Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Les menaces de sécurité et les vulnérabilités Dr Venant Palanga Maître de confé

Les menaces de sécurité et les vulnérabilités Dr Venant Palanga Maître de conférences ENSI/UL 1 contenu • Introduction aux menaces de sécurité • Identification des menaces • Sources de la menace • T ypes de menaces • Introduction à la Vulnérabilités • T ypes de vulnérabilités • Risques, menaces et vulnérabilités 2 Introduction aux menaces de sécurité 3 Une menace est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation (définition selon la norme de sécurité des systèmes d'information ISO/CEI 27000. C’est un Signe, un indice qui laisse prévoir un danger. Action ou évènement susceptible de se produire, de se transformer en agression contre un environnement ou des ressources et de porter des préjudices à leur sécurité. Une vulnérabilité est une faiblesse qui peut être déclenchée accidentellement ou intentionnellement exploitée. Introduction aux menaces de sécurité 4  Les types de menace: 1) Menaces naturelles-Inondations, tremblements de terre, tornades, les glissements de terrain, avalanches, tempêtes électriques, etc. 2) Menaces de l'homme-Des événements qui sont causées par l'homme, les actes non intentionnels (la saisie des données par inadvertance) ou actions délibérées (attaques de réseau à base de logiciels malveillants, de téléchargement, accès non autorisé aux informations confidentielles). 3) Menaces environnementales- en terme de panne de courant, la pollution, les produits chimiques, une fuite d’eau et de produits nocifs. Identification des menaces 5  Il n'y a aucun moyen d'éliminer toutes les menaces qui pourraient affecter votre entreprise.  Certaines des méthodes couramment utilisées pour l'identification des menaces sont les suivantes: o Analyse de la menace o Évaluation des risques o Audit de sécurité de l'information o T est de Pénétration Sources de menaces 6 Source Motivation Menaces Pirates externes Défi Ego Jeu Piratage de système Ingénierie sociale escroquerie Pirates internes Problèmes financières Insatisfaction Porte dérobée Fraude Insuffisance de documentation Terroristes Vengeance Politique Attaques du système Ingénierie sociale Lettres piégées Virus Déni de service Employés mal formés Erreurs involontaires Erreurs de programmation Erreur de saisie de données Corruption des données Introduction de code malveillant Bogues du système Accès non autorisés Catégories de menaces 7 N° Catégories de menaces exemple 1 Erreurs humaines ou défaillances Accidents, erreurs d’employés 2 Compromis à la propriété intellectuelle Piraterie, infractions au droit d’auteur 3 Actes délibérés ou espionnage ou intrusion Accès non autorisés et/ou collecte de données 4 Acte délibérés d’extorsion d’information Chantage d’exposition de l’information/communication 5 Actes délibérés ou sabotage/vandalisme Destruction des systèmes /informations 6 Actes délibérés de vols Confiscation illégale de matériels ou d’information 7 Attaques délibérées de logiciels Virus, vers, déni de service 8 Écart de qualité de service du fournisseur de service Problèmes d’alimentation et de WAN 9 Forces de la nature Incendie, inondation, tremblement de terre, foudre 10 Erreurs ou défaillance techniques du matériel Erreurs ou défaillance de l’équipement 11 Erreurs ou défaillance technique du logiciel Bogues, problèmes de code, échappatoires inconnus 12 Obsolescence technologique Technologies obsolètes ou dépassées T ypes de menaces: Application 8 N° Catégories Menaces 1 Validation d’entrée Débordement de mémoire tampon Injection SQL 2 authentification Ecoute du réseau Attaques par force brute Attaques par dictionnaire Attaques par rejeu 3 autorisation Elévation de privilèges Divulgation de données confidentielles Altération de données 4 Gestion de la configuration Accès non autorisé à l’interface d’administration Récupération des données de configuration en texte clair Manque de responsabilité individuelle 5 Données sensibles Accès aux données sensibles en stockage Ecoute du réseau Altération de données Types de menaces : Application 9 N° Catégories Menaces 6 Gestion de session Détournement de session Man in the middle 7 cryptographie Génération de clés faibles ou gestion de clés Chiffrement faible ou personnalisé Requête manipulation de chaîne 8 Manipulation de paramètre Manipulation des chaînes de requête Manipulation de champ de formulaire Manipulation de cookie Manipulation de l’entête http 9 Gestion des exceptions Divulgation d’information Déni de service Audit et journalisation 10 Audit et journalisation L’Utilisateur refusant d’exécuter une opération L’Attaquant exploite une application sans laisser de trace L’Attaquant couvre ses pistes 10 Connaissances de l'utilisateur du Système d'Information Vol, sabotage, mauvaise utilisation Les attaques de virus Systèmes & Pannes de Réseau Le manque de documentation Déchéance de la sécurité physique Calamités naturelles et incendies Conséquences de la menace • La divulgation non autorisée • Interception • Vol • Inférence • T romperie • Falsification • Parodie • Répudiation • Perturbation • Corruption • Obstruction • Usurpation • Détournement 11 Introduction à la Vulnérabilités La vulnérabilité est une faille ou faiblesse dans les procédures de sécurité du système. Dans le tableau suivant, il est dressé une liste des vulnérabilités du système (défauts ou faiblesses) qui pourraient être exploitées par les potentielles sources de menaces . 12 Les vulnérabilités 13 vulnérabilités Source de menace Action de la menace Les identifiants des employés licenciés (ID) ne sont pas supprimés du système Employés licenciés Accès distant au réseau de l’entreprise pour un accès aux données propriétaires de l’entreprise Le pare-feu de la société autorise le telnet entrant, et l’identifiant de l’invité est activé sur le serveur XYZ Les utilisateurs non autorisés (par exemple, les pirates, les employés licenciés, les criminels informatiques, terroristes) Usage de telnet sur le serveur XYZ et navigation dans le système de fichiers avec l'identifiant d’invité Le vendeur a identifié des failles dans la conception de la sécurité du système; toutefois, de nouvelles mises à jour n’ont pas été appliquées au système Les utilisateurs non autorisés (par exemple, les pirates, les employés licenciés, les criminels informatiques, terroristes) Obtenir un accès non autorisé aux fichiers sensibles du système en se basant sur les vulnérabilités connues du système Des gicleurs d'eau pour éteindre un incendie dans le centre de données ; des bâches pour protéger le matériel et l'équipement des dégâts de l'eau, ne sont pas en place Incendie, personnes négligentes Gicleurs d'eau étant activés dans le centre de données Types de vulnérabilités 14 • Matériel • sensibilité à l'humidité • sensibilité à la poussière • sensibilité à la salissure • sensibilité à l'entreposage non protégé • Logiciel • T ests insuffisants • Manque de piste d'audit Types de vulnérabilités 15 • Réseau o Lignes de communication non protégés o Architecture de réseau non sécurisé • Personnel o Processus de recrutement inadéquat o Sensibilisation à la sécurité insuffisante • Site o Région sujette à des inondations o Source d'énergie peu fiable • Organisationnel o manque de vérification régulière o absence de plans de continuité Identifier les vulnérabilités du système 16 Les méthodes recommandées pour l'identification des vulnérabilités du système: 1) L'utilisation de sources de vulnérabilité 2) La performance des tests de sécurité du système 3) Le développement de la sécurité : liste de contrôle des exigences Identifier les vulnérabilités du système 17 Il convient de noter que les types de vulnérabilités qui existent, et la méthodologie nécessaires pour déterminer si les vulnérabilités sont présentes, sera généralement variée en fonction de la nature du système informatique et la phase où il est : 1) Si le système informatique n'a pas encore été conçu, la recherche de vulnérabilités devrait se concentrer sur les politiques de sécurité de l'organisation, les procédures de sécurité prévues, et les définitions des exigences du système, et les analyses des vendeurs ou des développeurs de produits de sécurité (par exemple, des livres blancs). Identifier les vulnérabilités du système 18 2 ) Si le système informatique est mis en œuvre , l'identification des vulnérabilités doit être élargie pour inclure des renseignements plus précis, tels que les caractéristiques de sécurité prévues décrites dans la documentation de conception de la sécurité et les résultats du test de certification du système et de l'évaluation. 3) Si le système informatique est opérationnel, Le processus d'identification des vulnérabilités devrait inclure une analyse des caractéristiques de sécurité informatique du système et les contrôles de sécurité, techniques et de procédure, utilisés pour protéger le système. Les sources de vulnérabilité 19 Précédente documentation sur l'évaluation des risques du système informatique ; Rapports d'audit du système informatique, les rapports d'anomalies du système, les rapports d'examen de sécurité, et de test du système et les rapports d'évaluation ; Listes de vulnérabilités ; Avis de sécurité de sites différents CIRT; Avis du vendeur; Analyses du système de logiciels de sécurité. Causes des vulnérabilités 20 • Complexité • Familiarité • Connectivité • Faille de gestion de mots de passe • Fondamentaux des failles du système d'exploitation • Internet • Bogues des logiciels • Accès d'utilisateur non contrôlé • Ne pas apprendre de ses erreurs passées La réduction des vulnérabilités 21 • Programmation correcte • Documentation • Cryptographie • Conscience • Audit • Application des patches • Utilisation de logiciels authentiques • Outil automatisé de balayage de vulnérabilité • T est de sécurité et d'évaluation • Test de pénétration Vulnérabilités : mesures de sécurité 22 • Contrôles d'accès du compte utilisateur • Systèmes de détection d'intrusion • Les pare-feu • Mécanisme de journalisation correcte • Une bonne sécurité physique • Onduleurs • Assurance • Une menace, c’est ce que l'homme fait ou tout acte de la nature qui a le potentiel de causer des dommages. • Les vulnérabilités sont uploads/Finance/ ch4-menaces-et-vulnerabilites.pdf