Académique Documents
Professionnel Documents
Culture Documents
CLUSIF-APSAD (France) : statistiques des erreurs sur 16 ans. Classification par le CLUSIF [http://www.clusif.fr/] basées
Pertes en Me sur les déclarations de sinistres des entreprises :
Origine 1984 1994 2000 • accidents naturels : incendie, dégâts des eaux, etc.
Facteur humain 309 280 177 • perte des services essentiels : coupure courant, réseau,
Erreurs 269 426 338 rupture de stocks
Fraude 335 998 ???
• erreurs : tous les stades de l’activité : analyse, conception,
réalisation, mise en œuvre, utilisation
80% des pertes dûes à des fraudes des employés.
IBM (web) : Cybersécurité: 5 chiffres à connaître et voir la
• malveillance : vol, vandalisme, fuite d’informations
Voir le le rapport des menaces du CLUSIF 2018
sécurité en quelques chiffres
Consiste en la réalisation et le maintien à jour : • primordiaux : processus métiers et informations, gérés par le SI
• de support :
• de l’inventaire des actifs
I actifs techniques constituant le SI (logiciels, matériels,
• de l’expression des besoins de sécurité de ces actifs moyens de communication)
• de l’analyse des risques pesant sur les actifs I actifs relatifs à l’environnement (personnes et bâtiments)
• coût d’achat
• coût de remplacement
• valeur de la propriété intellectuelle
• coût de maintenance
• coût des responsabilités si des données personnelles sont
compromises
A noter qu’il existe maintenant des assurances contre les
risques de cybersécurité
Et que fait la police ? Protéger
4 services spécialisés traitent les intrusions en France :
• brigade centrale de répression de la criminalité • Ses ressources
Coût des ressources (espace disque, imprimantes, temps
informatique à compétence nationale
CPU) qu’on ne veut pas nécessairement laisser à
• service d’enquêtes aux fraudes aux techniques de disposition d’un intrus.
l’information sur Paris et la région parisienne
On ne souhaite ni réinstaller le système de chaque hôte si
• brigades spécialisées de gendarmerie
les configurations ont été altérées ni laisser à un intrus le
• DGSI
loisir de se servir de ses propres ressources comme d’un
I saisie pour les piratages à connotation d’espionnage
tremplin pour s’introduire dans un autre système.
industriel ou scientifique
I enquêtes • Sa réputation
I de sécurité, traitement du cadre judiciaire Pourquoi ?
I enquêtes informelles à la demande et en collaboration avec
Cas où un indiscret usurpe votre identité et commet des
les victimes, en dehors du dépot de la plainte
actions illicites en votre nom (problèmes légaux . . . )
I objectif : comprendre le plus rapidement possible les
Même sans usurper votre identité, une faille dans votre site
causes et l’orientation vers un autre service compétent.
conduit à une méfiance envers votre organisme.
Voir la page actualisée
• niveau de sécurité et le niveau d’habilitation consistent en I faire installer et gérer le réseau par des personnels qualifiés
I un degré de confidentialité (non-classifié, confidentiel, I limiter les actions d’administration à du personnel qualifié
secret, secret-défense)
I un ensemble de domaines (chiffre, OTAN, nucléaire,. . . ) • email et accès Internet/Intranet/Extranet
I des relations d’ordre : I utiliser des détecteurs de virus
non-classifié < confidentiel < secret < secret-défense I utiliser des outils de confidentialité
ensemble de domaine A domine ensemble de domaine B I mettre en place un firewall
si B ⇢ A. I traiter avec précaution tout mail non sollicité
I vérifier from et to de tout email
• la personne X a le droit de lire le document D si I limiter la taille d’expédition des messages
habilitation(X ) confidentialité(D) et
ensemble de domaine(X )◆ ensemble de domaine(D)
Cette politique ne couvre pas l’intégrité de l’information.
Il faut adapter la politique de sécurité.
• droits d’accès : {propriétaire, lire, écrire, exécuter, • sur répertoires : list, search, add_file, add_subdirectory,
delete_child
fusionner}
chmod +a “alice:allow:read” ./ressource.txt et un + est
• primitives de base :
ajouté en fin de ligne lors d’un ls et détaillé par un ls -le
I accorder/refuser un droit
I créer/supprimer un sujet/objet ACL exécutées avant les permissions UNIX comme suite
ordonnée de règles
• règles de transition : si Si a le droit Dj sur Ok alors
primitivel
Services et mécanismes Service d’authentification
• chaque service traite un ensemble particulier de menaces • fonctionnalité particulière pour les réseaux.
manque un noyau global qui peut assurer l’intégrité des entités
Exemple : le service de confidentialité prémunit contre l’accès
entre des entités communicantes
non-autorisé à l’information.
dans un système centralisé, les ids de processus sont protégés
• les services de sécurité sont implémentés par les par le noyau du système
mécanismes de sécurité
certains services peuvent utiliser le même mécanisme
Exemple : chiffrement utilisé par confidentialité, intégrité et
authentification.
Définis dans la norme ISO 7498-2 comme : empèche l’utilisation non-autorisée de ressources
1 authentification d’entités • information
2 contrôle d’accès
3 confidentialité avec/sans connexion • entités (utilisateurs, terminaux, nœuds intermédiaires)
4 intégrité de connexion avec/sans récupération • liens, connexions, routes
5 non répudiation avec preuve d’origine
non répudiation avec preuve de dépot • services (réseau ou application)
Dépend fortement de la politique de sécurité.
Services de confidentialité Service de non-répudiation
empèche la divulgation non-autorisée
confirme le fait qu’un sujet a accompli une opération malgré
• de l’information
une possibilité de démenti par le sujet
• du trafic
1. non-répudiation avec preuve d’origine : fournit la preuve de
1. confidentialité orientée connexion : protection des PDU l’origine au destinataire : empèche l’expéditeur de
(Protocol Data Units ou paquets) démentir l’envoi.
2. confidentialité sans connexion : protection des SDU 2. non-répudiation avec preuve de dépot : fournit la preuve de
(Service Data Units ou messages). dépot du message à l’expéditeur : empèche le destinataire
3. confidentialité sélective : protection de champs de démentir la réception.
sélectionnés d’un PDU ou d’un SDU. Ce service est indispensable pour les paiements électroniques
4. confidentialité d’un flux de données : protéger contre le EDI et EFT.
contrôle du trafic
• Bundesamt für Sicherheit in der Informationstechnik • assurance que le système vérifie bien ses specs en
I cahier des charges pour la sécurité des coupe-feux matière de sécurité avec tests, protection des mécanismes
I centres de certification de sécurité et sauvegarde/ restauration des mécanismes
de sécurité
• En France, l’ANSSI est l’héritier du service du chiffre, créé
pendant la guerre. Il évalue les procédés de chiffrement, • documentation sur les fonctionnalités de sécurité, les tests
les produits et systèmes relevant des technologies de et la conception
l’information et les procédés de protection contre les
signaux électronique compromettants.
• l’identification des menaces propres à l’organisation et • pointe et évalue les risques encourus
l’évaluation des risques associés • mise en œuvre compatible avec culture entreprise
• la classification des informations afin de ne déployer les moyens • soutien et engagement visible de la Dir.
que sur celles qui le nécessitent
• compétence et moyens pour mettre en place une politique
• les dispositions prendre pour instaurer une "culture sécurité". de sécurité
En conjonction avec des guides techniques : • formation appropriée à tous les échelons de l’entreprise
• ISO13335 : concepts et modèles pour la gestion de la sécurité • accès pour tous aux normes et directives de sécurité