Sécurité des systèmes d'informations

805 vues

Publié le

Sécurité des systèmes d'informations

Publié dans : Internet
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
805
Sur SlideShare
0
Issues des intégrations
0
Intégrations
11
Actions
Partages
0
Téléchargements
75
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité des systèmes d'informations

  1. 1. PLAN I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion
  2. 2. Plus de 90% des entreprises ont consacré un budget à la sécurité informatique malgré la crise. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion INTRODUCTION 3 source : cabinet pierre Audoin consultants 2012 90%
  3. 3. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion INTRODUCTION 4 source : Kaspersky Lab Et pourtant… les attaques informatiques se multiplient. 52% des entreprises ont signalé une augmentation du nombre d’attaques informatiques auxquelles elles ont du faire face en 2012. 52% • Les clients et utilisateurs ont changé de comportements. • Les surfaces d’attaques ont augmenté (le BYOD implique de nouveau défis dans le domaine de la sécurité) • La sécurité est un grand enjeu pour les prochaine années.
  4. 4. 1980 : Tout est fichier 1990 : Tout est document 1995 : Sur le réseau (Internet) 2000 : Tout est programme 2010 : L’architecture est un programme I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion Un peu d’histoire 5
  5. 5. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion Enjeux de la sécurité des SI 6 Disponibilité Intégrité Confidentialité Auditabilité Sécurité Informatique
  6. 6. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion les menaces explosion des menaces 7 < /> ! Source : ponemon institut 2013 92% des entreprises du Forbes 2000 ont été victimes d'incidents, Les applications concentrent 90% des vulnérabilités. Pourtant 80% des budgets sécurité sont consacrés aux ,,,,,,,,,,,,,,,,,,,,,,,,,,infrastructures. 3.61 $ par ligne de code. C'est le coût de la non qualité/sécurité dans un développement 99% des applications Web sont vulnérables, Une application contient 13 failles en moyenne,
  7. 7. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion les menaces Les motivations pour les attaques 8 Hacktivisme Gains Financiers Déstabilisation entre états Obtention de capacité d'attaque .Interruption du service .Messages idéologiques .Divulgation .Vol de carte de crédit .Vol de données personnelles .Vol de données d'entreprise .Destruction logique et/ou physique .Vol de données stratégiques .Vol de mécanisme d'authentification / certificats .Vol de codes sources
  8. 8. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion les menaces Types de menaces 9 Catégories Méthodes Caractéristiques Virus/ver Diffusion via messagerie, duplication illimitée (ver ou activation humaine (virus) Destruction de ressource et contamination croisée Déni de Service Saturation d'un serveur par envoi d'un flot de messages Paralysie et arrêt des serveurs Cheval de Troie (Back Door) Programme introduit discrètement par un logiciel, une consultation de page Prise de contrôle à distance d'une machine Attaque DNS Emploi d'une adresse DNS correcte à but frauduleux Prise de contrôle d'applications IP spoofing Emploi d'une adresse IP légitime Interception d'échanges et pénétration réseau privé • Sans oublier le "social engineering"...dont le "phishing" est une version...peu évoluée. • Et les "botnets", ordinateurs zombies contrôlés via le réseau à des fins malveillantes
  9. 9. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion Techniques de sécurité 10 Internaute Sécuriser les opérations et les listes : Des solutions existent, mais il faut les utiliser Sécurité individuelle Sécurité passive Sécurité active Sécurité globale Sécurité du poste de travail Antivirus,-spam, spyware, Firewall personnel Sécurité globale "portique" Firewall, Proxy Sécurité individuelle Authentification, cryptage SSL, S/MIME,SET Sécurité du centre de calcul Périmètre , Antivirus, Filtrage de contenu, Droits et identités Serveur
  10. 10. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 11 Confidentialité des données pour éviter les indiscrets et espions un tiers peut lire le message chiffrage des messages Intégrité des données pour éviter les vandales et pirates un tiers intercepte et modifie le message calcul de l'empreinte des messages signatures électroniques) Identité des interlocuteurs pour éviter les imposteurs un tiers se fait passer par le client Echange des certificats entre client et serveur Paternité des transactions pour éviter la répudiation des actes un tiers se fait passer pour le serveur Mémoire historique Droits des clients pour éviter les usages frauduleux annuaire Enregistrement des droits des utilisateurs dans un annuaire Techniques de sécurité Sécurité active
  11. 11. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 12 Techniques de sécurité Sécurité active • Chiffrage / cryptage symétrique Message Message crypté Clé Clé Message crypté Message
  12. 12. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 13 Techniques de sécurité Sécurité active • Chiffrage / cryptage asymétrique Message Message crypté Clé Publique Clé privée Message crypté Message
  13. 13. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 14 Techniques de sécurité Sécurité active • Comparaison cryptage symétrique/asymétrique Avantages Inconvénients Symétrique • Rapide • Peut être rapidement placée dans un échange • Difficulté de distribution • Pas de signature électronique Asymétrique • Deux clefs différentes • Capacité d'intégrité et de non Répudiation par signature électronique • Lent, algorithme complexe • Nécessité de publication de la clef publique
  14. 14. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 15 Techniques de sécurité Sécurité active Secure Socket layer • Protocole de sécurisation des échanges sur Internet • Permet de créer un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne • utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web. • Les utilisateurs sont avertis de la présence de la sécurité SSL grâce à l'affichage d'un cadenas et du protocole « https » dans l'url
  15. 15. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 16 Techniques de sécurité Sécurité active • Secure socket layer Client Serveur Génération de la clé de session Requête Cryptage de la clé de session à l’aide de la clé publique du serveur Clé privée du serveur Envoi de la clé de session cryptée au serveur Clé publique du serveur Décryptage
  16. 16. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 17 Techniques de sécurité Sécurité Passive : Les pare-feu Internet Intranet Serveur HTTP + SGBD Firewall Contrôle les accès entrants Firewall Contrôle les accès entrants et sortants Serveur HTTP Serveur Mail Serveur Proxy DMZ Zone démilitarisée Externe Interne
  17. 17. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 18 Techniques de sécurité Sécurité Passive : VPN • Principe de fonctionnement d’un réseau privé virtuel
  18. 18. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 19 Techniques de sécurité Techniques et technologies de sécurisation • Schéma récapitulatif TECHNIQUES TECHNOLOGIES Design Security Pattern (conception de framework de sécurité) Modélisation des attaques (threat modeling) Méthodologie de développement sécurisé Formation de développeurs Contrôle régulier des applications Vérification des traces applicatives Contrôle qualité Test d'intrusion Revue de code API Framework de sécurité Bugtracker Firewall NG Mitigation d'attaques DOS Sandboxing Virtual patching IPS WAF Fuzzer Scanner de vulnérabilités Scanner passif SIEM Analyseur comportemental d'application Scanner automatisé de vulnérabilités Analyseur statique de code Analyseur dynamique de code
  19. 19. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 20 Processus de sécurisation • Architecture globale de sécurité
  20. 20. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 21 Processus de sécurisation • Surveiller et vérifier l'efficacité de la sécurité en place • Analyser et améliorer la sécurité • Mise en place des mesures de sécurité • Identifier les risques et élaborer les objectifs à atteindre en termes de sécurité Plan Do CheckAct
  21. 21. I- Introduction II- Un peu d’histoire III- Enjeux de la sécurité des SI IV- Les menaces V- Techniques de sécurité VI- Processus de sécurisation VII- Conclusion 22 Conclusion • Aider les collaborateurs d’une entreprise à comprendre :  La valeur des actifs tangibles et intangibles, en particulier de l’information, qu’ils manipulent dans l’exercice quotidien de leur quotidien  Les risques auxquels ils sont exposés et auxquels ils exposent les autres  Les mesures appliquées par l’entreprise et celles qu’on leur demande d’appliquer pour réduire ces risques  Les comportements déconseillés ou interdits
  22. 22. Merci pour votre attention Protégez vos données

×