Sécuriserune PME à moindrefrais<br />Alex Huart<br />alex@kaeon.com<br />© Kaeon sa, Switzerland<br />All rightsreserved.<...
Une PME est-elle une bonne cible pour un malveillant ?<br />Non, bien trop petit pour l’intéressser<br />Oui, on les appel...
Quelleest la menace la plus grave ?<br />Infection virale, Worm, trojans …<br />Spyware, Keyloggers<br />Denial of Service...
Pas l’ombre d’une chance …<br />
Je n’aique2recommandations…<br />Parefeutoujoursactivésur les portables<br />Encryptez les portables<br />Pourquoi ?<br />...
La sécurité c’est de l’argent …<br />20MB de donnéesperduesc’est 21 jours de travail et coûte€15.000 à régénérer.<br />Les...
1% d’indisponibilité … (35h/semaine)<br />99%<br />99,9%<br />27:02 IT = down<br /><br />8 collaborateurs<br />53€/h<br /...
Angoisse du dirigeant<br />Interdirel’accès … ?  (Access Denied).<br />Protégerl’entreprise des pertesfinancièresliées aux...
Résoudre le Dilemne<br />Accès à tout<br />De partout<br />Tout le temps<br />Access Denied<br />
Classification des données<br />Faire Simple et Efficace<br />Confidentialité<br />Conservation<br />Récupération<br />
CONFIDENTIALITE<br />UTILITE<br />AUTHENTICITE<br />INTEGRITE<br />DISPONIBILITE<br />DETENTION<br />
Identité – Authentification - Autorisation<br />
Qui fait quoi ?<br />r<br />r<br />r<br />r<br />r<br />r<br />r<br />r<br />
Contrôle de Detention<br />Gardesarmés …<br />Access Control List –&gt; Permission<br />Locked-down configuration<br /> ? ...
Contrôle de confidentialité &gt; détention<br />Au repos<br />EFS<br />Bitlocker<br />RMS<br />SQL encryption<br />S/MIME<...
Protection des données : contrôle de détention.<br />BIOS passwords<br />Pas universel<br />Assurer la gestion ? Comment ?...
Protection des données = contrôle de confidentialité<br />S/MIME<br />Universel<br />Protège les données ‘fixe ou mobile’<...
Détentionvs. confidentialité<br />Détention: efficace en environnementclos<br />Confidentialité: efficace partout<br />Hic...
Clés (keys) de Windows<br />Quelquesunes …<br />SysKey startup key<br />DPAPI master keys<br />EFS and file encryption key...
Protection des clés de Windows<br />1: registry<br />2: floppy<br />3:  boot up<br />SSL<br />keys<br />IPsec<br />keys<br...
Renversementstratégique<br />Windows XP, Windows 2000, Windows 2003, R2<br />Sécurité du réseau<br />Repose sur les contrô...
Troisaméliorationsdans Windows 7<br />Windows Service Hardening (durcissement du kernel)<br />BitLocker Drive Encryption<b...
K<br />K<br />K<br />K<br />U<br />U<br />U<br />U<br />Windows Services Hardening<br />Windows Services sontprofilés<br /...
Service hardening<br />Principe du moindreprivilège—Efficace pour les humains, efficace pour les services.<br />
Exemple: event log<br />ACL<br />Eventlog:W<br />SysEvent.evt<br />Write-<br />restricted<br />token<br />Eventlog<br />se...
BitLocker™ Drive Encryption <br />Empêcher la prise de contrôle de l’OS par un malveillant<br />Sécuriser les données en c...
*****<br />Protection des données via BDE<br />
Windows Protection de l&apos;Information <br />Vousprotège de QUI ?<br />Autresutilisateur, les administrateurs de la mach...
User Account Control UAC(contrôle des comptes utilisateurs)<br />Systèmedoitêtreefficace pour un Utilisateur Standard.<br ...
4 niveaux UAC – élévation de privilège<br />
3 améliorationsdans Windows 2008 Server R2<br />Network Access Protection<br />Read Only Domain Controller<br />AD Right M...
Network Access Protection<br />Empêcherl’accès au réseau de PC non-conformes<br />Validation de l’état de santé<br />OS, A...
Protéger les infrastructures distribuées<br />Fonctions CLES<br />Surface MINIMALE<br />Windows Server Core<br />Sécuriser...
Protéger le Capital Intellectuel: RMS Workflow<br />Auteur reçoit un certificat pour ses clients la prmièrefoisqu’ilutilis...
Prochain SlideShare
Chargement dans…5
×

Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)

1 685 vues

Publié le

Découvrez les conseils d'Alex Huart (CT-Interactive) pour mieux sécuriser votre entreprise et empêcher tout pirate informatique de découvrir les données confidentiells de votre PME

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 685
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)

  1. 1. Sécuriserune PME à moindrefrais<br />Alex Huart<br />alex@kaeon.com<br />© Kaeon sa, Switzerland<br />All rightsreserved.<br />
  2. 2. Une PME est-elle une bonne cible pour un malveillant ?<br />Non, bien trop petit pour l’intéressser<br />Oui, on les appelle des « sittingducks » <br />
  3. 3. Quelleest la menace la plus grave ?<br />Infection virale, Worm, trojans …<br />Spyware, Keyloggers<br />Denial of Services<br />Compromission de l’identité<br />Divulgation des données<br />Compromission des données<br />
  4. 4. Pas l’ombre d’une chance …<br />
  5. 5. Je n’aique2recommandations…<br />Parefeutoujoursactivésur les portables<br />Encryptez les portables<br />Pourquoi ?<br />De quel type d’attaqueélectroniqueavez-vousétévictimel’an dernier … 50% -&gt; portables<br />Quelleattaqueélectroniquevous a causé le plus de dommages financiers … 80% -&gt; portables<br />
  6. 6. La sécurité c’est de l’argent …<br />20MB de donnéesperduesc’est 21 jours de travail et coûte€15.000 à régénérer.<br />Les attaquesviralesontcoûté aux entreprises €43 milliards en 2009<br />Les PME en Europe perdent environ €22 milliards en downtime chaqueannée. <br />5,000 notebooks ontétéoubliésdans les taxis de Londresces 6 derniersmois …<br />En PME la perte des données a causé la faillite de la sociétédans 50% des casl’an dernier! <br />D’aprèsuneétude Microsoft EMEA sur les risquesinformatiques en 2009.<br />
  7. 7. 1% d’indisponibilité … (35h/semaine)<br />99%<br />99,9%<br />27:02 IT = down<br /><br />8 collaborateurs<br />53€/h<br />= 11’465 €<br />2:42 IT = down<br /><br />8 collaborateurs<br />53€/h<br />= 1146,5 €<br />&gt; 10.000 €<br />
  8. 8. Angoisse du dirigeant<br />Interdirel’accès … ? (Access Denied).<br />Protégerl’entreprise des pertesfinancièresliées aux usages frauduleuxoumalheureux des technologies ICT.<br />
  9. 9. Résoudre le Dilemne<br />Accès à tout<br />De partout<br />Tout le temps<br />Access Denied<br />
  10. 10. Classification des données<br />Faire Simple et Efficace<br />Confidentialité<br />Conservation<br />Récupération<br />
  11. 11. CONFIDENTIALITE<br />UTILITE<br />AUTHENTICITE<br />INTEGRITE<br />DISPONIBILITE<br />DETENTION<br />
  12. 12. Identité – Authentification - Autorisation<br />
  13. 13. Qui fait quoi ?<br />r<br />r<br />r<br />r<br />r<br />r<br />r<br />r<br />
  14. 14.
  15. 15. Contrôle de Detention<br />Gardesarmés …<br />Access Control List –&gt; Permission<br />Locked-down configuration<br /> ? Ordinateurs portables ???<br />Présupposé: utilisateursautorisésn’abusent pas de leur relation de confiance<br />Présupposé: les données ne sont pas “mobilisables”<br />
  16. 16. Contrôle de confidentialité &gt; détention<br />Au repos<br />EFS<br />Bitlocker<br />RMS<br />SQL encryption<br />S/MIME<br />En mouvement<br />IPSEC<br />SSL<br />SQL encryption<br />S/MIME<br />Bénéfice: protège les données<br /> où qu’elles soient<br />
  17. 17. Protection des données : contrôle de détention.<br />BIOS passwords<br />Pas universel<br />Assurer la gestion ? Comment ??<br />Quid sioublié ?!<br />SysKey mode 3<br />Bien pour les local accounts … quid des autres ?<br />Utiliser system restore disk siperdu<br />Passwords<br />Limiter les attaques “pass-the-hash” <br />
  18. 18. Protection des données = contrôle de confidentialité<br />S/MIME<br />Universel<br />Protège les données ‘fixe ou mobile’<br />Problèmeinhérent: comment voustranmettre ma clé en toutesécurité ?<br />Encrypting file system (EFS)<br />Transparent pour les applications et les utilisateurs<br />Pas vulnérable par attaquesautomatisées (domain accounts or SysKey 3)<br />Doitabsolumentavoir un RECOVERY ; mieuxdomaine & PKI<br />BitLocker drive encryption (BDE)<br />Volume encryption<br />Protège les données et le système<br />Déployer un RECOVERY niveaudomaine<br />Rights management services (RMS)<br />Contrôled’accès non lié au contrôle de détention<br />Géré par Policy enforcement niveauapplications (Office …)<br />
  19. 19. Détentionvs. confidentialité<br />Détention: efficace en environnementclos<br />Confidentialité: efficace partout<br />Hic — AbsolumentGérer via ADS<br />EFS<br />BDE<br />RMS<br />
  20. 20. Clés (keys) de Windows<br />Quelquesunes …<br />SysKey startup key<br />DPAPI master keys<br />EFS and file encryption keys<br />S/MIME keys<br />IPsec keys<br />Computer and user keys<br />SSL keys<br />Storage root keys<br />Volume encryption keys<br />Comment sontelles protégées ?<br />
  21. 21. Protection des clés de Windows<br />1: registry<br />2: floppy<br />3: boot up<br />SSL<br />keys<br />IPsec<br />keys<br />DPAPI<br />key<br />SAM<br />or AD<br />LSA<br />secrets<br />Safe mode<br />admin pw<br />startup<br />key<br />at logon<br />EFS<br />keys<br />S/MIME<br />keys<br />DPAPI<br />key<br />user<br />profile<br />startup<br />key<br />
  22. 22. Renversementstratégique<br />Windows XP, Windows 2000, Windows 2003, R2<br />Sécurité du réseau<br />Repose sur les contrôlesd’accès.<br />On ferme tout cequ’onpeut …<br />Windows 7, Windows 2008<br />Sécurité des données. <br />Repose sur les contrôles de confidentialité.<br />Tout ce qui n’est pas explicitementautoriséestinterdit<br />Données<br />Système.<br />
  23. 23. Troisaméliorationsdans Windows 7<br />Windows Service Hardening (durcissement du kernel)<br />BitLocker Drive Encryption<br />User Account Control<br />Télécharger <br />Windows 7 Security Guide<br />
  24. 24. K<br />K<br />K<br />K<br />U<br />U<br />U<br />U<br />Windows Services Hardening<br />Windows Services sontprofilés<br />Réduire la taille des security layers<br />Segmenter les services<br />Aumenter le nombre de couches<br />Service <br />1<br />Service <br />…<br />Service <br />2<br />Service…<br />Service <br />A<br />Service <br />3<br />Service <br />B<br />Kernel Drivers<br />User-mode Drivers<br />
  25. 25. Service hardening<br />Principe du moindreprivilège—Efficace pour les humains, efficace pour les services.<br />
  26. 26. Exemple: event log<br />ACL<br />Eventlog:W<br />SysEvent.evt<br />Write-<br />restricted<br />token<br />Eventlog<br />service<br />Protège les services, le kernel des « exploits »<br />
  27. 27. BitLocker™ Drive Encryption <br />Empêcher la prise de contrôle de l’OS par un malveillant<br />Sécuriser les données en cas de perte, vol …<br />Utilise un chip v1.2 TPM <br />Stockeunepartie de la clésur USB ou flash drive<br /> BitLocker<br />
  28. 28. *****<br />Protection des données via BDE<br />
  29. 29. Windows Protection de l&apos;Information <br />Vousprotège de QUI ?<br />Autresutilisateur, les administrateurs de la machine…? EFS<br />Accès physique non autorisé ? BitLocker™<br />Usage abusif de l’information ? RMS<br />
  30. 30. User Account Control UAC(contrôle des comptes utilisateurs)<br />Systèmedoitêtreefficace pour un Utilisateur Standard.<br />Pouvoir changer sesparamètresfonctionnels<br />Assurer la protection du critique (registry, FS …) par la virtualisation<br />Rendrel’élévation de privilègestoujours visible<br />Limiter le privilègeadministrateurdans le temps et dans la tâche.<br />
  31. 31. 4 niveaux UAC – élévation de privilège<br />
  32. 32. 3 améliorationsdans Windows 2008 Server R2<br />Network Access Protection<br />Read Only Domain Controller<br />AD Right Management Services (federation) <br />Télécharger <br />Windows Server 2008 R2 Security Guide<br />
  33. 33. Network Access Protection<br />Empêcherl’accès au réseau de PC non-conformes<br />Validation de l’état de santé<br />OS, AV … mises à jour<br />Conformité par politique<br />Vérifierque le PC soitconforme aux normesexigées<br />Firewall enabled<br />Antivirus installed<br />Latest updates installed<br />Limiter l’accès<br />Empêcher la connexion au réseau des cas non-conformes<br />
  34. 34. Protéger les infrastructures distribuées<br />Fonctions CLES<br />Surface MINIMALE<br />Windows Server Core<br />Sécuriserl’AD<br />Read-Only Domain Controller<br />Prévenir la compromission de l’AD<br />BitLocker Drive Encryption<br />
  35. 35. Protéger le Capital Intellectuel: RMS Workflow<br />Auteur reçoit un certificat pour ses clients la prmièrefoisqu’ilutilise RMS pour protégerl’information<br />Active Directory<br />SQL Server<br />Auteur définisesdroits, règles et usage pour le jeu de fichiersconcerné. RMS créeuneLicence de Publication et encrypte les données. <br />Windows Server running RMS<br />3<br />Auteur distribue les fichiers.<br />4<br />1<br />Destinataireouvre le fichier RMS-enabled, l’applicationappelle le RMS server qui validel’utilisateur et émet un “Use License.”<br />2<br />5<br />3<br />L’application RMS-enabled ouvre le fichier et applique les droits, règles …<br />The Recipient<br />Author using Office<br />
  36. 36. Conclusion<br />Sécurisation a évoluédepuis 2003, le couple XP-W2K3 n’est plus le meilleur<br />L’apparition des mobiles boulverse la donne<br />SmartPhone, PC Portables, Accès à Distance …<br />Protéger les Données = Priorité<br />Windows 7 et Windows 2008 Server<br />Nouvellesréponses<br />Problèmesconnusou Nouveaux défis<br />Stratégie de protection<br />Données<br />Kernel<br />
  37. 37. Le minimum minimorum<br />Operating System: SP + patch = à jour<br />Applicatifs infrastructure: SP + patch = à jour<br />AntiVirus & Anti-Malware = à jour<br />AntiSpam = à jour<br />Firewall applicatif: couche ISO 7<br />Géré, patchés<br />Suivi des comptesutilisateurs, Mots de passes complexes, One Time Password…<br />
  38. 38. Toujoursvulnérables …<br />Applicatif exposé augmente la surface d’attaque<br />Pilotes mal écrits = brêchesdans le kernel<br />Données ‘mobiles’ ou ‘mobilisables’<br />Utilisateurs avec droitsétendus<br />Géraldine à la réception = droitszéros<br />Manager (top ?), Ingénieurs, = droitsétendus<br />USB, DVD …<br />Pas de patch contre les utilisateurs naïfs …<br />
  39. 39. Se méfier des apprentis sorciers<br />De quelles certifications formelles votre informaticiens peut-il se prévaloir ?<br />Microsoft certifie ses partenaires …<br />Spécialistes PME, Certified, Gold…<br />Les autres aussi ;-)<br />

×