Académique Documents
Professionnel Documents
Culture Documents
réseaux
Papa Samour DIOP- 2017
Moniteur Oracle
LAN SAP
Mainframe
BAAN
IBM compatible
INTER/INTRANET
ECOMMERCE EXTRANET
Modem
WAN
IBM compatible
Serveur Utilisateur
(u)
Réseaux
Environnement
Général (EG)
Intervenants en
amont dans la LAN/
conception et la Station de travail LAN/
FS
réalisation des Station de travail
environnements Fournisseurs Opérateurs
Entreprise ou Fournisseur Fournisseur Entreprise
de services Télécom
hébergeur d’accès d’accès
(FM, hébergeurs, SVA paie-
S FA ment sécurisé, notaires, sites FA U
de sauvegarde et secours…)
Facteurs clés de réussite d’un Système
d’information
Système d’information
• L’information se présente sous trois formes : les
données, les connaissances et les messages.
• Un système d’information est « tout moyen
dont le fonctionnement fait appel d’une façon
ou d’une autre à l’électricité et qui est destiné
à élaborer, traiter, stocker, acheminer,
présenter ou détruire l’information »
Pour plus de facilités dans le cadre de ce cours de sécurité, nous
simplifierons ce schéma en trois
entités, telles que représentées
Sécurité - définitions
• Sécurité
– Situation dans laquelle quelqu’un, quelque chose
n'est exposé à aucun danger, à aucun risque
d'agression physique, d'accident, de vol, de
détérioration
– Situation de quelqu’un qui se sent à l'abri du danger,
qui est rassuré
• Sécurisé
La sécurité est une notion relative à un contexte
Les types de risques :
En ce qui concerne l’analyse de risque, on a défini 12 types de menaces.
• Accidents physiques.
• Malveillance physique
• Panne du SI
• Carence de personnel.
• Interruption de fonctionnement du réseau.
• Erreur de saisie.
• Erreur de transmission.
• Erreur d’exploitation.
• Erreur de conception/ développement.
• Copie illicite de logiciels.
• Indiscrétion/ détournement d’information .
• Attaque logique du réseau.
Les 3 facettes de la sécurité
Cl
us
Restauration
vage Supervision tifs
Sa
i
te
Po Ar ch ec
r eu
rs
li Ge r f
u ve
e-
d’a tique sti
on Co Par
ccè
n gar
des
tio
s
ys
la
An
de
tèm
al
en es
nu es
Déte sion
st
air EC
d’int
em n d
ts
Rép In e S
IP
én i o
ara
év est
ction
t i on PK
ru
s
Te
I
An
G
su
Gestion des
tiv
Kerberos
c
qu on
iru
perfs
hn
es
es
ris ati
s
du t / n Architecture
de alu
n S
oc
OS
o
it o men atio L
Év
/ T
s sécurisée L
lo
r
Ge nge figu SS
Pr
a n
g
Ch Co
ie
ent
e la Chiffrem
s
d rs
Répo de fichie
ns
Incid e à
ent Personnes
Adm n. ine Dé
de l i ve ice/
’Ent in. m a lo er v
repr Ad om Utilisateur pp S
p p ort
ise D eu S u
Du r
Définition de la SECURITE DES SI
Mise en place d'un ensemble de mesures
de sécurité afin d'assurer la protection
des biens informatiques matériels
(niveau physique) et applicatifs d'une
organisation ainsi que les données
(niveau logique) de son système
d'information
Qu’est ce que la sécurité ?
• La sécurité recouvre donc l'ensemble de
techniques informatiques permettant de
réduire au maximum les chances de fuites
d'information, de modification de données ou
de détérioration des services.
• Elle consiste à un très grand nombre de
méthodes, de technologies, d'architectures
permettant d'atteindre un certain niveau de
protection.
Qu’est ce que la sécurité (2) ?
Voix et Vidéo
• Des menaces
• Différents types de
pirates
• Différentes arnaques
et attaques
• Des accidents et
inconsciences
On distingue différentes catégories de hackers avec
l’opposition classique « bien – mal », où plutot
« méchants – gentils »:
1. Le Hacker White Hats. (les « gentils »)
2. Le Hacker Black Hats. (Les « méchants »)
3. . Le Hacker Grey Hats.
Classement des agresseurs
• Menace accidentelle
Menace d’un dommage non intentionnel envers le SI
• Catastrophe naturelle, erreur d’exploitation, pannes
• Menace intentionnelle ou délibérée
Par opposition à la précédente, elle est le fait d’un acte délibéré
Menace active
Menace Passive
Menace Physique
Origine des menaces (exemple)
• Les Accidents
• Provenance
– La nature
– Les fournisseurs
– Agresseurs internes (La majorité des cas)
Origines des menaces (exemple)
• Menace à caractère ludique
– Type de menace
• Menace intentionnelle active
• Désir de s’amuser ou d’apprendre
– C’est la prouesse technique qui est mise en avant
– Catégorie de menace
• Vol, perturbation, sabotage, accès illégitimes, …
– Type d’attaquant
• « Joyriders »
• Vandales Généralement appelés
• Collectionneurs Hackers ou Crackers
Origines des menaces
• En Conclusion
– La liste est non exhaustive
– La menace peut être composite
• Plusieurs motivations (origines)
– Cupide + Ludique, Idéologique + Terroriste, …
• Plusieurs profils de pirate
– Employé malveillant + Espion, …
Importance grandissante !
Applications Web métier
• Avantages
– pas d’installation préalable (client léger), ni maintenance
– accès depuis partout, via Internet (appli. externes)
• Technologies utilisées
– Langages : HTML, Javascript, PHP/ASP/CGI, Perl, Java, ActiveX…
– Base de Données : MySQL, Oracle, MS-SQL Server, Sybase…
– Serveurs d'applications : Tomcat, Websphere…
– Serveurs Web : IIS, Apache…
– Systèmes d’exploitation : Windows, Linux, UNIX...
Objectifs de ces attaques
• Récupération d'informations confidentielles
• Atteinte à la confidentialité
• Modification du contenu
- Données internes (BDD financière, cliente…)
- Sites Web publiques (façade commerciale)
• Atteinte à l'intégrité
• Rendre le service indisponible (Déni de Service – DoS)
- Temporaire
- Permanent
• Atteinte à la disponibilité
• Rebond
- Point d’entrée privilégié
- Atteindre des machines internes (Relais pour attaques
externes)
Conséquences
• Récupération d'informations confidentielles
• Modification du contenu
• Rendre le service indisponible
• Rebond
Par :
– Leurs compétences techniques
– Le temps qu'ils sont prêts à passer pour réussir
– Leurs motivations
– Leurs moyens
– Leurs connaissances préalables de la cible
SECURITE : Concepts et relations
Cartographie des Risques et
Réponses aux incidents
Problématique
• L’entreprise évolue dans un milieu « hostile » :
• Solution :
Mise en place d’une politique de prise en compte des risques
et de sécurisation du SI
Les RISQUES :
Les risques sont classés en deux groupes :
1 - Les risques physiques
• Ils sont appelés risques matériels.
• En général, il s’agit d’événements tels que :
– incendie; explosion; fumées,
– dommage électrique ; foudre
– tempêtes ; dégâts des eaux ; événements naturels
– bris de machine ; vol,
• qu'ils soient d'origines accidentelles ou malveillantes.
– Les conséquences de ces événements sont aisément identifiables, elles
endommagent ou détériorent les ressources matérielles.
Les RISQUES :
2 - Les risques logiques :
Famille « Accident – Erreur - Malveillance »…
Passe par :
• Evaluation des risques et de leur impact
• Evaluation des coûts de prise en charge
• Données vitales
• Données essentielles
• Données importantes
• Données utiles…
Principes de base de la
gestion des risques
1. Mettre en place une politique globale de gestion des risques
2. Séparer les fonctions
3. Minimiser les privilèges
4. Centraliser les changements
5. Cerner les IHM - Contrôler et filtrer les E/S
6. Mettre en place des plans de sauvegarde et de reprise
7. Cibler les éléments vitaux/essentiels
8. Utiliser des techniques de conception et de programmation
standardisées
9. Monitorer l’ensemble des éléments de l’entreprise :
systèmes informatiques, réseaux, personnel (traçabilité)
10. Informer et former les personnels
Avoir une Méthodologie de
résolution
une approche basée sur l'utilisation de meilleures
pratiques seules, généralement sous la forme de guides de
configuration, de check-lists…
une approche basée sur l'analyse des risques SSI, sans
méthode mais résultant du retour d’expérience des acteurs
une approche basée sur la gestion structurée des risques
SSI, reposant sur l'emploi d'une démarche méthodologique
de gestion des risques.
Méthodologie de résolution
Les risques Techniques
• Programmes malveillants :
• Voici les principaux types de programmes
malveillants :
• Le virus
• Le ver
• Le Cheval de Troie
• Accidents
• Erreurs
Les virus
• Les virus se définissent par une portion de code, non
nécessairement destructrice, capable de se repro-
duire sur l’ordinateur cible et/ou de se propager sur
d’autres supports (ordinateur, disquettes, ...).
• Historiquement, les virus sont nés d’un jeu entre
concepteurs de l’entreprise Bell AT&T. Dans les
années 70, certains programmeurs avaient coutume
de s’affronter à la "Core War".
Classification des virus
Il n’existe pas de classification stricte. En voici quelques
exemples :
• Par le format visé (exécutable ou documents),
• Par leur comportement,
• Selon l’organe visé,
• Selon le langage utilisé
Les vers
Ils sont souvent confondus avec les virus mail
• Les vers sont moins répandus que les virus mail, de
par leur complexité de mise en place (analyse des
failles du système sur lequel il se situe, copie du ver
sur la machine cible, ...).
• Le premier ver recensé en tant que tel fut créer par
Robert Morris, fils du directeur de la NSA, en 1988.
Nommé "Internet Worm ». Tout le réseau fut
paralysé en moins de 24 heures.
Utilité des vers
• Le ver créé par Morris n’avait d’autre but que
d’explorer Internet. Il est vrai que ce réseau était
relativement restreint à l’époque. Aujourd’hui, cette
application ne semble plus réalisable.
• Certaines entreprises utilisent également des vers
pour tester la sécurité de leur réseau intranet.
Les chevaux de Troie
• Ce type de programme est plus subtil, car ils se
dissimulent dans un fichier anodin, et ne semblent
même pas exister aux yeux de l’utilisateur.
• Un trojan n’est à priori pas destructeur comme peut
l’être un virus. Cependant, ils sont parfois associés à
une bombe logique, ce qui les rend dangereux. Les
effets peuvent alors être très variés, de la destruction
de fichiers à une congestion mémoire, en passant par
l’instauration d’une attaque DDoS.
• La création d’une backdoor (ou "porte dérobée").
• Enfin, à la différence d’un virus ou d’un ver, le trojan ne
se reproduit pas
Bombes logiques