Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 REPUBLIQUE DU SENEGAL Un peuple – un but – une foi Rapport d’exposé Sujet : V

1 REPUBLIQUE DU SENEGAL Un peuple – un but – une foi Rapport d’exposé Sujet : Vulnérabilité des systèmes d’information: Analyse des menaces, des attaques, des risques Réalisé par : Avec l’encadrement de : - Mohamed ould hacen Mr. ANTOINE BIAMOU - Moussiessi-mbéri Durrel - Souleymane Diouf 2 Sommaire Introduction : Partie 1 : Les concepts de base 1- vulnérabilités 2- menaces (Types de menaces) 3- contrôle de sécurité 4-attaques ( Types d’attaques et les principes des attaques les plus répandues-) 5- risque 6- critère d’information Partie 2 : Analyse des menaces, des attaques, des risques I- Analyses des vulnérabilités(par les outils) : II- Analyse des menaces III-Analyses risques (par un modèle) : IV-Conséquences de quelques cas de vulnérabilité, les attaques V -Recommandations Partie 3 : Quelque vulnérabilités publiés et étude de Cas pratiques : I- Quelques vulnérabilités publier par CERT en 2010 : II- Quelques études de Cas pratiques : Conclusion : (Résumé) Webographie : 3 Introduction Les systemes d’information sont des systèmes qui utilisent un ensemble de ressources matériels ou logiciels ou humains pour assurer le traitements de l’information , le stockage et la communication . La disponibilité permanente de l’information est l’un des objets de la pérénité d’une entreprise. L’information peut être aussi bien des données stratégiques que des données de tous les jours. Nous disons donc qu’un système d’information est un ensemble qui inclut aussi bien l’information elle-même que les systèmes et réseaux nécessaires à sa mise en œuvre, assurant son stockage son traitement et sa communication. Aujourd’hui avec les nouvelles technologies émergeant en permanence, l’ignorance et l’arrogance des entreprises sur la nécessité de mettre en place un système d’information sécurisé, le cout de la sécurité des systèmes d’informations, le terrorisme, la criminalité, etc nous assistons à une explosion des incidents de sécurité comme vol d’information, destruction de données top secret, sensible ou juste classique,etc due à des exploitations des failles ou vulnérabilités des systèmes d’information. Pour assurer la continuété de l’activité d’une entreprise ou de toute autre organisme doté de système d’information, il est important de le protéger. Mais avant de le protéger il est primordial de se poser ces quelques questions sur les analyses des failles : Quelles sont les failles de mon système ? Mon système est il une cible potentielle ? Et pour qui ? Sur le réseau, sur les matériels, par les personnes, sur les logiciels, sur les informations Pourquoi mon système est-il une cible ? Quelles sont les motivations de ces personnes qui ciblent mon système ? Quelles sont les menaces de mon système comment l’évaluer ? Quelles sont les attaques Quelles sont les risques ? Quelles sont les conséquences des attaques Quelles recommandations pour se protéger ? Après avoir répondu à ces questions nous allons etudier un cas pratique 4 Partie 1 Les concepts de bases 5 -vulnérabilté : On appelle vulnérabilité (vulnerability en anglais), une faiblesse d’un composant qui peut conduire à une violation de la politique de sécurité du système. En réalité elle nuit au bon fonctionnement du système c-à-d à la disponibilité, à l’intégrité et à confidentialité de l’information.Elle peut être exploitée intentionnellement par un attaquant ou déclenchée accidentellement par un utilisateur normal. Types de vulnérabilités Parmi celles-ci on trouve des classifications par origine (intentionnelle ou non), par moment de leur introduction (réalisation, installation, environnement), par faiblesse technique, etc. Aucune ne se révèle universelle car bien souvent elle ne s’adapte qu’à un seul type d’entité. Il est proposé ici de définir les différentes vulnérabilités en se plaçant du point de vue de leur origine, celle-ci déterminant souvent des mesures protectrices similaires, partant d’une même logique. On distinguera donc les grands types de vulnérabilités suivants : - les vulnérabilités de conception qui résultent d’un choix initial du concepteur (choix d’une technologie par exemple) ; ces vulnérabilités ne peuvent pas être supprimées sans remettre en cause l’entité elle-même ; - les vulnérabilités de réalisation qui résultent des principes de fabrication (mauvais codage par exemple) ; ces vulnérabilités peuvent être diminuées ou supprimées par des opérations correctrices à la charge du réalisateur ; - les vulnérabilités liées aux conditions d’emploi des entités, qu’il s’agisse de leur environnement ou de leur processus d’installation (mauvais paramétrage par exemple) ; ces vulnérabilités peuvent être diminuées ou supprimées par des opérations correctrices à la charge de la mise en oeuvre ; - les vulnérabilités liées à l’usage des entités et qui peuvent être diminuées ou supprimées par une action au niveau des utilisateurs, encore que d’autres mesures permettent de les limiter. Exemples : mot de passe faible, buffer overflow d’un service, susceptibilité au déni de service. S’informer auprès des CERT Les CERT (Computer Emergency Response Teams) centralisent, vérifient et publient les alertes relatives à la sécurité des ordinateurs, et notamment les annonces de vulnérabilités récemment découvertes. Les alertes peuvent émaner des auteurs du 6 logiciel, ou d’utilisateurs qui ont détecté le problème. Détecter une vulnérabilité ne veut pas dire qu’elle soit exploitée, ni même exploitable, mais le risque existe. NB : les vulnérabilités des systèmes d’information font partie des notions de base de la sécurité informatique. Car le concept de vulnérabilité s’appliquent essentiellement au système supposé sûr. -menaces : objectif d’une attaque On appelle menace (threat en anglais), une violation potentielle de la politique de service à cause d’une attaque ou d’une action involontaire ou négligente qui compromet la sécurité. Des sources de menaces sont donc des personnes malintentionnées ou les utilisateurs normaux. Les sources de menaces peuvent être internes ou externes au système. Une menace nait d’abord de la présence de bien et d’actif (bien ou actif :information ou composant d’un système, qui possede une valeur ou un intérêt). Cette menace, de par son existence engendre des craintes et des inquiétudes. C’est l’agent responsable du risque. Types de menaces On distingue quatre types de ménaces (ces menaces peuvent provenir de l’intérieur du système (insider) ou de l’extérieur du système (outsider) et sont essentiellement faites par des hommes): -menace accidentelle :menace d’un dommage non intentionnel envers un système d’information. -menace intentionnelle ou délibérée : menace de modification non autorisée et délibérée de l’état du système. -menace passive : menace de divulgation non autorisée de l’information, sans que l’état du système soit modifié. -menace physique : menace qui pèse sur l’existence même et l’état physique du système d’information. Expertise : des compétences faibles, moyennes ou fortes Le succès d'une attaque dépend en partie de la compétence et de l'entraînement de son auteur. Le niveau de l'attaquant varie de l'expert au novice. Les domaines de connaissances seront cependant presque toujours l'informatique en général et en 7 particulier la programmation, les systèmes d'exploitation, les communications mais aussi le matériel (routeurs, commutateurs, ordinateurs...). Selon Neumann et Parker, nous pouvons classer les méfaits en trois niveaux pour la compétence requise : - compétence technique faible ou nulle pour dénaturer une information, observer, fouiller physiquement, voler, abîmer un équipement, perturber un SI, entrer des données fausses, se mettre de connivence avec un étranger à l'organisation... - compétence technique moyenne pour balayer un SI et chercher des informations, fouiller logiquement, inférer, faire des agrégats, surveille le trafic ou une activité, écouter, faire fuir de l'information, se faire passer pour quelqu'un d'autre, rejouer une transaction, abuser de ses droits, exploiter une trappe... - compétence forte pour modifier le système, exploiter un cheval de Troie, fabriquer une bombe logique, un ver ou un virus, réaliser une attaque asynchrone, modifier le matériel, décrypter... Ces compétences sont souvent présentes dans un organisme et parfois à l'insu des dirigeants qui connaissent mal les capacités de leur personnel. Cette méconnaissance peut aussi expliquer le nombre d'attaques internes, les politiques de sécurité étant inadaptées ou sous-estimant les agresseurs potentiels. Exemples : déni de service, vol de service, spam, écoute clandestine, redirection d’appels, ignorance , catastrophe naturelle, etc. -contrôle de sécurité : On appelle contrôle de sécurité (en anglais security control), méthode de sécurisation au niveau de gestion, d’organisation et mesures technique afin de protéger la confidentialité, intégrité et la disponibilité du système et des informations. Exemples : firewall, méthode d’authentification, désactivation d’un service. -attaques : On appelle attaque (en anglais attack ou exploit), Une ou plusieurs actions coordonnées qui exploitent une vulnérabilité afin de réaliser une menace. Motivation des attaques : Parvenir à distinguer la motivation d’un attaquant, ainsi que son niveau de technicité (expertise), permet de déterminer son potentiel d'attaque et ainsi de mieux la contrer. 8 Les motifs de l'agresseur sont nombreux et variés ; ils évoluent dans le temps. Il n'est pas possible de dresser une liste exhaustive des motivations des criminels mais quelques exemples permettront de saisir la personnalité de quelques-uns uns d'entre eux. Les actes intentionnels, qui nous intéressent ici, comprennent : l'espionnage, l'appât du gain, la fraude, le vol, le piratage, le défi intellectuel, la vengeance, le chantage, l'extorsion de fonds. De la même façon, peuvent être observés des comportements déviants dus à certaines pulsions incontrôlées ayant pour origine des états psychologiques douloureux non traités (frustration, sentiment d’exclusion, sentiment d’abandon, situation de divorce, dépendances à des drogues…). L’exhaustivité ne peut être uploads/Management/expose4.pdf