Vous êtes sur la page 1sur 24

Dr Glysch

Expert en Sécurité
Project Manager
SI Designer
PMP / ITIL / Ethical Hacker / CISSP /
ISO 27001 Certified
PLAN
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des données
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
INTRODUCTION
VI- Processus de sécurisation
VII- Conclusion

Plus de 90% des entreprises ont consacré un


budget à la sécurité informatique malgré la crise.

90%

3
I- Introduction
II- Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
INTRODUCTION
VI- Processus de sécurisation
VII- Conclusion

Et pourtant… les attaques informatiques se


multiplient.
52% des entreprises ont signalé une augmentation
du nombre d’attaques informatiques auxquelles
elles ont du faire face en 2012. 52%
source : Kaspersky Lab

• Les clients et utilisateurs ont changé de comportements.


• Les surfaces d’attaques ont augmenté (le BYOD implique de nouveau défis
dans le domaine de la sécurité)
• La sécurité est un grand enjeu pour les prochaine années.

4
I- Introduction
II- Un peu d’histoire

Un peu d’histoire
III- Enjeux de la sécurité des SI
IV- Les menaces
V- Techniques de sécurité
VI- Processus de sécurisation
VII- Conclusion

2010 :
2000 : Tout est L’architecture
programme est un
programme
1995 : Sur le
réseau
(Internet)
1990 : Tout
est
document
1980 :
Tout est
fichier

5
Enjeux de la sécurité des
DONNEES

Disponibilité
Intégrité
Sécurité
Informatique
Auditab
Confidentialité ilité

6
les menaces
explosion des menaces

92%
des entreprises du Forbes 2000 ont
été victimes d'incidents,
! Une application contient

99% 13
des applications Web failles en moyenne,
sont vulnérables,

Les applications concentrent 3.61 $


90% par ligne de code.
des vulnérabilités. Pourtant
80% des budgets sécurité sont
< /> C'est le coût de la non
qualité/sécurité dans
un développement
consacrés aux
,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructures.
Source : ponemon institut 2013

7
les menaces
Les motivations pour les attaques

Hacktivisme Gains Financiers Déstabilisation entre Obtention de


états capacité d'attaque

.Interruption du service .Vol de carte de crédit .Destruction logique .Vol de mécanisme


.Messages idéologiques .Vol de données et/ou physique d'authentification /
.Divulgation personnelles .Vol de données certificats
.Vol de données stratégiques .Vol de codes sources
d'entreprise

8
les menaces
Types de menaces

Catégories Méthodes Caractéristiques


Virus/ver Diffusion via messagerie, duplication Destruction de ressource et contamination croisée
illimitée (ver ou activation humaine
(virus)

Déni de Service Saturation d'un serveur par envoi d'un Paralysie et arrêt des serveurs
flot de messages

Cheval de Troie Programme introduit discrètement par Prise de contrôle à distance d'une machine
un logiciel, une consultation de page
(Back Door)
Attaque DNS Emploi d'une adresse DNS correcte à but Prise de contrôle d'applications
frauduleux

IP• spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau
Sans oublier le "social engineering"...dont le "phishing" est une version...peu évoluée.
privé
• Et les "botnets", ordinateurs zombies contrôlés via le réseau à des fins malveillantes

9
Techniques de sécurité

Sécurité
globale
Sécurité Serveur

active
Sécurité
passive
Sécurité
individuelle
Internaute
Sécurité du centre de calcul
Périmètre , Antivirus, Filtrage de contenu,
Droits et identités
Sécurité individuelle
Authentification, cryptage SSL,
Sécurité globale "portique" S/MIME,SET
Sécurité du poste de travail Firewall, Proxy
Antivirus,-spam, spyware,
Firewall personnel

10
Techniques de sécurité
Sécurité active

Confidentialité des données un tiers peut lire le message chiffrage des messages
pour éviter les indiscrets et
espions

Intégrité des données pour un tiers intercepte et modifie le message calcul de l'empreinte des
éviter les vandales et pirates messages signatures
électroniques)
Identité des interlocuteurs un tiers se fait passer par le client Echange des certificats entre
pour éviter les imposteurs client et serveur

Paternité des transactions un tiers se fait passer pour le serveur Mémoire historique
pour éviter la répudiation
des actes

Droits des clients pour éviter annuaire Enregistrement des droits des
les usages frauduleux utilisateurs dans un annuaire

11
Techniques de sécurité
Sécurité active

• Chiffrage / cryptage symétrique

Message Clé Message crypté

Message crypté Clé Message

12
Techniques de sécurité
Sécurité active

• Chiffrage / cryptage asymétrique

Message Clé Publique Message crypté

Message crypté Clé privée Message

13
Techniques de sécurité
Sécurité active

• Comparaison cryptage symétrique/asymétrique

Avantages Inconvénients

Symétrique • Rapide • Difficulté de distribution


• Peut être rapidement • Pas de signature
placée dans un échange électronique

Asymétrique • Deux clefs différentes • Lent, algorithme complexe


• Capacité d'intégrité et de • Nécessité de publication de
non Répudiation par la clef publique
signature électronique

14
Techniques de sécurité
Sécurité active

Secure Socket layer

• Protocole de sécurisation des échanges sur Internet


• Permet de créer un canal sécurisé entre deux machines
communiquant sur Internet ou un réseau interne
• utilisé lorsqu'un navigateur doit se connecter de manière
sécurisée à un serveur web.
• Les utilisateurs sont avertis de la présence de la sécurité SSL
grâce à l'affichage d'un cadenas et du protocole « https » dans
l'url

15
Techniques de sécurité
Sécurité active

• Secure socket layer

Requête

Client Serveur

Cryptage de la clé de session à l’aide


Génération de la
clé de session de la clé publique du serveur Clé publique du Clé privée du
serveur serveur

Envoi de la clé de session


Décryptage
cryptée au serveur

16
Techniques de sécurité
Sécurité Passive : Les pare-feu

Internet Intranet

Firewall Firewall
Contrôle
Contrôle
les accès
les accès
entrants et
entrants
sortants

Serveur
Serveur Serveur Serveur HTTP
Proxy Mail HTTP +
SGBD
DMZ
Zone démilitarisée
Externe Interne

17
Techniques de sécurité
Sécurité Passive : VPN

• Principe de fonctionnement d’un réseau privé virtuel

18
Techniques de sécurité
Techniques et technologies de sécurisation

• Schéma récapitulatif

Méthodologie de Contrôle régulier des


développement applications
sécurisé
Formation de Vérification des
développeurs Analyseur traces applicatives
Firewall NG
IPS comportemental
Virtual
d'application Fuzzer Contrôle
Modélisation des Mitigation patching
Scanner de qualité
attaques (threat d'attaques
WAF vulnérabilités
modeling) DOS SIEM Analyseur
API Scanner dynamique de
Sandboxing Test
Design Security passif code
d'intrusion
Framework de
Pattern Analyseur statique
sécurité
(conception de
de code Revue de
framework de Bugtracker Scanner automatisé de code
sécurité) vulnérabilités
TECHNIQUES TECHNOLOGIES

19
Processus de sécurisation

• Architecture globale de sécurité

20
Processus de sécurisation

 Identifier les risques et  Mise en place


élaborer les objectifs à des mesures de
atteindre en termes de sécurité
sécurité

Plan Do
Act

Check
 Analyser et améliorer la  Surveiller et
sécurité vérifier
l'efficacité de la
sécurité en place

21
Conclusion

• Aider les collaborateurs d’une entreprise à comprendre :


 La valeur des actifs tangibles et intangibles, en particulier de
l’information, qu’ils manipulent dans l’exercice quotidien de leur
quotidien
 Les risques auxquels ils sont exposés et auxquels ils exposent les
autres
 Les mesures appliquées par l’entreprise et celles qu’on leur demande
d’appliquer pour réduire ces risques
 Les comportements déconseillés ou interdits

22
Merci pour votre attention
Protégez vos données
Techniques de sécurité
Les 4 grands piliers de la sécurité

24

Vous aimerez peut-être aussi