Académique Documents
Professionnel Documents
Culture Documents
Odile PAPINI
ESIL
Université de la méditerranée
Odile.Papini@esil.univ-mrs.fr
http://odile.papini.perso.esil.univmed.fr/sources/SSI.html
Plan du cours 2
1 Introduction
4 Législation
Intoduction
Comment protéger
Liste des contre-mesures
l’entreprise ?
Les menaces :
accidents
erreurs
malveillance
Accidents
Erreurs
Malveillances
Malveillances (suite)
fraude, sabotage
détournement à son avantage (versement, chantage, extorsion,
···)
sabotage immatériel (destruction dans le seul but de nuire)
dénis de service
indiscrétion ou écoute de ligne
détournement
copie de message
espionnage
actions indésirables
spams ou inondation
stockage ”pirate”
Odile PAPINI Sécurité des Systèmes d’Information
Introduction
Panorama des menaces
Panorama des attaques
Législation
Malveillances (suite)
Malveillances (suite)
éléments de réponses :
identification(identifiant ↔ entité)
autentification(garantir l’identifiant)
chiffrement
le scellement informatique
accusé de réception
tunnel de données
···
Odile PAPINI Sécurité des Systèmes d’Information
Introduction
Panorama des menaces
Panorama des attaques
Législation
véracité de l’information
d’où vient l’information ?
qui l’a fournie ?
après ”vu à la télé”, ”vu sur internet” ?
Quelles conséquences ?
accidents 24% :
en baisse (effets matériels palpables)
erreurs 14% :
en forte baisse (amélioration de la qualité des logiciels)
malveillance 62% :
en forte hausse (en progression constante)
attaques virales
attaques techniques
attaques classiques
à priori malveillante
d’aucune utilité autre que pour son concepteur
s’exécute à l’insu de l’utilisateur
Tchernobyl ou CIH
Yamanner
Cabir
...
attaque du réseau IP
cybersurveillance
Réseau d’écoute Echelon (USA +UK)
technologies interceptées
1956 : signaux radio HF
1965 cables sous-marins
1968 micro-ondes
1970 satellites
1980 réseaux digitaux
1990 fibres optiques
2000 internet / portables
cybersurveillance
Réseau d’écoute Echelon (USA +UK)
cybersurveillance
Réseau d’écoute Echelon (USA +UK)
cybersurveillance
Autres réseaux d’écoute
cybersurveillance
Frenchelon & ESSAIM
crée en 2003
surveillance radar, radio
orbite 680 km d’altitude
4 microsatellites sur des orbites perpendiculaires
station de contrôle à Toulouse
attaques classiques
vol
détournement
destruction
sabotage
chantage
panorama 2006
les mules
vols d’identité
SPIT nouvelles opportunités de ”spamming”
manipulation du cours de la bourse
vulnérabilités et attaques ”0-Day”
écoutes et enquêtes à haut risque
panorama 2007
mondes virtuels
attaques en réputation
piratage pour focaliser l’attention
espionnage industriel
réseaux sociaux : nouvelles opportunités de malveillance
panorama 2007
sophistication des attaques
enjeux malveillants sur le e-commerce
fraude aux cartes bancaires via internet
escroqueries via les sites d’enchères
faits marquants
“cyber-guerre” en Estonie
“cyber-attaques” chinoises
hammeçonnage
panorama 2007
attaques en deni de service (DoS ou DDoS)
CastleCops
organismes de lutte anti-spam et anti-phishing
attaques en réputation
CastleCops : donations frauduleuses
possibilités d’attaques
accès frauduleux : Facebook 2007
impostures : Myspace 2007
infections : Myspace 2007
Législation
Législation
Législation
Législation
Code pénal
article 323.1
accéder frauduleusement à un système de traitement automatisé de
l’information
article 323.2
entraver ou fausser un système de traitement automatisé de
l’information
article 323.3
introduire frauduleusement des données dans un système de
traitement automatisé de l’information
Législation
Quelques sites
http ://www.journal-officiel.gouv.fr
http ://www.legifrance.gouv.fr
http ://www.jurifrance.gouv.fr
http ://www.justice.gouv.fr
Législation
Législation
ses missions :
recenser les fichiers en enregistrant les demandes d’avis et les
déclarations, en tenant à jour et en mettant à disposition du public le
”fichier des fichiers”
contrôler en procédant à des vérifications sur place
règlementer en établissant des normes simplifiées pour les traitements les
plus courants et les moins dangereux
garantir le droit d’accès en exerçant le droit d’accès indirect, en
particulier au fichier des Renseignements Généraux
instruire les plaintes
informer les personnes de leurs droits et obligations, conseiller, proposer
des mesures
Odile PAPINI Sécurité des Systèmes d’Information
Introduction
Panorama des menaces
Panorama des attaques
Législation
Législation
Législation
Législation
ses missions :
évaluer les procédés de chiffrement, les produits et systèmes
agréer les équipements, produits, · · · utilisés pour le traitement des
données classées défense
procéder à l’agrément des CESTI
certifier les produits évalués par les CESTI
instruire les demandes autour de la cryptologie
élaborer et distribuer les clés de chiffrement pour le secteur public ou
privé
participer aux actions de normalisation
Législation
Législation
Législation
Législation
missions :
réagir efficacement et au plus vite sur les problèmes de sécurité
compétence techniques pointues
points de contact en cas de problème
relations avec les autres organismes
volonté de prévention
Législation
3 CERT en France
CERT Renater (enseignement, recherche)
http ://www.renater.fr/Securite/CERT Renater.htm
CERT A (administration)
http ://www.ssi.gouv.fr/rubriq/certa.htm
CERT IST (Industrie, Services, Tertiaire)
http ://www.ssi.gouv.fr/rubriq/certa.htm
coordination europénne
TF-CSIRT
organisation mondiale des CERT : FIRST
FIRST : Forum of Incident Response and Security Team
http ://www.first.org/
les 3 CERT français sont intégrés dans le FIRST
Odile PAPINI Sécurité des Systèmes d’Information
Introduction
Panorama des menaces
Panorama des attaques
Législation
logicielles :
politique de sécurité
contrôle d’accès
anti-virus
anti-spyware
systèmes de détection d’intrusion
utilisation de la biométrie
Odile PAPINI Sécurité des Systèmes d’Information