Title: ISI I N S T I T U T S U P E R I E U R INFORMATIQUE
1 - La Sécurité et laudit des Systèmes
Intelligents -
MONCEF TEMANI Directeur I.S.I Laboratoire L
I 3 Moncef.temani_at_fst.rnu.tn
2LA SECURITE DES SYSTEMES INTELLIGENTS
- I- INTRODUCTION
- II- LES VIRUS EN INFORMATIQUE
- III- DEMARCHE A SUIVRE POUR LELABORATION DUN
PLAN DE SECURITE - VI- LES METHODES DANALYSE
- V- CONCLUSION
3 I-INTRODUCTION 1
-
- Les systèmes informatiques et les réseaux sont
devenus, de nos jours - . une composante essentielle de tout système
d'information. - . avec le développement technique et
l'ouverture de ces réseaux sur Internet ont
permis d'accroître considérablement -
- - la capacité de traitement
- - la capacité de stockage
- -de transfert des données
- les systèmes d'information sont plus
vulnérables - -aux accidents
- -maladresses
- - erreurs
- -malveillances internes et externes.
-
-
-
4 I-INTRODUCTION 2
- Les risques possibles peuvent être de deux
types - Les risques physiques (incendies, dégâts des
eaux, vols, sabotages humains dus aux accés non
autorisés) - Donc une Solution de Sécurité Physique
-
5 I-INTRODUCTION
- Les risques logiques (virus, piratage, altération
ou destruction de données,). - Donc une solution de Sécurité Logique.
- La gravité de ces risques réside
essentiellement dans les pertes dinformations
(parfois irréparables). D'où la nécessité de
sécuriser les systèmes informatiques en mettant
en œuvre des mesures de sécurité efficaces. -
6 I-INTRODUCTION 3
- Ces mesures de sécurité doivent contenir
- un ensemble de lois, règles
- mécanismes capables de gérer et protéger les
ressources sensibles de l'entreprise, en
tenant compte des aspects - .Organisationnels
- .Techniques
- .Physiques.
-
-
-
7 I-INTRODUCTION 4
- Mettre en œuvre ces mesures correspond à
répondre aux questions suivantes - - que doit-on protéger ?
- - contre qui et contre quoi doit-on se protéger
- - quels sont les moyens à mettre en œuvre pour
se protéger, en tenant compte des contraintes
budgétaires et organisationnelles? - - comment réagir en cas d'attaques ?
-
- Le but de cet exposé est de présenter quelques
aspects dynamiques et efficaces, permettant
d'établir et de mettre en œuvre des mesures de
sécurité adéquates. R
8Solution de sécurité Physique
-
- IL sagit de compléter le dispositif de
sécurité existant par linstauration des systèmes
suivants - Détection et dextinction dincendie (salle
machines) - Détection et de contrôle daccès automatique.
- Détection et dévacuation deau à la salle
dordinateur. -
R -
-
-
9VI- CONCLUSION
- La sécurité des systèmes intelligents est un
processus continu, plutôt quun objectif à
atteindre une seule fois . - En fait, la sécurité doit évoluer dans le temps
, en sadaptant aux changements technologiques ,
aux nouvelles exigences du métier de lentreprise
, ainsi quaux changements quotidiens, tant
financiers et humains que techniques. -
R
10 LA SECURITE DE SYSTEMES INTELLIGENTS
- I- INTRODUCTION
- II- LES VIRUS EN INFORMATIQUE
- III- DEMARCHE A SUIVRE POUR
LELABORATION DUN PLAN DE SECURITE - VI- METHODES DANALYSE
- V- CONCLUSION
11Les virus en Informatique
- Définitions
- Qu'est-ce qu'un virus ?
- Comment fonctionne un virus ?
- Comment se propage un virus ?
- Qu'est-ce qu'un anti-virus ?
- Détection dun virus?
- Protection contre les virus?
- Exemple de virus
-
R
12Definitions (virus)
- Qu'est-ce qu'un virus ?
- Un virus est un programme exécutable qui, par
définition, se réplique et s'attache à d'autres
éléments et ce de manière transparente à
l'utilisateur. - Un virus n'est pas autonome. Il a besoin d'un
programme hôte qui en s'exécutant va permettre au
virus de se répliquer et s'attacher à de nouveaux
éléments. C'est ce qu'on appelle la propagation
du virus. -
13Définitions (suite)
- La plupart des virus informatiques
- -se contentent de se répliquer sans avoir
d'effets visibles. - -certains ont en plus une activité
particulière qui peut être nocive telle que - .l'affichage à l'écran d'un message
- .la destruction de fichiers spécifiques ou le
formatage du disque. - -Mais même les virus sans effet destructeur
sont nuisibles . occupent de l'espace disque - .occupent de l'espace mémoire
- .peuvent ralentir la machine.
- R
-
14Les virus en Informatique
- Définitions
- Qu'est-ce qu'un virus ?
- Comment fonctionne un virus ?
- Comment se propage un virus ?
- Exemples
- Qu'est-ce qu'un anti-virus ?
- Détection dun virus?
- Protection contre les virus?
- Exemple de virus
-
R
15Comment fonctionne un virus
- Deux principaux types de virus existent et
diffèrent par leur moyen de réplication -
- Les virus de fichiers s'attachent à un fichier,
généralement exécutable. Cependant certains
fichiers de données peuvent contenir du code,
tels que des macros, qui peuvent eux-même
véhiculer un virus. - Les virus de boot attaquent le programme de
démarrage qui se trouve sur le premier secteur du
disque. Les virus de ce type s'exécutent donc à
chaque démarrage de la machine. - Les virus mixtes possèdent à la fois les
propriétés des virus de fichiers et celles des
virus de boot. -
R
16Comment se propage un virus ?
- Un virus de fichier infecte d'autres fichiers
quand le programme auquel il est attaché est
exécuté. Il peut donc se propager à travers des
fichiers copiés sur une disquette ou téléchargés
à partir dun réseau. - Un virus de boot se loge dans un ordinateur quand
ce dernier est démarré à partir d'une disquette
infectée par un virus de boot. Contrairement au
virus de fichier, ce type de virus ne peut pas se
propager à travers un réseau. - Un virus mixte se loge dans le secteur de
démarrage du disque à partir d'un fichier infecté
qui peut se trouver sur le disque même. Et
inversement, le secteur de boot infecté par un
virus peut lui même infecter des fichiers sur le
disque. - R
17Qu'est-ce qu'un anti-virus ?
- Un anti-virus est un programme qui permet de
- détecter la présence de virus
- supprimer les virus
- Certains anti-virus peuvent en plus prévenir
linfection. - Les scanners de virus détectent la présence de
virus - dans les fichiers
- dans le secteur de démarrage.
- dans la mémoire
- Un premier type de scanner utilise une base de
données comportant les caractéristiques des virus
qu'il détecte (il s'agit de chaînes de caractères
particulières représentant des fragments de code
du virus et appelées signatures). Ce type de
scanner ne peut détecter que les virus qu'il
connaît.
18Qu'est-ce qu'un anti-virus ? (suite)
- Un premier type de scanner utilise une base de
données comportant les caractéristiques des virus
qu'il détecte .Ce type de scanner ne peut
détecter que les virus qu'il connaît. - Un second type de scanners, plus intelligent,
essaye d'utiliser des heuristiques pour détecter
des fragments de code correspondants à des
actions anormales (le formatage du disque dur ,et
détecte même les virus inconnus).
19Qu'est-ce qu'un anti-virus ? (suite2)
- La suppression des virus
- n'est pas toujours possible sans endommager les
fichiers originaux. - outre l'utilisation d'un anti-virus, il est
nécessaire de sauvegarder régulièrement les
fichiers importants. - La prévention contre les virus se fait
- en détectant les différents fichiers
- en interdisant la modification de fichiers
exécutables qui peuvent servir de programmes
hôtes pour les virus. - R
20Détection dun virus?
- Quels sont les symptômes d'infection par un virus
? - Beaucoup de gens attribuent les actions de
destruction (destruction de fichiers, formatage
de disques durs, etc.) aux virus. - (dégâts dus à dautres causes comme les
fausses manipulations de l'utilisateur). - Certaines anomalies doivent susciter des doutes
chez l'utilisateur, on peut citer notamment - un ralentissement des performances de
lordinateur - la modification de la taille des fichiers
exécutables - des erreurs d'exécution de programmes
- fichiers soient endommagés
- La meilleure solution pour détecter des virus
avant qu'ils ne causent des dégâts est de scanner
le disque dur régulièrement à l'aide d'un
anti-virus mis à jour fréquemment.
R -
21Protection contre les virus?
- Comment se protéger contre les virus ?
- La meilleure façon de se protéger contre les
virus consiste à employer des moyens - lutilisation régulière danti-virus
- larchivage régulier des données importantes
- Le programme anti-virus doit être
- mis à jour régulièrement.
- Utilisé à chaque installation de nouveaux prog.
- utilisé régulièrement, afin que le scanner
détecte le plus tôt possible l'existence de virus - utilisé le plus souvent lorsque l'on copie un
fichier à partir dune disquette ou à travers un
réseau -
R
22Exemple de virus (exemple1)
- Fiche d'identité Kournikova Virus
- Nom VBS/KALAMAR.A
- Mode d'infection résident en mémoire
- Moyen de transmission Email, se propage
moyennant Microsoft Outlook - Plate-forme Windows 9x et Windows NT
- Détails Le virus se propage à travers l'e-mail,
il envoie une copie de lui-même à toutes les
adresses qui figurent dans le carnet d'adresses
de Microsoft Outlook. - sujet Here you have, o)
- contenu Hi Check This!
- pièce jointe AnnaKournikova.jpg.vbs
- Antidotes
- Mettez à jour vos antivirus et soyez vigilents
-
23Exemple de virus (exemple2)
- Fiche d'identité TROJ_NAVIDAD.A
- Nom TROJ_NAVIDAD.A
- Dégâts causés affiche des messages, empêche un
bon fonctionnement du PC - Mode d'infection résident en mémoire
- Moyen de transmission Email, se propage
moyennant Microsoft Outlook - Plate-forme Windows 9x et Windows NT
- Détails
- Depuis quelques jours, on note la propagation
rapide de TROJ_NAVIDAD.A qui est un virus de type
ver qui se propage par courrier électronique en
se servant de Microsoft Outlook. Le virus utilise
un message existant et s'y attache avec le nom de
fichier NAVIDAD.EXE . En même temps qu'il
s'exécute, il rend l'ordinateur inutilisable. - Antidotes
- Vous pouvez utiliser l'utilitaire
fix_navidad2.zip pour restaurer l'état initial de
la machine infectée -
R
24 - LA SECURITE DES SYSTEMES INTELLIGENTS
- FIN DE LEXPOSE _--------- MERCI
25 - III- DEMARCHE A SUIVRE POUR LELABORATION DUN
PLAN DE SECURITE - La démarche proposée se base sur l'analyse des
risques encourus par l'entreprise, elle se
compose des étapes suivantes - - Phase préparatoire
- - Analyse des ressources critiques de
lentreprise - - Analyse des risques encourus
- -Elaboration d'un Plan de sécurité
- - Exécution du plan de sécurité
- - Contrôle et suivi
26 - III- DEMARCHE A SUIVRE POUR LELABORATION DUN
PLAN DE SECURITE - - Phase préparatoire
- vise essentiellement
- à sensibiliser les décideurs aux différents
aspects de la sécurité - et à les inciter à désigner un responsable de la
sécurité au sein de l'entreprise - et à mettre en place un comité pour mener
l'analyse. - Donc La phase de préparation de létablissement
du - plan de sécurité
-
-
-
27III- DEMARCHE A SUIVRE POUR LELABORATION DUN
PLAN DE SECURITE
- - Analyse des ressources critiques de
l'entreprise - permet
- de découvrir et d'évaluer la gravité des risques
encourus par l'entreprise. - déterminer les ressources critiques (à protéger)
- (données,applications,ordinateurs,réseaux,bâtiment
s) - Exemple
- pas de conséquences graves valeur0(res
non critique) - Conséquences peu graves
valeur1(ressource peu c)
28III- DEMARCHE A SUIVRE POUR LELABORATION DUN
PLAN DE SECURITE
- -Analyse des risques encourus
-
- consiste à
- définir les scénarios de risques qui
- menacent les ressources de lentreprise
- lui causent des pertes dinformations
- effectuer une évaluation quantitatives des
scénarios de risques déjà recensés. - Indiquer le niveau de tolérance au risque
(décision interne)
29III- DEMARCHE A SUIVRE POUR Suite
LELABORATION DUN PLAN DE SECURITE
- -Elaboration d'un Plan de sécurité
- permet à l'entreprise
- d'établir les mesures de sécurité qui répondent
à ses besoins - et de planifier leur mise en œuvre.
- - Exécution du plan de sécurité
- permet à l'entreprise
- d'exécuter d'une manière optimale les mesures de
sécurité établies au niveau du plan de sécurité. - - Contrôle et suivi
- permet
- de contrôler l'efficacité des mesures de sécurité
mises en œuvre (Tableau de bord de la sécurité) - de les améliorer en tenant compte de l'évolution
technologique. R -
30VI- METHODES DANALYSE
- I- Méthode danalyse de risques MARION
- Conçue 1983-1984, par des assureurs (évaluation
des risques des lients avnt contrat dassurance.) - Basée sur des données statistiques (sur les
assureeurs) - Basée sur des scénarios de menaces.
- Mesure les risques en pertes financières
- Dominante disponibilté, sapplique à
linformatique de gestion
31VI- METHODES DANALYSE suite
- II-Méthode danalyse de risque MELISA
- Conçue vers 1983-1984, par la défense, pour
évaluer la vulnérabilité des systèmes
dinformations - Basée sur des données dexperts
- A dominante confidentialité et disponibilité
-
R
32(No Transcript)
33(No Transcript)
34(No Transcript)
35Politique de sécurité (2)
S U P E R I E U R INFORMATIQUE ???????? ????????
?????????????
36Sommaire
- Chapitre 1
- Quel Audit?
- Chapitre 2
- Selon quelle démarche et avec quels outils?
- Chapitre 3
- Une stratégie daudit de sécurité de
lentreprise - Chapitre 4
- Conclusion
37 Chapitre 1 Quel Audit?
- Réglementation en Tunisie
- Définitions
- Enjeux et objectifs
- Risques
- Périmètre
38Réglementation en Tunisie
- La circulaire de monsieur le Premier Ministre
N51 du 30 Novembre 2001 portant sur lobligation
de laudit de sécurité au moins une fois par an - Création de
- lAgence Nationale de la Sécurité Informatique
- ?Soumise à la tutelle du Ministère chargé des
technologies de la - communication
- ?Mission contrôle général des systèmes
informatiques et des - réseaux relevant des divers organismes
publics ou privés, notamment - Veiller à lexécution des réglementations
relatives à lobligation de laudit périodique
de la sécurité du SI
39Définitions
- Audit
- Mission dexamen et de vérification de la
conformité (aux règles) dune opération, dune
activité particulière ou de la situation générale
dune entreprise - Système dinformation
- Ensemble des moyens matériels, logiciels et
organisationnels qui permettent de recevoir, de
stoker et de traiter linformation - Donc un audit nécessite
- Un périmètre
- Un référentiel
- Une méthode
- Des moyens et compétences
40Enjeux et objectifs
- Pour maintenir son avantage compétitif de manière
durable, lentreprise doit -
- ?Assurer la disponibilité de ses outils, et
- particulièrement de son outil informatique
- ?Assurer lintégrité de linformation stockée
dans son - système dinformation
- ?Préserver la confidentialité de linformation
- La sécurité informatique se fixe lobjectif
suivant protéger les actifs informatiques de
lentreprise contre les risques - ltactifsinformations, applications, systèmes,
ressources humainesgt
41Risques
-
- Le Risque
-
- Le fait quun événement puisse empêcher de
- Maintenir une situation donnée
- et
- Maintenir un objectif dans des conditions fixées
- et
- Satisfaire une finalité programmée
42Risques
- 3 types de Risques
-
- Exposition naturelle
- Intention de lagresseur
- Possibilité de sinistre
43Risques
Divulgation des informations
Accidents (incendie, dégâts des eaux,..)
Malversations et fraudes
Pannes
Erreurs (utilisation, exploitation,..)
Attaques (tendance actuelle)
?Particulièrement variables selon les
environnements ?
44Périmètre
- Le périmètre organisationnel et fonctionnel
- ? Organisation de la sécurité
- La répartition des responsabilités
- La sensibilisation
- Contrôle
- ? Politique et les guides de sécurité
- ? Procédures de sécurité
45Périmètre
- La sécurité physique
-
- ?Lutte anti-incendie, dégâts des eaux
- ?Contrôle des accès
- ?Sauvegarde et archivage des
- documents
46Périmètre
- La sécurité des systèmes
-
- ? Matériels (postes de travail et serveurs)
- ? Logiciels de base
- ? Lutte antivirale
- La sécurité des réseaux
-
- ? Matériels (routeurs, concentrateurs,..)
- ? Contrôle des accès logiques
- ? Lignes de transmissions
- La sécurité des applications/bases de données
-
47Chapitre 2Selon quelle démarche et avec quels
outils?
- Définitions
- La norme ISO17799/BS7799
- Les méthodes
- ?Les méthodes globales
- ?Les méthodes propriétaires
- ?Sans méthode
- Les outils
- ?Outils méthodologiques
- ?Référentiel
- ?Tests de configuration
- ?Tests de vulnérabilités
-
48Définitions
- Norme
- code de bonnes pratiques de sécurité du
système dinformation - ?Va du général (lorganisation, politique
- générale de sécurité, etc..) au détail
- (gestion de mot de passe, contrôle
- daccès,etc..)
- ? Liste les mesures à prendre, mais nexplique
- pas la façon de les mettre en œuvre
49Définitions
- Méthode
- sert à évaluer les pratiques de lentreprise
-par rapport à un référentiel- face aux risques
auxquelles elle sexpose et propose des parades
adaptées -
-
- ?Norme et méthode sont complémentaires
- ?Pas de méthode sans norme
50 La norme ISO17799/BS7799
- ISO17799
- ?Défini des objectifs et des recommandations
- concernant la sécurité de linformation
- ?Norme globale à tout type dorganisme
-
- Historique ISO17799
- ?Groupe britannique ayant produit BS77991995,
- puis BS7799-11999
- ?La première partie de BS7799 a été soumise
deux fois en - procédure fast track à lISO
- ?Elle a été acceptée en décembre 2000 et publiée
sous le - numéro ISO 177992000
51 La norme ISO17799/BS7799
- Usage
- lapplication de la norme ISO 17799 peut
être le résultat dune série détapes
schématisées comme suit -
- Le corps de la norme ISO 17799 décrit la
quatrième étape quoi faire sans pour
autant - préciser comment le faire
52Les méthodes
- Les méthodes globales
- ?Cobit
- ?Cramm
- ?Ebios
- ?MEHARI
- ?Mv3
-
- ?
- Se présentent sous forme de documents
(questionnaires) -
- Les réponses à ces questions servent à dresser
- la cartographie des pratiques de
sécurité
53Les méthodes globales comparatif des cinq
méthodes daudit
54Les méthodes globales La méthode MEHARI
- Développée par la commission Méthodes du CLUSIF
- Méthode danalyse des ressources mesurer
limpact du sinistre - Classifier les ressources selon des seuils de
gravité définis sur une échelle de 1 à 4
Gravité f (I,P) 4 Risques insupportables 3
Risques inadmissibles 2 Risques tolérés I
Impact P Potentialité
Impact
Potentialité
55Les méthodes globales La méthode MEHARI
causes
conséquences
56Les méthodes globales La méthode MEHARI
- Traiter les risques
- en se basant sur un référentiel (ISO17799,
base de - connaissances Mehari)
- Définir une politique de sécurité
- Etablir une charte de management Droits et
devoirs du -
personnel de lEntreprise - Etablir un plan de sécurité
- Etablir un Bilan de sécurité
57Les méthodes propriétaires
- Objectifs
- ?personnaliser et simplifier
- ?adapter à lenvironnement de lentreprise
- ?obtenir une visibilité des risques et
- un plan dactions en un laps de temps
restreint -
-
- Plus pragmatique
- Un luxe pour le RSSI
58Les méthodes propriétaires
- Démarches
- ?modifier une méthode formelle
- ?combiner les apports de plusieurs méthodes
formelles -
- Sélection dun sous ensemble de questions adapté
- au métier de lentreprise
-
-
- Lexpérience du consultant qui fait la
différence
59Sans méthode
- Se limite à
- ?Des tests des vulnérabilités automatisés
- ?Des tests dintrusions réseaux
- sécuriser un serveur ou un réseau est une
chose - Mais
- sécuriser un SI dune entreprise est beaucoup
plus compliqué
60Les outils
- Les outils méthodologiques
- attention aux limites de lautomatisation
- (Risicare pour Mehari, caliis, etc..)
- Les référentiels de sécurité
- ?la politique de sécurité de lentreprise
- ?les guides de sécurité par environnement
- ?les normes applicables (ISO17799,)
61Les outils
- Les tests de configuration
- ?Otuils pour Windows, Unix
- System Scanner de ISS, (logiciel
commercial) - Tripwire (logiciel libre)
- ?Nécessitent de définir une politique technique
- de sécurité /pas danalyse de failles
- ?Non intrusifs, non perturbateurs
- Nécessitent une forte expertise pour la
configuration
62Les outils
- Les tests de vulnérabilités
- ?Outils public (Nessus, Satan,) ou
- commerciaux (Internet Scanner de ISS,)
- ?Indiquent des vulnérabilités
- potentielles/potentiellement intrusif
- ?Demandent une adresse /plage(s) IP
- ?Utilisés par les hackers
-
Nécessitent une forte expertise
63Chapitre 3 Une stratégie daudit de sécurité de
lentreprise
- Construire une stratégie daudit
- Les différentes approches daudit
- Une approche adaptée à lentreprise
- ?Présentation
- ?Périmètre
- ?Démarche
- ?Apports
-
64Construire une stratégie daudit
- Evaluation globale de la sécurité du SI
- ?Dans le cadre dune réorganisation ( rachat,
refonte,) - Audit complet, indépendant
- ?Dans un cadre de consolidation globale de la
sécurité - Analyse des risques ( fonctionnels/techniques/juri
diques) - Plan daction détaillé
- Audits réguliers à large périmètre
- ?Dans le cadre dune mise en cohérence de la
sécurité - Comparaison site à site ou vis-à-vis de la
profession - Méthode rigoureuse et applications régulières
- ?Dans le cadre dune sensibilisation
- Audits participatifs / auto évaluation
-
65Construire une stratégie daudit
- Evaluation par composant (projet, système,)
- ?Evaluer la sécurité dun composant du SI
- Sécurité dun produit
- Qualifier/recetter/..
- ?Analyser, sur incident
- Sur mesure
- Nécessite une très forte expertise technique
66Les différentes approches
- Audit de vérification
- Analyser létat dun système et/ou dun réseau du
point - de vue organisation,
architecture, configuration, - exploitation et compétences
- Audit dagrément
- Vérifier létat du système vis-à-vis dun
référentiel - existant
- Audit intrusif
- Rechercher les failles par un point donné du
réseau - (utilisation des outils dintrusions)
- Simuler des attaques tests dintrusion depuis
lextérieur - Elles ne sont pas exclusives
67Une approche adaptée à lentreprise
Présentation
- Les méthodes formelles (Mehari, Cobit,etc..)
- ?Lourdes
- ?Reservées aux grands comptes
- Les méthodes Propriétaires
- ?Souples
- ?Peuvent ne pas couvrir tout le périmètre
- ?Dépendent étroitement de lauditeur
-
-
- Une approche plus adaptée à lentreprise
- (Banque, Assurance, PME/PMI,
etc..) - Assiste lauditeur, précise et
pragmatique
68Une approche adaptéeà lentreprise Périmètre
- Les composantes du système dinformation
- ?le matériel (PC, serveurs, réseaux)
- ?les logiciels (OS, gestion réseau, gestion
sécurité) - ?les données (sécurité, sauvegarde,archivage)
- ?larchitecture (C/S, intranet, extranet,
Internet) - ?le personnel (les utilisateurs, les
administrateurs, les - développeurs)
- ?la documentation (procédures dinstallation,
- procédures de restauration, politique de
sécurité, plan de - sécurité)
69Une approche adaptée à lentreprise Périmètre
- Les menaces
- ? Accidentelles
- pannes
- dysfonctionnement
- incendie
- dégâts des eaux
- coupure électrique
- ? Intentionnelles
- vol dinformations
- modification de données dimportance capitale
- vol et destruction des matériels
-
70Une approche adaptée à lentreprise Périmètre
- Les attaques par outils automatisés
- ?Destruction par virus, ver, bombes
logicielles - ?Intrusion par cheval de troie
- ?Intrusion par portes dérobées
- ?Espionnage danalyse de trafic
- ?Intrusion par bogues logiciels
- ?Exploitation des accès non sécurisés
- ?Déni de service
- ?Surveillance des messageries dentreprises
- ?Man in the Middle
71Une approche adaptée à lentreprise Démarche
- La méthode est basée sur le référentiel ISO17799
et lexpérience des consultants, appliquée en
cinq phases - Phase1 Définition/validation du périmètre de
sécurité et des enjeux (entretiens) -
- Phase2 Identifications des menaces
- Phase3 Identifications des vulnérabilités
- Entretiens techniques, consultation
de documents - Récupération des configurations
- Tests dintrusion automatisés
(outils du logiciel libre, outils commerciaux) - Phase4 Analyse du risque par recoupement des
phases 1 à 3 - Phase5 Etablissement des recommandations
(logique/organisationnel/physique) - Elaboration dune solution
technique -
72Une approche adaptée à lentreprise Démarche
- Principaux résultats
- ?Définition des moyens de sécurité couvrant les
aspects technique physique et - organisationnel
- ?Définition dune politique de sécurité
interne le cas échéant - Principales fournitures
- ?Rapport daudit avec préconisations
daméliorations - ?Estimation du coût de la solution
technique à acquérir - ?Présentation au management de
lentreprise - Charge de travail
- ?de trois à huit semaines, selon la
taille de lentreprise (architecture SI, BD, - réseau, serveurs, personnel)
- ?un consultant et un/deux ingénieurs
73Une approche adaptée à lentreprise Apports
- Convivialité
- ?les RSSI sont plus sensibles à leur vision du
risque quà une conformité à une - méthode ou à une norme
- ?appréciée par les responsables (management de
lentreprise, RSSI) - ?garantit une implication des intéressés dans
le constat et la mise en œuvre des - actions correctrices
- Performance
- ?complète (organisationnel et
technique) - ?parades plus adaptées (tient compte de
nouveau mode de fonctionnement de lentreprise) - ?offre une solution technique optimale
en terme darchitecture et outils - Coût
- ?faible coût (délais et charges
réduits) - ?évite dinvestir dans des outils qui
protègeraient dun risque de faible impact
74Chapitre 4 Conclusion
- Laudit reste
- ?une affaire de méthode
- ?une prestation interne, même lorsque les tests
dintrusion se - font de lextérieur
- Laudit est récurrent (1fois/1 ou 2 ans)
- ?les risques se développent
- ?le niveau de sécurité appliqué au SI est
dynamique - Résultat de laudit peut être contredit par le
moindre changement du SI
75Chapitre 4Conclusion
- Laudit Approche technique ou fonctionnelle ?
- ?les outils automatisés sont utiles, voire
indispensables - ?Oui mais
- Ils offrent une photo à un instant t mais pas
dans le temps - Ils ne couvrent pas tout le périmètre
(organisation, procédures, traitement des
incidents,) - Ils ne sensibilisent pas
- ?Donc des audits organisationnels, voire
fonctionnels - sont aussi indispensables
- Une double compétence simpose
- Le problème de certification de lauditeur se
pose
76 LAudit Interne et les Nouvelles Technologies de
lInformation et de Communication
Merci
Audit de sécurité du système d'information de
l'entreprise
77Les Solutions pour Isoler et Protéger Les
Réseaux
78Sommaire
- Les solutions pour isoler et protéger vos Réseaux
- La solution logiciels antivirus proxy
antivirus - La solution routeur filtrant
- La solution Firewall
- Comment protéger vos données la cryptographie
79La Solution Se Protéger
- Logiciels dAntiVirus, Proxy Antivirus
- FireWall (Pare-feu)
- Architecture du réseau (DMZ)
- Les solutions routeurs Les routeurs filtrants
- Les serveurs Proxy (serveur mandataires), reverse
proxy, le masquage dadresse - Solution de cryptage des données
- Outils de détection des intrusions
- Outils de test de vulnérabilité des SI
- Audit de sécurité
80La Solution Se Protéger
Et ne jamais perdre de vue quaucun système
nest sûr à 100. Les exploits des pirates et
autres programmeurs très talentueux de virus et
de techniques de piratages le prouvent chaque
jour un peu plus.
81Dou Viennent les Intrusions ?
Internet
Votre Réseau
Sur Utilisateurs (virus, trojan, bugs OS)
Routeur/Firewall
Sur Serveurs (Deni de service)
Via réseaux partenaires (intrusion)
Via Clients (intrusion)
Partenaires
82La Solution Logiciels Anti-Virus Proxy
Anti-Virus
83Les Virus La Protection Globale
Internet
Sur Serveurs de messagerie
Routeur/Firewall
Votre Réseau
Sur Clients (HTTP,FTP)
Sur Clients (Disquette CD)
84Les Virus
- Rien de fondamentalement nouveau avec lInternet
- Sauf que
- Les créateurs de virus bénéficient dun moyen de
transport - idéal et à grande échelle
- Les premiers virus de lInternet sont
généralement - véhiculés par la messagerie ( les attachements
de fichiers - sont particulièrement pratique pour diffuser
un virus ) - Les Trojans Horses (chevaux de troi) une
nouvelle race de virus - Microsoft est souvent le premier visé
85Les Différents Types de Virus
- Les Virus Classiques
- Les Virus Macro
- Les Vers ou Virus de Messagerie (Worm)
86Les Virus Classiques
Les virus classiques se transmettent par
disquette
Disque Dur
Un virus classique est un programme exécutable
qui sinstalle sur votre ordinateur à votre insu.
Il se cache dans le secteur de démarrage de vos
disques et disquettes. Lorsque vous allumez le
micro, le virus se charge et se reproduit en
infectant les disques durs et disquettes
87Les Virus Macro
Les virus macros sattrapent en ouvrant un
document infecté.
Fichier Word
Fichier Word
Fichier Word
Fichier Word
Ils sattachent aux documents des logiciels
proposant un langage de macro-commandes comme
Word ou Excel. Le virus se reproduit alors en
infectant les autres documents au fur et à
mesure quils sont ouverts.
88Les Vers ou Virus de Messagerie
Le ver se reproduit de manière automatique
Internet
Email
Dés que lutilisateur ouvre le fichier, le virus
va non seulement infecter le PC sur lequel il se
trouve, mais aussi sautoexpédier par courrier
électronique lors de la première connexion sur
Internet, en utilisant le logiciel de messagerie
et les adresses E-mail stockées dans le carnet
89Les Symptômes dInfection
- Le micro refuse de démarrer
- Des fichiers disparaissent
- Certains documents sont modifiés
- Des messages ou des images bizarres saffichent
- Le clavier est souvent verrouillé
- De la musique ou des sons bizarres sentend
- ça rame, le micro ralentit !
Sans logiciel spécialisé, il nest pas toujours
facile de diagnostiquer la présence dun virus
90Des Conseils pour Limiter les Risques et les
Dégâts
- Ne démarrez pas votre PC avec une disquette dans
le lecteur - Sauvegardez vos documents
- Faites un diagnostic fiable
- Réglez le niveau de sécurité dInternet Explorer
et Netscape
91Logiciels/Proxy AntiVirus
- Acquérir un logiciel antivirus très répondu
- Utiliser toujours la dernière version
- Installer le logiciel dans chaque poste de votre
réseau - Installer un Proxy anti-virus qui se charge
danalyser les fichiers entrant avant de les
envoyer sur le réseau interne Ouvrir les
fichiers entrant (fichiers compressés également)
afin de détecter la présence de Virus
92Alternative Antivirus de type Proxy / CVP
Un Exemple Logiciel Anti-virus sur Messagerie
Anti-virus attaché au serveur
Internet
Flux infecté
Flux purgé
Votre Réseau
Routeur/Firewall
Serveur Messagerie Anti-Virus
Inconvénient le virus arrive jusquau serveur
93Le Serveur Proxy Anti-Virus
Internet
Serveur Web
Serveur SMTP
Votre Réseau
Routeur/Firewall
Client Web
Proxy Anti-virus http ftp
Serveurs Messagerie
Flux infecté
Flux purgé
94Le Filtrage de Type Content Vectoring Protocol
Internet
Serveur Web
Serveur SMTP
Votre Réseau
Routeur/Firewall
CVP
Client Web
Proxy Anti-virus
Serveurs Messagerie
Flux infecté
Flux purgé
95Toujours se Souvenir Que
- Le filtrage au vol doit être rapide pour les
services Web et FTP - Une détection virus pour la messagerie est
possible mais il faut - décompresser les messages avant de pouvoir
détecter et purger - La détection des virus dans les flux
dinformation chiffrée - de type SSL et S/MIME nest possible que sur le
poste client - Le mode proxy est à préférer au mode CVP
96Conclusion Deux Protections Complémentaires
Internet
Votre Réseau
Logiciel Antivirus Une protection sur les
clients
Serveurs
Sur Clients (Disquette CD)
Proxy Anti-virus
Une protection sur les flux réseaux (http, ftp,
smtp) RR
97La Solution Firewall (Pare-feu,
Coupe-feu)
98Quest ce quun Firewall Internet
- Il sert à plusieurs choses
- protége le réseau interne contre les tentatives
dintrusion provenant de lextérieur - limite et vérifie les connexions provenant du
réseau interne vers extérieur - restreint laccès à un point précis
- empêche les agresseurs de sapprocher de vos
autres défenses - restreint la sortie à un point précis
99Quest ce quun Firewall Internet
- Un firewall est le plus souvent installé au point
où votre réseau interne protégé est connecté à
lInternet. - Logiquement, un firewall est un séparateur, un
limiteur, un analyseur. Ses implémentations
physiques varient selon les sites. -
- Il sagit la plupart du temps dun ensemble de
composants matériels un routeur, un ordinateur
hôte, ou une combinaison dordinateurs, de
routeurs et de réseaux avec des logiciels
appropriés. - Il existe diverses façons de configurer cet
équipement, la configuration dépendent de la
politique, du budget et de lactivité du site
considéré.
100Que peut faire un Firewall
- Un Firewall est au centre des décisions de
sécurité - Un Firewall peut renforcer le règlement de
sécurité - Un Firewall peut facilement enregistrer
lactivité Internet - Un Firewall limite votre exposition
101La Solution Firewall
Réseau à protéger
Réseau X
Firewall
Réseau Y
- Filtrage sur protocoles de communication
- Filtrage sur applications (Web, FTP, TelNet),
blocages des URL - Filtrage sur les utilisateurs
- Fichier logs et statistiques dutilisation
- Gestion possible de réseaux complexes (VPN, DMZ,
) - Interface conviviale
102La Solution Firewall - Internet
Accès sécurisé et transparent aux serveurs de
lInternet
Internet
Routeur
ISP
Routeur
LAN Privé
Firewall
Routeur
103La Solution Firewall Protection des serveurs
Clients
Serveurs
Firewall
104La Solution Proxy Serveur (Serveur Mandataire)
LAN privé
Proxy Server
Internet
Firewall
- Filtrage applicatif (HTTP, FTP, )
- Nécessite une connexion utilisateur par type de
service - difficile si lapplication nest pas supporté
par le proxy - Optimise la bande passante vers lInternet en
mettant en cache - (disque) les informations consultées de
lInternet - Filtrage efficace des sites autorisés /
interdits - Masquage dadresse une adresse unique pour les
clients - Authentification de tous les utilisateurs du LAN
105Proxy / Reverse Proxy
Le Proxy se fait passer pour le client
Le réseau à risque
Votre réseau
Proxy Serveur
Serveur
Firewall
Le Reverse Proxy se fait passer pour le serveur
Votre réseau
Reverse Proxy
Le réseau à risque
Serveur
Firewall
106La Solution Globale
Diviser pour mieux régner
Anti-Virus
Proxy
Applications
Firewall
Réseau Transport TCP-UDP
Routeur filtrant
Réseau logique IP-ICMP
Dédier pour mieux résister R
Réseau physique
Switch filtrant