Académique Documents
Professionnel Documents
Culture Documents
d’information
90%
Source : cabinet pierre Audoin consultants 2012
3
Et pourtant… les attaques informatiques se multiplient.
52%
source : Kaspersky Lab
4
II.Un peu d’histoire
2010 :
L’architectur
2000 : Tout est
e est un
programme
programme
6
III.Enjeux de la sécurité de SI
Disponibilité Intégrité
Sécurité
Informatique
Confidentialité
Auditabilité
6
IV. Les menaces
92%
des entreprises du Forbes 2000 ont été
victimes d'incidents,
! Une application contient
99% 13
des applications Web sont failles en moyenne,
vulnérables,
12
les menaces
Types de menaces
Déni de Service Saturation d'un serveur par envoi d'un Paralysie et arrêt des serveurs
flot de messages
Cheval de Troie Programme introduit discrètement par Prise de contrôle à distance d'une machine
un logiciel, une consultation de page
(Back Door)
Attaque DNS Emploi d'une adresse DNS correcte à but Prise de contrôle d'applications
frauduleux
13
V.Techniques de sécurité
Techniques de sécurité
active
Sécurité
passive
Sécurité
individuelle
Internaute
Sécurité du centre de calcul
Périmètre , Antivirus, Filtrage de contenu,
Droits et identités
Sécurité individuelle
Authentification, cryptage SSL,
Sécurité globale "portique" S/MIME,SET
Sécurité du poste de travail Firewall, Proxy
Antivirus,-spam, spyware,
Firewall personnel
15
Techniques de sécurite
Sécurité active
Confidentialité des données
pour éviter les indiscrets et un tiers peut lire le message chiffrage des messages
espions
Droits des clients pour éviter les Enregistrement des droits des
annuaire
usages frauduleux utilisateurs dans un annuaire
16
Techniques de sécurité
Sécurité active
• Chiffrage / cryptage symétrique
17
Techniques de
sécurité
Sécurité active
• Comparaison cryptage symétrique/asymétrique
Avantages Inconvénients
18
Techniques de sécurité
Sécurité active
19
Techniques de sécurité
Sécurité active
Requête
Client Serveur
20
Techniques de sécurité
Sécurité Passive : Les pare-feu
Internet Intranet
Firewall Firewall
Contrôle Contrôleles
acc entrant
ès
entrants
sortants
les accès
Serveur
Serveur Serveur Serveur HTTP
Proxy Mail HTTP +
SGBD
DMZ
Zone démilitarisée
Externe Interne
21
Techniques de sécurité
Sécurité Passive : VPN
22
Techniques de sécurité
Techniques et technologies de sécurisation
• Schéma récapitulatif
Méthodologie de
développement Contrôle régulier
sécurisé des applications
Formation de
développeurs Vérification des
traces applicatives
IPS
Modélisation des Analyseur Contrôle
Mitigation
attaques (threat comportemental qualité
d'attaques DOS d'application
modeling)
Test
Design Security d'intrusion
Pattern Framework de
(conception de sécurité Scanner automatisé de
vulnérabilités Revue de
framework de
code
sécurité)
TECHNIQUES TECHNOLOGIES
23
VI. Processus de sécurisation
Processus de sécurisation
25
Processus de sécurisation
Plan Do
Act Check
• Surveiller et vérifier
• Analyser et l'efficacité de la
améliorer la sécurité en place
sécurité
26
VII.Conclusion
Conclusion
La valeur des actifs tangibles et intangibles, en
particulier de
l’information, qu’ils manipulent dans l’exercice
quotidien de leur quotidien
Les risques auxquels ils sont exposés et
auxquels ils exposent les
autres
Les mesures appliquées par l’entreprise et celles
qu’on leur demande d’appliquer pour réduire ces
risques
Les comportements déconseillés ou interdits
28
Merci