Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Avertissement Le contenu de cet enseignement est ` a vis´ ee strictement p´ eda

Avertissement Le contenu de cet enseignement est ` a vis´ ee strictement p´ edagogique. Toute personne (´ etudiante ou non) exploitant son contenu hors du cadre qu’il d´ eﬁnit s’expose ` a rendre des comptes devant des instances universitaires voire juridiques !!! nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 1 S´ ecurit´ e Mat´ eriels, Donn´ ees, Syst` emes, R´ eseaux, Logiciels Nicolas Hernandez Cours de DUT informatique – 2` eme ann´ ee – 2007/2008 IUT de Nantes – D´ epartement Informatique http://www.sciences.univ-nantes.fr/info/perso/permanents/hernandez/ Nantes, le February 6, 2008 nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 2 Avant Propos Organisation Objectifs Contexte Planning pr´ evisionnel Organisation du module Volume horaire : 30H soit 1H CM et 2 * 1H30 TD/TP sur 7 semaines + 2H de DS Modalit´ e d’examen : ` a pr´ eciser type, date et dur´ ee 1 TD/TP test mi-parcours coeﬀ. 1 1 DS en ﬁn de module coeﬀ. 2 En ﬁn de CM : Quizz de synth` ese Equipe p´ edagogique CM : Nicolas Hernandez TD/TP : Nicolas Hernandez, Jean Fran¸ cois Hue, Pierre Levasseur nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 3 Avant Propos Organisation Objectifs Contexte Planning pr´ evisionnel Objectifs du module Sensibilisation aux probl` emes de s´ ecurit´ e Comment ca marche ? Pr´ esentation et utilisation des outils, des technologies, et des techniques visant ` a attaquer/s´ ecuriser/et contrˆ oler des donn´ ees, des mat´ eriels, des syst` emes, des r´ eseaux et des logiciels Mettre en place une architecture s´ ecuris´ ee pour une petite entreprise En ﬁn de module, on pourra faire un bilan des pistes ` a suivre pour compl´ eter ce cours nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 4 Avant Propos Organisation Objectifs Contexte Planning pr´ evisionnel Contexte du module M. Liscouet (2` eme ann´ ee) : Informatique et soci´ et´ e T. Brugere (1` ere ann´ ee) : Math´ ematique pour la cryptographie P. Levasseur : Administration de r´ eseaux (notamment un TP sur le backup) S. Faucou et N. Hernandez (1` ere et 2` eme ann´ ee) : R´ eseaux (couches basses et hautes ; physique et protocolaire) Licence Pro. (derni` ere promition) : S´ ecurit´ e (cryptographie, r´ eseaux) nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 5 Avant Propos Organisation Objectifs Contexte Planning pr´ evisionnel Planning pr´ evisionnel du module Date CM TD/TP 28/1 syst` emes d’information, Pirate / Administrateur, Attaques cassage de mots de passe ; et cartographie d’un r´ eseau 4/2 Sˆ uret´ e de fonctionnement ; cryptographie des ´ echanges Suret´ e ; principes de cryptographie 11/2 Vuln´ erabilit´ es des applications web, s´ ecuriser le d´ eveloppement Injection de SQL ; Cross Site Scripting 18/2 Semaine de projet 25/2 Vacances de F´ evrier 3/3 Communications s´ ecuris´ es et protocoles ; VPN et tunnels Sniﬃng, ARP Spooﬁng, Authentiﬁcation basic HTTP 10/3 Pare-feu, IDS, Reverse proxy, Conﬁguration s´ ecuris´ ee ssh (connexion distante, tunneling) 17/3, 24/3 Fitrage IPTables, NAT, exploit, rootkit, malware, virus, wiﬁ, social engineering, forensics, windows, chiﬀrement S/MIME, PGP 31/3 DS et test sur machine 7/4 Vacances de Printemps Un saut vers la bibliographie... [2] nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 6 Sommaire Introduction Etat des lieux des incidents en informatique Introduction – Sommaire 2 Sommaire 3 Introduction A m´ editer... D´ eﬁnition 4 Etat des lieux des incidents en informatique Computer Crime and Security Survey Global Security Survey A m´ editer II nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 7 Sommaire Introduction Etat des lieux des incidents en informatique Sommaire D´ eﬁnition et ´ etat des lieux des incidents en informatique Politique de s´ ecurit´ e des Syst` emes d’Informations (SI) Deux acteurs majeurs : le pirate et l’administrateur Quelques attaques nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 8 Sommaire Introduction Etat des lieux des incidents en informatique A m´ editer... D´ eﬁnition A m´ editer... ”Ce ne sont pas les murs qui prot` egent la citadelle, mais l’esprit de ses habitants” Thudycite nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 9 Sommaire Introduction Etat des lieux des incidents en informatique A m´ editer... D´ eﬁnition D´ eﬁnition D´ eﬁnition (en) S´ ecurit´ e : ´ etat qui r´ esulte de l’absence de risque Le Petit Robert Objectif 1 Identiﬁer les risques 2 Prot´ eger les ´ el´ ements sensibles d’un (d’une architecture) r´ eseau aﬁn d’assurer sa p´ erennit´ e en cas d’incidents de s´ ecurit´ e (Pr´ evenir et gu´ erir si n´ ecessaire) nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 10 Sommaire Introduction Etat des lieux des incidents en informatique Computer Crime and Security Survey Global Security Survey A m´ editer II Computer Crime and Security Survey – sondage 2007 1 organisations publiques et priv´ ees aux USA http://www.gocsi.com/ The average annual loss reported more than doubled, from $168,000 in last year’s report to $350,424 in this year’s survey. Financial fraud overtook virus attacks as the source of the greatest ﬁnancial loss. Virus losses, fell to second place. Of respondents who experienced security incidents, almost one-ﬁfth said they’d suﬀered a ”targeted attack,” i.e. a malware attack aimed exclusively at a speciﬁc organization Insider abuse of network access or e-mail (such as traﬃcking in pornography or pirated software) edged out virus incidents as the most prevalent problem, with 59 and 52 % of respondents respectively The percentage of organizations reporting computer intrusions to law enforcement continued upward after reversing a multi-year decline over the past two years, standing now at 29 % as compared to 25 % last year 1Cyber-criminalit´ e : selon la loi, le d´ elit, est puni d’une peine correctionnelle, et le crime, d’une peine aﬄictive (corporel) et infamante. Or jusqu’` a ce jour la plupart des attaques ont ´ et´ e class´ ees comme des d´ elits, et non des crimes... nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 11 Sommaire Introduction Etat des lieux des incidents en informatique Computer Crime and Security Survey Global Security Survey A m´ editer II Global Security Survey benchmarks IT security in the ﬁnancial services industry 2007 http://www.deloitte.com/dtt/cda/doc/content/ dtt gfsi GlobalSecuritySurvey 20070901.pdf It reveals the “Security Paradox” – a situation in which Business Executives are becoming more aware of IT Security issues, but where support for a solution still lies with the IT department. This is highlighted by the fact that only 63% of respondents have an information security strategy, and only 10% have information security led by a business line leader. 91 percent of participants are concerned about employee security weaknesses; 79 percent of participants cite the human factor as the root cause of information security failures; 66 percent of participants do not feel they should be accountable for protecting computers of customers who transact with them on-line. nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 12 Sommaire Introduction Etat des lieux des incidents en informatique Computer Crime and Security Survey Global Security Survey A m´ editer II A m´ editer II La s´ ecurit´ e d’un r´ eseau se juge ` a son maillon le plus faible. Vous ˆ etes le maillon le plus faible ! La s´ ecurit´ e c’est 20% de technique et 80% de bon sens et d’organisation. S’il est diﬃcile de contester l’adage, force est de constater que l’on n’a pas tous la mˆ eme conception du bon sens ! nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 13 Gestion des risques et ´ evaluation de la s´ ecurit´ e D´ eﬁnir une politique de s´ ecurit´ e dans l’entreprise Sensibilisation ` a la s´ ecurit´ e S´ ecurit´ e des Syst` emes d’Informations (SI) – Sommaire 5 Gestion des risques et ´ evaluation de la s´ ecurit´ e Gestion des risques et ´ evaluation de la s´ ecurit´ e Ressources critiques Objectifs de s´ ecurit´ e M´ ethodes d’analyse des risques 6 D´ eﬁnir une politique de s´ ecurit´ e dans l’entreprise Domaines concern´ es par la politique de s´ ecurit´ e Organismes et standards 7 Sensibilisation ` a la s´ ecurit´ e Pourquoi sensibiliser ? et Qui sensibiliser ? Comment sensibiliser ? Qu’est ce qui marche ? Est-ce que ca marche vraiment ? nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 14 Gestion des risques et ´ evaluation de la s´ ecurit´ e D´ eﬁnir une politique de s´ ecurit´ e dans l’entreprise Sensibilisation ` a la s´ ecurit´ e Gestion des risques et ´ evaluation de la s´ ecurit´ e Ressources critiques Objectifs de s´ ecurit´ e M´ ethodes d’analyse des risques Gestion des risques et ´ evaluation de la s´ ecurit´ e 1 Identiﬁcation des ´ el´ ements sensibles 2 D´ eterminer les objectifs de s´ ecurit´ e pour ces ressources 3 Analyse des risques qui leur sont attach´ es 4 D´ eﬁnition des exigences de s´ ecurit´ e 5 S´ election et impl´ ementation de contrˆ oles de s´ ecurit´ e nicolas.hernandez@univ-nantes.fr S´ ecurit´ e 15 Gestion des risques et ´ evaluation de la s´ ecurit´ e D´ eﬁnir une politique de s´ ecurit´ e dans l’entreprise Sensibilisation ` a la s´ ecurit´ e Gestion des risques et ´ evaluation de la s´ ecurit´ e Ressources critiques Objectifs de s´ ecurit´ e M´ ethodes d’analyse des risques Les ´ el´ ements sensibles (ou ressources critiques) d’une entreprise Mat´ eriels (ordinateurs, ´ equipements r´ eseaux, etc.) Donn´ ees (bases de donn´ ees, uploads/Management/ hernandez-sec08-cm01.pdf