Le processus de s - PowerPoint PPT Presentation

1 / 69
About This Presentation
Title:

Le processus de s

Description:

Quelques rep res pour l'exercice de votre mandat quand Internet est en cause. ... Nous esp rons qu'il vous aidera dans l'exercice de vos responsabilit s; ... – PowerPoint PPT presentation

Number of Views:33
Avg rating:3.0/5.0
Slides: 70
Provided by: benotg2
Category:
Tags: aidera | processus

less

Transcript and Presenter's Notes

Title: Le processus de s


1
Le processus de sécurité informatique
  • Du point de vue de la protection des
    renseignements personnels confiés à lÉtat
  • Benoît Girard, DIID, MRCI

2
Introduction
  • Votre mandat veiller à lapplication de la loi
    sur la protection des renseignements personnels
  • Internet un contexte nouveau hautement
    technique
  • Lappréciation des mesures de sécurité entourant
    les renseignements personnels sur Internet.

3
Notre approche
  • Quelques définitions et concepts généraux
  • Lunivers de la sécurité informatique
  • Quelques repères pour lexercice de votre mandat
    quand Internet est en cause.

4
La sécurité absolue nexiste pas
  • La sécurité est un concept relatif. On est plus
    ou moins en sécurité quavant, plus ou moins
    quailleurs, mais on ne peut jamais être sûrs
    dêtre parfaitement en sécurité.

5
La sécurité absolue nexiste pas
  • Parce quelle dépend de la conjoncture extérieure
    (lapparition de nouveaux risques)
  • Parce que les ressources à y consacrer sont
    limitées.

6
Doù la nécessité dévaluer lopportunité
dinvestir
  • En fonction de limportance des données à
    protéger
  • En fonction de la probabilité dune fuite.

7
Quand linformation est-elle sensible?
  • Quand de réels renseignements sont en cause
  • Quand leur divulgation peut porter préjudice aux
    personnes concernées, même théoriquement

8
Comment évaluer la probabilité dune atteinte?
  • Se méfier des effets déformants de linconnu
  • Moins on a limpression dêtre en contrôle de la
    situation, plus on a tendance à exagérer le
    risque.
  • On doit donc semployer à dissiper linconnu et
    à garder la tête froide.

9
Dans un contexte de rareté de ressources,
prioriser selon
  • Lintensité du préjudice
  • La probabilité du préjudice

10
Usages légitimes et abusifs
  • Dans le cours normal de ses fonctions, lÉtat
    doit manipuler des renseignements personnels
  • Notre désir de protéger ces renseignements ne
    doit pas aller jusquà entraver ces manipulations
    légitimes
  • Il faut savoir faire la distinction entre usages
    légitimes et abusifs.

11
Lunivers de la sécurité informatique
  • La responsabilité de la sécurité et de la
    confidentialité des données appartient au premier
    chef à ladministrateur de réseau informatique
    branché sur Internet.
  • Commençons par tenter de voir le monde de son
    point de vue.

12
La sécurité une préoccupation majeure de
ladministrateur
  • Il ny a pas si longtemps, la première
    préoccupation de ladministrateur de réseau était
    de faire fonctionner le réseau
  • Aujourdhui, cette préoccupation a été remplacée
    par la sécurité
  • Comment en sommes-nous venus à une telle
    situation?

13
Une perspective historique
  • Internet est une création de lunivers UNIX
  • Ce qui a eu des implications sur la sécurité.

14
UNIX est un système  multiusagers 
Ordinateur
Terminaux
UNIX
15
UNIX doit cloisonner ses usagers
UNIX
Espaces individuels de travail
16
UNIX partage ses logiciels
UNIX
Système et logiciels communs
Espaces individuels de travail
17
Internet loge dans lespace protégé des logiciels
communs
Internet
UNIX
Système et logiciels communs
Espaces individuels de travail
18
Donc, aucun besoin spécial de protéger les
 réseaux 
19
Et les communications y circulent en  clair .
Destination
Origine
20
Linterconnexion apporte son lot de risques de
sécurité
PC
MacIntosh
21
Au point de départ, un PC ou un MAC nest pas
sécurisé.
MAC
Réseau local relié à Internet
22
Les réseaux locaux ont faits des efforts
insuffisants
Réseau local Novell
Réseau local AppleTalk
MAC
23
La complexité est source de  vulnérabilités 
Réseau local Novell
Réseau local AppleTalk
Internet
IBM Mainframe
MAC
24
Aussi sécuritaire que le World Trade Center
25
Exemple 1 - WS-FTP
Internet
Disque dur local
Votre site Web
Votre site Web
WS-FTP
Copie de travail
Copie en ligne
Fichier de configuration de WS-FTP (identifiant
et mot de passe chiffrés)
26
Exemple 1 - WS-FTP
Disque dur local
Internet
Votre site Web
Votre site Web
WS-FTP
WS-FTP
Copie de travail
Copie en ligne
WS-FTP installé dans le même répertoire que le
site Web
Fichier de configuration
27
Exemple 2 - Hotmail
28
Exemple 2 - Hotmail
http//lc2.law13.hotmail.passport.com/cgi-bin/dasp
/ hminfo_shell.asp?_langENcontentwhysignusws
id2fs1cb_lang3dENct1009473462
29
Exemple 2 - Hotmail
http//lc2.law13.hotmail.passport.com/cgi-bin/dasp
/ hminfo_shell.asp?_langENcontentwhysignusws
id2fs1cb_lang3dENct1009473462
30
Exemple 2 - Hotmail
_langEN contentwhysign usws id2 fs1 cb_lang
3dEN ct1009473462
31
Exemple 2 - Hotmail

http//lc2.law13.hotmail.passport.com/cgi-bin/dasp
/ hminfo_shell.asp?_langENcontentwhysignusws
idBenGirardfs1cb_lang3dEN ct1009473462
32
Exemple III - Le cheval de Troie
Fonctions réseau
Ordinateur
65536 ports
Port WWW
Port SMTP
Internet
Port POP3
Port FTP
33
Exemple III - Le cheval de Troie
Fonctions réseau
Ordinateur
65536 ports
Port WWW
Port SMTP
Internet
Port POP3
Port associé à un logiciel pirate
Port FTP
34
Exemple III - Le cheval de Troie
Partie secrète à lusage du pirate
Partie affichée publiquement, alléchante pour les
utilisateurs
Logiciel offert gratuitement sur
Internet prétendant vous rendre service
35
Les vulnérabilités
  • Sont des maladresses de programmation qui,
    associées à la négligence humaine, laissent des
    trous dans le sécurité des ordinateurs ou des
    sites Web.
  • Pirates et administrateurs de réseaux se font la
    course, les uns pour ouvrir, les autres pour
    fermer laccès aux ordinateurs via ces
    vulnérabilités.

36
La situation nest pas si désespérée quelle
semble
  • Rassurez-vous, les administrateurs de réseau ne
    restent pas les bras croisés en attendant les
    problèmes.
  • Regardons maintenant les choses du point de vue
     défensif .

37
En quoi consistela sécurité informatique?
  • Authenticité
  • Irrépudiabilité
  • Intégrité
  • Confidentialité
  • Accessibilité.

38
Authenticité
  • Les documents doivent être préservés dans létat
    voulu par leurs auteurs et leurs propriétaires.

39
Irrépudiabilité
  • Lidentité des auteurs de documents ou de gestes
    consignés de même que celles des signataires des
    engagements pris doit être confirmée et
    correctement consignée de façon à empêcher la
    répudiation ultérieure.

40
Intégrité
  • Les documents doivent être conservés dans leur
    état original
  • À labri de la destruction
  • À labri des modifications non-autorisées.

41
Confidentialité
  • Les documents doivent être à labri des regards
    indiscrets

42
Accessibilité
  • Les documents doivent malgré tout être
    accessibles aux usagers autorisés

43
Les flux dinformation
Citoyens et entreprises
État
44
Les flux dinformation
Internet
État
45
Les flux dinformation
Internet
État
46
Les trois foyers dapplication de la sécurité
Protection des lieux de conservation
Entrées et sorties extérieures
Internet
État
Circulation interne
47
Les problèmes de sécurité liés à lentreposage
des données
Réseau local
Ordinateur passerelle donnant accès à Internet
Données à protéger
Internet
48
Les problèmes de sécurité liés à lentreposage
des données
Réseau local et/ou Intranet
Ordinateur passerelle donnant accès à Internet
Barrières
Données à protéger
Internet
49
Les problèmes de sécurité liés à lentreposage
des données
Fonctions réseau
Ordinateur
65536 ports
Port WWW
Port SMTP
Internet
Port POP3
Port FTP
Identification
50
Les problèmes de sécurité liés à lentreposage
des données
Fonctions réseau
Ordinateur
65536 ports
Port WWW
Port SMTP
Internet
Port POP3
Port associé à un logiciel pirate
Coupe-feu
Port FTP
Identification
51
Les problèmes de sécurité liés à lentreposage
des données
Fonctions réseau
Ordinateur
65536 ports
Port WWW
Port SMTP
Internet
Port POP3
Coupe-feu
Port FTP
Anti-virus
Identification
52
Les problèmes de sécurité liés à lentreposage
des données
Réseau local et/ou Intranet
Coupe-feu individuel
Ordinateur passerelle donnant accès à Internet
Coupe-feu
Données à protéger
Internet
53
Les problèmes de sécurité liés à lentreposage
des données
Réseau local et/ou Intranet
Coupe-feu individuel
Ordinateur passerelle donnant accès à Internet
Coupe-feu
Données à protéger
Internet
54
Les problèmes de sécurité liés à lentreposage
des données
Coupe-feu individuel
Copie de sûreté
Ordinateur passerelle donnant accès à Internet
Coupe-feu
Données à protéger
Internet
55
Les problèmes de sécurité durant la communication
Réseau local et/ou Intranet
Ordinateur passerelle donnant accès à Internet
???
Données à protéger
Internet
56
Le problème de la transmission des clés
Clé de chiffrement
Hello
Kedoh
Kedoh
Hello
Internet
Internet???
57
Le chiffrement à clé publique
Clés publiques
De Pierre
De Jean
Hello
Kedoh
Kedoh
Hello
Internet
Pierre
Jean
Clés privées
58
Le problème de lauthentification des agents
Garant
?
?
Internet
Pierre??
Jean??
59
Le problème de lauthentification des agents
A
B
Garants
?
?
Internet
Pierre??
Jean??
60
Les garants sont dépositaires des clés publiques
A
B
Garants
?
?
Internet
Pierre??
Jean??
61
Un système en voie de développement mais inachevé
  • Les fureteurs modernes gèrent les certificats
    pour les sites Web de commerce électronique
  • Pour le courrier électronique, la situation est
    carrément chaotique
  • Pour les autres applications, tout reste à faire.

62
Pour le courrier électronique...
  • Il ny a pas encore de standard unique et
    inter-opérable
  • De nombreuses entreprises vous offriront des
    systèmes privés de chiffrement
  • Cela exige que vos partenaires adoptent le même
    fournisseur ou un fournisseur compatible.

63
Loffre privée permet le  tunneling 
Données à protéger
Internet
64
Une stratégie dintervention
  • Prendre les choses à léchelle du réseau local
  • Identifiant et mot de passe à tous les niveaux?
  • Coupe-feu?
  • Anti-virus?
  • Chiffrement des fichiers?
  • Copies de sûreté?
  • Mises-à-jour régulières?

65
Une stratégie dintervention
  • Prendre les choses à léchelle du réseau local
  • La circulation interne des données
  • Le réseau local est-il indépendant dInternet?
  • Les copies accessoires sont-elles éliminées?
  • Y a-t-il une politique dissuasive contre les
    indiscrétions?

66
Une stratégie dintervention
  • Prendre les choses à léchelle du réseau local
  • La circulation interne des données
  • La circulation externe
  • Avec des partenaires réguliers
  • Avec des correspondants ponctuels ou occasionnels

67
Une stratégie dintervention
  • Prendre les choses à léchelle du réseau local
  • La circulation interne des données
  • La circulation externe
  • Faut-il enquêter?

68
Une stratégie dintervention
de sécurité
Coûts
69
Conclusion
  • Nous avons fait un rapide tour dhorizon du
    domaine de la sécurité informatique
  • Il reste bien des choses à dire, évidemment
  • Nous espérons quil vous aidera dans lexercice
    de vos responsabilités
  • Nous travaillons ensemble pour le bien des
    citoyens.
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Le processus de s" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!