Académique Documents
Professionnel Documents
Culture Documents
Intgrit
Certifier que les donnes, les traitements ou les services nont pas t modifis, altrs ou dtruits tant de faon intentionnelle quaccidentelle. Nont pas t modifies lors de leur stockage ou de leur transfert. Sont protges des coutes actives qui peuvent modifier les donnes intercceptes
Confidentialit
Protection des donnes contre une divulgation non autorise Limiter leurs accs par un mcanisme de contrle daccs Transformer les donnes par des procdures de chiffrement
Authentification et Identification
Mises en uvre pour contribuer raliser les mesures de scurit assurant : Confidentialit et intgrit : seuls les ayant droit peuvent accder aux ressources non-rpudiation et imputabilit : preuve de lorigine dun message, dune transaction, preuve de la destination.
boris.fritscher@unil.ch
Scurit applicative Scurit de lexploitation Maintenance doit tre prventive et rgulire Risque dexploitation : remplacement des quipements, interruption de service, perte de donnes Adquation du niveau de service offert, par rapport celui spcifi dans le contract Scurit des tlcommunications Offrir lutilisateur, une connectivit fiable et de qualit de bout en bout Un environnement de communication scuris implique la scurisation de tous les lments de la chane informatique. Un systme scuris, mobilisant dimportants moyens scuritaires, aussi pertinents soient-ils, ne pourra tre efficace que sil sappuie sur un code dutilisation des ressources informatique formalis par une charte (page 12) Enjeux conomique et politiques
Facettes de la scurit
Matrise de la scurit informatique, procdures qui rgissent leurs utilisations et configuration. La scurit repose sur des axes complmentaires managriaux, techniques et juridiques qui doivent tre abords en parallle. Elle nest jamais acquise dfinitivement. Veille juridique Actions dinformation et de formation, mesures prventives et dissuasives SCHEMA p13
Attaques
1) 2) 3) 4) Collecte dinformations, Recherche de vulnrabilits Savoir-faire et exploitation des informations recueillies et des failles (0day exploit) Cration dune attaque Exfiltration (ne pas tre dtect, effacer traces)
Active (D I A) / passives (C) Brut force, dictionnaire, cheval de troie, faiblesse des mots de pass => mot de passe usage unique Dni / Refus de service
La criminalit informatique
Classiques ou brches ouvertes par les technologies de traitement de linformation
boris.fritscher@unil.ch
Les solutions de scurit sont des rponses statiques un problmes dynamique mais surtout des rponses dordre technologique des problmes humains, managriaux et lgaux. Le niveau de scurit des infrastructures rsulte donc dun compromis entre ces facteurs : Cot Niveau de service de scurit Temps de livraison
Dimension humaine difficilement contrlable Atteritorialit dInternet Matrise des risques par lintgration dans leur management, de la notion de gouvernance de la scurit Dmatrialisation Usurpation didentit, leurre, accs indus, exploitation frauduleuse de ressources, infection, dtrioration, destruction modification, divulgation, dni de service, vol Notion de donne dorigine na plus de sens puisque les copies lidentique et linfinie sont possibles. Disponibilit doutils Information immatrielle, support physique => vulnrabilits Universalisation et dpendance SCHEMA p27 Liste p35
Intimit numrique
La scurit passe par la surveillance, le contrle et le filtrage des communications. Garde-fous pour viter les abus Intimit, confidentialit de donnes caractre personnel Protection de la vie priv / respect des droits fondamentaux
Types
Virus, spam, phising => e-mails Intrustion de systems => dtecter/ plans daction, raction=> limiter la propagation dune attque, rduire les impacts, rparer les atteintes ou dgts engendrs. Chantage => souvant pas annonc
La stratgie de scurit
Connatre les risques pour les matriser
Aucune prjudice ne doit mettre en pril la prennit de lentreprise
boris.fritscher@unil.ch
Protection, organisation de la dfense (dmarche proactive), plans de raction (dmarche ractive) Prvention, protection, raction 1) Identifier les valeurs => de la pertinence de lanalyse des risques dpendera lidentification correcte des moyens et des mesures de scruit mettre en uvre pour protger efficacement les ressources du sytme dinformation. 2) Mettre en place les outils et les procdures ncessaires la gestion des risques et la scurit des systmes, services et donnes 3) Contrler ladquation, pertinence, valuation priodique voire constante, optimisation
Stratgie de scurit
Critres fondamentaux, DIC A NR, prennit, intimit numrique Sont dtermines, gres et valides par des procdures de gestion => acte de management Rduire la scurit sa dimension technologique est assurer son chec Page 57 PRINCIPES La stratgie relve du domaine de la direction gnrale La scurit un facteur de comptitivit contribuant une meilleure rentabilit, facteur de qualit La scurit ne permet pas directement de gagner de largent, mais vite den perdre. Problme : il nexiste pas de critre objectivement mesurable du rendement du capital investi et du retour sur investissement en scurit. La diversit et le nombre de solutions peuvent crer un problme de cohrence globale de lapproche scuritaire. En consquence, la technologie ne suffit pas, elle doit tre intgre dans une dmarche de gestion.
La politique de scurit
La gestion des risques constitue le point de dpart de lanalyse des besoins scuritaires. Bonne politique : complte et cohrente, afin de rpondre prcisment aux besoins de scurit de lorganisation dans un contexte donn. La dfinition de la politique de scruit : Simple et comprhensible Adoptable par un personnel pralablement sensibilis voire form Aisment ralisable Maintenance facile Vrifiable et contrlable volutive Configurable / personnalisable
Normes voir slides : Les normes ou mthodes nvoluent pas au mme rythme que les besoins ou les technologies.
boris.fritscher@unil.ch
Mesures de scruit
Avant le sinistre Mesures prventives Mesures structurelles Mesures de dissuasion Aprs le sinistre Mesures palliatives et correctives Mesures de rcupration
Plan de secours
1) 2) 3) 4) Analyse stratgique Choix des solutions Ralisation (mise en uvre oprationnelle) Validation et suivi Audit
Critres communs
Acteurs Utilisateurs : connat niveau de scurit offert par un produit Dveloppeurs : identification des exigences de scurit valuateurs : label standardis, confiance accorder lorganisation de certification ?
Toutefois le champ dapplication et lintrt du label restent faibles au regard de la lourdeur de la dmarche de certification. Label statique attribu un instant donn pour une version spcifique dun produit.
Chiffrement symtrique
Autant de paires diffrentes de cls quil y a de paires de correspondant ! Reste voire slides
boris.fritscher@unil.ch
Lassociation de scurit est unidirectionnelle, deux associations de scurit sont alors ncessaires pour supporter un change bidirectionnel. Mode transport vs mode tunnel (nouveau paquet IP dans le paquet IP) Il est impratif de pouvoir distinguer ces deux types de donnes donnes de contrle du protocole et donnes de lutilisateur pour pouvoir chiffrer ces dernires et les rendre confidentielles, sans pour autant chiffrer les premires afin que le protocole puisse effectuer sa tche et que les donnes soient effectivement transfres.
Firewall
Le firewall constitue un des outils de ralisation de la politique de scurit et nest quun des composants matriel ou logiciel de sa mise en uvre. En effet, un firewall ne suffit pas bien protger le rseau et les systmes dune organisation. Il doit tre galement accompagn doutils, de mesures et de procdures rpondant des objectifs de scurit pralablement dtermins par la politique de scurit. Lefficacit dun firewall dpend essentiellement de son positionnement par rapport aux systmes quil doit protger, de sa configuration et de sa gestion. Principes : filtrage, masquage, relais
Mthode bases sur les signatures => doit dj connatre Mthode bases sur les profils => bases sur la comparaison dvnement collects par rapport des profils de comportement normaux associs des utilisateurs ou des applications Rponses Actives : entreprendre une action agressive contre lintrus (illgale) restructurer larchitecture du rseau (isoler) surveiller le systme attaqu Filtre trop grand =>faux ngatif Filtre trop restrictif => faux positif
boris.fritscher@unil.ch
Les solutions de scurit ont aussi besoin dtre protges et scurises => rcursivit des solutions de scurit et leur problme. Serveurs de nom (login) : backup, test pour une haute charge, Biomtrie : problmes du stockage de lenregistrement, ainsi que du besoin dapproximation
Indicateur de qualit
Disponibilit, capacit, accessibilit, temps de rponse, fiabilit La non-documentation cre ou maintient une dpendance trs forte entre lentreprise et ses administrateurs rseau => estimation du dgre de dtail
boris.fritscher@unil.ch