Vous êtes sur la page 1sur 36

Gnralits e e e La scurit en entreprise e e Rfrences ee

Scurit informatique: introduction e e


License Pro
Renaud Tabary: tabary@enseirb.fr

2008-2009

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Plan

1 Gnralits e e e

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart


2 La scurit en entreprise e e 3 Rfrences ee

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Dnition de la scurit informatique e e e

Denition Information security is the protection of information [Assets] from a wide range of threats in order to ensure business continuity, minimize business risks and maximize return on investment and business opportunities.

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Scurit informatique e e

Les syst`mes informatiques sont au coeur des syst`mes e e dinformation Ils sont devenus la cible de ceux qui convoitent linformation Assurer la scurit de linformation implique dassurer la e e scurit des syst`mes informatiques e e e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

La scurit des syst`mes dinformations e e e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Qui sont les pirates ?

Peut tre nimporte qui avec lvolution et la vulgarisation des e e connaissances Beaucoup doutils sont disponibles sur Internet Trois gnrations : e e
80s-90s : techniciens clairs e e 1990-2000 : script kiddies 2000-aujourdhui : linscurit devient facilement rentable e e
Pub, SPAM e-commerce Espionnage industriel

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Quels sont leurs objectifs

Objectifs des attaques : Prouver ses comptences techniques e Reprsailles e Dsinformer (ex : Amazon) e Empcher lacc`s ` une ressource (Bombes logiques, DOS) e e a Prendre le contrle dune ressource (BotNets) o Rcuprer de linformation sur un syst`me (Espionnage e e e industriel) Gnrer des revenus : (Vol, Extorsion, Publicit) e e e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Les risques pour lentreprise


Les risques encourus par lentreprise : Les risque stratgiques e
Destruction/altration de donnes e e
Exemple : Boeing (57000$ apr`s une intrusion) e

Vol de donnes stratgiques e e


Exemple : Gartner William Malik (900 M$)

Les autres risques


Le commerce electronique
Exemple : Kevin Mitnick et Netcom

Piratage de site web


Image de marque, militantisme

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

La scurit, un march porteur e e e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Plan

1 Gnralits e e e

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart


2 La scurit en entreprise e e 3 Rfrences ee

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Objectifs

Les trois princpaux objectifs de la scurit infromatique : e e

Condentialit e Intgrit e e Disponibilit e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Condentialit e
Denition Proprit dune donne dont la diusion doit tre limite aux ee e e e seules personnes autorises e Menaces : Ecoute du rseau e
Interne Externe

Contre-mesures : Cryptographie (chirement)


Des donnes e Des communications

Vol de chiers
Donnes e Mots de passe

Contrle dacc`s o e
Logique (mot de passe) Physique (biomtrie) e

Espionnage Ingnierie sociale e


License Pro

Classication des actifs Formation du personnel


Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Intgrit e e
Denition Proprit dune donne dont la valeur est conforme ` celle dnie ee e a e par son propritaire e Contre-mesures : Cryptographie
Signature, authentication

Menaces : Attaques malicieuses


Vers, virus Bombes logiques

Syst`mes de dtection e e
Antivirus, syst`mes de e dtection dintrusion e (IDS)

Dsinformation e Erreurs humaines

Politique de sauvegarde
License Pro Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Disponibilit e
Denition Proprit dun S.I capable dassurer ses fonctions sans interruption, ee dlai ou dgradation, au moment mme o` la sollicitation en est e e e u faite Menaces : Attaques malicieuses
Denis de services SPAM

Contre-mesures : Pare-feu Syst`mes de dtection e e dintrusions Clustering Formation des administrateurs


Introduction ` la scurit informatique a e e

Attaques accidentelles
Le Slashdot eect

Pannes
License Pro

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Les actifs de lentreprise


Que protger ? e Denition Les actifs informationnels reprsentent lensemble des donnes et e e des syst`mes de linformation ncessaires au bon droulement e e e dune entreprise

Base de donnes clients e


Vente et Marketing

Codes sources
Equipe de developpement

Base de donnes des e employs e


Ressources humaines

Base de donnes usagers e


Equipe syst`me e

Portail web
Vente
License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Objectifs (reformuls) : e La scurit de linformation consiste ` protger les actifs e e a e informationnels an dassurer lintgralit de leurs proprits e e ee Les actifs et leurs proprits sont dnis par les objectifs ee e daaire

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Plan

1 Gnralits e e e

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart


2 La scurit en entreprise e e 3 Rfrences ee

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Un constat amer

Evolution des risques : En 2005, sur 218 entreprises europennes, plus de 50% ont e subit des pertes nanci`res lies ` des attaques informatiques e e a
Croissance de lInternet Ouverture des rseaux de communication e Succ`s des technologies nomades (tlphones, pda) e ee Augmentation du nombre dattaques Technologies plus complexes et moins maitrises e Changement de prol des pirates

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Type des attaques


Types dattaques rpertories en 2006 : e e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Dlais des attaques e


Evolution des dlais entre dcouverte dune vulnrabilit et e e e e exploitation :

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Dnition et enjeux e Les objectifs de la scurit informatique e e Etat de lart

Les cots de linscurit u e e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Plan

1 Gnralits e e e 2 La scurit en entreprise e e

Politique de scurit e e Le rle de linformaticien o Conclusion


3 Rfrences ee

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Dnition e

Denition Les politiques de scurit sont des noncs gnraux dictes par les e e e e e e e cadres suprieurs dcrivant le rle de la scurit au sein de e e o e e lentreprise an dassurer les objectifs daaire.

Pour mettre en oeuvre ces politiques, une organisation doit tre mise en place. e Dnition des rles, des responsabilits et des imputabilits e o e e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Politique de scurit e e
Compromis scurit - fonctionnalit : e e e Dnir les besoins. e
Dterminer les actifs ` protger et leurs propritaires e a e e
Quelles sont leurs valeurs ? Quelles sont leurs criticits ? e Quelles sont leurs proprits ? ee

Dterminer les menaces reprsentant des risques e e


Quels sont les acteurs ? attaqueurs ? Quels sont leurs moyens ?

Dterminer les objectifs ` atteindre e a


Quelles sont les proprits des actifs ` protger ? ee a e

Proposer une solution.


Dterminer les contre-mesures ` mettre en place e a

Evaluer les risques rsiduels. e


Dterminer quelles sont les vulnrabilits toujours prsentes e e e e Dterminer leurs impacts sur les objectifs initiaux e
License Pro Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Politique de scurit (2) e e

Cration dune politique de scurit : e e e Mise en oeuvre Audit Tests dintrusion Dtection dincidents e Ractions e Restauration

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Politique de scurit (3) e e

Quelques mthodes : e EBIOS (Expressions des Besoins et Identication des Objectifs de Scurit) http ://www.ssi.gouv.fr/fr/conance/ebios.html e e MEHARI (MEthode Harmonise dAnalyse de Risques) e http ://www.clusif.asso.fr/fr/production/mehari Crit`res Communs (http ://www.commoncriteriaportal.org) e

La norme ISO 17799 Prsentation : e http ://www.clusif.asso.fr/fr/production/ouvrages/pdf/PresentationISO17799-2005.pdf

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Exemple ISO 17799

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Plan

1 Gnralits e e e 2 La scurit en entreprise e e

Politique de scurit e e Le rle de linformaticien o Conclusion


3 Rfrences ee

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Logiciel de scurit par excellence ? e e

Pare-feu ? Antivirus ? Syst`me de dtection dintrusions ? e e ... ? PowerPoint ! ! !

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Le probl`me e

Lindustrie de la scurit e e En 2003, le march de la scurit rseau tait valu ` 45 e e e e e e ea milliards USD Constat
Lapproche traditionnelle de scuriser le prim`tre du rseau ne e e e e semble pas adquate puisque nous avons toujours les mmes e e probl`mes e

Raisons :
Le manque dinformation des utilisateurs La qualit des logiciels e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Le rle du dveloppeur o e
La scurit des logiciels est donc critique ! e e
50 % des vulnrabilits proviennent des erreurs de conception e e 50 % des vulnrabilits proviennent des erreurs e e dimplmentation e
Dpassement de mmoire et dentier e e Concurrence critique

Microsofts Trustworthy Computing Initiative


Mmo de Bill Gates en janvier 2002 prsente la nouvelle e e approche de Microsoft de dvelopper des logiciels scuriss e e e Microsoft aurait dpens plus de 300 millions USD e e

Workshop on Rapide Malware 2006


Un panel reconnaissait limpact de cette initiative sur la prvalence des vers et des virus e

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Solution

Plusieurs solutions : Dveloppement able (cycle en V , en W , etc.) e Politique qualit au sein de lentreprise (ISO, CMMI) e Informer !

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Plan

1 Gnralits e e e 2 La scurit en entreprise e e

Politique de scurit e e Le rle de linformaticien o Conclusion


3 Rfrences ee

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Politique de scurit e e Le rle de linformaticien o Conclusion

Conclusion
La scurit informatique ne doit plus tre ignore ! e e e e Connaissez-vous vous-mme e
Dterminer les actifs qui doivent tre protgs et leurs e e e e proprits ee Dterminer les objectifs ` atteindre e a

Connaissez vos ennemis


Dterminer les menaces contre lesquelles ils doivent tre e e protgs e e

Ragissez ! e
Politique de scurit e e Principes, guides et r`gles connues e Informer

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Quelque liens

Plan

1 Gnralits e e e 2 La scurit en entreprise e e 3 Rfrences ee

Quelque liens

License Pro

Introduction ` la scurit informatique a e e

Gnralits e e e La scurit en entreprise e e Rfrences ee

Quelque liens

Liens utiles

http ://www.miscmag.com (FR) http ://sid.rstack.org/blog (FR) http ://www.securityfocus.com http ://www.sans.org http ://www.hoobie.net http ://packetstorm.security.org http ://www.rootshell.com et beaucoup dautres ...

License Pro

Introduction ` la scurit informatique a e e