux de la sécurité (2)

• Les informations de lentreprise ont une valeur
• Un sinistre majeur peut entraîner la mort dune
  entreprise
• Beaucoup dentreprise nont pas de plan de
  secours ni de plan de reprise dactivité
• La sécurité dun système est celle du maillon le
  plus faible

5
Les Principes de la sécurité (1)

• Un sinistre une détérioration notable des
  fonctionnalités du SI
• Se protéger (prévention) soigner (correction)
• Les 5 indicateurs de la sécurité du SI
• Disponibilité les informations sont accessibles
  à tout utilisateur qui en a besoin au moment où
  il en a besoin
• Intégrité les informations n ont pas été
  altérées (modifiées ou rendue incomplètes)
• Confidentialité Les informations sont connues
  des personnes autorisées
• Authentification Les émetteurs et les
  récepteurs d une information sont connus liée à
  la non répudiation
• Traçabilité toute les opérations sont
   tracer  pour contrôler et remonter aux causes
  d un sinistre

6
Les Principes de la sécurité (2)

• Il est indispensable de protéger
• Les informations
• Les ressources matériels, réseaux, logiciels
• La réputation de lentreprise
• La responsabilité de lemployeur ou de
  lutilisateur
• La sécurité PARFAITE nexiste pas
• Trop protéger coûte cher et pénalise la
  performance du système

7
Différence entre habilitation et autorisation

• Lhabilitation est  le droit accordé à un
  individu daccéder à des informations dont le
  niveau de sécurité est inférieur ou égal à un
  niveau déterminé (ISO/CEI/IS 2382-8 de 1998) 
• Lhabilitation est une notion qui dépasse
  linformatique et concerne la fonction de la
  personne au sein dune structure.
• Les autorisations daccès sont délivrées aux
  personnes habilitées

8
Les causes générales des sinistres
Accidents Incendies Pannes Hard
Malveillances Vol Sabotage Piratage Espionnage
Sécurité du SI
Risques divers Grèves Départ d une personne
Erreurs Saisie Exploitation Conception
9
Les types dagresseurs (1)

• Hacker professionnel
• Pour de largent
• Ne laisse pas de trace
• Hacker ludique
• Pour le plaisir et la notoriété
• Laisse des traces
• Employé revanchard
• Suite à un licenciement
• Utilisateur classique
• Par insouciance ou opportunisme
• Services secrets

10
Les types dagresseurs (2)

• Lagresseur professionnel est très difficile à
  combattre
• Mais rare pour la plus part des entreprises
• Lagresseur ludique ou opportuniste doit être
  découragé
• Lagresseur  sans le savoir  doit être informé
  et formé

11
Les attaques via les réseaux

• Virus Ver
• Cheval de Troie
• Pour prendre à distance le contrôle dune machine
• Dénis de service
• Bloquer laccès à un serveur ou une autre
  ressource
• Intrusion dans un système
• Session Hijacking usurpation de session
• Spoofing usurpation de N IP
• Phishing
• Contraction de Phone et Fishing

12
Les risques naturels

• Chaleur climatisation
• Incendie
• Détecteurs, extincteurs
• Inondations
• Eviter les sous sols
• Cas de la crue de la seine
• Foudre
• Système électrique Parafoudre
• Surtension ou coupure de courant
• Onduleur

13
Sécurité physique des ressources (1)

• Sécurité face aux risques  naturels 
• Voir ci-dessus
• Contrôle daccès aux salles informatiques
• Que les personnes autorisées
• Lecteur de badge
• Clef de sécurité
• Lecteur biométrique (empreintes, iris)
• Surveillance par caméra

14
Sécurité physique des ressources (2)

• Technologie RAID
• Redundant Array of Independent Disks
• Chaîne redondante de disques indépendants
• Lorsquun disque dur est défectueux, on peut le
  remplacer à chaud (sans arrêter le système) ou à
  froid (un arrêt complet du système est
  nécessaire)
• Différent type et niveau de RAID
• Autres doublements possibles
• Alimentation
• Réseaux
• Serveurs

15
Sécurité physique des ressources (3) Les
Sauvegardes

• Sauvegarde backup
• Le plus simple et le plus important
• De nombreuses solutions possibles
• Demande une VRAIE organisation
• Nécessite dêtre régulièrement testé
• Fréquence de sauvegarde
• Toutes les heures, quotidien, hebdomadaire
• Type de sauvegarde
• Complète, ou incrémentale (que les fichiers
  modifiés depuis la dernière sauvegarde)
• Le plus sûr incrémentale ET tournante

16
Sécurité physiques des ressources (4) Sauvegarde
Incrémentale et tournante
Backup Lundi
Backup Mois1
Backup Semaine 1
Backup Vendredi
Backup Lundi
Backup Semaine 2
Backup Vendredi
Backup Semaine 5
Backup Mois2
17
Sécurité physique des ressources (5) Solution de
backup - sauvegarde

• Support local physique dans un autre lieu
• Disque externe, CD, DVD, casettes
• Sauvegarde à distance
• Via prestataire à partir de 100 par mois (PME)
• Sur un autre site de lentreprise
• Le nombre de version de fichier sauvegardé doit
  être supérieur à 3
• Préférer les sauvegardes intelligentes
• Seuls les fichiers modifiés depuis la dernière
  sauvegarde complète sont backupés

18
Sécurité physique logique Authentification
Username mot de passe

• Authentification par
• Le savoir mot de passe
• Lêtre biométrie
• Lavoir badge
• Les passwords
• Se multiplient ? souvent les mêmes
• Doivent être changés régulièrement
• Doivent être solides
• G2AMPP - 1LFAN
• SSO Single Sign ON sur la base dun annuaire
  unique

19
Sécurité logique Protection du réseau (1)

• Tout accès à un réseau informatique est une

20
Sécurité logique Protection du réseau (2)

• Les serveurs daccès au réseau sont protégés
• Firewall
• Paramétrage sécurité
• On définit des DMZ DeMilitarized Zone
• Le trafic entre Web / DMZ / LAN est contrôlé

WEB
DMZ
LAN
21
Sécurité logique Chiffrement Clef symétrique

• Clé publique
• Code personnel diffusé à autrui permettent
  l'identification de l'émetteur
• Clé privée
• Code personnel et secret, non diffusé à autrui
• Fonction de hachage
• Algorithme mathématique de cryptographie
  permettant de transformer un message clair en un
  message codé à l'aide d'une clé
• Tiers de certification
• Autorité qui enregistre les coordonnées d'un
  acteur et sa clé publique pour lui attribuer un
  certificat attestant de l'identité de l'acteur

22
Sécurité logique Chiffrement Clef symétrique

• Chiffrement via un clef
• Envoie du message chiffré
• Envoie de la clef

7HYG5
TEXTE
TEXTE
23
Sécurité logique Chiffrement Clef asymétrique

• Chiffrement via un clef privée
• Envoie du message chiffré
• Création de la clef publique à partir de la clef
  privée
• Envoie de la clef publique
• La clef publique est envoyée par un tiers
  certificateur
• Avec la clef publique, on ne peut que crypter
• Il faut les 2 clefs pour lire
• Cest le principe du protocole SSL Secure
  Socket Layer

24
Sécurité logique Chiffrement Clef asymétrique
7HYG5
TEXTE
TEXTE
25
Sécurité logique Chiffrement Certificat
électronique

• Le certificat électronique est un document
  électronique qui identifie un signataire
  (physique ou non).
• Une autorité de certification atteste du lien
  entre le signataire et le document électronique.
• Garantit lauthentification de lémetteur,
  lintégrité des données transmises, la
  confidentialité des échanges et leur
  non-répudiabilité
• Cest une carte didentité sur Internet
• Visible dans tous les navigateurs

26
Sécurité logique Chiffrement Signature
électronique

• La signature électronique est utilisée par un
  grand nombre dorganisations
• Par exemple, la déclaration de TVA
• Code numérique joint à un message transmis par
  voie électronique, servant à en vérifier
  lorigine et le contenu.
• Permet dassocier un message à son expéditeur
  comme pour la signature manuscrite
• Elle a la même valeur juridique que la signature
  manuscrite.
• Elle garantit lidentité de lémetteur,
  lintégrité du message et sa non-répudiabilité.
• Elle doit être validée par un tiers certificateur
• Certificat électronique outil logiciel de
  signature
• N Dagorn Manuel SI

27
Sécurité logique Programmation sécurisée SQL
Si la requête est visible dans la barre du
navigateur on peut la modifier !!
28
Les acteurs de la sécurité

• Direction Générale
• Porte la responsabilité devant la loi
• Peut imposer une charte
• La DSI
• Porte la responsabilité du fonctionnement du SI
• Alloue des ressources à la sécurité
• Le RSSI Responsable Sécurité du Système
  dInformation
• Définit la politique de sécurité et la met en
  œuvre
• Les UTILISATEURS

29
Politique de sécurité des SI

• Politique de sécurité des SI
•  ensemble des principes techniques,
  organisationnels, humains et juridiques quil est
  recommandé de mettre en œuvre pour créer, gérer
  et protéger le système dinformation, en
  particulier les informations sensibles, au sein
  de lentreprise et lors des échanges avec les
  autres ses partenaires 
• La politique de sécurité est déclinée en règles
  de sécurité
• Les règles de sécurité sont classées en 3 niveaux
  (norme ISO)
• Niveau 1 pratiques de sécurité couramment
  constatées, permettant de parer en urgence aux
  principales failles de sécurité, et dassurer la
  continuité de service
• Niveau 2 règles dont la mise en œuvre permet
  datteindre létat de lart en matière de
  sécurité
• Niveau 3 règles dont la mise en œuvre présente
  un intérêt réel, mais qui sont en avance sur
  létat de lart.

30
Les chartes dutilisation

• Définissent ce que les utilisateurs on le droit
  ou le devoir de faire
• Définissent les mesures de contrôle dans
  lentreprise
• Doivent être signées par chaque utilisateur
• Toute modification doit faire lobjet dun
  avenant
• Permet dinformer et de sensibiliser

31
Le plan de Secours Informatique

• Plan de Reprise dActivité (PRA)
• Assure en cas de crise majeure ou importante du
  SI la remise en route des applications sur un
  système de secours, dans des délais adaptés aux
  exigences de lentreprise.
• Plan de Continuation dActivité (PCA)
• Garantit le fonctionnement sans interruption du
  SI avec des moyens appropriés par rapport aux
  enjeux
• Aspect organisationnel Technique
• Anticipation préparation

32
Les principales mesure de suivi de la sécurité

• Un plan de secours à jour
• Des Services de support et daccompagnement
• Formation
• Sensibilisation
• Hot line
• Des Outils de mesures des dispositifs de sécurité
  et de leur mise à jour
• Audit de sécurité par un tiers externes
• Test dintrusion

33
Que dit la loi le code pénalN Dagorn Manuel
SI

• larticle 323-1 prévoit que laccès ou le
  maintien frauduleux dans un SI (cheval de Troie,
  écoute réseau, etc.) est puni de deux à trois ans
  d'emprisonnement et de 30000 à 45000 euros
  d'amende
• larticle 323-2 prévoit que latteinte volontaire
  au bon fonctionnement dun SI (vandalisme,
  sabotage, introduction dun virus, attaque
  logique, etc.) est punie de cinq ans
  d'emprisonnement et de 75000 euros d'amende

34
Que font les assurancesN Dagorn Manuel SI

• Les polices dassurance sélargissent désormais à
  des valeurs immatérielles (informations)
• Reconstitution dune BDD après un sinistre
• Dommage de CA du à un problème technique
• Plus léventail dassurance est large, plus
  lassureur va exiger un niveau de maîtrise de la
  part de lentrprise
• Importance des référentiels COBIT, ISO 27002

35
Bibliographie et références

• Articles
• http//www.journaldunet.com/solutions/securite/sec
  urite-informatique-couts-et-limites/
• http//www.cio-online.com/actualites/lire-la-secur
  ite-informatique-des-entreprises-depassee-par-les-
  technologies-recentes-3265.html
• SITES
• http//www.clusif.asso.fr/
• http//www.securite-informatique.gouv.fr/