Upload
emna-tfifha
View
255
Download
8
Embed Size (px)
Citation preview
PLAN
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Plus de 90% des entreprises ont consacré un budget à la sécurité informatique malgré la crise.
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
INTRODUCTION
3
source : cabinet pierre Audoin consultants 2012
90%
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
INTRODUCTION
4
source : Kaspersky Lab
Et pourtant… les attaques informatiques semultiplient.
52% des entreprises ont signalé une augmentationdu nombre d’attaques informatiques auxquelleselles ont du faire face en 2012. 52%
• Les clients et utilisateurs ont changé de comportements.
• Les surfaces d’attaques ont augmenté (le BYOD implique de nouveau défis dans le domaine de la sécurité)
• La sécurité est un grand enjeu pour les prochaine années.
1980 : Tout est fichier
1990 : Tout est document
1995 : Sur le réseau (Internet)
2000 : Tout est programme
2010 : L’architecture est un programme
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Un peu d’histoire
5
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Enjeux de la sécurité des
SI
6
Disponibilité Intégrité
Confidentialité Auditabilité
Sécurité Informatique
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menacesexplosion des menaces
7
< />
!
Source : ponemon institut 2013
92% des entreprises du Forbes 2000 ont
été victimes d'incidents,
Les applications concentrent
90% des vulnérabilités.
Pourtant 80% des budgets sécurité sont consacrés aux
,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructures.
3.61 $ par ligne de code. C'est le coût de la non qualité/sécurité dans un développement
99% des applications Web
sont vulnérables,
Une application contient
13failles en moyenne,
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menacesLes motivations pour les attaques
8
Hacktivisme Gains Financiers Déstabilisation entre états
Obtention de capacité d'attaque
.Interruption du service
.Messages idéologiques
.Divulgation
.Vol de carte de crédit
.Vol de données personnelles.Vol de données d'entreprise
.Destruction logique et/ou physique.Vol de données stratégiques
.Vol de mécanisme d'authentification / certificats.Vol de codes sources
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
les menacesTypes de menaces
9
Catégories Méthodes Caractéristiques
Virus/ver Diffusion via messagerie, duplication
illimitée (ver ou activation humaine
(virus)
Destruction de ressource et contamination
croisée
Déni de Service Saturation d'un serveur par envoi d'un
flot de messages
Paralysie et arrêt des serveurs
Cheval de Troie
(Back Door)
Programme introduit discrètement par
un logiciel, une consultation de page
Prise de contrôle à distance d'une machine
Attaque DNS Emploi d'une adresse DNS correcte à but
frauduleux
Prise de contrôle d'applications
IP spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau
privé
• Sans oublier le "social engineering"...dont le "phishing" est une version...peu évoluée.• Et les "botnets", ordinateurs zombies contrôlés via le réseau à des fins malveillantes
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
Techniques de sécurité
10
Internaute
Sécuriser les opérations et les listes :Des solutions existent, mais il faut les utiliser
Sécurité individuelle
Sécurité passive
Sécurité active
Sécurité globale
Sécurité du poste de travailAntivirus,-spam, spyware,
Firewall personnel
Sécurité globale "portique" Firewall, Proxy
Sécurité individuelleAuthentification, cryptage SSL,
S/MIME,SET
Sécurité du centre de calculPérimètre , Antivirus, Filtrage de contenu,
Droits et identités
Serveur
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
11
Confidentialité des données
pour éviter les indiscrets et
espions
un tiers peut lire le message chiffrage des messages
Intégrité des données pour
éviter les vandales et piratesun tiers intercepte et modifie le message
calcul de l'empreinte des
messages signatures
électroniques)
Identité des interlocuteurs
pour éviter les imposteursun tiers se fait passer par le client
Echange des certificats entre
client et serveur
Paternité des transactions
pour éviter la répudiation
des actes
un tiers se fait passer pour le serveur Mémoire historique
Droits des clients pour éviter
les usages frauduleuxannuaire
Enregistrement des droits des
utilisateurs dans un annuaire
Techniques de sécuritéSécurité active
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
12
Techniques de sécuritéSécurité active
• Chiffrage / cryptage symétrique
Message
Message crypté
Clé
Clé
Message crypté
Message
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
13
Techniques de sécuritéSécurité active
• Chiffrage / cryptage asymétrique
Message
Message crypté
Clé Publique
Clé privée
Message crypté
Message
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
14
Techniques de sécuritéSécurité active
• Comparaison cryptage symétrique/asymétrique
Avantages Inconvénients
Symétrique• Rapide
• Peut être rapidement
placée dans un échange
• Difficulté de distribution
• Pas de signature
électronique
Asymétrique
• Deux clefs différentes
• Capacité d'intégrité et de
non Répudiation par
signature électronique
• Lent, algorithme complexe
• Nécessité de publication de
la clef publique
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
15
Techniques de sécuritéSécurité active
Secure Socket layer
• Protocole de sécurisation des échanges sur Internet
• Permet de créer un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne
• utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web.
• Les utilisateurs sont avertis de la présence de la sécurité SSL grâce à l'affichage d'un cadenas et du protocole « https » dans l'url
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
16
Techniques de sécuritéSécurité active
• Secure socket layer
Client Serveur
Génération de la clé de session
Requête
Cryptage de la clé de session à l’aide
de la clé publique du serveur Clé privée du serveur
Envoi de la clé de session
cryptée au serveur
Clé publique du serveur
Décryptage
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
17
Techniques de sécuritéSécurité Passive : Les pare-feu
Internet Intranet
ServeurHTTP
+SGBD
FirewallContrôle les accès entrants
FirewallContrôle les accès
entrants et sortants
ServeurHTTP
ServeurMail
ServeurProxy
DMZZone démilitarisée
Externe Interne
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
18
Techniques de sécuritéSécurité Passive : VPN
• Principe de fonctionnement d’un réseau privé virtuel
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
19
Techniques de sécuritéTechniques et technologies de sécurisation
• Schéma récapitulatif
TECHNIQUES TECHNOLOGIES
Design Security Pattern (conception de framework de sécurité)
Modélisation des attaques (threatmodeling)
Méthodologie de développement
sécuriséFormation de développeurs
Contrôle régulier des applications
Vérification des traces applicatives
Contrôle qualité
Test d'intrusion
Revue de code
API
Framework de sécurité
Bugtracker
Firewall NG
Mitigation
d'attaques
DOS Sandboxing
Virtual
patching
IPS
WAF
Fuzzer
Scanner de
vulnérabilités
Scanner
passif
SIEM
Analyseur
comportemental
d'application
Scanner automatisé de
vulnérabilités
Analyseur statique
de code
Analyseur
dynamique de
code
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
20
Processus de sécurisation
• Architecture globale de sécurité
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
21
Processus de sécurisation
• Surveiller et vérifier l'efficacité de la sécurité en place
• Analyser et améliorer la sécurité
• Mise en place des mesures de sécurité
• Identifier les risques et élaborer les objectifs à atteindre en termes de sécurité
Plan Do
CheckAct
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
22
Conclusion
• Aider les collaborateurs d’une entreprise à comprendre : La valeur des actifs tangibles et intangibles, en particulier de
l’information, qu’ils manipulent dans l’exercice quotidien de leur quotidien
Les risques auxquels ils sont exposés et auxquels ils exposent les autres
Les mesures appliquées par l’entreprise et celles qu’on leur demande d’appliquer pour réduire ces risques
Les comportements déconseillés ou interdits
Merci pour votre attentionProtégez vos données