Rsum livre : Scurit informatique et rseaux

Les principes de scurit

Disponibilit
Accessibilit, temps de rponse acceptables, capacit => dimensionnement appropri tests de monte en charge SLA continuit de service, politique de sauvegarde (cot entre de sauvegarde vs risque dindisponibilit supportable par lorganisation)

Intgrit
Certifier que les donnes, les traitements ou les services nont pas t modifis, altrs ou dtruits tant de faon intentionnelle quaccidentelle. Nont pas t modifies lors de leur stockage ou de leur transfert. Sont protges des coutes actives qui peuvent modifier les donnes intercceptes

Confidentialit
Protection des donnes contre une divulgation non autorise Limiter leurs accs par un mcanisme de contrle daccs Transformer les donnes par des procdures de chiffrement

Authentification et Identification
Mises en uvre pour contribuer raliser les mesures de scurit assurant : Confidentialit et intgrit : seuls les ayant droit peuvent accder aux ressources non-rpudiation et imputabilit : preuve de lorigine dun message, dune transaction, preuve de la destination.

Non-rpudiation / imputabilit / traabilit

Auditabilit : capacit dun systme garantir la prsence des informations ncessaires une analyse ultrieure dun vnement. Log / journal => dure de rtention ?

Domaines dapplication de la scurit

Scurit physique et environnementale Scurit logique Contrle daccs Classification des donnes pour qualifier leur degr de sensibilit

boris.fritscher@unil.ch

Scurit applicative Scurit de lexploitation Maintenance doit tre prventive et rgulire Risque dexploitation : remplacement des quipements, interruption de service, perte de donnes Adquation du niveau de service offert, par rapport celui spcifi dans le contract Scurit des tlcommunications Offrir lutilisateur, une connectivit fiable et de qualit de bout en bout Un environnement de communication scuris implique la scurisation de tous les lments de la chane informatique. Un systme scuris, mobilisant dimportants moyens scuritaires, aussi pertinents soient-ils, ne pourra tre efficace que sil sappuie sur un code dutilisation des ressources informatique formalis par une charte (page 12) Enjeux conomique et politiques

Facettes de la scurit
Matrise de la scurit informatique, procdures qui rgissent leurs utilisations et configuration. La scurit repose sur des axes complmentaires managriaux, techniques et juridiques qui doivent tre abords en parallle. Elle nest jamais acquise dfinitivement. Veille juridique Actions dinformation et de formation, mesures prventives et dissuasives SCHEMA p13

Attaques
1) 2) 3) 4) Collecte dinformations, Recherche de vulnrabilits Savoir-faire et exploitation des informations recueillies et des failles (0day exploit) Cration dune attaque Exfiltration (ne pas tre dtect, effacer traces)

Active (D I A) / passives (C) Brut force, dictionnaire, cheval de troie, faiblesse des mots de pass => mot de passe usage unique Dni / Refus de service

La criminalit informatique
Classiques ou brches ouvertes par les technologies de traitement de linformation

Internet comme facteur de performance pour le monde criminel

Problme de poursuite, car les tarces sont immatrielles

boris.fritscher@unil.ch

Les solutions de scurit sont des rponses statiques un problmes dynamique mais surtout des rponses dordre technologique des problmes humains, managriaux et lgaux. Le niveau de scurit des infrastructures rsulte donc dun compromis entre ces facteurs : Cot Niveau de service de scurit Temps de livraison

Dimension humaine difficilement contrlable Atteritorialit dInternet Matrise des risques par lintgration dans leur management, de la notion de gouvernance de la scurit Dmatrialisation Usurpation didentit, leurre, accs indus, exploitation frauduleuse de ressources, infection, dtrioration, destruction modification, divulgation, dni de service, vol Notion de donne dorigine na plus de sens puisque les copies lidentique et linfinie sont possibles. Disponibilit doutils Information immatrielle, support physique => vulnrabilits Universalisation et dpendance SCHEMA p27 Liste p35

Intimit numrique
La scurit passe par la surveillance, le contrle et le filtrage des communications. Garde-fous pour viter les abus Intimit, confidentialit de donnes caractre personnel Protection de la vie priv / respect des droits fondamentaux

Types
Virus, spam, phising => e-mails Intrustion de systems => dtecter/ plans daction, raction=> limiter la propagation dune attque, rduire les impacts, rparer les atteintes ou dgts engendrs. Chantage => souvant pas annonc

La stratgie de scurit
Connatre les risques pour les matriser
Aucune prjudice ne doit mettre en pril la prennit de lentreprise

boris.fritscher@unil.ch

Protection, organisation de la dfense (dmarche proactive), plans de raction (dmarche ractive) Prvention, protection, raction 1) Identifier les valeurs => de la pertinence de lanalyse des risques dpendera lidentification correcte des moyens et des mesures de scruit mettre en uvre pour protger efficacement les ressources du sytme dinformation. 2) Mettre en place les outils et les procdures ncessaires la gestion des risques et la scurit des systmes, services et donnes 3) Contrler ladquation, pertinence, valuation priodique voire constante, optimisation

Stratgie de scurit
Critres fondamentaux, DIC A NR, prennit, intimit numrique Sont dtermines, gres et valides par des procdures de gestion => acte de management Rduire la scurit sa dimension technologique est assurer son chec Page 57 PRINCIPES La stratgie relve du domaine de la direction gnrale La scurit un facteur de comptitivit contribuant une meilleure rentabilit, facteur de qualit La scurit ne permet pas directement de gagner de largent, mais vite den perdre. Problme : il nexiste pas de critre objectivement mesurable du rendement du capital investi et du retour sur investissement en scurit. La diversit et le nombre de solutions peuvent crer un problme de cohrence globale de lapproche scuritaire. En consquence, la technologie ne suffit pas, elle doit tre intgre dans une dmarche de gestion.

La politique de scurit
La gestion des risques constitue le point de dpart de lanalyse des besoins scuritaires. Bonne politique : complte et cohrente, afin de rpondre prcisment aux besoins de scurit de lorganisation dans un contexte donn. La dfinition de la politique de scruit : Simple et comprhensible Adoptable par un personnel pralablement sensibilis voire form Aisment ralisable Maintenance facile Vrifiable et contrlable volutive Configurable / personnalisable

Normes voir slides : Les normes ou mthodes nvoluent pas au mme rythme que les besoins ou les technologies.

boris.fritscher@unil.ch

Classement de linformation : publique, financier, prive, secrte

Mesures de scruit
Avant le sinistre Mesures prventives Mesures structurelles Mesures de dissuasion Aprs le sinistre Mesures palliatives et correctives Mesures de rcupration

Plan de secours
1) 2) 3) 4) Analyse stratgique Choix des solutions Ralisation (mise en uvre oprationnelle) Validation et suivi Audit

Critres communs
Acteurs Utilisateurs : connat niveau de scurit offert par un produit Dveloppeurs : identification des exigences de scurit valuateurs : label standardis, confiance accorder lorganisation de certification ?

Toutefois le champ dapplication et lintrt du label restent faibles au regard de la lourdeur de la dmarche de certification. Label statique attribu un instant donn pour une version spcifique dun produit.

La scurit par le chiffrement

Cryptographie : crire linformation (son, images, textes) en la rendant inintelligible ceux ne possdant pas les capacits de la dchiffrer. Garder un algorithme secret ne renforce pas sa scurit

Chiffrement symtrique
Autant de paires diffrentes de cls quil y a de paires de correspondant ! Reste voire slides

La scurit des infrastructures de tlcommunication

On ne peut assurer la scurit que dans un mode connect

boris.fritscher@unil.ch

Lassociation de scurit est unidirectionnelle, deux associations de scurit sont alors ncessaires pour supporter un change bidirectionnel. Mode transport vs mode tunnel (nouveau paquet IP dans le paquet IP) Il est impratif de pouvoir distinguer ces deux types de donnes donnes de contrle du protocole et donnes de lutilisateur pour pouvoir chiffrer ces dernires et les rendre confidentielles, sans pour autant chiffrer les premires afin que le protocole puisse effectuer sa tche et que les donnes soient effectivement transfres.

La scurit par les systmes pare-feu et de dtection dintrusions

Le premier stade de la scurit dun intranet passe donc par un bon dimensionnement et un bonne gestion du rseau de lentreprise. Ne pas introduire des vulnrabilits supplmentaires en autorisant linterconnexion de son intranet lInternet. Lintranet facilite et banalise laccs aux sources de donnes => contrler et autoriser laccs

Firewall
Le firewall constitue un des outils de ralisation de la politique de scurit et nest quun des composants matriel ou logiciel de sa mise en uvre. En effet, un firewall ne suffit pas bien protger le rseau et les systmes dune organisation. Il doit tre galement accompagn doutils, de mesures et de procdures rpondant des objectifs de scurit pralablement dtermins par la politique de scurit. Lefficacit dun firewall dpend essentiellement de son positionnement par rapport aux systmes quil doit protger, de sa configuration et de sa gestion. Principes : filtrage, masquage, relais

Systme de dtection dintrusions (IDS)

Collecte des informations Analyse des informations rcupres Dtection des intrusions et les rponses donner suite dtection

Mthode bases sur les signatures => doit dj connatre Mthode bases sur les profils => bases sur la comparaison dvnement collects par rapport des profils de comportement normaux associs des utilisateurs ou des applications Rponses Actives : entreprendre une action agressive contre lintrus (illgale) restructurer larchitecture du rseau (isoler) surveiller le systme attaqu Filtre trop grand =>faux ngatif Filtre trop restrictif => faux positif

boris.fritscher@unil.ch

Passives : collection dinformation

La scurit des applications et des contenus

Il faut que les informations sensibles le soient tout au long de la chane de traitement et de leur dure de vie. En effet, le vendeur doit assurer leur confidentialit lors de leurs stockages et durant les demandes dautorisation de paiement (paiement par carte sur internet). DRM => grands problmes dinteroprabilit, mais donne du contrle des mdias aux organisations.

La scurit par la gestion de rseaux

Les administrateurs rseaux comme le personnel technique interviennent comme des pompiers pour parer au plus press par des actions de patch & fix. Dans ce contexte, on a donc tout gagner travailler avec des produits dont on connat lavance le niveau de scurit quils offrent lorsquils sont certifis critres communs par exemple. Cohrence globale des services et la non-redondance excessive => proportionnelle aux risques encourus Authentification : Ce que lon connait (code) Ce que lon possde (carte) Ce que lon est (biomtrie)

Les solutions de scurit ont aussi besoin dtre protges et scurises => rcursivit des solutions de scurit et leur problme. Serveurs de nom (login) : backup, test pour une haute charge, Biomtrie : problmes du stockage de lenregistrement, ainsi que du besoin dapproximation

Mise en place du contrle daccs

1) 2) 3) 4) 5) Identification des besoins Recherche et analyse de scnarios possibles Proposition et validation dun scnario Plan daction et laboration dun cahier des charges Mise en uvre de la solution

Gestion du parc informatique

One ne gre bien et on ne scurise bien que ce que lon connat bien => recensement le plus exhaustif possible des actifs informatiques de lentreprise.

Indicateur de qualit
Disponibilit, capacit, accessibilit, temps de rponse, fiabilit La non-documentation cre ou maintient une dpendance trs forte entre lentreprise et ses administrateurs rseau => estimation du dgre de dtail

boris.fritscher@unil.ch