Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

بسم هللا الرحمن الرحيم Centre Universitaire d’Aflou C.U.A Département de Mathém

بسم هللا الرحمن الرحيم Centre Universitaire d’Aflou C.U.A Département de Mathématiques et Informatique M.I Sécurité Informatique Définitions Principaux concepts de la sécurité informatique Objectifs de la sécurité informatique Les menaces informatiques Méthodes de défense 2021-2022 Chapitre 1 : Introduction à la sécurité 2 Livres recommandés Laurent Bloch, Christophe Wolfhugel Sécurité Informatique Principes et méthodes Gilles Dubertret Initiation à la Cryptographie 3 Historique (Kevin mitnick) Commencé à hacker les réseaux téléphoniques, Il a attaqué les machines de tsutomu shimomura au centre du supercomputing,  Il a pénétré dans les serveur de WELL et a accédé au courrier de merkoff (un journalist) Il a été arrêté à l’aide d’annonce du shimomura et la société WELL A servi 5 années en prison et interdit d’utiliser des ordinateurs pour 2 années 4 Historique (Kevin mitnick) Il est maintenant depuis 2000 Consultant en sécurité informatique, Il a publié un livre traitant de l’ingénierie sociale, IDS, … 5 Historique (DDOS) Février 2000 Plusieurs sites Web majeurs non accessibles (ebay, cnn, amazon, microsoft, …) pour quelques heures. Ils sont inondés par un flux énorme de trafic (jusqu’à 1 gbps), de plusieurs adresses. Février 16h Quelqu'un est suspecté pour avoir lancé les attaques. Avril Il est arrêté au Canada, il a 15 ans. Il a été condamné à 8 mois dans un centre de détensions. Avec un programme automatique, il était capable de hacker 75 machines différentes dû à une vulnérabilité dans leurs serveurs ftp. Il a installé un programme d’attaque distribué sur ces machines 6 Historique (autres) MELLISA et autres bugs Programme de l’opération bancaire à distance. Virus, vers, spyware, … Les attaques réseaux. … 7 Terminologie Actifs N’importe quoi qui a de la valeur pour l’entreprise Matériels Logiciels Personnes Services et protocoles Infrastructure 8 Terminologie Vulnérabilité ou faille Une faiblesse au niveau d’un actif Pas d’antivirus ou Antivirus sans MAJ Pas de mot de passe ou Mot de passe faible On parle de pentest : un domaine pour étudier les failles 9 Terminologie Incident Un dysfonctionnement signalé par un utilisateur Actif blessé Malade 10 Terminologie Menace Une cause potentiel d'incident : tout ce qui peut exploiter une vulnérabilité sur actif pour enfreindre la sécurité. Pourrait entrainer des dommages sur un actif si cette menace se concrétisait. Pas d’antivirus ou Antivirus sans MAJ 11 Terminologie Risque La probabilité de voir une menace informatique se transformer en évènement réel entrainant une perte Actif Ce joueur ne mange pas bio, il risque des blessures Risque = Menace * Vulnérabilité * Actif 12 Terminologie Attaque Action volontaire et malveillante visant à causer un dommage aux actifs. C’est la concrétisation d’une menace, et nécessite l’exploitation d’une vulnérabilité. Hackers 13 Terminologie Contre-mesure Mesure de sécurité informatique défensive prenant la forme d’une technique, d’un dispositif, d’une procédure, et dont le but est de s’opposer à un incident, de contrer une attaque susceptible de porter attient aux actifs. Préventives Correctives MAJ avant l’incident Maintenance 14 Terminologie Système d’information Un système d’information est généralement défini par l’ensemble de données et des ressources matérielles et logicielles de l’entreprise permettant de les stocker ou de les faire circuler. Organisation des activités consistant à acquérir, stocker, transformer, diffuser, exploiter, gérer … les informations . 15 Terminologie Système d’information Besoin de plus en plus d’information : - Données financières - Données techniques - Données médicales - … Ces données constituent les biens des personnes et des entreprises et peuvent être très convoitées. 16 Terminologie Systèmes informatiques Un des moyens techniques pour faire fonctionner un système d’information est d’utiliser un système informatique (cœur) Les systèmes informatique sont devenus la cible de ceux qui convoitent l’information. Assurer la sécurité de l’information  d’assurer la sécurité des systèmes informatiques 17 Terminologie La sécurité informatique La sécurité informatique est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces accidentelles et intentionnelles. 18 Exigences fondamentales et objectifs Origine des attaques 50% interne 50% externe Exemple : Utilisateur malveillant, Erreur involontaire, … Exemple : Piratage, Virus, Intrusion, …  Elle caractérisent ce à quoi s’attendent les utilisateurs du système informatiques en regard de la sécurité. 19 Exigences fondamentales et objectifs La confidentialité La confidentialité, consistant à assurer que celle les personnes autorisées aient axées au ressources échangées. A B Je comprends rien de ce que A dit à B 20 Exigences fondamentales et objectifs L’intégrité L’intégrité, c’est-à-dire garantir que les données sont bien celles que l’on croit être. A B J’arrive pas à modifier le message Hello Hello L’information n’a pas été modifiée entre sa création et son traitement (et transfert) 21 Exigences fondamentales et objectifs La disponibilité La disponibilité, permettant de maintenir le bon fonctionnement du système d’information 22 Exigences fondamentales et objectifs La non répudiation La non répudiation, permettant de garantir qu’une transaction ne peut être niée. C’était pas moi qui a demandé de retirer de l’argent ! 100$ 23 Exigences fondamentales et objectifs L’authentification L’authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources. A B Est-ce que vraiment je parle à A 24 Exigences fondamentales et objectifs Respect de la vie privée (informatique et liberté) Et autres … * Admissibilité * Utilité * … 25 La démarche (méthodologie ?) La démarche pour sécuriser un système d’information dans un réseau Analyse de la situation Analyse des risques Politique de sécurité Mesure de sécurité Implémentation Validation Identifier le contexte du système à sécuriser « on ne sécurise pas de la même manière une maison, une banque ou une gare » Périmètre de sécurité 26 La démarche pour sécuriser un SI Analyse de risque Il est nécessaire de réaliser une analyse de risque en prenant soin d’identifier les problèmes potentiels avec les solutions avec les coûts associées. L’ensemble de solutions retenues doit être organisée sous forme d’une politique de sécurité cohérente, fonction du niveau de tolérance au risque On obtient ainsi la liste de ce qui doit être protégé. Evolution des risques - Croissance de l’internet - Croissance des attaques - Failles des technologies - Failles des configurations - Failles des politiques de sécurités - Changement du profil des pirates 27 La démarche pour sécuriser un SI Analyse de risque (exemple) Quelle est la valeur des équipements, des logiciels et surtout des informations ? Quelle est le coût et le délai de remplacement ? Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programme d’analyse des paquets, logs, …) Quelle serait l’impact sur la clientèle d’une information publique concernant des intrusions sur les ordinateurs de la société ? Il faut prendre conscience que les principaux risques restent : * Câbles arrachés * Coupure secteur * crash disque * mouvais profil utilisateur 28 La démarche pour sécuriser un SI Analyse de risque  Ce qu’il faut retenir 1. Inventaire des éléments du système à protéger 2. Inventaire des menaces (incidents) possible sur ces éléments 3. Estimation de la probabilité que ces menaces se réalisent 4. Estimation du coût relatif à chaque incident Coût cher Coût faible Incident fréquent Incident Incident Incident … Incident Incident Incident … Incident rare Incident Incident Incident … Incident Incident Incident … 29 La démarche pour sécuriser un SI Analyse de risque  Ce qu’il faut retenir Coût cher Coût faible Incident fréquent Mettre en place des mécanisme de sécurité Recruter Former … Assurer la disponibilité (serveurs miroirs, etc) Incident rare S’assurer Accepter 30 La démarche pour sécuriser un SI La démarche pour sécuriser un système d’information dans un réseau Analyse de la situation Analyse de la risque Politique de sécurité Mesure de sécurité Implémentation Validation 31 La démarche pour sécuriser un SI Politique de sécurité  La proposition des solutions Une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue Une politique de sécurité vise à définir les moyens de protections à mettre en œuvre 32 La démarche pour sécuriser un SI Etablissement d’une politique de sécurité o Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés o Surveillance et veille technologique sur les vulnérabilités découvertes o Action à entreprendre et personnes à contacter en cas de détection de d’un problème 33 La démarche pour sécuriser un SI Etablissement d’une politique de sécurité Quels furent les coûts des incidents informatiques passées ? Quels degré de confiance pouvez-vous avoir envers vos utilisateurs internes ? Qu’est ce que les clients et les utilisateurs espèrent de la sécurité ? Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement fort qu’elle devient contraignante ? Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-il accessible de l’externe ? Quelle est la configuration du réseau et y a-t-il des services accessible de l’extérieur ? Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la confidentialité des informations ? 34 La démarche pour sécuriser un SI Etablissement d’une politique de sécurité (classement en dossiers) Défaillance matérielle (vieillissement, défaut, … ) Défaillance logicielle (bug, MAJ, … ) 35 La démarche pour sécuriser un SI Etablissement d’une politique de sécurité (classement en dossiers) Accidents uploads/Science et Technologie/ chapitre-1-introduction-a-la-securite.pdf