1IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéSecurity DayWebdays AlgiersDéfinition...
2IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéPlan1 Introduction2 Études des risqu...
3IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsEngineer i...
4IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLes risque...
4IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLes risque...
4IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLes risque...
5IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLa sécurit...
6IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsUne menace...
7IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurM...
8IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurM...
9IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurM...
10IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieur...
11IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieur...
12IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieur...
13IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieur...
14IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieur...
15IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieur...
16IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLoipauseLoi 09-04 du 14 Chaabane 14...
17IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLoipauseJe vous invite à faire une ...
18IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtua...
19IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtua...
20IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtua...
21IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtua...
22IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtua...
23IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtua...
24IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux dé...
25IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux dé...
26IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux dé...
27IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux dé...
Prochain SlideShare
Chargement dans…5
×

Security Day "Définitions, Risques et Droits" par Fouad Guenane

942 vues

Publié le

Security Day "Définitions, Risques et Droits" : la présentation de Fouad Guenane pendant la semaine du web.

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
942
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Security Day "Définitions, Risques et Droits" par Fouad Guenane

  1. 1. 1IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéSecurity DayWebdays AlgiersDéfinitions/ Risques / DroitsFouad Guenane-fouad.guenane@gmail.com-Consultant SécuritéConsultant Sécurité, Expert Cloud Access7 juin 2013Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  2. 2. 2IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéPlan1 Introduction2 Études des risques3 Droits en vigueur4 Cloud Computing5 Protections et sécuritéFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  3. 3. 3IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsEngineer in computer science specialized networks andsecurity in USTHB (2009)Algeria Telecom Security Engineer - Djaweb Service :Department operating platforms national and international(www.djaweb.dz)(2009/2010)Master degree in Telecommunications and networking atUPMC (University Pierre et Marie Curie) in partnership withTelecom Paris Tech and ITIN ENST (2010/2011)PhD student in Laboratoire d’Informatique de Paris 6(www.lip6.fr), with specialization in a virtual environment,Security of Cloud and virtual network.(2011 / nowdays)Security Consultant SecFuNet FP7 projectTelecom Consultant NU@GE Projectco-author / Security consultant Gintao Projectco-author / Security consultant SMVR ProjectFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  4. 4. 4IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLes risques sont nombreux en sécurité informatique etévoluent d’année en annéeC’est une activité de tous les instants, qui repose sur le bonsensIl suffit d’appliquer de simples pratiques d’excellence pouraméliorer de façon considérable votre protection ?Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  5. 5. 4IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLes risques sont nombreux en sécurité informatique etévoluent d’année en annéeC’est une activité de tous les instants, qui repose sur le bonsensIl suffit d’appliquer de simples pratiques d’excellence pouraméliorer de façon considérable votre protection ?Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  6. 6. 4IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLes risques sont nombreux en sécurité informatique etévoluent d’année en annéeC’est une activité de tous les instants, qui repose sur le bonsensIl suffit d’appliquer de simples pratiques d’excellence pouraméliorer de façon considérable votre protection ?Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  7. 7. 5IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsLa sécurité informatique est l’ensemble des moyens mis en œuvrepour réduire la vulnérabilité d’un système. Les exigencesprincipales d’un système sont :Disponibilité (serveur local, internet) : disponible pour lespersonnes autoriséesConfidentialité : l’accès à l’information n’est possible que pourles personnes autoriséesIntégrité : modification autorisée de l’informationFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  8. 8. 6IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéParcoursContexteDéfinitionsUne menace est une violation potentielle de la sécurité, plusieurstypes existent :AccidentelleIntentionnelle (et là je l’appelle attaque)Active (directement nuisible)Passive (espionnage ou surveillance)Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  9. 9. 7IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeRien ne sert de mettre en place une solution pour une menacedonnée qui coûte plus cher que ce que coûteraient les retombéesde l’attaque elle même.Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  10. 10. 8IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeNotre travail en tant qu’ingénieur sécurité consiste à proposer :1 Une Analyse cohérente qui identifie les risques potentiels maisaussi les solutions avec le coût associé (oui le budget)2 Des solutions et produits existants et éprouvés (ne pasréinventer la roue ou proposer une innovation)3 Organiser les solutions sous forme de politique de sécuritéavec des niveaux de tolérance4 En conclusion on obtient ce que l’on doit protéger par priorité(Encore que le jeu en vaille la chandelle)Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  11. 11. 9IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeLes bonnes questions que l’on doit se poser :Quels sont le coût et le délai de remplacement d’unéquipementQuelle valeur possède l’information à protégerQuel impact sur la clientèle si une information concernant uneattaque dont on aurait fait l’objet (La réputation a un prix)Faire des tests avec des outils d’analyse réseau (Audit desécurité externe)Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  12. 12. 10IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeEn fin de compte je dois mettre en place un SMSI (Système deManagement de la sécurité de l’information et continuité d’activité)Pour cela je dois m’aider d’outils et de méthodes d’analyses, enprenant soin de m’approcher le plus possible de la normeISO-27000Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  13. 13. 11IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeIl existe des méthodes d’analyses de risques éditées pour la sécuritéinformatique :Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  14. 14. 12IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeMéthode EBIOS (Expression des Besoins et Identification desObjectifs de Sécurité) :Mise en place par la DCSSI (Direction Centrale de la Sécurité desSystèmes d’informations)se compose principalement de 5 guides : Introduction,Démarches, Techniques, Outillages, logiciels)elle se compose en 5 grandes étapes :1 étude du contexte2 expression des besoins de sécurité3 étude des menaces4 identification des objectifs de sécurité5 détermination des exigences de sécuritéFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  15. 15. 13IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeMehari (MEthode Harmonisée d’Analyse de RIsques) estdéveloppée par le CLUSIF depuis 1995Elle est développée par le CLUSIF ( Club de la Sécurité del’Information Français) depuis 1995 et en constante mise à jourElle est dérivée des méthodes Melisa et Marion.Le logiciel RISICARE développé par la société BUC SA est unoutil de gestion des risques basé sur la méthode Mehari.Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  16. 16. 14IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeMehari s’articule autour de 3 types de livrables :1 Le Plan Stratégique de Sécurité (PSS) fixe les objectifs desécurité ainsi que les métriques permettant de les mesurer2 Les Plans Opérationnels de Sécurité définissent pour chaquesite les mesures de sécurité qui doivent être mises en œuvre.3 Le Plan Opérationnel d’Entreprise assure le suivi de la sécuritépar l’élaboration d’indicateurs sur les risques identifiés et lechoix des scénarios de catastrophe contre lesquels il faut seprémunir.Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  17. 17. 15IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéIntroduction et rôle de l’ingénieurMéthode d’analyseChoisir sa méthodeComment choisir une méthode parmi le panel existant ?l’origine géographique de la méthodela langue de la méthodela qualité de la documentationle coût de la mise en œuvrela quantité de moyens humains qu’elle implique et la durée demobilisationla taille de l’entreprisesa popularité, l’existence d’un club d’utilisateurs afin d’avoirun retour d’expériences...etc.Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  18. 18. 16IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLoipauseLoi 09-04 du 14 Chaabane 1430 correspondant au 5 août 2009portant règles particulières relatives à la prévention et à la luttecontre les infractions liées aux technologies de l’information et dela communication :Définit la terminologie (beaucoup de manque)Champs d’applicationCas autorisant le recours à la surveillance électroniquePerquisition des systèmes informatiquesObligation des fournisseurs de services à porter assistance auxautorités (l’inverse ? ?)elle définit les « infractions liées aux technologies del’information et de la communication »Organe national de prévention et de lutte contre lesinfractions lièes aux TICs (Where is it ?)Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  19. 19. 17IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLoipauseJe vous invite à faire une pause de 10 minutesFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  20. 20. 18IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtualisationLes avantagesCloud Computing BornAvantages du CloudLa virtualisation : ensemble des techniques matérielles et/oulogicielles qui permettent de faire fonctionner sur une seulemachine plusieurs systèmes d’exploitations et/ou plusieursapplications, séparément les uns des autres, comme s’ilsfonctionnaient sur des machines physiques distinctesFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  21. 21. 19IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtualisationLes avantagesCloud Computing BornAvantages du CloudThere are four (4) basic categories of virtualization :1 Storage virtualization : which pools physical storage frommultiple network storage devices so that they appear to be asingle storage device2 Network virtualization : which provides a way to run different,separated networks within the same physical infrastructure3 Software virtualization : which allow better compatibility forapplications4 Server virtualization :The server administrator uses a softwareapplication to divide one physical server into multiple isolatedvirtual environments.Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  22. 22. 20IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtualisationLes avantagesCloud Computing BornAvantages du CloudResource sharingHeterogeneityScalability and self managementPayment model ( pay-per-use model)Security ? ? ?Usability (easy use)...Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  23. 23. 21IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtualisationLes avantagesCloud Computing BornAvantages du CloudCisco définit le Cloud : "Ressources informatiques et services quisont abstraites de l’infrastructure sous-jacente et proposer "à lademande" et "à l’échelle" dans un environnement locatairesmultiples"Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  24. 24. 22IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtualisationLes avantagesCloud Computing BornAvantages du CloudOn demand : resources can be provisioned immediately whenneeded, released (libérer) when no longer required, and billed(facturer) only when usedAt scale : the service provides the illusion of infinite resourceavailability in order to meet whatever demands are made of itMultitenant environment : the resources are provided to manyconsumers from a single implementation, saving (économiser)the provider significant costFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  25. 25. 23IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe chemin du Cloud...Type de virtualisationLes avantagesCloud Computing BornAvantages du Cloudles avantages du cloud sont la simple dérivée de ceux de lavirtualisationRéduction des coûts d’exploitationsFocalisation sur le corps métierLa Flexibilité de la technologie (provisionning/déploiement)Économie d’énergie et développement durableFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  26. 26. 24IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux défauts de sécuritéPrincipaux conseils à suivreConclusionL’importance accordée aux systèmes d’informations par lesentreprises en fait la cible d’attaque ; le risque est encore plus accruavec l’ouverture de l’entreprise vers internet.Négliger la sécurité de ces systèmes peut conduire l’entreprise à lafaillite ; la sécurité prend alors deux formes :Sécurité interne de l’entreprise (Fuites d’informations, Erreurhumaine, Vols...)Sécurité externe de l’entreprise (Piratage, Servicesindisponibles, DDos...)Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  27. 27. 25IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux défauts de sécuritéPrincipaux conseils à suivreConclusionles principaux défauts de sécurité constatés :> Installations des matériels et logiciels par défaut> Mises à jour non effectuées> Mots de passe inexistants> Session non sécurisée> Services inutiles conservés> pas de séparations de flux (flux opérationnels/ fluxd’administrations)> aucune procédure de sécurité ou de SMSI> outils de tests laissés dans les configurations de productions> Authentification faible> ...Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  28. 28. 26IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux défauts de sécuritéPrincipaux conseils à suivreConclusionles principaux défauts de sécurité constatés :> La formation des utilisateurs (point très important)> La sécurité du poste de travail indépendamment des serveurs> Antivirus / pare-feu (matériels et logiciels)> Authentification couplée au Cryptage> Protocoles sécurisés (SSL/SSH/EAP-TLS...STOP TELNET)> Sécurisation de la messagerie> Surveiller son trafic> Tests et AuditsFouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers
  29. 29. 27IntroductionÉtudes des risquesDroits en vigueurCloud ComputingProtections et sécuritéLe terrain de bataillePrincipaux défauts de sécuritéPrincipaux conseils à suivreConclusionProtégez-vous c’est important !Fouad Guenane-fouad.guenane@gmail.com-Consultant Sécurité Webdays Algiers

×