INF4420: Scurit Informatique

Introduction : Concepts de base et motivation

Jos M. Fernandez

M-3109 340-4711 poste 5433

INF4420 INF4420 Scurit ScuritInformatique Informatique

Contenu du cours

Introduction et motivation 1 sem. Cryptographie 3 sem. Scurit des systmes d'exploitation et du logiciel 3 sem. Scurit des applications client-serveur et Web 1 sem. Scurit des rseaux 3 sem. Gestion de la scurit informatique et Aspects lgaux, normes et standardisation 1 sem. Contrle priodique et priode de rvision 1 sem.

INF4420 INF4420 Scurit ScuritInformatique Informatique

Qu'est-ce que la scurit informatique ?

La scurit informatique consiste la protection

des systmes, de l'information et des services

Confidentialit Confidentialit Intgrit Intgrit Disponibilit Disponibilit

contre les menaces

accidentelles ou dlibres

BD BD

atteignant leur
confidentialit intgrit disponibilit

INF4420 INF4420 Scurit ScuritInformatique Informatique

Objectifs de la scurit informatique

Confidentialit

Confidentialit
qui peut "voir" quoi? Intrts publics/prives vs. vie prive

Intgrit
exactitude prcision modifications autorises seulement cohrent

Intgrit

Disponibilit

Disponibilit
prsence sous forme utilisable capacit rencontrer
les besoins et spcifications les contraintes de

temps performance qualit

INF4420 INF4420 Scurit ScuritInformatique Informatique

Mthodologie de la scurit informatique

1.

Identifier la menace
Qui ou quoi ? Comment (vulnrabilits) ?

2.

valuer les risques

Probabilit Impact

3.

Considrer les mesures de protection par rapport au risque

Efficacit (risque rsiduel) Cot Difficult d'utilisation

4.

Mettre en place et oprer les mesures protections

Modification et/ou installation Changer les politiques duquer les utilisateurs

5.

Retourner 1

INF4420 INF4420 Scurit ScuritInformatique Informatique

La menace en scurit informatique

Quel type de menace?

Accidentelles
Catastrophes naturelles ("acts of God")

feu, inondation, Actes humains involontaires : mauvaise entre de donnes, erreur de frappe, de configuration, Performance imprvue des systmes : Erreur de conception dans le logiciels ou matriel Erreur de fonctionnement dans le matriel

Dlibres

Vol de systmes Attaque de dnis de service Vol d'informations (atteinte la confidentialit) Modification non-autorise des systmes

INF4420 INF4420 Scurit ScuritInformatique Informatique

La menace en scurit informatique

Qui ou quel origine ?

Catastrophes naturelles Compagnie de marketing Hackers
"Script kiddies" "White hat" gage

Comptiteurs tats trangers Crime organis Groupe terroriste Ceux qui vous faites confiance

INF4420 INF4420 Scurit ScuritInformatique Informatique

Probabilit des risque dlibrs

Capacit
Savoir/connaissances ou accs au savoir Outils Ressources humaines Argent

Opportunit
Espace : avoir accs physique Connectivit : existence d'un lien physique et logique Temps : tre "l" au bon moment

Motivation
" qui profite le crime ?" (Qui) Que gagne l'attaquant ? (Quoi) Combien gagne t-il ? (Combien)

probabilit = capacit x opportunit x motivation

8

INF4420 INF4420 Scurit ScuritInformatique Informatique

Moyens de protection - types

(ou contrles ou contre-mesures)

Encryptage des donnes Contrles au niveau des logiciels
Programms Partie du systme d'exploitation Contrle du dveloppement des logiciels

Contrles du matriel
Contrle de l'accs au matriel: identification et authentification Contrles physiques: serrures, camras de scurit, gardiens, etc

Procdures
Qui est autoris faire quoi? Changement priodiques des mots de passe Prise de copies de scurit Formation et administration

Nous allons les revoir en dtails dans le reste du cours

9

INF4420 INF4420 Scurit ScuritInformatique Informatique

valuation et choix de contre-mesures

Rduction du risque
Motivation et impact ne changent pas R-valuation de capacit et opportunit => risque rsiduel rduction = risque initial (sans contre-mesures) risque rsiduel (aprs application efficace)

Cot total
Cot d'installation (achat, installation, configuration) Cot d'opration (licences, personnel supplmentaire) Impact sur la performance des systmes Convivialit du systme Impact sur la processus d'affaires Introduction de nouveaux risques

10

INF4420 INF4420 Scurit ScuritInformatique Informatique

valuation et choix - deux principes fondamentaux

Principe du point le plus faible

Une personne cherchant pntrer un systme utilisera tous les moyens possibles de pntration, mais pas ncessairement le plus vident ou celui bnficiant de la dfense la plus solide.

Principe de la protection adquate (Gestion du risque)

La dure de la protection doit correspondre la priode pendant laquelle l'importance et la valeur sont prsentes, et pas plus . Le niveau et le cot de la protection doivent correspondre l'importance et la valeur de ce qu'on veut protger:

Choisir la contre-mesure avec le meilleur rapport "qualit" (rduction de risque) vs. "prix" (cot total)

11

INF4420 INF4420 Scurit ScuritInformatique Informatique

Concepts et principes d'opration

Efficacit des contrles

Conscientisation des personnels Utilisation relle des contrles disponibles Recouvrement des contrles Vrification administrative

Principe de l'efficacit
Pour que les contrles soient effectifs, ils doivent tre utiliss Pour qu'ils soient utiliss, ils doivent tre perus comme tant faciles d'usage, et appropris aux situations particulires.

12

INF4420 INF4420 Scurit ScuritInformatique Informatique

Tableau d'analyse de risque

(Tableau)

13

INF4420 INF4420 Scurit ScuritInformatique Informatique

Analyse de risque - Acteurs et responsabilits

Responsable de scurit informatique

Capacit et Opportunit
En analysant

Architecture des systmes existants Vulnrabilits connues et possible des systmes La nature technique de la menace Outils existants Technique et mthode d'attaques

Probabilit des risque accidentels humains

"Stakeholders"
Description de la menace (quoi) Motivation (qui)
Comptiteurs, opposants, etc.

Impact
"Combien a coterait si" Reli la "valeur du remboursement" en assurances Reli au concept d' "exposition au risque" en comptabilit

Spcialiste en risque ou en scurit gnrale

Probabilit de risque accidentel naturel

14

INF4420 INF4420 Scurit ScuritInformatique Informatique

tudes de cas - Analyse de risque

Contexte gnral
Lintroduction de technologie sans-fil pour les priphriques de PC (infrarouge, Bluetooth, etc.) a permit lintroduction bas prix de clavier sans-fil Lutilisation de ce type de dispositif plusieurs avantages

Commodit dutilisation Prix peu lev

Objectifs
1. valuer les risques inhrents lis lutilisation de ce type de dispositif (aujourdhui) 2. valuer le risque rsiduel des diffrentes contre-mesures (prochain cours)

15

INF4420 INF4420 Scurit ScuritInformatique Informatique

tude de cas Scnarios

Scnario 1
Un fermier qui fait pousser du pot dans sa ferme isole et qui utilise son ordinateur pour faire sa comptabilit (qui lui doit combien ou vice-versa, toutes ses commandes, etc.) et pour communiquer avec ses acheteurs (par courriel)

Scnario 2
Une tudiante en rsidence qui a un chum trs jaloux et qui utilise son ordinateur pour faire ses travaux, communiquer avec ses autres amis et payer ses factures

Scnario 3
Une secrtaire dans un bureau d'avocats dans une tour bureau Place Ville-Marie qui crit et/ou dite toute la correspondance et les documents de sa patronne, une avocate en droit pnal (possiblement l'avocate du fermier). 16