E-Sécurité
14 Octobre 2013
CROSASSO Benjamin
benjamin@alpinfra.fr
@alpinfra
Sommaire
•
•
•
•
•

Les Définitions
Les Risques
Les Menaces
Les Solutions
Bonus : Stuxnet
Définition (1/3)
• Intégrité
– La donnée doit être intègre :
• Elle ne doit pas avoir été altérée
– Lors du stockage par d...
Définition (2/3)
• Disponibilité
– La donnée doit être accessible :
•
•
•
•

Disponibilité du stockage (RAID)
Disponibilit...
Définition (3/3)
• Confidentialité
– La donnée ne doit être accessible que par les
personnes autorisées :
• Nécessité d’id...
Risques (1/2)
• Dommages financiers :
– Disponibilité
• Un site web marchand n’est pas utilisable suite à un bug applicati...
Risques (2/2)
• Dégradation de l’image de marque :
exemple de Sony
– http://www.theregister.co.uk/2011/05/24/sony_p
laysta...
Menaces
• Interne :
– Le plus courant : utilisateur de l’entreprise
insouciant ou mal intentionné.

• Programme malveillan...
Comment se propage un malware ?
• Action volontaire de l’utilisateur :
– Ecran de veille gratuit Aquarium
Un antivirus peu...
Marché noir des failles de sécurité
• Chercheur en sécurité très honnête :
– Informe l ’éditeur, attend le correctif, publ...
Que faire ? (1/3)
• Intégrer la sécurité lors de toute décision
touchant le système d’information :
– Evaluer à l’aide des...
Que faire ? (2/3)
• Défense en profondeur :
– Sensibilisation des utilisateurs
• Mise en place d’une charte / guide d’util...
Que faire ? (3/3)
• Défense en profondeur :
– Sécurité des transmissions
•
•
•
•

Firewall
IPS / IDS (Intrusion Prevention...
Stuxnet
• Un malware conçu pour attaquer une cible industrielle déterminée :
Installations nucléaires iraniennes => cyber ...
Merci
Prochain SlideShare
Chargement dans…5
×

Slides apéri tic e securite 10 2013

589 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
589
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
10
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Slides apéri tic e securite 10 2013

  1. 1. E-Sécurité 14 Octobre 2013 CROSASSO Benjamin benjamin@alpinfra.fr @alpinfra
  2. 2. Sommaire • • • • • Les Définitions Les Risques Les Menaces Les Solutions Bonus : Stuxnet
  3. 3. Définition (1/3) • Intégrité – La donnée doit être intègre : • Elle ne doit pas avoir été altérée – Lors du stockage par du matériel défaillant (RAID : détection d’une altération grâce au stockage sur plusieurs disques) – Lors de l’écriture ou de la lecture par un logiciel défaillant • Sauvegarde (restauration, mais uniquement après avoir détecté la corruption) • Antivirus
  4. 4. Définition (2/3) • Disponibilité – La donnée doit être accessible : • • • • Disponibilité du stockage (RAID) Disponibilité du serveur/logiciel qui utilise cette donnée Disponibilité des réseaux transportant l’information Disponibilité du périphérique (Ordinateur, Tablette utilisant cette donnée)
  5. 5. Définition (3/3) • Confidentialité – La donnée ne doit être accessible que par les personnes autorisées : • Nécessité d’identifier/authentifier les utilisateurs • Gestion des droits d’accès à la donnée – Recommandation : tracer les actions des utilisateurs dans un journal.
  6. 6. Risques (1/2) • Dommages financiers : – Disponibilité • Un site web marchand n’est pas utilisable suite à un bug applicatif. Diagnostic et correction : pas de site web pendant x heures. – Intégrité des données • Un virus a modifié la base de données d’un site web marchand en divisant tous les prix par 2 : détection, restauration de la sauvegarde, indisponibilité pendant la restauration • Indisponibilité du site web pendant x heures, des commandes à traiter avec des prix incorrects. – Confidentialité • La base de données du site web a été entièrement téléchargée par l’attaquant : la base de données clients (CB), prix d’achats, etc…
  7. 7. Risques (2/2) • Dégradation de l’image de marque : exemple de Sony – http://www.theregister.co.uk/2011/05/24/sony_p laystation_breach_costs/ – “The cost of a criminal intrusion that exposed sensitive data for more than 100 million Sony customers and resulted in a 23-day closure of the PlayStation Network will cost the company at least $171 million, executives said.”
  8. 8. Menaces • Interne : – Le plus courant : utilisateur de l’entreprise insouciant ou mal intentionné. • Programme malveillant : – Virus, malware (pub, SPAM) • Personne malveillante : – La pire des situations : l’attaque est ciblée et personnalisée – APT (Advanced Persistent Threat)
  9. 9. Comment se propage un malware ? • Action volontaire de l’utilisateur : – Ecran de veille gratuit Aquarium Un antivirus peut éviter ce genre de piège, si l’utilisateur n’ignore pas les avertissements. • Faille de sécurité : – Exemple côté utilisateur : Internet Explorer – http://technet.microsoft.com/fr-fr/security/bulletin/ms04-028 – Exemple côté serveur web : XSS (Cross Site Scripting) – http://fr.wikipedia.org/wiki/Cross-site_scripting Un antivirus n’est pas toujours efficace dans ce cas, la porte était ouverte ! Historiquement, les failles étaient dans Windows, aujourd’hui dans Java et Acrobat Reader, demain ?
  10. 10. Marché noir des failles de sécurité • Chercheur en sécurité très honnête : – Informe l ’éditeur, attend le correctif, publie sa découverte – Les éditeurs payent les découvertes : Google, Mozilla par exemple • Chercheur en sécurité honnête : – Informe l ’éditeur, attend 30 jours, publie – Chercheur en sécurité : – Vend la faille de sécurité au plus offrant (certaines failles peuvent dépasser les 100 000 €) • Une faille de sécurité est ensuite associée à un payload (charge utile) pour être utilisée. Windows XP : fin de support en avril 2014
  11. 11. Que faire ? (1/3) • Intégrer la sécurité lors de toute décision touchant le système d’information : – Evaluer à l’aide des trois critères principaux les bénéfices et les risques « La sécurité fait partie des critères pour bien choisir un prestataire. »
  12. 12. Que faire ? (2/3) • Défense en profondeur : – Sensibilisation des utilisateurs • Mise en place d’une charte / guide d’utilisation de l’outil informatique – Sécurité logique • • • • Authentification des utilisateurs, rôles, logs Mises à jour régulières des logiciels Sauvegardes PRA/PCA (Plan de reprise / continuité d’activité)
  13. 13. Que faire ? (3/3) • Défense en profondeur : – Sécurité des transmissions • • • • Firewall IPS / IDS (Intrusion Prevention/Detection System) VPN (Virtual Private Network) Cryptage des données (Clé USB, portables…) – Attention aux clés USB : vecteur d’infection virale très important ! – Sécurité physique • Porte verrouillée • Contrôle d’accès • Vidéo surveillance
  14. 14. Stuxnet • Un malware conçu pour attaquer une cible industrielle déterminée : Installations nucléaires iraniennes => cyber arme • C'est le premier ver découvert qui espionne et reprogramme des systèmes industriels • Le virus s’attaque aux systèmes Windows à l’aide de quatre attaques dont trois « zero day » • En février 2011, Symantec publie une analyse complète de Stuxnet. Les spécialistes estiment qu'il a fallu 6 mois de développement et une équipe de 5 à 10 personnes pour écrire le programme, avec au moins un ingénieur connaissant parfaitement les équipements industriels visés. http://fr.wikipedia.org/wiki/Stuxnet
  15. 15. Merci

×