Vous êtes sur la page 1sur 24

Sécurité

Implications techniques,
structurelles, humaines.

Khaled Sammoud
Programme

Quelques éléments de politique générale


(plus un aperçu sur les aspects juridiques)

• Un peu de technique/administration
- règles minimales d’administration des systèmes
- protection du réseau
+ filtres
+ solutions garde-barrière

• Implications structurelles, organisationnelles

• Implications humaines
Constatation

L’informatique est devenue une informatique ‘communiquante’


Un système est connecté au moins en réseau local
(Les problèmes peuvent être internes 80%)
Et la plupart du temps sur le réseau Internet

Les virus PC ne sont pas les seuls pbs.


Il faut protéger l’outil de travail (qualité de service) et son
contenu (confidentialité, intégrité des informations)

D’autre part il faut que le ‘contenu’ soit conforme à la loi


Prise de conscience nécessaire
au niveau de l’établissement

• Afin d’être en règle avec la loi (éviter quelques


désagréments à vos responsables d’établissement)

• Pour éviter les risques inutiles, pouvant :


– coûter cher en ressources humaines
– détériorer l’image de marque de l’établissement
– nuire à la confiance dans l’outil de travail

• Pour mieux administrer l’outil de travail et le rendre fiable


Quelques aspects juridiques et légaux
sur les contenus principalement

• CNIL Informatique et libertés


• Droits d’auteurs, et droit des logiciels
• Responsabilité quant aux contenus mis à disposition
• Responsabilité quant à l’outil (peut servir à attaquer d’autres)

• Des groupes de travail se penchent sur ces questions


 Agence Nationale de la Sécurité Informatique
 CNRS, Ministère, ISO France, Groupe inter-minist.
 réflexions en vue de recommandations
 actions concrètes (News, Annuaires,...)
• Des formations et actions de sensibilisation.
Quelques aspects juridiques et légaux
Á savoir absolument

Lorque l’auteur du ‘contenu’ ne peut être poursuivi, c’est le


diffuseur qui est poursuivi.

Les affaires récentes nous l’ont prouvé.

Une chose est sûre, le chef d’établissement est responsable !


Parmi les risques (inconvénients) potentiels

Avoir à ferrailler avec la justice (Ministère de l’intérieur, ...)

Voir des données cruciales être ‘corrompues’


Constater la fuite de données sensibles (perte de confidentialité)

Masquarades d’identités
Se demander pourquoi les performances sont dégradées

Voir surtout son image de marque se dégrader, et le chef


d’établissement intervenir de façon ‘brutale’.
Prévenir (mais aussi être prêt à guérir)
Quelques exemples de menaces (facteurs de risques)
(entre autres, les principaux)

• Mauvaise politique de mots de passe.


» Faciles à deviner (des outils existent pour vérifier)
» collés sous le clavier, prêtés
» jamais changés, génériques (étudiants), absents, non détruits

• Écoutes sur le réseau (infrastructures bus, HUB, …)

•Chevaux de troie
» Par une personne de passage (ou après ‘prêt’ de mot de passe)
» Par utilisation de logiciel non ‘vérifié‘
» Ou tout simplement ‘bogue’ donnant des accès

•Virus (copies illicites de logiciels)

•Absence de
sensibilisation/formation/information/structures/administration
Pas de panique, soyons calmes!
(80% de la sécurité vient du ‘bon sens et de l’organisation’)

• Il faut donc être conscient du besoin de sécurisation


de mise en conformité par rapport à la loi. (indispensable)

• Des solutions existent :


– des outils (administration systèmes, et réseaux)
– des recommandations, des méthodes,
– des structures d’aide, des informations, et formations.

• Tout cela a un coût. (C’est un compromis moyens/résultats)

• Variable suivant le niveau que l’on veut atteindre

Une politique d’établissement


Une politique d'établissement

• Ne doit pas dépendre de la technique, mais d’un objectif,


---> une raison d’être, sinon pas utile.

• Des règles applicables et acceptées

• Cohérente en interne et avec les autres partenaires

• Doit s'appuyer sur un réseau "humain"

• La politique doit être appliquée, suivie, et doit aussi évoluer

• Se donner les moyens correspondants aux objectifs.


Que faut il faire?

• Bien connaître son environnement (informatique et réseau)


– Quelles sont les menaces ? Les risques encourus?
– Le profil des populations (structurer le réseau)
– Les données à protéger (accès verrouillés)
– Les serveurs ‘sensibles’ (filtres réseau)
– Que faut-il déclarer à l’Agence Nationale de la Sécurité ?
– Etc...

• Décider des moyens disponibles (matériels et humains)


Que faut il faire?

• Mettre en cohérence ‘objectifs, moyens, actions’


• Qui va faire le travail? (et surtout réagir en cas d’incident)
• un responsable sécurité pour l’établissement (pas 100%)
• des correspondants (par labos, départements, domaines de
compétence, etc...)

• Quels moyens matériels?


» pour restructurer le réseau (infrastructure de base, ...)
» pour la sécurisation des systèmes (différentes machines)
» logiciels pour le contrôle, la surveillance et l’administration
• Formation, information, sensibilisation
Élaborer, publier et faire signer une charte.

• Nécessaire pour la sensibilisation, et aussi pour dégager la


responsabilité du chef d’établissement (pas complètement)

• Contenu
• informations juridiques et légales,
• règles d’utilisation des systèmes (droits et devoirs),
• Qui est responsable de quoi
• Recommandations de bon sens (mots de passe, copie de
logiciels, piratages de comptes, utilisation de logiciels
pourris, ...)
• etc. ----> des exemples ‘en ligne’ (serveurs ISI, ministère, ...)

• Faire signer par tous (peut-être pas la même charte).

• ATTENTION : elle n’a pas de valeur juridique


Implications humaines et organisationnelles

• Une politique d’établissement ---> une équipe


– pour la définition/décision (hiérarchies habituelles)
– pour la mise en oeuvre :
» cellule réseau (infrastructure, administration, sécurité, ...)
» correspondants (campus, unités d’enseignement, labos,...)

• Ne pas oublier:
– le besoin de sensibiliser, former le personnel
– la mise en place d’un bon réseau ‘informatif’ interne
– d’établir des règles dès le départ (ça passe mieux)
– d’aller voir chez les autres établissements (certains :-))
Quelques questions

La hiérarchie doit-elle s’impliquer?


Oui. Jusqu’à quel niveau?
Soutenir (imposer?) ce qui est dit ci-avant.
Taille d’une cellule réseau?
Proportion de l’activité sécurité?

Qui est responsable


- du contenu des informations stockées, diffusées, ...?
- des incidents de sécurité (du fait d’un utilisateur local/distant)?
À partir de quel degré de sécurité peut-on s’estimer bien protégé?
Ne pas oublier que :

De mauvais comportements (habitudes ou volontaires) des utilisateurs


Des incohérences dans votre politique sécurité
- moyens matériels initiaux, sans ressources humaines
pour la suite (surveillance, évolution, etc)
- des techniques sophistiquées non maîtrisées
- des ‘portes blindées’ par endroit et des trous ailleurs
- l’absence de règles d’administration des systèmes
Le manque d’information de sensibilisation/formation
L’absence de chartes (ou documents ‘formels’) signées
Le manque d’organisation interne

Sont autant de facteurs de risques que vous devez pouvoir éviter.


Un peu de technique
Administration des systèmes

• Politique de gestion des mots de passe


» mots de passe complexes, et changés souvent
» passage d’outils détectant les mauvais
» utilisation de ‘shadow password’
• Protection des fichiers sensibles de chaque machine
• Surveillance des fichiers ‘LOG’
• Utilisation d’outils comme COPS, Tripwire (outils d’intégrité du système),

• Eviter de lancer tous les daemons (process) qui ne sont pas utiles.
• Vérifier la bonne configuration du routage
• Faire attention aux droits donnés depuis d’autres machines
(.rhosts, /etc/host.equiv)
Un peu de technique
Administration des systèmes (suite)

• Appliquer les derniers patches système

• Faire les sauvegardes et vérifier leur bon fonctionnement

• Attention aux logiciels domaine public (sendmail, ftpd, ...)

• Éventuellement utiliser des outils comme Satan, Iss, INMon ... Pour la
surveillance de la sécurité.

• Attention à une utilisation non contrôlée de NFS,

• Gestion des utilisateurs centralisée ? (pas recommandé pour tous)


Le réseau
Les problèmes

• Ethernet (initialement non sécurisé)


– technique de diffusion sur architecture BUS
– écoutes possibles des transactions (mots de passes) : outil Iris
(www.eEye.com)
– mascarade d’adresses possible (---> déni de service)
• Aujourd’hui architectures en étoile (HUBs, Switches, routeurs)
Internet Routeur

Surveillance au
niveau supérieur

Surveillance, administration
locale (formation initiale)
Le réseau
Les problèmes (suite)

IP --> Protocole universel


• Les adresses de toutes les machines connues de tous !
• Accès dans un sens --> par défaut accès dans l’autre
• Résolution de nom (DNS) répartie (garantie ?)
• Nombreuses applications (trop nombreuse par défaut)
• Si rien n’est fait, les machines connectées sont ‘fragilisées’

Qui fait quoi?


Un prestataire de service authentifie ses clients et
assure la confidentialité des informations, mais rien de plus !!!!!!

Le site final doit se protéger.


Le réseau
Se protéger

Les questions que l’ont peut/doit se poser


• toutes les machines doivent elles être accessibles ?
• Si NON -----> lesquelles par nécessité ?
• Quelles machines doivent-être complètement isolées ?
Ou du moins à accès très contrôlé ?
• Les machines visibles de l’extérieur doivent-elles
tourner toutes les applications ?
NON --> lesquelles ?
• En interne tout le monde a-t-il le droit d’accéder partout ?
• ...
Après les réponses, les actions, les moyens

Structurer le réseau
Séparer les communautés (droit d’accès différents)
Isoler les machines visibles de l’extérieur

Établir les droits d’entrée et de sortie


Déterminer qui aura le droit de sortir et quels
systèmes/utilisateurs distants pourront rentrer.

• Mettre les filtres adéquats (routeurs, applicatifs)


• Prévoir les moyens de surveillance
Que peut-on faire pour le réseau ?
• Au minimum
– Filtres sur les routeurs et les switches et aussi on doit
contrôler les liaisons directs par RTC/LS ou autres ...
– Mécanismes de contrôle et d'audit (Ça coûte) (vous pouvez
utiliser des outils d’audit freeware)

• Si possible techniques de "Garde-barrière"

• Encore plus :
– pas de mots de passe en clair sur le réseau
– chiffrement (authentification, confidentialité)
Une décision importante

• Ce qui n'est pas explicitement autorisé est interdit

• Ce qui n'est pas explicitement interdit est autorisé

Vous aimerez peut-être aussi