Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sécurité Notions de base Que doit-on sécuriser ? Le réseau : Données Arch

Sécurité Notions de base Que doit-on sécuriser ? Le réseau : Données Architecture et équipements Protocoles 2021-2022 9 Sécurité Informatique Pourquoi ? La maîtrise du cycle de vie des patrimoines numériques (transport, traitement, stockage) : question de souveraineté - > technique maîtresse du cryptage La valorisation des contenus : enjeu économique -> tatouage, … La confiance dans l’univers (république) numérique : enjeu social -> authentification, certificats, tiers de confiance, … La sécurisation des info-sphères : Niveau individuel : préservation de l’intimité (filature électronique) Niveau organisation : prévention des attaques, architectures de sécurité Niveau état : invulnérabilité des infrastructures critiques, prévention des catastrophes 2021-2022 10 Sécurité Informatique Contre quoi ? Déficiences des équipements Erreurs humaines Attaques malicieuses 2021-2022 11 Sécurité Informatique Statistiques sur la sécurité 20000 attaques réussies par mois sur un ou plusieurs sites dans le monde 70000 virus en 2004 (augmentation d’environ 1000 par mois, 10000 actifs, exemple d’un pic infection : 10% du trafic mail) 20 milliards de messages SPAM par jour Cybercriminalité évaluée à 50 milliards d’euros par an Source : CLUSIF, 2004 2021-2022 12 Sécurité Informatique Services de sécurité Confidentialité : seuls les tiers autorisés connaissent les données Intégrité : données non altérées Disponibilité : accès aux données dans de bonnes conditions Authentification : identité des acteurs de la communication est vérifiée Non répudiation : les acteurs d'une communication ne peuvent nier leur participation 2021-2022 13 Sécurité Informatique Mécanismes de défense Chiffrement : algorithme généralement basé sur des clefs et transformant les données. Sa sécurité est dépendante du niveau de sécurité des clefs. Signature numérique: données ajoutées pour vérifier l'intégrité ou l'origine des données. Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au niveau du volume du trafic. Notarisation : utilisation d’un tiers de confiance pour assurer certains services de sécurité. Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas l'exploitation d'une vulnérabilité. 2021-2022 14 Sécurité Informatique Mécanismes avancés Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers potentiellement exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou contre un utilisateur légitime qui accède à une ressource qui lui est interdite. Pare-feu : un élément (logiciel ou matériel) du réseau informatique contrôlant les communications qui le traversent. Il a pour fonction de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les communications autorisés ou interdits. N'empêche pas un attaquant d'utiliser une connexion autorisée pour attaquer le système. Ne protège pas contre une attaque venant du réseau intérieur (qui ne le traverse pas). 2021-2022 15 Sécurité Informatique Autres mécanismes avancés Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau surveillé. Ne détecte pas les accès incorrects mais autorisés par un utilisateur légitime. Mauvaise détection : taux de faux positifs, faux négatifs. Journalisation ("logs") : Enregistrement des activités de chaque acteurs. Permet de constater que des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte qu'elles ne se reproduisent pas. Analyse des vulnérabilité ("security audit") : identification des points de vulnérabilité du système. Ne détecte pas les attaques ayant déjà eu lieu, ou lorsqu'elles auront lieu. 2021-2022 16 Sécurité Informatique Politique de sécurité Une politique de sécurité ce n'est pas seulement les paramètres de sécurité : longueur des clefs, choix des algorithmes, fréquence de changement des "passwords", … Une fois une politique de sécurité définie, sa mise en œuvre (utilisation d'outils appropriés) et sa bonne gestion (maintien de la cohérence) sont des points critiques. 2021-2022 17 Sécurité Informatique Processus de sécurité Évaluation / audit Politique de sécurité Implémentation et formation 2021-2022 18 Sécurité Informatique Remarque Importance du facteur humain : Respect des règles de sécurité Compréhension de l'utilité des règles, Surcharge induit par les moyens de sécurité L'ingénierie sociale 2021-2022 19 Sécurité Informatique Normes ISO pour la sécurité des systèmes d’information 20 ISO 13335 : Concepts et modèles pour la gestion de la sécurité des TIC (1996), ISO 15408 : Critères communs pour l'évaluation de la sécurité des Technologies de l'Information, ISO/CEI 17799 : Code de bonnes pratiques pour la gestion de la sécurité d'information (ancienne référence de la norme ISO/CEI 27002). 2021-2022 Sécurité Informatique ISO 27000 21 Série de normes dédiées à la sécurité de l'information ISO/CEI 27001 : Description des exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI) ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de l'information (anciennement ISO/CEI 17799) ISO/CEI 27003 : Système de Management de la Sécurité de l'Information (SMSI) — Guide d'implémentation ISO/CEI 27004 : Mesure de la gestion de la sécurité de l'information ISO/CEI 27005 : Proposition d'une méthode d'appréciation des risques en sécurité de l'information (cette phase est obligatoire dans le cadre d'une certification ISO/CEI 27001) ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de Systèmes de Management de la Sécurité de l'Information (SMSI) ISO/CEI 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de l'Information (SMSI). ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative à la santé en utilisant l'ISO/CEI 27002 Le standard Information Technology Security Evaluation Criteria (ITSEC) a été établi dans ce domaine en 1991 au niveau de l‘union européenne, mais il n'a pas obtenu le statut de norme. 2021-2022 Sécurité Informatique Objectifs • Liste des biens à protéger Que protéger ? • Liste des menaces De quoi les protéger ? • Liste des impacts et probabilités Quels sont les risques ? • Liste des contre mesures Comment protéger l’entreprise ? 22 Démarche de la norme ISO 17799 2021-2022 Sécurité Informatique Sécurité en Tunisie 2021-2022 Sécurité Informatique 23 ANSI (https://www.ansi.tn/) Mission de veille Etablir des normes spécifiques Mission d’audit ANCE (https://www.tuntrust.tn/) Autorité de certification racine en Tunisie Plusieurs offres de certificats d'authentification signature électronique horodatage Principe du dernier privilège 2021-2022 Sécurité Informatique 24 Discipline de sécurité qui consiste à attribuer à un utilisateur pas plus de privilèges qu’il n’en a besoin pour réalise son travail Principe facile à planifier Difficile à mettre en place Surface d’attaque 2021-2022 Sécurité Informatique 25 Ensemble de méthodes et de moyens qu’un attaquant peut mettre en œuvre pour s’introduire au niveau du système et causer des dommages Plus la surface d’attaque est grande, plus les risques de réussite des attaques est élevé 3 composants : Applications Réseaux Employés Ingénierie sociale 2021-2022 Sécurité Informatique 26 Importance du facteur humain: Être suspicieux Vérification de l’identité Être discret Minimiser l’utilisation des e-mails Importance de la formation Infogérance/Télémaintenance 2021-2022 Sécurité Informatique 27 Le système d'information est n’est pas un système fermé : Interactions avec des intervenants externes Infogérances Télémaintenances Relation contractuelle entre prestataire et client Exemples en télémaintenance : Routeurs chez des opérateurs de télécommunication PABX Imprimantes, télécopieurs, photocopieurs SAN : réseau de stockage de données Logiciels de gestion d'entreprise Gestion des interactions 2021-2022 Sécurité Informatique 28 Appliquer sa politique de sécurité Intégrer la sécurité dès le départ dans tout processus d'infogérance et de télémaintenance Contractuellement, systématiquement, ne serait-ce que pour savoir qu'il y a de la télémaintenance Minimiser les télémaintenance Créer un portail de contrôle d'accès Indépendamment des moyens de connexion Authentifier individuellement chaque intervenant Journaliser les connexions Recopier si possible la session complète des informations qui remontent à l'extérieur Principe des périmètres 2021-2022 Sécurité Informatique 29 Concept de périmètre : Espace de responsabilité : système d'information de l'entreprise Espace de non responsabilité : environnement extérieur Appliquer la politique de sécurité entre les deux afin de protéger l'espace de responsabilité : périmètre Il semble difficile de se passer de la notion de sécurité périmétrique même si le périmètre logique est poreux : Connaître le périmètre Quelques limites du périmètre : Le réseau et les canaux de communication Les utilisateurs L'entreprise étendue : toutes les applications dialoguant avec l'extérieur Sécurité du local 2021-2022 Sécurité Informatique 30 Contrôle d’accès Défonce en profondeur Périmètre externe 2021-2022 Sécurité Informatique 31 Première line de défonce Dépend de l’importance du niveau de sécurité Plusieurs outils et techniques : Caméra de sécurité Eclairage du parking Barrière basculante avec gardien Barrière basculante avec lecteur de carte d’accès … Périmètre interne 2021-2022 Sécurité Informatique 32 Le périmètre de sécurité interne inclus toutes les partie entre les murs et les portes externes des locaux jusqu’à l’espace sécurisé Plusieurs outils et uploads/Ingenierie_Lourd/ 1securite-cours-chapi.pdf