Universite de Politehnique Bucharest 2011

PROJET Fiabilit et contrle de la qualit

tudiante : Andra CODREANU Groupe: 1230F

Prof. Coordonnateur: Ioan BACIVAROV

1. Enjeux de la scurit des systmes d'information

2. Introduction la scurit informatique 2.1 Objectifs de la scurit informatique. 2.2 Ncessite dune approche globale 2.3 Le processus de scurit 3. Scurit - Dfinition des besoins 3.1 Identification des besoins 3.2 Analyse des risques 3.3 La politique de scurit 3.3.1 Mise en place dune politique de scurit 4. Mesure des risques 4.1 Risques humains 4.2 Risques techniques 4.3 Risques juridiques 4.4 Liste des risques 5. Les Tests dintrusion 5.1 Notion dAudit 5.2 Phase de dtection des incidents 6. Scurit - Raction aux incidents 7. La scurit des systmes informatiques 8. Conclusions et perspectives 9. Bibliographie
1. Annexe1 2. Annexe2

1. Enjeux de d'information

la

scurit

des

systmes

Le terme systme informatique dsigne ici tout systme dont le fonctionnement fait appel, d'une faon ou d'une autre, l'lectricit et destin laborer, traiter, stocker, acheminer ou prsenter de l'information. Les systmes d'information s'appuient en rgle gnrale sur des systmes informatiques pour leur mise en uvre. Ils comprennent les donnes de tlcommunications (voix analogique, voix sur IP) et dans certains cas, les donnes sur papier. De tels systmes se prtent des menaces de types divers, susceptibles d'altrer ou de dtruire l'information (on parle d' intgrit de l'information ), ou de la rvler des tiers qui ne doivent pas en avoir connaissance (on parle de confidentialit de l'information ), ou bien par exemple de porter atteinte sa disponibilit (on parle alors de disponibilit du systme ). Depuis les annes 1970, l'accs rapide aux informations, la rapidit et l'efficacit des traitements, les partages de donnes et l'interactivit ont augment de faon considrable mais c'est galement le cas des pannes indisponibilits, incidents, erreurs, ngligences et malveillances en particulier avec l'ouverture sur internet. Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages financiers. Par exemple, bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont t avances suite des dommages causs par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux lis au vol de numros de cartes de crdit, ont t dtermins plus prcisment. Outre les aspects financiers, des bris de scurit informatique peuvent causer du tort la vie prive d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnes postales ou bancaires), et peuvent pour cette raison tre sanctionns lorsqu'une ngligence de l'hbergeur est tablie : si, par exemple, celui-ci n'a pas appliqu un correctif dans des dlais raisonnables. Indirectement aussi, certaines menaces peuvent nuire l'image mme du propritaire du systme d'information. Des techniques rpandues de defacing (une refonte d'un site web) permettent une personne mal intentionne de mettre en vidence des failles de scurit sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnrabilits pour diffuser de fausses informations sur son propritaire (on parle alors de dsinformation).

2. Introduction la scurit informatique

Avec le dveloppement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur systme d'information leurs partenaires ou leurs fournisseurs, il est donc essentiel de connatre les ressources de l'entreprise protger et de matriser le contrle d'accs et les droits des utilisateurs du systme d'information. Il en va de mme lors de l'ouverture de l'accs de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant permettre aux personnels de se connecter au systme d'information partir de n'importe quel endroit, les personnels sont amens transporter une partie du systme d'information hors de l'infrastructure scuris de l'entreprise.

2.1 Objectifs de la scurit informatique

Afin de pouvoir scuriser un systme, il est ncessaire d'identifier les menaces potentielles, et donc de connatre et de prvoir la faon de procder de l'ennemi. La scurit informatique vise gnralement cinq principaux objectifs: - L'intgrit, c'est--dire garantir que les donnes sont bien celles que l'on croit tre; - La confidentialit, consistant assurer que seules les personnes autorises aient accs aux ressources changes; - La disponibilit, permettant de maintenir le bon fonctionnement du systme d'information ; - La non rpudiation, permettant de garantir qu'une transaction ne peut tre nie ; - L'authentification, consistant assurer que seules les personnes autorises aient accs aux ressources.

2.2 Ncessite dune approche globale

La scurit d'un systme informatique fait souvent l'objet de mtaphores. En effet, on la compare rgulirement une chane en expliquant que le niveau de scurit d'un systme est caractris par le niveau de scurit du maillon le plus faible. Ainsi, une porte blinde est inutile dans un btiment si les fentres sont ouvertes sur la rue. Cela signifie que la scurit doit tre aborde dans un contexte global et notamment prendre en compte les aspects suivants :

La sensibilisation des utilisateurs aux problmes de scurit La scurit logique, c'est--dire la scurit au niveau des donnes, notamment les donnes de l'entreprise, les applications ou encore les systmes d'exploitation. La scurit des tlcommunications : technologies rseau, serveurs de l'entreprise, rseaux d'accs, etc. La scurit physique, soit la scurit au niveau des infrastructures matrielles : salles scurises, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

2.3 Le processus de scurit

Le processus de scurit doit tre intgr de faon dynamique : Le contrle de risque permet d'numrer les vulnrabilits prsentes, associes des degrs de gravit. Puis l'analyse des risques consiste valuer la criticit d'une menace en fonction de sa probabilit et son impact. Afin d'laborer une politique de scurit cohrente,il faut mettre toutes les prconisations ncessaires la scurisation de l'infrastructure. Une implmentation d'architecture scurise pourra alors tre organise.

3. Scurit - Dfinition des besoins

Phase de dfinition
La phase de dfinition des besoins en terme de scurit est la premire tape vers la mise en oeuvre d'une politique de scurit. L'objectif consiste dterminer les besoins de l'organisation en faisant un vritable tat des lieux du systme d'information, puis d'tudier les diffrents risques et la menace qu'ils reprsentent afin de mettre en oeuvre une politique de scurit adapte. La phase de dfinition comporte ainsi trois tapes : L'identification des besoins L'analyse des risques

La dfinition de la politique de scurit

3.1 Identification des besoins

La phase d'identification des besoins consiste dans un premier temps faire l'inventaire du systme d'information, notamment pour les lments suivants : Personnes et fonctions ; Matriels, serveurs et les services qu'ils dlivrent ; Cartographie du rseau (plan d'adressage, topologie physique, topologie logique, etc.) ; Liste des noms de domaine de l'entreprise ; Infrastructure de communication (routeurs, commutateurs, etc.) Donnes sensibles.

3.2 Analyse des risques

L'tape d'analyse des risques consiste rpertorier les diffrents risques encourus, d'estimer leur probabilit et enfin d'tudier leur impact. La meilleure approche pour analyser l'impact d'une menace consiste estimer le cot des dommages qu'elle causerait (par exemple attaque sur un serveur ou dtrioration de donnes vitales pour l'entreprise). Sur cette base, il peut tre intressant de dresser un tableau des risques et de leur potentialit, c'est--dire leur probabilit de se produire, en leur affectant des niveaux chelonn selon un barme dfinir, par exemple : Sans objet (ou improbable) : la menace n'a pas lieu d'tre ; Faible : la menace a peu de chance de se produire ; Moyenne : la menace est relle ; Haute : la menace a de grandes chances de se produire.

Il existe de nombreux risques en scurit du systme d'information, qui voluent d'anne en anne. Le terme criminalit informatique, aussi appel cyber-criminalit , dfinit mauvais titre les diffrentes attaques contre les systmes informatiques, la plupart des attaques pouvant tre classifies comme des dlits, et non des crimes. Ce 6

terme est souvent employ comme FUD, gnralement par les mme personnes qui considrent les hackers comme des terroristes.

3.3 La politique de scurit

La politique de scurit est le document de rfrence dfinissant les objectifs poursuivis en matire de scurit et les moyens mis en oeuvre pour les assurer. La politique de scurit dfinit un certain nombre de rgles, de procdures et de bonnes pratiques permettant d'assurer un niveau de scurit conforme aux besoins de l'organisation. Un tel document doit ncessairement tre conduit comme un vritable projet associant des reprsentants des utilisateurs et conduit au plus haut niveau de la hirarchie, afin qu'il soit accept par tous. Lorsque la rdaction de la politique de scurit est termine, les clauses concernant le personnel doivent leur tre communiques, afin de donner la politique de scurit le maximum d'impact. La politique de scurit est donc l'ensemble des orientations suivies par une organisation ( prendre au sens large) en terme de scurit. A ce titre elle se doit d'tre labore au niveau de la direction de l'organisation concerne, car elle concerne tous les utilisateurs du systme. A cet gard, il ne revient pas aux seuls administrateurs informatiques de dfinir les droits d'accs des utilisateurs mais aux responsables hirarchiques de ces derniers. Le rle de l'administrateur informatique est donc de s'assurer que les ressources informatiques et les droits d'accs celles-ci sont en cohrence avec la politique de scurit dfinie par l'organisation. De plus, tant donn qu'il est le seul connatre parfaitement le systme, il lui revient de faire remonter les informations concernant la scurit sa direction, ventuellement de conseiller les dcideurs sur les stratgies mettre en oeuvre, ainsi que d'tre le point d'entre concernant la communication destination des utilisateurs sur les problmes et recommandations en terme de scurit. La scurit informatique de l'entreprise repose sur une bonne connaissance des rgles par les employs, grce des actions de formation et de sensibilisation auprs des utilisateurs, mais elle doit aller au-del et notamment couvrir les champs suivants : Un dispositif de scurit physique et logique, adapt aux besoins de l'entreprise et aux usages des utilisateurs ; Une procdure de management des mises jour ; Une stratgie de sauvegarde correctement planifie ; Un plan de reprise aprs incident ; Un systme document jour ;

3.3.1 Mise en place dune politique de scurit

La scurit des systmes informatiques se cantonne gnralement garantir les droits d'accs aux donnes et ressources d'un systme en mettant en place des mcanismes d'authentification et de contrle permettant d'assurer que les utilisateurs des dites ressources possdent uniquement les droits qui leur ont t octroys. Les mcanismes de scurit mis en place peuvent nanmoins provoquer une gne au niveau des utilisateurs et les consignes et rgles deviennent de plus en plus compliques au fur et mesure que le rseau s'tend. Ainsi, la scurit informatique doit tre tudie de telle manire ne pas empcher les utilisateurs de dvelopper les usages qui leur sont ncessaires, et de faire en sorte qu'ils puissent utiliser le systme d'information en toute confiance. C'est la raison pour laquelle il est ncessaire de dfinir dans un premier temps une politique de scurit, dont la mise en oeuvre se fait selon les quatre tapes suivantes : Identifier les besoins en terme de scurit, les risques informatiques pesant sur l'entreprise et leurs ventuelles consquences ; Elaborer des rgles et des procdures mettre en oeuvre dans les diffrents services de l'organisation pour les risques identifis ; Surveiller et dtecter les vulnrabilits du systme d'information et se tenir inform des failles sur les applications et matriels utiliss ; Dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une menace ;

Il existe de nombreuses mthodes permettant de mettre au point une politique de scurit. Voici une liste non exhaustive des principales mthodes : MARION (Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux), mise au point par le CLUSIF ; https://www.clusif.asso.fr/fr/production/mehari/ MEHARI (MEthode Harmonise d'Analyse de RIsques) ; https://www.clusif.asso.fr/fr/production/mehari/ EBIOS (Expression des Besoins et Identification des Objectifs de Scurit), mise au point par la DCSSI (Direction Centrale de la Scurit des Systmes d'Information) ; http://www.ssi.gouv.fr/fr/confiance/ebios.html La norme ISO 17799.

La norme ISO/CEI 27002 est une norme internationale concernant la scurit de l'information, publie en juillet 2007 par l'ISO, dont le titre en franais est Code de bonnes pratiques pour la gestion de la scurit de l'information . Cette norme remplace la norme ISO/CEI 17799 depuis le 1er juillet 2007, cette dernire tant dprcie. Le contenu de la norme ISO/CEI 27002:2005 est le mme, la virgule prs, que celui de la norme ISO/CEI 17799:2005, publie en juin 2005. L'ISO/CEI 27002 est un ensemble de 133 mesures dites best practices (bonnes pratiques en franais), destines tre utilises par tous ceux qui sont responsables de la mise en place ou du maintien d'un Systme de Management de la Scurit de l'Information (SMSI). La scurit de l'information est dfinie au sein de la norme comme la prservation de la confidentialit, de l'intgrit et de la disponibilit de l'information . Cette norme n'a pas de caractre obligatoire pour les entreprises. Son respect peut toutefois tre mentionn dans un contrat : un prestataire de services pourrait ainsi s'engager respecter les pratiques normalises dans ses relations avec un client.

Contenu de la norme La norme ISO/CEI 27002 est compose de onze sections principales, qui couvrent le management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects oprationnels. Chaque section constitue un chapitre de la norme :

Chapitre 5 : Politique de scurit. Chapitre 6 : Organisation de la scurit de l'information. Chapitre 7 : Gestion des biens. Chapitre 8 : Scurit lie aux ressources humaines. Chapitre 9 : Scurit physique et environnementale. Chapitre 10 : Gestion des communications et de l'exploitation. Chapitre 11 : Contrle d'accs. Chapitre 12 : Acquisition, dveloppement et maintenance des systmes d'information. Chapitre 13 : Gestion des incidents lis la scurit de l'information. Chapitre 14 : Gestion de la continuit d'activit. Chapitre 15 : Conformit lgale et rglementaire.

Chaque section spcifie les objectifs atteindre et numre un ensemble de mesures (les best practices ) permettant d'atteindre ces objectifs. La norme ne dtaille pas les mesures, car chaque organisation est cense procder une valuation de ses propres risques afin de dterminer ses besoins avant de choisir les mesures qui seront appropries dans chacun des cas possibles.

Cette norme est de plus en plus utilise par les entreprises du secteur priv comme un rfrentiel d'audit et de contrle, en complment de la politique de scurit de l'information de l'entreprise. Le fait de respecter cette norme permet de viser, moyen terme, la mise en place d'un Systme de Management de la Scurit de l'Information, et long terme, une ventuelle certification ISO/CEI 27001.

4. Mesure des risques

Il importe de mesurer ces risques, non seulement en fonction de la probabilit ou de la frquence de leurs survenances, mais aussi en mesurant leurs effets possibles. Ces effets, selon les circonstances et le moment o ils se manifestent, peuvent avoir des consquences ngligeables ou catastrophiques. Parfois, le traitement informatique en cours choue, il suffit de le relancer, ventuellement par une autre mthode si on craint que la cause ne rapparaisse ; parfois l'incident est bloquant et on doit procder une rparation ou une correction avant de poursuivre le travail entrepris. Mais ces mmes incidents peuvent avoir des consquences beaucoup plus fcheuses :

donnes irrmdiablement perdues ou altres, ce qui les rend inexploitables. donnes ou traitements durablement indisponibles, pouvant entraner l'arrt d'une production ou d'un service. divulgation d'informations confidentielles ou errones pouvant profiter des socits concurrentes ou nuire l'image de l'entreprise. dclenchement d'actions pouvant provoquer des accidents physiques ou induire des drames humains.

A l're de la gnralisation des traitements et des changes en masse, on imagine assez bien l'impact que pourraient avoir des vnements majeurs comme, par exemple, une panne lectrique de grande ampleur ou la saturation du rseau Internet pendant plusieurs heures. Hormis ces cas exceptionnels, beaucoup de risques peuvent tre anticips et il existe des parades pour la plupart d'entre eux. On peut citer en exemple les prcautions prises peu avant l'an 2000 qui, mme si la ralit du risque a parfois t (et reste aujourd'hui) controverse, ont peut-tre vit de graves dsagrments. Chaque organisation, mais aussi chaque utilisateur, a tout intrt valuer, mme grossirement, les risques qu'il court et les protections raisonnables qu'elle ou il peut mettre en uvre. Dans le monde professionnel, les risques et les moyens de prvention sont essentiellement valus en raison de leurs cots. Il est par exemple vident qu'une panne qui aurait pour consquence l'arrt de la production d'une usine pendant une journe mrite qu'on consacre pour la prvenir une somme gale une fraction de la valeur de sa production quotidienne ; cette fraction sera d'autant plus importante que la probabilit et la frquence d'une telle panne sont leves.

10

4.1 Risques humains

Les risques humains sont les plus importants, mme s'ils sont le plus souvent ignors ou minimiss. Ils concernent les utilisateurs mais galement les informaticiens eux-mmes. La maladresse : comme en toute activit, les humains commettent des erreurs ; il leur arrive donc plus ou moins frquemment d'excuter un traitement non souhait, d'effacer involontairement des donnes ou des programmes, etc. L'inconscience et l'ignorance : de nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systmes qu'ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Des manipulations inconsidres (autant avec des logiciels que physiques) sont aussi courantes. La malveillance : Aujourd'hui, il serait quasiment inconcevable de prtexter l'ignorance des risques sus-cits, tant les mdias ont pu parler des diffrents problmes de virus et de vers ces dernires annes (mme s'ils ont tendance, en vulgarisant, se tromper sur les causes et les problmes). Ainsi, certains utilisateurs, pour des raisons trs diverses, peuvent volontairement mettre en pril le systme d'information, en y introduisant en connaissance de cause des virus (en connectant par exemple un ordinateur portable sur un rseau d'entreprise), ou en introduisant volontairement de mauvaises informations dans une base de donnes. De mme il est relativement ais pour un informaticien d'ajouter dlibrment des fonctions caches lui permettant, directement ou avec l'aide de complices, de dtourner son profit de l'information ou de l'argent. L'ingnierie sociale : l'ingnierie sociale (social engineering en anglais) est une mthode pour obtenir d'une personne des informations confidentielles, que l'on n'est pas normalement autoris obtenir, en vue de les exploiter d'autres fins (publicitaires par exemple). Elle consiste se faire passer pour quelquun que lon est pas (en gnral un administrateur) et de demander des informations personnelles (nom de connexion, mot de passe, donnes confidentielles, etc.) en inventant un quelconque prtexte (problme dans le rseau, modification de celui-ci, heure tardive, etc.). Elle peut se faire soit au moyen dune simple communication tlphonique, soit par mail, soit en se dplaant directement sur place. L'espionnage : l'espionnage, notamment industriel, emploie les mme moyens, ainsi que bien d'autres (influence), pour obtenir des informations sur des activits concurrentes, procds de fabrication, projets en cours, futurs produits, politique de prix, clients et prospects, etc.

Dans les approches de type ingnierie des connaissances, le capital humain est considr comme l'une des trois composantes du capital immatriel de l'entreprise. 11

4.2 Risques techniques

Les risques techniques sont tout simplement ceux lis aux dfauts et pannes invitables que connaissent tous les systmes matriels et logiciels. Ces incidents sont videmment plus ou moins frquents selon le soin apport lors de la fabrication et des tests effectus avant que les ordinateurs et les programmes ne soient mis en service. Cependant les pannes ont parfois des causes indirectes, voire trs indirectes, donc difficiles prvoir. Incidents lis au matriel : si on peut le plus souvent ngliger la probabilit d'une erreur d'excution par un processeur (il y eut nanmoins une exception clbre avec l'une des toutes premires gnrations du processeur Pentium d'Intel qui pouvait produire, dans certaines circonstances, des erreurs de calcul), la plupart des composants lectroniques, produits en grandes sries, peuvent comporter des dfauts et bien entendu finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles dceler car intermittentes ou rares. Incidents lis au logiciel : ils sont de trs loin les plus frquents ; la complexit croissante des systmes d'exploitation et des programmes ncessite l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font invitablement des erreurs que les meilleures mthodes de travail et les meilleurs outils de contrle ou de test ne peuvent pas liminer en totalit. Des failles permettant de prendre le contrle total ou partiel d'un ordinateur sont rgulirement rendues publiques et rpertories sur des sites comme SecurityFocus ou Secunia. Certaines failles ne sont pas corriges rapidement par leurs auteurs (cf les listes actualises des "unpatched vulnerabilities" sur Secunia). Certains programmes sont conus pour communiquer avec internet et il n'est donc pas souhaitable de les bloquer compltement par un firewall (navigateur internet par exemple). Incidents lis l'environnement : les machines lectroniques et les rseaux de communication sont sensibles aux variations de temprature ou d'humidit (tout particulirement en cas d'incendie ou d'inondation) ainsi qu'aux champs lectriques et magntiques. Il n'est pas rare que des ordinateurs connaissent des pannes dfinitives ou intermittentes cause de conditions climatiques inhabituelles ou par l'influence d'installations lectriques notamment industrielles (et parfois celle des ordinateurs euxmmes !).

Pour s'en prmunir, on recourt gnralement des moyens simples bien que parfois onreux :

Redondance des matriels : la probabilit ou la frquence de pannes d'un quipement est reprsente par un nombre trs faible (compris entre 0 et 1, exprim sous la forme 10-n). En doublant ou en triplant (ou plus) un quipement, on divise le risque total par la probabilit de pannes 12

simultanes. Le rsultat est donc un nombre beaucoup plus faible ; autrement dit l'ensemble est beaucoup plus fiable (ce qui le plus souvent reporte le risque principal ailleurs). Dispersion des sites : Un accident (incendie, tempte, tremblement de terre, attentat, etc.) a trs peu de chance de se produire simultanment en plusieurs endroits distants. Programmes ou procdures de contrle indpendants : ils permettent bien souvent de dceler les anomalies avant qu'elles ne produisent des effets dvastateurs.

4.3 Risques juridiques

L'ouverture des applications informatiques par le web et la multiplication des messages lectroniques augmentent les risques juridiques lis l'usage des technologies de l'information. On peut citer notamment :

le non respect de la lgislation relative la signature numrique, les risques concernant la protection du patrimoine informationnel, le non respect de la lgislation relative la vie prive, le non respect des dispositions lgales relatives au droit de la preuve, dont les conditions d'application en droit civil sont diffrentes de celles de la Common law, et une mauvaise gestion des documents d'archive.

4.4 Liste des risques

Attention, les risques voluant jour aprs jour, cette liste n'est pas exhaustive.

4.4.1 Programmes malveillants

Un logiciel malveillant (malware en anglais) est un logiciel dvelopp dans le but de nuire un systme informatique. Voici les principaux types de programmes malveillants :

Le virus : programme se dupliquant sur d'autres ordinateurs ; Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ; Le wabbit : programme qui se rplique par lui-mme (mais qui n'est ni un virus, ni un ver) ; Le cheval de Troie (trojan en anglais) : programme apparence lgitime (voulue) qui excute des routines nuisibles sans l'autorisation de l'utilisateur ; La porte drobe (backdoor en anglais) : ouvreur d'un accs frauduleux sur un systme informatique, distance ;

13

Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci un organisme tiers ; L'enregistreur de frappe (keylogger en anglais) : programme gnralement invisible install sur le poste d'un utilisateur et charg d'enregistrer son insu ses frappes clavier ; L'exploit : programme permettant d'exploiter une faille de scurit d'un logiciel ; Le rootkit : ensemble de logiciels permettant gnralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte drobe, de truquer les informations susceptibles de rvler la compromission, et d'effacer les traces laisses par l'opration dans les journaux systme.

4.4.2 Techniques d'attaque par messagerie

En dehors des nombreux programmes malveillants qui se propagent par la messagerie lectronique, il existe des attaques spcifiques celle-ci : Le pourriel (spam en anglais) : un courrier lectronique non sollicit, la plupart du temps de la publicit. Ils encombrent le rseau, et font perdre du temps leurs destinataires L'hameonnage (phishing en anglais) : un courrier lectronique dont l'expditeur se fait gnralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles Le canular informatique (hoax en anglais) : un courrier lectronique incitant gnralement le destinataire retransmettre le message ses contacts sous divers prtextes. Ils encombrent le rseau, et font perdre du temps leurs destinataires. Dans certains cas, ils incitent l'utilisateur effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prtendument li un virus par exemple).

4.4.3 Attaques sur le rseau

Voici les principales techniques d'attaques sur le rseau :

Le sniffing : technique permettant de rcuprer toutes les informations transitant sur un rseau (on utilise pour cela un logiciel sniffer).Elle est gnralement utilise pour rcuprer les mots de passe des applications qui ne chiffrent pas leurs communications, et pour identifier les machines qui communiquent sur le rseau. La mystification (en anglais spoofing) : technique consistant prendre l'identit d'une autre personne ou d'une autre machine. Elle est gnralement utilise pour rcuprer des informations sensibles, que l'on ne pourrait pas avoir autrement.

14

Le dni de service (en anglais denial of service) : technique visant gnrer des arrts de service, et ainsi dempcher le bon fonctionnement dun systme.

Et d'autres techniques plus subtiles :

Hijacking Attaque de l'homme du milieu (MITM) Fragments attacks Tiny Fragments Fragment Overlapping TCP Session Hijacking

4.4.5 Attaques sur les mots de passe

Les attaques sur les mots de passe peuvent consister faire de nombreux essais jusqu trouver le bon mot de passe. Dans ce cadre, notons les deux mthodes suivantes: L'attaque par dictionnaire : le mot test est pris dans une liste prdfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci ( lenvers, avec un chiffre la fin, etc.). Ces listes sont gnralement dans toutes les langues les plus utilises, contiennent des mots existants, ou des diminutifs (comme par exemple powa pour power, ou G0d pour god). L'attaque par force brute : toutes les possibilits sont faites dans lordre jusqu trouver la bonne solution (par exemple de aaaaaa jusqu' ZZZZZZ pour un mot de passe compos strictement de six caractres alphabtiques).

4.4.6 Le spam
Le spam est un message lectronique non sollicit, envoy massivement un grand nombre de destinataires, des fins publicitaires ou malveillantes. Aujourdhui, les objectifs des spams sont trs varis ainsi que les rseaux/utilisateurs quils ciblent. De trs nombreuses sous-catgories existent pour distinguer les diffrents types/objectifs de spams daprs leurs caractristiques (objectif cibl, population vise, contenu du message lectronique, fichiers attachs, liens hypertextes...). Toutes les solutions de filtrage de contenu et denveloppe ne sont que des solutions ractives au problme du spam. Elles fonctionnent un instant t mais demeurent incapables dvoluer en avance de phase face aux spammeurs, un peu linstar des outils antivirus. Si les outils antispam sont aussi efficaces que certains diteurs le prtendent, pourquoi ny a-t-il aucun engagement contractuel sur les performances de dtection et de fauxpositifs de ces produits ? Bien videmment

15

car les taux de performance annoncs ne sont valables qu un instant t, dans un contexte bien prcis. Mais, de l dire que ces techniques et outils sont inutiles, cest un peu prsomptueux. En effet, de quels autres moyens dispose lutilisateur final pour viter dtre submerg par le flau du spam lheure actuelle ? Bien videmment ce type doutil doit tre combin avec une bonne gestion de la machine (mises jour rgulires pour viter les failles de scurit...). Les solutions de filtrage par dtection humaine sont nettement plus proactives que les techniques voques prcdemment, mais des problmes et des failles demeurent, notamment dans les outils utiliss pour la dtection humaine. Les rsoudre, tout en restant proactif, sera essentiel pour assurer une prennit de ce type de solution. Les techniques visant renforcer larchitecture de messagerie lectronique sont, pour certaines dentre elles, prometteuses mme si elles mritent encore des amliorations. Elles ont toutefois un dfi de taille relever : obtenir le consensus des diffrents acteurs impliqus (SPF et Sender ID sont des exemples de cette difficult). Dautres propositions sont, quant elles, irralisables car, mme si parfois techniquement intressantes par certains aspects, elles ngligent laspect financier engendr et ne seront donc jamais adoptes grande chelle.

16

5. Les Tests dintrusion

Les tests d'intrusion (en anglais penetration tests, abrgs en pen tests) consiste prouver les moyens de protection d'un systme d'information en essayant de s'introduire dans le systme en situation relle. On distingue gnralement deux mthodes distinctes : La mthode dite bote noire (en anglais black box ) consistant essayer d'infiltrer le rseau sans aucune connaissance du systme, afin de raliser un test en situation relle ; La mthode dite bote blanche (en anglais white box ) consistant tenter de s'introduire dans le systme en ayant connaissance de l'ensemble du systme, afin d'prouver au maximum la scurit du rseau.

Une telle dmarche doit ncessairement tre ralis avec l'accord (par crit de prfrence) du plus haut niveau de la hirarchie de l'entreprise, dans la mesure o elle peut aboutir des dgts ventuels et tant donn que les mthodes mises en oeuvre sont interdites par la loi en l'absence de l'autorisation du propritaire du systme. Un test d'intrusion, lorsqu'il met en vidence une faille, est un bon moyen de sensibiliser les acteurs d'un projet. A contrario, il ne permet pas de garantir la scurit du systme, dans la mesure o des vulnrabilits peuvent avoir chapp aux testeurs. Les audits de scurit permettent d'obtenir un bien meilleur niveau de confiance dans la scurit d'un systme tant donn qu'ils prennent en compte des aspects organisationnels et humains et que la scurit est analyse de l'intrieur.

5.1 Notion dAudit

Un audit de scurit (en anglais security audit) consiste s'appuyer sur un tiers de confiance (gnralement une socit spcialise en scurit informatique) afin de valider les moyens de protection mis en oeuvre, au regard de la politique de scurit. L'objectif de l'audit est ainsi de vrifier que chaque rgle de la politique de scurit est correctement applique et que l'ensemble des dispositions prises forme un tout cohrent. Un audit de scurit permet de s'assurer que l'ensemble des dispositions prises par l'entreprise sont rputes sres. Exemple : Annexe 1

17

5.2 Phase de dtection des incidents

Afin d'tre compltement fiable, un systme d'information scuris doit disposer de mesures permettant de dtecter les incidents. Il existe ainsi des systmes de dtection d'intrusion (nots IDS pour Intrusion Detection Systems) chargs de surveiller le rseau et capables de dclencher une alerte lorsqu'une requte est suspecte ou non conforme la politique de scurit. La disposition de ces sondes et leur paramtrage doivent tre soigneusement tudis car ce type de dispositif est susceptible de gnrer de nombreuses fausses alertes.

6. Scurit - Raction aux incidents

Il est essentiel d'identifier les besoins de scurit d'une organisation afin de dployer des mesures permettant d'viter un sinistre tel qu'une intrusion, une panne matrielle ou encore un dgt des eaux. Nanmoins, il est impossible d'carter totalement tous les risques et toute entreprise doit s'attendre un jour vivre un sinistre. Dans ce type de cas de figure la vitesse de raction est primordiale car une compromission implique une mise en danger de tout le systme d'information de l'entreprise. De plus, lorsque la compromission provoque un dysfonctionnement du service, un arrt de longue dure peut tre synonyme de pertes financires. Enfin, dans le cas par exemple d'un dfaage de site web (modification des pages), la rputation de toute l'entreprise est en jeu.

6.1 Phase de raction

La phase de raction est gnralement la phase la plus laisse pour compte dans les projets de scurit informatique. Elle consiste anticiper les vnements et prvoir les mesures prendre en cas de ppin. En effet, dans le cas d'une intrusion par exemple, il est possible que l'administrateur du systme ragisse selon un des scnarios suivants : Obtention de l'adresse du pirate et riposte ; Extinction de l'alimentation de la machine ; Dbranchement de la machine du rseau ; Rinstallation du syste.

18

Or, chacune de ces actions peut potentiellement tre plus nuisible (notamment en termes de cots) que l'intrusion elle-mme. En effet, si le fonctionnement de la machine compromise est vitale pour le fonctionnement du systme d'information ou s'il s'agit du site d'une entreprise de vente en ligne, l'indisponibilit du service pendant une longue dure peut tre catastrophique. Par ailleurs, dans ce type de cas, il est essentiel de constituer des preuves, en cas d'enqute judiciaire. Dans le cas contraire, si la machine compromise a servi de rebond pour une autre attaque, la responsabilit de l'entreprise risque d'tre engage. La mise en place d'un plan de reprise aprs sinistre permet ainsi d'viter une aggravation du sinistre et de s'assurer que toutes les mesures visant tablir des lments de preuve sont correctement appliques. Par ailleurs, un plan de sinistre correctement mis au point dfinit les responsabilits de chacun et vite des ordres et contre-ordres gaspilleurs de temps.

6.2 Restauration
La remise en fonction du systme compromis doit tre finement dcrit dans le plan de reprise aprs sinistre et doit prendre en compte les lments suivants : Datation de l'intrusion : la connaissance de la date approximative de la compromission permet d'valuer les risques d'intrusion sur le reste du rseau et le degr de compromission de la machine ; Confinement de la compromission : il s'agit de prendre les mesures ncessaires pour que la compromission ne se propage pas ; Stratgie de sauvegarde : si l'entreprise possde une stratgie de sauvegarde, il est conseill de vrifier les modifications apportes aux donnes du systme compromis par rapport aux donnes rputes fiables. En effet, si les donnes ont t infectes par un virus ou un cheval de Troie, leur restauration risque de contribuer la propagation du sinistre ; Constitution de preuves : il est ncessaire pour des raisons lgales de sauvegarder les fichiers journaux du systme corrompu afin de pouvoir les restituer en cas d'enqute judiciaire ; Mise en place d'un site de repli : plutt que de remettre en route le systme compromis, il est plus judicieux de prvoir et d'activer en temps voulu un site de repli, permettant d'assurer une continuit de service.

19

6.3 La rptition de plan de sinistre

La rptition du plan de sinistre permet de vrifier le bon fonctionnement du plan et permet galement tous les acteurs concerns d'tre sensibiliss, au mme titre que les exercices d'vacuation sont indispensables dans les plans de secours contre les incendies.

7. La scurit des systmes informatiques

Le terme systme informatique dsigne ici tout systme dont le fonctionnement fait appel, d'une faon ou d'une autre, l'lectricit et destin laborer, traiter, stocker, acheminer ou prsenter de l'information. Les systmes d'information s'appuient en rgle gnrale sur des systmes informatiques pour leur mise en uvre. Ils comprennent les donnes de tlcommunications (voix analogique, voix sur IP) et dans certains cas, les donnes sur papier. De tels systmes se prtent des menaces de types divers, susceptibles d'altrer ou de dtruire l'information (on parle d' intgrit de l'information ), ou de la rvler des tiers qui ne doivent pas en avoir connaissance (on parle de confidentialit de l'information ), ou bien par exemple de porter atteinte sa disponibilit (on parle alors de disponibilit du systme ). Depuis les annes 1970, l'accs rapide aux informations, la rapidit et l'efficacit des traitements, les partages de donnes et l'interactivit ont augment de faon considrable mais c'est galement le cas des pannes indisponibilits, incidents, erreurs, ngligences et malveillances en particulier avec l'ouverture sur internet. Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages financiers. Par exemple, bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont t avances suite des dommages causs par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux lis au vol de numros de cartes de crdit, ont t dtermins plus prcisment. Outre les aspects financiers, des bris de scurit informatique peuvent causer du tort la vie prive d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnes postales ou bancaires), et peuvent pour cette raison tre sanctionns lorsqu'une ngligence de l'hbergeur est tablie : si, par exemple, celui-ci n'a pas appliqu un correctif dans des dlais raisonnables.

20

Indirectement aussi, certaines menaces peuvent nuire l'image mme du propritaire du systme d'information. Des techniques rpandues de defacing (une refonte d'un site web) permettent une personne mal intentionne de mettre en vidence des failles de scurit sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnrabilits pour diffuser de fausses informations sur son propritaire (on parle alors de dsinformation). Le cas le plus rpandu, et sans aucun doute les prcurseurs en matire de scurit de l'information, reste la scurisation de l'information stratgique et plus particulirement militaire. Le TCSEC, ouvrage de rfrence en la matire, est issu du Department of Defense (DoD) des tats-Unis. Le principe de scurit multiniveau trouve ses origines dans les recherches de rsolution des problmes de scurit de l'information militaire. Aujourd'hui, plusieurs mcanismes sont tudis ; citons les leurres reposant sur l'argument que interdire explicitement l'accs une donne consiste fournir une information sur cette dernire ce qui sous-tend l'hypothse raliste que la scurit 100% n'est pas atteinte.

21

En ce qui concerne le systme informatique dune entreprise :

Le systme d'information est gnralement dfini par l'ensemble des donnes et des ressources matrielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le systme d'information reprsente un patrimoine essentiel de l'entreprise, qu'il convient de protger. La scurit informatique, d'une manire gnrale, consiste assurer que les ressources matrielles ou logicielles d'une organisation sont uniquement utilises dans le cadre prvu. "Bien grer une entreprise, c'est grer son avenir et grer son avenir, c'est grer son information." Harper La scurit d'un systme d'information peut tre compare une chane de maillons plus ou moins rsistants. Elle est alors caractrise par le niveau de scurit du maillon le plus faible. Ainsi,la scurit du systme d'information doit tre aborde dans un contexte global: la sensibilisation des utilisateurs aux problmatiques de scurit, ou dans certains cas prise de conscience (les anglophones utilisent le terme awareness) ; la scurit de l'information ; la scurit des donnes, lie aux questions d'interoprabilit, et aux besoins de cohrence des donnes en univers rparti ; la scurit des rseaux ; la scurit des systmes d'exploitation ; la scurit des tlcommunications ; la scurit des applications (dbordement de tampon), cela passe par exemple par la programmation scurise ; la scurit physique, soit la scurit au niveau des infrastructures matrielles (voir la stratgie de reprise ). Pour certains, la scurit des donnes est la base de la scurit des systmes d'information, car tous les systmes utilisent des donnes, et les donnes communes sont souvent trs htrognes (format, structure, occurrences, ).

La scurit informatique vise gnralement cinq principaux objectifs : L'intgrit, c'est--dire garantir que les donnes sont bien celles que l'on croit tre ; La confidentialit, consistant assurer que seules les personnes autorises aient accs aux ressources changes ;

22

La disponibilit, permettant de maintenir le bon fonctionnement du systme d'information ; La non rpudiation, permettant de garantir qu'une transaction ne peut tre nie ; L'authentification, consistant assurer que seules les personnes autorises aient accs aux ressources.

LIntgrit : Vrifier l'intgrit des donnes consiste dterminer si les donnes

n'ont pas t altres durant la communication (de manire fortuite ou intentionnelle).

La Confidentialit : La confidentialit consiste rendre l'information inintelligible

d'autres personnes que les seuls acteurs de la transaction.

La Disponibilit : L'objectif de la disponibilit est de garantir l'accs un service

ou des ressources.

La Non-rpudiation : La non-rpudiation de l'information est la garantie

qu'aucun des correspondants ne pourra nier la transaction.

LAuthentification : Lauthentification consiste assurer l'identit d'un

utilisateur, c'est--dire de garantir chacun des correspondants que son partenaire est bien celui qu'il croit tre. Un contrle d'accs peut permettre (par exemple par le moyen d'un mot de passe qui devra tre crypt) l'accs des ressources uniquement aux personnes autorises.

23

7.1 La Phase de Mise en oeuvre

La phase de mise en oeuvre consiste dployer des moyens et des dispositifs visant scuriser le systme d'information ainsi que de faire appliquer les rgles dfinies dans la politique de scurit. Les principaux dispositifs permettant de scuriser un rseau contre les intrusions sont les systmes pare-feu. Nanmoins ce type de dispositif ne protge pas la confidentialit des donnes circulant sur le rseau. Ainsi, la plupart du temps il est ncessaire de recourir des applications implmentant des algorithmes cryptographiques permettant de garantir la confidentialit des changes. La mise en place de tunnels scuriss (VPN) permet d'obtenir un niveau de scurisation supplmentaire dans la mesure o l'ensemble de la communication est chiffre.

24

8. Conclusions et perspectives
La fiabilit exprimentale tudie le comportement initial grce des collectes de donnes. On applique ensuite des modles mathmatiques extrapolant le comportement du logiciel dans le temps. Ces modles sont appels modles de croissance de la fiabilit. Ce sont des modles thoriques. Ils prsentent l'inconvnient d'tre trs nombreux, alors que les mathmaticiens qui les conoivent ne disposent que de trs peu de donnes publiques et donc peu de modles sont valables. Dautres mesures de sret de fonctionnement ou de performance en prsence de fautes peuvent largir lensemble de mesures fournies par nos talons. Lexemple que nous citons concerne le risque de propagation derreurs entre processus travers le systme dexploitation, qui ne communiquent pas dune manire explicite mais qui sexcutent sur le mme OS. Ce type de mesures est intressant dans le cas o deux processus de niveaux dintgrit iffrents se partageraient les mmes ressources (structures de donnes, tables, files dattente, etc.) du systme dexploitation. Il sagit dvaluer limpact dun processus erron de niveau dintgrit bas sur le comportement dun processus de haut niveau dintgrit. Cette mesure constitue une forme de aractrisation de la capacit de lOS contenir de telles erreurs. Dans ce cadre, il serait intressant didentifier le type de fautes qui sont susceptibles de se propager et valuer la robustesse de lapplication critique par rapport ce type de fautes.

Annexe1
IGM a bti sa rputation et son exprience dans le domaine de la scurit informatique depuis 2001 dans les domaines :

25

Mise en place de Solution Complte de Scurit informatique Audit et Pr-Audit Scurit informatique Formation et Conseil en Scurit informatique

Afin davoir le meilleur rapport Qualit/Prix aux niveaux des produits et logiciels de Scurit informatique, IGM a beaucoup investi dans les solutions base de logiciels libres (OPEN SOURCE), en effet ces produits sont plus performants, plus fiables et moins chers. Nos comptences en interne nous permettent en outre de dvelopper autour de ces solutions ouvertes, ce qui nous permet une meilleure matrise de ces produits, une meilleure adaptation aux besoins des clients et aux besoins dintgration avec dautres produits et logiciels de scurit, systmes et rseaux. Notre partenaire principale en matire de solution de scurit est HERMTAGE Solutions SARL , socit du mme groupe que nous , le groupe MAPSYS. IGM est un intgrateur de Solutions de Scurit informatique , spcialiste dans les solutions innovantes et fiables dans le domaine de la Scurit des Systmes et Rseaux : Firewalls et VPN avec des partenaires comme ASTARO, Stonegate IDS/IPS (Dtection et Prvention dIntrusion) et sondes avec des partenaires comme ASTARO, PACKETALARM -Host IDS avec des partenaire comme Tripwire. Gateways Antivirales avec des partenaires comme ASTARO, Trend Micro Solution Complte Anti-Virus et Anti-Spam avec des partenaires comme Trend Micro, NORMAN et F-Prot Solution de gestion automatique de Patchs Microsoft avec des partenaires comme Shavlik . Messagerie scurise avec des technologies comme PGP et S/MIME Plate-forme scurise pour applications base de Proxies SOCKS (PERMEO) Proxies applicatifs (Filtrage dURL) Analyseur et corrlation de Logs en temps rel et dalertes de scurit informatique avec des partenaires comme Open Service Solution de sauvegarde centralise avec des partenaires comme DC Protect Authentification forte avec des partenaires comme RSA Solution de cryptographie et de biomtrie.

Annexe 2 Validation des rsultats de DBench-OSPostmark

26

et DBench-OS-JVM par rapport lensemble de fautes

Nous prsentons dans cette annexe une tude de sensibilit des rsultats des deux talons DBench-OS-Postmark et DBench-OS-JVM par rapport la nature de valeurs de substitution des paramtres des appels systme. Pour cela, nous avons valu la robustesse de la famille Windows et de la famille Linux en prenant lensemble F0+F1+F2. Les rsultats obtenus ont montr que les diffrentes versions de la mme famille sont quivalentes en termes de robustesse. Nous rappelons que dans F0, les valeurs des paramtres sont substitues par des donnes hors-limites. F1 correspond aux cas o les valeurs des paramtres sont substitues par des adresses incorrectes, et F2 aux cas o les valeurs sont substitues par des donnes incorrectes (cf. section 4.5.3.4 du chapitre 4). Nous avons ralis une premire tude de sensibilit des rsultats obtenus avec DBenchOS-Postmark, vis--vis de la technique de corruption de paramtres. Les rsultats obtenus en appliquant les ensembles F0 et F0+F1 sparment montrent lquivalence du point de vue de robustesse des versions considrs de Windows, et lquivalence des versions de Linux. Une tude similaire a t effectue avec les rsultats de DBench-OS-JVM. Elle montre que les trois versions de Windows sont quivalentes en termes de robustesse en utilisant F0, F0+F1 et F0+F1+F2. De la mme faon, les versions de Linux sont quivalentes en termes de robustesse avec ces ensembles. A titre dexemple, nous prsentons sur la Figure A3-1 les rsultats de lapplication des valeurs hors-limite sur les diffrents OSs (ensemble de fautes F0) pour Postmark. Le nombre des expriences est rduit 77 expriences (au lieu de 418) pour Windows et 55 expriences (au lieu de 206) pour Linux. Les rsultats obtenus valident les rsultats de la Figure 5.1, dans la mesure o ils montrent lquivalence des systmes de la mme famille du point de vue de robustesse. La Figure A3-2 illustre la robustesse des six systmes dexploitation des familles Windows et Linux, aprs lapplicatoin de lensemble de valeurs hors-limites (F0) pour JVM. Cette figure montre lquivalence, en termes de robustesse, entre les diffrents systmes de la mme famille dOSs. Nous notons que le nombre dexpriences ralises sur Windows est pass de 1295 (Figure 5.5) 264 expriences, et que sur les 457 expriences ralises sur les systmes Linux, seules 119 expriences ont t retenues en utilisant F0. Enfin, nous avons constat que le comportement des systmes dexploitation dune mme famille (Windows ou Linux) reste invariable avec les deux activits Postmark et JVM. A titre dexemple, nous constatons sur les deux Figures A3-1 et A3-2 quaucun cas de blocage ou de panique na t signal pour les deux familles. Sur ces deux figures, le taux de non signalement a t identique pour les systmes de chacune des familles cibles. Le taux de retour de code derreur et le taux de leve dexception nont pas vari significativement pour les OSs dune mme famille.

BIBLIOGRAFIE

27

 http://fr.wikipedia.org http://www.iso27001security.com/html/27002.html http://cisec.enseeiht.fr/images/docs/080708FIABILITE/080708cise c_boulanger.pdf http://ethesis.inp-toulouse.fr/archive/00000110/01/kalakech.pdf

28