Vous êtes sur la page 1sur 5

4.1.

4 Le pare-feu identifiant

Un pare-feu identifiant ralise lidentification des connexions passant travers le filtre IP.
L'administrateur peut ainsi dfinir les rgles de filtrage par utilisateur et non plus par adresse
IP ou adresse MAC, et suivre l'activit rseau par utilisateur. Plusieurs mthodes diffrentes
existent qui reposent sur des associations entre IP et utilisateurs ralises par des moyens
varis.

On peut par exemple citer authpf (sous OpenBSD) qui utilise SSH pour faire l'association.
Une autre mthode est l'identification connexion par connexion (sans avoir cette association
IP=utilisateur et donc sans compromis sur la scurit), ralise par exemple par la suite
NuFW, qui permet d'identifier galement sur des machines multi-utilisateurs.

pourra galement citer Cyberoam qui fournit un pare-feu entirement bas sur l'identit (en
ralit en ralisant des associations adresse MAC = utilisateur) ou Check Point avec l'option
NAC Blade qui permet de crer des rgles dynamiques base sur l'authentification Kerberos
d'un utilisateur, l'identit de son poste ainsi que son niveau de scurit (prsence d'antivirus,
de patchs particuliers).

//////////////////********************************************///////////////////////////////

1 Cyber-Scurit: Contexte et solutions Stphane Vince ee-campus 24/09/2015

2 Agenda 1. Introduction & notions de base 2. Scurit des donnes: Rplication Backup
Scurisation des endpoints 3. Menaces courantes 4. Scurit des rseaux: Gestion des
identits & droits Firewall, VLAN, VPN IPS & UTM 5. Actualit: L AdN et le plan du
numrique

3 Introduction (*) Thucydide, historien grec (5me sicle avt. J-C )

4 Introduction Notions de base Risque Menace Vulnrabilit Contre Mesure Qu est ce que le
scurit informatique? Situation dans laquelle un systme informatique est protg des
dangers internes et externes Quelques concepts: Intgrit Disponibilit Authentification
Confidentialit Non-rpudiation
5 Introduction Notions de base Menaces : Environnement (pannes: lectriques, mcaniques,
lectroniques) Hacking Interne (espionnage, vol, sabotage) Hacking Externe (tentatives d
intrusions et de prises de contrle) Vulnrabilits : Services (serveurs/plateformes web,
SGBD, ) Applications (browsers, OS, suite office, mtiers ) Actions utilisateurs (effet next
next next)

6 Accs Donns Introduction Notions de base Contre-Mesures : Rplications (RAID, backup


local, backup distant, ) Redondance (connectivit, alimentation, climatisation,
synchronisation des donns, ) Contre mesures (upgrade, antivirus, anti-***ware, )
Authentification forte (PKI, auth multi-facteurs, ) Limitations des surfaces d attaques (firewall,
VLAN, IPS, upgrade) Signature lectronique et chiffrement et un peu de bon sens!

7 Scurit des donnes -> la rplication Mthode consistant dupliquer les donnes sur
plusieurs supports. Techniques : Manuelle : enregistrements en 2 endroits distincts
Automatique : grappes de disques (RAID1, RAID5, ): Serveur SGBD, Mail, Applicatif (DAS)
Serveur de fichiers (NAS) Infrastructure de stockage (SAN) Solution de stockage unifis
(SAN + NAS) Assiste : dans une application: SGBD maitre-esclave, scripts,

8 Scurit des donnes -> la rplication (illustration)

9 Scurit des donnes -> la rplication (illustration)

10 Scurit des donnes -> la rplication Techniques : Gographiquement distincte : baies


de stockage en miroir (utilisation de solutions cloud : Amazon S3, Microsoft Azure Storage
Services, OVH Hubic, propos par les intgrateurs) Dconnecte : backup sur bandes
magntiques ou disques durs enfichables (quid de l entrept) Combinaisons diverses

11 Scurit des donnes -> Backup Copie de sauvegarde des donnes (peut tre en ligne
ou hors-ligne). Finalits : Se prmunir des pertes de donnes involontaires En cas d incident
grave: Sauvegarder le patrimoine informationnel de l entreprise Techniques : Classique:
recopie sur un support externe (Disques Durs, supports optiques, bandes, mmoires flash)
Mthode complmentaire: clich instantan (ou snapshot)

12 Scurit des donnes -> Backup Outils et possibilits: Copie manuelle Copie assiste
(Logiciel, Scripts automatiss) Solutions cloud lgres (DropBox, OneDrive, Google )
Logiciel spcialis de sauvegarde (Backup Exec, Veeam) Logiciel embarqu dans une
solution de stockage Rdaction, mise jour et test d un DRP: Plan de reprise d activit -
Disaster Recovery Plan

13 Scurit des donnes -> Endpoint Security Logiciel conu pour protger un terminal
contre des programmes nfastes tel que les virus, chevaux de Troie... Catgories : Antivirus
intgr; Antivirus personnel (ou a usage familial); Antivirus d entreprise (gestion centralise).
Remarques : Quid des smartphones, tablettes? Logiciels souvent coupls d autres
techniques de protection.

14 Menaces courantes Spyware : Logiciel espion conu pour exploiter les donnes ou les
ressources prsentes sur son hte. SPAM : Courrier lectronique non-sollicit dont le but est
d attirer le lecteur vers un site internet (souvent commercial). Phishing : Plus dangereux que
le SPAM traditionnel, le but est de collecter des informations prives (numro de cartes de
crdits, mots de passe, etc.) Ransomware
15 Menaces courantes Keylogger (ou sniffer) : Spyware permettant de capturer les saisies
clavier. Cheval de troie : Partie de code malveillante dissimule au sein d un logiciel utile.
Rootkit : Ensemble de malware dont le but 1 er est de se dissimuler des antivirus et le 2 nd
de permettre la prise de contrle d un systme. Les systme infects sont exploits par des
rseaux de hackers pour lancer des attaques (ex: DoS). Un pc infect est souvent qualifi de
pc zombie.

16 Scurit des rseaux -> Identification & Droits d accs L'accs aux applications
informatiques se doit d tre rgul selon une politique tablie de droits d accs et d
identification. Bonnes pratiques : Prfrer une gestion centralise des comptes utilisateurs
(utilisations d annuaires) Avoir une rgle de renforcement des mots de passe
(authentification forte) Utiliser PKI une infrastructure cl publique Eviter l effet Post-IT
Fdration & Single-Sign-On (SSO)

17 Scurit des rseaux -> Identification & Droits d accs Bonnes pratiques : Grer les
policies au plus prs de l informations: par le biais d un annuaire (AD, LDAP, NIS, ) gestion
des droits d accs au niveau fichiers gestion des droits d accs au niveau du SGBD gestion
des droits d accs de la messagerie Dfinir une politique de traabilit (logs) Connecter les
applications l annuaire (via LDAP, RADIUS, )

18 Scurit des rseaux -> Firewall Le pare-feu assure un primtre de protection entre le
rseau interne l'entreprise et le monde extrieur. Caractristiques : Grandes diversits de
produits: niveaux de scurits variables Point central du trafic Traduit la politique de scurit
des accs rseaux Protge des attaquent externes (ex: D-o-S) Peut tre logiciel ou matriel
L utilisation conjointe d un pare-feu au niveau de l accs internet (souvent matriel) et d un
autre au niveau des stations de travail (souvent logiciel) est une bonne pratique

19 Scurit des rseaux -> Firewall (illustrations) FW d entreprise FW Individuel

20 Scurit des rseaux -> VLAN Permet la cration de rseaux distincts au sein d une
mme infrastructure (ex: PC, imprimantes, tlphones). Augmente la scurit au niveau de
la couche transport. Caractristiques : Sparation de diffrent type de trafics Evite l effet
bottleneck Permet de dfinir des priorits Obligatoire dans l utilisation de VoIP

21 Scurit des rseaux -> VLAN (illustrations)

22 Scurit des rseaux -> VPN Permet d tablir des connections scurises entre deux
entits (ex: le rseau interne de l entreprise et un employ en tltravail) en utilisant un
rseau publique (ex: internet). Caractristiques : Cration d un tunnel vers l entreprise
Diffrent protocoles (L2TP, SSL, IPSec, ) Points importants : L authentification et les
autorisations sont critiques! Pas tjs utile cloud (file storage, appli mtier, )

23 Scurit des rseaux -> VPN (illustrations)

24 Scurit des rseaux -> Intrusion Prvention System Systme automatis de dtection d
intrusions et/ou de comportements anormaux, complmentaire au firewall bloque les
attaques non dtectables par ce dernier. Caractristiques : Dtecte des attaques complexes
Surveille la validit des protocoles (http, pop, imap, smtp, sip, ) Ragit aux attaques (blocage
de certaines communications ou d htes distants)

25 Scurit des rseaux -> Autres notions UTM (Unified Threat Management) :
Appliance/Boitier de scurit tout en un comprenant les fonctionnalits de parefeu,
antivirus, systme de prvention d'intrusion, VPN, filtrage Web, anti-spam et d'autres
fonctionnalits: QoS, virtualisation, compression de donnes, routage, policy routing, etc.
NAC (Network Access Control) : Solution complte autorisant l accs au rseau de l
entreprise uniquement au entits pouvant montrer patte blanche. Seul un PC tant reconnu
par l entreprise et ayant son antivirus jours, les derniers patch de scurits appliqus aura
accs aux ressources de l entreprise.

26 Audit en Scurit Vue un instant T de tout ou partie d un systme d information,


permettant d en comparer l'tat vis--vis d un rfrentiel. Caractristiques : Analyse des
points forts et points faibles d un systme, Confronte aux policies connues du systme (+
documentation), Vrifie l adquation aux rgles, SLA, de l entreprise, Comporte une analyse
du risque, Doit dboucher sur des recommandations.

27 Conclusions Recommandations : La scurit informatique est l affaire de tous, Pro-


activit vs Ractivit, Rester critique Le risque 0 n existe pas, viter les comportements
risques, duquer les utilisateurs, Rester jour (logiciel & utilisateurs), Faites valider votre
infrastructure par un tiers.

28 Missions de l Agence du Nume rique 1. Veille & intelligence de rfrence dans le


domaine du numrique : baromtre / cartographie. publications cibles sur les innovations
technologiques. partenaires privilgis de l cosystme numrique. 2. Promotion de la
Wallonie numrique et des usages: vitrine/ marque mise en valeur des usages innovants
dans le domaine du numrique au sein du secteur priv (avec notamment l AEI) et du
secteur public. 3. Accompagnement du secteur et de l e cosystme nume rique wallon : mise
en rseau/soutien des acteurs/oprateurs locaux de l cosystme numrique. relais du
secteur (national et international). Comptence de rfrence pour l analyse de dossiers.

29 Plan du Numrique Objectif: Transformer la Wallonie par le numrique Mthodologie:


Assise: Groupes de travail + site participatif Synthse et laboration du plan Adoption par le
GW Structure: 5 thmes - 50 mesures Timing: Aujourd hui 1 er effet 2016

30 Plan du Numrique: Mesure 31

31 Plan du Numrique: Mesure 32

32

33 Open Data. Donnes unifies. API. Agenda partag. Back-office et dveloppements


personnaliss. Donnes Diffusion et suivi du Plan du Numrique. Lieu de convergence et de
redirection. Articles de fond. Diffusion de la veille. Catalogue et cartographie dynamiques de l
cosystme numrique (entreprises, grappes, coles, ). Agenda. Site Web Gouvernance
collaborative par et pour l cosystme du numrique (Ministre du numrique, Clusters,
AWEX, Centres de comptence, Agoria, DGO6, ). Intelligence Plateforme Structuration sur
base des 5 thmes du Plan. Veille technologique et des usages numriques. Cohrence des
initiatives. Conseil et expertise. Support (missions, forums, ). Baromtre et indicateurs du
Plan du Numrique. Marque Branding. Animation et promotion de l cosystme numrique
(rgional, national et international). Vitrine du territoire numrique et des bonnes pratiques..
Labellisation (partenaires, events, ). Ambassadeurs.

34

35 Questions?
36 Stphane Vince IT Manager Agence du Numrique Avenue Prince de Lige Jambes +32
(0)

37 Rfrences DigitalWallonia : Plan du numrique AWT : Guide scurit informatique


CCM : Scurit / Lgislation Wikipedia : Portail de la scurit informatique Portail: cert.be,