Sécurité Informatique Powerpoint

Gnralits e e e La scurit en entreprise e e Rfrences ee
Scurit informatique: introduction e e

License Pro
Renaud Tabary: tabary@enseirb.fr
2008-2009
License Pro
Introduction ` la scurit informatique a e e
Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart
Plan
1 Gnralits e e e

2 La scurit en entreprise e e 3 Rfrences ee
License Pro
Dnition de la scurit informatique e e e
Denition Information security is the protection of information [Assets] from a wide range of threats in order to ensure business continuity, minimize business risks and maximize return on investment and business opportunities.
License Pro
Scurit informatique e e
Les syst`mes informatiques sont au coeur des syst`mes e e dinformation Ils sont devenus la cible de ceux qui convoitent linformation Assurer la scurit de linformation implique dassurer la e e scurit des syst`mes informatiques e e e
License Pro
La scurit des syst`mes dinformations e e e
License Pro
Qui sont les pirates ?
Peut tre nimporte qui avec lvolution et la vulgarisation des e e connaissances Beaucoup doutils sont disponibles sur Internet Trois gnrations : e e
80s-90s : techniciens clairs e e 1990-2000 : script kiddies 2000-aujourdhui : linscurit devient facilement rentable e e
Pub, SPAM e-commerce Espionnage industriel
License Pro
Quels sont leurs objectifs
Objectifs des attaques : Prouver ses comptences techniques e Reprsailles e Dsinformer (ex : Amazon) e Empcher lacc`s ` une ressource (Bombes logiques, DOS) e e a Prendre le contrle dune ressource (BotNets) o Rcuprer de linformation sur un syst`me (Espionnage e e e industriel) Gnrer des revenus : (Vol, Extorsion, Publicit) e e e
License Pro
Les risques pour lentreprise

Les risques encourus par lentreprise : Les risque stratgiques e
Destruction/altration de donnes e e
Exemple : Boeing (57000$ apr`s une intrusion) e
Vol de donnes stratgiques e e

Exemple : Gartner William Malik (900 M$)
Les autres risques

Le commerce electronique
Exemple : Kevin Mitnick et Netcom
Piratage de site web

Image de marque, militantisme
License Pro
La scurit, un march porteur e e e
License Pro
Plan
1 Gnralits e e e

License Pro
Objectifs
Les trois princpaux objectifs de la scurit infromatique : e e
Condentialit e Intgrit e e Disponibilit e
License Pro
Condentialit e
Denition Proprit dune donne dont la diusion doit tre limite aux ee e e e seules personnes autorises e Menaces : Ecoute du rseau e
Interne Externe
Contre-mesures : Cryptographie (chirement)

Des donnes e Des communications
Vol de chiers
Donnes e Mots de passe
Contrle dacc`s o e
Logique (mot de passe) Physique (biomtrie) e
Espionnage Ingnierie sociale e

License Pro
Classication des actifs Formation du personnel

Intgrit e e
Denition Proprit dune donne dont la valeur est conforme ` celle dnie ee e a e par son propritaire e Contre-mesures : Cryptographie
Signature, authentication
Menaces : Attaques malicieuses

Vers, virus Bombes logiques
Syst`mes de dtection e e
Antivirus, syst`mes de e dtection dintrusion e (IDS)
Dsinformation e Erreurs humaines
Politique de sauvegarde
License Pro Introduction ` la scurit informatique a e e
Disponibilit e
Denition Proprit dun S.I capable dassurer ses fonctions sans interruption, ee dlai ou dgradation, au moment mme o` la sollicitation en est e e e u faite Menaces : Attaques malicieuses
Denis de services SPAM
Contre-mesures : Pare-feu Syst`mes de dtection e e dintrusions Clustering Formation des administrateurs

Attaques accidentelles
Le Slashdot eect
Pannes
License Pro
Les actifs de lentreprise

Que protger ? e Denition Les actifs informationnels reprsentent lensemble des donnes et e e des syst`mes de linformation ncessaires au bon droulement e e e dune entreprise
Base de donnes clients e

Vente et Marketing
Codes sources
Equipe de developpement
Base de donnes des e employs e

Ressources humaines
Base de donnes usagers e

Equipe syst`me e
Portail web
Vente
License Pro
Objectifs (reformuls) : e La scurit de linformation consiste ` protger les actifs e e a e informationnels an dassurer lintgralit de leurs proprits e e ee Les actifs et leurs proprits sont dnis par les objectifs ee e daaire
License Pro
Plan
1 Gnralits e e e

License Pro
Un constat amer
Evolution des risques : En 2005, sur 218 entreprises europennes, plus de 50% ont e subit des pertes nanci`res lies ` des attaques informatiques e e a
Croissance de lInternet Ouverture des rseaux de communication e Succ`s des technologies nomades (tlphones, pda) e ee Augmentation du nombre dattaques Technologies plus complexes et moins maitrises e Changement de prol des pirates
License Pro
Type des attaques

Types dattaques rpertories en 2006 : e e
License Pro
Dlais des attaques e

Evolution des dlais entre dcouverte dune vulnrabilit et e e e e exploitation :
License Pro
Les cots de linscurit u e e
License Pro
Politique de scurit e e Le rle de linformaticien o Conclusion
Plan
1 Gnralits e e e 2 La scurit en entreprise e e

3 Rfrences ee
License Pro
Dnition e
Denition Les politiques de scurit sont des noncs gnraux dictes par les e e e e e e e cadres suprieurs dcrivant le rle de la scurit au sein de e e o e e lentreprise an dassurer les objectifs daaire.
Pour mettre en oeuvre ces politiques, une organisation doit tre mise en place. e Dnition des rles, des responsabilits et des imputabilits e o e e
License Pro
Politique de scurit e e
Compromis scurit - fonctionnalit : e e e Dnir les besoins. e
Dterminer les actifs ` protger et leurs propritaires e a e e
Quelles sont leurs valeurs ? Quelles sont leurs criticits ? e Quelles sont leurs proprits ? ee
Dterminer les menaces reprsentant des risques e e

Quels sont les acteurs ? attaqueurs ? Quels sont leurs moyens ?
Dterminer les objectifs ` atteindre e a

Quelles sont les proprits des actifs ` protger ? ee a e
Proposer une solution.

Dterminer les contre-mesures ` mettre en place e a
Evaluer les risques rsiduels. e

Dterminer quelles sont les vulnrabilits toujours prsentes e e e e Dterminer leurs impacts sur les objectifs initiaux e
License Pro Introduction ` la scurit informatique a e e
Politique de scurit (2) e e
Cration dune politique de scurit : e e e Mise en oeuvre Audit Tests dintrusion Dtection dincidents e Ractions e Restauration
License Pro
Politique de scurit (3) e e
Quelques mthodes : e EBIOS (Expressions des Besoins et Identication des Objectifs de Scurit) http ://www.ssi.gouv.fr/fr/conance/ebios.html e e MEHARI (MEthode Harmonise dAnalyse de Risques) e http ://www.clusif.asso.fr/fr/production/mehari Crit`res Communs (http ://www.commoncriteriaportal.org) e
La norme ISO 17799 Prsentation : e http ://www.clusif.asso.fr/fr/production/ouvrages/pdf/PresentationISO17799-2005.pdf
License Pro
Exemple ISO 17799
License Pro
Plan

3 Rfrences ee
License Pro
Logiciel de scurit par excellence ? e e
Pare-feu ? Antivirus ? Syst`me de dtection dintrusions ? e e ... ? PowerPoint ! ! !
License Pro
Le probl`me e
Lindustrie de la scurit e e En 2003, le march de la scurit rseau tait valu ` 45 e e e e e e ea milliards USD Constat
Lapproche traditionnelle de scuriser le prim`tre du rseau ne e e e e semble pas adquate puisque nous avons toujours les mmes e e probl`mes e
Raisons :
Le manque dinformation des utilisateurs La qualit des logiciels e
License Pro
Le rle du dveloppeur o e
La scurit des logiciels est donc critique ! e e
50 % des vulnrabilits proviennent des erreurs de conception e e 50 % des vulnrabilits proviennent des erreurs e e dimplmentation e
Dpassement de mmoire et dentier e e Concurrence critique
Microsofts Trustworthy Computing Initiative

Mmo de Bill Gates en janvier 2002 prsente la nouvelle e e approche de Microsoft de dvelopper des logiciels scuriss e e e Microsoft aurait dpens plus de 300 millions USD e e
Workshop on Rapide Malware 2006

Un panel reconnaissait limpact de cette initiative sur la prvalence des vers et des virus e
License Pro
Solution
Plusieurs solutions : Dveloppement able (cycle en V , en W , etc.) e Politique qualit au sein de lentreprise (ISO, CMMI) e Informer !
License Pro
Plan

3 Rfrences ee
License Pro
Conclusion
La scurit informatique ne doit plus tre ignore ! e e e e Connaissez-vous vous-mme e
Dterminer les actifs qui doivent tre protgs et leurs e e e e proprits ee Dterminer les objectifs ` atteindre e a
Connaissez vos ennemis

Dterminer les menaces contre lesquelles ils doivent tre e e protgs e e
Ragissez ! e
Politique de scurit e e Principes, guides et r`gles connues e Informer
License Pro
Quelque liens
Plan
1 Gnralits e e e 2 La scurit en entreprise e e 3 Rfrences ee
Quelque liens
License Pro
Quelque liens
Liens utiles
http ://www.miscmag.com (FR) http ://sid.rstack.org/blog (FR) http ://www.securityfocus.com http ://www.sans.org http ://www.hoobie.net http ://packetstorm.security.org http ://www.rootshell.com et beaucoup dautres ...
License Pro

Sécurité Informatique Powerpoint

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Sécurité Informatique Powerpoint

Hochgeladen von

Copyright:

Verfügbare Formate

Gnralits e e e La scurit en entreprise e e Rfrences ee

Scurit informatique: introduction e e

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Dnition de la scurit informatique e e e

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

La scurit des syst`mes dinformations e e e

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Qui sont les pirates ?

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Quels sont leurs objectifs

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Les risques pour lentreprise

Vol de donnes stratgiques e e

Les autres risques

Piratage de site web

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

La scurit, un march porteur e e e

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Les trois princpaux objectifs de la scurit infromatique : e e

Condentialit e Intgrit e e Disponibilit e

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Contre-mesures : Cryptographie (chirement)

Espionnage Ingnierie sociale e

Classication des actifs Formation du personnel

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Menaces : Attaques malicieuses

Dsinformation e Erreurs humaines

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Contre-mesures : Pare-feu Syst`mes de dtection e e dintrusions Clustering Formation des administrateurs

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Les actifs de lentreprise

Base de donnes clients e

Base de donnes des e employs e