1.introduction Securite Info

Audit des Systèmes d’Information
Dr Chérif DIALLO
PhD, CISSP
Université Cheikh Anta Diop de Dakar (UCAD)

Faculté des Sciences
Département Mathématiques-Informatique
Master 2 RST – Réseaux et Services de Télécommunications
18/02/2013 Dr Chérif DIALLO, UCAD, FST, 1

Master 2 - RST, Cours Audit SI
1ère partie
Introduction à la sécurité

Sommaire
1. Sécurité des 7. Moyens de protection
Systèmes 8. Politique de sécurité
d’Information 9. Exemple de menaces :
2. Critères de sécurité Les Virus informatiques
10. Moyens de Protection
3. Menaces des flux : Firewalls,
4. Menaces : Attaques IDS/IPS
11. Etude d’un cas de
5. Menaces : Fraudes protection de flux
6. Risques

Art.323-2. DU CODE PENAL Français
Le fait d'entraver ou de fausser le fonctionnement d'un
système de traitement automatisé de données est puni de
cinq ans d'emprisonnement et de 75000 € d'amende.

Art. 226-16. DU CODE PENAL Français
Le fait, y compris par négligence, de procéder ou de faire procéder à des
traitements de données à caractère personnel sans qu'aient été respectées
les formalités préalables à leur mise en œuvre prévues par la loi est puni de
cinq ans d'emprisonnement et de 300 000 € d'amende.

Constat : évolution du hacking

Les hackers
Black Hat
nommé aussi crackers et ayant un but destructif et malveillant,
White Hat
utilise le hacking comme métier pour des objectifs de défense,
Gray Hat
travaille pour des objectifs défensifs et offensifs,
Suicide Hack
attaque des infrastructures critiques sans se soucier des peines
Hacktivist
utiliser le hacking pour des agendas politiques.

Sécurité des SI

Sécurité : définition selon larousse
Sécurité, nom féminin, provenant du latin securitas :
Situation dans laquelle quelqu'un, quelque chose n'est exposé à aucun
danger, à aucun risque, en particulier d'agression physique,
d'accidents, de vol, de détérioration : « Cette installation présente une
sécurité totale ».
Situation de quelqu'un qui se sent à l'abri du danger, qui est rassuré.
Absence ou limitation des risques dans un domaine précis : « Ils
recherchaient la sécurité matérielle ».
Armement : Dispositif du mécanisme d'une arme à feu, interdisant tout
départ intempestif du coup.
Matériaux
Propriété qu'a une structure de résister aux sollicitations auxquelles le
concepteur a prévu qu'elle pourra être soumise.

Sécurité : définition selon Larousse
Sécurité (nf) : Situation Sécurité (nf) : Situation de

dans laquelle quelqu'un, quelqu'un qui se sent à l'abri du
quelque chose n'est exposé danger...
à aucun danger... Synonymes Contraires
Synonymes Contraires Ataraxie Angoisse
Paix Danger Calme Anxiété
Sûreté Insécurité Confiance Appréhension
Tranquillité Précarité Quiétude Crainte
Sérénité Défiance
Inquiétude
Système d’Information (SI)
Un système d'information (SI) est un ensemble organisé de
ressources (matériels, logiciels, personnel, données et
procédures) qui permet de regrouper, de classifier, de traiter et
de diffuser de l'information sur un phénomène donné (source
Wiki).
Le système d'information est le véhicule de la
communication dans l'organisation. Sa structure est constituée
de l'ensemble des ressources (les hommes, le matériel, les
logiciels) organisées pour : collecter, stocker, traiter et
communiquer les informations.
Le système d'information coordonne ainsi grâce à
l'information les activités de l'organisation et lui permet ainsi
d'atteindre ses objectifs (source Wiki).
Sécurité des systèmes d’information
La sécurité des systèmes d’information (SSI) est

l’ensemble des moyens techniques, organisationnels,
juridiques et humains nécessaire et mis en place pour
conserver, rétablir, et garantir la sécurité de l’ensemble des
ressources (matériels, logiciels, personnel, données et
procédures) de l’organisme.
La problématique SSI s'est amplifiée par l'importance

grandissante des communications et des micro-ordinateurs
qui affectent à la hausse le nombre de points d'accès aux
ressources informatiques.
Critères de sécurité
La sécurité SI peut s'évaluer suivant plusieurs critères :
Disponibilité : garantie que les ressources considérées sont accessibles au moment
voulu par les personnes autorisées.
Intégrité : garantie que les éléments considérés sont exacts et complets.
Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments
considérés.
D'autres aspects peuvent éventuellement être considérés comme des critères (bien qu'il
s'agisse en fait de fonctions de sécurité), tels que :
 Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments
considérés sont tracés et que ces traces sont conservées et exploitables.
 La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;
 L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux
ressources.
Une fois les éléments sensibles déterminés, les risques sur chacun de ces
éléments peuvent être estimés en fonction des menaces qui pèsent sur les
éléments à protéger. Il faut pour cela estimer :
la gravité des impacts au cas où les risques se réaliseraient,
la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité
d'occurrence)

Menaces
Les principales menaces effectives auxquelles un système d’information
peut être confronté sont :
Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité
d'un système d'information est l'utilisateur, généralement insouciant ;
Une personne malveillante : une personne parvient à s'introduire sur le
système, légitimement ou non, et à accéder ensuite à des données ou à des
programmes auxquels elle n'est pas censée avoir accès en utilisant par
exemple des failles connues et non corrigées dans les logiciels ;
Un programme malveillant : un logiciel destiné à nuire ou à abuser des
ressources du système est installé (par mégarde ou par malveillance) sur le
système, ouvrant la porte à des intrusions ou modifiant les données ; des
données personnelles peuvent être collectées à l'insu de l'utilisateur et être
réutilisées à des fins malveillantes ou commerciales ;
Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou
une malveillance entraînant une perte de matériel et/ou de données.
Menaces : Les attaques informatiques
Téléphonie (phreaking…)
Informatique (virus, cracking, hacking, wardriving…)
Virus
Social Engineering
Collecte d’informations (Veille Stratégique…)
Man in the Middle
Attaque par détournement
Déni de services
Spoofing
Arp-poisoning
Rejouer
Menaces : La fraude informatique
Fraude financière
Vol de services
Piratage de logiciels
Vol ou modification de données
Virus
Accès malveillant
Infractions aux lois
Gestion des Risques
Une menace est + ou – grave en fonction des risques encourus
Classification des risques
Stratégiques
Critiques
Internes
Publiques
Une fois les risques identifiés, il faut définir les actions visant à gérer le
risque afin de réduire les éventuelles conséquences :
Contenir le risque : réduire ou éliminer le risque par des actions correctives
Transférer le risque : transférer la responsabilité à un tiers (assurance)
Accepter le risque

Menaces, Risques, Moyens de protection
Menace Risque Moyens de protection

Virus Perte de données Antivirus,
Perte de performance Firewalls,
Indisponibilité du système IDS/IPS
Spam Perte de performance Antispam,
Propagation de codes Firewalls,
malveillants IDS/IPS
Flux suspects Perte de confidentialité Firewalls,
Intrusion Problème d’intégrité IDS/IPS
Sécurité surf web Perte de confidentialité Proxy
Problème d’intégrité Filtrage de contenu
Indisponibilité bande Pare-feu applicatif
passante

Menaces, Risques, Moyens de protection
Menace Risque Moyens de protection

Confidentialité Perte de confidentialité Moyens cryptographiques
Intégrité Problème d’intégrité Réseaux VPN
Pertes financières
Image de marque
Procédures judiciaires
Disponibilité Pertes financières Redondance
Image de marque Sauvegarde
Procédures judiciaires Sécurité physique
PRA / PCA
Perte de performance Baisse de la clientèle Répartition de charge,
Baisse de la productivité Dimensionnement
Pertes financières
Image de marque
Politique de sécurité
La mise en œuvre des moyens de protection exige la définition préalable
d’une politique de sécurité élaborée au niveau de la direction générale et
qui concerne tous les acteurs de l’entreprise.
Il est nécessaire de définir dans un premier temps une politique de
sécurité, dont la mise en œuvre se fait selon les quatre étapes suivantes :
Identifier les besoins en terme de sécurité, les risques informatiques pesant
sur l'entreprise et leurs éventuelles conséquences ;
Elaborer des règles et des procédures à mettre en œuvre dans les différents
services de l'organisation pour les risques identifiés ;
Surveiller et détecter les vulnérabilités du système d'information et se tenir
informé des failles sur les applications et matériels utilisés ;
Définir les actions à entreprendre et les personnes à contacter en cas de
détection d'une menace ;
La politique de sécurité est donc l'ensemble des orientations suivies par
une organisation (à prendre au sens large) en terme de sécurité.

Un Exemple de menace :
Les Virus Informatiques

Menace : Les virus informatiques
Définition
Ce sont des programmes malveillants qui, à l’insu de l’utilisateur,
sont destinés à perturber, à modifier ou à détruire tout ou partie des
éléments indispensables au fonctionnement normal de l’ordinateur et
des systèmes informatiques.
Comme les virus biologiques, ils se reproduisent et s'étendent
Cycles :
Recherche, contamination, exécution, activation
Types :
Parasites (fichier résident ou à action directe),
boot (système),
multimode (fichier et système), macrovirus, polymorphe, furtif,
compagnon, code source, HTML,
cheval de Troie, worms, bombe logique, défensif, mailers (Spice
Pototoe and Meat), apparentés (hoaxe, cookie)…
Risques : conséquences des Virus
Problèmes engendrés par les virus :
Baisse de productivité
Messages dérangeants à l'écran ou arrêt du
système
Fichiers corrompus
Données perdues
Fiabilité réduite des applications
Pannes de système
Diminution de la confiance des utilisateurs
Les virus : précautions protectrices
Soumettre logiciels du domaine publique à détection de virus
Préserver copies originales des logiciels du contact avec
virus
Faire des copies de sauvegarde fréquentes des fichiers
importants
Pas d'échange de médias amovibles contenant des fichiers
exécutables
Protéger les médias amovibles contre l'écriture
Ne pas faire démarrer l'ordinateur avec autre chose que les
médias originaux protégés
Inclure protection contre virus dans les mesures de sécurité
Protection contre Les virus: antivirus
Principale cause de désagrément en entreprise, les virus
peuvent être combattus à plusieurs niveaux.
La plupart des antivirus sont basés sur l’analyse de signature

des fichiers, la base des signatures doit donc être très
régulièrement mise à jour sur le site de l’éditeur (des
procédures automatiques sont généralement possibles).
Deux modes de protection :

Généralisation de l’antivirus sur toutes les machines, il faut absolument
prévoir une mise à jour automatique de tous les postes via le réseau.
Mise en place d’un antivirus sur les points d’entrée/sortie de données

du réseau après avoir parfaitement identifiés tous ces points.

Les virus : sensibilisation des usagers
Rappelez-vous que les problèmes informatiques ne sont pas
nécessairement dus à des virus, ils sont souvent le fruit
d'erreurs humaines
Faites comprendre aux gestionnaires et aux usagers
l'importance de détecter et de se protéger des virus
Sensibiliser les utilisateurs à adopter de meilleures attitudes :
Ne pas ouvrir un mail contenant une pièce jointe d’origine suspecte ou
inconnue
Éviter de prêter ses médias amovibles non protégés en écriture
N’utiliser que des PC avec logiciels anti-virus à jour
Vérifier que les mises à jour du logiciel d’antivirus s’effectuent
régulièrement et conformément à la procédure planifiée

Exemples de Moyens de
Protection des flux :
Les firewalls, IDS, IPS

Les Firewalls, IDS et IPS
Firewall, Pare-feu ou garde barrière : C'est une machine dédiée au
routage entre LAN et Internet. Consulter la RFC2196. Le trafic est analysé
au niveau des datagrammes IP (adresse, utilisateur, contenu...). Un
datagramme non autorisé sera simplement détruit, IP sachant gérer la
perte d'information. Une translation d’adresse pourra éventuellement être
effectuée pour plus de sécurité (protocole NAT Network Address
Translation RFC 1631+2663).
Attention : un firewall est inefficace contre les attaques ou les bévues
situées du coté intérieur et qui représentent 70% des problèmes de
sécurité !
IDS/IPS : Même si l’intrus parvient à franchir les barrières de protection
(coupe-feu, système d'authentification, etc.), il est encore possible de
l’arrêter avant qu'il n’attaque. Placés sur le réseau de l’entreprise, les outils
de détection (IDS) et de prévention (IPS) d'intrusion décèlent tout
comportement anormal ou trafic suspect.
Architecture : Positions d’un IDS, IPS
Position ( 1 ):
Détection de toutes les attaques
Problèmes : Logs trop complets, analyse
trop complexe
Bon pour un Honeypot (pot de miel)
Position ( 2 ):
En amont de la DMZ
Détecte les attaques non filtrées par le
Firewall
Ne détecte pas les tentatives échouant
sur le firewall
. Position ( 3 ):
Devant le LAN Interne
Comme (2) + Attaques depuis le réseau
interne
Judicieux car la plupart des attaques sont
de l’intérieur
Trojans
Virus
Etc.

Etude d’un cas de protection
de flux

Architecture d’un Bastion Internet

Politique de sécurité relative aux flux du
bastion
Les internautes accèdent au reverse proxy sur le port tcp/80, et au SMTP
sur le port tcp/25
Le reverse proxy accède au Serveur Web sur le port tcp/8080
Le LAN d’entreprise accède au proxy interne sur le port tcp/3128
Le LAN d’entreprise accède directement au serveur web sur le port
tcp/8080
Le proxy interne accède au proxy externe sur le port 3129
Le proxy externe accède au web mondial en http (80) et ftp (21, 20)
Le subnet2 administre l’ensemble des éléments du bastion en ssh
(tcp/22), https (tcp/4343) et ftp
Le Subnet1 n’a pas le droit d’administrer les éléments du bastion
Règles à implémenter sur les firewalls
Implémenter sur les firewalls FW1 et FW2, les règles de la politique de
sécurité relative aux flux traversant le bastion internet :
Source Destination Protocole Port Action Trace
FW1
FW2

Pour me joindre par mail : cdiallo@yahoo.fr
Merci de votre attention




1.introduction Securite Info

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

1.introduction Securite Info

Transféré par

Droits d'auteur :

Formats disponibles

Audit des Systèmes d’Information

Université Cheikh Anta Diop de Dakar (UCAD)

Master 2 RST – Réseaux et Services de Télécommunications

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 1

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 2

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 3

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 4

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 5

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 6

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 7

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 8

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 9

Sécurité (nf) : Situation Sécurité (nf) : Situation de

La sécurité des systèmes d’information (SSI) est

La problématique SSI s'est amplifiée par l'importance

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 13

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 17

Menace Risque Moyens de protection

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 18

Menace Risque Moyens de protection

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 20

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 21

La plupart des antivirus sont basés sur l’analyse de signature

Deux modes de protection :

Mise en place d’un antivirus sur les points d’entrée/sortie de données

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 25

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 26

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 27

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 29

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 30

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 31

Source Destination Protocole Port Action Trace

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 33

Merci de votre attention

18/02/2013 Dr Chérif DIALLO, UCAD, FST, 34

Vous aimerez peut-être aussi